CN111090858B - 一种基于拓展攻击树模型的木马检测方法 - Google Patents

Abstract

本发明针对现有技术中特征表达不足、漏报率和误报率高、攻击树节点权重设置不合理等问题，提出一种基于拓展攻击树模型的木马检测方法。该方法包括：通过对木马程序进行静态特征分析，获取操作码OPCode序列，从所述操作码OPCode序列中提取木马特征OPCode短序列；通过对木马程序进行动态特征分析，获取API调用序列，从所述API调用序列中提取木马特征API短序列；根据所述OPCode短序列和API短序列构建原始拓展攻击树，并将所述原始拓展攻击树的节点的权重参数初始化，作为第一个攻击树基本学习器；动态更新所述权重参数得到若干个攻击树基本学习器，通过集成学习构建强学习器，进行木马检测。

Description

一种基于拓展攻击树模型的木马检测方法

技术领域

本发明涉及一种基于拓展攻击树模型的木马检测方法，属于网络安全领域。

背景技术

目前木马检测技术主要包括行为分析技术、虚拟机技术、特征码扫描技术和实时监控技术等。其中，所述行为分析技术是指通过分析恶意木马程序，获取其行为特征，或者监视其执行程序时的行为特征，根据特征的可疑性，判断是否为恶意程序；所述虚拟机技术是指构造一个完全隔离的、虚拟的运行环境，让恶意木马程序在这个虚拟的环境中运行，并且记录其运行特征，最后根据其特征判断是否为木马；所述特征码扫描技术是当前应用最为广泛的木马检测技术之一，主要是通过收集大量木马样本，提取其特征码建立木马特征码库，在进行木马检测时，将待检测的未知文件同事先已建立好的木马特征码进行匹配，从而判断是否为木马。所述实时监控技术主要通过监控木马的服务器端和控制端之间的通信，防止两者之间进行信息交流以泄露秘密信息。通过监控这类技术的典型应用有：入侵检测、入侵保护和防火墙等。

为了解决网络安全问题，众多的学者提出了一系列新的木马检测技术，并且将攻击树模型与木马检测技术二者结合起来，诞生了基于攻击树模型的木马检测技术。BruceSchneier在1999年提出了攻击树的概念,攻击树模型起初用来描述系统安全，用于系统安全评估，可以对系统的安全性进行较为精确的计算。后来，攻击树被国内外广大的学术研究者进行了深入的研究，其应用范围得到了很大的拓展。比如：攻击树可用于事件匹配的可行度的计算；攻击树可用于网格系统的生存性分析等等。南京大学的杨彦等人于2007年提出了一种基于攻击树的木马检测方法,该论文中重新定义了一种新的攻击树模型，即拓展攻击树模型。基本思想为：从大量木马可执行性文件中提取API特征序列，并且建立原始拓展攻击树，以此作为木马特征匹配库，在进行木马检测时，将未知文件与原始拓展攻击树做匹配，计算出该未知文件的静态危险指数，从而判断是否为木马。但是静态危险指数的定义和计算方式过于简单，单个的API特征不足以完全描述木马的特征，这些不足都会影响检测的准确性。牛冰茹等人提出了一种基于API短序列匹配的攻击树的木马检测方法，提高了匹配效率，去除了单个API匹配的偶然性。但是固定人为设置的节点的权重将会影响最终的检测效果

自从Bruce Schneier首次提出了攻击树模型之后，学术界一直很重视该模型，并且一直不断被扩充，广泛的应用在各个领域。南京大学的杨彦等人在2007年对传统攻击树做了改进，重新定义了攻击树的结构，提出了拓展攻击树模型，并且成功应用在木马检测上。拓展攻击树模型基于木马常用的危险API调用序列来进行木马检测，通过搜集大量API序列样本，建立原始拓展攻击树(相当于特征库),随后与未知文件的API序列做匹配，根据匹配结果判断是否为恶意木马文件。目前的基于攻击树的木马检测技术在实际应用中存在着特征表达不足、漏报率和误报率高、攻击树节点权重设置不合理等问题。

