1、果类型产品系统软件论文专利其它(注:请在相应成果复选框内打“”,其它请具体说明)果名称计算机病毒行为自动分析系统一、项目研究的目的、意义随着计算机和互联网的高速发展,人们的生活和工作越来越依赖计算机,大量的网上游戏、网上购物、网上银行等服务涌现,网络安全和信息泄露问题随之而来,其中信息泄露的最大原因来自木马以及病毒了,所以信息隐私的保护也就变的更加重要,对于涉密电脑来说,隐私信息的保护也就来的更加迫切了(涉密计算机是电脑里面有涉及国家机密的文件或文档),现如今计算机的保护体系是通过杀毒软件来完成的,但因为杀毒软件也有技术限制,病毒和木马的更新速度超过杀毒软件的更新速度,对于普通计算机来说,可能
2、杀毒软件就足够了,但对于涉密电脑来说,安全要求和防护体系需求更高,所以本作品就诞生了。黑客攻击这类计算机的主要手段是在其中安装木马或者间谍软件,因此,防范这类软件也就成了重中之重。传统的管理措施:一是对使用者加强管理,提升其保密意识,不随意使用外来软件;二是为这类计算机安装病毒、木马防护软件。但是这种措施并不能确保安全。主要原因:项目名称立项时间2011完成时间2013项目主要研究人员序号姓名学号专业班级所在院(系)项目中的分工1张辉2010551131计算机科学与技术信息工程学院系统设计2吴湘博2009964027兴湘学院系统开发3吴建2009551215软件工程4殷宇男2008650727
3、底层程序设计5马圆圆2008551125测试一、基本情况1用户不是计算机专家,不可能时时刻刻保持警惕,也无法完全准确地分辨恶意软件和正常软件。(2)市售的杀毒软件自身存在弱点只能对病毒库中已经存在的病毒进行识别,而针对涉密电脑的木马和间谍软件通常都是特制的软件,通常只对少量预订目标展开一对一的攻击,很少在互联网上广泛流传,几乎不会被安全软件厂商捕获;同时还采用了非公开的加壳、加密、插花等伪装技术,因此有较高的概率逃避杀毒软件的查杀。甚至本身就是一个拥有正常功能程序,只是在代码中嵌入了后门,杀毒软件更无法识别它们。因此,我们需要更为专业、防护更为严密的系统来保护这类计算机、能够100%地杜绝这些
4、特制木马间谍软件的运行。二、研究成果的主要内容本项目的主要研究内容是一个可以替代人工对病毒木马等恶意程序进行自动分析的系统。它不仅可以识别已知病毒,还可以根据程序的行为来识别未知病毒。当可以提供详细的行为分析报告,并根据这些行为做出综合评估,给出程序是否为病毒的分析结果。系统主要由以下几部分组成:1.虚拟层虚拟层是本系统的基础部分。本系统对可疑程序进行扫描时,是采用的动态扫描方式,即让被监视的程序在计算机上实际运行起来,再搜集其各种危险行为,最后进行过滤和分析。在这种模式下,无论程序采用何种反跟踪手段(比如压缩加壳、反调试、语句插花等),程序所有的真实行为和目的都会真正显露出来,所以分析的可靠
5、性远高于静态扫描分析。但是,由于被监控的程序有可能是恶意程序,一旦在真实的机器上运行,将有可能侵入到真实的系统中而导致系统中毒,所以只能让程序运行在虚拟机上。目前市场上有不少成熟的商用虚拟机软件出售,比如VM、VirtualPC等。但这些虚拟机均为通用虚拟机,它们为了适应各种应用场景,需要全面模拟计算机所有的硬件,包括指令系统、CPU等,这不仅极大地消耗了内存资源,而且使得被监控程序的运行速度显著降低,进而影响整个系统的分析速度。更为重要的是,由于所有的硬件环境全部是模拟出来的,所以与真实环境不是100%地相同,这有可能导致被监控程序的行为与真实环境中有所差异,会影响到分析的准确性。另外,现在
6、已经出现了一些恶意程序为了防止安全人员在虚拟机中跟踪调试自己,会检测是否为虚拟机环境,一旦发现是常见的虚拟机环境,将拒绝运行。基于以上原因,我们需要开发自己的虚拟机。而且这些虚拟机虽然保证真实机器不会被恶意程序感染,但它自己却会被恶意程序修改,为保证分析的准确性,每分析完一个恶意程序,需要重装虚拟机,无法做到完全自动分析,而且效率也太低。配合本项目的需求,需要自行开发的一个更为精简、小巧,占用资源更少的虚拟机;被监控程序的运行速度接近于真实环境;大多数的硬件环境使用真实的硬件,尽量避免与真实环境的区别。为达到上述目的,我们需要在操作系统与被监控程序之间插入虚拟层。该虚拟层会替换掉操作系统中具有
7、持久性操作的部分,主要包括:磁盘驱动、注册表读写模块、进程监视和控制模块、网络通讯模块。由于本虚拟层并没有模拟CPU和指令系统,所有的程序指令都是运行在真实的CPU上,所以运行速度和运行环境与真实环境几乎相同。但被监控程序的所有持久性操作(包括硬盘读写、注册表读写、网络通讯)都在虚拟层上进行,所以不会对真实系统产生任何持久的影响,一旦被监控程序被虚拟机的进程控制模块结束,所有的运行痕迹将同时消失,对真实系统没有任何不良影响。2.行为搜集与分析系统行为搜集和分析系统是本项目的核心部分。判断一个可疑程序是否是恶意程序,关键在于捕获其行为进行分析。恶意程序最常见的行为包括:硬盘读写、注册表读写、进程
