基于敏感路径的精确行为依赖图跟踪检测恶意代码

恶意代码及其变种在行为上具有相似性和某些依赖关系.针对Web应用程序函数调用生成行为依赖图存在路径爆炸和虚警等问题,提出了基于恶意代码间依赖关系的提取与验证的精确行为依赖图方法.首先通过自定义污点传播规则获得敏感数据的行为关系以用于污点跟踪,再利用污点源黑名单过滤建立索引文件改善存储空间和指令定位能力;然后采用活跃变量路径验证算法逆向遍历污点源Source→污点汇聚点Sink路径,同时净化虚假污点以进一步克服路径空间问题;最后结合路径敏感的污点分析方法,特别关注函数的调用过程,基于污点文件生成应用于恶意代码识别和漏洞分析的恶意代码精确行为依赖图.实验结果表明,该方法可以有效提高恶意代码的辨识率,在降低报告漏洞的假阴性率的同时,能提高漏洞检测的准确率,为解决恶意软件尤其是Web漏洞检测的误报率和有效性等问题提供了一种可行的解决途径.