基于进程行为分析恶意软件的识别技术 .pdfVIP

龙源期刊网

基于进程行为分析恶意软件的识别技术

作者：赵星,李秦

来源：《电脑知识与技术》2010年第21期

摘要:随着网络技术的发展和普及,我们的生活越来越离不开互联网。然而随之而来的恶意

软件在网上横行的趋势也愈演愈烈,严重威胁广大用户的隐私和财产安全,对互联网安全问题的

关注也日趋增强。传统的防病毒软件都是采用预先定义好的二进制特征码对目标程序进行判断,

已经不能满足系统安全的需要。因此,需要从更深层的行为中提取未知病毒的特征,以便提高系

统对病毒的检测能力。

关键词:恶意软件;网络安全;行为分析

中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)21-6089-02

恶意软件的定义1

恶意软件用作一个集合名词,来指代故意在计算机系统上执行恶意任务的病毒、蠕虫和特

洛伊木马。网络用户在浏览一些恶意网站,或者从不安全的站点下载游戏或其它程序时,往往会

连合恶意程序一并带入自己的电脑,而用户本人对此丝毫不知情。直到有恶意广告不断弹出或

色情网站自动出现等现象时,用户才有可能发觉电脑已“中毒”。在恶意软件未被发现的这段时间,

用户网上的所有敏感资料都有可能被盗走,比如银行帐户信息,信用卡密码等。

恶意软件1.1攻击方式

现如今,恶意软件已成为一个严重的网络问题。正所谓,哪里有网络,哪里就有恶意软件。恶

意软件的出现像挥之不去的阴魂,严重阻碍了网络社会的的正常发展。但是,既然它出现了,我们

就应该采取更加积极主动的态度去应对。所谓知己知彼,百战不殆。以下我们先介绍下恶意软

件的常见攻击方式。

1.1.1常见恶意软件

木马、后门与间谍软件是发展速度最迅猛的恶意软件。这类恶意软件的最大用途是使攻击

者能够越过传统的系统认证机制,在所有者不知情的情况下获得计算机系统的访问权限。通常

这些恶意软件很难被检测到。因为他们在设计之初就掩盖了其在系统中的现形,并且执行了原

程序的功能,用户或者系统管理员很难察觉。

1.1.2混合攻击

混合攻击使用多种感染或是攻击方式。通常可以通过电子邮件、windows共享、网路客户

端以及即时通讯和点对点文件共享传播。人们很多时候把混合攻击误认为蠕虫,因为它具有蠕

龙源期刊网

虫的一些特征。由于混合攻击比单一恶意软件更加复杂,更难制造,因此变得更加难以应对,对用

户而言也就更加危险。

1.1.3利用新技术技巧

随着计算机的发展,出现了许多新型恶意软件。Fast-flux技术就是一个范例。Fast-flux技术

是一种域名服务器切换机制,它结合了P2P网络,分布式命令和控制,基于Web的负载均衡和代

理重定向等技术手段来隐藏实施钓鱼攻击的站点.,隐藏网络钓鱼服务网址。Fast-flux技术帮助

网络钓鱼网站保持更长的时间,吸引更多的受害者。例如,研究人员很难识别恶意Storm域名,因

为开发者使用了Fast-flux技术来避免探测。

进程行为2分析恶意软件

在了解了目前比较流行的各类恶意软件之后从系统内进程的角度,对进程的活动方式做出

分析。进程活动主要体现在两种行为特征上:系统行为特征与网络行为特征。

系统行为2.1分析方法

2.1.1系统行为定义

在本文中,将系统行为定义为程序执行过程中产生的能够对系统造成影响的一系列操作序

列。它包括直接影响与间接影响。绝大部分程序在运行过程中,有些对系统地影响不大,如读取

自身内存的操作,这是所有的程序都必须进行的;而有些会对系统产生持久性地影响,比如改写某

个文件,或是创建某个具有权限的用户。还有一类操作,他们本身并不会对直接地对系统造成影

响,但可以通过与另外一些操作组合,完成特殊的功能。这些操作能够间接地对系统造成影响。

本文所关注的是程序运行时对系统环境造成一定影响的操作序列,而不是程序本身的二进制代

码。

2.2.2系统行为分析方法

基于异常的恶意代码检测活动利用被监控系统正常行为的信息作为检测系统中恶意代码攻

击行为和异常活动的依据。在异常恶意代码检测活动中假定所有恶意代码攻击行为都是与正常

行为不同的,这样,如果建立系统正常行为的轨迹,那么理论上是可以把所有与正常轨迹不同的系

统状态视为可疑企图。