基于行為分析的木馬檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

張琦++李梅

摘 要

隨著近年來(lái)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，安全問(wèn)題日益突出，病毒、木馬、后門(mén)程序等惡意代碼層出不窮，重大經(jīng)濟(jì)損失事件及重要泄密事件頻頻發(fā)生。傳統(tǒng)的代碼檢查技術(shù)主要依靠特征碼，靜態(tài)分析等手段，對(duì)分析者的技術(shù)要求高，效率較低，難以實(shí)現(xiàn)批量檢查。針對(duì)這些缺點(diǎn)，本文提出一種基于行為分析的木馬檢測(cè)技術(shù)，通過(guò)記錄應(yīng)用程序的動(dòng)態(tài)行為，綜合惡意代碼的API調(diào)用序列，功能性行為特征、隱藏性行為特征、Rootkit行為特征等作為判別依據(jù)，分析其惡意危害性；同時(shí)給出詳細(xì)的分析報(bào)告及關(guān)鍵行為記錄，方便對(duì)惡意代碼的手動(dòng)查殺及深入分析。實(shí)驗(yàn)表明本文提出的檢測(cè)方案能夠有效地檢測(cè)已知或未知的惡意代碼，提高木馬的檢測(cè)準(zhǔn)確率和檢測(cè)效率，達(dá)到預(yù)期的研究目的。

【關(guān)鍵詞】惡意代碼 行為分析 行為特征

隨著信息技術(shù)的飛速發(fā)展，計(jì)算機(jī)應(yīng)用以及計(jì)算機(jī)網(wǎng)絡(luò)己經(jīng)成為當(dāng)今社會(huì)中不可缺少的重要組成部分，對(duì)經(jīng)濟(jì)發(fā)展、國(guó)家安全、國(guó)民教育和現(xiàn)代管理都起著重要的作用。但隨著網(wǎng)絡(luò)應(yīng)用的增加，以計(jì)算機(jī)信息系統(tǒng)為犯罪對(duì)象和犯罪工具的各類(lèi)犯罪活動(dòng)不斷出現(xiàn)。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也不斷暴露出來(lái)，其中，利用木馬技術(shù)入侵、控制和破壞網(wǎng)絡(luò)信息系統(tǒng)，是造成信息安全問(wèn)題的典型表現(xiàn)之一。

傳統(tǒng)的惡意文件檢測(cè)通常使用惡意程序特征值匹配的技術(shù)，即通過(guò)提取已經(jīng)發(fā)現(xiàn)惡意程序的特征值（通常為惡意程序某一段的二進(jìn)制文件或匯編指令流），使用模式匹配的方式對(duì)惡意程序進(jìn)行檢測(cè)，這樣做的好處是查殺準(zhǔn)確，而且可以有效的將惡意程序進(jìn)行定性，但是特征值需要獲得并分析惡意文件樣本，才可以得到，因此時(shí)間上有著滯后性為解決特征值查殺的滯后性。如何能夠快速、準(zhǔn)確、簡(jiǎn)便的分析一個(gè)應(yīng)用程序，成為了一種普遍的需求。

1 木馬檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

1.1 系統(tǒng)設(shè)計(jì)

1.1.1 系統(tǒng)設(shè)計(jì)原則

系統(tǒng)總體設(shè)計(jì)需要滿足未來(lái)的木馬檢測(cè)發(fā)展需要，既要安全可靠，又要具有一定的先進(jìn)性。在架構(gòu)設(shè)計(jì)和功能模塊的劃分上，應(yīng)充分的分析和整合項(xiàng)目的總體需求和預(yù)期的目標(biāo)，盡量遵循高內(nèi)聚、低耦合的設(shè)計(jì)原則，既要保證各個(gè)模塊的獨(dú)立性，也要保證模塊間聯(lián)系的簡(jiǎn)單性和易擴(kuò)展性。

1.1.2 系統(tǒng)架構(gòu)設(shè)計(jì)

根據(jù)虛擬化技術(shù)的快速發(fā)展，本文提出一種在虛擬機(jī)環(huán)境下通過(guò)記錄可疑程序的真實(shí)性為判斷惡意代碼的檢測(cè)系統(tǒng)，通過(guò)檢測(cè)可疑程序的API調(diào)用序列，功能性行為特征、隱藏性行為特征、Rootkit行為特征，對(duì)可疑程序進(jìn)行系統(tǒng)評(píng)分，實(shí)現(xiàn)對(duì)惡意代碼的批量檢測(cè)功能。

