恶意软件的行为与检测技术分析
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
要 或必 需 文 件 替 换 成 自己 , 而 系 统 运 行 时 就 因 会 启 动 这 类 恶 意 软 件 和 被 替 换 的 程 序 , 般 用 一
户很 难 发 现 。
表 2 维 持 远 程 控 制 权 类 恶 意 软件 对 1[ 2a .
( ) 署 , 用工具 3部 调 恶 意 软件部 署 、 用 工具 的行 为 主要 包 括 部 调
表 1 获取对 目标 系统的远程控制权类恶意软件对 比[ 1 ]
值、 修改特定 的键值 与更 改文件 的关联 程序 等 方法 在 固定 的位 置 来 修 改 注册 表 。一 般 每 种 文
件 都 有 各 自默认 的 打 开 程 序 , 打 开 方 式 都 注 且 册 在 注 册 表里 。一 旦 文 件 的关 联 程 序 被 恶 意 软 件所 更 改 , 么 用 户 每 次 打 开 这 个 文 件 时 就 会 那
提供非授权的远程访问控制通道 隐藏 自身的能力
目前 , 恶 意软 件 的分 类 常用 方法 主要 是 从 对 其攻击 目标 系统 过程 中所处 的不 同 阶段 来进 行划
卸载, 浏览器劫持 , 广告弹出, 恶意收集用户信息, 恶意卸 载 , 意捆 绑及其 他侵 害用 户软件 安装 、 恶 使 用 和卸 载知情 权 、 择 权 的 恶意 行 为这 八 种 主 要 选
行 为颇 为复 杂 , 随着恶 意软 件 的发 展 , 也涌 现 出了 许 多检 测方 法 。 本 文在 归纳 分 析 国 内外 相 关 文献 的基 础上 ,
恶 意软 件 , 指 在 未 明确 提 示 用户 或 未 经 用 是 户许可 的情 况下 , 用 户 计算 机 或 其 它终 端 上 安 在 装 运行 , 执行 一些 列攻击 者 属意安 排 的攻 击操 作 , 侵害用 户 的合法 权益 的程序 代码 和指令 集合 。恶
Jn 0 2 u .2 1
恶 意 软 件 的 行 为 与 检 测 技 术 分 析
奚 小 溪 , 孙 荣 会
( 安徽工业 经济职业技术学院 , 合肥 20 5 ) 30 1
摘
要: 随着互联 网蓬勃 发展 , 恶意 软件 也大肆传播且其复杂程度越 来越高 , 网络安全构成 了巨大威胁 , 给 使
同 时运 行 恶意 软件 。
( ) 件操作 2文 并 非所 有 的恶 意软 件 都 需要 修 改 注 册 表 , 有 些 Wid ws平 台 下 的 恶 意 软 件 则 是 通 过 修 改 no wi.n 和 sse ii n ii ytm.n 这类 系统 文 件来 启 动 自己
的 。这 类恶 意软 件 一 般采 用 更 改 系 统设 置 , 禁 如
意软件 主要 包括 木马 、 病毒 、 蠕虫 、 门 、 后 漏洞 利用 程序 、 间谍 软件 、 布 式拒 绝 服 务程 序 、 圾信 息 分 垃
发送 软件 和垃圾 广告 软件 等[ 。 1 ] 在现代 信息 网络 中, 恶意 软 件 的危 害及 其 严 重 , 用户 蒙 受 了 巨大 的损 失 。国 内外 众 多 学者 使 对恶 意软 件 的定 义 、 类 、 播 、 为 、 贝 方 面 分 传 行 检i等 0 开展 了一 系 列 的研 究 , 到 了许 多 有 益 的结 论 。 得 恶意 软件 的分类 可根 据不 同 的分类 原则 将其 划分 成不 同的类 型 。宋玉蓉 _ (09利 用复 杂 网络理 4 2 0) j
pe i fmawa ei e t g hg e n i h r I o e r a ik t ewo k s c rt lxt o l r sg ti ih ra d hg e . tp s s a g e trs o n t r e u i y n y,a d la s n e d t eu e o s fe u e ls e . Ba e n t e s mma ii g o h u l h d 1 e a u e t e ca sf a h s rt u fr h g o s s s d o h u rzn ft e p b i e i r t r , h ls ii — s t c t n,b h vo n ee to e h oo y o l r r ic s e ,t e f t r e eo me tte d f i o e a ira d d t cin tc n lg fmawa e a ed s u s d h u u ed v lp n r n s o
自启 动 的 目的 ; 的 恶 意 软 件 将 自己 添 加 到 系 有 统根 目录 下 的 AUTOE ( B XE 、 AT和 wi o . n ws目 d 录下 的批 处 百度文库 WiSatb t 件 中来 达 到 开 机 n tr a 文 .
