论文部分内容阅读
恶意代码是各种恶意活动的载体和执行体,特别是具有聚合效应的网络恶意代码危害尤其严重。网络恶意代码是指以网络为主要媒介进行组织与控制的恶意代码。具体来说是指:一组恶意代码通过网络传递信息或者获取命令,并共同协调完成攻击任务。该组恶意代码称为一个恶意代码社团,该社团中的恶意代码称为网络恶意代码。网络恶意代码在恶意代码的基础上加上了以网络为媒介以及具有组织性、社团性的属性。快速识别网络恶意代码并对已识别的网络恶意代码提取特征抑制其再次危害是当前网络安全研究中一个关键问题。然而识别网络恶意代码与提取特征变得越来越困难,主要原因是网络恶意代码:1)数量巨大且成指数级增长;2)采用越来越复杂的技术,比如消息加密、多种攻击向量、变形技术等等,尤其是代码混淆技术;3)同一;社团的样本全球分散并且每个样本具有较高的隐蔽性,因而造成单点可观察到属于同一社团的样本数目非常少。已有恶意代码识别与特征提取系统要么是集中式处理系统(包括分布式采集集中处理和单点处理系统),存在计算和通信瓶颈或者识别精度低的问题;要么是只能识别简单的恶意代码或者恶意代码的特定阶段的分布式处理系统。因而本论文提出一种针对复杂的网络恶意代码的分布的网络恶意代码协同防护系统。网络恶意代码协同防护系统包括特征表示、检测引擎节点间的信息共享结构、网络恶意代码协同识别模型、网络恶意代码协同特征提取四个部分。本文在归纳总结现有工作的基础上,针对网络恶意代码协同防护系统四个部分面临的问题展开研究,主要研究成果如下:1.提出一种可抵抗代码混淆技术、提取代价小且匹配高效的基于资源操作约束的恶意代码行为特征描述机制RRMBR针对代码混淆技术自然有效的行为依赖图成为当前流行的特征表示,然而用行为依赖图匹配恶意代码运行轨迹的过程是一个NP-完全问题,造成行为依赖图无法应用于实时检测引擎中。RRMBR(Resource-level operations Restriction based Malware Behavioral signature p Resentation)行为特征以恶意代码的资源为粒度来约束操作行为,将行为分为资源内操作约束和所操作资源间的顺序约束,极大的简化了行为表示的复杂度。与行为依赖图特征相比,RRMBR行为特征虽然在匹配效果上显得略逊,但在匹配时间上具有绝对优势。RRMBR的优势在于:1)由于提取RRMBR所需的系统调用序列可以在主机端在线获取且获取代价很低因而可以在线提取RRMBR特征,降低提取特征的延迟;2)可以很自然的将行为划分为相对独立的行为片段,从而方便分布在各地的恶意代码检测引擎通过行为片段共享来发现属于同一社团的行为相似但不同的恶意代码样本,达到协同识别恶意代码社团的目的。2.提出一种高效的基于DHT汇聚点的信息全局属性统计与共享结构Ren Share协同共享结构Ren Share(RENdezvous-based Sharing infrastructure)以传统的DHT网络为基础,将DHT网络中每个节点作为其所负责的关键字空间所对应的资源(信息)的汇聚点,将所有参与共享的节点所拥有的的相同信息汇聚到一起,得到信息的全局视图并进行全局属性统计,然后将信息的全局属性统计返回给参与共享的节点,从而使得所有参与共享的节点都得到信息的全局属性,获得信息的(部分)全局视图。Ren Share与基于应用层组播的共享方式相比,具有如下的优势:1)通信开销低,2)由于每个节点只看到其所负责的信息,具有良好的隐私保护属性。3.提出一个主机与网络合作的、可抵抗混淆技术的、可扩展的、能够识别各种复杂恶意代码社团的协同识别系统ENDMal采用混淆技术及全网分散的恶意代码社团有其固有的本质特性:1)成员样本一般是不需要用户干涉的自动程序,并且利用网络来实施它们的恶意活动或者获得命令与控制等;2)不同成员样本具有一定的行为相似性,存在某些功能相同,因而共享一些相同的行为片段;3)被感染的主机在全网分散,因而感染主机集合的地址分散度较高。ENDMal系统采用协同共享结构Ren Share来共享不同检测引擎节点中可疑程序的行为片段,然后根据行为片段在全网的地址分布来智能的识别哪些可疑程序是属于同一社团的,并根据社团是否表现出上述的3个本质特性来判断所属可疑程序是否是恶意的。ENDMal系统采用主机发现可疑程序并通过网络通信特点确认的主机与网络合作方式,识别恶意代码更准确。4.提出一种全局融合的恶意代码行为特征协同提取方法以识别出的恶意代码样本为输入,分布式协同融合同一社团的所有恶意代码样本并提取全局精确的行为特征。行为特征协同提取方法首先以恶意代码样本所属社团的共同行为片段集为依据对样本集进行本地聚类,其次为每一个聚类提取本地RRMBR行为特征,之后在检测引擎节点间共享本地RRMBR行为特征的行为片段并计算各个特征间的相似性,然后以相似度为依据在本地RRMBR行为特征间构建一棵分布式生成树,之后沿着分布式生成树聚合本地RRMBR行为特征并在生成树的中间节点逐步融合得到中间RRMBR行为特征,最后在分布树的根节点处融合了社团的所有样本并生成全局精确的行为特征。理想情况下,每个恶意代码社团都有一棵对应的分布式生成树来聚合该社团的所有样本及融合提取该社团所属样本共同的行为特征。该方法实现了全分布的、负载均衡的、全局融合的恶意代码行为特征协同提取。