發(fā)布時間：2015-02-04 14:23

　　【 摘 要 】 文章針對惡意代碼的攻擊原理，介紹了對惡意代碼的檢測。通過因果關聯的分析原理檢測惡意代碼，提高對惡意代碼等網絡攻擊的安全防范意識，更新操作系統(tǒng)發(fā)布的最新安全漏洞補丁，修補操作系統(tǒng)安全漏洞；加強網絡共享管理；強化密碼設置，增強安全策略，加強密碼強度。

　　【 關鍵詞 】 因果關聯；惡意代碼；檢測

　　Based on Causality Analysis of Malicious Code Detection Research and Application
　　Li Zhen-mei
　　（Computer Department of Jinning Institute ShandongQufu 273155）
　　【 Abstract 】 Aims at the principle of malicious code attack we introduce the malicious code detection. Based on the causal association analysis to test the malicious code can improve the security awareness. We need to update new security hole patch， modify the system security flaw， increase the network sharing management， intensify the password setting， develop the security policy， and strengthen the password strength.
　　【 Keywords 】 causal association； malicious code； detection
　　1 前言
　　隨著計算機信息技術的飛速發(fā)展和普及，計算機和計算機網絡已經滲入到人們的工作學習和生活中。在計算機和網絡帶給人們巨大的方便與快捷的同時，同樣也帶來了各種負面的計算機安全隱患。在各種安全威脅下，惡意代碼是較為常見的一種入侵方式。惡意代碼對計算機安全的破壞有小有大，小則計算機中數據丟失、被篡改，大則系統(tǒng)硬件可能被破壞。由于每種惡意代碼在網絡傳播中的特點各不相同，攻擊階段也各不相同，如果采用傳統(tǒng)的針對內容的檢測分析無法高效識別與普通代碼很相似的惡意代碼。
　　本文提出了一種基于因果關聯分析的方法來檢測惡意代碼，通過研究惡意代碼在網絡傳播中的攻擊模型，以因果關聯分析方法為理論依據，來檢測惡意代碼，這種方式提高了對惡意代碼的檢測效率，降低了檢測的誤報率，并且能夠兼容傳統(tǒng)的數據包特征匹配算法。
　　2 簡介
　　2.1 何為惡意代碼
　　Malware是惡意代碼的專業(yè)術語。惡意代碼Malware本質是一段代碼，只是這段代碼含有一定的對計算機破壞的功能。惡意代碼一般是運用計算機系統(tǒng)或者軟件的各種漏洞進行破壞。一般表現形式是二進制文件、腳本或者宏。
　　惡意代碼主要包括計算機后門、計算機病毒、特洛伊木馬、惡意移動代碼、蠕蟲、內核套件和僵尸網絡等。
　　計算機后門是一種通過使用后門工具對目標機器進行控制的惡意代碼程序，它能夠繞開正常的安全控制機制。
　　計算機病毒的最大特點就是可以自我復制，具有一定感染性的一段病毒代碼。
　　特洛伊木馬：正如特洛伊歷史事件所描述的類似，該段代碼能夠偽裝成正常有用的軟件博取用戶信任，，一旦用戶點擊打開，則暴露出惡意行徑的代碼。
　　惡意移動代碼：一般情況下，惡意移動代碼是部署在Web服務器端的，所以它基本不需要過多的人工干預。一旦訪問已經部署惡意代碼的Web服務器，則本機就有可能被感染。
　　蠕蟲：和計算機病毒一樣具有自我復制性，將自身嵌套進宿主程序中運行的惡意代碼。
　　內核套件：氛圍用戶態(tài)和內核態(tài)兩種。一般通過替換或者修改系統(tǒng)中關鍵文件，獲取最高控制權的一類程序代碼。
　　僵尸網絡：具有網絡傳播性和惡意性，危害較大。中毒的計算機不是一臺，而是網絡上的多臺，感染范圍較大，該惡意代碼控制多臺網絡中的計算機，使其被感染的計算機如同僵尸一般受控制。
　　2.2 惡意代碼工作原理
　　惡意代碼一般通過四種方式運行：利用系統(tǒng)漏洞、嵌入其他文件、偽裝成有用文件和欺騙。惡意代碼可以通過自我復制傳染更多的主機文件或者網絡上的不同主機。傳播的介質有網絡電子郵件、計算機中的網絡共享、移動介質（U盤、移動硬盤等）、P2P共享、系統(tǒng)本身漏洞等。惡意代碼入侵主機后，可以通過修改系統(tǒng)設置成為系統(tǒng)開機自啟動項目中的其中一項，當用戶每次開機時，就啟動惡意代碼進行非法操作，如發(fā)起非法攻擊、記錄鍵盤和鼠標事件、獲取用戶隱私等等。
　　電子郵件傳播的原理：電子郵件中HTML正文可能被嵌入惡意腳本；郵件附件攜帶病毒壓縮文件或者可執(zhí)行文件。
　　P2P共享：感染P2P共享文件夾，當用戶在P2P文件夾中下載文件時，可能被感染。如WORM、PEERCOPY.A等惡意代碼。
　　網絡共享：惡意代碼程序中會存在自身的口令猜測邏輯進行口令猜測，試圖訪問網絡共享中存在的文件夾，當獲取到用戶名和密碼后，將自身惡意代碼拷貝到網絡共享中，并將自身命名為游戲等名稱吸引眼球，誘導用戶點擊觸發(fā)。

