一種使用CPN的惡意軟件行為可視化自動生成方法

曹宏盛，焦 健，陳 昕，劉其源1(北京信息科技大學(xué)網(wǎng)絡(luò)文化與數(shù)字傳播北京市重點實驗室，北京100101)

2(北京信息科技大學(xué)計算機學(xué)院，北京100101)

E-mail:jiaojian@bistu.edu.cn

1 引言

傳統(tǒng)的惡意軟件分析往往依賴于分析人員的經(jīng)驗.面對如今樣本數(shù)量巨大的惡意軟件，傳統(tǒng)的人工分析很難滿足現(xiàn)實的需求;傳統(tǒng)的惡意軟件檢測工具一般以特征或行為模式作為檢測的依據(jù)，其存在以下問題:

1)無法反映惡意軟件的狀態(tài)變化;

2)無法了解惡意軟件達到某狀態(tài)的執(zhí)行邏輯.

因此，傳統(tǒng)的惡意軟件分析在方法上依舊面臨著嚴(yán)峻的挑戰(zhàn)，一定程度上這些問題已經(jīng)成為了Android安全的發(fā)展瓶頸.

隨著這些年的發(fā)展，研究者在惡意軟件行為這方面加大了研究力度.王兆國、李城等人［1］通過將函數(shù)調(diào)用看作行為，構(gòu)造隱私竊取的行為鏈，分析惡意軟件中存在的隱私竊取路徑，它將隱私竊取行為分為三個過程:隱私數(shù)據(jù)竊取、隱私數(shù)據(jù)傳遞、隱私數(shù)據(jù)泄露，通過WxShall算法分析出可達的所有可疑路徑，進而確定存在的隱私泄露路徑.AppContext［2］將應(yīng)用中的敏感API調(diào)用視為安全敏感行為，根據(jù)API的上下文環(huán)境判斷移動應(yīng)用的行為是良性的還是惡意的，文章認(rèn)為安全敏感行為的觸發(fā)可以根據(jù)上下文環(huán)境判斷，例如導(dǎo)致敏感行為發(fā)生的觸發(fā)事件或外界環(huán)境條件.Cheng S等人［3］利用商業(yè)化的反匯編工具IDA pro實現(xiàn)反匯編信息的搜集，構(gòu)建污點分析引擎與常量分析引擎實現(xiàn)隱私泄露類行為以及常量使用類惡意行為的檢測.DroidADDMiner［4］通過構(gòu)造敏感API的數(shù)據(jù)依賴路徑圖，結(jié)合常量使用和上下文環(huán)境信息，最終給出機器學(xué)習(xí)所需的特征向量構(gòu)造方法，對惡意軟件的特定行為進行特征化的檢測，該行為與特定敏感API調(diào)用相對應(yīng).

綜上所述，目前針對惡意軟件行為的研究集中在識別上，通過軟件行為特征匹配對比，上下文分析，敏感數(shù)據(jù)依賴等方法，達到識別的目的.但是缺乏對惡意軟件的行為以及相關(guān)行為所引起的狀態(tài)變化的描述以及可視化展示.顏色Petri網(wǎng)(CPN)能夠很好地描述這種行為模型.它本身具有適合于描述異步的、并發(fā)的計算機模型的特點，而且其“庫所、變遷”等符號非常適合描述軟件的執(zhí)行行為及其過程，能夠?qū)@些行為做仿真和動態(tài)演示.本文在目前已有的Android惡意軟件行為研究基礎(chǔ)上給出行為及其狀態(tài)變化模型，在顏色Petri網(wǎng)理論基礎(chǔ)上以該行為模型作為輸入，給出行為可視化自動生成的方法.該方法首先給出軟件行為模型，然后給出petri網(wǎng)的成分抽取步驟，將抽取的petri網(wǎng)成分映射到該工具的.cpn文件元素中，自動生成.cpn文件，最后利用CPN Tool工具進行動態(tài)仿真.通過使用現(xiàn)有的惡意軟件進行實驗，驗證該可視化自動生成方法的可行性.

本文結(jié)構(gòu)如下:第2節(jié)，介紹惡意軟件的行為建模;第3節(jié)給出了基于有色petri網(wǎng)的形式化建模方法;第4節(jié)為實驗分析;最后是本文的結(jié)論.

