CN105243328A - 一种基于行为特征的摆渡木马防御方法 - Google Patents

Abstract

本发明公开了一种基于行为特征的摆渡木马防御方法。包括以下步骤，步骤一：通过内核层的注册表操作监控、文件操作监控、进程操作监控、网络操作监控获取摆渡木马的行为特征；步骤二：将内核层获取的行为特征与行为特征库的规则进行匹配，使用灰色模糊判定的方法完成摆渡木马的判定；步骤三：根据判定结果对摆渡木马进行相关的隔离处理，对行为规则库进行实施更新。本发明在现有针对病毒木马程序监控技术和行为分析方法的基础上，设计并实现了一个通过摆渡木马行为特征完成对摆渡木马的防御技术方案。

Description

一种基于行为特征的摆渡木马防御方法

技术领域

本发明属于木马防御领域，尤其涉及Windows平台下根据行为特征进行木马防御的，一种基于行为特征的摆渡木马防御方法。

背景技术

木马作为黑客间谍进行远程控制和窃取信息的重要手段，对国家和个人的信息安全构成很大威胁。摆渡木马作为在涉密网络中一种非常具有代表性的木马，通过植入涉密计算机窃取我国政治、经济、文化等方面的涉密信息，通过后台运行程序将涉密文件信息复制到可移动介质中，不断嗅探计算机的端口信息，伺机将涉密信息发送到摆渡木马控制端服务器，达到窃取信息的目的。

摆渡木马攻击原理通过插入涉密网络中计算机的可移动存储设备，隐蔽运行后台进程，从可移动设备向目标计算机植入攻击程序。木马程序进行计算机遍历搜索，搜索文件次数频繁、类型全面，以文件名选项涉及政治、经济、社会等敏感词为依据。同时木马程序也将对局域网内的IP以及端口进行扫描，感染内网中其他计算机，实现相同的文件搜索过程。木马将获取的涉密敏感信息文件通过伪装以及绑定文件方式隐藏在系统中，不断扫描可进行数据传输的可移动设备，当检测到可移动存储设备接入时，进行文件摆渡操作，将窃取的涉密敏感信息通过特定方式从涉密计算机传输到可移动存储介质中。摆渡木马对盗取的敏感文件转移主要通过上网计算机完成，木马程序对当前网络环境进行分析，发现存在可用的网络连接，就会将可移动设备中的敏感文件通过互联网秘密发送到国外服务器。

国内针对摆渡木马防御的研究工作非常少，研究基于行为特征的摆渡木马防御技术方案对于该领域具有一定意义。通过内核层的行为监控和行为特征的分析判定摆渡木马，可以实现对摆渡木马的有效防御。

发明内容

本发明的目的是提供一种速度快、精度高、防御效果好的，基于行为特征的摆渡木马防御方法。

一种基于行为特征的摆渡木马防御方法，包括以下步骤，

步骤一：通过内核层的注册表操作监控、文件操作监控、进程操作监控、网络操作监控获取摆渡木马的行为特征；

步骤二：将内核层获取的行为特征与行为特征库的规则进行匹配，使用灰色模糊判定的方法完成摆渡木马的判定；

步骤三：根据判定结果对摆渡木马进行相关的隔离处理，对行为规则库进行实施更新。

本发明一种基于行为特征的摆渡木马防御方法，还可以包括：

1、使用灰色模糊判定的方法完成摆渡木马的判定的方法为：

(1)使用攻击树结构表示摆渡木马行为特征，将结点含义与攻击过程的具体行为相对应；

(2)使用梯形模糊数将摆渡木马各个攻击行为威胁等级进行量化，分为威胁等级极低、威胁等级低、威胁等级中等、威胁等级高、威胁等级极高；

(3)设定理想的攻击序列指标作为参考标准，同时将程序的行为序列对应的行为特征指标标准化处理；

(4)通过分析攻击过程的比较序列和理想参考序列的相关性，得到攻击行为序列的灰色模糊隶属度，确定攻击行为序列的灰色模糊优属度，完成对摆渡木马的判定。

2、攻击行为序列的灰色模糊隶属度为：

${\mathrm{\γ}}_{ij}=\frac{{\mathrm{\Δ}}_{min}+{\mathrm{\ζ\Δ}}_{max}}{{\mathrm{\Δ}}_{ij}+{\mathrm{\ζ\Δ}}_{max}}$

