云基礎設施的惡意軟件檢測方法

張小莉 程光

摘? ?要：云基礎設施的惡意軟件檢測是必要的。為了避免被惡意軟件發現，針對云基礎設施的特點，設計了一個外部的惡意軟件檢測器。首先，利用一個具有特殊權限且位于目標之外的虛擬機收集可疑進程的系統調用;然后，將收集到的系統調用轉換為進程的行為圖;最后，利用行為圖間的相似性來判斷可疑進程是否為惡意軟件。實驗結果表明，平均檢測率為89%，誤報率低于5%，檢測器對客戶虛擬機的性能影響不大，且能夠抵抗添加率低于30%的系統調用攻擊。

關鍵詞：惡意軟件;行為圖;云基礎設施

中圖分類號： TP309? ? ? ? ? 文獻標識碼：A

1 引言

惡意軟件不僅破壞傳統的計算環境，而且對云計算構成了極大威脅。在云安全聯盟識別的七種頂級威脅中就有五種與惡意軟件直接或間接相關[1，2]。多年來，科技工作者在惡意軟件檢測方面開展了許多研究工作，也取得了豐富的研究成果。然而，隨著檢測技術的提升，惡意軟件自身也在不斷發展，這給惡意軟件檢測提出了許多挑戰。特別是近年來出現的云計算在給人類帶來便利的同時，也給惡意軟件提供了更加廣闊的生存空間。為了更好地發現云基礎設施環境中的惡意軟件，本文針對云基礎設施環境的特點，設計了一種新的惡意軟件檢測器。

如何描述惡意軟件是檢測惡意軟件的前提，本文使用惡意軟件的系統調用來刻畫惡意軟件的行為進而實現惡意軟件的描述。系統調用信息可進一步劃分為兩大類：空間信息和時間信息。本文使用系統調用的時間信息，待識別進程的行為與已知惡意軟件行為間的相似性被用于識別惡意軟件，進程行為使用一個帶權有向圖描述，這個有向圖產生于系統調用的軌跡。

云基礎設施中資源的豐富性引起了黑客的極大關注，惡意軟件是黑客的主要攻擊工具，研究云基礎設施中的惡意軟件檢測意義重大。與傳統計算環境下的惡意軟件檢測相比，云計算環境下的惡意軟件檢測不僅關注識別率，更關注惡意軟件檢測器的可伸縮性，當然透明性也是比較重要的。研究的目標就是要在云基礎設施環境中設計一個可伸縮性好、識別率高、且難以被惡意軟件發現的惡意軟件檢測器。

2 相關工作

借助逆向工程或受控環境下的進程分析技術可提取惡意軟件的行為特征。常見的一些機器學習算法，比如關聯規則、支持向量機、決策樹、隨機森林、樸素貝葉斯和聚類算法，正是利用這些靜態或動態特征來識別惡意軟件。

Schultz等人率先將機器學習算法應用于惡意軟件的識別研究，在他們的研究中，使用PE、特征字符串和字節順序等多種特征描述惡意軟件[3]。Mahdi等人也提出一種云計算環境下運用混合機器學習方法的新型惡意軟件檢測與識別系統，包括數據預處理及識別模塊，并采用UNSW-NB15數據集進行模型性能評估[4]。Patil等人提出一種超級監督者級別的分布式網絡安全（HLDNS）框架，將其部署在云計算的每個物理服務器上，該框架結合了特征選擇和機器學習技術，監視來自網絡的相關流量，進而分析惡意軟件流量特征[5]。Balram Neil等人選擇一組關鍵PE頭特征進行分析，開發特征提取程序提取APT1數據集中的重要特征，并使用機器學習分類器方法實現了6個惡意軟件檢測器[6]。此外，An Yujie等人也曾使用關鍵指令的順序來識別惡意軟件，在這篇文獻中，提出一種有效的序列模式挖掘算法，通過分析結構序列發現具有識別性的惡意軟件[7]。

現在，越來越多的研究人員為了克服靜態特征的局限性，傾向于使用動態特征來描述惡意軟件。Carlin等人通過動態運行時的分析方法獲得操作碼（Opcode），運用機器學習的方法來檢測惡意軟件[8]。Acarman等人綜合利用Windows系統調用軌跡中的API調用序列及動態特征來檢測惡意軟件[9]。Park Y.等人基于系統調用產生的圖提出了一種新的惡意軟件分類方法[10]。在其他研究中，Islam R等人綜合使用靜態和動態特征設計了第一個分類算法[11]。總的來講，以上這些惡意軟件識別算法的計算復雜度較高。

云計算環境下惡意軟件檢測的研究工作相對較少，這主要是因為云環境下惡意軟件檢測面臨著諸多挑戰，Ali Mirza、Preeti等人提出一種云環境下惡意軟件檢測框架[12，13]。虛擬化是云基礎設施中資源的主要組織方式，本研究針對云基礎設施，并綜合利用圖匹配技術、可信計算技術以及虛擬機自省技術設計了一種可伸縮性好、識別率高，且透明性好的惡意軟件檢測器。

可信計算技術[14]可對信息提供完整性保護，研究中主要利用其來保證系統調用序列的完整性。虛擬機自省技術允許從外部查看一臺虛擬機的狀態，本研究中主要用于設計診斷虛擬機FVM，FVM被用于監控目標機VM的狀態。

3 惡意軟件檢測模型

虛擬機自省技術主要用于保證惡意軟件檢測器的透明性[15]，可信計算技術主要用于確保能夠收集到真實的系統調用[16]，圖匹配技術被用于識別惡意軟件。如圖1所示，惡意軟件檢測器由三種組件構成，即代理Agent、診斷虛擬機FVM和TPM模塊。代理管理FVM的生命周期并且判定可疑惡意軟件是否確為惡意。FVM負責收集可疑惡意軟件的系統調用。為了讓FVM給代理程序提供真實的系統調用，TPM模塊被引入惡意軟件檢測器。此外，通過給每一個目標機VM配置FVM的方式，有效地解決了惡意軟件檢測器的可伸縮性問題。

3.1 惡意軟件檢測協議

如表1和表2所示，惡意軟件檢測協議被分成了四個階段：初始化、挑戰、驗證和決策。

初始階段：代理Agent首先給目標虛擬機創建一個診斷虛擬機FVM。然后，它調用TPM模塊的擴展命令TPM_Extend將診斷虛擬機FVM的哈希值擴展到寄存器PCR-20，同時，將診斷虛擬機FVM的哈希值添加到存儲度量日志。

挑戰階段：代理Agent首先發送惡意軟件檢測請求到診斷虛擬機FVM。請求當中包括隨機數nonce、PCR索引PCR-20和可疑惡意軟件的名稱。當診斷虛擬機FVM收到請求時，診斷虛擬機FVM收集可疑惡意軟件的系統調用。同時，診斷虛擬機FVM將每一個系統調用的哈希值擴展到PCR-20，并且添加對應的哈希值到存儲度量日志。最后，診斷虛擬機FVM生成響應并發送給代理Agent。

驗證階段：代理Agent首先檢查響應的真實性和診斷虛擬機FVM及收到的系統調用的完整性。通過所有檢查后，代理Agent將系統調用轉換成行為圖，并通過與已知行為圖的比較做出決策。

3.2 模型生成

首先，定義一個帶權的有向圖用于表示惡意軟件的行為。該圖對應一個惡意軟件的系統調用圖，用一個三元組表示，其中表示節點的集合，每一個節點表示惡意軟件執行過程中的一個系統調用。表示邊的集合，每一個邊意味著系統調用和之間存在順序依賴。是一個給邊賦權的標簽函數，表示賦予邊大于0的權值。

依據攔截的系統調用可以構造惡意軟件的行為圖。具體來講，當惡意軟件運行時首先獲得一個系統調用序列。然后，計算每一個邊的權值，邊的權值等于。表示惡意軟件運行時從系統調用到系統調用。表示系統調用出現的次數。最后，據此來構造惡意軟件的行為圖。

3.3 惡意軟件檢測

本文將惡意軟件的識別問題泛化為一個圖的匹配問題。首先生成一個可疑惡意軟件的行為圖，將生成的行為圖與數據庫中已知惡意軟件的行為圖進行比較。可疑惡意軟件被判定為惡意軟件的條件是當且僅當等式（1）被滿足。在等式（1）中，關鍵路徑由權值大于預定義閾值的邊組成。在等式（2）中，符號表示兩個行為圖之間的距離函數。表示節點的數量，表示圖和的最大公共子圖。

（1）

（2）

總之，當且僅當兩個軟件和的行為圖的關鍵路徑被匹配，且兩個軟件行為圖之間的距離小于預定義的閾值時判定可疑惡意軟件相似于惡意軟件。

4 評估

模型性能的評估需要有大量數據進行支撐。為了評估檢測器，共收集了六個流行的惡意軟件家族，它們分別是Allaple （Exploit-based Worm）、Sober （Email-Worm）、Bagle、Mytob、Netsky和Mydoom （Mass-mailing worm）[17]，其中每個家族包括100個不同的惡意軟件。

4.1 識別率的評估

評估時，首先從每一個家族中挑選了100個惡意軟件，同時配備了100個正常軟件作為數據集。然后，借助Ether[18]程序收集了608個系統調用軌跡，其中510個惡意軟件，98個正常軟件。

為評估識別能力，首先從每個家族中選擇了80個惡意軟件，80個正常軟件。然后，根據對應的系統調用軌跡生成了各自的行為圖。最后，依據這些行為圖做了三個實驗。

實驗一：首先把480個惡意軟件的行為圖分成兩個組，每一個組中包含240個惡意軟件樣本。一個組作為測試組，另一個組作為參照組。（實驗中，沒有檢查行為圖中的關鍵路徑。）換句話說，就是僅檢查條件是否符合，來判斷兩個圖是否相似。如圖2所示，展示了所提惡意軟件檢測器針對各惡意軟件家族的識別率，平均識別率為89%，高于文獻[19]的87%的識別率。

實驗二：為了評估關鍵路徑對識別率的作用，在實驗1的基礎上增加了關鍵路徑比較。實驗中，關鍵路徑的權值是0.7。如圖3所示，增加關鍵路徑能夠提高惡意軟件的識別率。

實驗三：為了評估誤報率，分別在兩個惡意軟件組中增加了40個正常軟件的行為圖。如表3所示，實驗中，關鍵路徑的權值仍然選取0.7，并且閾值 選取0.3。如表3所示，展示誤報率低于5%，遠低于文獻[20]的誤報率13.10%。

4.2 性能評估

為了評估診斷虛擬機FVM對客戶虛擬機的影響，實驗中選擇了一個壓縮工具7-zip，測試環境是IBM System x3650 M4 2.4GHz Intel Xeon處理器，英飛凌TPM模塊1.2，主機的操作系統是Windows 2008 Server，客戶機的操作系統是Windows XP Hypvisor是Xen 3.1。為了測試CPU、IO和混合情況下的負載，分別做了三個實驗。如表4所示，診斷虛擬機FVM對客戶機的虛擬機影響不大。

4.3 健壯性評估

為了評估健壯性，從40個正常軟件樣本中隨機選擇了一些正常軟件的系統調用軌跡。然后，將這些軌跡被增加到每個惡意軟件的軌跡中。最后，重復了實驗二。結果表明，當增加率低于30%時，對惡意軟件的識別率影響不大。此外，針對系統調用的篡改攻擊也能被檢測器成功感知。

5 結束語

本文設計了一個針對云基礎實施的惡意軟件檢測器。設計過程中，把惡意軟件抽象為一個圖的匹配問題，并利用虛擬機內省技術保證了檢測器的透明性，利用可信計算技術保證了診斷虛擬機能夠收集到真實的系統調用序列，同時通過給每一個目標機配備診斷虛擬機的方式保證了惡意軟件檢測器的可伸縮性。

從不同的角度評估了這個惡意軟件檢測器。首先，針對惡意軟件的識別能力做了實驗。結果表明，針對所有惡意軟件家族的惡意軟件識別率大于80%，平均識別率是89%。此外，誤報率低于5%。其次，針對診斷虛擬機FVM對客戶機的影響做了實驗。結果表明，所產生的負載是可接受的。最后，針對抵抗系統調用加性攻擊做了實驗。結果表明，在增加率低于30%時能夠抵抗針對系統調用的加性攻擊。同時，檢測器也能夠發現針對系統調用篡改的攻擊。

基金項目：

國家重點研發計劃“寬帶通信和新型網絡”重點專項自主可控高性能路由器及關鍵技術項目（項目編號：2018YFB1800600）。

參考文獻

[1] Cloud Security Alliance.Top Threats to Cloud Computing （V1.0）[EB/OL].https：//cloudsecurityalliance.org/topthreats/csathreats， 2020-6-25.

