CN101140611A

CN101140611A - 一种恶意代码自动识别方法

Info

Publication number: CN101140611A
Application number: CNA2007101219336A
Authority: CN
Inventors: 梁知音; 韦韬; 邹维; 韩心慧; 诸葛建伟; 陈昱; 毛剑
Original assignee: Peking University
Current assignee: Peking University
Priority date: 2007-09-18
Filing date: 2007-09-18
Publication date: 2008-03-12
Anticipated expiration: 2027-09-18
Also published as: CN100504903C

Abstract

本发明属于恶意代码自动分析领域，是一种恶意代码自动识别的方法。本发明先将待分析的可执行程序样本分拆为待分析构件，再将待分析构件与已知恶意行为构件进行比较，自动判定待分析样本是否为恶意代码。本发明的优点是分析覆盖面广，分析恶意样本的速度快，可以更新恶意代码行为构件库。

Description

一种恶意代码自动识别方法

技术领域

本发明属于恶意代码自动分析领域，具体涉及一种利用逆向工程技术和代码相似性比较技术加速分析恶意代码的方法。

背景技术

在目前的互联网上，恶意代码无处不在，泛滥成灾，严重威胁着网络安全。恶意代码相关技术的实现难度相对较高，但近年来，随着网络的普及，互联网上专门讨论恶意代码实现技术的网站不断增多，人们可以直接从网上获得恶意代码的源码，基本的恶意功能的源代码变得唾手可得。这些推动了恶意代码变种的泛滥，在不同变种的恶意代码中，代码段复用的现象非常明显，很多新出现的的恶意代码均采用了以往恶意代码的实现技术，甚至直接使用已有的源代码，只有很少的新样本才会添加一些新的功能或新的实现方法。目前恶意代码及其变种的数量已出现了爆炸性的增长，传统的手工分析方法已经不能满足恶意代码的快速分析的需求.。

在恶意代码自动分析领域，目前主要有两类自动分析的方法：动态分析法与静态分析法。动态分析法是指在安全环境中动态执行待分析程序并观察其运行过程与结果，这种分析方法可以用于发掘恶意代码中的部分行为，但有时候由于环境不符合代码运行的要求，或不符合恶意行为触发条件，动态运行的方法难以执行所有的路径。此外，动态分析监控所得到的结果也还需要进行进一步的分析和汇总。静态分析方法主要有模式匹配和语意分析这两种方法，通过检验程序中是否包含给定的行为或语意模式，来判断程序中是否包含特定的恶意行为。这种方法在恶意行为与程序片断间建立了对应关系，但很难建立健壮且区别性很强的模型。

考虑到以上这些，本发明提出一种静态分析恶意代码中恶意行为的方法，其对建模要求相对较低，根据二进制程序和恶意代码实现的特点，将程序拆分成构件，然后进行分析和匹配，这种自动分析的方法对恶意程序，特别是僵尸网络程序有非常好的分析效果，可以快速的自动发现待分析样本中恶意行为。

僵尸网络(Botnet)是指一些被攻陷的机器的组合，这些机器被称为所谓的“僵尸主机”(bot)，僵尸网络中往往包含有命令行控制的框架，他们通过蠕虫、木马或者后门等工具攻陷网络上的主机并潜伏下来，再通过其远程控制模块接受僵尸网络的源头，即僵尸网络控制者(bot herder)的远程控制。这些僵尸网络程序通常还包括繁殖与扩散的功能模块，可以自动，或在其控制者的命令下进行网络扫描，侵入其他易感染主机，留下自己的副本。僵尸网络控制者常利用僵尸程序实现某些恶意的目标，如窃取用户银行卡信息，对特定服务器实施拒绝服务攻击等。僵尸网络程序中常包括的功能模块有：命令控制模块、复制/传播模块、主机控制模块、下载/上载文件、模块信息窃取模块、反检测/反分析模块等，其结构如图1(僵尸网络的结构与机理等信息，参见文献：P.Barford andV.Yegneswaran，″An Inside Look at Botnets″，Special Workshop on Malware Detection，Advances in Information Security，2006)。

