基于函數(shù)調(diào)用圖指紋的惡意軟件檢測(cè)方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)安全中惡意軟件檢測(cè)領(lǐng)域,特別涉及一種基于函數(shù)調(diào)用圖指紋的 惡意軟件檢測(cè)方法�。
【背景技術(shù)】
[0002] 隨著信息技術(shù)的發(fā)展,互聯(lián)網(wǎng)正深刻地改變著人類的生產(chǎn)生活方式��,人們?cè)絹?lái)越 離不開(kāi)網(wǎng)絡(luò)��,隨之而來(lái)的是各種"安全"問(wèn)題。人們深得網(wǎng)絡(luò)發(fā)展之利���,也深受網(wǎng)絡(luò)攻擊之 害�����,網(wǎng)絡(luò)空間安全問(wèn)題已成為困擾世界的嚴(yán)峻挑戰(zhàn)���。根據(jù)中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)�、國(guó)家互聯(lián)網(wǎng)應(yīng)急 中心發(fā)布的《中國(guó)互聯(lián)網(wǎng)站發(fā)展?fàn)顩r及其安全報(bào)告(2015)》統(tǒng)計(jì)顯示,截至2014年12月����, 我國(guó)網(wǎng)民規(guī)模達(dá)6. 49億,全年共計(jì)新增網(wǎng)民3117萬(wàn)人�����,互聯(lián)網(wǎng)普及率為47. 9%����。2014年, 有46. 3%的網(wǎng)民遭遇過(guò)網(wǎng)絡(luò)安全問(wèn)題���,我國(guó)個(gè)人互聯(lián)網(wǎng)使用的安全狀況不容樂(lè)觀��。在安全 事件中��,賬號(hào)和密碼被盜情況最為嚴(yán)重��,分別達(dá)到26. 7%和25. 9%�。
[0003] 軟件的安全性是網(wǎng)絡(luò)安全的重要組成部分。軟件內(nèi)部存在缺陷���、錯(cuò)誤�����、故障��、失效���, 軟件外部存在病毒、木馬��、蠕蟲(chóng)等惡意軟件����,造成了安全性分析具有高度的復(fù)雜性��。盡管研 究人員已經(jīng)做了大量工作�����,但是惡意軟件的現(xiàn)有檢測(cè)技術(shù)依然有很大的局限性����。反病毒軟 件是利用惡意軟件或被感染文件的特征碼(即每種惡意軟件所獨(dú)有的十六進(jìn)制代碼串)進(jìn) 行掃描檢測(cè)�,這種傳統(tǒng)方式幾乎不能檢測(cè)新的惡意軟件種類,能檢測(cè)的惡意軟件經(jīng)過(guò)簡(jiǎn)單 加殼或混淆后又不能檢測(cè)�,特定惡意軟件在被反病毒軟件查殺之后很容易進(jìn)行免殺處理。 據(jù)Symantec公司發(fā)布的2015互聯(lián)網(wǎng)安全威脅報(bào)告���,基于特征碼的方法僅能檢測(cè)2014年捕 獲的所有惡意軟件中的13. 9%。
[0004] 惡意軟件作者使用加殼和混淆技術(shù)對(duì)已有的惡意軟件進(jìn)行處理�,產(chǎn)生了大量的惡 意軟件變種。據(jù)Symantec公司發(fā)布的2015互聯(lián)網(wǎng)安全威脅報(bào)告�����,2014年十大惡意軟件族 類的樣本數(shù)目占全年捕獲所有惡意軟件樣本的33 %����。反病毒專家每天捕獲大量的未知軟件 樣本���,需要迅速地判斷未知樣本是否為已知的惡意軟件或已知惡意軟件的變種。當(dāng)前�,反病 毒專家主要使用樣本的hash簽名標(biāo)識(shí)樣本,但hash簽名非常敏感�����,樣本有一個(gè)字節(jié)的微小 變化�����,都會(huì)產(chǎn)生不同的hash簽名�,該方法彈性較差。此外���,反病毒專家需要對(duì)收集的所有惡 意軟件樣本進(jìn)行歸類和索引�,建立惡意軟件的族群和族譜�,以方便新樣本的比對(duì)和查找。目 前��,這部分工作是基于反病毒專家的專業(yè)知識(shí)分析處理�����,還沒(méi)有自動(dòng)化的工具。
