網(wǎng)絡(luò)惡意代碼協(xié)同識(shí)別與特征提取研究.pdf

1、惡意代碼是各種惡意活動(dòng)的載體和執(zhí)行體，特別是具有聚合效應(yīng)的網(wǎng)絡(luò)惡意代碼危害尤其嚴(yán)重。網(wǎng)絡(luò)惡意代碼是指以網(wǎng)絡(luò)為主要媒介進(jìn)行組織與控制的惡意代碼。具體來(lái)說(shuō)是指：一組惡意代碼通過(guò)網(wǎng)絡(luò)傳遞信息或者獲取命令，并共同協(xié)調(diào)完成攻擊任務(wù)。該組惡意代碼稱為一個(gè)惡意代碼社團(tuán)，該社團(tuán)中的惡意代碼稱為網(wǎng)絡(luò)惡意代碼。網(wǎng)絡(luò)惡意代碼在惡意代碼的基礎(chǔ)上加上了以網(wǎng)絡(luò)為媒介以及具有組織性、社團(tuán)性的屬性?？焖僮R(shí)別網(wǎng)絡(luò)惡意代碼并對(duì)已識(shí)別的網(wǎng)絡(luò)惡意代碼提取特征抑制其再次危害是當(dāng)

2、前網(wǎng)絡(luò)安全研究中一個(gè)關(guān)鍵問(wèn)題。然而識(shí)別網(wǎng)絡(luò)惡意代碼與提取特征變得越來(lái)越困難，主要原因是網(wǎng)絡(luò)惡意代碼：數(shù)量巨大且成指數(shù)級(jí)增長(zhǎng)；采用越來(lái)越復(fù)雜的技術(shù)，比如消息加密、多種攻擊向量、變形技術(shù)等等，尤其是代碼混淆技術(shù)；社團(tuán)的樣本全球分散并且每個(gè)樣本具有較高的隱蔽性，因而造成單點(diǎn)可觀察到屬于同一社團(tuán)的樣本數(shù)目非常少。已有惡意代碼識(shí)別與特征提取系統(tǒng)要么是集中式處理系統(tǒng)（包括分布式采集集中處理和單點(diǎn)處理系統(tǒng)），存在計(jì)算和通信瓶頸或者識(shí)別精度低的問(wèn)題；要

3、么是只能識(shí)別簡(jiǎn)單的惡意代碼或者惡意代碼的特定階段的分布式處理系統(tǒng)。因而本論文提出一種針對(duì)復(fù)雜的網(wǎng)絡(luò)惡意代碼的分布的網(wǎng)絡(luò)惡意代碼協(xié)同防護(hù)系統(tǒng)。網(wǎng)絡(luò)惡意代碼協(xié)同防護(hù)系統(tǒng)包括特征表示、檢測(cè)引擎節(jié)點(diǎn)間的信息共享結(jié)構(gòu)、網(wǎng)絡(luò)惡意代碼協(xié)同識(shí)別模型、網(wǎng)絡(luò)惡意代碼協(xié)同特征提取四個(gè)部分。
　　本研究主要內(nèi)容包括：⑴提出一種可抵抗代碼混淆技術(shù)、提取代價(jià)小且匹配高效的基于資源操作約束的惡意代碼行為特征描述機(jī)制RRMBR。針對(duì)代碼混淆技術(shù)自然有效的行為依賴

4、圖成為當(dāng)前流行的特征表示，然而用行為依賴圖匹配惡意代碼運(yùn)行軌跡的過(guò)程是一個(gè)NP-完全問(wèn)題，造成行為依賴圖無(wú)法應(yīng)用于實(shí)時(shí)檢測(cè)引擎中。RRMBR行為特征以惡意代碼的資源為粒度來(lái)約束操作行為，將行為分為資源內(nèi)操作約束和所操作資源間的順序約束，極大的簡(jiǎn)化了行為表示的復(fù)雜度。與行為依賴圖特征相比，RRMBR行為特征雖然在匹配效果上顯得略遜，但在匹配時(shí)間上具有絕對(duì)優(yōu)勢(shì)。RRMBR的優(yōu)勢(shì)在于：由于提取RRMBR所需的系統(tǒng)調(diào)用序列可以在主機(jī)端在線獲取且

