基于頻繁行為挖掘的未知木馬檢測技術(shù)

◆焦 棟 敖乃翔 王 辰

基于頻繁行為挖掘的未知木馬檢測技術(shù)

◆焦 棟 敖乃翔 王 辰

（中國電子科技集團(tuán)公司中國電子科學(xué)研究院 北京 100041）

本文針對木馬檢測技術(shù)的研究現(xiàn)狀和難題，提出了頻繁行為挖掘的未知木馬檢測技術(shù)。通過對歷史木馬的行為序列進(jìn)行據(jù)挖掘分析，形成頻繁行為知識庫，然后采用樸素貝葉斯算法，快速判定目標(biāo)程序是木馬程序的可能性，并關(guān)聯(lián)目標(biāo)程序與知識庫中頻繁行為序列，尋找最相似行為，采用匹配序列的后綴行為預(yù)測木馬后續(xù)攻擊。

未知木馬；頻繁行為；木馬檢測

0 前言

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)開始大規(guī)模的覆蓋人們?nèi)粘Ｉ?、工作、學(xué)習(xí)的各個(gè)領(lǐng)域。在享受網(wǎng)絡(luò)帶來的巨大便利的同時(shí)，人們也面臨著嚴(yán)重的安全威脅。尤其是在“互聯(lián)網(wǎng)+”與工業(yè)4.0的推動下，移動互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等與現(xiàn)代制造業(yè)結(jié)合，使得傳統(tǒng)相對安全的隔離工業(yè)網(wǎng)絡(luò)，面臨著更加嚴(yán)峻的網(wǎng)絡(luò)安全威脅。

木馬作為一種攻擊工具，被網(wǎng)絡(luò)攻擊者利用，進(jìn)行賬號、機(jī)密文件、隱私信息等的竊取，從而為其謀取利益，嚴(yán)重威脅著互聯(lián)網(wǎng)用戶的隱私和數(shù)據(jù)安全。而當(dāng)木馬被用來進(jìn)行針對國家重要信息系統(tǒng)與關(guān)鍵基礎(chǔ)設(shè)施的高級持續(xù)性威脅（APT）攻擊時(shí)，將會造成更加嚴(yán)重的后果。據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）統(tǒng)計(jì)，2015年共發(fā)現(xiàn)10.5萬余個(gè)木馬和僵尸網(wǎng)絡(luò)控制端，控制了我國境內(nèi)1978萬余臺主機(jī)。其中，位于我國境內(nèi)的控制端近4.1萬個(gè)。而在國家重要信息系統(tǒng)方面,2015年我國境內(nèi)有近5000個(gè)IP地址感染了竊密木馬，存在失泄密和運(yùn)行安全風(fēng)險(xiǎn)。通過以上數(shù)據(jù)分析，木馬仍然是黑客進(jìn)行網(wǎng)絡(luò)竊密的重要手段，且感染數(shù)量龐大，范圍廣泛。而隨著信息技術(shù)的發(fā)展，木馬也在不斷采用新技術(shù)、新方法進(jìn)行演進(jìn)，例如OceanLotus特種木馬等，具備著文件偽裝、隨機(jī)加密、自我銷毀等技術(shù)能力,甚至使用云控技術(shù),以增強(qiáng)木馬攻擊的危險(xiǎn)性、不確定性,以及被識別查殺的難度。

1 木馬查殺技術(shù)研究

目前，國內(nèi)外主流的木馬檢測技術(shù)主要可以分為兩大類:一是基于特征碼檢測技術(shù)和二是基于木馬行為特征檢測技術(shù)。

基于特征碼的木馬檢測技術(shù):分析已知木馬和被感染的系統(tǒng)文件，分析挖掘出木馬特征，并構(gòu)建木馬樣本特征庫，這些特征是通過分析木馬在目標(biāo)程序中運(yùn)行時(shí)進(jìn)程名稱、木馬原始文件及生成的文件的特征字符串、文件大小及所在目錄、啟動加載的方式、生成的文件名、使用的固定端口等信息得出。當(dāng)檢測目標(biāo)程序是否為木馬時(shí)，通過目標(biāo)程序與被感染文件的特征匹配特征庫中的特征碼，如果匹配，則表示目標(biāo)為木馬。該類方法只能識別已知木馬，雖然具有較高的準(zhǔn)確率，但卻無法識別未知木馬程序。同時(shí)如果系統(tǒng)中裝了未知Rootkit后，常規(guī)的特征碼檢測反病毒軟件將無法發(fā)現(xiàn)Rootkit在系統(tǒng)中的存在[1,2]。

