（计算机应用技术专业论文）基于代码行为检测的网络病毒防范机理的研究.pdf

摘要 基于代码行为检测的网络病毒防范机理的研究 摘要 i n t e r n e t 的发展改变了人们的生活方式，但是网络给人们带来巨大 便利的同时也带来了各种各样的安全威胁，网络病毒是其中最主要的部 分。随着互联网的发展，网络病毒传播的速度越来越快，给人们带来的危 害也越来越大，因此，网络病毒防范问题成为计算机安全研究的热点。 当前的计算机病毒检测技术主要是基于特征代码检测法，这种检测方 法只能用于检测已知病毒，对于新出现的病毒的检测无能为力。为了解决 这一问题，本文采用代码行为作为特征向量，用数据挖掘的方法实现对网 络病毒的检测。提出了一种改进贝叶斯的分类算法，达到检测未知病毒的 目的。 在上述检测方法的基础上，本文设计了基于代码行为检测的网络病毒 防范系统，对该系统中的未知病毒检测子系统加以实现。通过对未知病毒 检测系统的功能进行实验，结果证明该系统的设计和实现方案是可行的。 关键字：网络病毒，病毒检测，改进贝叶斯算法，代码行为，特征向量 北京化- t 大学硕：仁学位论文 r e s e a r c ho nc o d eb e h a v i o r b a s e da n t i v i r u sm e c h a n i s m a b s t r a c t p e o p l e sl i f eh a sb e e nc h a n g i n gb y t h ep r o g r e s so fi n t e m e t b u tn o to n l y n e t w o r k sb r i n gu sg r e a tc o n v e n i e n c eb u ta l s ob r i n gu sm a n yk i n d so fs e c u r i t y t h r e a t ，i nw h i c hi n t e r n e tv i r u si st h em o s ti m p o r t a n tp a r t w i t ht h ee x p a n d i n g o fi n t e r n e t ，t h e s p r e a d o fi n t e m e tv i r u sh a sb e c o m em o r ea n dm o r e q u i c k l y ，a n dd a m a g et ot h ep e o p l eb e c o m el a r g e ra n dl a r g e r , s o ，h o wt od e f e n d i n t e r n e tv i r u sb e c o m eah o t s p o to nt h ec o m p u t e rs e c u r i t yr e s e a r c h c u r r e n t l y , m o s t a n t i v i r u s t e c h n o l o g i e s a r ef e a t u r e - b a s e d t h i s f r a m e w o r ki so n l ye f f e c t i v et ok n o w nv i r u s ，w h i l ei ti su s e l e s sf o ru n k n o w n o n e s t os o l v et h ep r o b l e m ，t h i sp a p e ru s ed a t am i n i n gm e t h o dt od e t e c t i n t e r n e tv i r u s ，u s i n gt h ec o d eb e h a v i o ra se i g e n v e c t o r w ep u tf o r w a r da n i m p r o v e db a y e sa l g o r i t h mf o ru n k n o w nv i r u sd e t e c t i o n b a s e do nt h ed e t e c t i n gm e t h o d ，t h i sp a p e rd e s i g n e dab e h a v i o r - b a s e d a n t i v i r u ss y s t e m ，a n dc a r r yo u tt h es u b s y s t e mf o ru n k n o w nv i r u sd e t