CN112507336A - 基于代码特征和流量行为的服务端恶意程序检测方法 - Google Patents

Abstract

本发明公开了一种基于代码特征和流量行为的服务端恶意程序检测方法，包括：收集服务器后门程序样本，提取函数特征并取hash值，建立恶意程序样本库；提取代码特征和流量行为向量；特征优化，得到新的特征集；特征训练：将新的特征集作为特征训练的训练样本集,将标注结果作为预期输出,训练分类器；将待检测样本代码特征和流量行为综合判定输入到所述分类器，判断是否为恶意程序，并输出结果。本发明提高了服务器后门程序检测的效率和准确率。

Description

基于代码特征和流量行为的服务端恶意程序检测方法

技术领域

本发明涉及恶意程序检测技术领域，特别是一种基于代码特征和流量行为的服务端恶意程序检测方法。

背景技术

随着攻防双方的持续性对抗，以前常见于服务器后门程序以asp、jsp、php等脚本文件为主，也可称为是一种网页后门程序，而现在，除了网页后门程序，基于powershell、bash文件、elf、exe等二进制可执行程序无文件落地攻击方案也在悄然流行，攻击者利用漏洞取得服务器控制权限后，一般会将服务器后门程序文件和网站服务器web目录下正常脚本文件放在一起，然后再使用浏览器来访问服务器后门程序文件，得到服务器后门程序命令执行环境，达到控制网站服务器的目的。如今，随着对抗的升级发展,Web应用系统所提供的服务也越来丰富,越来越多的Web应用系统被广泛地应用在各行各业,Web应用系统的安全问题也变得日益突出,攻击者在对Web系统攻击成功后,往往会利用SQL注入、文件上传漏洞等上传服务器后门程序,来达到对服务器的长久控制，长期控制的核心就是伪装，将传统的脚本类木马伪装加密混淆，或者将系统命令执行函数拆分去除特征从而躲避静态规则检测，因此，如何有效的检测服务器后门程序，及时发现并对目标网站服务器做必要的漏洞修补，尽量的将损失降到最低，也是非常重要的，也是需要长期研究和迭代更新的技术，而这一方面攻击者却一直领先。

目前，检测服务端后门程序的方式主要有如下两种：

1、静态检测：传统的静态检测是基于特征库的匹配，这类基于特征字符的匹配一般通过正则表达式来实现，匹配出而正则表达式覆盖面不全,会造成一定的漏报和误报，而且攻击者使用混淆手段很容易躲避这类检测。

2、动态检测：当服务器后门程序文件上传到服务器后，攻击者执行去执行服务器后门程序文件时所表现出来的特征我们称为动态特征，但只能检测正在上传或者访问服务器后门程序的行为，对网站中已有且未使用的服务器后门程序无法检测，存在一定的漏报和误报。

综上所述：现有的服务器后门程序检测方法，存在覆盖面不全，误报和漏报率高，不能对未知服务器后门程序检测的问题。

发明内容

为解决现有技术中存在的问题，本发明的目的是提供一种基于代码特征和流量行为的服务端恶意程序检测方法，本发明提高了服务器后门程序检测的效率和准确率。

为实现上述目的，本发明采用的技术方案是：一种基于代码特征和流量行为的服务端恶意程序检测方法，包括以下步骤：

步骤1、服务器后门程序样本收集：收集服务器后门程序样本，提取函数特征并取hash值，建立恶意程序样本库；

步骤2、特征提取：搭建后门程序文件通讯所需模拟环境，利用模拟客户端和后门程序进行通信，使用wireshark抓取后门程序文件所有控制功能流量，基于urlparse模块对流量进行分割，并编写规则匹配出具备命令执行、文件读取、写入功能的危险函数，得到代码特征和流量行为向量；

步骤3、特征优化：利用上传的后门程序做hash取值、后门程序静态特征学习，并利用Relief算法对步骤2中特征提取得到的流量行为进行优化，去掉正常服务端程序同样具备的特征，得到新的特征集；

步骤4、特征训练：将步骤3得到的新的特征集作为特征训练的训练样本集,将标注结果作为预期输出,训练分类器；

步骤5、服务器后门程序检测：将待检测样本代码特征和流量行为综合判定输入到所述分类器，判断是否为恶意程序，并输出结果。

作为本发明的进一步改进，在步骤2中，所述的代码特征包括：最长字符串长度，文件重合指数，文件压缩比，非字母数字字符占比，高危函数占比。

作为本发明的进一步改进，在步骤2中，所述的流量行为向量包括命令执行，域名或ip请求，文件读取写入，定时心跳包，加密函数调用，密钥传递，数据库增删查改，压缩与编码特征。