发明内容

本发明针对现有技术中特征表达不足、漏报率和误报率高、攻击树节点权重设置不合理等问题，提出一种基于拓展攻击树模型的木马检测方法。

本发明通过以下技术方案实现：

一种基于拓展攻击树模型的木马检测方法，包括：

通过对木马程序进行静态特征分析，获取操作码OPCode序列，从所述操作码OPCode序列中提取木马特征OPCode短序列；

通过对木马程序进行动态特征分析，获取API调用序列，从所述API调用序列中提取木马特征API短序列；

根据所述OPCode短序列和API短序列构建原始拓展攻击树，并将所述原始拓展攻击树的节点的权重参数初始化，作为第一个攻击树基本学习器；

动态更新所述权重参数得到若干个攻击树基本学习器，通过集成学习构建强学习器，进行木马检测。

进一步地，根据所述opcode短序列和API短序列构建原始拓展攻击树，具体包括：

根据所述opcode短序列和API短序列，列出所述opcode短序列和API短序列所达成的攻击目标作为攻击子目标；

分析所述攻击子目标之间的依赖关系，从而构建出若干棵最大拓展攻击树，所述若干棵最大拓展攻击树组成一个森林；

新建Root节点将所述森林中的每棵树的根节点作为Root节点的子节点，如此，完成原始拓展攻击树的构建。

进一步地，在所述提取木马特征API短序列后，对所述API短序列的危险性进行标注，具体包括：

将所述API短序列的每一个函数的危险等级分为四个等级，每一个等级表示相应的API函数的危险状态；

随机选取N个正常程序文件和N个木马文件，遍历其PE文件中的导入函数表IAT，查找每一个API函数可能存在哪些文件的导入表中，从而计算出已经提取的所有API函数的木马危险指数；

根据所述木马危险指数的取值范围为每一个API函数划分危险等级，进行标注，得到API短序列对应的危险标注序列；

将所述API短序列对应的危险标注序列作为输入，进行条件随机场模型学习；

输入待测目标文件的API短序列到学习后的条件随机场模型中，输出API短序列的危险标注序列。

本发明的有益效果：

1、针对特征表达不足问题，除了API序列特征，本发明引入了Opcode操作码序列特征，并且根据上下文窗口提取短序列，用以更好的描述木马的行为特征，构建的攻击树模型检测效果准确率更高；

2、为了解决木马检测存在的漏报率和误报率的问题，本发明提出了使用条件随机场模型对API短序列进行危险性标记的方案，能够更好的区别木马文件和正常文件；

3、本发明采用集成学习的方式，动态构建多个不同的拓展攻击树模型，得到强学习器，进行联合决策，检测效果准确率、误报率得到很大提高；

4、本发明考虑了单个API函数在不同的短序列中危险程度的差异性和攻击子目标实现的多样性等因素，有利于降低木马检测过程中漏报率和误报率问题。

附图说明

图1为本发明基于拓展攻击树模型的木马检测方法流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整的描述。

本发明的实现思想：本发明将攻击树理论引入木马检测技术中，首先通过静态检测技术和动态检测技术获取操作码OPCode序列和API调用序列，然后对这两个序列进行数据挖掘，再根据提取的特征序列构建拓展攻击树模型，最后通过构建多个攻击树模型进行集成学习。

本实施例中所述的拓展攻击树＝{V,E,Attribute}，其中，V表示攻击树的节点的非空结合，其中包括内部节点和叶子节点，叶子节点类型分为与(AND)节点、(OR)节点以及顺序与(SAND)节点。叶子节点代表危险API，内部节点代表攻击子目标，根节点表示最终的攻击目标，记作ROOT；E表示攻击树的边的集合，是VxV的子集。Attribute是攻击树中节点的属性集合，由三元组(weight,state,stv)组成。其中，weight为数值型，表示节点的权重，state为布尔型，表示节点的标记状态。在匹配的过程中，state为True时，节点是高亮标记，state为False时，节点是非高亮标记。stv表示静态危险指数，为数值型变量。

在本实施例中，一种基于拓展攻击树模型的木马检测方法，具体包括：

步骤一、对木马程序进行静态特征与动态特征分析获取操作码OPCode序列和API调用序列；

在静态分析方面，由于从样本库中提取到的木马程序包含了各种类型的文件，为了便于提取木马程序的静态文件特征，本实施例使用反汇编软件IDA Pro对木马程序进行反汇编处理，获取木马程序的Asm文件；然后对所述Asm文件进行分析，提取操作码OPCode序列。

所述操作码OPCode序列可以表述程序的逻辑行为，不同功能的木马其序列不同，所以可以作为分类的标准之一。

在动态分析方面，采取正向分析的方法分析其行特征。在本实施例中，首先按照功能模块对木马程序进行划分，然后针对每个所述功能模块划分攻击子目标，如此循环直到不能再划分为止。经过层层划分后，每个所述攻击子目标无法再划分或者不需要进行划分时，则对实现相应的攻击子目标所调用的API进行提取，得到API调用序列。

步骤二：分别从所述操作码OPCode序列和API调用序列中提取木马特征短序列；

由于操作码OPCode序列和API调用序列都由成千上万个操作码、API组成，这些序列过长，无法直接使用机器学习算法进行计算，本实施例从所述API调用序列中提取木马特征API短序列的过程如下：

遍历所述API调用序列，依次选取每一个中心词的上下文序列构成API短序列。如果某一个中心词没有上文(比如第一个中心词)或者没有下文(最后一个中心词)，则置为缺失状态。

