網(wǎng)絡(luò)惡意代碼協(xié)同識別與特征提取研究.pdf

1、惡意代碼是各種惡意活動的載體和執(zhí)行體，特別是具有聚合效應(yīng)的網(wǎng)絡(luò)惡意代碼危害尤其嚴(yán)重。網(wǎng)絡(luò)惡意代碼是指以網(wǎng)絡(luò)為主要媒介進行組織與控制的惡意代碼。具體來說是指：一組惡意代碼通過網(wǎng)絡(luò)傳遞信息或者獲取命令，并共同協(xié)調(diào)完成攻擊任務(wù)。該組惡意代碼稱為一個惡意代碼社團，該社團中的惡意代碼稱為網(wǎng)絡(luò)惡意代碼。網(wǎng)絡(luò)惡意代碼在惡意代碼的基礎(chǔ)上加上了以網(wǎng)絡(luò)為媒介以及具有組織性、社團性的屬性?？焖僮R別網(wǎng)絡(luò)惡意代碼并對已識別的網(wǎng)絡(luò)惡意代碼提取特征抑制其再次危害是當(dāng)

2、前網(wǎng)絡(luò)安全研究中一個關(guān)鍵問題。然而識別網(wǎng)絡(luò)惡意代碼與提取特征變得越來越困難，主要原因是網(wǎng)絡(luò)惡意代碼：數(shù)量巨大且成指數(shù)級增長；采用越來越復(fù)雜的技術(shù)，比如消息加密、多種攻擊向量、變形技術(shù)等等，尤其是代碼混淆技術(shù)；社團的樣本全球分散并且每個樣本具有較高的隱蔽性，因而造成單點可觀察到屬于同一社團的樣本數(shù)目非常少。已有惡意代碼識別與特征提取系統(tǒng)要么是集中式處理系統(tǒng)（包括分布式采集集中處理和單點處理系統(tǒng)），存在計算和通信瓶頸或者識別精度低的問題；要

3、么是只能識別簡單的惡意代碼或者惡意代碼的特定階段的分布式處理系統(tǒng)。因而本論文提出一種針對復(fù)雜的網(wǎng)絡(luò)惡意代碼的分布的網(wǎng)絡(luò)惡意代碼協(xié)同防護系統(tǒng)。網(wǎng)絡(luò)惡意代碼協(xié)同防護系統(tǒng)包括特征表示、檢測引擎節(jié)點間的信息共享結(jié)構(gòu)、網(wǎng)絡(luò)惡意代碼協(xié)同識別模型、網(wǎng)絡(luò)惡意代碼協(xié)同特征提取四個部分。
　　本研究主要內(nèi)容包括：⑴提出一種可抵抗代碼混淆技術(shù)、提取代價小且匹配高效的基于資源操作約束的惡意代碼行為特征描述機制RRMBR。針對代碼混淆技術(shù)自然有效的行為依賴

4、圖成為當(dāng)前流行的特征表示，然而用行為依賴圖匹配惡意代碼運行軌跡的過程是一個NP-完全問題，造成行為依賴圖無法應(yīng)用于實時檢測引擎中。RRMBR行為特征以惡意代碼的資源為粒度來約束操作行為，將行為分為資源內(nèi)操作約束和所操作資源間的順序約束，極大的簡化了行為表示的復(fù)雜度。與行為依賴圖特征相比，RRMBR行為特征雖然在匹配效果上顯得略遜，但在匹配時間上具有絕對優(yōu)勢。RRMBR的優(yōu)勢在于：由于提取RRMBR所需的系統(tǒng)調(diào)用序列可以在主機端在線獲取且

5、獲取代價很低因而可以在線提取RRMBR特征，降低提取特征的延遲；可以很自然的將行為劃分為相對獨立的行為片段，從而方便分布在各地的惡意代碼檢測引擎通過行為片段共享來發(fā)現(xiàn)屬于同一社團的行為相似但不同的惡意代碼樣本，達(dá)到協(xié)同識別惡意代碼社團的目的。⑵提出一種高效的基于DHT 匯聚點的信息全局屬性統(tǒng)計與共享結(jié)構(gòu)RenShare。協(xié)同共享結(jié)構(gòu)RenShare以傳統(tǒng)的DHT網(wǎng)絡(luò)為基礎(chǔ)，將DHT網(wǎng)絡(luò)中每個節(jié)點作為其所負(fù)責(zé)的關(guān)鍵字空間所對應(yīng)的資源（信息

6、）的匯聚點，將所有參與共享的節(jié)點所擁有的的相同信息匯聚到一起，得到信息的全局視圖并進行全局屬性統(tǒng)計，然后將信息的全局屬性統(tǒng)計返回給參與共享的節(jié)點，從而使得所有參與共享的節(jié)點都得到信息的全局屬性，獲得信息的（部分）全局視圖。RenShare與基于應(yīng)用層組播的共享方式相比，具有如下的優(yōu)勢：通信開銷低；于每個節(jié)點只看到其所負(fù)責(zé)的信息，具有良好的隱私保護屬性。⑶提出一個主機與網(wǎng)絡(luò)合作的、可抵抗混淆技術(shù)的、可擴展的、能夠識別各種復(fù)雜惡意代碼社團的

7、協(xié)同識別系統(tǒng)ENDMal。采用混淆技術(shù)及全網(wǎng)分散的惡意代碼社團有其固有的本質(zhì)特性：）成員樣本一般是不需要用戶干涉的自動程序，并且利用網(wǎng)絡(luò)來實施它們的惡意活動或者獲得命令與控制等；不同成員樣本具有一定的行為相似性，存在某些功能相同，因而共享一些相同的行為片段；被感染的主機在全網(wǎng)分散，因而感染主機集合的地址分散度較高。ENDMal系統(tǒng)采用協(xié)同共享結(jié)構(gòu)RenShare來共享不同檢測引擎節(jié)點中可疑程序的行為片段，然后根據(jù)行為片段在全網(wǎng)的地址分布

8、來智能的識別哪些可疑程序是屬于同一社團的，并根據(jù)社團是否表現(xiàn)出上述的3個本質(zhì)特性來判斷所屬可疑程序是否是惡意的。ENDMal系統(tǒng)采用主機發(fā)現(xiàn)可疑程序并通過網(wǎng)絡(luò)通信特點確認(rèn)的主機與網(wǎng)絡(luò)合作方式，識別惡意代碼更準(zhǔn)確。⑷提出一種全局融合的惡意代碼行為特征協(xié)同提取方法。以識別出的惡意代碼樣本為輸入，分布式協(xié)同融合同一社團的所有惡意代碼樣本并提取全局精確的行為特征。行為特征協(xié)同提取方法首先以惡意代碼樣本所屬社團的共同行為片段集為依據(jù)對樣本集進行本

9、地聚類，其次為每一個聚類提取本地RRMBR行為特征，之后在檢測引擎節(jié)點間共享本地RRMBR行為特征的行為片段并計算各個特征間的相似性，然后以相似度為依據(jù)在本地RRMBR行為特征間構(gòu)建一棵分布式生成樹，之后沿著分布式生成樹聚合本地RRMBR行為特征并在生成樹的中間節(jié)點逐步融合得到中間RRMBR行為特征，最后在分布樹的根節(jié)點處融合了社團的所有樣本并生成全局精確的行為特征。理想情況下，每個惡意代碼社團都有一棵對應(yīng)的分布式生成樹來聚合該社團的所