一種改進(jìn)的基于擴(kuò)展攻擊樹(shù)模型的木馬檢測(cè)方法

陳燕紅　歐毓毅　凌　捷

(廣東工業(yè)大學(xué)計(jì)算機(jī)學(xué)院　廣東 廣州 510006)

?

一種改進(jìn)的基于擴(kuò)展攻擊樹(shù)模型的木馬檢測(cè)方法

陳燕紅歐毓毅凌捷

(廣東工業(yè)大學(xué)計(jì)算機(jī)學(xué)院廣東 廣州 510006)

木馬作為惡意程序的一種，經(jīng)常被作為黑客入侵利用的手段，這對(duì)網(wǎng)絡(luò)安全和信息安全將造成極大的危害。提出一種改進(jìn)的基于擴(kuò)展攻擊樹(shù)模型的木馬檢測(cè)方法。通過(guò)分析PE文件，采用靜態(tài)分析和動(dòng)態(tài)行為監(jiān)控技術(shù)相結(jié)合的檢測(cè)方法提取程序API調(diào)用序列；并用信息增益的方法篩選出木馬關(guān)鍵API短序列集合，作為構(gòu)建擴(kuò)展攻擊樹(shù)模型的特征庫(kù)；將待檢測(cè)程序以API短序列為行為特征與模型節(jié)點(diǎn)進(jìn)行匹配、分析，同時(shí)改進(jìn)了匹配節(jié)點(diǎn)的權(quán)值和危險(xiǎn)指數(shù)的算法。最后給出擴(kuò)展攻擊樹(shù)模型調(diào)整與優(yōu)化的方法。實(shí)驗(yàn)結(jié)果表明，改進(jìn)后的方法不僅在木馬檢測(cè)效率、準(zhǔn)確度方面有較好的表現(xiàn)，還能檢測(cè)出經(jīng)過(guò)升級(jí)變種的木馬。

木馬檢測(cè)擴(kuò)展攻擊樹(shù)API調(diào)用改進(jìn)算法

0　引　言

木馬檢測(cè)一般分為靜態(tài)和動(dòng)態(tài)檢測(cè)技術(shù)，然而這兩類檢測(cè)技術(shù)都有其不足：靜態(tài)檢測(cè)技術(shù)在面對(duì)已知木馬程序的隱藏和變化時(shí)略顯不足，對(duì)于未知木馬程序亦是無(wú)能為力；而動(dòng)態(tài)檢測(cè)技術(shù)不僅因?yàn)檎加幂^多的系統(tǒng)資源導(dǎo)致效率不高，對(duì)于已經(jīng)發(fā)現(xiàn)的木馬程序，其運(yùn)行造成的危害已是事實(shí)。

攻擊樹(shù)模型有著直觀的結(jié)構(gòu)，能夠較好地反映系統(tǒng)威脅路徑，在木馬程序入侵檢測(cè)應(yīng)用方面的研究相對(duì)較多。文獻(xiàn)[1]在傳統(tǒng)攻擊樹(shù)模型上，對(duì)每個(gè)節(jié)點(diǎn)加入屬性信息實(shí)現(xiàn)了對(duì)模型的擴(kuò)展，不足之處在于其對(duì)節(jié)點(diǎn)間關(guān)系定義不全面、危險(xiǎn)指數(shù)算法過(guò)于簡(jiǎn)單，將影響檢測(cè)的準(zhǔn)確度;文獻(xiàn)[2]提出的一種改進(jìn)攻擊樹(shù)結(jié)構(gòu)，并設(shè)計(jì)了危害權(quán)值算法，不僅更直觀地體現(xiàn)了攻擊路徑，而且達(dá)到了更好的描述和判斷程序的惡意性的目的。其不足在于未能考慮攻擊樹(shù)中不同層次節(jié)點(diǎn)對(duì)PE文件危險(xiǎn)值比重的差異；文獻(xiàn)[3]中改進(jìn)的攻擊樹(shù)模型是在傳統(tǒng)攻擊樹(shù)的基礎(chǔ)上加入?yún)?shù)集合較好地描述了API調(diào)用序列情況，但是其對(duì)節(jié)點(diǎn)權(quán)重信息描述不明確；文獻(xiàn)[4]提出一種通過(guò)靜態(tài)分析PE文件獲取API短序列與攻擊樹(shù)進(jìn)行匹配，提高了匹配效率，然而當(dāng)前很多木馬程序通過(guò)動(dòng)態(tài)加載DLL獲得函數(shù)地址完成系統(tǒng)調(diào)用以躲避靜態(tài)掃描[5]，靜態(tài)分析API序列方法的不足將日益凸顯。

