改进的进程行为检测模型及实现
第30巷第1期2010年1月
计算机应用
JournalofComputerApphcafions
V01.30N0.1
Jan.2010
文章编号:1001-9081(2010)01-0207—03
改进的进程行为检测模型及实现
唐彰国,李焕洲,钟明全,张健
(四川师范大学网络与通信技术研究所,成都610066)
(tangzhangguo@sicnu.edu.cn)
摘要:为了检测恶意程序,分析了现有各类检测机制的不足,重新界定了进程行为概念的外延。提出了差量对比与进程动态行为分析的检测模型,给出了关键技术和实现方法。测试结果表明该检测模型在通用性和有效性方面优于传统检测方法。
关键词:恶意程序;差量对比;检测模型;API函数
中图分类号:TP309文献标志码:A
Improvedmodelofprocessbehaviordetectionandimplementation
TANGZhang—guo,LIHuan—zhou,ZHONGMing-quan,ZHANGJian
(InstituteofComputerNetworkandCommunicationTechnology,SwhuanNormalUniversity,ChengduSwhuan610066,Ch/na)
Abstract:Todetectmaliciousprogram,thedisadvantagesofcurrentdetectionmechanismwereanalyzed.TheextensionofprocessbehaviorconceptWHSredefined.Adetectionmodelofdifferencecomparisonandprocessdynamicbehavioranalysiswasproposed.Thecriticaltechnologyandrealizationweregiven.Theexperimentalresultsindicatethatthedetectionmodelexcelstraditionaldetectionmethodinversatilityandeffectiveness.
Keywords:。viciousprocedure;differencecomparison;detectionmodel;APIfunction
0引言
当前,恶意程序(如木马等)越来越泛滥。恶意程序使用的技术主要有:用户模式系统调用劫持、核心模式系统调用劫持、核心模式数据篡改以及核心模式中断处理程序劫持。恶意程序检测方法分为静态检测和动态行为检测。其中动态行为检测方法主要有挂钩函数检测、隐藏进程检测、可执行路径分析检测(EPA)、交叉检查差量检测和内存完整性检测。目前,对进程检测的研究国内外主要集中在进程行为的实现上。例如挂钩函数检测法通过检测系统内存中操作系统模块和进程中被挂钩的函数实现;执行路径分析法则检测某些关键系统函数执行时所用的指令个数来判定系统中是否存在恶意程序;而交叉检查差量检测的原理是比较操作系统不同层次API函数的查询结果是否一致来判断是否存在APIHook【l_3】。
普通的基于进程动态行为特征的恶意程序检测技术存在一定局限。如文献[4]提出的基于APC机制的远程线程注入技术实现的进程隐藏由于未对内核对象等系统敏感信息进行修改(未挂钩系统服务函数、修改服务函数执行路径),使得系统完整性检测、EPA执行路径分析、挂钩检测等检测技术失效;文献[5]认为基于截获系统调用(HookSystemCall,HSC)的进程隐藏检测技术能完整且可靠地建立进程列表,但绕过这种检测方法也很简单,如改用其他中断或是用全局描述符表中的调用门。可见,由于恶意程序的种类多,技术差异大,各种专门的检测工具很难统一成普适的检测模型,其原因是由于Windows是分层实现的,而Windows程序是事件驱动并主要基于消息投递的。因此,信息的获取和消息的拦截可在操作系统的不同层次和不同路径上实现。正是因为这个原理,恶意程序与检测工具在技术上表现出有针对的对抗性,使得以上类型的检测技术不能面面俱到,无法构筑一个全方位的进程行为监控体系。
综合分析以上进程动态行为检测技术发现,共同的缺点是把检测的重点只放在进程行为的过程上,而忽视了行为结果以及进程状态变化等相关信息,从而就导致了漏检率和误检率较高。本文将重新审视进程行为的定义,并据此提出一种改进的进程行为检测模型:差量对比与进程行为动态分析。
1进程行为的定义及模型
1.1进程行为模型
进程行为由主体、客体、操作集合、行为输入、行为输出、行为状态和行为属性等组成。以进程生命周期的全局来看,可从如下三个方面对进程行为加以界定。
1)进程行为的内涵:操作系统内核把系统调用看作是进程的行为。在基于行为的进程检测技术中,进程被看作一系列系统调用的有序组合。
2)进程行为的外延:一个行为与另一个行为的区别在于进程行为的四个要素(主体、客体、所使用的操作以及状态的迁移)。主体指进程本身,客体指主体操作的对象及使用的资源,操作是指系统(API)调用。状态的迁移指进程行为引起进程状态的变化。
3)进程行为的属性:按时序度量,分为行为创建、行为过程和行为结果。
文献【6]对进程行为进行了定义,但没考虑进程状态及进程时间属性等重要信息,本文改进如下:
收稿日期:2009—07—09;修回日期:2009—08一19。基金项目:四川省应用基础研究项目(07n'029-011)。
作者简介:唐彰国(1978一),男,广西桂林人,讲师,硕士,主要研究方向:信息安全;李焕洲(1974一),男,I匹tJlJ阆中人,副教授,博士,主要研究方向:网络监控、可信计算;钟明全(1975一),男,四川内江人,讲师,硕士,主要研究方向:网络通信、信息安全;张健(1975一),女,IⅡ1)lI宜宾人,讲师,博士研究生,主要研究方向:网络安全。
万方数据