CN108197473B

CN108197473B - 一种抗干扰的环境敏感型恶意软件行为相似性评测方法和装置

Info

Publication number: CN108197473B
Application number: CN201711420183.2A
Authority: CN
Inventors: 贾晓启; 黄庆佳; 台建玮; 周广哲; 杜海超; 唐静; 周梦婷; 解亚敏
Original assignee: Institute of Information Engineering of CAS
Current assignee: Institute of Information Engineering of CAS
Priority date: 2017-12-25
Filing date: 2017-12-25
Publication date: 2021-12-28
Anticipated expiration: 2037-12-25
Also published as: CN108197473A

Abstract

本发明涉及一种抗干扰的环境敏感型恶意软件行为相似性评测方法和装置。该方法包括以下步骤：1)将可疑软件放置于多种不同的执行环境中，记录可疑软件的行为序列；2)对可疑软件的行为序列进行规范化处理；3)对可疑软件的行为序列进行去干扰处理；4)计算并比较去干扰处理后的行为序列的相似性；5)基于行为序列的相似性，判断可疑软件是否为环境敏感型恶意软件。本发明能够有效的消除恶意软件的大量干扰行为，准确计算行为序列的相似性，使得对该类型恶意软件的检测更准确；同时该方法对恶意软件行为序列的规范化处理，消除了不同系统间的语义偏差，具有良好的可用性和普适性，降低了检测成本。

Description

一种抗干扰的环境敏感型恶意软件行为相似性评测方法和装置

技术领域

本发明属于系统安全技术领域，涉及一种环境敏感型恶意软件行为相似性评测方法，特别涉及一种抗干扰的环境敏感型恶意软件行为相似性评测方法和装置。

背景技术

随着网络信息技术的高速发展，恶意软件已成为危害网络公共安全的主要威胁之一。据瑞星2013年信息安全报告(瑞星.2013年中国信息安全报告[EB/OL][2014-03-12])指出2013年中国共有11.45亿人次被恶意软件感染，有2300万台电脑受到攻击，2013年1至12月新增恶意软件样本达3310万余个，总数量比2012年同期增长163％。随着恶意软件数目的爆发式增长，传统的基于特征码与签名的恶意软件分析技术已不能满足新兴的恶意代码检测需求，主动防御、云安全、启发式扫描等技术被提出。

恶意软件本质上是一个集合名词，来指代故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马。当用户系统受到恶意软件的攻击时，用户在系统内的敏感信息都面临着泄露的巨大安全风险，比如窃取银行帐户信息，信用卡密码及个人隐私信息等等。综上所述，这种非法入侵用户系统，执行具有恶意目的行为的程序就叫做恶意软件，也叫做流氓软件。

一般来说，恶意软件包括以下恶意行为特征。1)强制安装：指未明确提示用户或未经用户许可，在用户计算机或其他终端上安装软件的行为。2)难以卸载：指未提供通用的卸载方式，或在不受其他软件影响、人为破坏的情况下，卸载后仍然有活动程序的行为。3)浏览器劫持：指未经用户许可，修改用户浏览器或其他相关设置，迫使用户访问特定网站或导致用户无法正常上网的行为。4)广告弹出：指未明确提示用户或未经用户许可，利用安装在用户计算机或其他终端上的软件弹出广告的行为。5)恶意收集用户信息：指未明确提示用户或未经用户许可，恶意收集用户信息的行为。6)恶意卸载：指未明确提示用户、未经用户许可，或误导、欺骗用户卸载其他软件的行为。7)恶意捆绑：指在软件中捆绑已被认定为恶意软件的行为。

在众多种类的恶意软件之中，有一类新型的恶意软件正在快速增长，即环境敏感型恶意软件，该类恶意软件具有较高的智能性，可以检测当前的运行环境，若是对自身不利则避免做任何可疑或恶意的行为，这种特性大大增加了检测的难度。据各大安全厂商的统计统计，截至2017年初新出现的恶意软件中，有20％的恶意软件具备环境感知的能力，即每十个新出现的恶意软件中就有两个属于环境敏感型恶意软件。