其中， ${\mathrm{\Δ}}_{\min }=\underset{i\∈m}{min}\underset{i\∈m}{min}|x_{oj}-x_{ij}|,{\mathrm{\Δ}}_{\max }=\underset{i\∈m}{\max }\underset{i\∈m}{\max }|x_{0j}-x_{ij}|,{\mathrm{\Δ}}_{ij}=|x_{0j}-x_{ij}|,$

攻击行为序列的灰色模糊优属度为：

$L_i=\frac{1}{1+{\[(1-I_i)/I_i\]}^2}$

ω_j表示摆渡木马各种行为的权重。

有益效果：

在实施过程中发现，采用本发明所提供的基于行为特征的摆渡木马判定模型可以有效完成对摆渡木马行为特征的内核层监控，同时可以根据获取的行为特征完成对摆渡木马的判定，从而完成对摆渡木马的防御，发明有益效果十分之明显。

本发明主要功能为：通过内核层的行为监控，完成对程序的行为特征的获取。根据获取的程序行为特征信息，进行行为特征分析完成摆渡木马判定。使用静态查杀和动态监控相结合的方式，同时结合摆渡木马的防御规则和行为特征的综合分析完成防御。

附图说明

图1为摆渡木马行为特征防御技术方案示意图；

图2为文件操作内核监控流程；

图3为注册表操作内核监控流程；

图4为进程操作内核监控流程；

图5为完成内核函数hook监控示意图；

图6为基于行为特征的摆渡木马防御技术方案系统获取行为特征图；

图7为摆渡木马与非摆渡木马灰色模糊优属度比较图；

图8为评价标准梯形模糊数表。

具体实施方式

下面将结合附图对本发明做进一步详细说明。

在本发明中所涉及的基于行为特征的摆渡木马防御技术方案主要功能为：通过内核层的行为监控，完成对程序的行为特征的获取。根据获取的程序行为特征信息，进行行为特征分析完成摆渡木马判定。使用静态查杀和动态监控相结合的方式，同时结合摆渡木马的防御规则和行为特征的综合分析完成防御。

1)建立了一个将摆渡木马行为内核监控与行为特征分析判定相结合的摆渡木马防御技术方案；

2)该防御技术方案的工作步骤如下：

步骤一：通过内核层的注册表操作监控、文件操作监控、进程操作监控、网络操作监控获取摆渡木马的行为特征；

步骤二：在内核层获取行为特征的基础上，与行为特征库的规则进行匹配，使用灰色模糊判定的思想完成摆渡木马的判定过程；

步骤三：根据判定结果对摆渡木马进行相关的隔离处理，同时对对行为规则库进行实施更新，当再次发现类似样本程序出现，直接进行拦截隔离。

其中步骤一的内核层获取摆渡木马行为特征包括以下内容。

1.文件操作内核监控指内核层的文件操作监控是指对新建文件操作、写入文件操作、读取文件操作、重命名文件操作、搜索敏感文件操作的内核层监控，同时重点对目标路径和发起路径为可移动设备的文件操作进行重点监控。监控过程中的行为过滤，需要对应的文件操作过滤规则配合完成。

2.注册表操作内核监控指实现对新建注册表项和键值操作、修改注册表项和键值操作、删除注册表项和键值操作、重命名注册表项和键值操作的内核层监控。监控过程中的行为过滤，需要对应的注册表操作过滤规则配合完成。

3.进程操作内核监控指对可疑进程的创建操作和不合法的进程终止操作进行监控。监控过程中的行为过滤，需要对应的进程操作过滤规则配合完成。

4.网络操作内核监控指对内部网络访问和外部网络数据传输操作进行内核监控。外网访问主要针对网络操作访问的IP地址、端口号进行监控并完成选择性地拦截，对网络操作中的数据包进行过滤，需要网络操作行为监控与文件操作行为监控操作进行配合实现。内网访问主要针对可疑的内网访问操作进行监控。监控过程中的行为过滤，需要对应的网络操作过滤规则配合完成。