1.1.3 行為分析規(guī)則

根據(jù)對(duì)木馬檢測(cè)系統(tǒng)的分析需要，系統(tǒng)的監(jiān)控內(nèi)容主要分為以下5種：

（1）文件監(jiān)控。系統(tǒng)中文件的增加、刪除、修改精確記錄而已程序運(yùn)行造成的文件系統(tǒng)的變化，包括惡意程序釋放文件、修改系統(tǒng)文件、刪除文件等等，讓隱藏文件無(wú)處藏身。

（2）注冊(cè)表監(jiān)控。注冊(cè)表關(guān)鍵位置的變動(dòng)記錄惡意程序的注冊(cè)表操作（例如，比較常見(jiàn)的創(chuàng)建啟動(dòng)項(xiàng)、修改注冊(cè)表鍵值、破壞安全模式等等），讓惡意程序的注冊(cè)表操作一目了然。

（3）網(wǎng)絡(luò)操作監(jiān)控?？刂茞阂獬绦虻木W(wǎng)絡(luò)活動(dòng)（發(fā)送數(shù)據(jù)、下載等）清晰展現(xiàn)盜號(hào)、后門(mén)、下載者等惡意程序的網(wǎng)絡(luò)活動(dòng)，并對(duì)這些網(wǎng)絡(luò)活動(dòng)進(jìn)行協(xié)議解析、數(shù)據(jù)揭秘等。

（4）進(jìn)程/線程監(jiān)控。實(shí)時(shí)檢測(cè)惡意程序運(yùn)行后的進(jìn)程活動(dòng)，精確識(shí)別惡意程序的進(jìn)程/線程創(chuàng)建活動(dòng)。

（5）驅(qū)動(dòng)監(jiān)控。實(shí)時(shí)檢測(cè)惡意程序運(yùn)行后加載的各種驅(qū)動(dòng)行為。

1.1.4 檢測(cè)流程設(shè)計(jì)

為了保證檢測(cè)的準(zhǔn)確性，木馬檢測(cè)系統(tǒng)將檢測(cè)過(guò)程分為2個(gè)步驟，殺毒檢測(cè)任務(wù)和行為檢測(cè)任務(wù)。其行為檢測(cè)任務(wù)流程設(shè)計(jì)如下圖2。

1.2 系統(tǒng)試驗(yàn)效果

對(duì)大量木馬型病毒的測(cè)試表明，本系統(tǒng)能準(zhǔn)確識(shí)別出被檢測(cè)程序在安裝階段、啟動(dòng)階段和網(wǎng)絡(luò)通信階段所展示的網(wǎng)絡(luò)通信行為、進(jìn)（線）程行為、注冊(cè)表行為、文件行為和驅(qū)動(dòng)行為，無(wú)論對(duì)已知木馬還是未知木馬，基于木馬行為判定算法所提交的檢測(cè)結(jié)果較為準(zhǔn)確，克服了“特征碼掃描”有較高的漏報(bào)率和“完整性檢測(cè)”有較高的誤報(bào)率的缺點(diǎn)，檢測(cè)時(shí)間也相對(duì)“機(jī)器學(xué)習(xí)方法”較短。

2 結(jié)束語(yǔ)

文本設(shè)計(jì)的基于行為分析的木馬檢測(cè)系統(tǒng)，在虛擬機(jī)中運(yùn)行樣本程序，并監(jiān)控整個(gè)運(yùn)行過(guò)程中，提供清晰的危險(xiǎn)行為報(bào)告，使得各種隱匿行為無(wú)處藏身。系統(tǒng)提供了一個(gè)自動(dòng)化程度較高的檢測(cè)分析平臺(tái)，克服了普通沙盤(pán)環(huán)境簡(jiǎn)單，指令集有限的問(wèn)題，更有效地發(fā)現(xiàn)潛在惡意代碼，提升了判斷的準(zhǔn)確率，為批量分析惡意代碼提供了一個(gè)有效的檢測(cè)方法。

參考文獻(xiàn)

[1]江雪.基于VMware虛擬機(jī)的惡意程序仿真檢測(cè)平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)[D].電子科技大學(xué)，2014（04）.

[2]王曉娣.基于虛擬機(jī)架構(gòu)的惡意行為跟蹤系統(tǒng)[D].華中科技大學(xué)，2013.

[3]中國(guó)航天科工集團(tuán)第二研究院北京仿真中心[Z].基于虛擬化技術(shù)的仿真系統(tǒng)構(gòu)建，2011（01）.

[4]張一弛，龐建民，范學(xué)斌，姚鑫磊.基于模型檢測(cè)的程序惡意行為識(shí)別方法[J].計(jì)算機(jī)工程，2012（18）.