基於任務的木馬關聯行為識別研究

近年來，木馬以其隱蔽、欺騙和可控性，隨著網路的普及得到快速地發展。基於特徵碼的檢測技術對大量的未識別木馬無能為力，而當前的行為識別技術僅是針對一維的行為點序列，誤報率很高。項目提出基於任務的木馬關聯行為識別研究：對計算機系統進行函式化描述，確定任務與程式行為間的一一對應關係，由監測到的行為點構建出關聯行為，依逆映射還原其任務，參照木馬的特徵任務，完成對任務的度量、判別。項目包括四個主要研究內容：研究、分析計算機系統對行為資源的管理，建立描述程式行為的數據結構，挖掘行為間的依賴關係，構建關聯行為；對計算機系統進行函式化描述研究，實現程式任務與行為的一一對應；收集、整理木馬的特徵任務、關聯行為，做為對木馬任務還原和識別的參照；研究、建立對關聯任務的度量、識別的理論。最後制訂基於任務的木馬關聯行為判別規則，建立原型系統。項目提出的關聯行為更接近程式實際行為，也為基於行為的識別找到依據。

近年來，木馬以其隱蔽性、欺騙性，隨著網路的普及得到快速發展，成為不法分子竊取信息的重要工具，而基於特徵碼的檢測技術對大量的未識別木馬卻無能為力。項目提出基於關聯任務的木馬識別方法。主要研究內容包括：A 計算機系統對行為資源的管理，建立描述行為資源的數據結構；B 收集有代表性的木馬，分析、總結其特殊任務及其對應的行為資源，尋找任務與程式行為的對應關係；C 制訂基於任務的木馬行為判別規則，還原其行為的任務，進而還原其初始任務完成木馬的判斷識別。 項目的研究達到了如下技術和理論成果：A 完成了關聯行為的理論描述---行為是由被執行的任務決定，研究任務與行為的對照關係，檢測好任務與計算機資源的調用關係，調用關係與這些被調用的資源形成一棵樹，本項目稱其為任務的行為資源樹T(N,R)，樹中的結點（N）表示完成任務時由作業系統調用的相對獨立的模組資源，比如一個程式、一個系統調用或動態連線庫中的API函式；樹中的邊（R）表示行為資源間的調用關係；B 認識、總結了木馬的典型技術---相對於普通用戶的任務，木馬具有其特殊的任務，它也必然具有其特殊的行為，表現為特殊的資源調用關係，形成其特殊的木馬行為樹。比如，強制的植入行為、進程的載入行為、強制的反清除行為、隱藏行為、盜取敏感信息的行為、隱蔽的通信行為和修改系統註冊表的行為等，研究木馬行為樹的共性特點，通過一個行為的“點”，帶出木馬行為的“面”（子樹），從而提高木馬、尤其是大量未知木馬的識別效率； C 基本弄清了作業系統對進程任務管理的細節和原理，依據用戶所提交的任務，監測系統中運行代碼對資源的調用情況，結合木馬任務的特殊性，完成對木馬的行為識別。 通過本項目研究至少在三個方面有了實質的進展：A 木馬的行為有其特殊性，更像是應用程式，行為的判別是基礎，這個需要對進程管理有很熟悉的掌握，為此我們收集研究了有200多個木馬；B 木馬的判別甚至包括惡意代碼的識別也被往前推進一步，要結合計算機用戶的利益需求來判定，這個需要一定的代碼的逆向技術，我們在三個方面作了行為的界定和關聯：註冊表操作+進程操作+通信行為。 將計算機系統對任務的執行產生的一系列的行為被視為函式對任務的影射，這為基於任務的行為識別找到了理論支撐，指出代碼行為與目的相一致，真正實現每行代碼對用戶的透明才是安全的保障，也是軟體開發者的責任。