下面以文件操作内核监控和行为获取过程为例，介绍程序的行为监控和消息交互的整个过程，描述如下：

通过文件回调函数和文件操作内核层函数挂钩的方式完成对文件操作的监控。其中文件创建操作、文件写入操作、文件读取操作都采用文件回调函数的方式进行监控。文件重命名、文件删除、文件搜索操作采用挂钩系统描述符表中对应内核函数的方式完成。当程序产生文件操作时最终都会调用底层的内核函数完成对应的功能，在步骤一中的监控都可以有效获得程序的文件操作信息，通过文件防御规则以及进程防御规则进行过滤，通过MiniFilter框架的消息通信机制将程序的文件操作信息发送给应用层的行为特征获取分析模块。

文件操作监控、注册表操作监控、进程操作监控、网络操作监控都会分别执行上述的信息获取步骤，行为特征获取模块就会获得程序的行为操作序列。

其中步骤二的灰色模糊判定思想可以分为以下具体步骤。

步骤1：使用攻击树结构形象化表示摆渡木马行为特征，树形结构的层次关系可以清晰描述结点间的隶属关系和逻辑关系，同时将结点含义与攻击过程的具体行为相对应。

步骤2：使用梯形模糊数将摆渡木马各个攻击行为威胁等级进行量化，分为威胁等级极低、威胁等级低、威胁等级中等、威胁等级高、威胁等级极高。即每个摆渡木马攻击树中的每个叶子节点都对应一个威胁等级。

步骤3：设定理想的攻击序列指标作为参考标准，同时将程序的行为序列对应的行为特征指标的标准化处理，为后续比较使用。

步骤4：通过分析攻击过程的比较序列和理想参考序列的相关性，得到攻击行为序列的灰色模糊隶属度，进而确定攻击行为序列的灰色模糊优属度。完成对摆渡木马的判定。

其中步骤三的根据判定结果对摆渡木马进行相关的处理主要包括以下内容。

根据上述判定结果，将正在运行的摆渡木马程序进行强制结束，同时强制隔离删除。同时将判定为摆渡木马的程序的相关信息，如进程名字等程序的特征码信息实时加入到规则库中，当系统以及可移动设备中，再次检测到类似程序是直接拦截。

一种基于行为特征的摆渡木马防御技术方案，该技术方案的实施主要包括以下内容：

1)建立了一个将摆渡木马行为内核监控与行为特征分析判定相结合的摆渡木马防御技术方案；

2)该防御技术方案的工作步骤如下：

步骤一：通过内核层的注册表操作监控、文件操作监控、进程操作监控、网络操作监控获取摆渡木马的行为特征；

步骤二：在内核层获取行为特征的基础上，与行为特征库的规则进行匹配，使用灰色模糊判定的思想完成摆渡木马的判定过程；

步骤三：根据判定结果对摆渡木马进行相关的隔离处理，同时对对行为规则库进行实施更新，当再次发现类似样本程序出现，直接进行拦截隔离。

下面对本发明做几点说明：

1、行为特征主要指程序运行过程中产生注册表操作、文件操作、进程操作、网络操作、可移动操作，以及上述行为操作所产生的组合特征，防御主要指通过动态防御与静态检测的方式完成对摆渡木马进行防御。

2、所述内容2)中步骤一内核层的注册表操作监控、文件操作监控、进程操作监控、网络操作监控监控获取摆渡木马的行为特征，其中内核层监控是指程序完成的每一个操作行为都是通过应用层函数进一步调用内核函数实现的，首先程序调用应用层函数，每一个应用层的API函数的实际执行都对应操作系统一个内核层函数，内核监控指对NT开头的内核函数的监控。内核层的注册表操作监控是指对新建注册表项和键值操作、修改注册表项和键值操作、删除注册表项和键值操作、重命名注册表项和键值操作的内核层监控。