[2] Watson M R， Shirazi N U H， Marnerides A K， et al. Malware Detection in Cloud Computing Infrastructures[J]. IEEE Transactions on Dependable & Secure Computing. 2016.13（2）：192-205.

[3] Schultz M G， Eskin E， Zadok E， et al. Data mining methods for detection of new malicious executables[A].Proceedings of the IEEE Computer Society Symposium on Research in Security and Privacy[C]. Oakland：Elsevier Inc，2001.38-49.

[4] Mahdi Rabbania，?， Yong Li Wanga，??， Reza Khoshkanginib， Hamed Jelodara，Ruxin Zhaoa， Peng Hua. A hybrid machine learning approach for malicious behaviour detection andrecognition in cloud computing[J]. Journal of Network and Computer Applications.2020.151：1-13.

[5] Patil， Rajendra， Dudeja， Harsha， Modi， Chirag. Designing an e?cient security framework for detecting intrusions in virtual network of cloud computing[J]. Comput. Secur.2019. 85：402–422.

[6] Balram Neil， Hsieh George，McFall Christian.Static Malware Analysis using Machine Learning Algorithms on APT1 Dataset with String and PE Header Features[A]. CSCI 2019[C].Las Vegas： Elsevie Inc，2019.90-95.

[7] an Yujie ，Ye，Yanfang， Chen， Lifei. Malicious sequential pattern mining for automatic malware detection[J].Expert Systems with Applications. 2016.52：16-25.

[8] D. Carlin， P. OKane， S. Sezer. A cost analysis of machine learning using dynamic runtime opcodes for malware detection[J].Computers & Security. 2019.85：138-155.

[9] Acarman， Tankut. Malware classification based on API calls and behaviour analysis[J].IET Information Security. 2018. 12： 2.

[10] Park Y， Reeves D S， Stamp M. Deriving common malware behavior through graph clustering[J]. Computers & Security. 2013. 39： 419-430.

[11] Islam R， Tian R， Batten L M， et al. Classification of malware based on integrated static and dynamic features[J]. Journal of Network and Computer Applications. 2013. 36（2）： 646-656.

[12] Ali Mirza， Qublai K， et al. A Cloud-Based Energy Ef?cient Hosting Model for Malware Detection Framework [A].2018 IEEE Global Communications Conference， GLOBECOM 2018-Proceedings[C].Abu Dhabi：Elsevier Inc，2018.

[13] Preeti Mishra，IshitaVerma，SaurabhGupta. KVMInspector： KVM Based introspection approach to detect malware in cloud environment[J]. Journal of Information Security and Applications.2020.51：1-12.

[14] Priyadarsi Nanda， Xiangjian He， Laurence T.Yang. Security，Trust and Privacy in Cyber（STPCyber）：Future trends and challenges[J].Future Generation computer System .2020（109）：446-449.

[15] 劉哲元，徐雋，汪興，等.一種基于虛擬機自省的安全檢測框架[J].計算機工程.2016.42（3）：182-187.

[16] 馬亮，錢雪忠.基于可信計算的Web服務調用關鍵路徑研究[J].計算機工程與應用. 2016. 52（3）：230-235.

[17] 郭春生.基于動態分析的勒索軟件檢測方法研究[D].南京：東南大學，2019.

[18] A. Dinaburg， P. Royal， M. I. Sharif， and W. Lee. Ether：malware analysis via hardware virtualization extensions[A]. 15th ACM Conference on Computer and Communications Security[C]. Alexandria：ACM，2008.51-62.

[19] Islam R， Tian R， Batten L M， et al. Classification of malware based on integrated static and dynamic features[J]. Journal of Network and Computer Applications. 2013. 36（2）： 646-656.

[20] Nikolopoulos S D， Polenakis I. A graph-based model for malicious code detection exploiting dependencies of system-call groups[A]. Computer Systems and Technologies -16th International Conference[C]. Dublin： Elsevie Inc，2015.228-235.

作者簡介：

張小莉（1982-），女，漢族，山西呂梁人，太原理工大學，碩士，山西鐵道職業技術學院，副教授;主要研究方向和關注領域：計算機網絡、計算機網絡安全。

程光（1973-），男，漢族，東南大學，博士，東南大學網絡空間安全學院，教授;主要研究方向和關注領域：SDN網絡測量與管理、網絡流量測量與大數據分析、僵尸網絡、APT攻擊檢測。