近年来，针对环境敏感型恶意软件的研究中出现了很多的检测方法，但是目前的检测方式主要存在以下问题：1)对抗检测机制不足，不能确定环境敏感型恶意软件是否释放了恶意行为，影响检测结果；2)若环境敏感型恶意软件具有大量随机行为，则现有的方法检测效果不理想，该类恶意软件作者通常会在恶意软件释放恶意行为前加入大量的随机行为，这会极大的干扰检测判断，而现有的检测方法不能有效处理。如何防止被环境敏感型恶意软件绕过，提高准确率和检出率，是应对当前新型恶意软件快速增长形势的关键问题。环境敏感型恶意软件可以通过比较其在不同执行环境下的行为差异来识别。因此，为了有效地检测环境敏感型恶意软件，有必要提出一种抗干扰的环境敏感型恶意软件行为相似性评测方法。

发明内容

针对环境敏感型恶意软件行为序列相似性评估和环境敏感型恶意软件检测问题，本发明提出了一种抗干扰的环境敏感型恶意软件行为相似性评测方法和装置，其中行为相似性是通过多行为序列的相似性来计算。

该方法在多种执行环境下分析和比较可疑软件的行为序列，比较可疑软件在不同环境下的恶意行为，去除恶意软件的干扰行为(例如大量的非恶意随机行为)，评价可疑软件的多行为序列相似性，最终判断可疑软件是否是环境敏感型恶意软件。

本发明采用的技术方案如下：

一种抗干扰的环境敏感型恶意软件行为相似性评测方法，其步骤包括：

1)将可疑软件放置于多种不同的执行环境中，记录可疑软件的行为序列，用作相似性分析的元数据；

2)对可疑软件的行为序列进行预处理，提出行为序列的模型，进行行为序列的规范化；

3)对可疑软件的行为序列进行去干扰处理；

4)设计并实现多行为序列相似性(MBSS)算法，利用该算法计算并比较消除干扰行为后的行为序列相似性；

5)基于行为序列的相似性分析，判断可疑软件是否为环境敏感型恶意软件。该步骤定义相似分数，若相似分数大于阈值，则认为该可疑软件不是环境敏感型恶意软件；若相似分数小于阈值，则说明该可疑软件在特定执行环境下的行为与其他环境下有明显差距，即判断该可疑软件是环境敏感型恶意软件。

更进一步，多种分析环境包括沙盒环境，虚拟机环境，Hypervisor环境和调试环境等，可疑软件在不同的操作环境中执行，记录其行为序列。

更进一步，本发明提出的行为序列模型的目的是便于行为序列规范化处理，模型中将行为序列作为一个四元组。

更进一步，四元组包括对象的类型，对象的名称，操作的名称以及相应的属性，用于提供特定操作的附加信息。

更进一步，由于不同系统中，相同的对象也可能有不同的表现形式，这会对行为序列的分析比较产生很大的影响，甚至导致算法得出一个完全相反的结果。所以本发明选择将行为序列规范化以应对上述问题。

环境敏感型恶意软件通常会执行很多独立的干扰行为来对抗检测。这些干扰行为会出现在每个环境中，如果不处理它们的话，它们就会在所有的行为序列中占据相当大的比例进而影响最终相似性的计算。现有的一些方法，例如Hierarchy Similarity算法(M.Lindorfer,C.Kolbitsch,and P.M.Comparetti,“Detecting environment-sensitivemalware,”in Recent Advances in Intrusion Detection-International Symposium,RAID 2011,Menlo Park,Ca,Usa,September 20-21,2011.Proceedings,pp.338-357,2011)没有考虑到上述问题，这会导致最终得到错误的判断。

更进一步，本发明提出一种称为多行为序列相似性(Multiple BehavioralSequences Similarity，简称MBSS)的算法，该算法可以消除干扰行为，使得比较结果更加可靠并且更具有鲁棒性，其中行为相似性是通过多行为序列的相似性来计算的。