时默认加载 的 目的; 的恶意 软件将 系统 的重 有
Be a i r a d d t c i n t c o o y o a wa e h v o n e e to e hn l g fm l r
XIXio x , S N n — u a- i U Ro g h i
( h c nc 1 le eo n usr n o o An ui Te h ia lg fI d tya d Ec n my,Hee 3 0 , n ) Co fi 0 51 Chia 2
第2 O卷 第 3期
21 0 2年 6月
安 徽 建 筑 工 业 学 院 学报 ( 然科学版) 自
J u n l fAn u n t u eo c i cu e& I d sr o r a h i si t fArht t r o I t e n u ty
Vo . 0 No 3 12 .
用注 册 表 、 用 任 务 管理 器 、 用文 件 夹选 项 、 禁 禁 禁 用系统 或 隐藏文 件 的显示 开 关 等 , 增 加被 发 现 来 的难 度 , 须通 过文件 监视 来发现 。 必 不 同 的恶意 软 件 用 以达 到 开 机 启 动 的 目的 的方 式 是不 一 样 的 。有 的恶 意 软 件 通 过 将 自 己 添加 到 开 始菜 单 的“ 动 ”艾件 夹 中来 达 到 开 机 启 :
2 恶 意软件 的分类
恶 意软件 的种 类 繁多 , 依据 其 功能 、 运行 方 式 等可以有不 同 的分类 方法 。卡 巴斯基 实 验 室将 恶
第 3期
奚 小溪 , : 等 恶意软件 的行 为与检 测技 术分析
5 3
意软件 分 为 各 种 不 能 进 行 自我 复 制 的 木 马 程 序 (rj r)能够进 行 自我 复制 的恶 意 程 序 ( r To Wae 、 Vi — Wae和被 恶 意用 户 主 动利 用 建立 的恶 意 程 序 和 r) 组织 的攻 击 ( 他 Ma r) 大 类c 。宋 玉 蓉| 其 l e三 wa 3 ] _ 4 ] (09依据 恶意 软件 是否 依赖 主 机程 序将 其 分 为 20 ) 依赖主机 的恶 意程 序 和独立 于 主机 的恶 意程 序 两 大类 。
恶 意行 为 中的一 种或几 种形 式 。恶意软 件普遍 有 修 改注 册表 、 部署 和调用 工具 , 以及 试 图连接 网络 等行为 特征 , 其典 型行 为 主要 表 现 为 如 下八 个 主
要 方 面 。 ,
() 1注册 表操 作
为 了达 到 随 系 统 启 动 而 自动 运 行 的 目 的 ,
m awa e a e s m ma ie . l r r u rz d Ke r s m awa e l s i c t n y wo d : l r ;ca sf a i  ̄b h v o ;d t c i n i o e a ir e e t o
1 引
言
论, 对复 杂 网络上 恶 意 软 件 的传 播 问题 进 行 了深 入研 究 。徐达 威 [ ( 0 0 对恶 意软 件 的典型 行 为 5 2 1) ] 进 行 了颇为 系统 的归纳 。在 恶意 软件 的检测 研究 方 面 , 往 围绕软 件 的具 体行 为展 开 , 往 获得 了一些 有 价值 的检 测模 型 和方 法 [ ] 6 。恶 意 软 件 的 传播
用户蒙受了巨大的损 失。本文在总结 国内外相关文献 的基 础上 , 入探讨 了恶 意软件 的分类 、 深 行为及其 检测
技术 , 并对恶意软件 的发展趋势进行 了归纳 , 可为恶意软件及其检测技术研究提供一定 的参考作用 。
关键词 : 恶意软件 ;分类 ; 行为 ; 检测
中 图分 类 号 : 3 3 TP 9 文献标识码 : A 文 章 编 号 :0 64 4 (0 2 0-5 -4 10 -5 0 2 1 )30 20
收 稿 日期 :0 20 —8 2 1 —51 基金项 目: 安徽省高等学校省级质量工程资助项 目(0 0 54 。 2 1 15 ) 作者简介 : 奚小溪( 9 O , , 1 8 一)女 主要研究方 向为计算机软件 。
着 重探 讨 了恶意 软件 的分类 、 为及其 检测 技术 , 行 并 对恶 意软 件 的发 展 趋 势进 行 了归 纳 , 为 克 服 可 恶意软 件 的入侵 问题研 究 提供一 定 的参考作 用 。
