發(fā)布時(shí)間：2015-02-04 14:23

　　【 摘 要 】 文章針對(duì)惡意代碼的攻擊原理，介紹了對(duì)惡意代碼的檢測(cè)。通過(guò)因果關(guān)聯(lián)的分析原理檢測(cè)惡意代碼，提高對(duì)惡意代碼等網(wǎng)絡(luò)攻擊的安全防范意識(shí)，更新操作系統(tǒng)發(fā)布的最新安全漏洞補(bǔ)丁，修補(bǔ)操作系統(tǒng)安全漏洞；加強(qiáng)網(wǎng)絡(luò)共享管理；強(qiáng)化密碼設(shè)置，增強(qiáng)安全策略，加強(qiáng)密碼強(qiáng)度。

　　【 關(guān)鍵詞 】 因果關(guān)聯(lián)；惡意代碼；檢測(cè)

　　Based on Causality Analysis of Malicious Code Detection Research and Application
　　Li Zhen-mei
　�。–omputer Department of Jinning Institute ShandongQufu 273155）
　　【 Abstract 】 Aims at the principle of malicious code attack we introduce the malicious code detection. Based on the causal association analysis to test the malicious code can improve the security awareness. We need to update new security hole patch， modify the system security flaw， increase the network sharing management， intensify the password setting， develop the security policy， and strengthen the password strength.
　　【 Keywords 】 causal association； malicious code； detection
　　1 前言
　　隨著計(jì)算機(jī)信息技術(shù)的飛速發(fā)展和普及，計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)滲入到人們的工作學(xué)習(xí)和生活中。在計(jì)算機(jī)和網(wǎng)絡(luò)帶給人們巨大的方便與快捷的同時(shí)，同樣也帶來(lái)了各種負(fù)面的計(jì)算機(jī)安全隱患。在各種安全威脅下，惡意代碼是較為常見(jiàn)的一種入侵方式。惡意代碼對(duì)計(jì)算機(jī)安全的破壞有小有大，小則計(jì)算機(jī)中數(shù)據(jù)丟失、被篡改，大則系統(tǒng)硬件可能被破壞。由于每種惡意代碼在網(wǎng)絡(luò)傳播中的特點(diǎn)各不相同，攻擊階段也各不相同，如果采用傳統(tǒng)的針對(duì)內(nèi)容的檢測(cè)分析無(wú)法高效識(shí)別與普通代碼很相似的惡意代碼。
　　本文提出了一種基于因果關(guān)聯(lián)分析的方法來(lái)檢測(cè)惡意代碼，通過(guò)研究惡意代碼在網(wǎng)絡(luò)傳播中的攻擊模型，以因果關(guān)聯(lián)分析方法為理論依據(jù)，來(lái)檢測(cè)惡意代碼，這種方式提高了對(duì)惡意代碼的檢測(cè)效率，降低了檢測(cè)的誤報(bào)率，并且能夠兼容傳統(tǒng)的數(shù)據(jù)包特征匹配算法。
　　2 簡(jiǎn)介
　　2.1 何為惡意代碼
