截,将对应的信息发送给行为特征分析模块,完成 对进程操作行为的获取。同时可以接收应用层的判定结果。
[0075] 网络操作监控实施时,应用程序对底层的功能调用都是通过调用相应的API 接口生成内核相应的请求传递到底层,来通知底层硬件来完成相应的网络操作。通过 创建请求过滤,获取请求的进程和具体行为操作的请求原因。一般有以下几个步骤, 首先,获取当前网络操作的进程信息,通过防火墙显示的使用一个连接的进程,通过 PsGetCurrentProcessIdO获得网络操作相关进程的ID号。在处理创建的IRP的进程 中,调用对应函数获取进程编号的可以确定发起请求的进程。然后通过调用内核层函数 NtCreateFi1e获取Ea数据,程序的网络操作主要通过Ea数据来传递信息,包括传输地址信 息、终端信息、操作请求指令的名称等,通过分析可以使用程序发起的网络连接类型作为标 准进行过滤。所以,对网络操作行为内核监控需要重点对不可信进程发起的请求事件进行 监控,分析数据包中是否包含涉密敏感信息,同时对数据发送的可疑目的IP地址进行过滤 拦截,将对应的信息发送给行为特征分析模块,完成对网络操作行为的获取。同时可以接收 应用层的判定结果。
[0076] 根据上述监控获取的行为特征信息,基于行为特征摆渡木马判定实施时,首先定 义行为特征评价向量集V= {ωι,ω2....coj。根据摆渡木马攻击过程行为类型及威胁等 级,制定具有摆渡木马行为特征的行为评价向量集,取m= 5,评价标准对应梯形模糊数如 图8所示。
[0077] 评价标准对应梯形模糊数表示的是实际攻击行为序列对应的行为特征指标相对 于理想情况对应行为特征指标的近似程度,根据上述公式和设定的理想攻击序列,得到经 过数据标准化的理想参考序列4 =[丨1111和比较序列人卜[以巧噔^],具体的相似 度指标如公式1所示。
[0079] 定义摆渡木马行为序列灰色隶属度,如公式2所示。
[0082] 在得到灰色模糊隶属度的基础上,进一步计算攻击行为序列的灰色模糊优属度。 比较攻击序列对应行为特征指标与理想攻击序列对应行为特征指标间的优属度1^如公式 4_3 〇
作、进程操作、网络操作这四种行为操作都是摆渡木马攻击过程中的行为特征,同时应着每 个阶段的攻击,使用两两比较法确定W= [ωιω2ω3ω4] =[0.25 0.25 0.25 0.25]。
[0085] 行为规则库使用时采用xml文件,通过对xml文件加密最终保存为dat格式存储。 规则文件主要包括内核监控规则名称、具体的规则描述、对应规则权重信息。规则文件采用 统一的书写格式方便管理,以注册表监控规则为例,解密后的规则库文件内容如下:
[0086] 〈rules〉
[0087] …
[0088] 〈rule〉
[0089] <path>*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run〈/path> 本方案在 实
[0090] <weight>6</weight>
[0091] 〈description〉启动项〈/description〉
[0092] 〈/rule〉
[0093] 〈/rules〉
[0094] 施过程表现出了较好优化效果,下面是基于行为特征的摆渡木马防御技术方案的 测试结果展示:
[0095] 本发明中所采用的测试用例主要用于测试基于行为特征的摆渡木马防御技术方 案可以完成对摆渡木马的行为监控和获取,同时可以根据行为特征完成对摆渡木马的判 定。首先通过查看内核层函数地址的变化,如附图5所示,可知模型从理论上可以完成对程 序行为操作的监控,测试用例在执行过程中通过执行现有的摆渡木马样本和大量的非摆渡 木马样本,以此来测试基于行为特征的摆渡木马防御技术方案对程序行为监控和获取的效 果。同时根据行为特征综合分析,可以将摆渡木马和非摆渡木马进行有效分类,从而完成对 摆渡木马的判定。
[0096] (1)测试结果:对现有的摆渡木马样本以及大量非摆渡木马样本,其中非摆渡木 马样本中包括正常程序,进行行为序列的获取和灰色模糊优属度的计算,如附图7所示,得 到摆渡木马和非摆渡木马的灰色模糊优属度曲线。
[0097] (2)结果分析:使用摆渡木马样本和非摆渡木马样本进行检测,如附图6所示,摆 渡木马检测与防护系统能捕获到样本对文件进行搜索、进程创建及终止操作、可移动存储 设备文件写入、网络操作的主要行为信息。通过附图7,实验证明了基于行为特征的摆渡木 马防御系统能够有效的监控摆渡木马内核层行为,对现有摆渡木马和非摆渡木马样本的行 为特征的综合分析计算,通过摆渡木马和非摆渡木马的灰色模糊优属度散点图分析比较, 可以看出摆渡木马与非摆渡木马的灰色模糊优属度具有很明显的分界线,通过设置的可能 性指标阈值可以区分摆渡木马与非摆渡木马完成分类,从而实现对摆渡木马的有效判定, 从而进一步实现防御。
【主权项】
1. 一种基于行为特征的摆渡木马防御方法,其特征在于:包括W下步骤, 步骤一:通过内核层的注册表操作监控、文件操作监控、进程操作监控、网络操作监控 获取摆渡木马的行为特征; 步骤二:将内核层获取的行为特征与行为特征库的规则进行匹配,使用灰色模糊判定 的方法完成摆渡木马的判定; 步骤Ξ:根据判定结果对摆渡木马进行相关的隔离处理,对行为规则库进行实施更新。2. 根据权利要求1所述的一种基于行为特征的摆渡木马防御方法,其特征在于:所述 的使用灰色模糊判定的方法完成摆渡木马的判定的方法为: (1) 使用攻击树结构表示摆渡木马行为特征,将结点含义与攻击过程的具体行为相对 应; (2) 使用梯形模糊数将摆渡木马各个攻击行为威胁等级进行量化,分为威胁等级极低、 威胁等级低、威胁等级中等、威胁等级高、威胁等级极高; (3) 设定理想的攻击序列指标作为参考标准,同时将程序的行为序列对应的行为特征 指标标准化处理; (4) 通过分析攻击过程的比较序列和理想参考序列的相关性,得到攻击行为序列的灰 色模糊隶属度,确定攻击行为序列的灰色模糊优属度,完成对摆渡木马的判定。3. 根据权利要求2所述的一种基于行为特征的摆渡木马防御方法,其特征在于:所述 的攻击行为序列的灰色模糊隶属度为:其中,Δij=|χoj-XijI, 攻击行为序列的灰色模糊优属度为:ω,表示摆渡木马各种行为的权重。
【专利摘要】本发明公开了一种基于行为特征的摆渡木马防御方法。包括以下步骤,步骤一:通过内核层的注册表操作监控、文件操作监控、进程操作监控、网络操作监控获取摆渡木马的行为特征;步骤二:将内核层获取的行为特征与行为特征库的规则进行匹配,使用灰色模糊判定的方法完成摆渡木马的判定;步骤三:根据判定结果对摆渡木马进行相关的隔离处理,对行为规则库进行实施更新。本发明在现有针对病毒木马程序监控技术和行为分析方法的基础上,设计并实现了一个通过摆渡木马行为特征完成对摆渡木马的防御技术方案。
【IPC分类】G06F21/56
【公开号】CN105243328
【申请号】CN201510616341
【发明人】张国印, 徐锋, 谢东良, 于成, 武俊鹏
【申请人】哈尔滨工程大学
【公开日】2016年1月13日
【申请日】2015年9月24日