基于本體的惡意軟件檢測(cè)方法

高一鵬，黃永忠

（桂林電子科技大學(xué) 廣西密碼學(xué)與信息安全重點(diǎn)實(shí)驗(yàn)室,廣西 桂林 541004）

互聯(lián)網(wǎng)技術(shù)的高速發(fā)展在帶給人們無(wú)限便利的同時(shí)也帶來(lái)了巨大的危機(jī)。惡意軟件就是這些危機(jī)中主要的威脅。隨著代碼混淆技術(shù)的發(fā)展和使用以及各種惡意軟件變種的大量繁衍，惡意軟件被檢測(cè)出的難度也不斷升高，基于傳統(tǒng)的惡意軟件分析技術(shù)在與混淆技術(shù)帶來(lái)的惡意軟件變種數(shù)量爆炸式增長(zhǎng)的對(duì)抗中也顯得十分乏力。騰訊安全發(fā)布的《2019 年度企業(yè)安全報(bào)告》顯示，2019 年平均每周有40%的企業(yè)遭到病毒攻擊，近8 成企業(yè)終端還存在高危漏洞未修復(fù)，其中風(fēng)險(xiǎn)木馬類、后門類、感染性病毒是三大主要威脅。

風(fēng)險(xiǎn)木馬軟件在病毒攻擊事件中占比最高，達(dá)44%，后門遠(yuǎn)控類木馬以21%占比緊隨其后。騰訊安全威脅情報(bào)中心數(shù)據(jù)顯示，2019 年平均每周約有40%的企業(yè)發(fā)生過(guò)終端木馬感染事件。該報(bào)告指出，2019 年勒索病毒、挖礦木馬持續(xù)傳播，高危漏洞頻繁爆出，信息泄露事件頻發(fā)。

Experimental result 本體的概念源于哲學(xué)，可用來(lái)定義相關(guān)領(lǐng)域知識(shí)的基本概念，其具有的機(jī)器可理解和人類可理解的性質(zhì)使其成為語(yǔ)義網(wǎng)中重要的一層，近些年其理論在許多領(lǐng)域內(nèi)都展現(xiàn)出很多用途。Shoaib 等[1]提出了一個(gè)對(duì)用戶興趣建模的本體來(lái)檢測(cè)垃圾郵件。Syed 等[2]總結(jié)其他研究者設(shè)計(jì)的本體，構(gòu)建了一個(gè)覆蓋許多相關(guān)概念的信息安全領(lǐng)域本體。Wang 等[3]將本體與動(dòng)靜態(tài)特征相結(jié)合，對(duì)手機(jī)惡意代碼進(jìn)行檢測(cè)。

目前，OWL 語(yǔ)言在W3C 的推動(dòng)下已成為使用最廣泛的本體語(yǔ)言，斯坦福大學(xué)團(tuán)隊(duì)開(kāi)發(fā)的Protégé 是一個(gè)很好用的構(gòu)建本體的工具，Jena API 可有效地進(jìn)行本體推理工作[4]。Bounouh 等[5]采用靜態(tài)的字符串信息、注冊(cè)表、進(jìn)程及網(wǎng)絡(luò)行為信息構(gòu)建模型來(lái)對(duì)惡意代碼分類。Ghorbani 等[6]認(rèn)為樣本運(yùn)行過(guò)程中的網(wǎng)絡(luò)流量是判斷惡意代碼的重要信息，并將沙箱記錄的pcap 文件進(jìn)行分析，提取其中的一代關(guān)系構(gòu)成圖，并用圖的統(tǒng)計(jì)數(shù)據(jù)信息為特征訓(xùn)練分類器。Shibahara 等[7]將樣本運(yùn)行過(guò)程中的網(wǎng)絡(luò)行為抽象為序列，用神經(jīng)網(wǎng)絡(luò)訓(xùn)練分類模型，關(guān)注的特征同樣是系統(tǒng)調(diào)用、文件操作、注冊(cè)表操作和網(wǎng)絡(luò)連接信息等，但其動(dòng)態(tài)分析收集樣本的過(guò)程非常耗時(shí)、耗資源。Damodarn 等[8]用靜態(tài)、動(dòng)態(tài)特征相結(jié)合的方式構(gòu)建隱馬爾科夫模型，分別將兩者用于檢測(cè)，發(fā)現(xiàn)惡意代碼編寫者在設(shè)計(jì)惡意代碼時(shí)很難同時(shí)考慮避免多方面的檢測(cè)。