发明内容

本发明的目的是提供一种恶意代码自动识别的方法，利用逆向工程技术和代码相似性比较技术，加速分析恶意代码，有效的提高了恶意代码分析的效率和覆盖面。

本发明的上述目的是通过如下技术方案来实现的：

一种恶意代码自动识别的方法，其步骤包括：

1)解析待分析的可执行程序样本，得到该程序中的函数结点与函数调用信息；

2)根据上述函数结点与函数调用信息，提取各构件头函数及其直接或间接调用的所有函数，得到以各构件头函数为标识的待分析构件；

3)将所得各待分析构件逐次与已知恶意行为构件库中的各已知恶意行为构件进行相似性比较，直至一待分析构件与一已知恶意行为构件相似，或比较完所有待分析构件；

4)如存在待分析构件和已知恶意行为构件库中的已知恶意行为构件相似，则判定该程序包含恶意行为。

进一步，本发明从恶意代码的领域知识提出了二进制可执行程序中构件的表达与提取方法，根据二进制恶意代码的特点，设计了利用函数调用簇表达恶意行为构件的方法，其中函数簇直接或间接调用簇内所有其他函数的函数被称为构件头函数；

本发明中三种识别构件头函数的方法：

[1]基于程序调度的构件识别方法：识别被调度程序调度的构件头函数：

程序调度是将一个消息与一个特定序列的代码相映射的过程。恶意代码，特别是僵尸网络程序，通常根据接受到的指令调用功能构件。因此，识别了调用函数，我们就可以容易的提取该调用函数所调用的恶意行为功能构件。

[2]基于关键API的构件识别方法：识别直接或间接调用一组关键API的构件头函数：

恶意代码中的功能性构件通常需要完成某个恶意的任务，如杀死杀毒程序的进程，记录键盘活动，攻击受害网站等。为了完成这些功能，这些构件常常需要直接或间接的调用一组关键的系统API。相对的，可以通过检查那些汇聚了这些API的函数来提取潜在的构件。此时，API集合对于提取构件函数很重要，可以通过定义库，或从其他方法获取的已知恶意构件以供收集。

[3]基于多次调用原则的构件识别方法：识别被程序中不同的函数段重复调用的构件头函数：

被重复调用的函数簇，如果不是库函数，也不是系统提供的API，则一般是由用户编写完成某个独立功能的函数模块。这个特点也可用于提取程序中的恶意构件。需要的信息是调用函数与被调用函数的集合及相应的函数调用图。如果一个函数A调用了函数B和C，函数B和C又调用了函数D，则函数D可被表示为潜在的可复用模块，因为D被多次调用，如图2所示。为了避免将库函数和系统API函数误判为可复用的模块，需要实现定义排斥规则，忽略这些函数的重复调用信息。

进一步，本发明提出一种“权重-阈值”函数调用不精确匹配的二进制程序构件相似性的方法，通过对比新样本中获取的构件函数簇与已知恶意构件库中的函数簇来检测存在的已知恶意构件。

进一步，本发明提出一种构建已知恶意行为构件库的方法，其步骤包括：

1)解析已知的恶意程序样本，得到该程序中的函数结点与函数调用信息；

2)根据已知恶意程序的特征，从a)所得函数中提取各构件头函数及其直接或间接调用的所有函数，得到以各构件头函数为标识的构件；

3)分析上述各构件，识别出恶意行为构件，将恶意行为构件按照设定的格式存入已知恶意行为构件库。

本发明具有以下积极效果：

1.本发明提供的方法是一种静态的恶意代码分析的方法，与动态分析方法相比，分析覆盖面更广；与模型检验和语意分析的方法相比，不需要设计精确的恶意行为模型，而是构建恶意构件库，已知恶意构件主要是根据恶意程序的结构特点自动提取的，比构建恶意行为模型要容易许多；