　　Malware是惡意代碼的專業(yè)術(shù)語(yǔ)。惡意代碼Malware本質(zhì)是一段代碼，只是這段代碼含有一定的對(duì)計(jì)算機(jī)破壞的功能。惡意代碼一般是運(yùn)用計(jì)算機(jī)系統(tǒng)或者軟件的各種漏洞進(jìn)行破壞。一般表現(xiàn)形式是二進(jìn)制文件、腳本或者宏。
　　惡意代碼主要包括計(jì)算機(jī)后門(mén)、計(jì)算機(jī)病毒、特洛伊木馬、惡意移動(dòng)代碼、蠕蟲(chóng)、內(nèi)核套件和僵尸網(wǎng)絡(luò)等。
　　計(jì)算機(jī)后門(mén)是一種通過(guò)使用后門(mén)工具對(duì)目標(biāo)機(jī)器進(jìn)行控制的惡意代碼程序，它能夠繞開(kāi)正常的安全控制機(jī)制。
　　計(jì)算機(jī)病毒的最大特點(diǎn)就是可以自我復(fù)制，具有一定感染性的一段病毒代碼。
　　特洛伊木馬：正如特洛伊歷史事件所描述的類似，該段代碼能夠偽裝成正常有用的軟件博取用戶信任，，一旦用戶點(diǎn)擊打開(kāi)，則暴露出惡意行徑的代碼。
　　惡意移動(dòng)代碼：一般情況下，惡意移動(dòng)代碼是部署在Web服務(wù)器端的，所以它基本不需要過(guò)多的人工干預(yù)。一旦訪問(wèn)已經(jīng)部署惡意代碼的Web服務(wù)器，則本機(jī)就有可能被感染。
　　蠕蟲(chóng)：和計(jì)算機(jī)病毒一樣具有自我復(fù)制性，將自身嵌套進(jìn)宿主程序中運(yùn)行的惡意代碼。
　　內(nèi)核套件：氛圍用戶態(tài)和內(nèi)核態(tài)兩種。一般通過(guò)替換或者修改系統(tǒng)中關(guān)鍵文件，獲取最高控制權(quán)的一類程序代碼。
　　僵尸網(wǎng)絡(luò)：具有網(wǎng)絡(luò)傳播性和惡意性，危害較大。中毒的計(jì)算機(jī)不是一臺(tái)，而是網(wǎng)絡(luò)上的多臺(tái)，感染范圍較大，該惡意代碼控制多臺(tái)網(wǎng)絡(luò)中的計(jì)算機(jī)，使其被感染的計(jì)算機(jī)如同僵尸一般受控制。
　　2.2 惡意代碼工作原理
　　惡意代碼一般通過(guò)四種方式運(yùn)行：利用系統(tǒng)漏洞、嵌入其他文件、偽裝成有用文件和欺騙。惡意代碼可以通過(guò)自我復(fù)制傳染更多的主機(jī)文件或者網(wǎng)絡(luò)上的不同主機(jī)。傳播的介質(zhì)有網(wǎng)絡(luò)電子郵件、計(jì)算機(jī)中的網(wǎng)絡(luò)共享、移動(dòng)介質(zhì)（U盤(pán)、移動(dòng)硬盤(pán)等）、P2P共享、系統(tǒng)本身漏洞等。惡意代碼入侵主機(jī)后，可以通過(guò)修改系統(tǒng)設(shè)置成為系統(tǒng)開(kāi)機(jī)自啟動(dòng)項(xiàng)目中的其中一項(xiàng)，當(dāng)用戶每次開(kāi)機(jī)時(shí)，就啟動(dòng)惡意代碼進(jìn)行非法操作，如發(fā)起非法攻擊、記錄鍵盤(pán)和鼠標(biāo)事件、獲取用戶隱私等等。
　　電子郵件傳播的原理：電子郵件中HTML正文可能被嵌入惡意腳本；郵件附件攜帶病毒壓縮文件或者可執(zhí)行文件。
　　P2P共享：感染P2P共享文件夾，當(dāng)用戶在P2P文件夾中下載文件時(shí)，可能被感染。如WORM、PEERCOPY.A等惡意代碼。
　　網(wǎng)絡(luò)共享：惡意代碼程序中會(huì)存在自身的口令猜測(cè)邏輯進(jìn)行口令猜測(cè)，試圖訪問(wèn)網(wǎng)絡(luò)共享中存在的文件夾，當(dāng)獲取到用戶名和密碼后，將自身惡意代碼拷貝到網(wǎng)絡(luò)共享中，并將自身命名為游戲等名稱吸引眼球，誘導(dǎo)用戶點(diǎn)擊觸發(fā)。