2 相關(guān)工作

2.1 惡意軟件行為建模

惡意軟件作者制作并傳播惡意軟件必然是為了獲取某些利益.在行為理論中，Bratman［5］認(rèn)為意圖是基于未來導(dǎo)向的行為序列.為了獲取利益，惡意軟件制作者將會按照一定的設(shè)計邏輯，賦予軟件達到獲利目的執(zhí)行邏輯.而獲利目的的達成往往表現(xiàn)為惡意軟件中某些設(shè)備資源的最終狀態(tài)，而達到這一狀態(tài)的執(zhí)行邏輯則表現(xiàn)為一系列的敏感函數(shù)調(diào)用或代碼段的執(zhí)行，即軟件行為.在前期的工作中［13］，我們給出了意圖、行為序列、狀態(tài)等概念的建模.以下是相關(guān)概念的闡述:

軟件程序的構(gòu)成可以看作是數(shù)據(jù)結(jié)構(gòu)與算法的組合，因此在程序中我們可以將某一函數(shù)調(diào)用看作是一種操作，多個含有特定關(guān)系的操作序列將會完成一定的功能.因此，行為序列可以看成是一系列具有內(nèi)在關(guān)聯(lián)的函數(shù)調(diào)用，在本文研究可看成是android的API調(diào)用.

函數(shù)可以抽象為一種映射關(guān)系，表示如下:

操作的對象是某一組輸入數(shù)據(jù)(包括android系統(tǒng)的消息、用戶/系統(tǒng)操作、用戶隱私數(shù)據(jù)以及程序初始化常量值等);當(dāng)某一觸發(fā)條件滿足后，惡意軟件開始操作的進程，這組數(shù)據(jù)經(jīng)過一系列的函數(shù)操作后最終達到某一最終狀態(tài).狀態(tài)則可以認(rèn)為是某一時刻，所關(guān)注的對象的特征的取值.數(shù)據(jù)的三元組如下:

因此，如果這些數(shù)據(jù)的某些特征的取值，達到相應(yīng)的條件時，可以認(rèn)為存在此目的.本文給出意圖的組成如下:

通過安全廠商賽門鐵克［6］給出的惡意軟件的動機分析、2016互聯(lián)網(wǎng)安全威脅報告［7］以及移動互聯(lián)網(wǎng)惡意代碼描述規(guī)范［8］，本文總結(jié)歸納得到惡意軟件的六種主要意圖，分別是竊取用戶隱私、消耗用戶資費、惡意扣除用戶費用、傳播惡意軟件、惡意信息展示以及勒索用戶，即，意圖集合={竊取用戶隱私，消耗用戶資費，惡意扣除用戶費用，傳播惡意軟件，惡意信息展示，勒索用戶}

2.2 惡意軟件的行為抽取

本文的主要工作是行為可視化自動生成方法.介紹行為抽取，主要是為了說明可視化生成算法的輸入BM_File(Behavior Model File)可以通過分析抽取惡意軟件的行為而得到，如文獻［13］.惡意軟件行為抽取圍繞安全敏感行為的分析，安全敏感行為往往由Android特定的敏感API接口所實現(xiàn)，故針對敏感API的分析是惡意軟件行為分析的重點.圍繞獲取的底層敏感API進行安全分析，一方面減少了待分析的API數(shù)量，提升了分析的效率;另一方面降低了安全無關(guān)結(jié)果的干擾，提升了分析的準(zhǔn)確率.在描述敏感API的語義級行為時，需要分析以下四個安全要素:

1)敏感API調(diào)用與依賴關(guān)系:敏感API調(diào)用能夠直接反映app安全相關(guān)的行為，此外，特定API間的依賴關(guān)系也能表明app的某種特殊行為.

2)觸發(fā)條件:特定API調(diào)用的觸發(fā)條件隱藏著潛在的安全風(fēng)險.某個API調(diào)用的惡意性判定有時需要依賴于特定前置條件的存在，例如:如果缺失了用戶同意的條件判定，則可能導(dǎo)致非法操作.

3)入口點:一系列API調(diào)用的入口點是一個重要安全因素，API調(diào)用的入口點直接或者間接地觸發(fā)該調(diào)用發(fā)生.可以依據(jù)入口點信息推斷用戶是否知曉該API的調(diào)用.