3、所述内容2)中步骤一中文件操作内核监控指内核层的文件操作监控是指对新建文件操作、写入文件操作、读取文件操作、重命名文件操作、搜索敏感文件操作的内核层监控。

4、所述内容2)中步骤一中内核层的进程操作监控指，针对可疑进程的创建操作和不合法的进程终止操作进行监控。其中进程创建操作监控主要针对摆渡木马在攻击过程中创建自身程序的过程，进程终止的监控主要针对摆渡木马在攻击过程中对主动防御的相关程序进行的进程终止操作。

5、所述内容2)中步骤一中内核层的网络操作监控网络操作行为监控主要针对内部网络访问和外部网络数据传输操作进行内核监控。外网访问主要针对网络操作访问的IP地址、端口号进行监控并完成选择性地拦截，对网络操作中的数据包进行过滤，需要网络操作行为监控与文件操作行为监控操作进行配合实现。内网访问主要针对局域网中感染摆渡木马的情况，当局域网一台计算机感染摆渡木马，摆渡木马将对局域网的IP和端口进行扫描，可能导致局域网内其它计算机也感染。

6、所述内容2)中步骤二中行为特征库的规则根据摆渡木马行为特征制定了注册表防御规则、文件防御规则、进程防御规则、网络防御规则。行为规则库机制主要采用进程防御规则与文件操作防御规则相结合的防御策略，通用规则与特殊规则相结合的方式完成对行为的过滤。

7、名词解释：

树结构:一种非线性的数据结构，树上的每个元素称为结点，树上的每个结点表示含义不同，根结点表示木马程序，除根结点外的结点分别代表不同的攻击行为。攻击序列指标:对木马攻击过程中产生的攻击序列，进行数据量化处理产生的指标。标准化处理:使用统一标准对不同攻击序列指标进行标准化的过程。攻击过程：摆渡木马进行整个文件窃取所需的操作过程。攻击行为：摆渡木马进行攻击进行的具体行为(如进程创建行为，文件新建行为等)比较序列：获取的实际攻击过程中的攻击序列指标。

灰色模糊优属度：在灰色模糊隶属度基础上，更精确反映序列相关性的标准。

本实施所基于的测试环境是Windows操作系统，防御技术方案对摆渡木马的防御过程附图1所示，首先，行为监控获取模块完成对程序的行为监控操作，获取程序的行为特征，然后由行为特征分析模块，根据获取的行为特征进行进一步的判定，完成实时交互，完成对摆渡木马的防御。

文件行为操作的内核监控实施，主要采用文件回调函数的方式和内核层API函数挂钩的方式完成。其中文件创建、文件写入、文件读取操作都采用文件回调函数的方式进行监控。文件监控流程具体如附图2所示，当操作系统内核中产生文件操作时，将执行对应的文件回调函数，在文件回调函数中，判定程序进程合法性，合法直接放行，否则对文件操作信息进行处理，根据文件行为规则对内核文件操作进行过滤，完成将拦截信息发送给行为特征分析模块。同时可以接收应用层的判定结果。

注册表监控实施时，流程具体如附图3所示，注册表防御进程对所有注册表操作进行监控，将拦截的注册表操作对应的注册表路径与注册表防御规则中的路径进行比较，如果在注册表防御规则中，将对应信息发送给行为特征分析模块，完成对注册表操作行为的获取。同时可以接收应用层的判定结果。

进程监控实施时，流程具体如附图4所示，当内核监控到进程创建操作行为时，首先将发起进程创建操作行为的进程与进程创建监控黑名单规则进行匹配。如果不在进程创建黑名单中继续进行判断，判断进程是否符合微软签名认证，如果进程符合微软签名，则直接放行，否则继续进行判定，判断该进程是否符合进程创建白名单防御规则，如果在进程创建白名单规则中，直接放行，否则进行拦截，将对应的信息发送给行为特征分析模块，完成对进程操作行为的获取。同时可以接收应用层的判定结果。