基于行為特征的木馬檢測技術(shù):利用木馬特有的行為特征來檢測木馬的一種方法。該類方法主要是通過對木馬進(jìn)行長期的觀察、分析、研究和歸納，提取出木馬的特異性行為特征，而這些行為或行為組合在正常程序中不常出現(xiàn)。通過監(jiān)視程序運(yùn)行時(shí)的行為，如果發(fā)現(xiàn)了木馬行為特征，系統(tǒng)就會發(fā)出可疑木馬程序報(bào)警，并采取相應(yīng)措施。主要的木馬行為特征有:對可執(zhí)行文件做寫入操作、盜用截流系統(tǒng)中斷、寫引導(dǎo)扇區(qū)、執(zhí)行格式化磁盤、修改注冊表、修改啟動項(xiàng)、修改文件關(guān)聯(lián)、注冊為系統(tǒng)服務(wù)、創(chuàng)建網(wǎng)絡(luò)通信通道、常用端口服用、打開不常用端口等。雖然基于木馬行為特征的木馬檢測方法可以檢測未知木馬，但是誤報(bào)率高，且現(xiàn)有相關(guān)檢測方法無法進(jìn)行未知木馬行為預(yù)測，缺乏對未知木馬程序的有效控制手段[3,4,5]。

本文提出一種基于頻繁行為挖掘的未知木馬檢測方法，實(shí)現(xiàn)了對未知木馬檢測與后續(xù)攻擊行為的預(yù)判，彌補(bǔ)了現(xiàn)有木馬檢查方法缺乏對未知木馬后續(xù)攻擊預(yù)測的不足，給系統(tǒng)防護(hù)決策提供有力支撐。

2 未知木馬攻擊檢測與預(yù)測方案

本方案是用歷史發(fā)生過的木馬數(shù)據(jù)變化模式判定已知與未知木馬，以及預(yù)測其后續(xù)攻擊行為。首先通過對歷史木馬的行為序列進(jìn)行大數(shù)據(jù)挖掘分析，結(jié)合頻繁行為序列的相關(guān)概念和方法提取出預(yù)測所需的知識，形成木馬行為知識庫。然后，結(jié)合樸素貝葉斯算法，基于先驗(yàn)行為序列，快速判定目標(biāo)程序是木馬程序的可能性。最后，通過大數(shù)據(jù)關(guān)聯(lián)目標(biāo)程序與知識庫中頻繁行為序列，尋找最相似行為，并采用后綴行為預(yù)測木馬后續(xù)攻擊。

圖1 未知木馬攻擊檢測與預(yù)測方案

2.1 知識提取階段

步驟一:分析歷史木馬程序，形成行為序列庫。對每一個(gè)歷史木馬樣本，分析其在不同時(shí)段的活動行為，構(gòu)成活動行為特征向量S=[(a1,t1),(a2,t2),…,(an,tn)]，其中ai是行為庫中的行為特征，且ti＜ti+1。將所有木馬樣本的活動行為特征向量存入數(shù)據(jù)庫，形成行為序列庫。

圖2 鄰接頻繁情節(jié)（A→B→C）挖掘自動機(jī)示意圖

步驟二:挖掘行為序列頻繁行為，形成頻繁行為知識庫。在行為序列庫的基礎(chǔ)上，對所有行為序列采用自動機(jī)（圖2為鄰接頻繁行為序列長度為3的自動機(jī)示意）進(jìn)行鄰接頻繁行為序列挖掘。具體挖掘過程如下:

（1）將行為序列庫中所有行為特征放入候選的鄰接行為序列（依據(jù)時(shí)間先后依次發(fā)生的行為即為鄰接行為序列）集合中，作為長度唯一的頻繁行為序列；

（2）在每一條行為序列中，通過自動機(jī)實(shí)例，挖掘長度為i（2≤i≤M，其中M是最長頻繁鄰接行為序列長度）的鄰接行為序列并計(jì)數(shù)，如果候選鄰接行為序列的出現(xiàn)次數(shù)超出支持度閾值（根據(jù)實(shí)際情況自行定義），則將其放入長度為i的頻繁鄰接行為序列集合Ei中；

（3）對Ei中的每一對頻繁鄰接行為序列進(jìn)行匹配連接測試，形成長度為i+1的候選鄰接行為序列；

（4）在i+1的基礎(chǔ)上，重復(fù)（2）和（3），至生成所有限定長度（根據(jù)實(shí)際情況自行定義）內(nèi)的頻繁鄰接行為序列；

（5）由所有頻繁鄰接行為序列集合Ei（2≤i≤M）構(gòu)成頻繁行為序列知識庫，以支撐后續(xù)木馬檢測與預(yù)判。

2.2 判定階段

在上一階段形成的頻繁行為序列知識庫基礎(chǔ)上，采用樸素貝葉斯算法[6]，關(guān)聯(lián)匹配目標(biāo)程序與歷史木馬程序的頻繁鄰接行為序列，實(shí)現(xiàn)對目標(biāo)程序是否為惡意木馬的判定。具體步驟如下:

步驟一:對目標(biāo)程序進(jìn)行最長頻繁鄰接行為序列挖掘en=(a1,a2,…,an)；（ai為行為庫中的行為特征）。

步驟二:在頻繁行為序列知識庫關(guān)聯(lián)en的匹配對象，如匹配，說明目標(biāo)程序?yàn)槟抉R，若不匹配執(zhí)行步驟三。

步驟三:采用樸素貝葉斯算法，進(jìn)行en是否為木馬的判定。具體如下:

（1）設(shè)C={正常程序，不確定,木馬}是一個(gè)隨機(jī)變量分類集；

（2）基于頻繁行為序列知識庫，采用樸素貝葉斯算法，計(jì)算目標(biāo)程序?yàn)槟抉R程序的概率p(C|en):

（3）將en的特征值帶入，可得:

（4）根據(jù)p(C|en)的最大值，可以確定en最大可能程序類型:

（5）若判定為木馬，則基于歐幾里得距離尋找最相似頻繁鄰接行為序列。

2.3 預(yù)測階段

在預(yù)測階段，利用上一階段中提取出的頻繁鄰接行為序列后綴行為（與目標(biāo)程序鄰接行為序列匹配后的后續(xù)剩余行為）預(yù)測未來時(shí)序子段上的特征行為，從而完成預(yù)測工作。

3 結(jié)束語

本文提出的技術(shù)方案中采用頻繁鄰接情節(jié)進(jìn)行知識挖掘，采用樸素貝葉斯算法進(jìn)行木馬判定，與現(xiàn)有技術(shù)相比，不僅可以提高對已知和未知木馬識別精度，還可以對未知木馬未來攻擊行為進(jìn)行預(yù)判,可有效支撐系統(tǒng)及時(shí)采取木馬捕獲和阻斷等響應(yīng)處置。

[1]吳潤浦，方勇，吳少華.基于統(tǒng)計(jì)與代碼特征分析的網(wǎng)頁木馬檢測模型[J].信息與電子工程，2009．

[2]陳婧婧.基于行為特征的木馬檢測系統(tǒng)研究及實(shí)現(xiàn)[D].四川師范大學(xué).2010.

[3]李煥洲，唐彰國，鐘明全等.基于行為監(jiān)控的木馬檢測系統(tǒng)研究及實(shí)現(xiàn)[J].四川師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2009．

[4]顏會娟，秦杰.基于行為分析的木馬檢測系統(tǒng)[J].網(wǎng)絡(luò)安全，2010．

[5]夏愛民，張宏志，楊偉鋒.基于綜合行為特征的木馬檢測技術(shù)研究[J].信息安全與通信保密，2014.

[6]阿曼.樸素貝葉斯分類算法的研究與應(yīng)用[D].大連理工大學(xué)，2014.

第二步:

改變im和jm的選擇方式來防止可能存在的攻擊。

具體操作位:i0=FO；j0=F0+S[i0]；

確定了im，則S[im]=XtmYtm，jm=jm-1+Sm-1[im]；S[jm]=XnmYnm，這樣再將XnmYnm的位置分別向上和向左移動Xnm+1、Ynm-1后，記S[jm]=Xnm’Ynm’。

Swap（S’[im]+S[jm]）mod EF=Xtm’Ytm’，分別又將Xtm’Ytm’和向左和向下移動Xtm’+1，記S[S’[im]+S[jm]）modEF=Xtm’’Ytm’’則Xtm’’Ytm’’即為密鑰輸出字節(jié)。

又或者當(dāng)m=Pm時(shí)，則明文字節(jié)Dpm=XpmYpm運(yùn)行上述改進(jìn)算法時(shí)，則:

R_step1:jpm=S[ipm]=XpmYpm；R_step2:jpm=S[ipm]=Xpm‘’Ypm‘；

加密階段為:Dpm⊕Zm=XpmYpm⊕XqmYqm=Epm；

同理，可得解密階段為:

Epm⊕Zm=XpmYpm⊕XqmYqm⊕XqmYqm=Epm。

4 結(jié)束語

本文對無線網(wǎng)絡(luò)安全中的RC4加密算法進(jìn)行了分析和改進(jìn)，使得原先無任何加密的無線網(wǎng)絡(luò)等待了較好的保護(hù)。但是，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的高速發(fā)展，勢必會將原有的無線局域網(wǎng)加密算法進(jìn)行破解和攻擊。在建立一套行之有效的無線網(wǎng)絡(luò)管理安全管理模型的同時(shí)也應(yīng)該及時(shí)把握時(shí)代的發(fā)展，不斷探索升級原有的安全管理模型才能真正做到無線網(wǎng)絡(luò)的安全。

參考文獻(xiàn):

[1]冀艾.WLAN安全機(jī)制[J]電信工程技術(shù)與標(biāo)準(zhǔn)化，2012.

[2]李東霖.基于公鑰證書的無線局域網(wǎng)訪問控制算法[D].吉林延邊:延邊大學(xué)，2014.

[3]耿嘉，曹秀英，畢光國.一種攻擊RC4-WEP類密碼的改進(jìn)算法[J].通信學(xué)報(bào)，2004.

[4]胡嘉，遲全，袁巍，初劍峰，徐小博.基于抵抗故障引入攻擊的RC4算法的改進(jìn)[J]吉林大學(xué)學(xué)報(bào)，2012.