4)常量參數(shù):常量分析通過揭示特定參數(shù)的值能夠傳遞語義信息，并且給出細(xì)粒度的API語義.例如:Runtime.exec()可能會執(zhí)行各種shell命令，比如ps或chmod，根據(jù)輸入的常量參數(shù)而有所不同.

圖1 隱私泄露類app的環(huán)境依賴圖樣例Fig.1 Example of environmental dependency graph for privacy leak app

為抽取惡意軟件中存在的行為事實，需要對安全要素進行組織，采用圖結(jié)構(gòu)表示該安全要素.構(gòu)造敏感API數(shù)據(jù)依賴圖模型需要有三個功能模塊:

1)敏感API的查找(接口輸入是反編譯的程序源碼或反編譯后的中間圖表示和敏感API特征庫，輸出是敏感API的信息，包括函數(shù)名、函數(shù)位置、參數(shù)個數(shù)、觸發(fā)條件、入口點函數(shù));

2)敏感API的參數(shù)分析(接口輸入是敏感API與程序表示，輸出是參數(shù)個數(shù)，參數(shù)名，參數(shù)值);

3)任意兩敏感API間的依賴關(guān)系分析(該接口的輸入是任意兩敏感API和程序表示，輸出是兩者之間的依賴關(guān)系，具有指向性).

某個隱私泄露類app的環(huán)境依賴圖模型可以描述如圖1所示，其中，每一個節(jié)點均是以某一敏感API為中心的，節(jié)點間的有向邊表示敏感API間的數(shù)據(jù)或控制依賴關(guān)系，加黑處為函數(shù)原型，針對每一個函數(shù)原型，分別對應(yīng)有其入口點信息(BroadcastReceiver.onReceiver)，常量參數(shù)(Setconst)信息，條件因素(Setcond)信息等.

敏感API環(huán)境依賴圖模型構(gòu)造的目的是為了提取Andriod應(yīng)用中的行為事實，重點針對敏感API的語義進行行為抽象.由行為(函數(shù))定義知:行為識別分為三個階段:

1)敏感API到行為名的映射，得到程序中敏感API對應(yīng)的行為集 Set={Act1，Act2，…，Actn};

2)行為輸入客體識別(依據(jù)常量參數(shù)、API函數(shù)定義、變量參數(shù))，客體識別包括三個部分:客體名識別，客體屬性確定，屬性值確定;

3)行為輸出客體的確定.

語義映射依賴于敏感API與行為名、客體、客體特征的映射關(guān)系，自動化地提取需要構(gòu)造敏感API特征庫TAB:

1)敏感API的搜集，主要依賴敏感權(quán)限組中包含的API;

2)依據(jù)API官方文檔的定義對特定API的定義進行描述，主要獲取行為描述語言，行為客體的確定和描述方式;

3)確定不同行為對應(yīng)的客體屬性，并劃定客體屬性值的取值范圍.

文獻［13］中給出了基于行為事實的行為意圖推理方法，它的輸出也是本文Petri網(wǎng)建模的輸入之一，即行為模型文件BM_File.BM_File中給出了意圖元素的描述:行為集合、行為間關(guān)系集合.根據(jù)該模型文件，可以獲取惡意軟件中存在的行為、行為之間的關(guān)系以及這些行為的執(zhí)行對行為客體(設(shè)備資源)產(chǎn)生的影響(客體特征).行為間的關(guān)系通過客體被聯(lián)系起來，基本的關(guān)系有順序關(guān)系、并發(fā)關(guān)系，它們分別用has-CompoundWith和hasCombinationWith表示，下面將針對意圖描述文件BM_File的自動可視化做進一步的闡述.

3 基于顏色petri網(wǎng)的形式化建模

Petri網(wǎng)是1962年由Carl Adam Petri［9］提出的一種模型，用于描述分布式系統(tǒng)，適用于對具有同步、并發(fā)和沖突的離散事件系統(tǒng)進行建模和分析.接下來介紹如何從第二章提到的惡意軟件行為模型自動生成CP-net，并給出算法步驟.

3.1 顏色petri網(wǎng)成分抽取算法

為了將BM_File文件中涉及的概念都能在可視化中體現(xiàn)，我們使用顏色petri網(wǎng)建模.