2.对于检测到恶意构件的样本，本发明可以将其拆分得到的构件区分为“已知”与“未知”两类，这可以加速恶意样本的分析过程。对于已经分析过的恶意构件，可以自动由系统生成分析报告，避免重复的分析工作；而如果某个恶意代码中部分构件没有在已知恶意构件库中找到相应的匹配，这个构件很可能包含了新的恶意行为，本发明可以将这些构件挑出来重点分析，分析得到的结果可用于补充完善已知的恶意构件库；

3.根据恶意构件之间相似性关系，可以对分析过的恶意样本进行分类，追踪新样本的源头，可根据构件相似度构件恶意代码样本之间的族谱关系。

附图说明

下面结合附图和具体实施方式进一步详细地描述本发明：

图1僵尸网络程序的程序结构示意图

图2本发明定义的“构件”的示意图

图3一个具体实施案例的流程图

具体实施方式

本发明中，构件定义为完成某个特度特定功能的一簇相关函数构成的程序模块。这个函数簇中包含一个头函数，也就是构建头，它直接或间接的调用簇中的所有其他的函数。图2所示即为本发明中定义的构件的示意图。

本发明中用到了逆向工程领域中的构件提取技术和二进制代码相似性比较技术。构件提取技术是软件工程领域研究的一个重要议题，其主要目标是从遗产代码中识别可复用构件。构件提取和评估的方法(参见文献：罗景，张路，孙家骕《构件提取技术综述》，计算机科学2005年12月第32卷)，包括从领域知识、结构以及构件的度量等方面，这种方法同样用于恶意代码的分析领域。二进制代码相似性比较技术(参见文献E.Carreraand G.Erdelyi，″Digital genome mapping：Advanced binary malware analysis″，Proceedingsof 15th Virus Bulletin International Conference(VB 2004)，p187-197，2004)是软件工程领域广泛研究的议题，现在被越来越多的应用到了恶意代码研究的领域。API序列、函数调用图，控制流图，程序依赖图等均被用于二进制代码相似性比较。

图3所示为本发明一个具体实施案例的流程图，其流程如下：

1.构建恶意构件库

[1]对于一些已知的恶意程序样本，使用反汇编器解析，根据程序函数特征信息，提取出程序中函数结点与函数调用信息(函数结点与函数调用信息提取方法请参见《黑客反汇编揭密》，Kris Kaspersky著，谭明金译，电子工业出版社.2005，P85)；

[2]根据已知恶意代码程序调度的特征，提取恶意构件的头函数。常用的程序调度有两种实现方式。第一种是直接调度，由调度函数解析接受的消息，然后直接调用相应的函数，第二种是注册调度：每个构件将自己注册到全局调度表中，调度程序根据命令解析结果查阅全局调度表调用相应的函数。在这里本发明从rbot和sdbot样本中的调度函数irc_parseline()所调用的函数和agobot样本中的注册函数g_cMainCtrl.m_cCommands所注册的函数中提取出已知恶意构件头函数；

[3]根据头函数和程序中的函数结点关系，提取出已知的恶意构件。对这些已知恶意构件补充描述样本来源和功能信息后，将其保存到已知恶意构件库。

2.提取待分析的可执行程序样本中的待选构件

[1]对于待分析的未知样本，使用反汇编器解析，根据程序函数特征信息，提取出程序中函数结点与函数调用信息；

[2]提取其中的待选构件，采用关键API汇聚和多次调用原则寻找恶意构件头函数，如，杀死杀毒程序，通常需要调用(AdjustTokenPrivileges，CreateToolhelp32Snapshot，LookupPrivilegeValueA，Module32First，OpenProcess，Process32First，Process32Next，TerminateProcess)等API集合；记录击键活动，通常需要调用(GetAsyncKeyState，GetForegroundWindow，GetKeyState)等API集合；