作为本发明的进一步改进，所述的步骤3具体包括：

基与Relief算法从训练集D中随机选择一个特征R，然后从和特征R同类的特征中寻找k最近邻特征H，从和特征R不同类的特征中寻找k最近邻特征M；以上过程重复m次，即抽样次数为m，最后得到各特征的平均权重；权重小于设定特征权重阈值的特征将被移除，大于设定特征权重阈值的特征则保留，最后构成新的特征子集。

作为本发明的进一步改进，所述新的特征集的具体实现步骤如下：

设代码特征组成的组成的样本集为S1，流量行为向量中相关特征在每个样本中出现的次数和频率组成的样本集为S2，样例数为n

输入：样本集Si(i＝1或2)，抽样次数m，特征权重阈值τ；

输出：Ti(i＝1或2)；

把Si分成Si+＝{正例}和Si-＝{负例}；

当抽样次数小于m时，执行如下操作：

(1)随机选择一个样例X∈Si；

(2)随机选择一个距离X最近邻的一个正例Z+∈Si+；

(3)随机选择一个距离X最近邻的一个负例Z-∈Si-；

(4)如果X是一个正例，那么猜中近邻Near-hit＝Z+；猜错近邻Near-miss＝Z-，否则猜中近邻Near-hit＝Z-；猜错近邻Near-miss＝Z+；

(5)当样例数小于n时，计算权重Wi的值，Wi＝Wi-diff(xi，near-hiti)2+diff(xi，near-missi)2；

(6)将最后得到的Wi由大小进行排序，移除权重最低的，组合移除后wi对应的特征，得到Ti(i＝1或2)，其中代码特征集为T1，流量行为权集为T2。

作为本发明的进一步改进，所述步骤4中，在所述分类器上,采用决策树算法对样本特征数据进行学习。

作为本发明的进一步改进，决策树算法对样本特征数据进行学习具体包括以下步骤：

(1)将代码特征集为T1，流量行为权集为T2组成特征集合，作为训练样本集；

(2)计算训练样本集中每个特征的信息熵：

其中pi为每个特征取得的概率，H(X)为每个特征的信息熵；

(3)选择信息熵最大的特征作为决策树的左右子树划分，信息熵最大特征作为树的左子树，其他作为树的右子树，执行步骤(5)；

(4)在右结点中选择信息熵最大特征作为树的左子树，其他作为树的右子树，若根的深度小于预设值，则执行步骤(3)；

(5)将左节点标记为叶子结点，里面特征标记为训练样本集中样本最多的特征，执行步骤(6)；

(6)将得到的决策树模型作为特征检测模型。

本发明的有益效果是：

通过本发明，提高了服务器中恶意程序检测效率和准确度，既能满足对常用服务端后门程序的检测，又能在高级别攻防对抗中对未知的服务器后门程序进行检测。

附图说明

图1为本发明实施例流程框图。

具体实施方式

下面结合附图对本发明的实施例进行详细说明。

实施例1

如图1所示，一种基于代码特征和流量行为的服务端恶意程序检测方法，该方法将代码特征和恶意流量行为相结合，先将代码特征和流量行为提取出来，然后利用relief算法对特征进行优化，组合成新的特征集，最后通过决策树方法进行学习训练建立服务端后门程序检测模型，对服务端后门程序进行检测并进行结果输出。技术方案包括如下：

1、信息收集：收集国内外开源社区所有分享出的后门程序样本，提取函数特征并取hash值，建立恶意程序样本库。

2、特征提取：搭建后门程序文件通讯所需模拟环境，利用模拟客户端和后门程序进行通信，使用wireshark抓取后门程序文件所有控制功能流量，基于urlparse模块对流量进行分割，并编写规则匹配出具备命令执行、文件读取、写入功能的危险函数，得到代码特征和流量行为向量。

代码特征：主要指的是最长字符串长度，文件重合指数，文件压缩比，非字母数字字符占比、高危函数(命令执行、操作文件读写、加解密相关函数)占比作为输入特征。

流量行为特征：主要指的是通过在服务端部署流量分析软件wireshark，全面抓取服务端的各类通信流量，对程序执行的命令进行聚合、提取流量中的协议、域名、路径、参数、端口、User-Agent、HTTP响应码、数据包长度、请求频率、文件读取写入操作、定时心跳包、加密函数调用、密钥传递过程、数据库增删查改，压缩与编码特征等作为特征输入。

