一種新型病毒主動防御技術(shù)與檢測算法

摘 要:在已有的病毒行為分析和模式識別技術(shù)的基礎(chǔ)上，提出以用戶行為模式為核心的主動防御策略，即識別用戶的正常行為模式，在檢測到異常行為時，判斷出系統(tǒng)是否遭受到了惡意攻擊。這種策略不依賴于惡意程序的繁衍和變遷，可以使防御技術(shù)不受制于惡意程序。對該防御策略進行了實現(xiàn)，并在虛擬執(zhí)行環(huán)境下進行了實驗，實驗結(jié)果表明，該策略對未知病毒有較高的識別度。

關(guān)鍵詞:行為模式; 主動防御; 模式識別; 虛擬執(zhí)行

中圖分類號:TP309.5文獻標(biāo)志碼:A

文章編號:1001-3695(2010)06-2338-03

doi:10.3969/j.issn.10013695.2010.06.098

Novel virus active defense technique and detection algorithm

CHEN Xuhao， WANG Zhiying， REN Jiangchun， ZHENG Zhong， HUANG He

(School of Computer， National University of Defense Technology， Changsha 410073， China)

Abstract:Based on virus behavior analysis and pattern recognition technology， this paper proposed an active defense strategy with user behavior patterns as the core， which could identify the user’s normal behavior， and could find that the system was attacked by malware when abnormal behavior was detected. This strategy was independent ofthe proliferation of malware which made defense technology not be subject to malicious programs. It implemented this defense strategy， and did experiments in a virtual execution environment. The results show that this strategy has a high rate in recognition of the unknown virus.

Key words:behavior pattern; active defense; pattern recognition; virtual execution

惡意程序(包括計算機病毒、蠕蟲、木馬等)的急劇增殖已經(jīng)成為以互聯(lián)網(wǎng)為核心的現(xiàn)代信息技術(shù)的主要威脅。惡意程序通常利用系統(tǒng)和軟件漏洞或通過誘騙用戶運行惡意代碼來感染計算機。當(dāng)前計算機系統(tǒng)的安全防護很大程度上依賴于商用反病毒產(chǎn)品的病毒庫更新，即所謂特征碼掃描。這種方法的主要思想是，分析出病毒的特征病毒碼并集中存放于病毒代碼庫文件中，在掃描時將掃描對象與特征代碼庫比較，如有吻合則判斷為染上病毒[1]。該技術(shù)實現(xiàn)簡單有效、安全徹底，但是這種方法查殺病毒總是滯后于病毒的流行。

對未知病毒的查殺是反病毒行業(yè)的持久課題，目前國內(nèi)外多家公司都宣布自己的產(chǎn)品可以對未知病毒進行查殺，但事實上，國內(nèi)外的產(chǎn)品中只有少數(shù)可以對未知病毒進行預(yù)警，更無法做到徹底清除。

為了能趕上病毒編寫者的步伐，反病毒軟件開始依賴于病毒自動分析工具。病毒行為分析技術(shù)是當(dāng)前應(yīng)對未知病毒查殺問題的一種解決方案。通常，病毒分析技術(shù)分為靜態(tài)和動態(tài)分析兩種[2]。當(dāng)前靜態(tài)分析在檢測準(zhǔn)確度上比傳統(tǒng)的模式匹配方法要好，因而仍然占主導(dǎo)地位，但是靜態(tài)分析的主要缺陷在于它無法有效應(yīng)對惡意程序的模糊代碼技術(shù)和自修改代碼[3]。Moser等人在理論上證明模糊代碼技術(shù)對于靜態(tài)分析而言是NP難問題[3]，這些隱藏技術(shù)尤其對字節(jié)級內(nèi)容分析和靜態(tài)病毒分析特別奏效[2]。相對靜態(tài)分析而言，運行時的動態(tài)二進制分析可以監(jiān)測病毒的執(zhí)行行為，而這些執(zhí)行行為是無法隱藏的。

目前國際上很多研究工作開始向這方面轉(zhuǎn)移[4~7]。文獻[5]提出一種基于病毒行為的行為報告聚類方法，其主要思想是將監(jiān)控獲取的行為報告轉(zhuǎn)換成行為序列，并對此應(yīng)用聚類技術(shù)形成病毒家族。另一種病毒動態(tài)分析技術(shù)是對惡意行為報告應(yīng)用數(shù)據(jù)挖掘技術(shù)[1]，其主要思想是識別惡意程序與良性程序之間的區(qū)別，以作為惡意行為的標(biāo)志，這個思想也是本文提出新型防御技術(shù)的源頭。