网络操作监控实施时，应用程序对底层的功能调用都是通过调用相应的API接口生成内核相应的请求传递到底层，来通知底层硬件来完成相应的网络操作。通过创建请求过滤，获取请求的进程和具体行为操作的请求原因。一般有以下几个步骤，首先，获取当前网络操作的进程信息，通过防火墙显示的使用一个连接的进程，通过PsGetCurrentProcessId()获得网络操作相关进程的ID号。在处理创建的IRP的进程中，调用对应函数获取进程编号的可以确定发起请求的进程。然后通过调用内核层函数NtCreateFile获取Ea数据，程序的网络操作主要通过Ea数据来传递信息，包括传输地址信息、终端信息、操作请求指令的名称等，通过分析可以使用程序发起的网络连接类型作为标准进行过滤。所以，对网络操作行为内核监控需要重点对不可信进程发起的请求事件进行监控，分析数据包中是否包含涉密敏感信息，同时对数据发送的可疑目的IP地址进行过滤拦截，将对应的信息发送给行为特征分析模块，完成对网络操作行为的获取。同时可以接收应用层的判定结果。

根据上述监控获取的行为特征信息，基于行为特征摆渡木马判定实施时，首先定义行为特征评价向量集V＝{ω₁,ω₂....ω_m}。根据摆渡木马攻击过程行为类型及威胁等级，制定具有摆渡木马行为特征的行为评价向量集，取m＝5，评价标准对应梯形模糊数如图8所示。

评价标准对应梯形模糊数表示的是实际攻击行为序列对应的行为特征指标相对于理想情况对应行为特征指标的近似程度，根据上述公式和设定的理想攻击序列，得到经过数据标准化的理想参考序列 $A_0^0=\left[\begin{array}{cccc}1& 1& 1& 1\end{array}\right]$ 和比较序列 $A_i^0=\left[\begin{array}{cccc}{V}_{i1}^0& V_{i2}^0& V_{i3}^0& V_{i4}^0\end{array}\right],$ 具体的相似度指标如公式1所示。

定义摆渡木马行为序列灰色隶属度，如公式2所示。

${\mathrm{\γ}}_{ij}=\frac{{\mathrm{\Δ}}_{\min }+{\mathrm{\ζ\Δ}}_{max}}{{\mathrm{\Δ}}_{ij}+{\mathrm{\ζ\Δ}}_{max}}---\left(2\right)$

其中公式中： ${\mathrm{\Δ}}_{\min }=\underset{i\∈m}{min}\underset{i\∈m}{min}|x_{oj}-x_{ij}|,{\mathrm{\Δ}}_{\max }=\underset{i\∈m}{\max }\underset{i\∈m}{\max }|x_{0j}-x_{ij}|,{\mathrm{\Δ}}_{ij}=|x_{0j}-x_{ij}|,$

在得到灰色模糊隶属度的基础上，进一步计算攻击行为序列的灰色模糊优属度。比较攻击序列对应行为特征指标与理想攻击序列对应行为特征指标间的优属度L_i如公式4-3。

$L_i=\frac{1}{1+{\[(1-I_i)/I_i\]}^2}---\left(3\right)$

其中式中：ω_j表示摆渡木马各种行为的权重，注册表操作、文件操作、进程操作、网络操作这四种行为操作都是摆渡木马攻击过程中的行为特征，同时应着每个阶段的攻击，使用两两比较法确定w＝[ω₁ω₂ω₃ω₄]＝[0.250.250.250.25]。

行为规则库使用时采用xml文件，通过对xml文件加密最终保存为dat格式存储。规则文件主要包括内核监控规则名称、具体的规则描述、对应规则权重信息。规则文件采用统一的书写格式方便管理，以注册表监控规则为例，解密后的规则库文件内容如下：