根據(jù)文獻［10］，顏色petri網(wǎng)的主要元素分別是:庫所、顏色集、標(biāo)識、變遷、弧以及變量.首先抽取出顏色petri網(wǎng)的主要成分.因為庫所(PLACE)表示CP-net的狀態(tài)，因此抽取data的“數(shù)據(jù)客體，特征”組成庫所;函數(shù)作為CP-net的變遷(TRANS);

顏色集(COLOR)，表示庫所的類型，也就是將庫所分類.本文通過特征值來確定顏色集的數(shù)據(jù)類型，所以將顏色集的組成確定到特征級別，因此與庫所一樣通過抽取data的“數(shù)據(jù)客體，特征”組成顏色集，作為庫所的類型;

標(biāo)識(token)，表示CP-net的一個狀態(tài)，也就是token，抽取初始行為的輸入數(shù)據(jù)相應(yīng)的特征值，作為對應(yīng)該庫所的初始標(biāo)識.

變量(VAR)，用于保存和傳遞數(shù)據(jù)值，抽取特征作為相應(yīng)庫所的變量.

弧(ARC)，則通過庫所與變遷之間的關(guān)系進行抽取.庫所指向變遷的弧稱為PtoT，將對應(yīng)的變量傳遞給變遷;變遷指向庫所的弧稱為TtoP，根據(jù)行為的輸入數(shù)據(jù)的特征值，生成判定條件，根據(jù)行為的輸出數(shù)據(jù)的特征值，生成條件的執(zhí)行部分.

該算法從BM_File文件中抽取CPN文件(可視化文件)的各個元素，算法偽代碼如下:遷的關(guān)系矩陣.當(dāng)字符串中含有"hasCompoundWith"時，該函數(shù)通過抽取該字符串的行為名稱，并與actionSetNum匹配，得到編號.根據(jù)編號，為矩陣相應(yīng)元素賦值，生成矩陣.add-ActSeq()，該函數(shù)的功能是生成行為序列，用于變遷的布局.矩陣和行為序列如圖2所示，左邊為變遷的關(guān)系矩陣，當(dāng)rij=1時，表示第i個變遷和第j個變遷存在順序關(guān)系.

圖2 矩陣和行為序列實例Fig.2 Example of matrix and behavior sequence

generateArc(trans，var)，利用變遷和庫所中的元素，生成弧.對于PtoT弧，我們以var作為其值;TtoP弧，我們使用trans的輸入庫所的mark生成判定條件，trans的輸出庫所的mark生成其執(zhí)行內(nèi)容.

3.2 自動生成.cpn文件

CPN Tools作為顏色Petri網(wǎng)的建模和分析工具，其文件格式是基于XML的.cpn文件.加載的文件以及保存的文件都是基于XML的.cpn文件.

.cpn文件的XML格式使用DTD進行描述.該XML表示中，主要包括五部分的內(nèi)容描述，分別是:顏色集、變量、庫所、變遷以及連接庫所和變遷的弧，具體格式由文獻［11］給出.根據(jù)文獻［11］給出的具體的格式，將已經(jīng)抽取的元素信息生成該格式的內(nèi)容.庫所在.cpn文件中的格式如圖3所示.

圖3 庫所在.cpn文件中的格式Fig.3 Format of the place in the.cpn file

.cpn文件生成算法Generate_cpn()主要由三部分組成:

1)從.cpn模板文件中抽取petri網(wǎng)主要元素的xml文件格式模板;2)通過3.1得到的各個元素和xml文件格式模板，生成各元素的xml文件內(nèi)容;3)將各元素的xml文件內(nèi)容插入到.cpn模板文件中，生成新的.cpn文件.該算法的偽代碼如下:VAR，分別表示.cpn模板文件、變遷集合、庫所集合、弧集合、顏色集集合、變量集合.

其中extractTemplate()表示抽取各個成分的xml文件格式模板，分別保存到 T_color，T_var，T_trans，T_place，T_arc 這些字符串?dāng)?shù)組中.

xml_trans=addXmlTrans(T_trans，trans)，該函數(shù)將 trans這個變遷中的數(shù)值，添加到T_trans模板中，形成該變遷具體的xml文件內(nèi)容，并追加到xml_trans中.同理，xml_place、xml_color分別保存了庫所、顏色集這些元素的xml文件內(nèi)容.