分 的 。恶 意软件 入侵 目标 系统并 达到特 定 目的的 完整 过程 主要包 含三个 阶段 : 获取 对 目标 系统 ① 的远程 控制 权 ( 击准 备 )② 维持 对 目标 系 统 的 攻 、
大多 数 恶 意 软 件 都 会 采 用 在 特 定 位 置 增 加 键
远程控制权( 攻击保持) 和③ 通过远程控制在 目 标 系统上完 成特 定业务 逻辑 ( 攻击 既遂 ) 。依 据这 种分类 方 法 , 将 恶 意软 件 分 为 以下 三 种 主要 类 可 型 : 1 获取 对 目标 系统 的远 程控 制 权 类 , ] () 主要 包括 : x li( 洞 利 用 程 序 ) Wom ( 虫 ) E pot 漏 、 r 蠕 、 Trjn re 特 洛 伊 木 马 , 称 为 T oa , oa Hos ( 简 rjn 木 马 )Vi s病毒 ) B t , 类 恶意 软件 的性能 、 r ( u 和 o等 这 对 比如表 1 所示 ;2 维 持远 程 控 制 权类 , () 主要 包 括 : ak o r后 门) R okt第 二 类 恶 意 软 件 B cdo ( 和 o ti, 的对 比分 析 如 表 2所 示 ;3 完 成 特 定 业 务 逻 辑 () 类 , 要 包括 : pw r( 谍 软 件) Sa 主 S y ae 间 、 pmwae r ( 垃圾 信 息 发 送 软件 )) wae垃 圾 广 告 软 件 ) 、Ad r( 等其 他恶 意软件 。 从 这三类不 同类 型 的恶意 软件 间 的关 系和运 行机制来看 , 两类恶意软件是第 三类恶 意软件 发 前 挥作用的前提 , 它们为第三类恶意软件提供并维持 对 目标 系统 的未授权远程控 制权 , 而入侵 最终要 实 现 的功 能则 由第三类恶意软 件来 完成_ ] 1 。 舟
Ab t a t M awa e i wi e y d s e n t d wi h a i e eo m e t o o e n I t r e . Th o — sr c : l r s d l i s mi a e t t e r p d d v l p n fm d r n e n t h ecm
户很 难 发 现 。
表 2 维 持 远 程 控 制 权 类 恶 意 软件 对 1[ 2a .
( ) 署 , 用工具 3部 调 恶 意 软件部 署 、 用 工具 的行 为 主要 包 括 部 调
表 1 获取对 目标 系统的远程控制权类恶意软件对 比[ 1 ]
值、 修改特定 的键值 与更 改文件 的关联 程序 等 方法 在 固定 的位 置 来 修 改 注册 表 。一 般 每 种 文
件 都 有 各 自默认 的 打 开 程 序 , 打 开 方 式 都 注 且 册 在 注 册 表里 。一 旦 文 件 的关 联 程 序 被 恶 意 软 件所 更 改 , 么 用 户 每 次 打 开 这 个 文 件 时 就 会 那
提供非授权的远程访问控制通道 隐藏 自身的能力
目前 , 恶 意软 件 的分 类 常用 方法 主要 是 从 对 其攻击 目标 系统 过程 中所处 的不 同 阶段 来进 行划
卸载, 浏览器劫持 , 广告弹出, 恶意收集用户信息, 恶意卸 载 , 意捆 绑及其 他侵 害用 户软件 安装 、 恶 使 用 和卸 载知情 权 、 择 权 的 恶意 行 为这 八 种 主 要 选
行 为颇 为复 杂 , 随着恶 意软 件 的发 展 , 也涌 现 出了 许 多检 测方 法 。 本 文在 归纳 分 析 国 内外 相 关 文献 的基 础上 ,
恶 意软 件 , 指 在 未 明确 提 示 用户 或 未 经 用 是 户许可 的情 况下 , 用 户 计算 机 或 其 它终 端 上 安 在 装 运行 , 执行 一些 列攻击 者 属意安 排 的攻 击操 作 , 侵害用 户 的合法 权益 的程序 代码 和指令 集合 。恶
Jn 0 2 u .2 1
恶 意 软 件 的 行 为 与 检 测 技 术 分 析
奚 小 溪 , 孙 荣 会
( 安徽工业 经济职业技术学院 , 合肥 20 5 ) 30 1
摘
要: 随着互联 网蓬勃 发展 , 恶意 软件 也大肆传播且其复杂程度越 来越高 , 网络安全构成 了巨大威胁 , 给 使
同 时运 行 恶意 软件 。
( ) 件操作 2文 并 非所 有 的恶 意软 件 都 需要 修 改 注 册 表 , 有 些 Wid ws平 台 下 的 恶 意 软 件 则 是 通 过 修 改 no wi.n 和 sse ii n ii ytm.n 这类 系统 文 件来 启 动 自己