　　系統(tǒng)漏洞：由于操作系統(tǒng)本身有一些設計缺陷，導致被非法用戶通過非法方式利用，執(zhí)行惡意代碼，惡意代碼通過系統(tǒng)漏洞進入系統(tǒng)，達到感染目的。如Web DAV漏洞、Local Security Authority Subsystem Service漏洞、RPC-DCOM緩沖區(qū)溢出漏洞等是經常被利用的漏洞。

 

　　3 因果關聯分析
　　3.1 因果關聯分析法
　　因果聯系即有因必有果，萬事萬物都是存在因果聯系的。任何結果的產生都是由因導致的。因果聯系中的事物是一種引起與被引起的關系。因果聯系理論目前應用到很多領域，本文就是將因果聯系理論應用到計算機惡意代碼的分析檢測中。
　　3.2 因果關聯應用到惡意代碼檢測
　　關聯特征過濾器的確定。將每個階段惡意代碼攻擊的數據包特征進行正則描述，定義成關聯特征過濾器集合T={t1，t2，t3，……，tn}。
　　M個n維的向量表集合的確定。每個向量分量為8的倍數的二進制碼，每個向量對于一個IP地址，n維代表共記錄了n種惡意攻擊。每個內網IP地址對應一個哈希值，惡意代碼對應向量表中的其中一維，向量表中的一個單元表示與該內網IP相關的數據包對惡意代碼的過濾情況。狀態(tài)向量集合表的某個位置被更新時，應該判斷與狀態(tài)向量表位置相對于的因果關聯特征過濾器的某個位置是否相等，如果兩個值相等，則表明此時更新的是最終的狀態(tài)，如果兩個值不相等，則表明此時更新的不是最終的狀態(tài)。
　　數據包進入n維度的關聯特征過濾器后進行匹配分析，如果匹配則進一步表名該惡意代碼具有因果關聯特征。
　　在因果關聯分析中，需要用到一種結構，該結構記錄了源IP地址，目的IP地址，惡意代碼第一次生成時間，最近一次清理的時間，惡意代碼編號，所處的攻擊階段等內容信息。需要定期清理可疑IP組，每次清理后將剩下的IP組中的結構更新，同時將狀態(tài)向量表對應的二進制碼歸零。這樣可以節(jié)省部分內存空間，減少惡意代碼的誤報率。
　　需要注意的是，只需要存在一個n維的狀態(tài)向量表，就可以對應n個因果關聯特征過濾器T1，T2，T3，……，Tn。
　　因果關聯分析法的惡意代碼檢測流程是：在網絡中讀取需要檢測的數據包，將數據包的來源IP與高度可疑的IP組相比較，如果發(fā)現該IP在高度可疑IP組中，則進入關聯特征匹配，如果匹配結果為是，則進一步處理數據包。處理數據包主要是判斷是否更新向量表，若內網地址的數據分組與關聯特征過濾器中的成員特征成功匹配，那么內網地址對應的向量序號與對應的惡意代碼進行哈希計算。匹配結果放置到向量表中的條件是，檢測的數據包需要和一個關聯特征相匹配。具體流程如圖1所示。
　　4 結束語
　　為了保障聯入網絡中的企業(yè)和個人能夠安全地進行各項日常工作和活動，計算機安全技術，特別是計算機網絡安全技術正在飛速的發(fā)展。由于其互聯網本身的開發(fā)特性，當今惡意代碼流行的趨勢是全球范圍的，攻擊速度越來越快，幾乎為零日攻擊，一般是幾種網絡攻擊方式聯合，對計算機網絡用戶造成了嚴重的安全威脅。針對惡意代碼的攻擊原理，聯入網絡中的企業(yè)、個人等組織應該提高對惡意代碼等網絡攻擊的安全防范意識，網絡管理員應該及時更新操作系統(tǒng)發(fā)布的最新安全漏洞補丁，修補操作系統(tǒng)安全漏洞，加強網絡共享管理，強化密碼設置，增強安全策略，加強密碼強度。

 

本文編號：14062