例如：设API序列的原始序列为ABCDEFGHIJ,下表描述了生成短序列的详细过程：

类似的，从所述操作码OPCode序列中提取木马特征OPCode短序列具体如下：首先通过IDA反编译工具生成.asm文件，然后通过程序自动解析Asm文件获得opcode序列，最后提取opcode上下文特征，生成opcode短序列。

由于在基于攻击树的木马检测中，恶意木马软件系统调用的API序列可能有多种，每一种API函数可能出现多次，因此无法片面地判断某一个API函数是否是危险函数，即在API短序列中无法根据某一个位置的函数名称来判断该位置API函数的危险性。因此在本实施例中，在所述提取木马特征API短序列后，对所述API短序列的危险性进行标注。

进一步地，对所述的API短序列的危险性进行标注，具体包括：

1、将所述API短序列的每一个函数的危险等级分为高危、中危、低危、安全，每一个等级表示相应的API函数的危险状态，所述四个等级分别用数字来表示，其中1表示高危，2表示中危，3表示低危，0表示安全。

2、在本实施例中随机选取100个正常程序文件和100木马文件，然后遍历其PE文件中的IAT(导入函数表)，查找每一个API函数可能存在哪些文件的导入表中，从而计算出已经提取的所有API函数的木马危险指数d_trojan。本实施例中采用的计算方式如下，其中下式的参数函数如表1所示：

d_trojan(x)＝tf_trojan(x)*idf_trojan(x)

表1木马危险指数计算的参数说明

3、计算每个API函数的木马危险指数d_trojan，d_trojan的取值范围为：0≤d_trojan≤1，根据d_trojan的取值范围为每一个API函数划分危险等级，进行标注，得到API短序列对应的危险标注序列。本实施例中危险等级划分标准如下表2所示：

表2木马危险等级划分

d<sub>trojan</sub>木马危险指数范围	API函数危险等级	意义
			0.6＜d<sub>trojan</sub>≤1	1	高危
0.4＜d<sub>trojan</sub>≤0.6	2	中危
			0.1＜d<sub>trojan</sub>≤0.4	3	低危
0＜d<sub>trojan</sub>≤0.1	0	安全

4.将所述API短序列以及对应的危险标注序列作为输入，进行条件随机场模型学习；

5.输入待测目标文件的API短序列到学习后的条件随机场模型中，输出API短序列的危险标注序列。

步骤三、根据所述opcode短序列和API短序列构建原始拓展攻击树。

本实施例中该步骤的实现思想是：在构建的原始拓展攻击树中，攻击树的根节点为Root结点，即木马程序所要实现的最终目标；非叶结点为opcode短序列和API短序列所达成的攻击子目标；叶结点为达成攻击子目标所需要的opcode短序列和API短序列。

具体步骤如下：

根据所述opcode短序列和API短序列，列出所述opcode短序列和API短序列所达成的攻击目标作为攻击子目标；

分析所述攻击子目标之间的依赖关系，从而构建出若干棵最大拓展攻击树，所述若干棵最大拓展攻击树组成一个森林；

新建Root节点将所述森林中的每棵树的根节点作为Root节点的子节点，如此，完成原始拓展攻击树的构建。

步骤四、将所述原始拓展攻击树的节点的权重参数初始化，作为第一个攻击树基本学习器，通过权重参数动态更新进行集成学习，构建强学习器，进行木马检测。

在本实施例中，所述的集成学习(ensemble learning)是指通过训练多个基本学习器来完成特定的学习任务，是机器学习领域的一种思想或者方法，虽然每个基本学习器单独的性能可能较弱，但是每一个都有各自的优势，集成学习正是将多个弱分类器联合起来，使得优势互补，学习得到一个强大的学习器。

所述权重参数动态更新的实现思想如下：攻击树中节点的权重直接表示了该节点所代表的攻击目标的危险程度，即使节点权重的初始化是经过大量前期调用所得，其中的偶然性也仍然不可避免，并且同一种的攻击目标存在于不同木马程序文件中，其危险性也是有差别的，如果用同一个权重单一而死板的衡量存在于不同的木马程序文件中的攻击目标的危险性，显然是不准确的，也是不合理的，即衡量木马攻击目标的危险性的权重不能一成不变，而且需要动态调整，才能更好的进行木马检测。

下面详细介绍所述权重参数动态更新的具体步骤：：

10.1、将第一个攻击树基本学习器作为当前基本学习器；

10.2、用所述当前基本学习器对木马训练样本做预测，计算预测的错误率，再由所述错误率计算该学习器的权重参数；

10.3、对于被错分类的木马样本，找出被错分类的木马样本在攻击树匹配过程中被高亮标记的节点，找出高亮节点之后更新该节点的权重参数；

10.4、将更新之后的攻击树基本学习器重新保存，作为下一个基本学习器；

10.5、将所述下一个基本学习器作为当前基本学习器，重复上述10.2～10.4的过程，得到若干个攻击树基本学习器及其对应的权重参数。

Claims (9)