e c t i o n t h et e s t i n gr e s u l to ft h es y s t e ms h o w st h a tt h ed e s i g na n ds c h e m ea r ef e a s i b l e k e yw o r d s ：i n t e m e tv i r u s ，v i r u sd e t e c t i o n ，i m p r o v e d b a y e sa l g o r i t h m ， c o d eb e h a v i o r , e i g e n v e c t o r 北京化工大学硕士学位论文 c e r t i r c i 冲c d d o s 符号说明 c o m p u t e re m e r g e n c yr e s p o n s et e a m ，计算机应急响应小组。 i n t e m e tr e l a yc h a t ，i n t e r n e t 在线聊天系统。 r e m o t ep r o c e d u r ec a l l s ，远程过程调用。 d i s t r i b u t e dd e n i a lo fs e r v i c e ，分布式拒绝服务攻击。 v i i i 北京化工大学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立 进行研究工作所取得的成果。除文中已经注明引用的内容外，本论文不含 任何其他个人或集体已经发表或撰写过的作品成果。对本文的研究做出重 要贡献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声 明的法律结果由本人承担。 作者签名：筵1趁e t 期：作者签名：咝1丝期： 关于论文使用授权的说明 学位论文作者完全了解北京化工大学有关保留和使用学位论文的规 定，即：研究生在校攻读学位期间论文工作的知识产权单位属北京化工大 学。学校有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允 许学位论文被查阅和借阅；学校可以公布学位论文的全部或部分内容，可 以允许采用影印、缩印或其它复制手段保存、汇编学位论文。 保密论文注释：本学位论文属于保密范围，在上年解密后适用本授 权书。非保密论文注释：本学位论文不属于保密范围，适用本授权书。 作者签名： 导师签名： 日期： 日期： 第一章绪论 1 1 课题研究的背景 第一章绪论 自2 0 世纪4 0 年代第一台电子计算机诞生以来，到当前信息时代个人计算机和因 特网日益广泛的应用，计算机在推动社会进步、人类文明建设中起着举足轻重的作用。 然而，人们在享受计算机带来的各种优越性的同时，也在经受着各种恶意代码( 计算 机病毒、网络蠕虫、木马) 的困扰和侵害。 随着计算机技术的发展，计算机病毒也在不断向前发展。从基于d o s 系统的计算 机病毒，发展到可以在w i n d o w 、u n i x 等操作系统中传播的各种计算机病毒。2 0 世纪 9 0 年代以来，计算机网络技术得到了飞速发展，信息的处理和传递突破了时间和地域 的限制，网络化与全球化成为不可抗拒的世界潮流，互联网已进入社会生活的各个领 域和环节，并愈来愈成为人类物质社会最重要的组成部分。随着计算机的网络化和全 球化，人们日常生活中的许多活动将逐步转移到网络上来。主要原因是由于网络交易 的实时性、方便性、快捷性及低成本性。企业可以通过网络进行信息发布、广告、营 销、娱乐和客户支持等，同时还可以直接与商业伙伴进行合同签订和商品交易。用户 通过网络可以获得各种信息资源和服务，如购物、娱乐、求职、教育、医疗、投资等。 虽然信息技术的使用给人们生活、工作的方方面面带来了数不尽的便捷和好处， 但是随着互联网的广泛应用，计算机病毒问题越来越受到人们的关注，并且呈现不断 增长趋势。随着互联网的流行，计算机病毒借助网络爆发流行，极大地加快了病毒的 传播速度，加重了它的破坏强度。从1 9 8 8 年c e r t 由于m o r r i s 蠕虫事件成立以来，统计 到的i n t e r n e t 安全威胁事件每年以指数增长。近年来增长态势变得尤为迅猛。据2 0 0 6 年金山毒霸全球病毒疫情监测系统的数据，2 0 0 6 年，金山毒霸共截获新增病毒样本总 计2 4 0 1 5 6 种，2 0 0 6 年电脑病毒的感染率呈爆炸式增长( 如图1 1 ) 。 