非包还原恶意代码检测的特征提取方法

　　【摘要】恶意代码在网络中传播时不会表现出恶意行为，难以通过基于行为的检测方法检测出。采用基于特征的方法可以将其检测出，但需要进行网络包还原，这在大流量时对网络数据包进行还原不仅存在时空开销问题，且传统的特征提取方法提取的特征往往过长，容易被分割到多个网络数据包中，导致检测失效。本文提出非包还原恶意代码特征提取，采用自动化与人工分析相结合、基于片段的特征码提取，以及基于覆盖范围的特征码筛选等方法，实验结果表明，对恶意软件片段具有一定识别能力。
　　【关键词】特征码提取；非包还原方法；恶意代码检测
　　1引言
　　网络的普及为恶意代码传播带来了巨大的方便。通过网络，恶意代码容易实现大规模的传播，给网络安全带来巨大威胁。如果能通过对网络传输包的分析，检测出恶意代码的传播，对预警恶意代码的大规模爆发具有重要意义。
　　目前流行的恶意代码检测方法，主要有基于行为的和基于特征码的恶意代码检测方法，以及混合型的检测方法。传统的反病毒软件，大多基于特征码，其主要思路是，通过静态扫描文件内容，将文件内容和特征库中的特征进行匹配。因此，特征码的提取是这种检测方法的技术核心，一般通过对恶意代码进行逆向分析，提取具有恶意代码特征代码段的方法获得。特征码检测方法的优点是，对特征库中存在的恶意代码具有非常高的检测成功率，能精确地检测出恶意代码的类型甚至是恶意代码的具体名称，能在恶意代码首次进入计算机的时候而不是恶意代码运行以后进行检测。其缺点也很明显，需要频繁更新特征库，不能检测未知和变形的恶意代码，对于恶意代码的每一种变形，都需要在特征库中加入相应的特征，才能检测对应的恶意代码，导致特征库过于庞大。另一类基于行为的恶意代码检测方法，是在程序代码运行期间，监视其行为，当程序的行为触发预定义规则的时候，发出警报并挂起恶意行为。这种检测方法的优点是能检测未知和变形的恶意代码，不需要频繁的检测规则库更新，但是它的误报率和漏报率相对特征码检测方法要高，且必须恶意代码运行在系统中以后才能检测。由于基于特征码检测方法在检测效率和准确率等方面的优势，相对于基于行为的检测方法得到了更广泛的应用。
　　由于恶意代码在网络中传播的时候，与正常网络通信行为无任何差异，并不会表现出任何恶意行为，所以基于行为分析的检测方法不能用于检测在网络上正在传播中的恶意代码。特征码检测方法可以用于检测通过网络传播中的恶意代码，但是在大流量网络中对网络数据包进行还原，存在时间和空间开销问题，而且传统的特征提取方法提取的特征往往过长，在网络传输中，这些特征很容易被分割到多个网络数据包中，导致检测失效。另外，现在的恶意代码的种类层出不穷，数量越来越多，导致特征库也越来越庞大，特别是在对网络数据包检测时，匹配特征库花费的时间过长，要么会影响网络的吞吐量，要么会导致丢包率过高，漏报率提升。
　　本文提出非包还原恶意代码检测的特征码提取方法（Non-Packets-ReducingBasedMalwareSignatureExtractionMethod，以下简称NPR恶意代码特征提取方法），采用了自动化与人工相结合的恶意代码分类方法、基于片段的恶意代码特征提取，以及基于覆盖范围的特征码筛选技术，在一定程度上解决了上述问题，实验结果表明，效果较好。
　　2NPR恶意代码特征码提取方法
　　NPR恶意代码特征提取方法，其基本思想是对恶意代码样本库中的恶意代码进行分类，然后对每一类恶意代码提取若干能表征此类恶意代码的特征码，最后对提取到的特征码进行筛选，选择满足条件的特征码来构建特征库，如图1所示。这种方法的优点是，能显著减小特征库的规模，明显减少匹配特征库的时间花费，同时有效降低特征码因为文件被分割被截断的概率，降低漏报率。
　　2.1自动化与人工相结合的分类
　　对恶意代码样本按相似性进行分类，这是NPR特征码提取方法的第一步，也是关键步骤，只有对恶意代码进行准确的分类，后面才能提取得到同一类恶意代码的共同特征。
　　对于恶意软件的相似性，即分类准则，我们采用（加载方式、自身的隐藏、对硬件和系统注入、复制与传播、危害系统功能）五个方面进行表征，对于不存在某一或某些方面功能的情况，该项可以空缺。
　　具体实施的时候，如果采用人工方式进行分类，可以准确掌握恶意软件的功能和技术特点，实现对恶意软件的精确分类。但是由于恶意代码的数量巨大，这样做工作量巨大，需要大批训练有素的工程人员，成本较高。也可以采用开发自动分类系统，进行自动化分类，但是由于自动分类缺乏对代码语义的解析，可导致分类不够精确。我们采用机器辅助人工分类的方法。为了提高分类的效率，借助了开源虚拟机进行开发。自动分类系统先对开源的虚拟机进行裁剪，去掉不必要的功能，以提高虚拟机的运行效率，然后在虚拟机中安装相应的操作系统，将内核模式的监控程序加载到操作系统内核，以监控恶意软件加载和运行过程的特征，最后让恶意软件在虚拟机中运行起来，把具有相似特征的恶意软件归为疑似同一类恶意软件。采用这种方法实现对恶意软件进行自动分类的技术优势是分类速度很快，同时通过监控虚拟机可以获得程序执行时底层的信息，准确性相对较高。最后分析人员对自动分类系统的结论进行核实，实现恶意软件的准确分类。