本站原创摘 要:文章首先对计算机恶意软件作一概论,针对恶意软件的特点,种类,介绍恶意软件主要的检测技术,在此基础上,针对基于免疫原理的恶意软件检测方法,论述了其原理、特点、发展,并提出了自己的一种实现方法,该方法通过采用程序运行时所产生的IRP序列与检测器的匹配,可实现对绝大多数“非己”成份的判别,从而达到未知恶意软件的检测目标.
关 键 词:恶意软件;特征码检测;行为检测;启发式检测;免疫原理检测
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)24-5810-03
MalwareanditsDetectionMethod
SHIXu-ning
(TongchuanVocationalandTechnicalCollege,Tongchuan727031,China)
Abstract:Inthisarticle,Iintroducedputermalwaresgenerally,includingtheirtypes,featuresandthemaintestingtechniques,andspeciallygeadetailedintroductionofmyuniquetechniqueschemewhichisbasedondetectionofimmuneprinciple.Idiscusseditsprinciples,characteristics,development,andproposedmyimplementationmethod,themethodcandetectthemajorityof"non-self"ponentbymatchingtheIRPsequenceandthedetectorwhicharecreatedbyrunningprograms,soastoachievethegoalofdetectingunknownmalware.
Keywords:malware,signaturedetection,behiordetection,heuristicdetection,detectionofimmuneprinciple
随着信息技术,特别是互联网的高速发展,网络安全问题正受到人们越来越多地关注,对网络安全的诸多威胁中,恶意软件无疑是危害最大的,这也成为网络安全领域研究的焦点.如何对计算机系统和网络中的各种非法行为进行有效检测和抑制,成为当今计算机安全亟待解决的重要问题等
1恶意软件概论
1.1恶意软件的定义及特征
最复杂的一类计算机系统威胁来自于那些利用系统漏洞的程序(在此我们关注应用程序和公共程序),这类威胁称作恶意软件(MaliciousSoftware).恶意软件是一种被设计用来对目标计算机造成破坏或者占用目标计算机资源的软件.它常被封装或伪装到合法软件中,在某些情况下通过E-mail或可移动存储介质等方式向其他计算机传播.
1.2恶意软件的分类
恶意软件可以分为两类:需要主机程序的恶意软件和独立的恶意软件.前者又称为寄生恶意软件,其不能作为某个实际程序、公共程序或系统程序独立存在的程序片段,例如病毒和逻辑炸弹.后者是独立的程序,可以被操作系统调度或运行,例如蠕虫和僵尸网络.也可通过是否可复制对恶意软件进行分类.不进行复制的恶意软件是被触发器激活的程序或程序片段,例如后门和僵尸网络.进行复制的恶意软件在执行时可能生成若干个自身副本,并在当前系统或其他系统中被激活,例如病毒.
1.3恶意软件的危害
恶意软件在未明确提示用户或未经用户许可的情况下,于目标计算机或其他终端上安装运行,其一般具有下述行为的一种或多种:强制安装、浏览器劫持、窃取、修改用户数据、恶意收集用户信息、恶意卸载、恶意捆绑及其他侵犯用户知情权、选择权的恶意行为等.这些行为将严重侵犯用户合法权益,甚至将为用户及他人带来巨大的经济或其他形式的利益损失.
2恶意软件检测的传统方式
当前恶意软件的检测技术主要有特征码检测法、行为检测法和启发式检测法.这些技术原理各异,各自优点突出而迷人,缺点明显却又难以弥补.这些技术的广泛应用有其深刻内因,对其研究以“知己”也不乏驱动.
2.1特征码检测法
特征码是被确定为只有某种恶意软件才可能会有的一串二进制字符串,而这字符串通常是文件里对应的代码或汇编指令的地址.特征码检测法通过采集恶意软件样本,提取其特征码,检测时将特征码与检测样本比较,判断是否有样本片段与此特征码吻合,从而判定该软件是否为恶意软件.特征码检测法速度快,误报率低,且占用资源少;但该方法只能检测已知病毒,对于目前广泛传播的变形病毒、多态病毒等无能为力.
特征码检测法的高速高效使其被当前主流杀毒软件所采用.在某一种恶意软件极度流行时,反病毒公司一般会采取计算整个恶意软件的MD5或SHA-256作为特征码的方法来加快查杀效率.
2.2行为检测法
行为检测法利用恶意软件的特有行为特性检测病毒.恶意软件通常会有一些共同行为,且该类行为比较特殊,在正常程序中较为罕见.当程序运行时,监视其行为,如果发现了恶意软件行为,即可判定该软件是为恶意软件.行为检测法可发现未知病毒、可相当准确地预报多数未知病毒,但其误报率较高,且实现困难.
行为检测法因可检测多数未知病毒而备受亲睐,深入的研究带来了该技术的不断发展与成熟,从而使该技术得到不断的推广.一般的恶意软件行为包括:占用INT13H、修改DOS系统数据区的内存总量、以COM和EXE文件做写入动作、病毒程序与宿主程序的切换等.通过对这些行为的监控,即可实现较为理想的恶意软件检测.
