一种基于行为特征的摆渡木马防御方法
【技术领域】
[0001] 本发明属于木马防御领域,尤其涉及Windows平台下根据行为特征进行木马防御 的,一种基于行为特征的摆渡木马防御方法。
【背景技术】
[0002] 木马作为黑客间谍进行远程控制和窃取信息的重要手段,对国家和个人的信息安 全构成很大威胁。摆渡木马作为在涉密网络中一种非常具有代表性的木马,通过植入涉密 计算机窃取我国政治、经济、文化等方面的涉密信息,通过后台运行程序将涉密文件信息复 制到可移动介质中,不断嗅探计算机的端口信息,伺机将涉密信息发送到摆渡木马控制端 服务器,达到窃取信息的目的。
[0003] 摆渡木马攻击原理通过插入涉密网络中计算机的可移动存储设备,隐蔽运行后台 进程,从可移动设备向目标计算机植入攻击程序。木马程序进行计算机遍历搜索,搜索文件 次数频繁、类型全面,以文件名选项涉及政治、经济、社会等敏感词为依据。同时木马程序 也将对局域网内的IP以及端口进行扫描,感染内网中其他计算机,实现相同的文件搜索过 程。木马将获取的涉密敏感信息文件通过伪装以及绑定文件方式隐藏在系统中,不断扫描 可进行数据传输的可移动设备,当检测到可移动存储设备接入时,进行文件摆渡操作,将窃 取的涉密敏感信息通过特定方式从涉密计算机传输到可移动存储介质中。摆渡木马对盗取 的敏感文件转移主要通过上网计算机完成,木马程序对当前网络环境进行分析,发现存在 可用的网络连接,就会将可移动设备中的敏感文件通过互联网秘密发送到国外服务器。
[0004] 国内针对摆渡木马防御的研究工作非常少,研究基于行为特征的摆渡木马防御技 术方案对于该领域具有一定意义。通过内核层的行为监控和行为特征的分析判定摆渡木 马,可以实现对摆渡木马的有效防御。
【发明内容】
[0005] 本发明的目的是提供一种速度快、精度高、防御效果好的,基于行为特征的摆渡木 马防御方法。
[0006] -种基于行为特征的摆渡木马防御方法,包括以下步骤,
[0007] 步骤一:通过内核层的注册表操作监控、文件操作监控、进程操作监控、网络操作 监控获取摆渡木马的行为特征;
[0008] 步骤二:将内核层获取的行为特征与行为特征库的规则进行匹配,使用灰色模糊 判定的方法完成摆渡木马的判定;
[0009] 步骤三:根据判定结果对摆渡木马进行相关的隔离处理,对行为规则库进行实施 更新。
[0010] 本发明一种基于行为特征的摆渡木马防御方法,还可以包括:
[0011] 1、使用灰色模糊判定的方法完成摆渡木马的判定的方法为:
[0012] (1)使用攻击树结构表示摆渡木马行为特征,将结点含义与攻击过程的具体行为 相对应;
[0013] (2)使用梯形模糊数将摆渡木马各个攻击行为威胁等级进行量化,分为威胁等级 极低、威胁等级低、威胁等级中等、威胁等级尚、威胁等级极尚;
[0014] (3)设定理想的攻击序列指标作为参考标准,同时将程序的行为序列对应的行为 特征指标标准化处理;
[0015] (4)通过分析攻击过程的比较序列和理想参考序列的相关性,得到攻击行为序列 的灰色模糊隶属度,确定攻击行为序列的灰色模糊优属度,完成对摆渡木马的判定。
[0016] 2、攻击行为序列的灰色模糊隶属度为:
[0022] 有益效果:
[0023] 在实施过程中发现,采用本发明所提供的基于行为特征的摆渡木马判定模型可以 有效完成对摆渡木马行为特征的内核层监控,同时可以根据获取的行为特征完成对摆渡木 马的判定,从而完成对摆渡木马的防御,发明有益效果十分之明显。
[0024] 本发明主要功能为:通过内核层的行为监控,完成对程序的行为特征的获取。根据 获取的程序行为特征信息,进行行为特征分析完成摆渡木马判定。使用静态查杀和动态监 控相结合的方式,同时结合摆渡木马的防御规则和行为特征的综合分析完成防御。
【附图说明】
[0025] 图1为摆渡木马行为特征防御技术方案示意图;
[0026] 图2为文件操作内核监控流程;
[0027] 图3为注册表操作内核监控流程;
[0028] 图4为进程操作内核监控流程;
[0029] 图5为完成内核函数hook监控示意图;
[0030] 图6为基于行为特征的摆渡木马防御技术方案系统获取行为特征图;
[0031] 图7为摆渡木马与非摆渡木马灰色模糊优属度比较图;
[0032]图8为评价标准梯形模糊数表。
【具体实施方式】
[0033] 下面将结合附图对本发明做进一步详细说明。
[0034] 在本发明中所涉及的基于行为特征的摆渡木马防御技术方案主要功能为:通过内 核层的行为监控,完成对程序的行为特征的获取。根据获取的程序行为特征信息,进行行为 特征分析完成摆渡木马判定。使用静态查杀和动态监控相结合的方式,同时结合摆渡木马 的防御规则和行为特征的综合分析完成防御。
[0035] 1)建立了一个将摆渡木马行为内核监控与行为特征分析判定相结合的摆渡木马 防御技术方案;
[0036] 2)该防御技术方案的工作步骤如下:
[0037] 步骤一:通过内核层的注册表操作监控、文件操作监控、进程操作监控、网络操作 监控获取摆渡木马的行为特征;
[0038] 步骤二:在内核层获取行为特征的基础上,与行为特征库的规则进行匹配,使用灰 色模糊判定的思想完成摆渡木马的判定过程;
[0039] 步骤三:根据判定结果对摆渡木马进行相关的隔离处理,同时对对行为规则库进 行实施更新,当再次发现类似样本程序出现,直接进行拦截隔离。
[0040] 其中步骤一的内核层获取摆渡木马行为特征包括以下内容。
[0041] 1.文件操作内核监控指内核层的文件操作监控是指对新建文件操作、写入文件操 作、读取文件操作、重命名文件操作、搜索敏感文件操作的内核层监控,同时重点对目标路 径和发起路径为可移动设备的文件操作进行重点监控。监控过程中的行为过滤,需要对应 的文件操作过滤规则配合完成。
[0042] 2.注册表操作内核监控指实现对新建注册表项和键值操作、修改注册表项和键值 操作、删除注册表项和键值操作、重命名注册表项和键值操作的内核层监控。监控过程中的 行为过滤,需要对应的注册表操作过滤规则配合完成。
[0043] 3.进程操作内核监控指对可疑进程的创建操作和不合法的进程终止操作进行监 控。监控过程中的行为过滤,需要对应的进程操作过滤规则配合完成。
[0044] 4.网络操作内核监控指对内部网络访问和外部网络数据传输操作进行内核监控。 外网访问主要针对网络操作访问的IP地址、端口号进行监控并完成选择性地拦截,对网 络操作中的数据包进行过滤,需要网络操作行为监控与文件操作行为监控操作进行配合实 现。内网访问主要针对可疑的内网访问操作进行监控。监控过程中的行为过滤,需要对应 的网络操作过滤规则配合完成。
[0045] 下面以文件操作内核监控和行为获取过程为例,介绍程序的行为监控和消息交互 的整个过程,描述如下:
[0046] 通过文件回调函数和文件操作内核层函数挂钩的方式完成对文件操作的监控。其 中文件创建操作、文件写入操作、文件读取操作都采用文件回调函数的方式进行监控。文