惡意代碼檢測(cè)技術(shù)分析研究

陳永靜

【摘要】由于互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，惡意代碼也隨之增加。因此，針對(duì)惡意代碼，如何在有效的資源下對(duì)其進(jìn)行檢測(cè)成為我們研究的主要內(nèi)容。本文從惡意代碼檢測(cè)基礎(chǔ)理論、傳統(tǒng)的檢測(cè)方法和基于機(jī)器學(xué)習(xí)的檢測(cè)方法進(jìn)行分析，進(jìn)而為惡意代碼檢測(cè)方法提供理論研究和技術(shù)支撐。

【關(guān)鍵詞】互聯(lián)網(wǎng) ?惡意代碼 ?檢測(cè)方法

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展以及信息交換能力的增強(qiáng)，網(wǎng)絡(luò)傳播已經(jīng)成為惡意代碼入侵的主要形式，大量個(gè)人和組織的相關(guān)信息被存儲(chǔ)在計(jì)算機(jī)中，而惡意代碼可以通過非法手段獲取個(gè)人和組織的信息，從而獲得其他利潤(rùn)。在經(jīng)濟(jì)利益的驅(qū)使下，惡意代碼的變種數(shù)量和檢測(cè)的難度也都隨之而呈現(xiàn)指數(shù)級(jí)的增長(zhǎng)趨勢(shì)。

一、惡意代碼概述

隨著計(jì)算機(jī)被大規(guī)模的普及和應(yīng)用，惡意代碼種類的數(shù)量也出現(xiàn)了爆炸性的增長(zhǎng)。這里我們提到的惡意代碼主要是指計(jì)算機(jī)中具有不良意圖的計(jì)算機(jī)指令、程序代碼、腳本文件等，這些程序可以是木馬、病毒等。一般惡意代碼的編寫者通過三種方式傳播惡意代碼，分別為軟件的自身漏洞、使用惡意軟件的用戶以及二者的結(jié)合形式。

二、惡意代碼檢測(cè)方法

傳統(tǒng)惡意代碼檢測(cè)系統(tǒng)可以從兩個(gè)不同的維度對(duì)惡意代碼檢測(cè)技術(shù)進(jìn)行劃分。第一種是通過數(shù)據(jù)源的不同將其分為基于內(nèi)容（靜態(tài)分析）和基于行為（動(dòng)態(tài)分析）兩種檢測(cè)，靜態(tài)分析指惡意代碼不需要直接運(yùn)行，檢測(cè)人員通過分析惡意代碼的二進(jìn)制執(zhí)行文件對(duì)其研究即可，該方法運(yùn)用反匯編技術(shù)可以加快對(duì)惡意代碼的分析。動(dòng)態(tài)分析是指通過虛擬或者實(shí)際的方法執(zhí)行惡意代碼，通過監(jiān)測(cè)惡意代碼對(duì)系統(tǒng)資源的實(shí)際操作，進(jìn)而收集惡意代碼的行為特征。第二種根據(jù)檢測(cè)方法可以分為基于特征碼、基于算法檢測(cè)和基于規(guī)則的檢測(cè)，這里我們主要對(duì)檢測(cè)方法進(jìn)行敘述，分別如下：

（一）基于特征碼檢測(cè)

基于特征碼的檢測(cè)方法是一種傳統(tǒng)的惡意代碼檢測(cè)技術(shù)。特征碼指的是惡意代碼行為數(shù)據(jù)中的某些關(guān)鍵字標(biāo)識(shí)，如可以打印的字符串、IP地址等其他信息。一般基于特征碼的檢測(cè)方法與靜態(tài)分析技術(shù)結(jié)合使用通過反匯編或者對(duì)可執(zhí)行文件進(jìn)行分析，從而提取出惡意代碼中的表征惡意信息的代碼段，并將其特征碼編碼入庫(kù)，從而構(gòu)建惡意代碼的特征碼數(shù)據(jù)庫(kù)，借助此數(shù)據(jù)庫(kù)可以快速比對(duì)未知惡意代碼，從而判定其屬性。然而，在惡意代碼變種數(shù)量快速增長(zhǎng)的趨勢(shì)下，我們需要將變種的惡意代碼特征值進(jìn)一步編寫到數(shù)據(jù)庫(kù)中，這將導(dǎo)致數(shù)據(jù)庫(kù)異常龐大，從而使得后續(xù)檢測(cè)未知惡意代碼的時(shí)間隨之而增加。

（二）基于算法檢測(cè)

在基于算法的檢測(cè)中，主要指通過機(jī)器學(xué)習(xí)的分類算法對(duì)惡意代碼進(jìn)行檢測(cè)。通過使用靜態(tài)、動(dòng)態(tài)分析以及二者結(jié)合對(duì)惡意代碼的特征進(jìn)行提取。如，可以將惡意代碼對(duì)系統(tǒng)進(jìn)行關(guān)鍵操作的次數(shù)作為其行為特征。這種檢測(cè)方法不僅可以處理新型的惡意變種代碼，同時(shí)可以提高系統(tǒng)自動(dòng)處理惡意代碼的泛化能力。然而，由于該檢測(cè)方法極度依賴惡意代碼的行為特征，因此如何保證提取出的惡意代碼特征具有優(yōu)異的檢測(cè)屬性成為檢測(cè)系統(tǒng)的重要研究?jī)?nèi)容。

（三）基于規(guī)則檢測(cè)

基于規(guī)則的檢測(cè)方法是指檢測(cè)系統(tǒng)針對(duì)惡意代碼程序進(jìn)行規(guī)則匹配的設(shè)置，其可以有效地捕捉惡意代碼的行為規(guī)則。通過使用動(dòng)態(tài)分析技術(shù)中的沙箱機(jī)制對(duì)惡意代碼程序進(jìn)行監(jiān)控，可以容易地發(fā)現(xiàn)惡意代碼程序中的行為規(guī)則。如，針對(duì)某些病毒和蠕蟲，借助沙箱技術(shù)對(duì)惡意代碼的API調(diào)用程序進(jìn)行監(jiān)控，可以快速發(fā)現(xiàn)該程序?qū)ο到y(tǒng)操作的規(guī)則，運(yùn)用行為規(guī)則制定相應(yīng)的規(guī)則匹配特征庫(kù)，可以有效防止惡意代碼家族對(duì)系統(tǒng)的侵害。基于規(guī)則的惡意代碼檢測(cè)方法不僅可以保護(hù)系統(tǒng)的某些敏感數(shù)據(jù)，同時(shí)可以有效應(yīng)對(duì)新出現(xiàn)的惡意代碼。由于該檢測(cè)方法需要對(duì)惡意代碼行為規(guī)則進(jìn)行檢測(cè)，因此如何獲取行為規(guī)則成為該檢測(cè)方法的重點(diǎn)。目前，大部分的惡意代碼在沙箱中實(shí)際執(zhí)行的時(shí)間都比較短，通常不超過十分鐘，最長(zhǎng)的也不超過30分鐘，這就導(dǎo)致惡意代碼行為暴露的不充分，從而使得該方法無法對(duì)將來的變種代碼進(jìn)行有效防范。同時(shí)，由于該檢測(cè)方法需要長(zhǎng)時(shí)間地觀察惡意代碼的行為規(guī)則，因此當(dāng)數(shù)據(jù)量急劇增長(zhǎng)，這種檢測(cè)方法也將暴露出時(shí)間消耗的弊端，進(jìn)而無法滿足快速檢測(cè)惡意代碼的要求。

三、總結(jié)

隨著互聯(lián)網(wǎng)技術(shù)的大規(guī)模普及，惡意代碼的威脅在不斷增加，從而給人們的個(gè)人隱私和經(jīng)濟(jì)利益帶來了極大的威脅。基于此本文從惡意代碼的檢測(cè)方法出發(fā)，對(duì)惡意代碼目前的檢測(cè)方法進(jìn)行了研究，進(jìn)而為惡意代碼相關(guān)領(lǐng)域的研究提供技術(shù)支撐和理論依據(jù)。

參考文獻(xiàn)：

[1] Tiwari P， Tere G， Singh P. Malware detection in android application by rigorous analysis of decompiled source code[C]//2016 International Conference on Computing Communication Control and automation （ICCUBEA）. IEEE， 2016： 1-6.

[2] Brucker A D， Herzberg M. On the static analysis of hybrid mobile apps[C]//International Symposium on Engineering Secure Software and Systems. Springer， Cham， 2016： 72-88.

[3] Zhao G， Xu K， Xu L， et al. Detecting APT malware infections based on malicious DNS and traffic analysis[J]. IEEE access， 2015， 3： 1132-1142.

[4] Yerima S Y， Sezer S， McWilliams G， et al. A new android malware detection approach using bayesian classification[C]//2013 IEEE 27th international conference on advanced information networking and applications （AINA）. IEEE， 2013： 121-128.

[5] Faruki P， Bhandari S， Laxmi V， et al. DroidAnalyst： Synergic App Framework for Static and Dynamic App Analysis[M]// Recent Advances in Computational Intelligence in Defense and Security. 2016.

[6]王櫟漢.一種新型自適應(yīng)惡意代碼抗混淆模型研究[D].北京工業(yè)大學(xué)，2018.