3.对待选构件与已知恶意行为构件库中的构件，做构件相似度比较如果显示存在与已知恶意构件相匹配的构件，则判定待分析样本是恶意代码，且包括已知某家族的某种意图恶意行为构件，根据这些信息自动生成样本的分析报告；同时筛选出疑似恶意行为构件，对其作进一步深入分析，分析得到的结果补充完善已知的恶意行为构件库。

其中构件相似度比较，通过对新样本中获取的构件函数簇与已知恶意构件库中的函数簇做对比来识别存在的已知恶意构件。如果在新样本的待选构件中存在函数和已知恶意构件中的构件头函数的构件特征相似度高于预设阈值(这里设定为0.8)，就认为新样本中包含了该恶意构件。因此，构件检测的问题就转化为函数比较的问题。本发明提出一种“权重-阈值”函数调用图不精确匹配的方法，主要包括以下4个步骤：

1.对目标样本的函数调用图和已知恶意构件的函数调用图进行拓扑排序(参见文献：许卓群，杨冬青，唐世渭，张铭，《数据结构与算法》，高等教育出版社，第六章，p183，2004)；将函数调用图中的函数结点排成一个有序序列，使得该序列中排在前面的函数不会调用排在其后面的函数结点，递归调用除外；

2.计算结点权重W(F)：沿着拓扑序列计算目标样本和已知恶意构件中的每一个函数的结点权重。如果一个函数结点未调用任何函数，则该函数结点的权重设置为1，如果一个函数调用了其他函数(不包括递归调用)，其权重设置为被调用函数的权重加1；

3.计算基于权重和阈值计算的相似度S(F，G)：沿着拓扑序列计算待分析样本中每个函数F与已知构件内部中的每个函数G之间的相似度。分如下三种情况：

a)当两个函数都是API时，若相同，则相似度记为1，若不同，相似度记为0；

b)当一个函数是API，而另外一个不是时，相似度记为0；

c)当两个函数都不是API时，其相似度定义为两者调用的函数集合中的函数对的加权相似度之和的最大值；如果该最大值低于一个预设的阈值时(如0.8)，则定义这两个函数的相似度为0。具体的计算方法如下：

i.设F的结点权重较大，记为T；

ii.记F调用的函数集合为{f₀，f₁，...，f_m}，记G调用的函数集合为{g₀，g₁，...，g_n}，记r＝min(m，n)。注意，因为相似度的计算是沿着拓扑序列进行的，所以f_i和g_j之间的相似度都已经计算完毕，即S(f_i，g_j)已知；

iii.对于序列G_k＝{g_k0，g_k1，...，g_kr}(其中0≤k_i≤r，且k_i≠k_j如果i≠j)，候选加权相似度S′＝(1+∑(w(fi)＊S(f_i，g_ki)))/T；

iv.记序列G_k′＝{g_k0′，g_k1′，...，g_kr′}是使得S′最大的一个序列，记此最大值为S_max；

v.如果S_max大于预设阈值，如0.8，则F和G的相似度为S_max；否则F和G的相似度为0。

4.对于一个已知恶意构件头函数F′，如果在目标样本中存在函数G′，使得S(F′，G′)高于预设阈值(如0.8)，则可以认为在目标样本中存在该恶意构件。

实验中，预设阈值为0.8时，产生的效果最佳。

如上所述，本发明利用恶意程序中功能代码复用的特点，提出一种全新的基于二进制构件分析的方法来实现恶意代码的自动识别。本发明中的方法已被应用于中国蜜网联盟北大蜜网项目组(http://www.icst.pku.edu.cn/honeynetweb/index.htm)捕获的僵尸网络程序样本，极大的加快了恶意代码样本分析的速度，取得了很好的效果，实现了本发明的目的。本发明具有很好的实用性和推广应用前景。

尽管为说明发明目的公开了具体实施例和附图，其目的在于帮助理解本发明的内容并据以实施，但是本领域的技术人员可以理解：在不脱离本发明及所附的权利要求的精神和范围内，各种替换、变化和修改都是可能的。因此，本发明不应局限于最佳实施例和附图所公开的内容，本发明要求保护的范围以权利要求书界定的范围为准。