8、创建与关闭、网络通讯、键盘监视、注册服务、安装驱动程序等。为了全面捕获这些行为,需要编写以上各种类型的hook程序对这些行为进行监视。为了防止恶意程序采用驱动技术逃避普通hook程序的监视,所有的监视程序都必须运行在ring0级,所以需要采用驱动技术来编写。另外,不少恶意程序采用了驱动技术来保护自身进程,为了结束这类恶意程序,也需要编写驱动程序获取较高的运行权限。获取程序的行为之后,下一步是对行为进行分析。这需要匹配恶意行为库中的行为,并统计各项权值,综合打分后与预先给定的阈值进行比较,最后给出分析报告。3.恶意行为库任何一个程序都可能会有上述行为中的一种或多种,但并非每个程序都是恶意程序,为
9、了区分正常程序和恶意程序,提高分析判断的准确性,需要建立恶意行为库。恶意行为库类似于现在的病毒代码库,但比病毒代码库要小巧得多。这是因为病毒代码几乎是无穷的,而病毒的行为却是有限的,在很长一段时间内有威胁的行为是相对稳定的。我们需要先搜集目前的流行恶意程序,总结出它们行为的共性,提取其中有威胁的行为。然后由行为库建设人员根据经验为每种威胁行为给出相应的权值。这些权值的确定,需要通过大量的实验来获取并反复调整,以获得最准确的结果。系统采用MicrosoftVisualStudio2005开发应用层,Driver2003开发驱动层,恶意行为库采用XML技术存储,不需要使用数据库。程序运行在Wind
10、ows2000/XP下。三、成果的创新特色、实践意义和社会影响本系统针对不同的行为方式,灵活的运用不同的监控技术,例如:在监控网络和文件时,分别使用了文件过滤驱动和网络过滤驱动;在监控注册表、进程、消息钩子时则使用了前沿的detour注入技术;在监控SSDTHook时则采用了安全的驱动级监控。行为分析库则采用绝对标准和相对标,而对于恶意软件的行为匹配则采用RES匹配规则,提高了匹配效率。文件驱动中采用了自己设计的指印匹配算法,极大地提高了匹配效率。由于本系统未采用己流行开来的监控源代码,形成了与市售软件不同的监控体系。软件在试运行过程中,很快就展现了独特的优势。比如由某著名邪教组织支持开发的间
11、谍软件“自由门”和“无界”,均采用了反检测技术,一旦发现系统中运行了监控软件比如FileMon,W32DSM等知名软件,就会终止自己的运行,以此逃避监测分析。而由我们开发的检测分析系统由于采用了不同于这些知名软件的技术,该软件无法逃避本系统的检测和分析。目前各安全厂商的专业人员在跟踪调试病毒时,通常采用两种手段:一种利用系统级调试工具逐步跟踪病毒的运行,这是白盒跟踪法,对病毒分析准确,但效率低,对反病毒人员的技术要求高。另外一种手段是让程序在商用虚拟机中运行,然后利用磁盘监视器、注册表监视器、进程监视器、网络防火墙等监视软件搜集病毒的行为,然后由技术人员做出判断,这是黑盒跟踪法。该方法的效率更
12、高,对反病毒人员的技术要求也较低。但由于虚拟机与各个监视软件没有融合为一体,还无法完全自动化。云安全概念的提出,作为服务器一端的病毒分析系统必须是全自动的,这就对自动分析系统的出现提出了迫切的要求。本项目将黑盒跟踪法中的需要使用到的各种软件融合为一体,具有完全的自主知识产权,基本上可以做到全自动搜集和实时分析,具有较强的创新性和很高的实用价值。本项目的成果可以商业化。它将是各个反病毒厂商分析病毒的有力武器,大大降低了人力投入,可以加快对新病毒的响应速度,它将成为云安全服务端的重要组成部分。另外对于有一定反病毒经验的个人用户而言,这也是一个很不错的辅助工具。另一方面,该成果还可以作为网络安全监控
13、系统的一部分。如用于这一目的,需要配合网络抓包和协议分析软件使用,它们作为前期处理软件,将网络数据恢复出来后存放进数据库供本系统分析。出于安全性和实时性考虑,本系统需要安装在专门的服务器上。项目成果的远期预期更为光明。业界普遍认为随着病毒的大量出现,目前各类杀毒软件依赖于病毒特征库的特征码扫描手段几乎已经走到了尽头,目前的替代技术是启发式扫描,但启发式扫描的最大问题是误报率比较高。而基于行为的扫描方法准确率要高得多,将来的发展方向一定是基于行为的扫描。本成果之所以暂时不能用在杀毒软件实时监控扫描中,主要是受限于普通个人电脑的内存大小和CPU的速度。随着计算机硬件的进一步提高,可以预见本成果将会
14、作为杀毒软件的核心组成部分出现在普通个人电脑上。四、研究成果本系统构建了一个精简、小巧,占用资源更少的虚拟机;被监控程序的运行速度接近于真实环境;大多数的硬件环境使用真实的硬件,尽量避免与真实环境的区别。为达到上述目的,我们需要在操作系统与被监控程序之间插入虚拟层。该虚拟层会替换掉操作系统中具有持久性操作的部分,主要包括:磁盘驱动、注册表读写模块、进程监视和控制模块、网络通讯模块。由于本虚拟机并没有模拟和指令系统,所有的程序指令都是运行在真实的但被监控程序的所有持久性操作(包括硬盘读写、注册表读写、网络通讯)都在虚拟机上进行,所以不会对真实系统产生任何持久的影响,一旦被监控程序被虚拟机的进程控制模块结束,所有的运行痕迹将同时消失,对真实系统没有任何不良影响。下面是我们开发的程序实际运行情况部分截图:
