基于Windows服务的恶意行为特征检测技术.docVIP

基于Windows服务的恶意行为特征检测技术 　　摘要 随着信息化时代的到来，网络安全越来越取得人们的重视，恶意病毒与程序一直是安全工作者的防护中心，网络安全攻与防的博弈从未停止。本文围绕恶意程序对主机系统状态更改的监测为核心，提出了一种基于Windows服务的后台监测方式，利用DLL注入与HOOK API技术从多个维度监测系统的异常行为，进而拦截异常行为。该方法弥补了当前恶意行为监测维度单一的不足。更值得一提的是，本文采用一种内核层次的注入方式，通过分析注入过程的系统调用，将内核级API作为注入的切入点，解决了当前主流操作系统对注入行为的限制，使跨平台的通用注入成为可能。最后，系统以Windows服务的形式运行于后台，降低能耗，提高运行稳定性，同时本文提出了本体自御集的概念，为恶意行为监测提供了更深层次的研究方向 关键字：Windows服务， 内核级注入， API HOOK， 本体自御集 0 引言 计算机发展至今，纵观中国互联网安全25年的演进历史[1]，互联网用户的隐私与财产安全等正遭受到前所未有的严峻挑战。为此，本文提出了一种基于恶意行为特征检测的主动防御策略，弥补现有检测方案健壮性不足的缺陷，从注册表、文件、进程、建立本体自御集等多个方面综合抵御恶意行为，从源头杜绝危害 Windows平台面临的威胁主要有宏病毒、网页病毒、脚本病毒、Win32 PE文件病毒等。尽管病毒种类千变万化，各类病毒却仍然保持自我复制性、传播性、潜伏性、破坏性等常态特征。病毒通过对FSO的创建，进而对文件施行添加、删除、修改、拷贝等操作以达到病毒的自我复制。病毒感染主机后，利用注册表获取操作系统与软件相关版本信息，探测相关漏洞加以利用。通过修改注册表，实现开机自启、常驻内存及一系列的恶意行为[2] 文献[3-4]提到基于特征码数据库的检测技术，当前主流的云查杀通过网络传输数据进行特征码匹配而获得快速查杀。但基于特征码的检测只能对数据库中存在的病毒进行检测，无法实现未知病毒的防御技术，呈现出一定的功能缺失。文献[5]提出了一种基于静态特征来展开机器学习的检测方法，通过对网页静态特征标签的提取，利用机器学习的方法对网页提供设计分类，但实验结果表明，这类基于静态特征的机器学习/统计学检测方法却有着较高的漏报率。文献[6-7]重点研究了基于注册表监控的检测技术，但是，通过对病毒运行原理的剖析就会知道，病毒对系统造成的威胁复杂而繁琐，仅是依靠注册表检测未免失于片面。文献[8]对杀毒软件升级流程的安全性给出深入分析后可知，其防护方法需运用多种杀软，并且过程中更加关注漏洞的挖掘，而且也并未构建实际的防护措施。经过如上解析探讨后表明，这些检测技术在性能上各有千秋，但在整体却都未曾具备自我防御的能力，很难抵御病毒对检测系统自身的恶意终止。为此，综合大量文献的研究成果，本文从主动防御的角度出发，提出了一种基于恶意行为检测的改进技术，利用API HOOK技术全面监控操作系统的进程状态、注册表状态及文件状态，再通过与本体自御集的功能比对，从恶意行为发生的源头来实现防微杜渐。除此之外，考虑到检测系统的健壮性，为防止病毒对防护系统采取轮询性恶意终止的反杀策略，本文继而又提出了一种基于Windows服务注册及DLL注入技术的联合守护技术，经过测试，该方案能够完成有关恶意程序对本机的恶意行为特征的检测 1 系统设计 恶意行为特征检测是对Windows操作系统的行为防护。出于功能性、健壮性、与实用性等多方考量，系统框架设计如图1所示。进程守护模块负责维护系统的健壮性，监测模块负责记录windows系统行为，并拦截本体自御集中记录的恶意行为。注入模块实现了监测模块在进程中的注入，用以监控系统进程状态，拦截注册表与文件的异常行为。系统同样设置日志模块，用以保存其过程工作状态。在此，针对系统设计中的重点功能做出如下论述 图1 系统框架设计图 Fig.1 System framework design 1.1 系统稳定性设计 本文利用Windows服务对检测系统进行健壮性守护，根据Windows服务技术[9]，选用ServiceMain作为监控程序的入口函数。在此过程中，ServiceMain函数将通过调用RegisterServiceCtrlHandler函数来回调控制请求处理函数CtrlHandler，而CtrlHandle则负责响应来自SCP的控制命令并告之SCM服务状态信息 1.2 监测注入设计 动态链接库（dynamic-link library，DLL）是Windows操作系统提供的一种可执行文件，本系统使用DLL作为监控模块的容器。为了监控系统进程状态，需将监控DLL注入至系统进程空间内，但Micros