特征优化：利用各类型公开渠道的github上传的后门程序做hash取值、后门程序静态特征学习，利用Relief算法对特征提取模块得到的流量行为进行优化，去掉正常服务端程序同样具备的特征，得到新的特征集。

4、特征训练：完成对样本的特征优化后,将新的特征集作为特征训练模块的训练样本集,将标注结果作为预期输出,训练分类器。在分类器上,采用决策树算法对样本特征数据进行学习。

5、服务器后门程序检测：将待检测样本代码特征和流量行为综合判定输入到信息检测模块，判断是否为恶意程序，并输出结果。

实施例2

如图1所示，一种基于代码特征和流量行为的服务端恶意程序检测方法，包括：

1、收集服务端后门程序样本；

服务器后门程序样本收集：正常情况下，服务器后门程序样本比较少，可通过对公开的渠道例如github等社区上传的恶意样本库进行整理，对服务器后门程序进行收集和静态规则匹配。

2、提取代码特征：提取从公开平台获取的后门程序样本代码特征。

代码特征：主要指的是最长字符串长度，文件重合指数，文件压缩比，非字母数字字符占比、高危函数(命令执行、操作文件读写、加解密相关函数)占比作为输入特征，组成样本集S1。

3、提取流量行为：通过模式器模拟后门程序文件的运行环境，提取服务器后门程序全功能通讯流量；绝大多数服务器后门程序都有命令执行、域名或ip请求、文件读取写入、定时心跳包、加密函数调用、密钥传递、数据库增删查改，压缩与编码特征，这些特征全面地描述了服务器后门程序的行为，因此,服务器后门程序的流量行为主要划分为上述特征，并统计相关特征在每个样本中出现的次数和频率组成样本集S2。

4、特征优化：利用Relief算法对特征提取模块得到的代码特征和流量行为进行优化，去除正常程序的流量和代码特征，得到新的特征集。

基与Relief算法从训练集D中随机选择一个特征R,然后从和R同类的特征中寻找k最近邻特征H，从和R不同类的特征中寻找k最近邻特征M。以上过程重复m次，最后得到各特征的平均权重。权重小于设定阈值的特征将被移除，大于则保留。最后构成新的特征子集。

具体实现步骤：

输入：样本集S1,抽样次数m,特征权重阈值τ；

输出：T1为输出的特征集；

n为样例数；

把S1分成S1+＝{正例}和S1-＝{负例}；

权重W＝(0,0,…,0)

当抽样次数小于m时，执行如下操作：

(1)随机选择一个样例X∈S1；

(2)随机选择一个距离X最近邻的一个正例Z+∈S+；

(3)随机选择一个距离X最近邻的一个负例Z-∈S-；

(4)如果X是一个正例，那么Near-hit＝Z+；Near-miss＝Z-，否则Near-hit＝Z-；Near-miss＝Z+；

(5)当样例数小于n时，计算Wi的值；

Wi＝Wi-diff(xi，near-hiti)2+diff(xi，near-missi)2；

(6)将最后得到的Wi由大小进行排序，移除权重最低的，组合移除后wi对应的特征，得到代码特征集T1，同理，针对样本集S2，可得到流量行为权集T2。

5、完成对样本的特征优化后,将新的特征矩阵作为输入,将标注结果作为预期输出,训练分类器.在分类器上,采用决策树算法对样本特征数据进行学习，得到服务器后门程序检测模型。

决策树算法实现过程：

(1)将特征集T1和T2组成特征集合，作为训练样本集；

(2)计算训练样本集中每个特征的信息熵：

其中pi为每个特征取得的概率，H(X)为每个特征的信息熵；

(3)选择信息熵最大的特征作为决策树的左右子树划分，信息熵最大特征作为树的左子树，其他作为树的右子树，执行步骤(5)；

(4)在右结点中选择信息熵最大特征作为树的左子树，其他作为树的右子树，若根的深度小于10(此处的深度可根据特征集的复杂度自行定义)，则执行步骤(3)；

(5)将左节点标记为叶子结点，里面特征标记为训练样本集中样本最多的特征，执行步骤(6)；

(6)将得到的决策树模型作为特征检测模型。

6、服务器后门程序检测：将待测样本输入到服务端后门程序检测模型，判断其是否为恶意程序，若是则进行标记，并记录唯一hash值写入数据库。后续检测首先验证hash值，相同的hash值即可直接高效标注出程序是否为恶意程序。

以上所述实施例仅表达了本发明的具体实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。

Claims (7)

