一種新型病毒主動防御技術與檢測算法

摘 要:在已有的病毒行為分析和模式識別技術的基礎上，提出以用戶行為模式為核心的主動防御策略，即識別用戶的正常行為模式，在檢測到異常行為時，判斷出系統是否遭受到了惡意攻擊。這種策略不依賴于惡意程序的繁衍和變遷，可以使防御技術不受制于惡意程序。對該防御策略進行了實現，并在虛擬執行環境下進行了實驗，實驗結果表明，該策略對未知病毒有較高的識別度。

關鍵詞:行為模式; 主動防御; 模式識別; 虛擬執行

中圖分類號:TP309.5文獻標志碼:A

文章編號:1001-3695(2010)06-2338-03

doi:10.3969/j.issn.10013695.2010.06.098

Novel virus active defense technique and detection algorithm

CHEN Xuhao， WANG Zhiying， REN Jiangchun， ZHENG Zhong， HUANG He

(School of Computer， National University of Defense Technology， Changsha 410073， China)

Abstract:Based on virus behavior analysis and pattern recognition technology， this paper proposed an active defense strategy with user behavior patterns as the core， which could identify the user’s normal behavior， and could find that the system was attacked by malware when abnormal behavior was detected. This strategy was independent ofthe proliferation of malware which made defense technology not be subject to malicious programs. It implemented this defense strategy， and did experiments in a virtual execution environment. The results show that this strategy has a high rate in recognition of the unknown virus.

Key words:behavior pattern; active defense; pattern recognition; virtual execution

惡意程序(包括計算機病毒、蠕蟲、木馬等)的急劇增殖已經成為以互聯網為核心的現代信息技術的主要威脅。惡意程序通常利用系統和軟件漏洞或通過誘騙用戶運行惡意代碼來感染計算機。當前計算機系統的安全防護很大程度上依賴于商用反病毒產品的病毒庫更新，即所謂特征碼掃描。這種方法的主要思想是，分析出病毒的特征病毒碼并集中存放于病毒代碼庫文件中，在掃描時將掃描對象與特征代碼庫比較，如有吻合則判斷為染上病毒[1]。該技術實現簡單有效、安全徹底，但是這種方法查殺病毒總是滯后于病毒的流行。

對未知病毒的查殺是反病毒行業的持久課題，目前國內外多家公司都宣布自己的產品可以對未知病毒進行查殺，但事實上，國內外的產品中只有少數可以對未知病毒進行預警，更無法做到徹底清除。

為了能趕上病毒編寫者的步伐，反病毒軟件開始依賴于病毒自動分析工具。病毒行為分析技術是當前應對未知病毒查殺問題的一種解決方案。通常，病毒分析技術分為靜態和動態分析兩種[2]。當前靜態分析在檢測準確度上比傳統的模式匹配方法要好，因而仍然占主導地位，但是靜態分析的主要缺陷在于它無法有效應對惡意程序的模糊代碼技術和自修改代碼[3]。Moser等人在理論上證明模糊代碼技術對于靜態分析而言是NP難問題[3]，這些隱藏技術尤其對字節級內容分析和靜態病毒分析特別奏效[2]。相對靜態分析而言，運行時的動態二進制分析可以監測病毒的執行行為，而這些執行行為是無法隱藏的。

目前國際上很多研究工作開始向這方面轉移[4~7]。文獻[5]提出一種基于病毒行為的行為報告聚類方法，其主要思想是將監控獲取的行為報告轉換成行為序列，并對此應用聚類技術形成病毒家族。另一種病毒動態分析技術是對惡意行為報告應用數據挖掘技術[1]，其主要思想是識別惡意程序與良性程序之間的區別，以作為惡意行為的標志，這個思想也是本文提出新型防御技術的源頭。

1 新型防御技術

根據反病毒行業長期的經驗可以知道，同家族的惡意程序的執行行為存在共同的模式，本文稱之為行為模式。例如Allaple蠕蟲病毒的所有變種都會在已感染的系統上獲取并鎖住特定的信號量[3]。對程序執行行為進行關聯性分析，識別同類程序的行為模式的技術，稱之為行為分析技術。

當前的行為分析技術都是針對惡意軟件的，即發現和識別各個惡意軟件家族的行為模式，并根據這些模式發現和判斷未知病毒。但是惡意程序的家族數量是很龐大的，而且很可能隨著計算機技術的發展，不斷出現新的家族，如果通過學習惡意程序的行為模式來提升防護能力，實際上還是被惡意軟件牽著鼻子走，仍然屬于被動防御。據此，本文提出一種新型的防御策略——針對用戶行為模式的主動防御策略。

