基于行为分析的木马检测系统设计与实现

张琦++李梅

摘 要

随着近年来网络技术的飞速发展，安全问题日益突出，病毒、木马、后门程序等恶意代码层出不穷，重大经济损失事件及重要泄密事件频频发生。传统的代码检查技术主要依靠特征码，静态分析等手段，对分析者的技术要求高，效率较低，难以实现批量检查。针对这些缺点，本文提出一种基于行为分析的木马检测技术，通过记录应用程序的动态行为，综合恶意代码的API调用序列，功能性行为特征、隐藏性行为特征、Rootkit行为特征等作为判别依据，分析其恶意危害性；同时给出详细的分析报告及关键行为记录，方便对恶意代码的手动查杀及深入分析。实验表明本文提出的检测方案能够有效地检测已知或未知的恶意代码，提高木马的检测准确率和检测效率，达到预期的研究目的。

【关键词】恶意代码 行为分析 行为特征

随着信息技术的飞速发展，计算机应用以及计算机网络己经成为当今社会中不可缺少的重要组成部分，对经济发展、国家安全、国民教育和现代管理都起着重要的作用。但随着网络应用的增加，以计算机信息系统为犯罪对象和犯罪工具的各类犯罪活动不断出现。网络安全风险也不断暴露出来，其中，利用木马技术入侵、控制和破坏网络信息系统，是造成信息安全问题的典型表现之一。

传统的恶意文件检测通常使用恶意程序特征值匹配的技术，即通过提取已经发现恶意程序的特征值（通常为恶意程序某一段的二进制文件或汇编指令流），使用模式匹配的方式对恶意程序进行检测，这样做的好处是查杀准确，而且可以有效的将恶意程序进行定性，但是特征值需要获得并分析恶意文件样本，才可以得到，因此时间上有着滞后性为解决特征值查杀的滞后性。如何能够快速、准确、简便的分析一个应用程序，成为了一种普遍的需求。

1 木马检测系统的设计与实现

1.1 系统设计

1.1.1 系统设计原则

系统总体设计需要满足未来的木马检测发展需要，既要安全可靠，又要具有一定的先进性。在架构设计和功能模块的划分上，应充分的分析和整合项目的总体需求和预期的目标，尽量遵循高内聚、低耦合的设计原则，既要保证各个模块的独立性，也要保证模块间联系的简单性和易扩展性。

1.1.2 系统架构设计

根据虚拟化技术的快速发展，本文提出一种在虚拟机环境下通过记录可疑程序的真实性为判断恶意代码的检测系统，通过检测可疑程序的API调用序列，功能性行为特征、隐藏性行为特征、Rootkit行为特征，对可疑程序进行系统评分，实现对恶意代码的批量检测功能。

1.1.3 行为分析规则

根据对木马检测系统的分析需要，系统的监控内容主要分为以下5种：

（1）文件监控。系统中文件的增加、删除、修改精确记录而已程序运行造成的文件系统的变化，包括恶意程序释放文件、修改系统文件、删除文件等等，让隐藏文件无处藏身。

（2）注册表监控。注册表关键位置的变动记录恶意程序的注册表操作（例如，比较常见的创建启动项、修改注册表键值、破坏安全模式等等），让恶意程序的注册表操作一目了然。

（3）网络操作监控。控制恶意程序的网络活动（发送数据、下载等）清晰展现盗号、后门、下载者等恶意程序的网络活动，并对这些网络活动进行协议解析、数据揭秘等。

（4）进程/线程监控。实时检测恶意程序运行后的进程活动，精确识别恶意程序的进程/线程创建活动。

（5）驱动监控。实时检测恶意程序运行后加载的各种驱动行为。

1.1.4 检测流程设计

为了保证检测的准确性，木马检测系统将检测过程分为2个步骤，杀毒检测任务和行为检测任务。其行为检测任务流程设计如下图2。

1.2 系统试验效果

对大量木马型病毒的测试表明，本系统能准确识别出被检测程序在安装阶段、启动阶段和网络通信阶段所展示的网络通信行为、进（线）程行为、注册表行为、文件行为和驱动行为，无论对已知木马还是未知木马，基于木马行为判定算法所提交的检测结果较为准确，克服了“特征码扫描”有较高的漏报率和“完整性检测”有较高的误报率的缺点，检测时间也相对“机器学习方法”较短。

2 结束语

文本设计的基于行为分析的木马检测系统，在虚拟机中运行样本程序，并监控整个运行过程中，提供清晰的危险行为报告，使得各种隐匿行为无处藏身。系统提供了一个自动化程度较高的检测分析平台，克服了普通沙盘环境简单，指令集有限的问题，更有效地发现潜在恶意代码，提升了判断的准确率，为批量分析恶意代码提供了一个有效的检测方法。

参考文献

[1]江雪.基于VMware虚拟机的恶意程序仿真检测平台设计与实现[D].电子科技大学，2014（04）.

[2]王晓娣.基于虚拟机架构的恶意行为跟踪系统[D].华中科技大学，2013.

[3]中国航天科工集团第二研究院北京仿真中心[Z].基于虚拟化技术的仿真系统构建，2011（01）.

[4]张一弛，庞建民，范学斌，姚鑫磊.基于模型检测的程序恶意行为识别方法[J].计算机工程，2012（18）.