北京化t 大学硬十学韫出盘 图卜i2 0 0 3 0 0 0 b 年新增病毒数量对比图 f i g 1 - l a n n t o f n e w l y i n c r e a s e d “n h n a m b e v 这些网络安全威胁事件给世界各国带来了巨大的经济损失。1 9 8 8 年1 1 月2 日， 由c o r n e l l 大学学生r o b e r ttm o r r i s 编写的名为m o r r i s 的网络蠕虫”1 爆发，该网 络蠕虫是世界上第一个大规模爆发的网络蠕虫。几天之内6 0 0 0 台以上的i n t e r n e t 服 务器被感染而瘫痪，损失超过了一千万美元，同时电直接导致c e r t 的成立。2 0 0 1 年 7 月1 9 几，c o d e r e d 蠕虫爆发，在爆发后的9 小时内就攻击了2 5 万台计算机，造成 的损失估计超过2 0 亿美元，随后几个月内产生了威力更强的几个变种，其中 c o d e r e d i i ”。造成的损失估计超过1 2 亿美元。2 0 0 1 年9 月1 81 7 ，n l m d a 蠕虫1 被发 现，对n i m d a 造成的损失评估数据从5 亿美元攀升到2 6 亿美元后，继续攀升，到现 在已无法估计。2 0 0 3 年1 月2 5 日，s l a m m e r 蠕虫“爆发，1 0 分钟内感染了7 5 0 0 0 存 在软件缺陷的主机系统。2 0 0 3 年8 月1 2 同b l a s t e r 蠕虫“”爆发，它利用了w i n d o w sx p 和w in d o w s2 0 0 0 的远程过程凋用服务缺陷，感染了5 0 0 0 0 0 台主机。2 0 0 4 年4 月3 0 闩s a s s e r 蠕虫爆发，在短短的几天内感染了近百万台计算机，井使这些计算机反复 的自动重新启动。2 0 0 4 年8 月截获的名为黑洞( b t a c k h o l e 2 0 0 4 ) 的后可以窃取用 户b i o s 密码、屏幕保护密码、基于n t 核心的谨陆密码、f o x m a i l 密码、o u t l o o k 密 码和i e 自动完成密码等，可记录用户电脑的一切键盘输入，包括中英文输入，直接 威胁州户的隐私安全。2 0 0 4 年的“网银大盗”的木马专门攻击中国工商银行的网e 银 行用户( 使月j 数字i p 地址登录的用户) ，盗取用广的账号和密码。2 0 0 6 年6 月2 日“维 余”( w o r mv ik i n gm ) 恶性蠕虫被截获，截至6 月8r1 6 时，受攻击个人用户已由 3 0 0 0 多迅速上升到1 3 6 4 7 人，数十家企业用户网络瘫痪。2 0 0 6 年8 月1 4r ，金i i l 毒 霸截获了魔鬼波( w o r mi r cw a r g b o ta ) ，它是利用系统高危漏洞进行传播的恶性蠕 虫病毒，主要利用m s 0 50 4 0 漏洞进行主动传播，强势攻击互联网，可造成系统崩溃， 网络瘫痪，并通过】r c 聊天频道接受黑客的控制。 目前网络病毒爆发的频率越来越快，据同际计算机安全协会的统计分析表明，吐 第一章绪论 界上每天产生十多种新的计算机病毒，目前的计算机病毒总数已超过二万种。计算机 病毒以每年超过5 0 的速度增长。网络病毒造成的损失也越来越大，以美国为例，其 每年因为网络安全造成的经济损失超过1 7 0 亿美元。 1 2 计算机病毒研究领域的现状 计算机病毒的产生和迅速蔓延，使计算机系统的安全受到了极大的威胁，人们意 识到计算机安全的重要性，也因此产生了对计算机反病毒技术的需求。随着计算机病 毒采用的新技术不断出现，计算机反病毒技术也不断更新和发展。 早期的计算机病毒检测方法主要是静态分析的方法n ，利用代码的特征进行病毒 检测。这些特征包括：文件名称、字符串和二进制代码等。当时研究工作的重点也是 集中在保护系统免受安全漏洞的危害上。专家们集中在一起，凭借他们的经验和技术， 手动地进行可疑程序的分析。得出了病毒程序与正常程序之间的差别以及各个病毒程 序之间的差别，从而获得了病毒的特征。提出这类分析方法的代表是s p a f f o r d n2 | ，他 分析了网络蠕虫，详细解释了蠕虫在网络上传播的过程，给出了蠕虫代码独有的特征 值和它的攻击手段，并且详细描述了系统的故障点。尽管这种检测方法十分精确，但 它的效率低，而且代价十分昂贵。该方法在少量病毒传播的情况下有效，然而w i l d l i s t ( 病毒清单) n 明在不断地改变和扩大。在病毒大量传播的情况下，这种检测方法显得 力不从心。 当前的检测病毒的方法主要是特征代码法。反病毒厂商依赖已有的特征代码库来 检测病毒。这些特征代码是一些位序列，它们是人们依据概率的方法来自动检测已知 的病毒二进制代码来获得的。 