更进一步，本发明提出了一种简单有效的方法来消除干扰行为。首先，从头开始扫描行为序列中的每一条行为或操作，如果有相同的，也就是对于定义的四元组每一项都相同，那么记录此时的位置；然后继续执行上述扫描工作，直到所有共同的行为序列都被找到为止；最后，根据记录的位置删除这些相同的行为序列。通过这种方法，可以有效地消除大部分的干扰行为，只留下真实的恶意行为。

更进一步，本发明提出的行为序列相似分数是基于cosine算法来计算的，通过将可疑软件在多种环境下的行为序列相似分数与阈值进行比较，最终判断该可以软件是否是环境敏感型恶意软件。

一种抗干扰的环境敏感型恶意软件行为相似性评测装置，其包括：

行为序列记录模块，用于在多种不同的执行环境中执行可疑软件，并记录可疑软件的行为序列；

规范化处理模块，用于对可疑软件的行为序列进行规范化处理；

去干扰处理模块，用于对可疑软件的行为序列进行去干扰处理；

相似性计算模块，用于计算并比较去干扰处理后的行为序列的相似性；

恶意软件判定模块，用于基于行为序列的相似性，判断可疑软件是否为环境敏感型恶意软件。

一种服务器，包括存储器和处理器，所述存储器存储计算机程序，所述计算机程序被配置为由所述处理器执行，所述计算机程序包括用于执行上面所述方法中各步骤的指令。

与现有技术相比，本发明的有益效果如下：

1)本发明在多种操作环境下执行可疑软件，记录可疑软件的行为序列，有效地激发了可疑软件的环境敏感性。

2)本发明提出的行为序列模型对可疑软件的行为做了规范化处理，解决了多种环境下的语义偏差，具有良好的可用性和普适性。

3)本发明提出的MBSS算法相较于现有的相似性评测算法，可以消除可疑软件的干扰行为，大大提升了算法的抗干扰性，提升了本发明方法对行为序列相似性计算的准确度，即提升了环境敏感型恶意软件的检测效率。

综上所述，本发明提出的一种抗干扰的环境敏感型恶意软件行为相似性评测方法，能够有效的消除恶意软件的大量干扰行为，准确计算行为序列的相似性，使得对该类型恶意软件的检测更准确。同时，该方法对恶意软件行为序列的规范化处理，消除了不同系统间的语义偏差，具有良好的可用性和普适性，降低了检测成本。

附图说明

图1为本发明方法的流程示意图。

图2为β值对精度的影响图。

图3为MBSS算法与层次相似性算法的精度-召回率分析图。

图4为阈值t对精度-召回率分析的影响图。

图5为MBSS算法与层次相似性算法的评测效率对比图。

具体实施方式

下面结合本发明的流程示意图，对本发明实施例中的技术方案进行详细的完整的描述。可以理解的是，所描述的实施例仅是本发明的一部分，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有创造性劳动的前提下所获得的其他实施例均属于本发明的保护范围。

首先，将可疑软件放置在多种不同的操作环境中执行，并记录可疑软件的行为序列。其中，多种不同的操作环境包括沙盒环境，虚拟机环境，Hypervisor环境和调试环境。本实施例中，使用Cuckoo构建沙盒环境，使用VMware Workstation部署虚拟机环境，使用Xen-4.4.0部署Hypervisor环境，使用Windbg和Ollydbg部署调试环境。同时，本实施例选择Windows7SP1(32位)系统作为所有分析环境的操作系统。

当获取了可疑软件在多种执行环境下的行为序列后，需要对行为序列进行预处理。为了便于之后的行为序列分析比较，本发明为行为序列建模如下。Bayer等人(U.Bayer,P.M.Comparetti,C.Hlauschek,C.Krgel,and E.Kirda,“Scalable,behavior-basedmalware clustering,”in Network and Distributed System Security Symposium,NDSS2009,San Diego,California,Usa,February-February,2009)提出了一种通过提取系统调用来跟踪可疑软件行为的方法。本发明在多行为序列相似性检测算法中采用类似的方法来处理行为序列文件。