<rules>

…

<rule>

<path>*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</path>本方案在实

<weight>6</weight>

<description>启动项</description>

</rule>

</rules>

施过程表现出了较好优化效果，下面是基于行为特征的摆渡木马防御技术方案的测试结果展示：

本发明中所采用的测试用例主要用于测试基于行为特征的摆渡木马防御技术方案可以完成对摆渡木马的行为监控和获取，同时可以根据行为特征完成对摆渡木马的判定。首先通过查看内核层函数地址的变化，如附图5所示，可知模型从理论上可以完成对程序行为操作的监控，测试用例在执行过程中通过执行现有的摆渡木马样本和大量的非摆渡木马样本，以此来测试基于行为特征的摆渡木马防御技术方案对程序行为监控和获取的效果。同时根据行为特征综合分析，可以将摆渡木马和非摆渡木马进行有效分类，从而完成对摆渡木马的判定。

(1)测试结果：对现有的摆渡木马样本以及大量非摆渡木马样本，其中非摆渡木马样本中包括正常程序，进行行为序列的获取和灰色模糊优属度的计算，如附图7所示，得到摆渡木马和非摆渡木马的灰色模糊优属度曲线。

(2)结果分析：使用摆渡木马样本和非摆渡木马样本进行检测，如附图6所示，摆渡木马检测与防护系统能捕获到样本对文件进行搜索、进程创建及终止操作、可移动存储设备文件写入、网络操作的主要行为信息。通过附图7，实验证明了基于行为特征的摆渡木马防御系统能够有效的监控摆渡木马内核层行为，对现有摆渡木马和非摆渡木马样本的行为特征的综合分析计算，通过摆渡木马和非摆渡木马的灰色模糊优属度散点图分析比较，可以看出摆渡木马与非摆渡木马的灰色模糊优属度具有很明显的分界线，通过设置的可能性指标阈值可以区分摆渡木马与非摆渡木马完成分类，从而实现对摆渡木马的有效判定，从而进一步实现防御。

Claims (3)

1.一种基于行为特征的摆渡木马防御方法，其特征在于：包括以下步骤，

步骤一：通过内核层的注册表操作监控、文件操作监控、进程操作监控、网络操作监控获取摆渡木马的行为特征；

步骤二：将内核层获取的行为特征与行为特征库的规则进行匹配，使用灰色模糊判定的方法完成摆渡木马的判定；

步骤三：根据判定结果对摆渡木马进行相关的隔离处理，对行为规则库进行实施更新。

2.根据权利要求1所述的一种基于行为特征的摆渡木马防御方法，其特征在于：所述的使用灰色模糊判定的方法完成摆渡木马的判定的方法为：

(1)使用攻击树结构表示摆渡木马行为特征，将结点含义与攻击过程的具体行为相对应；

(2)使用梯形模糊数将摆渡木马各个攻击行为威胁等级进行量化，分为威胁等级极低、威胁等级低、威胁等级中等、威胁等级高、威胁等级极高；

(3)设定理想的攻击序列指标作为参考标准，同时将程序的行为序列对应的行为特征指标标准化处理；

(4)通过分析攻击过程的比较序列和理想参考序列的相关性，得到攻击行为序列的灰色模糊隶属度，确定攻击行为序列的灰色模糊优属度，完成对摆渡木马的判定。

3.根据权利要求2所述的一种基于行为特征的摆渡木马防御方法，其特征在于：所述的攻击行为序列的灰色模糊隶属度为：

${\mathrm{\&gamma;}}_{ij}=\frac{{\mathrm{\&Delta;}}_{min}+{\mathrm{\&zeta;\&Delta;}}_{max}}{{\mathrm{\&Delta;}}_{ij}+{\mathrm{\&zeta;\&Delta;}}_{max}}$

其中， ${\mathrm{\&Delta;}}_{\min }=\underset{i\&Element;m}{min}\underset{i\&Element;m}{min}\left|x_{oj}-x_{ij}\right|,$ ${\mathrm{\&Delta;}}_{max}=\underset{i\&Element;m}{max}\underset{i\&Element;m}{max}\left|x_{0j}-x_{ij}\right|,$ Δ_ij＝|x_0j-x_ij|，

攻击行为序列的灰色模糊优属度为：

$L_i=\frac{1}{1+{\&lsqb;(1-I_i)/I_i\&rsqb;}^2}$

ω_j表示摆渡木马各种行为的权重。