本文在分析了PE文件頭部特征信息[6]的基礎(chǔ)上，重點(diǎn)研究了攻擊樹(shù)模型的擴(kuò)展，API調(diào)用序列的提取、分析以及算法的改進(jìn)等，提出一種改進(jìn)的基于擴(kuò)展攻擊樹(shù)模型的木馬檢測(cè)方法。首先搜集總結(jié)了大量木馬程序，并對(duì)其API調(diào)用序列進(jìn)行提取、劃分以及篩選作為構(gòu)建模型的特征庫(kù)；同時(shí)對(duì)攻擊樹(shù)模型節(jié)點(diǎn)信息進(jìn)行改造擴(kuò)展，基于擴(kuò)展的模型，根據(jù)不同層次目標(biāo)節(jié)點(diǎn)和葉子節(jié)點(diǎn)的權(quán)重、發(fā)生概率以及程序調(diào)用API短序列匹配度等的不同，改進(jìn)了相應(yīng)算法，再通過(guò)計(jì)算程序的危險(xiǎn)指數(shù)與預(yù)先設(shè)置好的閾值進(jìn)行比較，以判斷程序是否為木馬程序；最后給出實(shí)現(xiàn)攻擊樹(shù)模型的調(diào)整與優(yōu)化的方法。

1　擴(kuò)展攻擊樹(shù)模型

攻擊樹(shù)模型是一種采用樹(shù)形結(jié)構(gòu)來(lái)描述攻擊者對(duì)目標(biāo)系統(tǒng)進(jìn)行攻擊的方法、路徑。在一棵攻擊樹(shù)的樹(shù)形結(jié)構(gòu)中，可以分為“或”(Or)、“與”(And)、“順序與”(Sand)三種關(guān)系。現(xiàn)假設(shè)G,a,b三個(gè)節(jié)點(diǎn)分別代表父節(jié)點(diǎn)、左子節(jié)點(diǎn)、右子節(jié)點(diǎn)，則上述三種關(guān)系的圖形表示如圖1所示。

圖1　目標(biāo)節(jié)點(diǎn)關(guān)系圖

其中，‘Or’關(guān)系表示只要有包含一個(gè)以上的子節(jié)點(diǎn)都將導(dǎo)致父節(jié)點(diǎn)的完成；‘And’關(guān)系表示當(dāng)且僅當(dāng)所有子節(jié)點(diǎn)的完成才能導(dǎo)致父節(jié)點(diǎn)的完成；‘Sand’關(guān)系表示父節(jié)點(diǎn)的完成必須是所有子節(jié)點(diǎn)按相應(yīng)順序完成方可，這里指子節(jié)點(diǎn)從左到右的順序。