通過遍歷T_CPN字符串?dāng)?shù)組，將對應(yīng)元素(庫所、變遷等)的XML文件內(nèi)容添加到新的.cpn模板文件中，形成新的模板文件文件.當(dāng)遍歷到主要成分的位置時，通過Insert()函數(shù)，將對應(yīng)的xml文件內(nèi)容插入到要生成的.cpn文件.isInsertColor標(biāo)識T_CPN中顏色集的模板內(nèi)容是否已經(jīng)添加.

4 評價

4.1 實驗

4.1.1 BM_File 文件實例

本文對 GoldDream，GGTracker，HippoSMS，Zitmo 等惡意軟件進行了實驗，這些惡意軟件具有不同的惡意意圖，如竊取用戶隱私，消耗用戶資費等.這里使用GoldDream作為實例，介紹本文的實驗步驟.GoldDream［12］能夠執(zhí)行注冊高優(yōu)先接收器，監(jiān)視電話、短信，后臺程序搜集信息并發(fā)送到遠(yuǎn)程服務(wù)器等行為.此外，它也能夠根據(jù)遠(yuǎn)程服務(wù)器的指令執(zhí)行一些操作.根據(jù)2.1給出的行為模型，GoldDream的行為模型文件(BM_File)如圖4所示.

圖4 GoldDream的行為模型文件實例Fig.4 Behavior model file instance of GoldDream

ACTSEQ表示行為集合.hasCompoundwith表示復(fù)合關(guān)系(前者的輸出是后者的輸入)，可知各個行為之間的關(guān)系，從而得到行為序列.

行為ACT_transmit2，它的一個輸出數(shù)據(jù)為(PhoneCall，position，remoteServer)，其中 PhoneCall是數(shù)據(jù)客體，表示來電信息;position是特征，表示信息位置;remoteServer是特征值，表示遠(yuǎn)程服務(wù)器地址.這三元組表示了數(shù)據(jù)當(dāng)前的狀態(tài).在行為ACT_transmit2之后沒有后續(xù)的處理，因此，數(shù)據(jù)客體Phone-Call的最終狀態(tài)為(PhoneCall，position，remoteServer)，表示來電信息被發(fā)送到遠(yuǎn)程服務(wù)器，存在隱私信息被泄漏的可能.

4.1.2 顏色petri網(wǎng)成分抽取實例

根據(jù)圖4給出的GoldDream隱私信息竊取行為的輸入文件，給出具體的建模過程.首先抽取元素，用于.cpn文件生成.通過抽取客體名和特征得到顏色集，抽取特征得到變量，如表1所示.

表1 顏色集和變量說明Table 1 Color set and variable description

庫所作為表示系統(tǒng)狀態(tài)的元素.抽取客體、特征，組合得到庫所.如表2所示.

表2 庫所說明Table 2 Place description

通過抽取行為名構(gòu)成petri網(wǎng)模型的變遷，如表3所示.

表3 變遷說明Table 3 Trans description

在成分抽取之后，通過3.2的.cpn生成方法得到Gold-Dream惡意樣本的隱私竊取的.cpn文件..cpn文件在建模工具CPN Tools中仿真的結(jié)果如圖5和圖6所示.其中圖5表示初始狀態(tài)，圖6表示最終狀態(tài).

圖5 GoldDream隱私竊取行為模型初始狀態(tài)Fig.5 Initial state of privacy theft behavior model of GoldDream

如圖5和圖6所示，橢圓表示庫所，矩形表示變遷.圖5為初始狀態(tài)，如橢圓框所示，電話信息(phoneCall)和短信信息(SmsMessage)還保存在設(shè)備中(inDevice，分別如標(biāo)識③、④旁的橢圓框所示，即token所示);廣播(Broadcast_)也未被監(jiān)聽(false，如標(biāo)識①、②所示);遠(yuǎn)程服務(wù)器敏感地址(Address)也未被使用(false).如標(biāo)識⑥所示，弧上方的橢圓框中的position是變量，用于保存和傳遞電話信息的位置，變量的抽取如表1所示.如標(biāo)識⑦弧下方橢圓框中是弧的判定條件，如3.1對弧的介紹.圖6為最終狀態(tài)，廣播(Broadcast_)已經(jīng)處于被監(jiān)聽的狀態(tài)(true，如標(biāo)識①、②所示);敏感地址(Address)被使用，如標(biāo)識⑤所示，此時token的值為true;電話信息(phoneCall)和短信信息(SmsMessage)信息被發(fā)送到遠(yuǎn)程服務(wù)器(標(biāo)識③、④所示為remoteServer).現(xiàn)實中信息泄漏也必須包含信息被發(fā)送到外部地址，才能達到泄漏的目的.因此該模型的仿真過程及其最終狀態(tài)符合實際情況.