[0005] 李德毅院士在一篇報(bào)告中指出"軟件應(yīng)以網(wǎng)絡(luò)結(jié)構(gòu)表示"�����。也就是說(shuō)�,軟件都具有 網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu),一般可以用圖表示����。圖可以在較高層次描述軟件的結(jié)構(gòu),為研究者提供一 個(gè)整體和全局的視角來(lái)唯一標(biāo)識(shí)軟件�。研究人員對(duì)基于圖的惡意軟件檢測(cè)方法已進(jìn)行了初 步研究,這些方法將軟件表示成操作碼有向圖�、控制流圖、數(shù)據(jù)流圖���、系統(tǒng)調(diào)用圖���,然后通過(guò) 相似性度量����、數(shù)據(jù)挖掘和機(jī)器學(xué)習(xí)等方法實(shí)現(xiàn)惡意軟件的檢測(cè)。這些方法從不同的角度探 索解決惡意軟件檢測(cè)問(wèn)題��,提出了不同思路的基于圖的惡意軟件檢測(cè)方法,取得了許多富 有建設(shè)性的成果��,但仍存在以下幾個(gè)問(wèn)題:1)基于圖相似性度量的檢測(cè)方法效率不理想����, 對(duì)結(jié)點(diǎn)較多的圖在有限時(shí)間內(nèi)無(wú)法完成。2)部分圖表示方法粒度較細(xì)���,導(dǎo)致圖的規(guī)模和復(fù) 雜度較高�����。3)對(duì)混淆過(guò)的惡意軟件���,一些檢測(cè)方法不能檢測(cè)出。
【發(fā)明內(nèi)容】
[0006] 本發(fā)明所要解決的技術(shù)問(wèn)題是提供一種基于函數(shù)調(diào)用圖指紋的惡意軟件檢測(cè)方 法�����,采用了函數(shù)調(diào)用圖作為軟件的指紋來(lái)檢測(cè)出惡意軟件����,識(shí)別率高。
[0007] 為解決上述技術(shù)問(wèn)題,本發(fā)明采用的技術(shù)方案是:
[0008] -種基于函數(shù)調(diào)用圖指紋的惡意軟件檢測(cè)方法�����,包括生成函數(shù)調(diào)用圖指紋庫(kù)和檢 測(cè)惡意軟件兩部分�;
[0009] 生成函數(shù)調(diào)用圖指紋庫(kù):
[0010] 步驟1,判斷已知惡意軟件樣本是否加殼�����,若加殼��,進(jìn)行脫殼處理�,若未加殼,進(jìn)行 后續(xù)步驟����;步驟2,進(jìn)行反匯編處理,得到惡意軟件樣本的匯編代碼��;步驟3,以函數(shù)為結(jié)點(diǎn)��, 函數(shù)間的調(diào)用為邊��,生成函數(shù)調(diào)用圖�;步驟4,函數(shù)調(diào)用圖作為該樣本的指紋,加入圖指紋 庫(kù)����;
[0011] 檢測(cè)惡意軟件:
[0012] 步驟5,判斷待檢測(cè)樣本是否加殼,若加殼�,進(jìn)行脫殼處理,若未加殼��,進(jìn)行后續(xù)步 驟���;步驟6,進(jìn)行反匯編處理�����,得到待檢測(cè)樣本的匯編代碼�����;步驟7,基于匯編代碼生成待檢 測(cè)樣本的函數(shù)調(diào)用圖���,該圖作為檢測(cè)樣本的指紋;步驟8,將待檢測(cè)樣本的函數(shù)調(diào)用圖指紋 和圖指紋庫(kù)中每一個(gè)圖都進(jìn)行同構(gòu)判斷��,若同構(gòu)�����,則該樣本為惡意軟件,若和圖指紋庫(kù)中的 所有圖都不同構(gòu)�����,則為良性軟件�。
[0013] 根據(jù)上述方案,在所述步驟8中�����,同構(gòu)判斷的方法為FCGiso圖同構(gòu)判斷���,具體為:
[0014] STEPl :對(duì)于待判斷是否同構(gòu)的兩個(gè)有向圖GJV1, E1)和G2(V2, E2)�,判斷G1的結(jié)點(diǎn) 數(shù)和G2的結(jié)點(diǎn)數(shù)是否相等�,若不相等,則圖G 1和圖G 2不同構(gòu)����;若相等,再判斷有向圖的邊 數(shù)�����;