Claims

1.一种恶意代码自动识别方法，其步骤包括：

1.1解析待分析的可执行程序样本，得到该程序中的函数结点与函数调用信息；

1.2根据上述函数结点与函数调用信息，提取各构件头函数及其直接或间接调用的所有函数，得到以各构件头函数为标识的待分析构件；

1.3将所得各待分析构件逐次与已知恶意行为构件库中存入的各已知恶意行为构件进行相似性比较，直至一待分析构件与一已知恶意行为构件相似，或比较完所有待分析构件；

1.4如存在待分析构件和已知恶意行为构件库中的已知恶意行为构件相似，则判定该程序包含恶意行为。

2.如权利要求1所述的恶意代码自动识别方法，其特征在于，使用反汇编器解析步骤1.1所述的待分析的可执行程序样本。

3.如权利要求1所述的恶意代码自动识别方法，其特征在于通过识别调度函数所调用的函数得到步骤1.2所述的构件头函数。

4.如权利要求1所述的恶意代码自动识别方法，其特征在于通过识别直接或间接调用一组关键API的函数得到步骤1.2所述的构件头函数。

5.如权利要求1所述的恶意代码自动识别方法，其特征在于通过识别被程序中不同函数段重复调用的函数得到步骤1.2所述的构件头函数。

6.如权利要求1所述的恶意代码自动识别方法，其特征在于，步骤1.3所述的相似性比较包括以下步骤：

6.1对待分析构件和已知恶意行为构件的函数调用图进行拓扑排序：

将函数调用图中的函数结点排成一个序列，使得除非出现递归调用，该序列中排在前面的函数结点对应的函数不会调用排在其后面的函数结点对应的函数；

6.2沿序列设置待分析构件和已知恶意行为构件中的函数结点权重：

如果一个函数结点对应的函数未调用任何函数，则该结点的权重设置为1，如果一个函数结点对应的函数调用了其他函数，不包括递归调用的情况，则该结点的权重设置为1加上被调用函数对应的函数结点的权重；

6.3沿序列计算待分析构件中各个函数和已知恶意行为构件中每个函数之间的相似度：

当两个函数都是API时，若相同，则相似度记为1，若不同，相似度记为0；当一个函数是API，而另外一个不是时，相似度记为0；当两个函数都不是API时，其相似度为其调用的函数集合中的函数的加权相似度之和，当该函数相似度低于一个预设的阈值时，则定义这两个函数的相似度为0；

6.4相似性比较结果判断：

若待分析构件中存在不少于一个函数使得该函数和已知恶意构件头函数之间的相似度高于预设阈值，则认为该待分析构件和已知恶意构件相似。

7.如权利要求6所述的相似性比较步骤，其特征在于所述的预设阈值为0.8。

8.如权利要求1所述的恶意代码自动识别方法，其特征在于若可执行程序样本被判定为包含恶意行为，对该可执行程序样本中与已知恶意行为构件库中不相似的其他构件进行分析，将确认为恶意行为构件的构件，按照已知恶意行为构件库要求的格式存入已知恶意行为构件库中。

9.如权利要求1所述的恶意代码自动识别方法，其特征在于，构建步骤1.3所述的已知恶意行为构件库的步骤包括：

9.1解析已知的恶意程序样本，得到该程序中的函数结点与函数调用信息；

9.2根据已知恶意程序的特征，从a)所得函数中提取各构件头函数及其直接或间接调用的所有函数，得到以各构件头函数为标识的构件；

9.3分析上述各构件，识别出恶意行为构件，将恶意行为构件按照设定的格式存入已知恶意行为构件库。

10.如权利要求9所述的已知恶意行为构件库的构建方法，其特征在于使用反汇编器解析步骤

9.1所述的解析已知恶意程序样本。