摘要：簡要闡述了基于行為變化的研究方法，并通過CPU使用率、內(nèi)存使用率和程序運(yùn)行時(shí)間三個(gè)變量建立監(jiān)測惡意程序的三維空間模型，講述了三維空間建立的過程和監(jiān)測進(jìn)程的方法以及對(duì)特殊要求和行為建立的異常處理機(jī)制。最后通過實(shí)例說明了這個(gè)空間模型的可行性。

關(guān)鍵詞：惡意程序；信息安全；三維空間；行為變化

0引言

計(jì)算機(jī)安全，特別是網(wǎng)絡(luò)安全狀況不容樂觀，大量的計(jì)算機(jī)用戶感染過計(jì)算機(jī)病毒。除了病毒、木馬、蠕蟲等惡意程序，現(xiàn)在的各種軟件、程序也不可避免地存在漏洞，而計(jì)算機(jī)用戶每天都要不同程度地使用這些軟件、程序，一旦它們出現(xiàn)了運(yùn)行錯(cuò)誤，輕則中斷正常的工作或娛樂行為，重則導(dǎo)致用戶大量寶貴數(shù)據(jù)的丟失，造成極大損失。

因此，如何檢測評(píng)價(jià)這些軟件、程序，預(yù)防和發(fā)現(xiàn)惡意程序，對(duì)于用戶、整個(gè)計(jì)算機(jī)及網(wǎng)絡(luò)的安全極其必要。本文對(duì)運(yùn)行時(shí)資源占用超標(biāo)的程序進(jìn)行分析，并借助對(duì)CPU使用率、內(nèi)存占用率和運(yùn)行時(shí)間的分析評(píng)價(jià)，建立起一個(gè)三維空間“。J的關(guān)系模型，并根據(jù)這個(gè)模型給程序打分，辨別善惡。對(duì)于惡意的以及有危害的行為做出警報(bào)，以采取相應(yīng)的措施。因?yàn)椴《镜绕茐牧^大的程序和有漏洞的軟件、程序都有著破壞系統(tǒng)數(shù)據(jù)的性質(zhì)，故本文中將兩者統(tǒng)稱為惡意程序，并期望能找到兩者更多的行為特性來指導(dǎo)我們的病毒防護(hù)和漏洞軟件的預(yù)防。

1 程序的質(zhì)量和惡意程序

對(duì)于軟件設(shè)計(jì)和編碼來說，任何細(xì)小的疏忽以及未知的情況都可能導(dǎo)致軟件、程序存在漏洞。存在漏洞就存在安全隱患。著名的C語言的溢出漏洞大家都知道，可惜還是很容易犯這些錯(cuò)誤。不過可喜的是，軟件設(shè)計(jì)人員已經(jīng)越來越注重軟件的安全問題了。除此之外，惡意程序本身帶有的惡意行為代碼，更是對(duì)用戶極大的威脅。因此，對(duì)程序進(jìn)行監(jiān)測是必要的。要對(duì)程序進(jìn)行性能分析和調(diào)試，前提條件是知道好的性能是什么含義，或者是環(huán)境中怎樣的性能是合理的。一般我們可以用系統(tǒng)資源的使用情況，即程序運(yùn)行的主要行為表現(xiàn)來衡量程序性能狀態(tài)。

計(jì)算機(jī)用戶都希望一個(gè)軟件或程序能用最少的資源來最好地完成最多的任務(wù)。雖然計(jì)算機(jī)組成比較復(fù)雜，但關(guān)鍵的系統(tǒng)資源不外乎CPU、內(nèi)存、磁盤輸入輸出。本文選取CPU使用率和內(nèi)存占用率作為評(píng)價(jià)的參數(shù)指標(biāo)，通過比較正常良性程序和惡性程序的執(zhí)行過程來建立一種機(jī)制用以監(jiān)測新軟件、新程序的運(yùn)行，一旦這些異常使用CPU和內(nèi)存的行為發(fā)生，可以通過這種機(jī)制來發(fā)現(xiàn)。該方法能夠適應(yīng)于病毒的大部分行為監(jiān)測，也能用于評(píng)估新軟件產(chǎn)品。這種機(jī)制就是下面所說的三維空間關(guān)系模型(圖1)。這個(gè)三維空間模型將在下文作粗略介紹，三個(gè)變量分別是CPU使用率、內(nèi)存使用率和監(jiān)測時(shí)間。

1.1空間的向量單位的選取

基于各種計(jì)算機(jī)本身的硬件環(huán)境不一樣，所以我們對(duì)于相應(yīng)CPU和內(nèi)存參數(shù)選取的是百分比。CPU使用率大家非常習(xí)慣了，而內(nèi)存使用率，為被監(jiān)測的進(jìn)程的內(nèi)存使用量與系統(tǒng)物理內(nèi)存的比值，并用百分?jǐn)?shù)表示。需要指出的是，這里的三個(gè)變量都只是正向向量，沒有負(fù)向。

1.2異?？臻g和高危空間以及臨界曲面、正常空間

定義上面的三維空間圖中虛線表示的平面ABC和平面CDE以及平面A’B℃’和平面C’D’E’之間的空間為異?？臻g，在這個(gè)空間分別往CPU軸和Memory軸正方向擴(kuò)展為高?？臻g。其中，B、B’、D、D’點(diǎn)是由常規(guī)良性程序行為與惡性程序行為比較得到的閥值，結(jié)合用戶的實(shí)際可以做相應(yīng)的改動(dòng)，使得這些空間有更大的靈活性。把前面所述的平面集合粗略地看作一個(gè)曲面，這就是臨界曲面的概念。而在整個(gè)三維空間中，在異?？臻g和高?？臻g之外的就是正?？臻g，本文中定義的程序正常行為都是在正?？臻g里運(yùn)行。

需要說明的是，圖1只是示意圖，實(shí)際的臨界曲面可能是任意形狀的，可以是一系列曲面的集合，只要這些曲面有著共同的特征，即滿足閥值需要，能表示定義的閥值。為了容易說明，在下面的案例分析中，將CPU的使用率f(T)和內(nèi)存的使用率g(T)(均為百分制)滿足下面的條件：600≤f(T)·g(T)≤800的空間稱為異?？臻g，f(T)·g(T)≥800稱為高?？臻g，其中參數(shù)T為時(shí)間，單位為秒。

對(duì)于處于異?？臻g的程序，應(yīng)密切關(guān)注，并根據(jù)實(shí)際情況采取相應(yīng)措施；對(duì)于處于高?？臻g的程序，已經(jīng)嚴(yán)重影響到了系統(tǒng)的正常運(yùn)行，給別的進(jìn)程的資源需求造成了侵害，屬于惡意程序的范圍了，應(yīng)當(dāng)提醒用戶，由用戶決定是否終止這個(gè)程序的運(yùn)行。

2 程序質(zhì)量的監(jiān)測

2.1三維空間的建立

建立惡意程序監(jiān)測的三維空間模型，關(guān)鍵是臨界曲面的選取。臨界曲面的選取需要建立在一定的經(jīng)驗(yàn)基礎(chǔ)上，在2.2中選取的空間范圍正是通過對(duì)常用的軟件、程序以及一些病毒、木馬進(jìn)行測試，結(jié)合使用者自身感受，得出的粗略印象，估算出的一個(gè)臨界曲面的范圍。需要說明的是，對(duì)這個(gè)測試過程有著比較嚴(yán)格的流程要求。

一般來說，測試分為六個(gè)步驟。其測試流程如圖2所示。

(1)識(shí)別關(guān)鍵場景：識(shí)別對(duì)應(yīng)用程序性能要求苛刻的場景。

(2)識(shí)別工作負(fù)載：通過關(guān)鍵場景來分配全部的工作負(fù)載。

(3)識(shí)別計(jì)數(shù)器：識(shí)別那些在測試過程中需要收集的計(jì)數(shù)器。

(4)創(chuàng)建測試用例：根據(jù)關(guān)鍵場景來創(chuàng)建測試用例。

(5)模擬負(fù)載：使用測試工具來模擬測試用例并獲得計(jì)數(shù)器的結(jié)果。

(6)分析結(jié)果：分析已獲得的計(jì)數(shù)器的數(shù)據(jù)。

為了排除偶然性的實(shí)驗(yàn)結(jié)果，應(yīng)多次檢測，以得到正確的結(jié)果，流程中應(yīng)重復(fù)進(jìn)稈(3)至(6)這四個(gè)步驟。因?yàn)楸疚闹攸c(diǎn)不是如何測試，只是為了引出該監(jiān)測方法，所以只簡單講述測試過程。

2.2臨界曲面的確定

為了減少硬件環(huán)境對(duì)測試結(jié)果的影響，所有獲得的數(shù)據(jù)都要轉(zhuǎn)化為百分比。因?yàn)橄到y(tǒng)運(yùn)行的時(shí)候會(huì)利用各種資源，而這些資源之間是互相影響的，所以對(duì)于測試的結(jié)果分析，也要把各種資源一起考慮。我們將結(jié)果作簡單的處理，把相同時(shí)刻的CPU使用率和內(nèi)存占用率相乘，期望這個(gè)乘積型參數(shù)能用于臨界曲面的建立。

在進(jìn)行各項(xiàng)實(shí)驗(yàn)后，可以觀察到，當(dāng)這個(gè)乘積小于600時(shí)，用戶的各項(xiàng)操作、系統(tǒng)的正常進(jìn)程能比較迅速的完成。比如，用戶可以隨心所欲地同時(shí)聽歌曲、文件備份、瀏覽網(wǎng)頁等，即對(duì)用戶的響應(yīng)時(shí)間是在用戶可以忍受的范圍之內(nèi)。當(dāng)乘積處于600至800之間時(shí)，用戶的操作，如打開--+媒體播放器，可能需要10秒鐘左右，聽歌時(shí)會(huì)比較頻繁地出現(xiàn)不流暢的情況。如果乘積達(dá)到了800，甚至800以上，用戶將發(fā)現(xiàn)難以移動(dòng)屏幕上的鼠標(biāo)。

3 案例分析

下面對(duì)實(shí)際的情況進(jìn)行分析，來驗(yàn)證這個(gè)方法的可行性。

3.1對(duì)瀏覽器遨游(Maxthon)的分析

進(jìn)行測試使用的是1.3.3(build 50)Unicode版本的邀游，運(yùn)行環(huán)境為Windows 2000 Professional SP4操作系統(tǒng)。測試過程使用Sysintemals www.sysintemals.com的PsList v1.2 ProcessInformation Lister來獲取Maxthon運(yùn)行時(shí)的CPU使用率和內(nèi)存占用率。采樣頻率為每2秒采集一次，總共采集了240組數(shù)據(jù)，將數(shù)據(jù)處理以百分?jǐn)?shù)形式表示，并將CPU使用率和內(nèi)存使用率相乘，最后做出了圖3所示的X-Y折線圖。其中，X軸為時(shí)間，Y軸為百分比。需要說明的是，為了便于將CPU使用率和內(nèi)存使用率的乘積在一張圖中表示出來，本文將二者的乘積除以了10，因此，原來定義的臨界曲面的閥值也變化了，60至80之間為異?？臻g范圍，大于80位高危空間。

測試時(shí)按照用戶的通常行為，同時(shí)在播放音樂，用Maxthon同時(shí)打開十幾個(gè)不同站點(diǎn)的網(wǎng)頁，看新聞，搜索等，并且進(jìn)行歌曲和軟件等下載等任務(wù)。整個(gè)測試過程中沒有出現(xiàn)異常情況。數(shù)據(jù)結(jié)果如圖3所示。

這個(gè)折線散點(diǎn)圖中有三條折線，即CPU使用率(CPUUsage)f(T)變化折線，內(nèi)存使用率(Memory Usage)g(T)變化折線，和f(T)·g(T)/10的結(jié)果(Result)變化折線。

從圖中可以看到，該程序運(yùn)行的結(jié)果(Result)折線都在60閥值下，即在定義的正常空間下。從多次實(shí)驗(yàn)得出的體驗(yàn)感覺是，在這個(gè)閥值下，多道程序運(yùn)行都比較流暢。

3.2對(duì)Ntdll.exe進(jìn)程的分析

進(jìn)程N(yùn)tdll.exe是后門程序Backdoor/Bionet.318.c²發(fā)作后的表現(xiàn)。病毒運(yùn)行后，ntdll.exe自我復(fù)制到系統(tǒng)目錄下，并將其屬性設(shè)置為只讀、隱藏；程序?qū)⒆陨砑尤脒M(jìn)程，相應(yīng)用戶顯示為“系統(tǒng)”，以欺騙用戶；修改注冊(cè)表，實(shí)現(xiàn)后門程序的開機(jī)自啟；開啟并監(jiān)聽指定TCP端口，偵聽黑客指令。

Bionet在實(shí)驗(yàn)的機(jī)器上修改了注冊(cè)表，添加了如下鍵值達(dá)到自啟動(dòng)功能：

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

CurrentVersion\\Run]

\"Ntdll exe\"=\"C:\\\\Winnt\\\\System32\\\\Ntdn.exe\"

Bionet運(yùn)行時(shí)，將NtdU.exe復(fù)制到了系統(tǒng)目錄System32下。Ntdll.exe名稱與系統(tǒng)重要文件Ntdn.dll極其相似，對(duì)用戶有一定的迷惑性。

當(dāng)中了后門程序Bionet.318.c的時(shí)候，開機(jī)會(huì)自動(dòng)啟動(dòng)進(jìn)程N(yùn)tdll.exe，進(jìn)程N(yùn)tdll.exe運(yùn)行時(shí)占用了大量的系統(tǒng)資源，CPU使用率和內(nèi)存占用率居高不下。如下為用與案例一同樣的方式采集的數(shù)據(jù)結(jié)果圖(圖4)：

可以看到進(jìn)程N(yùn)tdll.exe運(yùn)行的時(shí)候，f(t)·g(t)/10的折線大部分時(shí)間都是居高不下，遠(yuǎn)遠(yuǎn)超過高?？臻g80的范圍，占用了大量的資源，嚴(yán)重影響了系統(tǒng)的正常運(yùn)行。當(dāng)在Windows任務(wù)管理器中結(jié)束了這個(gè)進(jìn)程后，系統(tǒng)恢復(fù)正常，即圖中顯示的最后一段，CPU和內(nèi)存使用率都降為零。

3.3對(duì)卡巴斯基(Kaspersky Anti-Virus)的分析

卡巴斯基(Kaspersky Anti-Virus)是國際一著名殺毒軟件，測試用的是卡巴斯基反病毒軟件單機(jī)版5.0.227。測試時(shí)進(jìn)行電腦的全面殺毒，在這個(gè)過程中，采集了卡巴斯基殺毒時(shí)使用系統(tǒng)資源的一些情況。

測試方法和環(huán)境同上面的兩個(gè)例子。數(shù)據(jù)處理后得出的X-Y折線圖如圖5所示。從圖中可以發(fā)現(xiàn)，當(dāng)卡巴斯基全面掃描電腦時(shí)雖然CPU的使用率平均在60％以上，但是它的內(nèi)存占用率并不高，都低于20％。如果不考慮掃描時(shí)運(yùn)行其它太多程序的話，這個(gè)掃描殺毒的過程，我們認(rèn)為是可以接受的。不過，從圖中開始的部分，可以看到f(t)·g(t)/10的結(jié)果(Result)折線遠(yuǎn)超出了高?？臻g的閥值，并且在運(yùn)行過程中會(huì)有一些時(shí)候出現(xiàn)在異?？臻g中。

這并不與這個(gè)空間模型的定義矛盾，因?yàn)檫@個(gè)空間定義是為了檢驗(yàn)異常行為，而殺毒軟件全面執(zhí)行殺毒的過程相對(duì)于系統(tǒng)程序和用戶常用軟件運(yùn)行有著巨大的差別，這也算是一種異常行為。不過我們需要這種異常行為，就像需要變異，雖然變異可能產(chǎn)生不利后代。

4 結(jié)束語

通過案例分析可以看出，這個(gè)三維空間模型，臨界曲面、異?？臻g、高?？臻g的定義是合理的，可以解決一些實(shí)際問題，對(duì)于病毒，特別是新的病毒，可以基于其異常行為來發(fā)現(xiàn)它。但是，對(duì)于設(shè)計(jì)精巧、目的特殊的病毒、木馬等惡意程序，如果CPU使用率和內(nèi)存占用率都極低，將難以發(fā)現(xiàn)。不過，惡意程序既然為惡意程序，其必將有破壞表現(xiàn)的情況，仍可用類似方法來發(fā)現(xiàn)并制止它，所以空間模型可以擴(kuò)展到多維，增加線程、I/O吞吐量、文件讀寫I/O等等監(jiān)測向量，構(gòu)建—個(gè)全方位、多向量的監(jiān)測機(jī)制，那么防治病毒的成功率會(huì)是明顯的。

按照傳統(tǒng)病毒監(jiān)控的基本模式，應(yīng)該以阻止帶毒文件的運(yùn)行(獲取系統(tǒng)控制權(quán))為目的(即前報(bào)原則)，而我們的方法是基于行為判定的后報(bào)技術(shù)；對(duì)于未知的PE文件病毒，特別是未知的木馬/后門等程序，傳統(tǒng)的檢測方式存在不足，而基于行為判定的方法在這個(gè)方面是特長，但是也存在誤報(bào)情況。所以如何處理這些檢測方式、如何更好地發(fā)展基于行為判定的病毒檢測機(jī)制以及提高檢測的正確率還有很長的路需要走。