張琦++李梅

摘 要

隨著近年來網(wǎng)絡技術的飛速發(fā)展，安全問題日益突出，病毒、木馬、后門程序等惡意代碼層出不窮，重大經(jīng)濟損失事件及重要泄密事件頻頻發(fā)生。傳統(tǒng)的代碼檢查技術主要依靠特征碼，靜態(tài)分析等手段，對分析者的技術要求高，效率較低，難以實現(xiàn)批量檢查。針對這些缺點，本文提出一種基于行為分析的木馬檢測技術，通過記錄應用程序的動態(tài)行為，綜合惡意代碼的API調(diào)用序列，功能性行為特征、隱藏性行為特征、Rootkit行為特征等作為判別依據(jù)，分析其惡意危害性；同時給出詳細的分析報告及關鍵行為記錄，方便對惡意代碼的手動查殺及深入分析。實驗表明本文提出的檢測方案能夠有效地檢測已知或未知的惡意代碼，提高木馬的檢測準確率和檢測效率，達到預期的研究目的。

【關鍵詞】惡意代碼 行為分析 行為特征

隨著信息技術的飛速發(fā)展，計算機應用以及計算機網(wǎng)絡己經(jīng)成為當今社會中不可缺少的重要組成部分，對經(jīng)濟發(fā)展、國家安全、國民教育和現(xiàn)代管理都起著重要的作用。但隨著網(wǎng)絡應用的增加，以計算機信息系統(tǒng)為犯罪對象和犯罪工具的各類犯罪活動不斷出現(xiàn)。網(wǎng)絡安全風險也不斷暴露出來，其中，利用木馬技術入侵、控制和破壞網(wǎng)絡信息系統(tǒng)，是造成信息安全問題的典型表現(xiàn)之一。

傳統(tǒng)的惡意文件檢測通常使用惡意程序特征值匹配的技術，即通過提取已經(jīng)發(fā)現(xiàn)惡意程序的特征值（通常為惡意程序某一段的二進制文件或匯編指令流），使用模式匹配的方式對惡意程序進行檢測，這樣做的好處是查殺準確，而且可以有效的將惡意程序進行定性，但是特征值需要獲得并分析惡意文件樣本，才可以得到，因此時間上有著滯后性為解決特征值查殺的滯后性。如何能夠快速、準確、簡便的分析一個應用程序，成為了一種普遍的需求。

1 木馬檢測系統(tǒng)的設計與實現(xiàn)

1.1 系統(tǒng)設計

1.1.1 系統(tǒng)設計原則

系統(tǒng)總體設計需要滿足未來的木馬檢測發(fā)展需要，既要安全可靠，又要具有一定的先進性。在架構(gòu)設計和功能模塊的劃分上，應充分的分析和整合項目的總體需求和預期的目標，盡量遵循高內(nèi)聚、低耦合的設計原則，既要保證各個模塊的獨立性，也要保證模塊間聯(lián)系的簡單性和易擴展性。

1.1.2 系統(tǒng)架構(gòu)設計

根據(jù)虛擬化技術的快速發(fā)展，本文提出一種在虛擬機環(huán)境下通過記錄可疑程序的真實性為判斷惡意代碼的檢測系統(tǒng)，通過檢測可疑程序的API調(diào)用序列，功能性行為特征、隱藏性行為特征、Rootkit行為特征，對可疑程序進行系統(tǒng)評分，實現(xiàn)對惡意代碼的批量檢測功能。

1.1.3 行為分析規(guī)則

根據(jù)對木馬檢測系統(tǒng)的分析需要，系統(tǒng)的監(jiān)控內(nèi)容主要分為以下5種：

（1）文件監(jiān)控。系統(tǒng)中文件的增加、刪除、修改精確記錄而已程序運行造成的文件系統(tǒng)的變化，包括惡意程序釋放文件、修改系統(tǒng)文件、刪除文件等等，讓隱藏文件無處藏身。

（2）注冊表監(jiān)控。注冊表關鍵位置的變動記錄惡意程序的注冊表操作（例如，比較常見的創(chuàng)建啟動項、修改注冊表鍵值、破壞安全模式等等），讓惡意程序的注冊表操作一目了然。

（3）網(wǎng)絡操作監(jiān)控?？刂茞阂獬绦虻木W(wǎng)絡活動（發(fā)送數(shù)據(jù)、下載等）清晰展現(xiàn)盜號、后門、下載者等惡意程序的網(wǎng)絡活動，并對這些網(wǎng)絡活動進行協(xié)議解析、數(shù)據(jù)揭秘等。

（4）進程/線程監(jiān)控。實時檢測惡意程序運行后的進程活動，精確識別惡意程序的進程/線程創(chuàng)建活動。

（5）驅(qū)動監(jiān)控。實時檢測惡意程序運行后加載的各種驅(qū)動行為。

1.1.4 檢測流程設計

為了保證檢測的準確性，木馬檢測系統(tǒng)將檢測過程分為2個步驟，殺毒檢測任務和行為檢測任務。其行為檢測任務流程設計如下圖2。

1.2 系統(tǒng)試驗效果

對大量木馬型病毒的測試表明，本系統(tǒng)能準確識別出被檢測程序在安裝階段、啟動階段和網(wǎng)絡通信階段所展示的網(wǎng)絡通信行為、進（線）程行為、注冊表行為、文件行為和驅(qū)動行為，無論對已知木馬還是未知木馬，基于木馬行為判定算法所提交的檢測結(jié)果較為準確，克服了“特征碼掃描”有較高的漏報率和“完整性檢測”有較高的誤報率的缺點，檢測時間也相對“機器學習方法”較短。

2 結(jié)束語

文本設計的基于行為分析的木馬檢測系統(tǒng)，在虛擬機中運行樣本程序，并監(jiān)控整個運行過程中，提供清晰的危險行為報告，使得各種隱匿行為無處藏身。系統(tǒng)提供了一個自動化程度較高的檢測分析平臺，克服了普通沙盤環(huán)境簡單，指令集有限的問題，更有效地發(fā)現(xiàn)潛在惡意代碼，提升了判斷的準確率，為批量分析惡意代碼提供了一個有效的檢測方法。

參考文獻

[1]江雪.基于VMware虛擬機的惡意程序仿真檢測平臺設計與實現(xiàn)[D].電子科技大學，2014（04）.

[2]王曉娣.基于虛擬機架構(gòu)的惡意行為跟蹤系統(tǒng)[D].華中科技大學，2013.

[3]中國航天科工集團第二研究院北京仿真中心[Z].基于虛擬化技術的仿真系統(tǒng)構(gòu)建，2011（01）.

[4]張一弛，龐建民，范學斌，姚鑫磊.基于模型檢測的程序惡意行為識別方法[J].計算機工程，2012（18）.