的 。这 类恶 意软 件 一 般采 用 更 改 系 统设 置 , 禁 如
意软件 主要 包括 木马 、 病毒 、 蠕虫 、 门 、 后 漏洞 利用 程序 、 间谍 软件 、 布 式拒 绝 服 务程 序 、 圾信 息 分 垃
发送 软件 和垃圾 广告 软件 等[ 。 1 ] 在现代 信息 网络 中, 恶意 软 件 的危 害及 其 严 重 , 用户 蒙 受 了 巨大 的损 失 。国 内外 众 多 学者 使 对恶 意软 件 的定 义 、 类 、 播 、 为 、 贝 方 面 分 传 行 检i等 0 开展 了一 系 列 的研 究 , 到 了许 多 有 益 的结 论 。 得 恶意 软件 的分类 可根 据不 同 的分类 原则 将其 划分 成不 同的类 型 。宋玉蓉 _ (09利 用复 杂 网络理 4 2 0) j
pe i fmawa ei e t g hg e n i h r I o e r a ik t ewo k s c rt lxt o l r sg ti ih ra d hg e . tp s s a g e trs o n t r e u i y n y,a d la s n e d t eu e o s fe u e ls e . Ba e n t e s mma ii g o h u l h d 1 e a u e t e ca sf a h s rt u fr h g o s s s d o h u rzn ft e p b i e i r t r , h ls ii — s t c t n,b h vo n ee to e h oo y o l r r ic s e ,t e f t r e eo me tte d f i o e a ira d d t cin tc n lg fmawa e a ed s u s d h u u ed v lp n r n s o
自启 动 的 目的 ; 的 恶 意 软 件 将 自己 添 加 到 系 有 统根 目录 下 的 AUTOE ( B XE 、 AT和 wi o . n ws目 d 录下 的批 处 百度文库 WiSatb t 件 中来 达 到 开 机 n tr a 文 .
时默认加载 的 目的; 的恶意 软件将 系统 的重 有
Be a i r a d d t c i n t c o o y o a wa e h v o n e e to e hn l g fm l r
XIXio x , S N n — u a- i U Ro g h i
( h c nc 1 le eo n usr n o o An ui Te h ia lg fI d tya d Ec n my,Hee 3 0 , n ) Co fi 0 51 Chia 2
第2 O卷 第 3期
21 0 2年 6月
安 徽 建 筑 工 业 学 院 学报 ( 然科学版) 自
J u n l fAn u n t u eo c i cu e& I d sr o r a h i si t fArht t r o I t e n u ty
Vo . 0 No 3 12 .
用注 册 表 、 用 任 务 管理 器 、 用文 件 夹选 项 、 禁 禁 禁 用系统 或 隐藏文 件 的显示 开 关 等 , 增 加被 发 现 来 的难 度 , 须通 过文件 监视 来发现 。 必 不 同 的恶意 软 件 用 以达 到 开 机 启 动 的 目的 的方 式 是不 一 样 的 。有 的恶 意 软 件 通 过 将 自 己 添加 到 开 始菜 单 的“ 动 ”艾件 夹 中来 达 到 开 机 启 :
2 恶 意软件 的分类
恶 意软件 的种 类 繁多 , 依据 其 功能 、 运行 方 式 等可以有不 同 的分类 方法 。卡 巴斯基 实 验 室将 恶
第 3期
奚 小溪 , : 等 恶意软件 的行 为与检 测技 术分析
5 3
意软件 分 为 各 种 不 能 进 行 自我 复 制 的 木 马 程 序 (rj r)能够进 行 自我 复制 的恶 意 程 序 ( r To Wae 、 Vi — Wae和被 恶 意用 户 主 动利 用 建立 的恶 意 程 序 和 r) 组织 的攻 击 ( 他 Ma r) 大 类c 。宋 玉 蓉| 其 l e三 wa 3 ] _ 4 ] (09依据 恶意 软件 是否 依赖 主 机程 序将 其 分 为 20 ) 依赖主机 的恶 意程 序 和独立 于 主机 的恶 意程 序 两 大类 。