擴(kuò)展攻擊樹(shù)T=(V,E,Attribute,Parameter),其中V(T)是上述三種關(guān)系的非葉子節(jié)點(diǎn)及葉子節(jié)點(diǎn)為集合元素的非空并且有限的集合，根節(jié)點(diǎn)記為‘ROOT’，用以表示攻擊者要達(dá)成的最終攻擊目標(biāo)。自上而下，子節(jié)點(diǎn)代表攻擊的子目標(biāo)，逐步細(xì)分到葉節(jié)點(diǎn)代表危險(xiǎn)API調(diào)用短序列。E(T)中的元素是V×V的子集，用來(lái)代表樹(shù)中的每條邊，即攻擊的路徑。Attribute(T)是節(jié)點(diǎn)屬性集合，由七元組(S,C,L,P,R,W,D)組成，與每個(gè)節(jié)點(diǎn)相關(guān)聯(lián)。S是布爾型變量，表示節(jié)點(diǎn)在匹配過(guò)程中的狀態(tài)：得到匹配的節(jié)點(diǎn)的S為T(mén)RUE，記為“高亮節(jié)點(diǎn)”，反之記為“非高亮節(jié)點(diǎn)”。C表示為API的名稱或者目標(biāo)的文本描述。L表示節(jié)點(diǎn)所在攻擊樹(shù)中的層次，其中L(ROOT)=0,ROOT子節(jié)點(diǎn)的L值為1，依次向下類推。P指節(jié)點(diǎn)代表的事件發(fā)生的可能性。R為三態(tài)變量(與/或/順序與)，表示子節(jié)點(diǎn)之間的關(guān)系，對(duì)于葉子節(jié)點(diǎn)無(wú)意義。W和D是數(shù)值型變量，W表示節(jié)點(diǎn)代表的事件發(fā)生后對(duì)系統(tǒng)產(chǎn)生的威脅，為惡意性權(quán)值；D表示綜合計(jì)算得到的節(jié)點(diǎn)的危險(xiǎn)指數(shù)。Parameter(T)是參數(shù)信息集合，由time、paramlist兩個(gè)變量組成，用以記錄API調(diào)用時(shí)的參數(shù)信息，time表示節(jié)點(diǎn)內(nèi)部的時(shí)間序編號(hào)，paramlist變量則用來(lái)記錄參數(shù)調(diào)用鏈表。對(duì)于非葉子節(jié)點(diǎn)該值為NULL。初始狀態(tài)下，模型中所有節(jié)點(diǎn)都處于‘非高亮’狀態(tài)，Parameter(T)為空狀態(tài)，而非葉子節(jié)點(diǎn)的D暫時(shí)也為空。

2　相關(guān)技術(shù)的研究

2.1API調(diào)用序列的提取以及木馬庫(kù)的生成

本文在分析了PE文件的特征字符串、API調(diào)用的數(shù)量等頭部特征信息的基礎(chǔ)上，結(jié)合靜態(tài)和動(dòng)態(tài)方法獲取API調(diào)用序列(包含調(diào)用API的參數(shù)信息)，大致流程如圖2所示。

圖2　API調(diào)用序列提取流程

在程序運(yùn)行前，首先判斷PE文件是否經(jīng)過(guò)加殼、變形等，若無(wú)則通過(guò)靜態(tài)解析PE 文件的方法提取API調(diào)用序列以盡可能地提高檢測(cè)效率；若是則將程序置于沙箱中運(yùn)行以避免其對(duì)系統(tǒng)的危害，通過(guò)行為監(jiān)控技術(shù)[7,8]攔截程序執(zhí)行過(guò)程中的API調(diào)用以提高檢測(cè)準(zhǔn)確率。再將提取到的API調(diào)用序列，采用K=6長(zhǎng)度的滑動(dòng)窗口生成API短序列，如圖3所示。

圖3　滑動(dòng)窗口大小K=6時(shí)API調(diào)用短序列

針對(duì)部分木馬短序列無(wú)法有效區(qū)分木馬程序與正常程序，同時(shí)造成不必要的信息冗余，采用信息增益篩選出高識(shí)別度、高準(zhǔn)確度的關(guān)鍵API短序列集合A(F)={F1,F2,…,Fm}作為構(gòu)建模型的特征庫(kù)。信息增益公式見(jiàn)下：

Grain(A)=Info(Q)-InfoA(Q)

其中，Q為標(biāo)記類的訓(xùn)練集，包括：木馬程序(C1)、正常程序(C2)。Info(Q)即表示對(duì)Q進(jìn)行分類所需要的期望信息，而InfoA(Q)表示按A劃分后再對(duì)Q進(jìn)行分類所需的期望信息，A為木馬調(diào)用的API短序列，公式具體為：

其中，|C1|、|C2|分別表示Q訓(xùn)練集中木馬和正常程序的數(shù)量，|Q|=|C1|+|C2|表示程序的總數(shù)量。

其中，|Qj|即為按A劃分Q得到的子集的數(shù)量，有|Q1|和|Q0|分別表示Q訓(xùn)練集中程序調(diào)用、未調(diào)用A短序列得到的子集數(shù)量。Grain(A)值越大，表示對(duì)應(yīng)API短序列對(duì)木馬程序的檢測(cè)影響就會(huì)越大，反之相反。

2.2原始擴(kuò)展攻擊樹(shù)的構(gòu)建

通過(guò)分析木馬常見(jiàn)的惡意行為，將原始擴(kuò)展攻擊樹(shù)劃分為8個(gè)部分，如圖4所示。

圖4　原始擴(kuò)展攻擊樹(shù)的劃分

具體地，根據(jù)對(duì)上述惡意行為的劃分，將木馬特征庫(kù)A(F)中的API短序列按照序列達(dá)成的目標(biāo)、目標(biāo)間的依賴關(guān)系構(gòu)建出若干最大木馬擴(kuò)展攻擊樹(shù)，再將這些樹(shù)以或的關(guān)系合并在一起作為ROOT根節(jié)點(diǎn)的子節(jié)點(diǎn)，即完成原始擴(kuò)展攻擊樹(shù)的構(gòu)建，如圖5所示(圖中省略了部分目標(biāo)節(jié)點(diǎn)、葉子節(jié)點(diǎn))。

圖5　構(gòu)建的攻擊樹(shù)實(shí)例

對(duì)于攻擊樹(shù)中節(jié)點(diǎn)的命名采用的方法，不僅可以直觀地體現(xiàn)攻擊過(guò)程，還能準(zhǔn)確地定位節(jié)點(diǎn)所在的層次位置，便于節(jié)點(diǎn)權(quán)重計(jì)算等。

2.3相關(guān)算法研究

1) 節(jié)點(diǎn)發(fā)生的可能性P的推算方法[9]其中F表示父節(jié)點(diǎn)，Kn表示子節(jié)點(diǎn)。

(1) 對(duì)于“Or關(guān)系”的子節(jié)點(diǎn)，其父節(jié)點(diǎn)的發(fā)生可能性等于各子節(jié)點(diǎn)發(fā)生可能性的最大值。

P(F)=max{P(K1),P(K2),…,P(Kn)}

(2) 對(duì)于“And關(guān)系”的子節(jié)點(diǎn)，其父節(jié)點(diǎn)的發(fā)生可能性等于各子節(jié)點(diǎn)發(fā)生可能性的乘積。

P(F)=P(K1)×P(K2)×…×P(Kn)

(3) 對(duì)于“Sand關(guān)系”的子節(jié)點(diǎn)，其父節(jié)點(diǎn)的發(fā)生可能性需要借助條件概率來(lái)計(jì)算。

P(F)= P(K1)×P(K2/K1)×…×P(Kn/ K1 K2…Kn-1)

(4) 對(duì)于葉子節(jié)點(diǎn)leaf采用多屬性效用理論[10]計(jì)算其發(fā)生的可能性，給每個(gè)葉子節(jié)點(diǎn)附上三個(gè)基本屬性,cost、det、diff分別用來(lái)表示完成該葉子節(jié)點(diǎn)所需要的成本、可能被檢測(cè)到的等級(jí)和難易度，算法如下。

P(leaf)=Wcost×U(cost)+Wdet×U(det) +Wdiff×U(diff)

其中:leaf表示任意的一個(gè)葉子節(jié)點(diǎn)；P(leaf)表示該葉子節(jié)點(diǎn)發(fā)生的可能性；Wcost、Wdet、Wdiff用以表示對(duì)應(yīng)參數(shù)的權(quán)重系數(shù)；而U(cost)、U(diff)、U(det)則用以表示相應(yīng)參數(shù)的效用性。

2) 惡意性權(quán)值W

葉子節(jié)點(diǎn)是由具體API函數(shù)代表的一個(gè)行為事件，通過(guò)行為要素得出單個(gè)葉子節(jié)點(diǎn)的惡意性權(quán)值[11]。主體U為調(diào)用API函數(shù)的進(jìn)程或線程，客體O為API函數(shù)的操作對(duì)象，動(dòng)作B為API函數(shù)代表的操作，API部分參數(shù)值作為行為的備注部分N。設(shè)Wu、Wo、Wb、Wn分別代表主體、客體、行為操作以及附加參數(shù)值代表的權(quán)重，L為當(dāng)前節(jié)點(diǎn)所在的層數(shù)，為不同層節(jié)點(diǎn)設(shè)置權(quán)值可以更好地體現(xiàn)危害差異性。對(duì)于匹配的葉子節(jié)點(diǎn)，其所在層次離總目標(biāo)越遠(yuǎn)其權(quán)重相應(yīng)越低，本文采用如下公式計(jì)算其惡意性權(quán)值。

W(leaf)=(Wu+Wo+Wb+Wn)×1/L

對(duì)于非葉子節(jié)點(diǎn)，其惡意性權(quán)值W由其所有子節(jié)點(diǎn)的危險(xiǎn)指數(shù)及包含的葉子點(diǎn)間的相互關(guān)系綜合決定。

W(F)=Fun(K1, K2,…,Kn)

為‘Or’節(jié)點(diǎn)時(shí)，W取子節(jié)點(diǎn)中最大的危險(xiǎn)指數(shù)為值；為‘And’或者‘Sand’節(jié)點(diǎn)時(shí)，將子節(jié)點(diǎn)危險(xiǎn)指數(shù)求和作為W值，以體現(xiàn)子節(jié)點(diǎn)共同作用導(dǎo)致父節(jié)點(diǎn)目標(biāo)的達(dá)成，公式如下：

W(F)=Max{D(K1),D(K2)…D(Kn)}×1/L

W(F)=(D(K1)+D(K2)+…+D(Kn))×1/L

3) 危險(xiǎn)指數(shù)D

危險(xiǎn)指數(shù)標(biāo)識(shí)危險(xiǎn)級(jí)別，表示節(jié)點(diǎn)與木馬程序的相似程度，由自身權(quán)值及發(fā)生概率計(jì)算而得。所有最大高亮子樹(shù)根節(jié)點(diǎn)的危險(xiǎn)指數(shù)D值的和為對(duì)應(yīng)木馬程序的危險(xiǎn)指數(shù)D(F)。為了有效地降低漏報(bào)率和誤報(bào)率，文獻(xiàn)[12]在計(jì)算程序危險(xiǎn)指數(shù)的時(shí)候?qū)⒊绦蛘{(diào)用API集合的規(guī)模考慮在內(nèi)，本文考慮API序列間的依賴關(guān)系，通過(guò)計(jì)算API短序列匹配度的方法以更準(zhǔn)確地描述程序的惡意性:假設(shè)目標(biāo)API調(diào)用短序列的總數(shù)為n,在擴(kuò)展攻擊樹(shù)中匹配到的短序列個(gè)數(shù)為m,那么m/n的即為目標(biāo)短序列集合中API序列的匹配度，記為P(H)。通過(guò)這種方法可以有效地降低正常程序調(diào)用API過(guò)多引起的高匹配度從而產(chǎn)生誤報(bào)，以及木馬程序調(diào)用API較少造成低匹配度從而產(chǎn)生漏報(bào)。式(1)、式(2)分別表示計(jì)算子目標(biāo)和最終目標(biāo)的危險(xiǎn)指數(shù)。

