浅谈恶意代码分析技术发展趋势

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

浅谈恶意代码分析技术发展趋势

摘要:本文对恶意代码分析技术的发展历史以及当前的主流分析技术进行了简要的总结,并阐述了如何应对目前开始出现的APT等深度攻击,对未来的恶意代码分析技术的发展方向做出简单介绍。

关键词:恶意代码归一化自动化判定APT

1 反恶意代码研究背景

1.1 恶意代码(Malicious code)

本文中,恶意代码泛指任何带有不良意图的计算机指令、程序代码、脚本文件等等,包括病毒、木马。随着互联网技术的飞速发展以及信息交换能力的增强,网络传播已经成为恶意代码入侵的主要形式,基于网络的恶意代码检测应当作为我们防范恶意代码的重点研究方向。

1.2 反恶意代码研究背景

背景一,恶意代码规模飞速膨胀,根据安天实验室的统计,2000年时,各类病毒累计总数约2万多种,到2006年,增加到大约13万种,到2012年,这一数字已达到800万种。

背景二,归一化模型的形成与进化,反恶意代码的核心方法论是归一化模型。所谓归一化,是把大量的、异构的事件转换成可以形式

化的同构规则,从整个反恶意代码基础维护体制,转化为对基本归一化模型的维护、对精确特征的维护和对未知检测模型的维护。

背景三,复杂度变化,恶意代码的感染方式从附着在正常程序上的感染式片段变成独立文件,不再受代码整体空间的束缚,功能局限性减少,病毒攻击演变为更复杂的大规模深度恶意攻击,相应的整个处理体系也必须要升级,这一需求带动了整个反恶意代码体系的发展。

2 恶意代码分析技术发展历史

2.1 1988-1995手工作业阶段

1986年第一个IBM PC架构的恶意代码巴基斯坦智能诞生,早期病毒简单,数量很少,通过将不同病毒的查杀模块简单串接在一起即可清除,反病毒程序不存在病毒库的概念,更不需要后台体系处理。

随着病毒数量的增多,早期现代反病毒引擎开始出现,这一时期的反病毒引擎具备以下特点:第一,基于检测方法的形式化,把恶意代码概括成一些不同的归一化模型,通过同一种形式规则进行检查;第二,实现了以格式识别为核心的整个前导逻辑处理。

这一阶段的恶意代码分析技术主要完成了最基本的方法奠基问题,制定了反病毒归一化的基础模型,为后续的发展奠定了基础。

2.2 1995-2002客户机/服务器管理与规则自动化提取阶段

随着计算机技术的进步和局域网技术的逐渐成熟,恶意代码的数量和质量相比之前都有了很大的发展,分析技术也逐渐转化为对恶意代码程序中的特征码规则的提取和分析。在新的反病毒引擎中,需要增加更多的库用于进行形式化识别工作,还有相应的对象提取模块,以及依托这些库工作的大量的格式模块。其中,特征自动化的病毒库加对象检测可以算是现代反病毒引擎的组成部分。

特征自动化提取是针对所有对象完成的;特征不一定要提取到恶意行为,只要规则能对此类恶意代码唯一标示,且不与其他恶意代码发生错报,更不能与已知白名单发生碰撞以产生误报,即可认为是该恶意代码的特征。

这一阶段,以样本管理和规则流转为核心的特征自动化提取技术逐渐发展成熟,C/S模式的分析方式则解决了恶意代码分析工作中的角色问题。

2.3 2000-2005人工任务流水线阶段

这一时期,计算机操作系统日益复杂,网络感染成为恶意代码的主要攻击模式,这种广泛传染的模式,导致恶意代码辨识压力的剧增,如何快速、准确的挑选病毒成为一个重要的研究工作。为了解决这一难题,由程序员手工区分病毒的流水线技术开始引入恶意代码分析工作。

早期顺序流水线和改进的并行流水线,都是根据安全工作人员的技术特长,分配相应的工作,彼此衔接。这两种模式中,任何一个环节出现停顿都会导致整个分析工作发生中断,局部瓶颈问题难以解决。

随后产生的环形流水线较好的解决了这个问题,在环形流水线上,样本作为流转于整个流水线的加工实体,所有自动化部分是自动化工序,对样本属性标识的提取工作,视为流水线的工作内容。由于规则自动化完成,挑选病毒成为恶意代码分析的主要工作。

3 当前反恶意代码分析技术特点

从2005年开始,网络应用呈现出大发展的趋势,云计算、虚拟化技术开始广泛应用,恶意代码和正常应用程序的数量都以几何级数增长。面对这样的挑战,以人工主导的恶意代码分析思路再也无法适应新时代的恶意代码环境。

当前恶意代码分析需要解决的问题包括对整个恶意代码事件的描述和追溯;恶意代码本身的属性特点;如何处理该恶意代码。为解决这一难题,反恶意代码分析领域引入了基于自动流水线工序的自动化判定技术。自动流水线工序将整个处理过程视为流水线;将样本的全部属性定义为一个“属性域”,流水线的处理过程就是属性域的不断填充过程;为每个样本创建一个存放全部属性的XML文件并伴生样本流转。

得益于计算资源成本降低,虚拟化技术愈加成熟,样本自动化分析可以通过对基于整个虚拟环境中建立的driver和hook数据抓取和外部网卡提取的网络特征,形成对恶意代码的判断,同时虚拟执行也为脱壳技术提供支持,该环节是目前主流安全厂商的后台分析判定的核心特性。在此基础上,辅以少量人工分析完成全部分析工作,修正之前的误判。

自动化判定技术的广泛应用解决了海量恶意代码的分析难题,有力的遏制了恶意代码的危害。

4 未来技术趋势展望

2010年,包括震网病毒、Google极光攻击在内的一系列APT攻击事件爆发,这些攻击综合应用了社会工程学和计算机技术,攻击质量高、深度广。由于更强的代码隐藏能力和反分析能力,更复杂的攻击路径,国与国之间的信息阻断,如何发现及分析恶意代码的攻击目标和攻击动机变得更加困难。面对这样的安全环境,大场景深度分析势必会成为未来主流的恶意代码分析技术趋势。

所谓的大场景深度分析,包括深度代码分析,即对代码异常的相关性进行分析;深度事件分析,对异常事件的流程、关联角度的分析;深度综合数据分析,由于新型网络攻击已经不再局限于信息领域,我们有必要对不同领域、不同专业的数据进行相关分析,尽最大可能,对类似的

相关文档
最新文档