与Bayer等人提出的模型类似，为了便于对行为序列进行规范化处理，本发明将可疑软件的行为序列BP(Behavioral Profile)作为一个四元组。

BP:＝(obj type,obj name,op name,op attr)

其中，obj type是对象的类型，obj name是对象的名称，op name是操作的名称，opattr是一个相应的属性，用于提供特定操作的附加信息。

obj type的定义如下所示：

obj type:＝File(0)|Registry(1)|Syspath(2)|Process/Thread(3)|Network(4)

文件类型(File)表示此行为是一个文件操作，如创建一个文件。注册表类型(Registry)表示此BP是一个注册表项的操作。系统路径类型(Syspath)表示此BP是系统密钥路径操作，例如％systemroot％。进程/线程类型(Process/Thread)表示此BP是关于进程或线程的操作，例如终止进程。网络类型(Network)表示网络行为，包括远程IP和端口。每种类型由整数0,1,2,3,4表示，方便后文实验中行为序列复杂性的比较。

与现实中的API类似，每个操作都必须有一个名字。此外，还需要相应的属性来提供有关操作的附加信息。例如，内核函数NtDeviceIoControlFile被统一使用来表示所有相关的套接字功能，需要更多的附加信息来标识更细粒度的功能。也就是说，如果将op attr设置为字符串“send”，那么就可以清楚地知道这个操作是发送函数。

为了消除不同环境下的语义偏差，同时消除恶意软件干扰行为对检测结果的影响，需要对行为序列BP进行规范化处理。由于在不同的系统中，相同的对象也可能有不同的表现形式，这会对BP产生很大的影响，甚至导致系统最终得出一个完全相反的判断结果。

环境敏感型恶意软件通常会执行很多独立的干扰行为来对抗检测。这些干扰行为会出现在每个环境中，如果不处理这些干扰行为，它们就会在所有的行为序列中占据相当大的比例，进而影响最终相似性的计算。现有的一些方法，例如层次相似性算法(HierarchySimilarity)没有考虑到上述问题，这会导致最终得到错误的判断。本发明提出的检测算法可以有效地消除干扰行为，使得对行为序列相似性计算结果更加可靠，同时使得检测方法具有更好的鲁棒性。

所以，本实施例采用如下的规范化步骤：

1)将BP统一的转换为小写形式。相同的BP在不同的环境中格式通常不同，有些采用大写形式，有些采用小写形式。为了消除该影响，本实施例统一采用小写形式，其它实施例中也可以统一采用大写形式。

2)SID设置为一个固定的值。注册表HKEY_USERS\<SID>是一个安全标识符，该值在不同的系统中通常不同。所以本实施例统一设置为一个固定的值来消除误差。

3)执行去重操作。一些恶意软件通常会执行相同的动作很多次，这会掩盖它真正的恶意行为。因此，如果重复的次数超过五次，那么就执行去重操作以抵抗混淆行为。

综上所述，建立本发明的MBSS算法模型如下。

令X＝{x1,x2,x3,…xn}，Y＝{y1,y2,y3,…ym}，其中x1～xn，y1～ym每一项都代表一个BP，所以集合X就代表了某个可疑软件在一个特定环境下的行为集合。令L(X)表示集合X的元素个数，L(Y)表示集合Y的元素个数，S＝X∩Y表示集合X和集合Y的交集，则本发明可以定义如下递归式：

其中，

在表达式(1)中，β是一个可配置的参数，本发明通过设计实验来为它选一个最优值。x是集合X中的一个元素，y是集合Y中的一个元素。表达式(1)中，本发明提出了一种简单有效的方法来消除干扰行为。首先，从头开始扫描各个在环境下得到的BP序列，如果有相同的，也就是对于定义的4元组每一项都相同，那么我们记录此时的位置，一直循环执行该动作直到所有共同的BP都被找到为止。然后根据记录的位置删除这些相同的BP。通过这种方式，可以有效地消除大部分的干扰行为，只留下真实的恶意行为。