該策略的基本假設是，同病毒的惡意執行行為一樣，用戶的正常操作的執行行為也存在模式。例如，對于一臺辦公計算機，可能使用它的用戶的操作主要是文本編輯等辦公相關的操作，而這些操作在一個長期范圍內如果不產生變化，可以認為此時生成了一種用戶行為模式。相對于惡意程序而言，用戶行為模式下的程序被認為是良性程序(benign executable)。如果能采用某種技術對該模式加以識別，將對反病毒工作有很大的幫助。本文提出的針對用戶行為模式的主動防御策略就是以用戶行為模式為判別的主要依據，在發現異常行為模式(非用戶行為模式)時判斷出計算機感染了病毒。圖1描述了這種防御策略。

圖1中，系統已經在較長一段時間內通過監控用戶的正常操作的執行行為，識別了用戶的執行模式。在此后的任意時刻，對系統進行行為監控，并識別當前的行為模式，然后與用戶行為模式進行比較。如果符合用戶執行模式，則表明系統正常，繼續監控，否則證明系統已經感染病毒。當然，用戶行為的識別就成為整個策略在實現上的一個關鍵，也是一個難點。下面將重點討論如何識別用戶和病毒的行為模式。

2 行為模式識別算法

不論是針對用戶操作模式還是惡意操作模式，行為分析都是檢測系統是否感染病毒的基礎，這個過程可以借助模式識別技術[7]來實現。該技術的主要思想是，搜集大量已知類型的訓練樣本，從中提取出特征值(或稱特征向量)，并利用這些特征值構造出一個分類器，這個分類器就可以對未知類型的樣本進行分類。例如，圖2中有A、B兩類樣本，分別用黑邊圓形和黑邊方形表示，每個樣本的特征值是一個二維向量(平面坐標)，于是可以構造一根決策線。這時，有一個未知類型的樣本(菱形)，由于它位于決策線上方，于是被判定屬于A類。這根決策線就是要構造的分類器。

根據這個思想，需要收集病毒樣本，然后通過監控獲取其程序執行行為報告，同時對于用戶的正常操作也截獲類似的報告。通過特征提取將報告轉換為特征向量，最后構造出分類器。這里涉及兩個算法問題，即特征提取算法和分類器構造算法。

特征提取實際是構造一個嵌入函數，該函數將程序執行行為報告映射到高維特征空間。在文獻[3]中，以特征字符串在程序執行行為報告中的出現頻率來反映程序的執行特征，則嵌入函數這樣描述:

設特征字符串集合(特征集)為F，程序執行行為報告的集合為X，對于特征字符串s(s∈F)和程序執行行為報告x(x ∈ X)，記f(x，s)為s在x中出現的頻率。嵌入函數如下:

是X到‖F‖維實空間的映射，‖F‖是集合F的模，即特征字符串的個數。

設特征集F含有兩個特征字符串，即F={copy_file，create_file}，則特征向量空間是二維的:(x)→ (f(x，s1)， f(x，s2))。其中，s1=copy_file，s2=create_file。這樣，一個樣本的一次執行(一個程序執行行為報告)將被轉換為一個特征向量。

另外，通常在模式識別技術中，涉及特征選擇問題。很多情況下，特征向量的維數太高(幾十甚至數百)，將導致維數災難(計算復雜性)，在各種特征中選取最具區分性的幾個特征的過程，稱之為特征選擇。本文沿用文獻[3]的嵌入函數，此處不作詳細討論。

在定義了嵌入函數之后，樣本的特征已經被量化成特征向量，這時就可以使用通用的分類器構造算法了。通常，分類器構造算法分為線性和非線性，對應分別構造出來的分類器是線性的和非線性的。例如，圖2中的決策線是直線，因此它是由線性構造算法構造的。具體的構造算法很多，包括貝葉斯分析、決策樹、神經網絡等，而目前最為成功也是應用最為廣泛的要屬支持向量機(support vector machine，SVM)，本文在實驗部分將使用這個算法。

3 實驗方案

3.1 虛擬執行

惡意程序在其執行過程中會表現出與正常程序不同的行為特征，如創建、修改、復制或刪除文件、修改注冊表、創建進程、啟動或禁用系統服務等。動態分析首先需要通過程序的動態執行獲取其執行信息，這個過程可以通過虛擬執行技術來實現。當前，虛擬執行技術已經開始應用到病毒防治領域。所謂虛擬執行技術，就是通過虛擬執行方法查殺病毒，可以對付加密、變形、異型及病毒生產機生產的病毒[8]。在虛擬執行過程中，利用某種技術手段，如API Hooking，從虛擬環境中截獲程序的執行行為，稱為行為監測技術。行為監測過程可以獲取程序執行行為報告。

3.2 原型系統

整個系統的基本框架如圖3(a)所示。圖中填充部分是該檢測系統，包括樣本收集器模塊、虛擬執行環境模塊、行為分析器模塊。樣本收集器模塊的功能是收集病毒樣本(包括訓練樣本和測試樣本)，虛擬執行環境模塊的功能是對程序進行虛擬執行，獲取其行為，生成報告。行為分析器模塊的功能包括兩個方面:a)對訓練樣本虛擬執行后生成的報告進行分析，生成分類器;b)對測試樣本虛擬執行后生成的報告進行分析，生成檢測報告。

圖3(b)和(c)說明了該檢測系統的執行流程。該系統進行病毒檢測的流程分為兩部分:第一部分是行為分析器(實際就是分類器)的構造如圖3(b)，這一部分實際是一個長期的過程，這個分析器也是處于長期更新的狀態，從新的病毒中不斷學習其模式，因此除了第一次稱為分析器構造外，以后實際上是分析器更新，這一部分的執行過程是，已知病毒進行虛擬執行，得到病毒行為報告，然后據此構造分析器;第二部分是對病毒的檢測如圖3(c)，同樣需要將病毒進行虛擬執行，得到病毒行為報告，然后據此利用構造好的分析器進行行為分析，得到病毒檢測報告。

3.3 實驗與結果分析

本文的實驗方案在Rieck等人[3]的方案上進行修改而制定的。根據上述策略和實現算法，實驗方案分為以下幾個步驟:

a)收集病毒樣本并打上標簽;

b)對訓練樣本進行虛擬執行并監測行為，訓練分類器(行為分析器);

c)對測試樣本進行虛擬執行并監測行為，然后進行行為分析(即用分類器分類)，得到分類準確率。

本文用病毒收集工具在互聯網上收集了10類10 000個病毒(其分類標準源于文獻[3])，基于這些樣本，以數據庫的形式建立了一個規范的小型病毒庫，該病毒庫的每一項對應一個病毒樣本，包含序號、名稱、家族等屬性。所有的樣本被分為訓練樣本和測試樣本。其中80%用于訓練，20%用于測試。

按照上述實驗方案對病毒樣本進行了實驗，得到圖4所示的結果。

圖4顯示的是采用了針對用戶行為模式的主動防御策略的病毒檢測系統對這10類病毒的識別率，橫坐標表示10個病毒家族，縱坐標表示檢測系統對相應家族病毒的識別率?？梢钥吹?，檢測系統對絕大部分家族的病毒識別率都在60%以上，而個別家族的識別率幾乎達到100%。其中，家庭3和9的識別率是比較令人滿意的。當然，家族4和8的結果不盡如人意，還存在很大的提升空間。

4 結束語

本文在病毒主動防御技術的啟發下，基于已有的病毒行為分析和模式識別技術，提出了針對用戶行為模式的病毒防御策略，將該策略應用到以病毒行為分析算法為核心的病毒檢測系統中，并進行了測試。實驗數據表明，該策略的應用能夠使病毒檢測系統作出比較準確的判斷，從而證明了從用戶行為模式出發對病毒實施主動防御的方法是可行的。

參考文獻:

[1]曹騫，樊曉平，謝岳山. 大型分布式管理信息系統的安全問題研究[J]. 計算機應用研究， 2007， 24(3):121-124.

[2]CHRISTODORESCU M， JHA S， KRUEGEL C. Mining specifications of malicious behavior[C]//Proc of the 6th Joint Meeting of the European Software Engineering Conference and the ACM SIGSOFT Symposium on the Foundations of Software Engineering. 2007.

[3]RIECK K， HOLZ T， WILLEMS C， et al. Learning and classification of malware behavior[C]//Proc of DIMVA. 2008.

[4]BAECHER P， KOETTER M， HOLZ T， et al. The nepenthes platform: an efficient approach to collect malware[C]//Proc of the 9th Symposium on Recent Advances in Intrusion Detection. 2006:165-184.

[5]BAILEY M， OBERHEIDE J， ANDERSEN V， et al. Automated classification and analysis of Internet malware[C]//Proc of the 10th Symposium on Recent Advances in Intrusion Detection. 2007:178-197.

[6]BAYER U， KRUEGEL C， KIRDA E. TTAnalyze: a tool for analyzing malware[C]//Proc of EICAR. 2006.

[7]BURGES C. A tutorial on support vector machines for pattern recognition [J]. Knowledge Discovery and Data Mining， 1998， 2(2):121-167.

[8]談文明. 病毒防治技術的前沿地帶[R/OL].http://www.antiviruschina.org.cn/forum/zhjyzh_2002_virus/06rising/virus.ppt.

[9]LEE T， MODY J J. Behavioral classification[C]//Proc of EICAR. 2006.

[10]CHRISTODORESCU M， JHA S. Static analysis of executables to detect malicious patterns[C]//Proc of the 12th USENIX Security Symposium. 2003.