基于差量对比与进程动态行为分析的恶意程序检测模型.docxVIP

基于差量对比与进程动态行为分析的恶意程序检测模型 0 检测技术现状 现在，恶意软件（特洛伊木马等）越来越流行。恶意程序使用的技术主要有:用户模式系统调用劫持、核心模式系统调用劫持、核心模式数据篡改以及核心模式中断处理程序劫持。恶意程序检测方法分为静态检测和动态行为检测。其中动态行为检测方法主要有挂钩函数检测、隐藏进程检测、可执行路径分析检测 (EPA) 、交叉检查差量检测和内存完整性检测。目前, 对进程检测的研究国内外主要集中在进程行为的实现上。例如挂钩函数检测法通过检测系统内存中操作系统模块和进程中被挂钩的函数实现;执行路径分析法则检测某些关键系统函数执行时所用的指令个数来判定系统中是否存在恶意程序;而交叉检查差量检测的原理是比较操作系统不同层次API函数的查询结果是否一致来判断是否存在API Hook 普通的基于进程动态行为特征的恶意程序检测技术存在一定局限。如文献 综合分析以上进程动态行为检测技术发现, 共同的缺点是把检测的重点只放在进程行为的过程上, 而忽视了行为结果以及进程状态变化等相关信息, 从而就导致了漏检率和误检率较高。本文将重新审视进程行为的定义, 并据此提出一种改进的进程行为检测模型:差量对比与进程行为动态分析。 1 流程操作的定义和模型 1.1 从行为属性组成 进程行为由主体、客体、操作集合、行为输入、行为输出、行为状态和行为属性等组成。以进程生命周期的全局来看, 可从如下三个方面对进程行为加以界定。 1 （2）流程操作的内涵 操作系统内核把系统调用看作是进程的行为。在基于行为的进程检测技术中, 进程被看作一系列系统调用的有序组合。 2 主体(客体)、操作 一个行为与另一个行为的区别在于进程行为的四个要素 (主体、客体、所使用的操作以及状态的迁移) 。主体指进程本身, 客体指主体操作的对象及使用的资源, 操作是指系统 (API) 调用。状态的迁移指进程行为引起进程状态的变化。 3 iiin(s研磨法) 按时序度量, 分为行为创建、行为过程和行为结果。 文献 1 进程行为: ProActions={ action=s applies (f) to (obj) :S→S′| t } 其中:s表示行为的主体;f 表示施用函数;obj 表示行为的客体;S表示进程状态;S→S′表示状态的迁移;t表示时间域。进程行为模型可理解为:在生命周期任意一时间点上, 主体期望对客体施加的操作并由此引起的进程状态迁移。 1.2 进程的调用、进程传播和行为检测对象 根据进程行为的定义, 进程行为检测的对象是某主体的行为轨迹, 即以发生的时间顺序用串的格式刻画出的同一主体从事的行为集合, 包括生命周期中发生的系统调用、进程从创建到终止的状态迁移、进程访问的对象以及引起系统资源的变化。 2 检测对象: ObjToDet={ (S, R, F, A) | P} 它包括状态因子S、资源因子R、操作因子F、属性因子A和程序因子P。状态因子表示进程所处的状态, 资源因子表示进程占用的系统资源, 如通信端口、CPU等, 操作因子指进程的API调用, 属性因子表示进程行为时间、出现的频率等信息。程序因子表示启动进程的程序, 即进程的运行主体。 2 差异比较与过程行为动态行为的检测模型 2.1 动态行为检测 恶意程序与合法程序的区别就在于行为的隐蔽性, 包括植入、启动、运行和通信环节。但恶意程序在运行时会使得目标系统的文件、文件夹、注册表、函数等与运行前发生变化, 在通信时会使得网络流量、CPU及内存等系统资源使用率突然提高 3 差量对比法。启动可疑程序后, 实时监测系统的某些特征变量, 依据前后的差量来界定恶意程序的功能和行为性质, 即合法性。 差量对比法主要界定进程行为的两个要素, 即恶意进程的客体对象以及行为的结果。然而, 对于内核级的进程隐藏和远程线程技术, 它们的行为结果在宏观表象上可能不会出现任何异常, 如新一代的木马启动后无进程、无端口、无DLL、无文件、无启动项等, 从而导致差量对比法出现漏检。这就需要进一步检测进程动态行为另外两个要素:进程行为的执行过程及进程状态的迁移。 4 进程动态行为分析。基于可疑程序的行为识别, 将某主体启动后的行为轨迹以发生的时间顺序用串的格式刻画出来, 以此来分析可疑文件的功能和行为性质, 即合法性。 根据进程行为的定义, 这里提出一种改进的进程行为检测模型:差量对比与进程动态行为分析。其中, 差量对比采用了黑箱思想, 不关心进程行为的内部过程, 只关心行为的输出和结果, 这在原理上屏蔽了技术的差异, 增强了模型的通用性。进程动态行为分析采用白箱思想, 与前者互为补充。该模型的优点是, 尽管各种恶意程序采用不同技术和思路, 但最终的目的和期望达到的效果是不变的 2.2 实时监视的效果 该检测模型的工作