基于最小距離的變形惡意代碼分類檢測技術

楊 夢，張建輝，劉龍龍

（國家數字交換系統工程技術研究中心 河南 鄭州450002）

基于最小距離的變形惡意代碼分類檢測技術

楊 夢，張建輝，劉龍龍

（國家數字交換系統工程技術研究中心 河南 鄭州450002）

當前階段，隨著變形技術的產生和發展，惡意代碼的攻擊方式正變得更加復雜和隱蔽。為了準確檢測和分析變形惡意代碼，本文提出了一種基于最小距離的分類檢測技術。通過提取惡意代碼執行行為，進行操作語義描述。進而量化分析行為特征，計算不同特征屬性間的最小相似距離，完成惡意代碼的分類檢測。實驗結果表明，最小距離分類算法能夠快速準確分類惡意代碼，平均檢出率保持在80%以上，具有良好的檢測效果和進一步研究的價值。

惡意代碼；變形技術；最小距離；分類檢測

隨著信息技術的快速發展，互聯網已經進入到生活的方方面面，而相應的網絡安全問題也日益產生和發展。惡意代碼就是利用系統軟件和應用的漏洞，有目的的實施破壞的惡意軟件。惡意代碼的快速增長與傳播，不僅威脅到個人計算機，而且還會威脅整個互聯網的安全?，F如今，惡意代碼通過利用變形技術隱藏自身，為檢測和清除帶來了極大的挑戰。

變形惡意代碼可以通過改變自身的代碼結構[1-2]或執行流程[3]，逃避基于特征簽名的檢測。然而，同一個惡意代碼變種的未知樣本往往有著相似的行為特征，利用這一特性，可將多種惡意代碼進行分類檢測。惡意代碼分類技術首先利用已知的惡意代碼樣本產生訓練集，通過識別代碼中的非變異特征，產生行為特征模型。利用行為特征模型，對未知惡意代碼進行分類檢測，最終判定未知惡意代碼種類。傳統的分類算法有基于貝葉斯的決策樹[4]，基于K-鄰接算法的檢測[5]等。這些分類算法由于自身的復雜性，造成了系統開銷大，檢測結果不準確等問題。為此，提出了機器學習中的最小距離分類算法進行惡意代碼分類檢測。通過利用訓練集中的行為特征模型，建立原始類庫，然后利用最小距離算法對未知惡意程序進行分析，確定其所屬的類別，完成未知變形惡意代碼的分類。

1 惡意代碼變形技術

惡意代碼變形技術的產生和發展，最早在計算機病毒中得以體現。通常情況下，將常規基于特征碼掃描技術無法檢測的惡意程序稱為變形惡意代碼。為了隱藏自身，達到躲避檢測系統的檢測的目的，變形技術不斷地對惡意代碼的主體部分進行變換，盡可能的隱藏能夠標識其自身的特征簽名。變形惡意代碼難以發現和清除，如果在系統和網絡內進行傳播，會造成難以估量的損失。常見的惡意代碼變形手段包括加殼、多態等技術。

1.1 加 殼

一般來說，加殼是[6]在加密技術之上發展起來的一種變形技術。最初的變形惡意代碼起源于加密技術。其思想是利用加密算法對惡意程序進行加密運算，然后在感染主機系統之后，由解密模塊解密執行。惡意代碼的加殼可執行文件包含兩個模塊，一個壓縮的原始可執行文件和一個脫殼器程序。如圖1所示。

圖1 惡意代碼加殼實現原理

原始可執行文件壓縮之后和脫殼器程序一同存儲在加殼文件中。加殼程序運行時，會首先運行一小段脫殼代碼，解壓縮加殼文件，然后運行解壓縮之后的可執行文件。加殼器多采用壓縮算法壓縮原始文件，被加殼的可執行文件經過壓縮、加密和其他轉換之后，變得更加難以識別。

1.2 多態變形

多態代碼是當前惡意代碼中經常使用的技術[7]，其通過多態生成器對代碼進行變異，同時又保持原始算法的完整性。一種典型的多態代碼實現方法是對惡意代碼進行加密，然后將加密器和解密器分別放入代碼中。該類惡意代碼執行時會被目標操作系統加載進內存區域，在該區域中，惡意代碼會在真正的載荷執行前對自身進行解碼。

多態代碼的特點是可以在傳播過程中不停的產生惡意代碼變體，通過利用變形引擎對原始代碼進行變異，創造出不同的變種。傳播過程如圖2所示，這種類型的惡意代碼常常不包含足夠的特征信息，因此常常不能對其提取有效的簽名特征。

圖2 多態代碼復制傳播過程

多態變形是在多態技術的基礎上發展而來，該技術自身沒有解密引擎，而是利用各種混淆技術[8]將整個可執行文件進行代碼變形。在進行復制時，通過變形引擎將惡意代碼形態改變，制造出不同的變體，然而功能卻保持不變。對于其中每一個代碼片段來說，都存在與其對應的代碼段，而這些代碼段功能與原始代碼是相同的。因此通過多種代碼段的相互組合，就可以制造出很多種惡意代碼變種。在檢測時，很難找到此類變體的特征碼，為檢測系統的檢測和分析帶來了嚴重挑戰。

2 變形惡意代碼分類檢測

當前情況下，新產生的惡意代碼多是在已知程序的基礎上經過變形生成，通過使用加殼、多態等技術逃避檢測。然而惡意代碼主體部分卻保持了原來的結構，且與原惡意代碼具有相似的行為。利用變形惡意代碼中的一致性特征[9]，將其進行類別劃分，并通過分類算法[10]對具有不同行為特征的惡意代碼進行分類檢測。

分類算法是機器學習領域中重要的一項內容，在面對大數據樣本時，如果想要一次就獲取樣本特征，不但要耗費大量的計算機資源，而且計算結果往往不太準確。為了快速準確處理大數據樣本，提出了分類學習的概念。其基本思想是首先利用分布均勻的樣本空間，建立機器學習分類器；然后逐步擴大訓練集，增強分類器學習能力，使之在進行未知樣本檢測時，能夠取得良好的效果。現階段常見的分類算法主要有統計分類法、神經網絡、貝葉斯分類以及決策樹等。然而在實際應用中，針對較小的樣本集，上述方法可以取得良好的效果，但面對海量數據時，就會出現精度降低、資源消耗嚴重等諸多問題。

2.1 最小距離算法基本原理

為了克服傳統分類方法的不足，基于距離的分類技術[11]被提出并得到廣泛應用。最小距離分類方法就是一種簡單有效的分類算法，核心思想是利用樣本特征空間，計算各特征向量與中心之間的距離，通過閾值比較，從而計算出各特征之間的相似度[12]，進行分類判斷。

根據已有樣本集，分析提取為若干類。然后按照算術平均，計算出各類中心Ci（i=1，2，3…n，其中 n是類的個數），對于待分類元組P，分別計算P中各元素與中心Ci之間的算術距離，若某樣本Pj與類中心Ci距離最近，則Pj就可歸類為Ci類。在最小距離分類器中，為了得到最優的距離度量，常采用歐氏距離公式[13]和馬氏公式等。

1）歐氏距離可以定義為：

其分類規則為di＜dj，i≠j。通過定義發現，歐氏距離計算方便，然而當類別增大時，分類精度就會降低，效果不佳。

2）馬氏（Mahalanobis）距離將各軸間數據考慮在內，利用協方差進行類的分布判斷。公式定義為：

3）標準歐氏距離是在歐氏距離的基礎上，改進歐氏距離分類精度不足的問題提出的，其利用方差進行分布校正。

4）近鄰平均距離[14]的思想是求出點到某一類樣本的最近N個數據距離的平均值，將該值作為最終距離?？梢员硎緸椋?/p>

此方法利用離待分類點最近的多個樣本來計算距離，將各模式不同的形狀分布情況考慮在內，因而能夠提高分類的精度。

以上最小距離分類器計算方法各有優缺點，歐氏距離雖然計算速度具有明顯優勢，但是缺少了方差或協方差的計算，結果存在一定偏差。馬氏距離公式和標準歐式距離計算方法均需計算方差與協方差，計算結果精度更高，但是由于大量的數據運算，導致其時間開銷相對較大且對系統性能有一定要求。近鄰平均距離雖然分類精度較高，但是內存開銷較大，計算數據復雜，不利于部署和使用。針對以上各種最小距離分類方法的優缺點，考慮使用歐氏距離與標準歐式距離結合的分類方法，在提高效率的同時，又保證分類精度，用于對惡意代碼的分類檢測。

2.2 惡意行為分析提取

變形惡意代碼由于使用了多種變異技術，難以發現其行為蹤跡，這就導致了一個重要的后果：代碼尺寸大大增加。也就是說，由于變形代碼體中包含一些不相關的程序數據，為了檢測分析并分類惡意代碼，首要工作就是對惡意程序進行逆向反匯編[15]，取得匯編代碼后再對其實施代碼標準化，就是要消除變形過程中產生的無用指令和數據，將變形惡意代碼轉化為規范形式。

圖3表示了對目標代碼的機器指令進行提取，將其表達為操作語義的過程。

圖3 抽象提取機器指令

對操作語義抽象提取，消除無用指令，簡化之后進行控制流圖壓縮，就得到了標準化形式。為了判斷兩段代碼之間是否相同，利用代碼特征值進行代數求值，計算出代碼片段的幾何距離D：

其中，i代表采用的度量方法，a，b為代碼片段。如果結果小于給定的閾值，說明兩個代碼片段是相同的。

系統中相同的API調用序列S出現在源代碼M和變種M'中，即使M'使用變形技術改變語法結構，M'的語義特征跟源代碼M不會有太大區別。利用這一特征，首先提取跟系統調用序列相關的一些指令，將其轉換為圖；然后再根據功能分離出子圖；通過圖抽象構建行為簽名。根據行為簽名，提取出惡意代碼行為特征。

系統中惡意代碼行為可以歸納為注冊表修改行為、文件操作、進程訪問、網絡活動行為等幾類。為了更準確的了解惡意代碼操作，可以將行為特征進行建模描述。表1所示為對部分文件操作行為的描述。

2.3 實驗結果及分析

實驗環境：CPU 2.1 GHz，內存1 GB，操作系統Windows XP，反匯編工具IDA Pro 6.5。

表1 文件操作行為描述

惡意代碼利用變形技術改變執行流程，隱藏自身蹤跡，達到逃避檢測的目的。然而，未知惡意代碼往往是在現有程序的基礎上進行修改，在行為特征上具有一定的相似性，可以將其歸類為不同的惡意代碼家族。實驗根據樣本庫中的四種不同家族的惡意代碼類型進行實驗分析，選取一部分樣本作為訓練集，提供給分類系統，其它樣本作為測試集。

表2 分類結果

檢測分類結果如表2所示，可以看出最小距離分類算法可以有效發現并分類未知變形惡意代碼，尤其是對蠕蟲和病毒檢測上具有良好的效果。

3 結束語

當前，惡意代碼檢測技術已經成為信息安全領域研究的一個重要方面，變形惡意代碼因為其具有的隱蔽性、復雜性的特點，造成了檢測難度的大大增加。尤其是當多種變形技術一起使用的時候，比如將加殼、多態技術結合，攻擊的復雜強度無疑會得到極大提升。當前基于特征碼的檢測由于變形技術的產生，難以發現和提取惡意代碼特征，故而檢測效率大大降低。由于相當數量的惡意代碼是由一小部分種類變形產生，因此可以利用這一特點，使用基于機器學習的方法進行檢測。最小距離分類算法通過對惡意代碼的行為特征進行代碼家族分類，可以發現大部分同類型的未知惡意程序，而且系統資源消耗較低，具有良好的應用和進一步研究的價值。

[1]Kolter J Z，Maloof M A.Learning to detect malicious executables in the Wild [J].Knowledge Discovery and Data Mining，2004：470-478.

[2]Gheorghescu M.An automated virus classification system. Proc.Virus Bull.Conf[C].Dublin，Ireland.2005：294-300.

[3]Carrera E，Erde lyi G.Digital genome mapping-advancedbinary malware analysis.Proc.Virus Bull.Conf[C].Chicago，USA，2004：187-197.

[4]樊建聰，張問銀，梁永全.基于貝葉斯方法的決策樹分類算法[J].計算機應用，2005，25（12）:2882-2884.

[5]張波云，殷建平，張鼎興.基于K-最近鄰算法的未知病毒檢測[J].計算機工程與應用，2005，41（6）:7-10.

[6]Briones I，Gomez A.Graphs，Entropy and grid computing: automatic comparison of malware.Proc.Virus Bull.Conf[C]. Ottawa，Canada，2008：1-12.

[7]金然，魏強，王清賢.針對指令亂序變形技術的歸一化研究[J].計算機科學，2008，35（2）:89-91.

[8]Gao D，Reiter M K，Song D.Binhunt:Automatically finding semantic differences in binary programs.Proc.Int’l Conf. Information and Comm.Security[C].Birmingham，British，2008：238-255.

[9]Briones I，Gomez A.Graphs，Entropy and grid computing: automatic comparison of malware.Proc.Virus Bull.Conf[C]. Ottawa，Canada，2008：1-12.

[10]Hu X，Chiueh T，Shin K G.Large-Scale malware indexing using function-call graphs.Proc.ACM Conf.Computer and Comm.Security[C].Chicago，USA，2009：611-620.

[11]任婧，李春平.最小距離分類器的改進算法-加權最小分類器[J].計算機應用，2005，25（5）:993-995.

[12]Zynamics，VxClass[BE/OL].http://www.zynamics.com/ vxclass.html，2009.

[13]Newsome J，Karp B，Song D.Polygraph:automatically generating signatures for polymorphic worms.in Proceedings of the 2005 IEEE Symposium on Security and Privacy[C]. Oakland，CA，USA，2005：226-241.

[14]Griffin K， Schneider S， Hu X， Chiueh T.Automatic generation of string signatures for malware detection.Recent Advances in Intrusion Detection[C].Berlin，Germany，2009：101-120.

[15]宋威，曾勇軍，奚琪.一種動靜結合的代碼反匯編技術[J].計算機工程，2012，38（1）:68-70.

Classification method of metamorphism malware based on minimum distance

YANG Meng，ZHANG Jian-hui，LIU Long-long
（National Digital Switching System Engineering Technology Research Center，Zhengzhou 450002，China）

Nowadays，with the emergency and development of metamorphism technology，malware's attack is becoming more complicated and concealed.In order to detect and analysis metamorphism malware accurately，this article proposed a classification detection method based on minimum distance.Through extract the malicious behaviors，description them with semantics.And analysis the behavior characteristics，compute similarity between them based on minimum distance，finally，detect and classify metamorphism malware.Experiment result shows that the minimum distance algorithm is effective in detection and classify malware，average relevance ratio is above 80 percentages.this method has good detection effect and the value for further research.

malware；metamorphism technology；minimum distance；classification detection

TN918

A

1674－6236（2016）23-0105-03

2016-03-28稿件編號：201603361

國家自然科學基金創新群體項目（61521003）

楊 夢（1990—），男，河南商丘人，碩士。研究方向：網絡安全、路由技術。