一种新型病毒主动防御技术与检测算法.pdf

第27卷第6期
计算机应用研究
Vol 27 No6
2010年6月
pplication research
of Computers
Jun.2010
种新型病毒主动防御技术与检测算法
陈顼颕,王志英,任江春,郑重,黄訸
(国防科学技术大学计算机学院,长沙410073)
摘要:在已有的病毒行为分析和模式识别技术的基础上,提出以用户行为模式为核心的主动防御策略,即识
别用户的正常行为模式,在检涮到异常行为时,判断出系统是否遭受到了恶意攻击。这种策略不依赖于恶意程
序的檾衍和变迁,可以使防御技术不受制于恶意程序。对该防御策略进行了实现,并在虚拟执行环境下进行了
实验,实验结果表明,该策略对未知病毒有较高的识别度。
关键词:行为模式;主动防御;糢式识别;成拟执行
中图分类号:TP309.5
文献标志码:A
文章编号:1001-3695(2010)06-2338-03
doi:10.3969/j.issn.1001-3695.2010.06.098
Novel virus active defense technique and detection algorithm
CHEN Xu-hao, WANG Zhi-ying, REN Jiang-chun, ZHENG Zhong, HUANG He
choo of muer National nives of Defense Technology, Changsha 410073, China)
Abstract: Based on virus behavior analysis and pattern recognition technology, this paper proposed an active defense strategy
with user behavior patters as the core, which could identify the users normal behavior, and could find that the system was
attacked by malware when abnormal behavior was detected. This strategy was independent of the proliferation of malware
which made defense technology not be subject to malicious programs. It implemented this defense strategy, and did experi
ments in a virtual execution environment. The results show that this strategy has a high rate in recognition of the unknown vi
Key words: behavior pattern; active defense; paltern recognition; virtual execution
恶意程序(包括计算机病毒、虫、木马等)的急剧増殖已态二进制分析可以监测病毒的执行行为,而这些执行行为是无
经成为以互联网为核心的现代信息技术的主要威胁。恶意程法隐藏的。
序通常利用系统和软件漏泂或通过诱骗用户运行恶意代码来
目前国际上很多研究工作开始向这方面转移
文献
感染计算机。当前计算机系统的安全防护很大程度上依赖于[S]提出一种基于病毒行为的行为报告聚类方法,其主要思想
商用反病毒产品的病毒库更新,即所谓特征码扫描。这种方法是将监控获取的行为报告转换成行为序列,并对此应用聚类技
的主要思想是,分析出病毒的特征病毒码并集中存放于病毒代术形成病毒家族。另一种病毒动态分析技术是对恶意行为报
码库文件中,在扫描时将扫描对象与特征代码库比较,如有吻告应用数据挖掘技术,其主要思想是识别恶意程序与良性
合则判断为染上病毒。该技术实现简单有效、安全狈底,但程序之间的区别,以作为恶意行为的标志,这个思想也是本文
是这种方法査杀病毒总是滞后于病毒的流行。
提出新型防御技术的源头。
对未知病毒的査杀是反病毒行业的持久课题,目前国内外
新型防御技术
多家公同都宣布自己的产品可以对未知病毒进行查杀,但事实
上,国内外的产品中只有少数可以对未知病毒进行预警,更无
根据反病毒行业长期的经验可以知道,同家族的恶意程序
法做到彻底清除。
的执行行为存在共同的模式,本文称之为行为模式。例如
为了能赶上病毒编写者的步伐,反病毒软件开始依赖于病
ple端虫病毒的所有变种都会在已感染的系统上获取并锁住
毒自动分析工具。病毒行为分析技术是当前应对未知病毒查特定的信号量?。对程序执行行为进行关联性分析,识别同
杀问题的一种解决方案。通常,病毒分析技术分为静态和动态类程序的行为模式的技术,称之为行为分析技术。
分析两种2?。当前静态分析在检测准确度上比传统的模式匹
当前的行为分析技术都是针对恶意软件的,即发现和识别
配方法要好,因而仍然占主导地位,但是静态分析的主要缺陷各个恶意软件家族的行为模式,并根据这些模式发现和判断未
在于它无法有效应对恶意程序的模糊代码技术和自修改代知病毒。但是恶意程序的家族数量是很庞大的,而且很可能随
码。Moer等人在理论上证明模糊代码技术对于静态分析着计算机技术的发展,不断出现新的家族,如果通过学习恶意
而言是NP难问题,这些隐藏技术尤其对字节级内容分析和程序的行为模式来提升防护能力,实际上还是被恶意软件牵着
静态病毒分析特别奏效2。相对静态分析而言,运行时的动鼻子走,仍然属于被动防御。据此,本文提出一种新型的防御
收稿日期:2009-10-23;回日期:2009-11-28
作者简介:陈项,男,湖南益阳人,硕士研究生,主要研究方向为计算机虚拟化、信息安全( chenxuhaot@nudt
);王志英,男,山西长治
,教投,博导,博士,主要研究方向为计算机虛拟化、信息安全;任江春,男,湖南泪罗人,讲狮,博士,主要研究方向为信息安全;郑重,男,四川成
都人,项士研究生,主要研究方向为计算机廬拟化、信惠安全;黄様,男,湖南常德人,项士研究生,主要研究方向为操作系统、计算机虚叔化
万方数据