D=P×W

(1)

D(F)=sum(D)×P(H)

(2)

3　基于擴(kuò)展攻擊樹(shù)的木馬檢測(cè)方法

3.1匹配分析

將待檢測(cè)程序中提取、劃分的目標(biāo)API短序列集合G(A)={ A1,A2,…,Am}以短序列為單位同擴(kuò)展攻擊樹(shù)模型進(jìn)行匹配，同時(shí)把相應(yīng)API調(diào)用參數(shù)信息記錄在Parameter(T)中，再對(duì)攻擊樹(shù)模型進(jìn)行葉子節(jié)點(diǎn)及非葉子節(jié)點(diǎn)按照相應(yīng)規(guī)則(與/或/順序與)作高亮標(biāo)記。設(shè)置一個(gè)閾值作為判斷標(biāo)準(zhǔn)，最后計(jì)算危險(xiǎn)指數(shù)的值來(lái)判斷程序是否為木馬程序。

例如某可疑木馬程序部分的調(diào)用序列及參數(shù)調(diào)用記錄如如下：

(1) 可疑木馬程序代碼片段

…

OpenFile(IN:N:XXXOUT:I:32),

WriteFile(IN:I:32 B:XXXOUT:),

RegOpenkeyEx(IN:N:HKLMSYSTEMCurrentControlSetServicesXXXOUT:0),

CreateFile(IN:N:X:filename.exeOUT:0)

RegCreateKey(IN:N:HKLMSYSTEMCurrentControlSetServicesXXXOUT:0)

CreateProcess(IN:N:ProcessNameOUT:0)

RegCloseKey(IN:N:HKLMSYSTEMCurrentControlSetServicesXXXOUT:0),

…

(2) 提取的API調(diào)用序列

Index APIName

11OpenFile()

13WriteFile()

45RegOpenkeyEx()

58CreateFile()

74RegCreateKey()

93CreateProcess()

34RegCloseKey()

105MessageBox()

46Send()

…

將上述可疑API調(diào)用序列通過(guò)滑動(dòng)窗口劃分成短序列，按相應(yīng)規(guī)則匹配攻擊樹(shù)后得到的高亮節(jié)點(diǎn)擴(kuò)展攻擊樹(shù)，如圖6所示。

圖6　匹配攻擊樹(shù)

3.2動(dòng)態(tài)調(diào)整擴(kuò)展攻擊樹(shù)方法

原始擴(kuò)展攻擊樹(shù)作為木馬檢測(cè)的核心特征庫(kù)，需要不斷地更新和補(bǔ)充使得檢測(cè)更加準(zhǔn)確有效。檢測(cè)過(guò)程中，將程序中出現(xiàn)的未被匹配的敏感API調(diào)用序列按照一定的規(guī)則添到新的模型分支中：對(duì)于相同的操作對(duì)象而動(dòng)作不同，歸為‘And’或者‘Sand’關(guān)系，并通過(guò)參數(shù)信息進(jìn)行區(qū)分；對(duì)于相同動(dòng)作而操作對(duì)象不同，歸為‘Or’關(guān)系。同時(shí)，采用如下方法對(duì)擴(kuò)展攻擊樹(shù)模型進(jìn)行調(diào)整優(yōu)化：

1) 或節(jié)點(diǎn)合并法

針對(duì)今后出現(xiàn)的新的攻擊方式實(shí)現(xiàn)的相同攻擊目標(biāo)，使用或節(jié)點(diǎn)進(jìn)行合并，例如：完成攻擊樹(shù)中T21目標(biāo)需要調(diào)用API序列(A1,A2,A3)，若發(fā)現(xiàn)不同的API調(diào)用(A4,A5)序列亦可完成T21目標(biāo)，則將序列(A1,A2,A3)和序列(A4,A5)分別置于T21新的子節(jié)點(diǎn)T211,T212下實(shí)現(xiàn)合并。

2) 節(jié)點(diǎn)精簡(jiǎn)法

通過(guò)舍去擴(kuò)展攻擊樹(shù)模型中無(wú)作用或作用不大的節(jié)點(diǎn)以實(shí)現(xiàn)展攻擊樹(shù)模型的優(yōu)化。即保證完成攻擊目標(biāo)序列的任意子序列無(wú)法達(dá)成該攻擊目標(biāo)。

3) 相似攻擊樹(shù)統(tǒng)一法

對(duì)于樹(shù)中出現(xiàn)的相似的攻擊樹(shù)，按結(jié)構(gòu)從簡(jiǎn)的原則選擇其一，從而提高程序運(yùn)行效率并節(jié)省存儲(chǔ)空間，如圖7所示。

圖7　相似攻擊樹(shù)

通過(guò)分析得到這兩顆攻擊樹(shù)中達(dá)成目標(biāo)T3具有相同的API調(diào)用序列，都是{(A1,A3)(A2,A3)}和(A1,A2,A3)，因此它們是相似的，通過(guò)分析選左圖作為模型子樹(shù)。

4　實(shí)驗(yàn)結(jié)果與分析

(1) 通過(guò)分析“紅狼遠(yuǎn)控”和“灰鴿子黑防”這兩種遠(yuǎn)程控制木馬程序，對(duì)其進(jìn)行升級(jí)都附上新的攻擊目標(biāo):獲取目標(biāo)機(jī)上的.jpg圖像文件之后將其刪除的功能作為新的攻擊目標(biāo)。通過(guò)匹配之后，再計(jì)算危險(xiǎn)指數(shù)得到實(shí)驗(yàn)結(jié)果如表1所示。

表1　實(shí)驗(yàn)結(jié)果1

實(shí)驗(yàn)結(jié)果表明，本文方法可以有效地檢測(cè)出經(jīng)過(guò)升級(jí)后的木馬。

(2) 從網(wǎng)上下載了639個(gè)木馬文件以及Windows XP系統(tǒng)目錄下的純凈PE文件。以2：8的比例將這些文件分別作為測(cè)試集和訓(xùn)練數(shù)據(jù)。將本文方法與文獻(xiàn)[1]、文獻(xiàn)[4]方法進(jìn)行分析比較FN(木馬被識(shí)別為正常程序)和FP(正常程序被識(shí)別為木馬)指數(shù)得到如表2所示。

表2　實(shí)驗(yàn)結(jié)果2

通過(guò)表2的實(shí)驗(yàn)數(shù)據(jù)比較分析看到，改進(jìn)后的方法較大地降低了了FN和FP指數(shù)，提高了檢測(cè)的準(zhǔn)確度。

5　結(jié)　語(yǔ)

本文提出一種基于攻擊樹(shù)模型的木馬檢測(cè)方法，先通過(guò)擴(kuò)展攻擊樹(shù)節(jié)點(diǎn)信息等實(shí)現(xiàn)更精確的匹配模型；再采用靜態(tài)分析和動(dòng)態(tài)行為監(jiān)控技術(shù)相結(jié)合的方法可以比較有效而準(zhǔn)確地提取到程序的API調(diào)用序列，并對(duì)相關(guān)算法進(jìn)行研究，改進(jìn)了權(quán)值、危險(xiǎn)指數(shù)的算法。最后給出擴(kuò)展攻擊樹(shù)模型調(diào)整與優(yōu)化的方法以實(shí)現(xiàn)模型特征庫(kù)的更新與補(bǔ)充。實(shí)驗(yàn)結(jié)果表明，改進(jìn)后的方法在兼顧木馬檢測(cè)效率、準(zhǔn)確度方面有較好表現(xiàn)的同時(shí)，還可以檢測(cè)出經(jīng)過(guò)升級(jí)變種的木馬。

[1] 楊彥,黃皓.基于攻擊樹(shù)的木馬檢測(cè)方法[J].計(jì)算機(jī)工程與設(shè)計(jì),2008,29(11):2711-2714.

[2] 謝樂(lè)川,袁平.改進(jìn)攻擊樹(shù)惡意代碼檢測(cè)方法[J].計(jì)算機(jī)工程與設(shè)計(jì),2013,34(5):1599-1604.

[3] 陳丹偉,唐平,周書(shū)桃.基于沙盒技術(shù)的惡意程序檢測(cè)模型[J].計(jì)算機(jī)科學(xué),2012,39(6A):12-14.

[4] 牛冰茹,劉培玉,段林珊.一種改進(jìn)的基于攻擊樹(shù)的木馬分析與檢測(cè)[J].計(jì)算機(jī)應(yīng)用與軟件,2014,31(3):277-280,330.

[5] 張程,馬兆豐,鈕心忻,等.一種API動(dòng)態(tài)序列分析和 DAG-SVM多類支持向量機(jī)的未知病毒檢測(cè)方法[J].小型微型計(jì)算機(jī)系統(tǒng),2012,12(12):2724-2728.

[6] Schultz M G,Eskin E,Zadok F,et al.Proceedings of the 2001 IEEE Symposium on Security and Privacy[C]//Washington: IEEE Computer Society,2001:38-49.

[7] 謝燕江.一種基于輕量級(jí)虛擬化的沙盒機(jī)制[D].湖南:湖南大學(xué)軟件學(xué)院,2012.

[8] 張永超.基于虛擬執(zhí)行技術(shù)的惡意程序監(jiān)測(cè)系統(tǒng)研究與實(shí)現(xiàn)[D].國(guó)防科學(xué)技術(shù)大學(xué),2011.

[9] 甘早斌,吳平,路松峰,等.基于擴(kuò)展攻擊樹(shù)的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估[J].計(jì)算機(jī)應(yīng)用研究,2007,24(11):153-160.

[10] 鐘倩,方勇,劉亮,等.基于攻擊樹(shù)的文件風(fēng)險(xiǎn)評(píng)估方法[J].通信技術(shù),2011,5(44):77-79.

[11] Xia Jiang,Weiwei Qi.An Improved Attack Tree Algorithm Based on Android[J].Journal of Software Engineering,2014,34(1):1-8.

[12] 樂(lè)洪州.基于擴(kuò)展攻擊樹(shù)的木馬檢測(cè)技術(shù)研究[D].大連:大連海事大學(xué),2013.

AN IMPROVED TROJANS DETECTION METHOD BASED ON EXTENDED ATTACK TREE MODEL

Chen YanhongOu YuyiLing Jie

(FacultyofComputer,GuangdongUniversityofTechnology,Guangzhou510006,Guangdong,China)

Trojans, as one kind of malwares, are often used as the hacking means, and this will cause great harm to the security of network and information. We proposed an improved Trojans detection method which is based on extended attack tree model. First, by analysing PE files, the method extracts the call sequence of program’s API using the detection method combining the static analysis and dynamic behaviour monitoring; Then it sifts the key short call sequence set of API using the method of information as the feature library for building extended attack tree model; Furthermore, it takes the API short call sequence as the behavioural feature of the detecting program to match the model nodes and then analysis them, meanwhile improves the algorithms of matching nodes’ weight and risk index as well. Finally, we introduced the method to adjust and optimise the extended attack tree model. Experimental results showed that the improved method had better performance in Trojans detection efficiency and accuracy, and could detect the upgraded variant of the Trojan as well.

Trojans detectionExtended attack treeAPI callsImproved algorithm

2015-02-15。廣東省自然科學(xué)基金重點(diǎn)項(xiàng)目(S2012 020011071)；廣東省高校科技創(chuàng)新項(xiàng)目(2013KJCX0064)。陳燕紅，碩士生，主研領(lǐng)域：信息安全技術(shù)。歐毓毅，副教授。凌捷，教授。

TP309

A

10.3969/j.issn.1000-386x.2016.08.068