本體中對(duì)于概念類的層次結(jié)構(gòu)設(shè)計(jì)一般遵循現(xiàn)實(shí)世界的類型關(guān)系，按照現(xiàn)實(shí)世界中類與類的從屬關(guān)系建立概念，本體中惡意代碼類別的建模也基于類別層次進(jìn)行設(shè)計(jì)。Xia 等[9]構(gòu)建了一種基于本體的惡意軟件檢測(cè)系統(tǒng)來(lái)分析惡意軟件的動(dòng)態(tài)行為，然后從惡意軟件知識(shí)、惡意軟件行為和系統(tǒng)組件三方面提取領(lǐng)域概念，并通過(guò)關(guān)聯(lián)挖掘算法獲取惡意軟件家族的常見(jiàn)行為，根據(jù)常見(jiàn)行為設(shè)計(jì)家族規(guī)則集。Jiao 等[10]提出了一種新的惡意軟件意圖描述和推導(dǎo)模型，通過(guò)將本體語(yǔ)言表示的SWRL 規(guī)則導(dǎo)入jess 引擎中，得到惡意軟件意圖描述的輸出。Grégio 等[11]提出了MBO，應(yīng)用其構(gòu)建的推理規(guī)則分析惡意軟件每個(gè)行為的威脅級(jí)別，并根據(jù)惡意代碼六大類行為提出一個(gè)惡意代碼本體結(jié)構(gòu)。Navarro 等[12]設(shè)計(jì)了一種基于隨機(jī)森林的方法，可以使用本體映射惡意軟件中分析的元素，并從本體映射中自動(dòng)提取有用信息。Ding 等[13]設(shè)計(jì)了一種提取屬于同一惡意代碼家族個(gè)體共同行為方法，并將Apriori 算法用于提取惡意軟件家族的共同行為中。Han 等[14]通過(guò)從pro 獲取動(dòng)態(tài)系統(tǒng)調(diào)用信息來(lái)分析APT 惡意軟件的行為特征，構(gòu)建了APT 惡意軟件典型惡意行為的知識(shí)框架，建立了APT 惡意軟件典型惡意行為的知識(shí)表示，從而實(shí)現(xiàn)了APT 惡意軟件的知識(shí)表示。Cheng 等[15]提出了CuF，通過(guò)一種新穎的、基于家族依賴圖的方法分析惡意軟件家族的特征。此方法可以識(shí)別惡意軟件家族的新變種。Dam 等[16]采用基于子樹(shù)的Weisfeiler-Lehman 圖核檢測(cè)惡意軟件。Alrawi 等[17]將內(nèi)存取證和符號(hào)分析集成在一個(gè)反饋回路中，以有效利用API 調(diào)用上下文聯(lián)系的關(guān)系探測(cè)惡意軟件。唐成華等[18]提出一種基于多類本體的軟件語(yǔ)義描述生成方法，通過(guò)軟件類圖和相關(guān)行為信息生成軟件基于本體簡(jiǎn)單語(yǔ)義描述，然后根據(jù)軟件行為信息使用知識(shí)提取合并算法從惡意軟件行為本體和惡意軟件領(lǐng)域本體中提取相關(guān)知識(shí)，生成完整的軟件語(yǔ)義描述本體。溫巖松[19]構(gòu)建惡意軟件知識(shí)庫(kù)，對(duì)惡意軟件技術(shù)進(jìn)行了技術(shù)總結(jié)歸類，明確惡意軟件知識(shí)結(jié)構(gòu)，提出了一個(gè)應(yīng)用于知識(shí)圖譜領(lǐng)域的描述規(guī)范模型，即惡意軟件知識(shí)模型，并對(duì)Cuckoo 沙箱優(yōu)化提出了方案。