1.一种基于拓展攻击树模型的木马检测方法，其特征在于，包括：

通过对木马程序进行静态特征分析，获取操作码OPCode序列，从所述操作码OPCode序列中提取木马特征OPCode短序列；

通过对木马程序进行动态特征分析，获取API调用序列，从所述API调用序列中提取木马特征API短序列；

根据所述OPCode短序列和API短序列构建原始拓展攻击树；并将所述原始拓展攻击树的节点的权重参数初始化，作为第一个攻击树基本学习器；所述根据所述OPCode短序列和API短序列构建原始拓展攻击树，具体包括：

根据所述OPCode短序列和API短序列，列出所述OPCode短序列和API短序列所达成的攻击目标作为攻击子目标；

分析所述攻击子目标之间的依赖关系，从而构建出若干棵最大拓展攻击树，所述若干棵最大拓展攻击树组成一个森林；

新建Root节点将所述森林中的每棵树的根节点作为Root节点的子节点，如此，完成原始拓展攻击树的构建；

动态更新所述权重参数得到若干个攻击树基本学习器，通过集成学习构建强学习器，进行木马检测。

2.如权利要求1所述的基于拓展攻击树模型的木马检测方法，其特征在于，所述获取操作码OPCode序列采用以下方法：

使用反汇编软件IDA Pro对木马程序进行反汇编处理，获取木马程序的Asm格式的PE文件，然后对所述PE文件进行分析，提取操作码OPCode序列。

3.如权利要求1所述的基于拓展攻击树模型的木马检测方法，其特征在于，所述获取API调用序列采用以下方法：

首先按照功能模块对木马程序进行划分，然后针对每个所述功能模块划分攻击子目标，循环直至不能再划分；最后对所述攻击子目标所调用的API进行提取，得到API调用序列。

4.如权利要求1或2所述的基于拓展攻击树模型的木马检测方法，其特征在于，所述从所述操作码OPCode序列中提取木马特征OPCode短序列，具体为：首先通过IDA反编译工具生成.asm文件，然后通过程序自动解析.acm文件获得OPCode序列，最后提取OPCode上下文特征，生成OPCode短序列。

5.如权利要求1或3所述的基于拓展攻击树模型的木马检测方法，其特征在于，所述从所述API调用序列中提取木马特征API短序列，具体为：遍历所述API调用序列，依次选取每一个中心词的上下文序列，构成API短序列。

6.如权利要求5所述的基于拓展攻击树模型的木马检测方法，其特征在于，如果某一个所述中心词没有上文或者没有下文，则置为缺失状态。

7.如权利要求1或2或3所述的基于拓展攻击树模型的木马检测方法，其特征在于，在所述提取木马特征API短序列后，对所述API短序列的危险性进行标注。

8.如权利要求7所述的基于拓展攻击树模型的木马检测方法，其特征在于，所述对所述的API短序列的危险性进行标注，具体包括：

9.1、将所述API短序列的每一个函数的危险等级分为四个等级，每一个等级表示相应的API函数的危险状态；

9.2、随机选取N个正常程序文件和N个木马文件，遍历其PE文件中的导入函数表IAT，查找每一个API函数可能存在哪些文件的导入表中，从而计算出已经提取的所有API函数的木马危险指数；

9.3、根据所述木马危险指数的取值范围为每一个API函数划分危险等级，进行标注，得到API函数对应的危险性标注序列；

9.4、将所述API函数以及对应的危险性标注序列作为输入，进行条件随机场模型学习；

9.5、输入待测目标文件的API短序列到学习后的条件随机场模型中，输出API短序列的危险性标注序列。

9.如权利要求1或2或3所述的基于拓展攻击树模型的木马检测方法，其特征在于，所述权重参数动态更新，采用以下方式：

10.1、将第一个攻击树基本学习器作为当前基本学习器；

10.2、用所述当前基本学习器对木马训练样本做预测，计算预测的错误率，再由所述错误率计算该学习器的权重参数；

10.3、对于被错分类的木马样本，找出被错分类的木马样本在攻击树匹配过程中被高亮标记的节点，找出高亮节点之后更新该节点的权重参数；

10.4、将更新之后的攻击树基本学习器重新保存，作为下一个基本学习器；

10.5、将所述下一个基本学习器作为当前基本学习器，重复上述10.2～10.4的过程，得到若干个攻击树基本学习器及其对应的权重参数。

Images