張琦++李梅

摘 要

隨著近年來網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，安全問題日益突出，病毒、木馬、后門程序等惡意代碼層出不窮，重大經(jīng)濟(jì)損失事件及重要泄密事件頻頻發(fā)生。傳統(tǒng)的代碼檢查技術(shù)主要依靠特征碼，靜態(tài)分析等手段，對分析者的技術(shù)要求高，效率較低，難以實現(xiàn)批量檢查。針對這些缺點，本文提出一種基于行為分析的木馬檢測技術(shù)，通過記錄應(yīng)用程序的動態(tài)行為，綜合惡意代碼的API調(diào)用序列，功能性行為特征、隱藏性行為特征、Rootkit行為特征等作為判別依據(jù)，分析其惡意危害性；同時給出詳細(xì)的分析報告及關(guān)鍵行為記錄，方便對惡意代碼的手動查殺及深入分析。實驗表明本文提出的檢測方案能夠有效地檢測已知或未知的惡意代碼，提高木馬的檢測準(zhǔn)確率和檢測效率，達(dá)到預(yù)期的研究目的。

【關(guān)鍵詞】惡意代碼 行為分析 行為特征

隨著信息技術(shù)的飛速發(fā)展，計算機(jī)應(yīng)用以及計算機(jī)網(wǎng)絡(luò)己經(jīng)成為當(dāng)今社會中不可缺少的重要組成部分，對經(jīng)濟(jì)發(fā)展、國家安全、國民教育和現(xiàn)代管理都起著重要的作用。但隨著網(wǎng)絡(luò)應(yīng)用的增加，以計算機(jī)信息系統(tǒng)為犯罪對象和犯罪工具的各類犯罪活動不斷出現(xiàn)。網(wǎng)絡(luò)安全風(fēng)險也不斷暴露出來，其中，利用木馬技術(shù)入侵、控制和破壞網(wǎng)絡(luò)信息系統(tǒng)，是造成信息安全問題的典型表現(xiàn)之一。

傳統(tǒng)的惡意文件檢測通常使用惡意程序特征值匹配的技術(shù)，即通過提取已經(jīng)發(fā)現(xiàn)惡意程序的特征值（通常為惡意程序某一段的二進(jìn)制文件或匯編指令流），使用模式匹配的方式對惡意程序進(jìn)行檢測，這樣做的好處是查殺準(zhǔn)確，而且可以有效的將惡意程序進(jìn)行定性，但是特征值需要獲得并分析惡意文件樣本，才可以得到，因此時間上有著滯后性為解決特征值查殺的滯后性。如何能夠快速、準(zhǔn)確、簡便的分析一個應(yīng)用程序，成為了一種普遍的需求。

1 木馬檢測系統(tǒng)的設(shè)計與實現(xiàn)

1.1 系統(tǒng)設(shè)計

1.1.1 系統(tǒng)設(shè)計原則

系統(tǒng)總體設(shè)計需要滿足未來的木馬檢測發(fā)展需要，既要安全可靠，又要具有一定的先進(jìn)性。在架構(gòu)設(shè)計和功能模塊的劃分上，應(yīng)充分的分析和整合項目的總體需求和預(yù)期的目標(biāo)，盡量遵循高內(nèi)聚、低耦合的設(shè)計原則，既要保證各個模塊的獨立性，也要保證模塊間聯(lián)系的簡單性和易擴(kuò)展性。

1.1.2 系統(tǒng)架構(gòu)設(shè)計

根據(jù)虛擬化技術(shù)的快速發(fā)展，本文提出一種在虛擬機(jī)環(huán)境下通過記錄可疑程序的真實性為判斷惡意代碼的檢測系統(tǒng)，通過檢測可疑程序的API調(diào)用序列，功能性行為特征、隱藏性行為特征、Rootkit行為特征，對可疑程序進(jìn)行系統(tǒng)評分，實現(xiàn)對惡意代碼的批量檢測功能。

1.1.3 行為分析規(guī)則

根據(jù)對木馬檢測系統(tǒng)的分析需要，系統(tǒng)的監(jiān)控內(nèi)容主要分為以下5種：

（1）文件監(jiān)控。系統(tǒng)中文件的增加、刪除、修改精確記錄而已程序運行造成的文件系統(tǒng)的變化，包括惡意程序釋放文件、修改系統(tǒng)文件、刪除文件等等，讓隱藏文件無處藏身。

（2）注冊表監(jiān)控。注冊表關(guān)鍵位置的變動記錄惡意程序的注冊表操作（例如，比較常見的創(chuàng)建啟動項、修改注冊表鍵值、破壞安全模式等等），讓惡意程序的注冊表操作一目了然。

（3）網(wǎng)絡(luò)操作監(jiān)控?？刂茞阂獬绦虻木W(wǎng)絡(luò)活動（發(fā)送數(shù)據(jù)、下載等）清晰展現(xiàn)盜號、后門、下載者等惡意程序的網(wǎng)絡(luò)活動，并對這些網(wǎng)絡(luò)活動進(jìn)行協(xié)議解析、數(shù)據(jù)揭秘等。

（4）進(jìn)程/線程監(jiān)控。實時檢測惡意程序運行后的進(jìn)程活動，精確識別惡意程序的進(jìn)程/線程創(chuàng)建活動。

（5）驅(qū)動監(jiān)控。實時檢測惡意程序運行后加載的各種驅(qū)動行為。

1.1.4 檢測流程設(shè)計

為了保證檢測的準(zhǔn)確性，木馬檢測系統(tǒng)將檢測過程分為2個步驟，殺毒檢測任務(wù)和行為檢測任務(wù)。其行為檢測任務(wù)流程設(shè)計如下圖2。

1.2 系統(tǒng)試驗效果

對大量木馬型病毒的測試表明，本系統(tǒng)能準(zhǔn)確識別出被檢測程序在安裝階段、啟動階段和網(wǎng)絡(luò)通信階段所展示的網(wǎng)絡(luò)通信行為、進(jìn)（線）程行為、注冊表行為、文件行為和驅(qū)動行為，無論對已知木馬還是未知木馬，基于木馬行為判定算法所提交的檢測結(jié)果較為準(zhǔn)確，克服了“特征碼掃描”有較高的漏報率和“完整性檢測”有較高的誤報率的缺點，檢測時間也相對“機(jī)器學(xué)習(xí)方法”較短。

2 結(jié)束語

文本設(shè)計的基于行為分析的木馬檢測系統(tǒng)，在虛擬機(jī)中運行樣本程序，并監(jiān)控整個運行過程中，提供清晰的危險行為報告，使得各種隱匿行為無處藏身。系統(tǒng)提供了一個自動化程度較高的檢測分析平臺，克服了普通沙盤環(huán)境簡單，指令集有限的問題，更有效地發(fā)現(xiàn)潛在惡意代碼，提升了判斷的準(zhǔn)確率，為批量分析惡意代碼提供了一個有效的檢測方法。

參考文獻(xiàn)

[1]江雪.基于VMware虛擬機(jī)的惡意程序仿真檢測平臺設(shè)計與實現(xiàn)[D].電子科技大學(xué)，2014（04）.

[2]王曉娣.基于虛擬機(jī)架構(gòu)的惡意行為跟蹤系統(tǒng)[D].華中科技大學(xué)，2013.

[3]中國航天科工集團(tuán)第二研究院北京仿真中心[Z].基于虛擬化技術(shù)的仿真系統(tǒng)構(gòu)建，2011（01）.

[4]張一弛，龐建民，范學(xué)斌，姚鑫磊.基于模型檢測的程序惡意行為識別方法[J].計算機(jī)工程，2012（18）.