　　系統(tǒng)漏洞：由于操作系統(tǒng)本身有一些設(shè)計(jì)缺陷，導(dǎo)致被非法用戶通過(guò)非法方式利用，執(zhí)行惡意代碼，惡意代碼通過(guò)系統(tǒng)漏洞進(jìn)入系統(tǒng)，達(dá)到感染目的。如Web DAV漏洞、Local Security Authority Subsystem Service漏洞、RPC-DCOM緩沖區(qū)溢出漏洞等是經(jīng)常被利用的漏洞。

 

　　3 因果關(guān)聯(lián)分析
　　3.1 因果關(guān)聯(lián)分析法
　　因果聯(lián)系即有因必有果，萬(wàn)事萬(wàn)物都是存在因果聯(lián)系的。任何結(jié)果的產(chǎn)生都是由因?qū)е碌�。因果�?lián)系中的事物是一種引起與被引起的關(guān)系。因果聯(lián)系理論目前應(yīng)用到很多領(lǐng)域，本文就是將因果聯(lián)系理論應(yīng)用到計(jì)算機(jī)惡意代碼的分析檢測(cè)中。
　　3.2 因果關(guān)聯(lián)應(yīng)用到惡意代碼檢測(cè)
　　關(guān)聯(lián)特征過(guò)濾器的確定。將每個(gè)階段惡意代碼攻擊的數(shù)據(jù)包特征進(jìn)行正則描述，定義成關(guān)聯(lián)特征過(guò)濾器集合T={t1，t2，t3，……，tn}。
　　M個(gè)n維的向量表集合的確定。每個(gè)向量分量為8的倍數(shù)的二進(jìn)制碼，每個(gè)向量對(duì)于一個(gè)IP地址，n維代表共記錄了n種惡意攻擊。每個(gè)內(nèi)網(wǎng)IP地址對(duì)應(yīng)一個(gè)哈希值，惡意代碼對(duì)應(yīng)向量表中的其中一維，向量表中的一個(gè)單元表示與該內(nèi)網(wǎng)IP相關(guān)的數(shù)據(jù)包對(duì)惡意代碼的過(guò)濾情況。狀態(tài)向量集合表的某個(gè)位置被更新時(shí)，應(yīng)該判斷與狀態(tài)向量表位置相對(duì)于的因果關(guān)聯(lián)特征過(guò)濾器的某個(gè)位置是否相等，如果兩個(gè)值相等，則表明此時(shí)更新的是最終的狀態(tài)，如果兩個(gè)值不相等，則表明此時(shí)更新的不是最終的狀態(tài)。
　　數(shù)據(jù)包進(jìn)入n維度的關(guān)聯(lián)特征過(guò)濾器后進(jìn)行匹配分析，如果匹配則進(jìn)一步表名該惡意代碼具有因果關(guān)聯(lián)特征。
　　在因果關(guān)聯(lián)分析中，需要用到一種結(jié)構(gòu)，該結(jié)構(gòu)記錄了源IP地址，目的IP地址，惡意代碼第一次生成時(shí)間，最近一次清理的時(shí)間，惡意代碼編號(hào)，所處的攻擊階段等內(nèi)容信息。需要定期清理可疑IP組，每次清理后將剩下的IP組中的結(jié)構(gòu)更新，同時(shí)將狀態(tài)向量表對(duì)應(yīng)的二進(jìn)制碼歸零。這樣可以節(jié)省部分內(nèi)存空間，減少惡意代碼的誤報(bào)率。
　　需要注意的是，只需要存在一個(gè)n維的狀態(tài)向量表，就可以對(duì)應(yīng)n個(gè)因果關(guān)聯(lián)特征過(guò)濾器T1，T2，T3，……，Tn。
　　因果關(guān)聯(lián)分析法的惡意代碼檢測(cè)流程是：在網(wǎng)絡(luò)中讀取需要檢測(cè)的數(shù)據(jù)包，將數(shù)據(jù)包的來(lái)源IP與高度可疑的IP組相比較，如果發(fā)現(xiàn)該IP在高度可疑IP組中，則進(jìn)入關(guān)聯(lián)特征匹配，如果匹配結(jié)果為是，則進(jìn)一步處理數(shù)據(jù)包。處理數(shù)據(jù)包主要是判斷是否更新向量表，若內(nèi)網(wǎng)地址的數(shù)據(jù)分組與關(guān)聯(lián)特征過(guò)濾器中的成員特征成功匹配，那么內(nèi)網(wǎng)地址對(duì)應(yīng)的向量序號(hào)與對(duì)應(yīng)的惡意代碼進(jìn)行哈希計(jì)算。匹配結(jié)果放置到向量表中的條件是，檢測(cè)的數(shù)據(jù)包需要和一個(gè)關(guān)聯(lián)特征相匹配。具體流程如圖1所示。
　　4 結(jié)束語(yǔ)
　　為了保障聯(lián)入網(wǎng)絡(luò)中的企業(yè)和個(gè)人能夠安全地進(jìn)行各項(xiàng)日常工作和活動(dòng)，計(jì)算機(jī)安全技術(shù)，特別是計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)正在飛速的發(fā)展。由于其互聯(lián)網(wǎng)本身的開(kāi)發(fā)特性，當(dāng)今惡意代碼流行的趨勢(shì)是全球范圍的，攻擊速度越來(lái)越快，幾乎為零日攻擊，一般是幾種網(wǎng)絡(luò)攻擊方式聯(lián)合，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)用戶造成了嚴(yán)重的安全威脅。針對(duì)惡意代碼的攻擊原理，聯(lián)入網(wǎng)絡(luò)中的企業(yè)、個(gè)人等組織應(yīng)該提高對(duì)惡意代碼等網(wǎng)絡(luò)攻擊的安全防范意識(shí)，網(wǎng)絡(luò)管理員應(yīng)該及時(shí)更新操作系統(tǒng)發(fā)布的最新安全漏洞補(bǔ)丁，修補(bǔ)操作系統(tǒng)安全漏洞，加強(qiáng)網(wǎng)絡(luò)共享管理，強(qiáng)化密碼設(shè)置，增強(qiáng)安全策略，加強(qiáng)密碼強(qiáng)度。

 

本文編號(hào)：14062