件 重命名、文件删除、文件搜索操作采用挂钩系统描述符表中对应内核函数的方式完成。当 程序产生文件操作时最终都会调用底层的内核函数完成对应的功能,在步骤一中的监控都 可以有效获得程序的文件操作信息,通过文件防御规则以及进程防御规则进行过滤,通过 MiniFilter框架的消息通信机制将程序的文件操作信息发送给应用层的行为特征获取分 析模块。
[0047] 文件操作监控、注册表操作监控、进程操作监控、网络操作监控都会分别执行上述 的信息获取步骤,行为特征获取模块就会获得程序的行为操作序列。
[0048] 其中步骤二的灰色模糊判定思想可以分为以下具体步骤。
[0049] 步骤1 :使用攻击树结构形象化表示摆渡木马行为特征,树形结构的层次关系可 以清晰描述结点间的隶属关系和逻辑关系,同时将结点含义与攻击过程的具体行为相对 应。
[0050] 步骤2 :使用梯形模糊数将摆渡木马各个攻击行为威胁等级进行量化,分为威胁 等级极低、威胁等级低、威胁等级中等、威胁等级尚、威胁等级极尚。即每个摆渡木马攻击树 中的每个叶子节点都对应一个威胁等级。
[0051] 步骤3 :设定理想的攻击序列指标作为参考标准,同时将程序的行为序列对应的 行为特征指标的标准化处理,为后续比较使用。
[0052] 步骤4 :通过分析攻击过程的比较序列和理想参考序列的相关性,得到攻击行为 序列的灰色模糊隶属度,进而确定攻击行为序列的灰色模糊优属度。完成对摆渡木马的判 定。
[0053] 其中步骤三的根据判定结果对摆渡木马进行相关的处理主要包括以下内容。
[0054] 根据上述判定结果,将正在运行的摆渡木马程序进行强制结束,同时强制隔离删 除。同时将判定为摆渡木马的程序的相关信息,如进程名字等程序的特征码信息实时加入 到规则库中,当系统以及可移动设备中,再次检测到类似程序是直接拦截。
[0055] -种基于行为特征的摆渡木马防御技术方案,该技术方案的实施主要包括以下内 容:
[0056] 1)建立了一个将摆渡木马行为内核监控与行为特征分析判定相结合的摆渡木马 防御技术方案;
[0057] 2)该防御技术方案的工作步骤如下:
[0058] 步骤一:通过内核层的注册表操作监控、文件操作监控、进程操作监控、网络操作 监控获取摆渡木马的行为特征;
[0059] 步骤二:在内核层获取行为特征的基础上,与行为特征库的规则进行匹配,使用灰 色模糊判定的思想完成摆渡木马的判定过程;
[0060] 步骤三:根据判定结果对摆渡木马进行相关的隔离处理,同时对对行为规则库进 行实施更新,当再次发现类似样本程序出现,直接进行拦截隔离。
[0061] 下面对本发明做几点说明:
[0062] 1、行为特征主要指程序运行过程中产生注册表操作、文件操作、进程操作、网络操 作、可移动操作,以及上述行为操作所产生的组合特征,防御主要指通过动态防御与静态检 测的方式完成对摆渡木马进行防御。
[0063] 2、所述内容2)中步骤一内核层的注册表操作监控、文件操作监控、进程操作监 控、网络操作监控监控获取摆渡木马的行为特征,其中内核层监控是指程序完成的每一个 操作行为都是通过应用层函数进一步调用内核函数实现的,首先程序调用应用层函数,每 一个应用层的API函数的实际执行都对应操作系统一个内核层函数,内核监控指对NT开头 的内核函数的监控。内核层的注册表操作监控是指对新建注册表项和键值操作、修改注册 表项和键值操作、删除注册表项和键值操作、重命名注册表项和键值操作的内核层监控。
[0064] 3、所述内容2)中步骤一中文件操作内核监控指内核层的文件操作监控是指对新 建文件操作、写入文件操作、读取文件操作、重命名文件操作、搜索敏感文件操作的内核层 监控。