鑒于此，提出一種基于家族依賴圖的惡意軟件檢測(cè)方法，并將其應(yīng)用到惡意軟件領(lǐng)域本體中。與從一個(gè)實(shí)例中提取特征的方法不同，將惡意軟件家族的不同變體特征通過(guò)圖聚類方法聚類到各個(gè)家族圖中，并且與只通過(guò)API 依賴構(gòu)建每個(gè)惡意代碼家族的特征圖的方法不同，構(gòu)建的特征圖不僅包括程序調(diào)用的API，還包括API 相應(yīng)的操作對(duì)象及網(wǎng)絡(luò)層面上的信息。與以往方法相比，本方法構(gòu)建的特征圖所承載的信息量更多、更具體，且具有如下優(yōu)點(diǎn)：

1）有效性：對(duì)惡意代碼檢測(cè)分類能做到低誤報(bào)，精確分類。

2）魯棒性：應(yīng)對(duì)各種攻擊策略和規(guī)避檢測(cè)時(shí)具備魯棒性。

3）可擴(kuò)展性：針對(duì)未出現(xiàn)的惡意代碼家族和新變種可以持續(xù)添加其特征行為。

1 基于家族依賴圖的惡意軟件檢測(cè)方法

Cuckoo 沙箱是一種先進(jìn)的、高度模塊化的開(kāi)源自動(dòng)化惡意軟件分析系統(tǒng)，能夠在Windows、Linux、MacOS 和Android 虛擬環(huán)境下分析許多種不同的惡意軟件及惡意網(wǎng)站。它基于虛擬技術(shù)實(shí)時(shí)地執(zhí)行和監(jiān)視二進(jìn)制文件，能夠跟蹤API 調(diào)用和文件的一般行為，并將其提煉成易理解的高級(jí)信息和簽名，且具備分析網(wǎng)絡(luò)流量和內(nèi)存轉(zhuǎn)儲(chǔ)的功能。

1.1 惡意軟件特征圖

在惡意軟件行為中，能夠有效代表其意圖特點(diǎn)的行為主要是惡意軟件在運(yùn)行過(guò)程中的API 調(diào)用、DLL 模塊調(diào)用、系統(tǒng)調(diào)用、文件和注冊(cè)表的操作以及網(wǎng)絡(luò)活動(dòng)等與操作系統(tǒng)的主要交互行為。因此，通過(guò)分析經(jīng)過(guò)Cuckoo 沙箱得到的報(bào)告report.json 來(lái)構(gòu)建家族依賴圖。report.json 是Cuckoo 的行為信息捕獲模塊的輸出文件。一份report.json 文件通常包括info、procmemory、target、extracted、network、signatures、static、dropper、behavior、debug、screenshots、strings、metadata。而分析用到的模塊主要是target、network 和behavior。

定義1惡意軟件特征圖g=(N,E)，其中：N為節(jié)點(diǎn)集，由API 函數(shù)名、API 參數(shù)、IP 和端口、DLL 模塊、文件和注冊(cè)表位置等構(gòu)成；E為邊集，包括API與API 參數(shù)之間的調(diào)用關(guān)系及網(wǎng)絡(luò)流量的傳輸，每條邊都代表一個(gè)特征行為。

1.2 家族特征圖

定義1 只描述了一個(gè)惡意軟件實(shí)例，不能代表同一惡意軟件家族中的其他實(shí)例。為了檢測(cè)惡意軟件家族中的新變種，需將同一惡意軟件家族中的所有特征圖通過(guò)圖聚類到一個(gè)公共特征圖中，代表了整個(gè)家族的特征。

設(shè)G為一組n個(gè)同一惡意軟件家族中的變種，為了對(duì)這些圖進(jìn)行聚類，使用現(xiàn)有的圖聚類方法[20]，并使用最小公共超圖、最大公共子圖2 個(gè)定義。

對(duì)于一個(gè)圖集合里的最小公共超圖，當(dāng)且僅當(dāng)包括了這組圖集合中所有的節(jié)點(diǎn)和邊，稱其為這個(gè)圖集合的最小公共超圖：

當(dāng)存在圖gi（Ni，Ei）和gj（Nj，Ej）時(shí)，若存在g屬于gi的同時(shí)也屬于gj，則稱g是圖gi和gj的公共子圖；若不存在其他公共子圖的頂點(diǎn)數(shù)大于g的頂點(diǎn)數(shù)，則稱g是圖gi和gj的最大公共子圖。

其中：i、j表示2 個(gè)不同的惡意代碼樣本所構(gòu)成的特征行為圖；gWMinCs(i,j)表示圖i、j的加權(quán)最小公共超圖；gwmcs(i,j)表示圖i、j的最大公共子圖。g-gwmcs(i,j)和h-gwmcs(i,j)分別表示在惡意代碼特征圖i、j里除去圖i、j所形成的最大公共子圖后的剩余部分。

對(duì)于一組n個(gè)同一惡意軟件家族中的惡意代碼特征圖，其對(duì)應(yīng)的加權(quán)最小公共超圖構(gòu)成方法為：初始化加權(quán)最小公共超圖WMinCs，遍歷這n個(gè)特征圖內(nèi)的所有邊，并添加到WMinCs 中，一條邊被重復(fù)遍歷的次數(shù)為該邊的權(quán)值。這里僅考慮邊的權(quán)值，遍歷完成后，所有邊的權(quán)值除以n進(jìn)行歸一化，獲得每條邊在加權(quán)最小公共超圖中的權(quán)重值，再根據(jù) 的值刪除小于閾值的邊，最后剩余的邊構(gòu)成θ了加權(quán)最θ小公共超圖。

1.3 系統(tǒng)架構(gòu)

系統(tǒng)架構(gòu)如圖1 所示，首先對(duì)訓(xùn)練集中的已知惡意軟件家族在配置好的Cuckoo 沙箱中運(yùn)行后得到的結(jié)果報(bào)告進(jìn)行特征提取，生成對(duì)應(yīng)的特征行為圖后再對(duì)生成的特征行為圖以圖聚類的方法生成各個(gè)家族的特征行為圖，最后用該方法對(duì)在測(cè)試集上生成的特征行為圖與每個(gè)惡意軟件家族特征行為圖作比較，實(shí)現(xiàn)惡意軟件分類功能。

圖1 系統(tǒng)架構(gòu)

1.4 惡意軟件本體構(gòu)建與檢測(cè)規(guī)則

用OWL 語(yǔ)言對(duì)惡意軟件本體進(jìn)行構(gòu)建。構(gòu)造惡意軟件本體結(jié)構(gòu)，包括操作系統(tǒng)對(duì)象之間的調(diào)用關(guān)系(Relation)、惡意軟件個(gè)體(Sample)及其描述以及惡意軟件家族及其描述(Malware)，如圖2 所示。

圖2 惡意軟件本體框架

通過(guò)OWL 語(yǔ)言構(gòu)造惡意軟件樣本，可分為以下3 步：1) 初始化本體文件，構(gòu)建惡意軟件本體領(lǐng)域，操作系統(tǒng)調(diào)用模塊Relation、惡意軟件家族模塊Malware 和惡意軟件個(gè)體模塊；2) 在Malware 模塊中為每類家族加入其公共特征行為，當(dāng)加入的公共特征行為不屬于Relation 模塊時(shí)，先將這條特征行為加入Relation 模塊后，再加入家族特征行為中；3) 對(duì)每個(gè)惡意軟件個(gè)體添加其特征行為，同時(shí)對(duì)添加的特征行為是否屬于Relation 模塊進(jìn)行判斷，若不存在，則先加入Relation 模塊中，再添加到個(gè)體特征行為中。

圖2 中Equivalent to 之下表示該惡意代碼backdoor 家族的特征行為，根據(jù)backdoor 特征行為圖中每2 個(gè)節(jié)點(diǎn)形成的邊考慮邊的方向，并對(duì)節(jié)點(diǎn)進(jìn)行編號(hào)。根據(jù)3 種匹配規(guī)則對(duì)惡意樣本進(jìn)行分類，以5 個(gè)家族為例，分別為downloader、dropper、spy、backdoor 和worm.net。

規(guī)則15 個(gè)家族對(duì)應(yīng)的最大公共超圖分別為G1、G2、G3、G4、G5，而G2～G1 表示存在于G2 中的所有G1 的邊被刪除，

在對(duì)新惡意變種進(jìn)行檢測(cè)時(shí)，評(píng)判其是否屬于backdoor 家族的標(biāo)準(zhǔn)為是否匹配到Rule1(backdoor)中的特征行為。

規(guī)則2通過(guò)加權(quán)最小公共超圖構(gòu)建匹配公式：

其中：W為被檢測(cè)樣本的特征行為圖g與加權(quán)最小公共超圖G之間邊匹配的個(gè)數(shù)；min(|G|,|g|)為被檢測(cè)樣本特征行為圖g與G邊數(shù)較少的邊的數(shù)量；?為規(guī)則2的匹配率，其值介于0 到1 之間。檢測(cè)新樣本是否屬于該家族的判別標(biāo)準(zhǔn)為該家族的匹配率? 是否為最高。

規(guī)則3被檢測(cè)樣本的特征行為圖gnew與每個(gè)家庭特征圖進(jìn)行比較，滿足

G為最大公共超圖。

檢測(cè)未知惡意樣本是否屬于一類惡意軟件家族的條件需同時(shí)滿足以上3 種規(guī)則。以Backdoor 家族為例，惡意代碼分類策略如表1 所示。

表1 惡意代碼分類策略

2 實(shí)驗(yàn)及結(jié)果分析

基于開(kāi)源軟件Cuckoo 對(duì)惡意樣本進(jìn)行動(dòng)態(tài)分析，在Virtualbox 上使用雙重虛擬化，宿主機(jī)使用Ubuntu 安裝Cuckoo，并在宿主機(jī)中使用虛擬機(jī)嵌套的方式，加裝Virtualbox 搭建虛擬機(jī)Windows 7 用來(lái)運(yùn)行提交的PE 可執(zhí)行文件。惡意代碼樣本主要是從github上的2 個(gè)開(kāi)源項(xiàng)目theZoo、Malware 上獲得，該項(xiàng)目同時(shí)提供了搜索、下載、上傳惡意軟件的功能，其訓(xùn)練集樣本家族分類主要通過(guò)https://www.virustotoal.com/gui/home/upload 獲取。以5 個(gè)家族為例，從每類惡意代碼家族中，隨機(jī)抽取50 個(gè)作為訓(xùn)練樣本集，30個(gè)作為測(cè)試集，惡意樣本數(shù)據(jù)集如表2 所示。

表2 惡意樣本數(shù)據(jù)集

對(duì)Cuckoo 產(chǎn)生的分析報(bào)告report.json 進(jìn)行特征提取，讀取target、network 和behavior 中每個(gè)進(jìn)程的特征字段，其中包含了該進(jìn)程所調(diào)用的API 和其參數(shù)值，惡意代碼在執(zhí)行過(guò)程中創(chuàng)建、刪除、下載的文件及網(wǎng)絡(luò)流量。對(duì)于API 和其最重要參數(shù)，被設(shè)置為特征圖中的2 個(gè)節(jié)點(diǎn)。如NtOpenKey，其arguments 模塊包含了參數(shù)"key_handle"、"desired_access"和"regkey"，具體如下：

選擇其中API 對(duì)應(yīng)為NtOpenKey，rekey 對(duì)應(yīng)為HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\GRE_Initialize 構(gòu)成特征行為圖的節(jié)點(diǎn)，并將這2 條節(jié)點(diǎn)形成的邊加入Relation 特征行為類中。對(duì)于網(wǎng)絡(luò)行為，同一家族很少對(duì)網(wǎng)絡(luò)行為代碼有較大改動(dòng)，因此，根據(jù)數(shù)據(jù)流五元組，按照IP 和端口相結(jié)合的信息構(gòu)成特征行為圖里的節(jié)點(diǎn)，并將其邊加入Relation 特征行為類中。記載的能夠反饋特征的Windows API 約150 個(gè)，每個(gè)家族特征提取后，將其特征行為添加到對(duì)應(yīng)家族屬性中，通過(guò)運(yùn)行Protégé推理機(jī)并結(jié)合圖匹配的方式得到結(jié)果。本次實(shí)驗(yàn)結(jié)果采用以下幾個(gè)參數(shù)：分類正確惡意代碼數(shù)A；誤分類的惡意代碼數(shù)B；未被分類出來(lái)的惡意代碼數(shù)C；惡意樣本總數(shù)D；惡意代碼召回率R=A/(A+C)；惡意代碼的精度P=A/(A+B)；惡意代碼誤分類T=B/D。

實(shí)驗(yàn)結(jié)果如表3 所示。使用CuF[15]中的圖匹配方法在構(gòu)建好的家族特征行為圖上對(duì)惡意軟件分類。此實(shí)驗(yàn)在相同的訓(xùn)練集和測(cè)試集中進(jìn)行，CuF 圖匹配結(jié)果如表4 所示。

表3 實(shí)驗(yàn)結(jié)果 %

表4 CuF 圖匹配結(jié)果 %

從表3、4 可看出，在使用相同數(shù)據(jù)集的條件下，無(wú)論是精度還是召回率，本方法都比其他方法有更好的效果，同時(shí)也降低了惡意軟件的誤分類率。

3 結(jié)束語(yǔ)

基于圖的分析是基于API 調(diào)用的惡意軟件分析方法之一，而現(xiàn)有的基于圖的惡意軟件分析方法的局限性在于有些只是從單個(gè)樣本中生成圖，而非對(duì)來(lái)自同一惡意軟件家族的圖進(jìn)行聚類；而有些是基于API的依賴圖方法構(gòu)成的家族聚類，其聚類圖僅由API 依賴關(guān)系構(gòu)成，對(duì)于惡意軟件的網(wǎng)絡(luò)行為、文件操作等不能在聚類圖中表達(dá)出來(lái)。相比較而言，本方法通過(guò)構(gòu)建惡意軟件本體，刻畫出的惡意軟件特征行為圖更為具體，不僅包含API 的調(diào)用信息，還能反映出惡意軟件的文件操作、網(wǎng)絡(luò)行為、注冊(cè)表行為，提高了惡意軟件的檢測(cè)精度，同時(shí)針對(duì)未出現(xiàn)的惡意軟件家族和新變種，可繼續(xù)通過(guò)Cuckoo 沙箱動(dòng)態(tài)分析，提取特征行為，并將其加入家族特征圖中，擁有可擴(kuò)展性。未來(lái)計(jì)劃搭建惡意軟件知識(shí)圖譜，并構(gòu)建惡意軟件的行為畫像，為網(wǎng)絡(luò)攻擊態(tài)勢(shì)感知提供技術(shù)支持，并應(yīng)用到其他平臺(tái)上。