5、獲取代價(jià)很低因而可以在線提取RRMBR特征，降低提取特征的延遲；可以很自然的將行為劃分為相對(duì)獨(dú)立的行為片段，從而方便分布在各地的惡意代碼檢測(cè)引擎通過(guò)行為片段共享來(lái)發(fā)現(xiàn)屬于同一社團(tuán)的行為相似但不同的惡意代碼樣本，達(dá)到協(xié)同識(shí)別惡意代碼社團(tuán)的目的。⑵提出一種高效的基于DHT 匯聚點(diǎn)的信息全局屬性統(tǒng)計(jì)與共享結(jié)構(gòu)RenShare。協(xié)同共享結(jié)構(gòu)RenShare以傳統(tǒng)的DHT網(wǎng)絡(luò)為基礎(chǔ)，將DHT網(wǎng)絡(luò)中每個(gè)節(jié)點(diǎn)作為其所負(fù)責(zé)的關(guān)鍵字空間所對(duì)應(yīng)的資源（信息

6、）的匯聚點(diǎn)，將所有參與共享的節(jié)點(diǎn)所擁有的的相同信息匯聚到一起，得到信息的全局視圖并進(jìn)行全局屬性統(tǒng)計(jì)，然后將信息的全局屬性統(tǒng)計(jì)返回給參與共享的節(jié)點(diǎn)，從而使得所有參與共享的節(jié)點(diǎn)都得到信息的全局屬性，獲得信息的（部分）全局視圖。RenShare與基于應(yīng)用層組播的共享方式相比，具有如下的優(yōu)勢(shì)：通信開(kāi)銷低；于每個(gè)節(jié)點(diǎn)只看到其所負(fù)責(zé)的信息，具有良好的隱私保護(hù)屬性。⑶提出一個(gè)主機(jī)與網(wǎng)絡(luò)合作的、可抵抗混淆技術(shù)的、可擴(kuò)展的、能夠識(shí)別各種復(fù)雜惡意代碼社團(tuán)的

7、協(xié)同識(shí)別系統(tǒng)ENDMal。采用混淆技術(shù)及全網(wǎng)分散的惡意代碼社團(tuán)有其固有的本質(zhì)特性：）成員樣本一般是不需要用戶干涉的自動(dòng)程序，并且利用網(wǎng)絡(luò)來(lái)實(shí)施它們的惡意活動(dòng)或者獲得命令與控制等；不同成員樣本具有一定的行為相似性，存在某些功能相同，因而共享一些相同的行為片段；被感染的主機(jī)在全網(wǎng)分散，因而感染主機(jī)集合的地址分散度較高。ENDMal系統(tǒng)采用協(xié)同共享結(jié)構(gòu)RenShare來(lái)共享不同檢測(cè)引擎節(jié)點(diǎn)中可疑程序的行為片段，然后根據(jù)行為片段在全網(wǎng)的地址分布

8、來(lái)智能的識(shí)別哪些可疑程序是屬于同一社團(tuán)的，并根據(jù)社團(tuán)是否表現(xiàn)出上述的3個(gè)本質(zhì)特性來(lái)判斷所屬可疑程序是否是惡意的。ENDMal系統(tǒng)采用主機(jī)發(fā)現(xiàn)可疑程序并通過(guò)網(wǎng)絡(luò)通信特點(diǎn)確認(rèn)的主機(jī)與網(wǎng)絡(luò)合作方式，識(shí)別惡意代碼更準(zhǔn)確。⑷提出一種全局融合的惡意代碼行為特征協(xié)同提取方法。以識(shí)別出的惡意代碼樣本為輸入，分布式協(xié)同融合同一社團(tuán)的所有惡意代碼樣本并提取全局精確的行為特征。行為特征協(xié)同提取方法首先以惡意代碼樣本所屬社團(tuán)的共同行為片段集為依據(jù)對(duì)樣本集進(jìn)行本

9、地聚類，其次為每一個(gè)聚類提取本地RRMBR行為特征，之后在檢測(cè)引擎節(jié)點(diǎn)間共享本地RRMBR行為特征的行為片段并計(jì)算各個(gè)特征間的相似性，然后以相似度為依據(jù)在本地RRMBR行為特征間構(gòu)建一棵分布式生成樹(shù)，之后沿著分布式生成樹(shù)聚合本地RRMBR行為特征并在生成樹(shù)的中間節(jié)點(diǎn)逐步融合得到中間RRMBR行為特征，最后在分布樹(shù)的根節(jié)點(diǎn)處融合了社團(tuán)的所有樣本并生成全局精確的行為特征。理想情況下，每個(gè)惡意代碼社團(tuán)都有一棵對(duì)應(yīng)的分布式生成樹(shù)來(lái)聚合該社團(tuán)的所