網絡安全中惡意軟件的行為研究與檢測

馮常青 張巖

摘 要 隨著網絡技術的不斷發展，信息安全面臨著諸多的安全威脅，越來越多的攻擊者在程序中插入惡意行為。安全研究人員基于特征碼的靜態分析，通過特征庫高效快速地對惡意行為進行匹配。但隨著攻擊技術的進步，更多的設計者選擇將惡意行為隱藏在程序代碼中，對其進行加密和變形，以此來抵御靜態分析。所以如何進行惡意軟件行為的捕獲，準確判定出惡意軟件，成為信息安全領域亟待解決的問題。

關鍵詞 惡意軟件 行為研究 檢測防范

中圖分類號：TP393文獻標識碼：A

1背景

惡意軟件是指在未明確提示用戶或未經用戶許可的情況下，在用戶計算機或其他終端上安裝運行損害系統和偷取用戶隱私信息的軟件。這類如病毒、蠕蟲、木馬、后門的惡意軟件已經成為計算機和網絡最大的威脅之一①。惡意軟件的開發者編寫如間諜軟件、廣告軟件等狹義角度意義上的惡意軟件，在網絡上傳播和蔓延，使得接入互聯網的任何系統都處于將被攻擊的風險中。

面對惡意行為帶來的信息安全問題，安全產品的分析人員開發出自動化分析程序工具用以抽取和分析惡意軟件的行為。然而，惡意程序有時能檢測出模擬或虛擬的分析環境，為了逃避分析工具的檢測，它會減少攻擊行為或立即結束進程。這種惡意代碼與安全軟件之間的對抗日益加劇。所以，對網絡程序的惡意行為進行檢測和研究成為了信息安全方面迫切需要解決的問題。

2惡意軟件的行為研究

2.1注冊表操作

一般來說每類文件都會有各自默認的打開方式和程序，且打開方式都會注冊在注冊表里。大部分惡意軟件會在特定的位置采用更改文件關聯程序的方式達到打開文件的同時而自動運行的目的。

2.2文件操作

有些惡意軟件不需要修改注冊表，利用修改win.ini和system.ini這類系統文件來啟動自身程序。這類惡意軟件一般采用更改系統設置，如禁用任務管理器;禁用隱藏文件或系統的顯示開關;禁用注冊表、禁用文件夾選項等，用來降低計算機發現的難度。為達到開機自啟動的目的，有的惡意軟件則將自己添加到系統根目錄下的AUTOEXEC.BAT和windows目錄下的WinStart.bat文件中，有的惡意軟件是通過將自己添加到開始菜單的“啟動”文件選項中;有的惡意軟件將系統的必須和重要文件替換成自身程序代碼，因此系統運行時就會啟動被替換的程序和這類惡意軟件，一般用戶很難發現。

2.3部署調用工具

惡意軟件調用，部署工具的行為主要分為部署于系統文件的相似文件與更改自身文件名和刪除自身這兩種方式。大多數惡意軟件在下載成功后為獲取用戶活動和完成向外傳輸信息任務，通常會在windows或system目錄下生成若干個可執行惡意軟件的文件工具，如Explore.exe等。有的惡意軟件如果運行成功，就將隨機更改文件名或自我刪除，使用戶很難發現。

2.4連接指定站點

基本所有的惡意軟件都要通過訪問網絡來達到感染計算機的目的，通常先向外發出連接請求，再利用郵件的形式把用戶信息傳送出去。有的惡意軟件則是利用連接定向的站點和服務器，下載大量的間諜軟件和盜號木馬，甚至利用惡意軟件下載器把惡意程序代碼下載到用戶的計算機系統上，然后進行加載并完成感染。有的惡意軟件則是利用用戶計算機系統上的ARP惡意攻擊程序代碼對其所在的網絡進行ARP欺騙攻擊，最后嚴重影響到網絡安全。

2.5隱藏活動界面

惡意軟件在活動時，一般都會將自身的運行程序和窗口隱匿起來，在工具欄和任務欄上用戶都無法找到惡意軟件的行蹤，達到不被用戶發現的目的，有利于惡意程序在操作系統中長期運行和駐留。

2.6操作其它進程

有的惡意程序為達到開機自動啟動的目的，將自身注冊為系統服務。有的惡意軟件則采用通過偽裝的方法來達到隱藏自己的目的，令用戶很難察覺，主要包括真隱藏和偽隱藏兩種不同的類型。有的惡意軟件在運行的過程中會關閉一些如殺毒軟件和防火墻的正常進程，或啟動其他惡意程序進程，實施強度更大的破壞活動。

2.7瀏覽器劫持

有的惡意軟件在未得到管理員許可的情況下，通過自行篡改用戶瀏覽器的相關設置，致使用戶無法正常上網或強迫用戶訪問站點。瀏覽器劫持行為主要包括不能正常上網，對用戶所訪問網站的類型內容擅自進行刪除、添加、修改與迫使用戶訪問指定網站或限制用戶修改瀏覽器設置三種不同類型的行為現象。