2.3启发式检测法
启发式检测法是虚拟机检测和行为检测的结合,从工作原理上可分为静态启发和动态启发两种,静态启发式通过简单的反编译,在不运行恶意软件的情况下,核对恶意软件头静态指令从而确定恶意软件的一种技术.动态启发式通过杀软内置的虚拟机技术,给恶意软件构建一个仿真的运行环境,诱使恶意软件在杀软的模拟缓冲区中运行,如运行过程中检测到可疑的动作,则判定为危险程序.启发式检测法优点在于对未知病毒的防御,但针对不同类型的恶意软件,需要用完全不同的规则来构建启发式分析器的判断逻辑,实现较为困难,占有系统资源较多,还会导致过多的虚警,并存在可绕过方法.
启发式检测法属于主动防御的一种,其主要针对:木马、间谍、后门、下载者、已知病毒的变种,是当前对付未知病毒的主要手段.该方法作为特征检测技术的辅助手段,已经用实践经验证明了是检测病毒的一个成功手段,它具备某种人工智能特点,向我们展示了实现一种通用的、不依赖于升级的恶意软件检测技术和产品的可能性.因此启发式检测法具有广阔的应用前景,但其自身的难以克服的缺点极大限制了它的发展.
3基于免疫原理的恶意软件检测
3.1免疫原理检测法的原理
基于生物免疫原理的恶意软件检测法主要模拟生物免疫系统中核心思想,包括抗体的产生、自体耐受、克隆、免疫记忆等.
该方法的基本原理:计算机系统看作“自体”,把恶意软件看作“非自体”或者“抗原”,通过已知恶意软件可以生成相应的“抗体”,该抗体能够识别“抗原”,且“抗体”按照一定的算法进行变异和进化,可以实现免疫应答(即一次应答识别新“抗原”,二次应答识别旧“抗原”),并保持自适应性和自稳定性的特征.该原理的核心在于能够有效检测已知恶意软件并自适应识别未知恶意软件.
3.2免疫原理检测法的特点
生物免疫系统具有良好的多样性、分布性、自学习、自适应和鲁棒性等,将生物免疫原理应用到恶意病毒检测中,使得这些优秀特性得到了极大发挥.理论研究表明,基于生物免疫原理的恶意软件检测系统能够有效检测已知、未知的恶意软件,在实现较高检测率的同时,可极大限度的控制误报漏报率.同时,随着系统的不断“学习”,这种优势将愈加明显.
3.3免疫原理检测法的一种实现
1)抗原、抗体定义
抗原:采用恶意软件运行时产生的IRP请求序列Ë 16;为抗原.可选取部分高频率IRP请求类型作为抗原组成(例如IRP_MJ_CREATE、RP_MJ_CLEANUP等,最高频的八种IRP请求类型即占总数的98.68%).
抗体:采用可与抗原相匹配的IRP请求序列作为抗体(即检测器).检测器可分为三种,未成熟检测器:系统随机生成,需经过自体耐受才可以进行检测;成熟检测器:经过自体耐受后存活的未成熟检测器;记忆检测器:成熟检测器匹配到非自体抗原,且达到一定阈值后激活产生.
2)实现框架
①准备阶段:首先收集合理数量的正常程序运行时产生的IRP请求序列,即自体集合,以供自体耐受使用;之后随机产生大量未成熟检测器,以自体集合为基础对其进行自体耐受,得到一定数量的成熟检测器,并丢弃已经过自体耐受的未成熟检测器.通过该准备阶段,该实现已初步具备了恶意软件检测能力.
②检测阶段:对待检测软件进行检测时,首先将其产生的IRP序列与记忆检测器集合(初始阶段为空)进行匹配,若达到一定阈值,则将该软件判定为恶意软件,并对与该恶意软件匹配的记忆检测器进行克隆变异,产生部分未成熟检测器(需对这些未成熟检测器进行自体耐受,以产生成熟检测器用来更新、扩充成熟检测器集合);若未达到设定阈值,则将待检测软件产生的IRP序列与成熟检测器集合进行匹配,若达到一定阈值,则将该软件判定为恶意软件,并对与该恶意软件匹配的成熟检测器激活为记忆检测器,从成熟检测器集合中删除,并加入记忆检测器集合,同时对其进行克隆变异,产生部分未成熟检测器(同样需对这些未成熟检测器进行自体耐受,以产生成熟检测器用来更新、扩充成熟检测器集合);若依旧未达到设定阈值,则该待测软件安全,非恶意软件.
3)关键过程描述
①自体耐受:未成熟检测器需要经过自体耐受,以生成成熟检测器.即当未成熟检测器与自体集合相匹配时将其丢弃,否则即可将其激活为成熟检测器.其中,检测器长度、匹配度、最大匹配阈值等需根据实践统计结果确定.匹配算法可采用柔性字符串匹