在表达式(2)中，A是一个由集合X转换而来的向量集合，并且A_i∈A，同理B是一个由集合Y转换而来的向量集合，并且B_i∈B。其中，集合X，Y中的每一项都是一个BP四元组，详细定义同上文。通过将BP四元组转换成四维的空间向量，即可将X，Y转换成A，B两个向量集合。表达式(2)是基于余弦(cosine)算法实现的，它代表了消除干扰行为后集合X和集合Y之间的相似性。因此，Sim(X,Y)就表示相似分数，更多的细节如下所示。

我们可以清楚的看到，Sim(X,Y)的取值位于0到1之间，所以集合X和集合Y的偏离分数就可以简单的定义为：

Dis(X,Y)＝1-Sim(X,Y) (3)

同样的，可以得出表达式(3)中Dis(X,Y)的取值范围为[0,1]，且当Dis值越接近0表明行为间的偏离程度越小，越接近1表明行为间的偏离程度越大。定义阈值t，当Dis(X,Y)大于t时，表明该样本是环境敏感型恶意软件，否则认为不是。

本实施例采用实验的方式来评估MBSS算法的性能，实验结果选择精度和召回率这两个指标来衡量系统的检测效率。本实施例设计了以下三个实验。第一个实验是寻找算法中使用的最优参数；第二个是通过精度和召回率分析来评估MBSS算法；第三个是展示本发明消除干扰行为对检测环境敏感的恶意软件的有效性。

为了给MBSS算法选择最优的β值，本实验随机选择140种环境敏感的恶意软件和140种常见的恶意软件作为实验的数据集。为了简单起见，只选择基于Win32PE文件格式的软件。

本实施例从所有分析环境中提取了这些样本的行为学方法，并通过改变2和20之间的参数计算了偏差分数。结果如图2所示。我们可以清楚地看到，当参数β超过8时，精度保持在100％。根据前文定义的算法，当β选择一个较高的参数值时，相似性得分会变得更高，偏差得分会降低。也就是说，如果恶意软件被认为是环境敏感的，则100％的精度始终是真实的。然而，表达式(1)告诉我们，如果β值取的过高，相似性得分将很有可能为1。这将导致偏差分数为0，并且召回率也相对较低。因此，β值的合理区间为9和12之间。这里，本实施例选择β的值取为10。

然后，本实施例通过将MBSS算法与层次相似性算法(Hierarchy similarityalgorithm)进行比较来评估MBSS算法的效果。本实验随机选择542个环境敏感型恶意软件和319个普通恶意软件。同样的，只选择基于Win32PE文件格式的软件。

本实验从所有分析环境中提取了上述测试软件的行为准则，并使用MBSS算法和层次相似性算法计算了偏差得分。我们通过改变这些偏差得分的阈值t来对精度和召回率进行分析。如果偏差得分超过阈值t，样本被认为是环境敏感的。结果如图3所示。

图4展示了通过改变阈值t来确定MBSS算法的精度-召回率特征。可以清楚地看到，当阈值t＝0.75时，系统得到100％的精度以及召回率为60％。该结果与层次相似性算法的回调率相比，召回率增加了约20％。

实验结果显示，MBSS算法相较于层次相似性(Hierarchy similarity)算法给出了更好的结果，原因在于MBSS算法可以解决干扰行为的影响，提升了结果的准确性。干扰行为可能会影响环境敏感型恶意软件的检测，而本发明提出的MBSS算法能够应对这个问题，这是本发明的突破点之一。由于层次相似性算法没有考虑干扰行为对检测结果的影响，因此可以通过比较环境敏感型恶意软件的检测次数来证明检测的有效性。

本实验随机选择1140个环境敏感型恶意软件，这些恶意软件都可以产生大量的干扰行为。同样的，只选择基于Win32PE文件格式的软件。将所有恶意软件样本平均分成三组，即每组380个恶意样本。

本发明从所有分析环境中提取了这些样本的行为文件，并计算了基于MBSS的偏差得分。我们使用在先前实验中选择的阈值t＝0.75和参数＝10。同时，还使用层次相似性来计算偏差分数。三组实验结果如表1所示。