[0065] 4、所述内容2)中步骤一中内核层的进程操作监控指,针对可疑进程的创建操作 和不合法的进程终止操作进行监控。其中进程创建操作监控主要针对摆渡木马在攻击过程 中创建自身程序的过程,进程终止的监控主要针对摆渡木马在攻击过程中对主动防御的相 关程序进行的进程终止操作。
[0066] 5、所述内容2)中步骤一中内核层的网络操作监控网络操作行为监控主要针对内 部网络访问和外部网络数据传输操作进行内核监控。外网访问主要针对网络操作访问的IP 地址、端口号进行监控并完成选择性地拦截,对网络操作中的数据包进行过滤,需要网络操 作行为监控与文件操作行为监控操作进行配合实现。内网访问主要针对局域网中感染摆渡 木马的情况,当局域网一台计算机感染摆渡木马,摆渡木马将对局域网的IP和端口进行扫 描,可能导致局域网内其它计算机也感染。
[0067] 6、所述内容2)中步骤二中行为特征库的规则根据摆渡木马行为特征制定了注册 表防御规则、文件防御规则、进程防御规则、网络防御规则。行为规则库机制主要采用进程 防御规则与文件操作防御规则相结合的防御策略,通用规则与特殊规则相结合的方式完成 对行为的过滤。
[0068] 7、名词解释:
[0069] 树结构:一种非线性的数据结构,树上的每个元素称为结点,树上的每个结点表 示含义不同,根结点表示木马程序,除根结点外的结点分别代表不同的攻击行为。攻击序列 指标:对木马攻击过程中产生的攻击序列,进行数据量化处理产生的指标。标准化处理: 使用统一标准对不同攻击序列指标进行标准化的过程。攻击过程:摆渡木马进行整个文件 窃取所需的操作过程。攻击行为:摆渡木马进行攻击进行的具体行为(如进程创建行为,文 件新建行为等)比较序列:获取的实际攻击过程中的攻击序列指标。
[0070] 灰色模糊优属度:在灰色模糊隶属度基础上,更精确反映序列相关性的标准。
[0071] 本实施所基于的测试环境是Windows操作系统,防御技术方案对摆渡木马的防御 过程附图1所示,首先,行为监控获取模块完成对程序的行为监控操作,获取程序的行为特 征,然后由行为特征分析模块,根据获取的行为特征进行进一步的判定,完成实时交互,完 成对摆渡木马的防御。
[0072] 文件行为操作的内核监控实施,主要采用文件回调函数的方式和内核层API函数 挂钩的方式完成。其中文件创建、文件写入、文件读取操作都采用文件回调函数的方式进行 监控。文件监控流程具体如附图2所示,当操作系统内核中产生文件操作时,将执行对应的 文件回调函数,在文件回调函数中,判定程序进程合法性,合法直接放行,否则对文件操作 信息进行处理,根据文件行为规则对内核文件操作进行过滤,完成将拦截信息发送给行为 特征分析模块。同时可以接收应用层的判定结果。
[0073] 注册表监控实施时,流程具体如附图3所示,注册表防御进程对所有注册表操作 进行监控,将拦截的注册表操作对应的注册表路径与注册表防御规则中的路径进行比较, 如果在注册表防御规则中,将对应信息发送给行为特征分析模块,完成对注册表操作行为 的获取。同时可以接收应用层的判定结果。
[0074] 进程监控实施时,流程具体如附图4所示,当内核监控到进程创建操作行为时,首 先将发起进程创建操作行为的进程与进程创建监控黑名单规则进行匹配。如果不在进程创 建黑名单中继续进行判断,判断进程是否符合微软签名认证,如果进程符合微软签名,则直 接放行,否则继续进行判定,判断该进程是否符合进程创建白名单防御规则,如果在进程创 建白名单规则中,直接放行,否则进行拦