基于威脅情報技術的軟件惡意行為分析模型?

肖治華 楊 杉 張 成 鄧國如

（國網湖北省電力公司信息通信公司 武漢 430077）

1 引言

近年來，企業級的信息系統所面臨的各類軟件的攻擊性行為與日俱增，給運維工作帶來了極大的挑戰，也給企業的正常運營構成了嚴重的影響，甚至造成了重大的經濟損失，究其原因，主要有三點。首先是隨著互聯網的不斷發展，信息系統面臨的用戶規模急劇增大，數據來源分布范圍變廣，導致了安全威脅的來源不斷朝著多樣化與復雜化的方向發展［1］；其二是隨著企業提供的業務與服務種類不斷增多，軟件自身暴露的安全漏洞也越來越多，也招致了大量的網絡入侵行為［2］；第三則是傳統的分析與檢測模式無法很好地識別出數量眾多的惡意行為，以網絡病毒軟件為例，一般本地防火墻所配置的病毒特征庫樣本為1000萬～1500萬，而實際存在的病毒軟件數量則超過了20 億個，僅靠單一本地檢測方法根本無法滿足信息系統的安全需求；此外，目前互聯網中以APT 攻擊為代表的新型威脅越來越普遍，傳統的檢測方法難以抵御，必須加以改進，以便確保企業關鍵業務軟件運行過程中的可信賴性［3］。

近年來，如何針對軟件惡意行為進行高效準確的分析，已經成為了網絡安全領域研究的熱點，眾多的研究人員也推出了各具特色的研究成果。徐嬋在文獻［4］中提出采用BP 神經網絡技術來構建訓練樣本群，根據樣本的動態特征構建軟件分類模型，對待測軟件是否具有惡意行為進行判斷；卜哲等在文獻［5］中針對規模日益龐大的移動終端軟件行為展開分析，采用靜態反匯編技術與動態監控技術相結合的方法，取得了良好的效果；李嘉在文獻［6］中針對智能終端的惡意軟件檢測展開研究，設計了一種基于動靜態分析方法的惡意軟件檢測方案，并通過仿真論證了該方法的有效性；以上方法均具備了較為可靠的檢測性能，為信息系統安全與運維工作的發展做出了貢獻，但由于軟件惡意行為的種類繁多，導致這些方法在執行效率和實時性方面依然存在較大的改進空間。為了應對軟件安全性問題的發展特點，目前多數學者的研究方向均放在了充分利用威脅情報服務，提升安全防御系統的檢測效率方面，如汪鑫等則在文獻［7］中提出基于威脅情報平臺的優勢，以URL 為檢測對象，分析軟件行為的安全性，并設計了相應的分類器模型；施勇等在文獻［8］中提出采用威脅情報技術對DNS流量進行分析，設計了基于威脅情報庫的自進化檢測算法，從而實現對APT攻擊的快速判別。

本文以威脅情報平臺為支撐，充分利用其豐富的威脅情報資源，提高對軟件行為數據的快速檢測，同時針對企業信息系統積累的大量原始數據進行二次提取，設計了軟件惡意行為的多種量化指標，并通過分層聚類算法提取行為特征，將其添加進威脅特征庫中，隨后又基于SVM 算法實現了軟件行為的動態分析，最終構建了軟件惡意行為的分析模型。

2 威脅情報技術執行流程

威脅情報技術將傳統的基于漏洞防御的模式進化為以大數據技術為支持，以網絡中存在的各種類型的威脅信息為對象進行分析的新模式，可幫助企業建立以數據驅動為核心的縱深信息安全體系，將原本隱性的威脅轉變為顯性，從而制定出靶向性更好的識別模型。從技術流程方面分析，威脅情報技術一般包括三個基本環節，其分別為威脅情報的收集、豐富與挖掘，以下分別予以介紹。

2.1 威脅情報數據收集

數據收集是威脅情報技術分析工作的基礎，所采集數據的針對性越強，對后續的情報分析與挖掘工作的幫助就越大。一般而言，威脅數據來源分為內部數據與外部數據兩部分，內部數據即企業系統內部保留的歷史數據和安全日志等，外部數據則可選取第三方機構發布的共享情報數據［9］。本文中威脅情報數據同樣來源于這兩個主要渠道，其中在外部數據的選取環節，選擇了開源情報收集查詢框架（Collective Intelligence Framework，CIF）［10］提供的數據，以及通過爬蟲系統得到了部分共享數據；而內部威脅數據則是來源于企業內部配置的惡意軟件分析平臺中積累的歷史數據，如圖1所示。

圖1 威脅情報來源及數據類型

2.2 威脅情報豐富

通過不同來源對威脅情報進行搜集，僅僅能得到基本的原始數據，這些信息相互獨立，缺乏關聯，且只能夠描述惡意行為最直觀的特征，并不能滿足威脅情報分析工作對數據深入挖掘的需求。因此，必須對這些原始信息展開豐富數據和擴展關聯的工作。例如，針對域名可增加WHOIS、ICP 備案信息，以完善該域名的當前狀態信息，如是否被注冊，以及所有者的相關信息［11］；對惡意軟件添加主機行為和網絡行為信息，從而更加具體的描述惡意行為特征，同時也可增加各信息安全機構對該軟件的評測結論，以提高識別的精確度；針對威脅IP 地址，可添加其所對應的地理位置，所處的自治系統AS的狀態與屬性（包括BGP Peers 信息），以及產生通信的惡意樣本信息（如關聯樣本和關聯URL 等），具體內容如下所示：

1）反向解析域名

反向域名解析即為針對域名解析流程的逆操作，根據域名到IP 地址的映射關系，可判斷該IP 是否經常更換域名，以及是否與隨機生成的DGA 域名相關聯，從而判斷該IP 是否存在惡意行為的可能性。

2）關聯樣本

通過惡意軟件分析系統對某IP 及其相關的數據樣本群進行分析，發現該IP 是否存在與樣本群中的某個個體間存在通信，若有通信則可將認定二者相關，并根據樣本所述家族的屬性特征來判別該IP是否為惡意IP。

3）關聯URL

通過對某IP 所指向的URL 進行檢測和解析，分析該URL 是否出現過惡意軟件自動下載，以及是否想來訪者提供過異常通信端口，來判別該IP地址所對應的頁面是否存在惡意行為。

2.3 威脅情報挖掘

威脅情報挖掘是整個技術流程中的核心環節，通過對大量威脅數據的有效檢索與關聯分析，提取出有價值的威脅情報信息，并據此來完成對軟件安全性行為的判定。威脅情報挖掘主要分為惡意行為的定義、數據的過濾與特征的提取三個環節［12］。

1）惡意行為的分類與定義

首先為惡意行為的定義，本文基于大數據樣本的軟件行為分析技術，通過監測大量病毒、惡意代碼和非法入侵等行為，將網絡中的軟件惡意行為進行了統計分類，其結果如表1所示。

表1 軟件惡意行為的分類

以上惡意行為均能夠對信息系統造成干擾，并嚴重影響企業業務的正常運行，造成用戶信息失竊、用戶動作被非法截獲甚至系統被強制控制等后果。因此，本文將具有以上任何一條或多條的軟件行為均定義為惡意行為。

2）數據過濾

數據過濾的目的是對樣本群進行合理的縮減，并對其中的各個樣本進行規范化，去除異常數據，以減少挖掘過程中出現的各種干擾，提高挖掘的準確性與可靠性?？蓮囊韵聨讉€方面執行過濾操作［13］。

（1）正常IP

若對象IP 已與信息庫中保留和合法域名相綁定，則可認定其為正常IP，無需參與檢測，將其過濾。

（2）受控于惡意軟件IP

若對象IP 與惡意軟件發生過通信，則該IP 對應的主機可能僅受控于惡意軟件，而不是與其關聯，也就不能成為威脅的真正來源，可將其過濾。

（3）是否活躍

威脅情報的指征具有時效性，若對象IP 在一定周期內處于不活躍狀態，則該IP 的檢測價值也就大幅度降低了，從而可將其過濾。

（4）反向解析域名

如果是控制服務器的IP，則可能關聯多個域名，反之，關聯域名較少的，則基本可排除其為真正的威脅來源，根據預設的閾值將其過濾。

（5）NTP、DNS過濾

在某些惡意軟件的入侵過程中，會發生一系列的DNS 查詢和NTP 網絡時間同步操作，而為其提供這些服務的服務器基本為合法站點，因此也需要將其過濾。

3）威脅特征的提取

采用數據挖掘技術，對收集并整理過的樣本群進行聯立分析，從中提取出具有共性的威脅情報特征，并據此作為檢測軟件行為的依據。本文在此環節提出采用基于層次聚類算法的靜態行為分析技術來完成這一工作。

所謂靜態分析是在數據信息充分積累的條件下，通過軟件分析技術對當前信息樣本群體進行判別和推斷，預測目標在未來可能發生的惡意行為，例如可在靜態條件下對軟件源碼進行檢測分析，判斷該軟件在運行時可能出現的行為［14］。靜態分析的主要方法分為控制流分析、程序依賴分析和數據流分析等。指軟件在非運行狀態下，通過分析軟件本身信息來推斷軟件的預期行為。一般是通過檢測軟件源碼來判斷軟件動態運行時的行為表現。靜態分析方法有控制流分析、程序依賴分析、數據流分析等多種。

本文提出首先針對目標軟件進行解析，提取該軟件的主要類和函數信息，在經過過濾后，將規范化的信息整合為數值型的特征向量，并由此向量表示軟件的靜態行為特征；隨后采用層次聚類算法對特征群體進行訓練，得出該軟件是否存在惡意行為的結論。首次聚類時，每個點都作為一個Cluster，并采用Average linkage 算法計算所有Cluster 之間的距離；隨后的每輪挖掘都將距離最近的兩個之后每次聚類，都將距離最近的兩個Cluster 合為一類，最終將整個樣本群構造出一個樹結構，并將其存入威脅情報特征庫中。

3 基于SVM算法的軟件動態行為分析

靜態的行為分析方法雖然以企業信息系統所積累的安全數據為基礎，針對性較強，但信息規模仍然相對偏小，不足以防御網絡中數量眾多的威脅行為。因此，必須借助威脅情報平臺所提供的大量的威脅知識來進行動態的，綜合的判斷，以識別網絡中軟件行為是否具備惡意性。動態行為分析針對軟件在運行過程中的種種記錄展開研究，判別該種行為對系統環境、信息資源等造成的影響，是否存在諸如竊密、非法篡改等惡意行為［15］。該方法對惡意軟件的加密、加殼以及系統指令替換等偽裝手段具有較好的識別能力。

目前已有的動態行為分析算法在實時性方面均存在一定的欠缺，尤其在數據規模龐大的情況下，檢測結果往往滯后性較大，無法起到良好的防御作用。本文提出借助威脅情報知識的優勢，針對海量數據樣本高維度、高復雜性的特點，結合機器學習算法的優越性能，針對在表1 中列舉的多種軟件惡意行為進行分析，通過抓取軟件運行時所調用的系統API 序列進行統計，以Native API 函數調用頻率作為行為特征，采用SVM 機制進行動態分析，從而快速的判別運行中的軟件是否具有惡意行為。其運行流程如圖2所示。

圖2 動態行為分析流程

在分析算法的執行方面，SVM算法的基本思路是構造一個最優化的分類超平面，記為ω ?x+b=0，并按照該平面將樣本群分為兩類，因此，SVM 本質上是一種二元化分類算法，將其應用在針對軟件行為的分類過程中是十分合適的，可根據算法結論最終判斷出該軟件行為是惡意行為還是安全行為［16］。所構造的超平面在應用過程中，需保證能針對所有樣本進行歸類，同時也要使兩類樣本與超平面間的最小距離之和最大，這意味著該平面兩側的樣本群體的間隔應當保持最大化，以突出兩種分類之間的明顯區別，而確定最優超平面的過程也可轉化為求解帶約束條件函數的最優值的過程，其具體執行流程如下。