4.2 結(jié)果比較

圖7 GoldDream在線檢測結(jié)果對比Fig.7 Online test results comparison of GoldDream

表4中給出了三個在線檢測平臺的檢測結(jié)果比較，騰訊手機管家的檢測結(jié)果給出了GoldDream的行為和行為關(guān)系的文字描述，但沒有直觀的動態(tài)展示.梆梆安全給出了Gold-Dream涉及的行為，但沒有給出行為之間的順序關(guān)系，并且一些行為在正常的軟件中，也是存在的，比如開機啟動、獲得網(wǎng)絡(luò)連接等.愛加密通過分析，只給出了軟件需要獲取的權(quán)限，但沒有給出軟件行為，并且一些權(quán)限在正常的應(yīng)用中也同樣存在.

表4 檢測結(jié)果對比Table 4 Comparison of detection results

騰訊手機管家、梆梆安全與本方法的性能比較，如表5所示.

表5 檢測結(jié)果性能對比Table 5 Comparison of detection result performance

可以看出本方法獲取的行為和關(guān)系數(shù)量都大于或等于其他系統(tǒng)的數(shù)量.其中梆梆安全的8個行為中，包括了“開機啟動”和“獲取網(wǎng)絡(luò)鏈接”這兩個正常的軟件中也會有的行為.

同時，通過分析騰訊手機管家、梆梆安全和愛加密的檢測結(jié)果三者的結(jié)果，也可以佐證本文檢測結(jié)果的正確性.例如騰訊手機管家提到的“私自發(fā)送短信，記錄用戶隱私信息并上傳到遠(yuǎn)端服務(wù)器”;梆梆安全提到的“發(fā)送短信”以及愛加密中的“允許接收和處理短信，允許處理更改外撥電話”都與圖6中的“access1 SMS，access2 phonecall and transmit1 SMS，transmit phonecall”對應(yīng).

愛加密中的“允許訪問網(wǎng)絡(luò)，允許查看網(wǎng)絡(luò)狀態(tài)”、梆梆安全中的“獲取通話狀態(tài)，獲取網(wǎng)絡(luò)連接”都與圖6中的“monitor1 broadcast”相對應(yīng).

通過本方法給出的實驗結(jié)果與騰訊手機管家、梆梆安全和愛加密的檢測結(jié)果對比，本文提供了一個更為直觀容易理解的動態(tài)演示的方式，使用戶能更清楚地明白該軟件在自身的運行過程中做了哪些行為，以及這一系列行為最終達到的狀態(tài)，為用戶對該軟件的判斷評估提供了參考依據(jù).

5 結(jié)論

本文給對惡意軟件的行為進行了形式化的描述，給出了行為及其相關(guān)狀態(tài)變化的模型，并以此行為模型作為輸入，根據(jù)顏色petri網(wǎng)理論，結(jié)合CPN tools工具的.cpn文件的XML格式，提出了惡意軟件行為的可視化自動生成算法.針對惡意軟件進行了實例建模，生成惡意軟件行為對應(yīng)的.cpn文件，并利用CPN tools對該軟件進行了仿真.最后在實驗部分，通過把本方法的實驗結(jié)果與騰訊手機管家、梆梆安全和愛加密三個平臺的在線檢測結(jié)果進行比較驗證，證明了本文提出的可視化自動生成方法的可行性和正確性，并且該方法的結(jié)果更為直觀容易理解，使用戶能更清楚地明白該軟件在自身的運行過程中做了哪些行為，以及這一系列行為最終達到的狀態(tài)，為用戶對該軟件的判斷評估提供了參考依據(jù).