2.8惡意收集用戶信息

有些惡意軟件在未經用戶許可的情況或未明確提示用戶下（用戶無法查看自己的信息是否被收集，未提示用戶是否允許收集信息的選項），惡意收集用戶的信息。

從軟件惡意行為及其發展來看，惡意軟件主要存在傳播多樣化、多平臺;基于系統缺陷的攻擊時間縮短;存活能力增強;基于系統缺陷的攻擊時間縮短;破壞性和易用性更大等發展趨勢。

3惡意軟件檢測工具的設計

3.1系統目標

（1）建立一個虛擬運行系統：在用戶計算機中要建立一個虛擬運行系統，該運行系統要求對用戶正常的使用不造成任何影響，且在每次分析未知程序后要迅速恢復到純凈狀態，防止幾次結果相互影響，出現誤報、漏報的情況。

（2）建立惡意行為特征庫：通過對所有已知惡意程序的惡意行為進行分析，建立惡意行為特征庫，供檢測工具使用，連接互聯網，及時更新變種惡意程序的行為特征，提高系統對已知和未知惡意行為的識別能力。

（3）對程序進行動態分析：對于百分之百可以確定的惡意程序，做隔離或刪除、提醒用戶處理，對于不能確定的未知程序，在上述虛擬運行系統中試運行，在一段時間內觀察其行為特征，最終判定出是否為惡意程序。

3.2模塊設計

惡意行為檢測系統分為6個部件：檢測系統部件、惡意行為特征庫部件、檢測機制部件、虛擬運行部件和分析部件、監測點部件、反饋機制部件。各個部件之間的關系如下圖所示：

（1）檢測系統：首先需要建立一個與用戶操作系統相似的虛擬運行系統，這個系統給未知程序提供一個運行環境，獨立存在于用戶計算機中，對用戶不造成任何影響，且在運行程序后要迅速恢復到初始的純凈狀態，避免幾次運行結果相互影響。注意，該系統要避免被惡意程序識別為檢測機制。

（2）惡意行為特征庫：在該檢測系統中，最重要的模塊是惡意行為特征庫，在該特征庫中要包含現有所有已知惡意程序的信息、運行機制、惡意行為特征，并且需要連接互聯網實時更新，確保檢測工具在第一時間發現惡意程序的變種代碼，提高該檢測系統的適用性。這一點在整個檢測工具中非常重要。

（3）檢測機制：在該運行系統中，要存放一個惡意程序的檢測機制，根據特征庫中描述的惡意行為，檢測機制要匹配特征以判斷程序是否為惡意程序，如果百分之百匹配成功時將此程序標定為惡意程序，隔離處理。在辨識出程序可能存在惡意行為時，標記該程序并隔離該程序，進行下一步檢測。

（4）虛擬運行部件和分析部件：在運行系統中，需要建立一個類似計算機中虛擬機的虛擬部件，在該部件中虛擬運行檢測機制標定的可疑程序，捕獲該程序在虛擬運行檢測系統中的各項行為，分析該可疑程序是否對用戶信息進行惡意存取或者惡意篡改，進一步利用分析部件對程序代碼等進行檢測和分析，判定出該程序是否具有惡意性，并形成最終的結論。

（5）監測點：在上述步驟中會出現兩種運行結論，一種為正常運行程序，一種為惡意程序，針對第一種正常程序，監測點對其進行記錄標記，并在一段時間內檢測其的運行，出現惡意行為立即回收至新型檢測工具中重新檢測，如果在一段時間中沒有出現惡意行為，則可取消標注結束對其的追蹤。對第二類已經確認了的惡意程序，提醒用戶，對其進行隔離處理。

（6）反饋機制：當發現新的惡意程序時應及時反饋至惡意程序行為體征庫，為其他連接互聯網的檢測工具提供可靠的依據，減少此種新型檢測工具的工作量。

4結束語

在本文中，對各類惡意程序的行為進行了深入的研究，并對檢測工具進行了概要設計。伴隨著檢測技術的不斷改進，未來發展方向將會體現在以下幾個方面：

（1）惡意行為特征庫越來越龐大，可以隨時更新惡意軟件行為并及時反饋至用戶，可以使檢測工具更為容易的檢測出惡意軟件。

（2）在發現惡意軟件后計算機能迅速做出響應，將惡意軟件自動隔離或刪除，避免對計算機用戶造成影響。

（3）結合各類檢測和修復技術，在對惡意行為進行識別的基礎上，對程序利用的程序漏洞進行研究并修復。

注釋

① SymantecInternetSecurityThreatReport[EB/OL].2012

參考文獻

[1] 冀風宇.基于信息流的Android應用污點分析技術的研究[D].成都：電子科技大學，2015.

[2] 周霞.信息安全現狀及發展趨勢[J].大眾科技，2006（07）：85-86.

[3] 惡意程序的發展趨勢[J].計算機安全，2009（03）：109-111.

[4] 王麗.基于虛擬化網絡服務的惡意軟件網絡行為分析[A].第四屆信息安全漏洞分析與風險評估大會.

[5] 奚小溪，孫榮會.惡意軟件的行為與檢測技術分析[J].安徽建筑工業學院學報（自然科學版），2012（03）.

[6] 孟雪梅.計算機惡意軟件及防范對策探討[J].科技傳播，2013（23）.

[7] 卞松山，路軼，石曉虹.360移動互聯網惡意軟件分析平臺[J].信息安全與技術，2013（12）.