恶 意行 为 中的一 种或几 种形 式 。恶意软 件普遍 有 修 改注 册表 、 部署 和调用 工具 , 以及 试 图连接 网络 等行为 特征 , 其典 型行 为 主要 表 现 为 如 下八 个 主
要 方 面 。 ,
() 1注册 表操 作
为 了达 到 随 系 统 启 动 而 自动 运 行 的 目 的 ,
m awa e a e s m ma ie . l r r u rz d Ke r s m awa e l s i c t n y wo d : l r ;ca sf a i  ̄b h v o ;d t c i n i o e a ir e e t o
1 引
言
论, 对复 杂 网络上 恶 意 软 件 的传 播 问题 进 行 了深 入研 究 。徐达 威 [ ( 0 0 对恶 意软 件 的典型 行 为 5 2 1) ] 进 行 了颇为 系统 的归纳 。在 恶意 软件 的检测 研究 方 面 , 往 围绕软 件 的具 体行 为展 开 , 往 获得 了一些 有 价值 的检 测模 型 和方 法 [ ] 6 。恶 意 软 件 的 传播
用户蒙受了巨大的损 失。本文在总结 国内外相关文献 的基 础上 , 入探讨 了恶 意软件 的分类 、 深 行为及其 检测
技术 , 并对恶意软件 的发展趋势进行 了归纳 , 可为恶意软件及其检测技术研究提供一定 的参考作用 。
关键词 : 恶意软件 ;分类 ; 行为 ; 检测
中 图分 类 号 : 3 3 TP 9 文献标识码 : A 文 章 编 号 :0 64 4 (0 2 0-5 -4 10 -5 0 2 1 )30 20
收 稿 日期 :0 20 —8 2 1 —51 基金项 目: 安徽省高等学校省级质量工程资助项 目(0 0 54 。 2 1 15 ) 作者简介 : 奚小溪( 9 O , , 1 8 一)女 主要研究方 向为计算机软件 。
着 重探 讨 了恶意 软件 的分类 、 为及其 检测 技术 , 行 并 对恶 意软 件 的发 展 趋 势进 行 了归 纳 , 为 克 服 可 恶意软 件 的入侵 问题研 究 提供一 定 的参考作 用 。
分 的 。恶 意软件 入侵 目标 系统并 达到特 定 目的的 完整 过程 主要包 含三个 阶段 : 获取 对 目标 系统 ① 的远程 控制 权 ( 击准 备 )② 维持 对 目标 系 统 的 攻 、
大多 数 恶 意 软 件 都 会 采 用 在 特 定 位 置 增 加 键
远程控制权( 攻击保持) 和③ 通过远程控制在 目 标 系统上完 成特 定业务 逻辑 ( 攻击 既遂 ) 。依 据这 种分类 方 法 , 将 恶 意软 件 分 为 以下 三 种 主要 类 可 型 : 1 获取 对 目标 系统 的远 程控 制 权 类 , ] () 主要 包括 : x li( 洞 利 用 程 序 ) Wom ( 虫 ) E pot 漏 、 r 蠕 、 Trjn re 特 洛 伊 木 马 , 称 为 T oa , oa Hos ( 简 rjn 木 马 )Vi s病毒 ) B t , 类 恶意 软件 的性能 、 r ( u 和 o等 这 对 比如表 1 所示 ;2 维 持远 程 控 制 权类 , () 主要 包 括 : ak o r后 门) R okt第 二 类 恶 意 软 件 B cdo ( 和 o ti, 的对 比分 析 如 表 2所 示 ;3 完 成 特 定 业 务 逻 辑 () 类 , 要 包括 : pw r( 谍 软 件) Sa 主 S y ae 间 、 pmwae r ( 垃圾 信 息 发 送 软件 )) wae垃 圾 广 告 软 件 ) 、Ad r( 等其 他恶 意软件 。 从 这三类不 同类 型 的恶意 软件 间 的关 系和运 行机制来看 , 两类恶意软件是第 三类恶 意软件 发 前 挥作用的前提 , 它们为第三类恶意软件提供并维持 对 目标 系统 的未授权远程控 制权 , 而入侵 最终要 实 现 的功 能则 由第三类恶意软 件来 完成_ ] 1 。 舟
Ab t a t M awa e i wi e y d s e n t d wi h a i e eo m e t o o e n I t r e . Th o — sr c : l r s d l i s mi a e t t e r p d d v l p n fm d r n e n t h ecm