1 新型防御技術(shù)

根據(jù)反病毒行業(yè)長期的經(jīng)驗可以知道，同家族的惡意程序的執(zhí)行行為存在共同的模式，本文稱之為行為模式。例如Allaple蠕蟲病毒的所有變種都會在已感染的系統(tǒng)上獲取并鎖住特定的信號量[3]。對程序執(zhí)行行為進行關(guān)聯(lián)性分析，識別同類程序的行為模式的技術(shù)，稱之為行為分析技術(shù)。

當(dāng)前的行為分析技術(shù)都是針對惡意軟件的，即發(fā)現(xiàn)和識別各個惡意軟件家族的行為模式，并根據(jù)這些模式發(fā)現(xiàn)和判斷未知病毒。但是惡意程序的家族數(shù)量是很龐大的，而且很可能隨著計算機技術(shù)的發(fā)展，不斷出現(xiàn)新的家族，如果通過學(xué)習(xí)惡意程序的行為模式來提升防護能力，實際上還是被惡意軟件牽著鼻子走，仍然屬于被動防御。據(jù)此，本文提出一種新型的防御策略——針對用戶行為模式的主動防御策略。

該策略的基本假設(shè)是，同病毒的惡意執(zhí)行行為一樣，用戶的正常操作的執(zhí)行行為也存在模式。例如，對于一臺辦公計算機，可能使用它的用戶的操作主要是文本編輯等辦公相關(guān)的操作，而這些操作在一個長期范圍內(nèi)如果不產(chǎn)生變化，可以認為此時生成了一種用戶行為模式。相對于惡意程序而言，用戶行為模式下的程序被認為是良性程序(benign executable)。如果能采用某種技術(shù)對該模式加以識別，將對反病毒工作有很大的幫助。本文提出的針對用戶行為模式的主動防御策略就是以用戶行為模式為判別的主要依據(jù)，在發(fā)現(xiàn)異常行為模式(非用戶行為模式)時判斷出計算機感染了病毒。圖1描述了這種防御策略。

圖1中，系統(tǒng)已經(jīng)在較長一段時間內(nèi)通過監(jiān)控用戶的正常操作的執(zhí)行行為，識別了用戶的執(zhí)行模式。在此后的任意時刻，對系統(tǒng)進行行為監(jiān)控，并識別當(dāng)前的行為模式，然后與用戶行為模式進行比較。如果符合用戶執(zhí)行模式，則表明系統(tǒng)正常，繼續(xù)監(jiān)控，否則證明系統(tǒng)已經(jīng)感染病毒。當(dāng)然，用戶行為的識別就成為整個策略在實現(xiàn)上的一個關(guān)鍵，也是一個難點。下面將重點討論如何識別用戶和病毒的行為模式。

2 行為模式識別算法

不論是針對用戶操作模式還是惡意操作模式，行為分析都是檢測系統(tǒng)是否感染病毒的基礎(chǔ)，這個過程可以借助模式識別技術(shù)[7]來實現(xiàn)。該技術(shù)的主要思想是，搜集大量已知類型的訓(xùn)練樣本，從中提取出特征值(或稱特征向量)，并利用這些特征值構(gòu)造出一個分類器，這個分類器就可以對未知類型的樣本進行分類。例如，圖2中有A、B兩類樣本，分別用黑邊圓形和黑邊方形表示，每個樣本的特征值是一個二維向量(平面坐標(biāo))，于是可以構(gòu)造一根決策線。這時，有一個未知類型的樣本(菱形)，由于它位于決策線上方，于是被判定屬于A類。這根決策線就是要構(gòu)造的分類器。

根據(jù)這個思想，需要收集病毒樣本，然后通過監(jiān)控獲取其程序執(zhí)行行為報告，同時對于用戶的正常操作也截獲類似的報告。通過特征提取將報告轉(zhuǎn)換為特征向量，最后構(gòu)造出分類器。這里涉及兩個算法問題，即特征提取算法和分類器構(gòu)造算法。

特征提取實際是構(gòu)造一個嵌入函數(shù)，該函數(shù)將程序執(zhí)行行為報告映射到高維特征空間。在文獻[3]中，以特征字符串在程序執(zhí)行行為報告中的出現(xiàn)頻率來反映程序的執(zhí)行特征，則嵌入函數(shù)這樣描述:

設(shè)特征字符串集合(特征集)為F，程序執(zhí)行行為報告的集合為X，對于特征字符串s(s∈F)和程序執(zhí)行行為報告x(x ∈ X)，記f(x，s)為s在x中出現(xiàn)的頻率。嵌入函數(shù)如下:

是X到‖F(xiàn)‖維實空間的映射，‖F(xiàn)‖是集合F的模，即特征字符串的個數(shù)。

設(shè)特征集F含有兩個特征字符串，即F={copy_file，create_file}，則特征向量空間是二維的:(x)→ (f(x，s1)， f(x，s2))。其中，s1=copy_file，s2=create_file。這樣，一個樣本的一次執(zhí)行(一個程序執(zhí)行行為報告)將被轉(zhuǎn)換為一個特征向量。

另外，通常在模式識別技術(shù)中，涉及特征選擇問題。很多情況下，特征向量的維數(shù)太高(幾十甚至數(shù)百)，將導(dǎo)致維數(shù)災(zāi)難(計算復(fù)雜性)，在各種特征中選取最具區(qū)分性的幾個特征的過程，稱之為特征選擇。本文沿用文獻[3]的嵌入函數(shù)，此處不作詳細討論。

在定義了嵌入函數(shù)之后，樣本的特征已經(jīng)被量化成特征向量，這時就可以使用通用的分類器構(gòu)造算法了。通常，分類器構(gòu)造算法分為線性和非線性，對應(yīng)分別構(gòu)造出來的分類器是線性的和非線性的。例如，圖2中的決策線是直線，因此它是由線性構(gòu)造算法構(gòu)造的。具體的構(gòu)造算法很多，包括貝葉斯分析、決策樹、神經(jīng)網(wǎng)絡(luò)等，而目前最為成功也是應(yīng)用最為廣泛的要屬支持向量機(support vector machine，SVM)，本文在實驗部分將使用這個算法。

3 實驗方案

3.1 虛擬執(zhí)行

惡意程序在其執(zhí)行過程中會表現(xiàn)出與正常程序不同的行為特征，如創(chuàng)建、修改、復(fù)制或刪除文件、修改注冊表、創(chuàng)建進程、啟動或禁用系統(tǒng)服務(wù)等。動態(tài)分析首先需要通過程序的動態(tài)執(zhí)行獲取其執(zhí)行信息，這個過程可以通過虛擬執(zhí)行技術(shù)來實現(xiàn)。當(dāng)前，虛擬執(zhí)行技術(shù)已經(jīng)開始應(yīng)用到病毒防治領(lǐng)域。所謂虛擬執(zhí)行技術(shù)，就是通過虛擬執(zhí)行方法查殺病毒，可以對付加密、變形、異型及病毒生產(chǎn)機生產(chǎn)的病毒[8]。在虛擬執(zhí)行過程中，利用某種技術(shù)手段，如API Hooking，從虛擬環(huán)境中截獲程序的執(zhí)行行為，稱為行為監(jiān)測技術(shù)。行為監(jiān)測過程可以獲取程序執(zhí)行行為報告。

3.2 原型系統(tǒng)

整個系統(tǒng)的基本框架如圖3(a)所示。圖中填充部分是該檢測系統(tǒng)，包括樣本收集器模塊、虛擬執(zhí)行環(huán)境模塊、行為分析器模塊。樣本收集器模塊的功能是收集病毒樣本(包括訓(xùn)練樣本和測試樣本)，虛擬執(zhí)行環(huán)境模塊的功能是對程序進行虛擬執(zhí)行，獲取其行為，生成報告。行為分析器模塊的功能包括兩個方面:a)對訓(xùn)練樣本虛擬執(zhí)行后生成的報告進行分析，生成分類器;b)對測試樣本虛擬執(zhí)行后生成的報告進行分析，生成檢測報告。

圖3(b)和(c)說明了該檢測系統(tǒng)的執(zhí)行流程。該系統(tǒng)進行病毒檢測的流程分為兩部分:第一部分是行為分析器(實際就是分類器)的構(gòu)造如圖3(b)，這一部分實際是一個長期的過程，這個分析器也是處于長期更新的狀態(tài)，從新的病毒中不斷學(xué)習(xí)其模式，因此除了第一次稱為分析器構(gòu)造外，以后實際上是分析器更新，這一部分的執(zhí)行過程是，已知病毒進行虛擬執(zhí)行，得到病毒行為報告，然后據(jù)此構(gòu)造分析器;第二部分是對病毒的檢測如圖3(c)，同樣需要將病毒進行虛擬執(zhí)行，得到病毒行為報告，然后據(jù)此利用構(gòu)造好的分析器進行行為分析，得到病毒檢測報告。

3.3 實驗與結(jié)果分析

本文的實驗方案在Rieck等人[3]的方案上進行修改而制定的。根據(jù)上述策略和實現(xiàn)算法，實驗方案分為以下幾個步驟:

a)收集病毒樣本并打上標(biāo)簽;

b)對訓(xùn)練樣本進行虛擬執(zhí)行并監(jiān)測行為，訓(xùn)練分類器(行為分析器);

c)對測試樣本進行虛擬執(zhí)行并監(jiān)測行為，然后進行行為分析(即用分類器分類)，得到分類準(zhǔn)確率。

本文用病毒收集工具在互聯(lián)網(wǎng)上收集了10類10 000個病毒(其分類標(biāo)準(zhǔn)源于文獻[3])，基于這些樣本，以數(shù)據(jù)庫的形式建立了一個規(guī)范的小型病毒庫，該病毒庫的每一項對應(yīng)一個病毒樣本，包含序號、名稱、家族等屬性。所有的樣本被分為訓(xùn)練樣本和測試樣本。其中80%用于訓(xùn)練，20%用于測試。

按照上述實驗方案對病毒樣本進行了實驗，得到圖4所示的結(jié)果。

圖4顯示的是采用了針對用戶行為模式的主動防御策略的病毒檢測系統(tǒng)對這10類病毒的識別率，橫坐標(biāo)表示10個病毒家族，縱坐標(biāo)表示檢測系統(tǒng)對相應(yīng)家族病毒的識別率。可以看到，檢測系統(tǒng)對絕大部分家族的病毒識別率都在60%以上，而個別家族的識別率幾乎達到100%。其中，家庭3和9的識別率是比較令人滿意的。當(dāng)然，家族4和8的結(jié)果不盡如人意，還存在很大的提升空間。

4 結(jié)束語

本文在病毒主動防御技術(shù)的啟發(fā)下，基于已有的病毒行為分析和模式識別技術(shù)，提出了針對用戶行為模式的病毒防御策略，將該策略應(yīng)用到以病毒行為分析算法為核心的病毒檢測系統(tǒng)中，并進行了測試。實驗數(shù)據(jù)表明，該策略的應(yīng)用能夠使病毒檢測系統(tǒng)作出比較準(zhǔn)確的判斷，從而證明了從用戶行為模式出發(fā)對病毒實施主動防御的方法是可行的。

參考文獻:

[1]曹騫，樊曉平，謝岳山. 大型分布式管理信息系統(tǒng)的安全問題研究[J]. 計算機應(yīng)用研究， 2007， 24(3):121-124.

[2]CHRISTODORESCU M， JHA S， KRUEGEL C. Mining specifications of malicious behavior[C]//Proc of the 6th Joint Meeting of the European Software Engineering Conference and the ACM SIGSOFT Symposium on the Foundations of Software Engineering. 2007.

[3]RIECK K， HOLZ T， WILLEMS C， et al. Learning and classification of malware behavior[C]//Proc of DIMVA. 2008.

[4]BAECHER P， KOETTER M， HOLZ T， et al. The nepenthes platform: an efficient approach to collect malware[C]//Proc of the 9th Symposium on Recent Advances in Intrusion Detection. 2006:165-184.

[5]BAILEY M， OBERHEIDE J， ANDERSEN V， et al. Automated classification and analysis of Internet malware[C]//Proc of the 10th Symposium on Recent Advances in Intrusion Detection. 2007:178-197.

[6]BAYER U， KRUEGEL C， KIRDA E. TTAnalyze: a tool for analyzing malware[C]//Proc of EICAR. 2006.

[7]BURGES C. A tutorial on support vector machines for pattern recognition [J]. Knowledge Discovery and Data Mining， 1998， 2(2):121-167.

[8]談文明. 病毒防治技術(shù)的前沿地帶[R/OL].http://www.antiviruschina.org.cn/forum/zhjyzh_2002_virus/06rising/virus.ppt.

[9]LEE T， MODY J J. Behavioral classification[C]//Proc of EICAR. 2006.

[10]CHRISTODORESCU M， JHA S. Static analysis of executables to detect malicious patterns[C]//Proc of the 12th USENIX Security Symposium. 2003.