表1.MBSS算法与层次相似性算法检测效果对比

将上表中的实验数据作图，如图5所示。通过图5的对比可以清楚地看到MBSS算法相比层次相似性算法(Hierarchy similarity)给出了更好的结果。例如在第一组实验中，MBSS算法能够检测到总共351种环境敏感的恶意软件，占92.4％。相比之下，层次相似性算法仅检测到93个环境敏感型恶意软件，占24.5％。

本发明另一实施例提供一种抗干扰的环境敏感型恶意软件行为相似性评测装置，其包括：

本发明另一实施例提供一种服务器，包括存储器和处理器，所述存储器存储计算机程序，所述计算机程序被配置为由所述处理器执行，所述计算机程序包括用于执行上面所述方法中各步骤的指令。

也就是说，如果环境敏感型恶意软件产生大量的干扰行为，本发明使用的MBSS算法相比于层次相似性算法拥有更好的检测结果。同时实验结果也证明了本发明提出的消除干扰行为的方法对于环境敏感型恶意软件行为序列相似性的评测是有效的，即对于检测环境敏感型恶意软件是有效的。

Claims

1.一种抗干扰的环境敏感型恶意软件行为相似性评测方法，其特征在于，包括以下步骤：

1)将可疑软件放置于多种不同的执行环境中，记录可疑软件的行为序列；

2)对可疑软件的行为序列进行规范化处理；

3)对可疑软件的行为序列进行去干扰处理；

4)计算并比较去干扰处理后的行为序列的相似性；

5)基于行为序列的相似性，判断可疑软件是否为环境敏感型恶意软件；

其中，步骤4)基于余弦算法实现多行为序列相似性算法，利用所述多行为序列相似性算法计算并比较消除干扰行为后的行为序列相似性；

其中，步骤5)基于行为序列的相似性分析定义相似分数，若相似分数大于阈值，则认为可疑软件不是环境敏感型恶意软件；若相似分数小于阈值，则判断可疑软件是环境敏感型恶意软件；

令X＝{x1,x2,x3,…xn}，Y＝{y1,y2,y3,…ym}，其中x1～xn，y1～ym每一项都代表一个行为序列，令L(X)表示集合X的元素个数，L(Y)表示集合Y的元素个数，S＝X∩Y表示集合X和集合Y的交集，则所述相似分数的计算公式为：

其中，

其中，β是一个可配置的参数；x是集合X中的一个元素，y是集合Y中的一个元素；A是一个由集合X转换而来的向量集合，并且Ai∈A，同理B是一个由集合Y转换而来的向量集合，并且Bi∈B。

2.如权利要求1所述的方法，其特征在于，所述多种不同的执行环境包括沙盒环境、虚拟机环境、Hypervisor环境和调试环境，可疑软件在不同的执行环境中执行，记录其行为序列。

3.如权利要求1所述的方法，其特征在于，通过建立行为序列模型进行所述规范化处理，所述行为序列模型将行为序列作为一个四元组，所述四元组包括对象的类型、对象的名称、操作的名称以及相应的属性。

4.如权利要求3所述的方法，其特征在于，所述规范化处理包括：将BP统一的转换为小写形式或统一转换为大写形式；将SID设置为一个固定的值；执行去重操作。

5.如权利要求3所述的方法，其特征在于，通过所述去干扰处理消除干扰行为，包括：首先从头开始扫描行为序列中的每一条行为或操作，如果对于定义的四元组每一项都相同，那么记录此时的位置；然后继续执行扫描工作直到所有共同的行为序列都被找到为止；最后，根据记录的位置删除这些相同的行为序列。

6.一种采用权利要求1至5中任一权利要求所述方法的抗干扰的环境敏感型恶意软件行为相似性评测装置，其特征在于，包括：

7.一种服务器，其特征在于，包括存储器和处理器，所述存储器存储计算机程序，所述计算机程序被配置为由所述处理器执行，所述计算机程序包括用于执行权利要求1至5中任一权利要求所述方法中各步骤的指令。