[0015] STEP2 :判斷邊數(shù)和G 2的邊數(shù)是否相等,若不相等���,則圖G1和圖G 2不同構(gòu);若 相等�����,進(jìn)彳丁后續(xù)判斷��;
[0016] STEP3 :對(duì)于圖任意一個(gè)結(jié)點(diǎn)V����,獲取圖G1* V的直接后繼結(jié)點(diǎn)集合 OUtnodes1,基于V的結(jié)點(diǎn)唯一標(biāo)記���,從圖G2中查找得到與V結(jié)點(diǎn)標(biāo)記相同的結(jié)點(diǎn)ν'���,獲取 圖6 2中ν'的直接后繼結(jié)點(diǎn)集合outnodes 2,若OUtnodes1集合和outnodes 2集合的結(jié)點(diǎn)數(shù) 和結(jié)點(diǎn)的標(biāo)記不相同��,則圖G1和圖62不同構(gòu)���;若相同�,則繼續(xù)用STEP3的判斷方法判斷下一 個(gè)結(jié)點(diǎn),直到判斷完所有結(jié)點(diǎn)��;
[0017] STEP4 :若從STEPl到STEP3都沒(méi)有判斷圖G1和圖G2不同構(gòu)�����,則圖G1和圖G 2同構(gòu)����。
[0018] 根據(jù)上述方案,在所述步驟1和步驟5中����,使用PEID判斷是否加殼,采用動(dòng)態(tài)通用 脫殼工具Ether進(jìn)行脫殼����。
[0019] 根據(jù)上述方案,若有不成功的樣本脫殼�,則使用加殼工具的逆向工具進(jìn)行手動(dòng)脫 殼。
[0020] 根據(jù)上述方案���,所述步驟2和步驟6中的反匯編處理使用IDA Pro��。
[0021] 根據(jù)上述方案�����,在所述步驟3中���,還包括使用正整數(shù)命名函數(shù)����。
[0022] 與現(xiàn)有技術(shù)相比����,本發(fā)明的有益效果是:1)使用函數(shù)調(diào)用圖作為軟件的指紋��,充 分利用函數(shù)調(diào)用圖是一種特殊的圖(圖的結(jié)點(diǎn)帶唯一標(biāo)記)�,有較強(qiáng)的唯一標(biāo)識(shí)性,又具備 較好的彈性(加殼和混淆后的變種指紋不變)的特點(diǎn)來(lái)識(shí)別惡意軟件變種�����,識(shí)別率高���,能識(shí) 別大部分惡意軟件變種���。2)函數(shù)調(diào)用圖指紋自動(dòng)產(chǎn)生����,無(wú)需專業(yè)人員手動(dòng)分析提取���,函數(shù)調(diào) 用圖在較高層次描述軟件的結(jié)構(gòu)�����,粒度較粗��,有效縮減了圖的規(guī)模���。3)可用于惡意軟件的深 度識(shí)別,大規(guī)模軟件樣本的索引和查找����,惡意軟件變種的分析歸類。4)本發(fā)明提供的方法與 操作系統(tǒng)平臺(tái)無(wú)關(guān)��,可用于Windows�、Unix、Linux��、Android等平臺(tái)。
【附圖說(shuō)明】
[0023] 圖1是本發(fā)明基于函數(shù)調(diào)用圖指紋的惡意軟件檢測(cè)方法的檢測(cè)流程示意圖��。
[0024] 圖2是FCGiso圖判斷同構(gòu)的方法的程序代碼示意圖��。
[0025] 圖3是Backdoor. Win32. Sepro樣本的函數(shù)調(diào)用圖(以函數(shù)名標(biāo)識(shí)結(jié)點(diǎn))����。
[0026] 圖4是Backdoor. Win32. S印ro樣本的函數(shù)調(diào)用圖(以正整數(shù)命名結(jié)點(diǎn))。
[0027] 圖5是使用FCGiso圖同構(gòu)判斷方法對(duì)每個(gè)良性軟