恶意代码的未知检测技术研究-vxjumpnet.pdfVIP

恶意代码的未知检测技术研究 by nEINEI/2007-10 当下，主要的未知检测技术还以行为加权为主，该方法简洁有效。但带来的误报问题也 比较明显，该方法最大的问题在于忽略了程序行为之间的逻辑关系，缺乏因果导向。我们可 以在这个研究方向上做的更加深入，完成一个真正意义上具有较高检出率的恶意代码检测的 专家系统。 未知检测产品的定位是辅助分析，让用户时刻感觉到有一个专家系统在自己身旁。市场 上曾经有过像赛门铁克的ANN 技术，东方微点、安铁诺等产品。以我个人的理解就检测而言, 产品比拼的硬功夫的地方重点是，1 检测速度、2 灵活的引擎及其处置能力、3 脱壳能力、4 主动防御体系、5 未知检测技术。所以在该方向上的探索是值得考虑的。 一 技术因素分析 1 主流未知检测技术简要说明： 目前，主流未知检测技术还是基于木马病毒程序的行为特异性权值来判定，因该方法易 于实现，且在一定的样本空间中具有较好的检出率。但问题是用户系统环境复杂，带来的多 会是虚惊一场的报警。如终截者抗病毒软件会将 INSTDRV.EXE （安装驱动的一个工具）当做 高危程序报警。而降低误报的方法只能靠白名单机制来处理。 2 主流未知检测技术分析： (1) 启发式扫描： 绝大多数杀软采用的方法，NOD32 是该方法的典范，值得我们学习。但该方法仍然 不能完全深入其里的分析程序特性，例如：Win32.TrojanDownloader.Small.DTT 木马，会去 /ucs5.dat 这 个 链 接 处 下 载 文 件 ， 将 其 释 放 到 C:\WINDOWS\system32\ucsi.exe，ucsi.exe 就是usc5.dat 的重命名。 在没有病毒库的支持情况下NOD32是会放过该木马的。这并非NOD32 的启发式方法不好， 而在于该木马的行为与普通的下载程序无太大差别，不足以触发报警阈值。而我们应当以交 互的方式给用户以提示，告知程序行为，如同专家会诊，询问患者病情一样，最终通过推理 判断得出结论。 （2）BP 神经网络： 诺顿和安铁诺都采用了该方法，理论上认为神经网络方法要优于传统的启发式方法。诺 顿并没有将该方法应用到整个未知检测当中，但很早以前就利用神经网络检测引导型病毒， 各中原因猜测不定。 安铁诺是基于神经网络的未知检测技术，官方宣传识别率高达 90%以上，但我实际测 试...,个人猜测是受加壳影响。 基于BP 神经网络的未知检测方法在个别实验室的测试中取得了不错成绩，通过不断的强 化训练使得其有了一定的辨认病毒的能力，是其优点。但个人觉得该方法仍然不能应用于实 际产品当中，理由有2： A 样本空间因素： BP 神经网络进行病毒检测的依据就是利用样本对其训练，可样本浩瀚，使得模型建立困 难，大部分都采取了简化手段，致使部分功能丢失。同时，该方法本质上仍然是对数据做变 换，大集合 （样本）变换到小集合 （病毒库），利用小集合去做检测。当一未知的病毒样本超 过了大集合的某种变换时，较高的检出率也就无从谈起了。因为该方法是以样本数量、特性 作为学习基础的。 B 静态特性因素： BP 神经网络提取的是病毒样本的静态特性，稍加变换的数据都会对结果产生很大影响， 加壳的样本是该方法最大的挑战，因为训练加壳后的样本是无太大意义的，此时文件静态特 性几乎全部丢失，用UPX 加壳后的病毒样本与正常程序，在静态特性上无本质区别。 综上BP 神经网络是不能作为专家系统的支撑技术的。 （3）基于数据挖掘技术： 国内和国外的课题小组都对该技术应用于未知检测领域进行过研究，暂无具体的商业 应用。05 年时，金山和福州大学合作开展过该方向上的技术研究。但目前看，尚未知金山毒 霸还没有使用该技术。 基于数据挖掘技术的一个比较好的应用是，对样本集的文件提取API 函数序列作为文件 特征，利用改进的OOA 算法对样本集所产生的特征库进行规则提取，最后利用这些规则进行 检测。但该应用，同样受到样本规模的困扰，API 调用序列也过于模式化和绝对。较好的检 出率也只是针对特定样本空间的情况。迟迟没有商业应用也可能是上述两点原因造成的。 （4）基于动态仿真技术： 东方微点是使用该技术的典范，通过对程序动作监控，分析程序动作之间的逻辑关