1.一种基于代码特征和流量行为的服务端恶意程序检测方法，其特征在于，包括以下步骤：

步骤1、服务器后门程序样本收集：收集服务器后门程序样本，提取函数特征并取hash值，建立恶意程序样本库；

步骤2、特征提取：搭建后门程序文件通讯所需模拟环境，利用模拟客户端和后门程序进行通信，使用wireshark抓取后门程序文件所有控制功能流量，基于urlparse模块对流量进行分割，并编写规则匹配出具备命令执行、文件读取、写入功能的危险函数，得到代码特征和流量行为向量；

步骤3、特征优化：利用上传的后门程序做hash取值、后门程序静态特征学习，并利用Relief算法对步骤2中特征提取得到的流量行为进行优化，去掉正常服务端程序同样具备的特征，得到新的特征集；

步骤4、特征训练：将步骤3得到的新的特征集作为特征训练的训练样本集,将标注结果作为预期输出,训练分类器；

步骤5、服务器后门程序检测：将待检测样本代码特征和流量行为综合判定输入到所述分类器，判断是否为恶意程序，并输出结果。

2.根据权利要求1所述的基于代码特征和流量行为的服务端恶意程序检测方法，其特征在于，在步骤2中，所述的代码特征包括：最长字符串长度，文件重合指数，文件压缩比，非字母数字字符占比，高危函数占比。

3.根据权利要求1所述的基于代码特征和流量行为的服务端恶意程序检测方法，其特征在于，在步骤2中，所述的流量行为向量包括命令执行，域名或ip请求，文件读取写入，定时心跳包，加密函数调用，密钥传递，数据库增删查改，压缩与编码特征。

4.根据权利要求1或2或3所述的基于代码特征和流量行为的服务端恶意程序检测方法，其特征在于，所述的步骤3具体包括：

基与Relief算法从训练集D中随机选择一个特征R，然后从和特征R同类的特征中寻找k最近邻特征H，从和特征R不同类的特征中寻找k最近邻特征M；以上过程重复m次，即抽样次数为m，最后得到各特征的平均权重；权重小于设定特征权重阈值的特征将被移除，大于设定特征权重阈值的特征则保留，最后构成新的特征子集。

5.根据权利要求4所述的基于代码特征和流量行为的服务端恶意程序检测方法，其特征在于，所述新的特征集的具体实现步骤如下：

设代码特征组成的组成的样本集为S1，流量行为向量中相关特征在每个样本中出现的次数和频率组成的样本集为S2，样例数为n

输入：样本集Si(i＝1或2)，抽样次数m，特征权重阈值τ；

输出：Ti(i＝1或2)；

把Si分成Si+＝{正例}和Si-＝{负例}；

当抽样次数小于m时，执行如下操作：

(1)随机选择一个样例X∈Si；

(2)随机选择一个距离X最近邻的一个正例Z+∈Si+；

(3)随机选择一个距离X最近邻的一个负例Z-∈Si-；

(4)如果X是一个正例，那么猜中近邻Near-hit＝Z+；猜错近邻Near-miss＝Z-，否则猜中近邻Near-hit＝Z-；猜错近邻Near-miss＝Z+；

(5)当样例数小于n时，计算权重Wi的值，Wi＝Wi-diff(xi，near-hiti)2+diff(xi，near-missi)2；

(6)将最后得到的Wi由大小进行排序，移除权重最低的，组合移除后wi对应的特征，得到Ti(i＝1或2)，其中代码特征集为T1，流量行为权集为T2。

6.根据权利要求5所述的基于代码特征和流量行为的服务端恶意程序检测方法，其特征在于，所述步骤4中，在所述分类器上,采用决策树算法对样本特征数据进行学习。

7.根据权利要求6所述的基于代码特征和流量行为的服务端恶意程序检测方法，其特征在于，决策树算法对样本特征数据进行学习具体包括以下步骤：

(1)将代码特征集为T1，流量行为权集为T2组成特征集合，作为训练样本集；

(2)计算训练样本集中每个特征的信息熵：

其中pi为每个特征取得的概率，H(X)为每个特征的信息熵；

(3)选择信息熵最大的特征作为决策树的左右子树划分，信息熵最大特征作为树的左子树，其他作为树的右子树，执行步骤(5)；

(4)在右结点中选择信息熵最大特征作为树的左子树，其他作为树的右子树，若根的深度小于预设值，则执行步骤(3)；

(5)将左节点标记为叶子结点，里面特征标记为训练样本集中样本最多的特征，执行步骤(6)；

(6)将得到的决策树模型作为特征检测模型。

Images