將待求解問題分為線性可分與線性不可分兩類進行分別闡述：

1）線性可分情況下，通過引入Lagrange 乘子，可將帶約束條件函數的最優值問題轉化為式（1）來求解：

上式中的εi為方程的誤差約束條件，C 為懲罰系數，通過對該式求解可得：

由式（2）和式（3）可得分類決策函數：

當分類決策函數f（x）=+1 時，則將該次軟件行為歸為一類，即為正常行為；而當f（x）=-1時將其歸為二類，即判斷該軟件行為是惡意行為。

2）線性不可分情況下，可將上述問題轉化為式（5）的最優值的問題：

上式中，K(xi,xj)為算法選取的核函數，本文采用較為成熟的高斯徑向基函數作為SVM 算法的核函數，如式（6）所示：

C同樣為懲罰系數，通過對式（5）求解可得：

在解空間中搜尋所有滿足0≤ai≤C(i=1,2,…,n)的支持向量樣本(xi,xj)，針對每個向量，通過式（8）計算對應的

簡化后即為

將式（10）代入式（4）的分類決策函數，同樣可計算出對應的f（x）的值，并根據結果為+1 或-1 來分別判定該軟件行為是安全行為或是惡意行為。

4 軟件惡意行為分析模型的設計

本文提出基于威脅情報平臺對軟件行為是否具有惡意性進行快速分析與評估，其整體運行機制如圖3所示。

圖3 軟件行為惡意性分析模型

對以上模型進行解構，將其執行過程分為6 個主要的步驟，其分別為

Step 1：通過各種渠道獲取原始數據，如企業內部的安全數據、爬蟲系統獲取數據以及第三方開源情報收集查詢框架CIF 中的數據，同時也可根據需要通過數據采集設備對用戶網絡流量和日志信息進行采集；

Step 2：經過對數據的預處理，實現數據規模的有效控制，對重復、異常和不規范的數據進行過濾，提高數據的標準化程度，最終得到待檢測的基礎信息數據與網絡訪問日志數據；

Step 3：根據威脅情報平臺提供的現有特征庫進行首輪的規則匹配操作，若能夠匹配成功，則可直接判定目標軟件具有惡意行為；若匹配失敗，則繼續啟用現有的威脅情報庫進行查詢，若能夠查詢到對應的結果則可認定其為具有惡意行為的數據，否則進入Step 4；

Step 4：利用層次聚類算法對本次采集的數據進行特征提取，并構建樹狀的特征數據結構，再次對新的特征進行匹配操作，對判定的惡意行為的數據進行威脅情報的挖掘分析，確定該類行為的攻擊模式和攻擊路徑等信息，并基于此生成威脅知識，將其存入知識庫中；

Step 5：采用支持向量機SVM 算法對Step 4 得到的威脅知識進行動態分析，實時判別該軟件行為數據是否具有惡意，并針對該數據的特征給出有效的防護策略，得出此類軟件行為的威脅情報結論；

Step 6：對樣本群中的下一條數據重復執行Step 3～Step 5，直至所有數據全部完成檢測，并將所有分析得出的威脅情報全部執行入庫操作，實現威脅情報庫的自更新。

5 結語

本文圍繞企業信息系統安全性問題展開研究，針對目前網絡空間中軟件行為惡意性的實時檢測為目的，結合了數據挖掘技術中的層次聚類算法和機器學習領域中的SVM 算法為核心，并以威脅情報技術的運行過程為主線，建立了一套實時性好、準確性高的軟件惡意行為分析模型，具有一定的實用價值。下一步的優化工作將放在對軟件行為特征的選取方面，擬采取PCA算法對特征空間進行降維，隨后再對特征樣本群進行訓練，在保證樣本群針對性的基礎上，盡量縮減其規模，以減少計算量，提高檢測方案的效率。