基于YARA的Java內存馬檢測方案設計

劉向偉 張曉嬌 宋金金

作者簡介：劉向偉（1993— ），男，浙江嘉興人，工程師，學士；研究方向：網絡安全。

摘要：隨著互聯網的發展，惡意軟件逐漸成為威脅網絡安全的重要因素。而 Java 內存馬作為一種內存駐留的惡意軟件，不僅具有隱蔽性高、易于傳播等特點，還能夠利用一些 Java 的高級特性實現更復雜的攻擊行為，給網絡安全帶來更大的威脅。文章提出了一種基于 YARA的Java內存馬檢測方案，通過向JVM中注入Agent將高風險類導出并通過YARA實現對Java內存中的惡意代碼的檢測和定位，再對該方法進行了實驗驗證。實驗結果表明，該方案能夠有效地檢測Java內存馬，具有較高的檢測準確率和較低的誤報率。

關鍵詞：Java 內存馬；YARA；惡意軟件；檢測方法

中圖分類號：TP399 文獻標志碼：A

0 引言

Java是一種跨平臺的編程語言，因其安全性、易用性和可移植性而廣泛應用于網絡應用程序的開發［1］。然而，隨著Java應用程序的不斷發展，內存馬成為網絡攻擊的一種常見手段。內存馬可以通過修改Java虛擬機（JVM）內存中的字節碼來實現程序的惡意行為，例如，竊取敏感信息、掃描網絡端口、占有服務器資源挖礦等。傳統的基于落地文件的檢測已經難以應對，因此針對注入內存中的惡意代碼可行性檢測方案的研究變得越來越重要。

1 Java內存馬方案設計

1.1 Java 內存馬檢測需求分析

本方案設計之初筆者查詢了大量的現有方案，希望該方案可落地、可實現。同時，在查殺種類上能盡可能覆蓋所有Java內存馬種類與攻擊路徑；在誤報率上可以做到較少誤報，甚至是零誤報；……