在i b m ，k e p h a r t 和a r n o l d n 钔发明了一种统计的方法来自动提取病毒的特征。他 们的研究基于语音识别算法，经验证该方法在检测已知病毒的过程中可以达到同人类 专家几乎一样的效果。该算法已经被加入n i b m 的反病毒软件包中。 l oe ta 1 n 剐提出了一种恶意代码过滤器，手动地过滤恶意代码的特征。类似的 研究还有针对u n i x 系统的恶意程序特征的过滤器n6 l ，以及一种半自动检测恶意代码的 方法m 1 。 由于新的病毒往往不会包括已知的特征代码，导致传统的特征代码法不能检测未 知病毒，使检测总是滞后于病毒的爆发。未知病毒检测逐渐成为人们研究网络安全问 题的焦点。 1 9 9 6 年，i b m 的科研人员提出利用人工神经元网络的方法来检测引导扇区类的二 进制病毒n 刚。人工神经元网络法是用神经网络来建模，构成分类器。i b m 的专家们使 用这种分类器可以成功检n n 8 0 8 5 的未知引导扇区病毒，误检率低于1 。由于算法 本身的局限性，该分类器只能分析引导扇区类的病毒，而这种类型的病毒仅占所有二 北京化工大学硕士学位论文 进制病毒总数的5 。 l e ee ta 1 n h 们把数据挖掘技术应用在入侵检测系统中。他们利用系统调用和网 络数据进行机器学习，从而检测新的入侵。 a b o u - a s s a l e hc ta 1 【2 1 】提出了一种基于n - g r a m s 算法的未知病毒检测方法。该方法 以特征代码法为依据，用n - g r a m s 文本分类算法来自动产生程序的特征码库，从而检 测未知病毒。 国内在未知病毒检测领域也有很多新的发现，各种机器学习的方法被广泛应用在 病毒检测中，并且产生了很好的实验效果。2 0 0 5 年6 月，国防科技大学的张波云等提 出了基于k 一最近邻算法的未知病毒检测方法心2 ：，该方法基于实例学习，可以达到对未 知病毒的近似判定。伺年，他们把模糊模式识别嘲的方法应用于未知病毒检测上口引， 实验证明该方法可以有效地对付变形与多态病毒。2 0 0 6 年5 月，张波云等再次应用机 器学习的方法，提出了一种基于多重朴素贝叶斯算法的未知病毒检测技术瞳5 | ，并且把 该技术同k 一最近邻算法进行了对比，结果证明该方法不仅可以有效地检测未知病毒， 而且可以在实验样本较小的情况得到较高的精度，极大解决了病毒样本难于获得的问 题。 随着i n t e r n e t 的普及，几乎所有的病毒都要依靠网络进行传播，其传播速度及破 坏程度是最初单机病毒所不能比拟的。i n t e r n e t 蠕虫是目前危害最大的恶意软件，几 乎每次蠕虫爆发都会因其造成的巨大经济损失而给人们留下深刻印象。人们对蠕虫的 研究从未停止过心6 。2 引。 在蠕虫的研究中，一部分研究集中在蠕虫的建模方向。z s c h e ne ta 1 对蠕虫 传播方式进行建模啪1 ，给出了蠕虫的传播模型，为蠕虫的研究提供了理论基础。 针对大规模网络中i n t e r n e t 蠕虫主动防治技术，清华大学信息网络中心的郑辉等 人提出了一种利用d n s 服务抑制蠕虫传播的方法m 1 。该方法是利用d n s 服务劫持来疏导 网络中被感染主机访问告警服务器，通过及时通知被感染主机的使用者对本机采取相 应处理措施，达到在网管人员和用户共同配合下迅速消灭蠕虫的效果。 针对遏制和消除i n t e r n e t 蠕虫，郑辉等人又提出了利用接种疫苗、强制关机和双 向疏导这三类i n t e r n e t 蠕虫主动防治技术2 】，形成自动蠕虫防治系统。该研究应用在 清华校园网上，证明了该技术可以有效防治蠕虫并缩短蠕虫防治周期时间。 针对i n t e r n e t 蠕虫爆发的检测p 蚓，清华大学的温世强等人提出通过监测网络流 量的变化率，可以在蠕虫爆发的前期发现网络异常d7 l 。该方法可以起到提前预警的作 用，为网络管理员和应急响应组织获得更多的反应时间，使他们在蠕虫阻塞网络之前 采取措施。 p 2 p 计算机技术已经逐步成为下一代互联网应用的焦点，针对大规模p 2 p 网络中的 蠕虫攻击，也有新的研究。酬。 针对网络病毒大部分通过电子邮件进行传播的现象，复旦大学的奚文等人提出的 4 第一章绪论 一种基于内容的旁路式邮件阻断技术口9 1 ，该技术基于邮件内容的病毒特征判断，通过 旁路方式阻断病毒邮件来达到阻止网络病毒传播的目的。 在网络实时监控方面也有新的发展，哈工大的焦绪录等人提出了面向t c p 连接的网 络实时监控系统及其连接阻断技术h0 1 ，利用网络侦听方式监控攻击。 目前的病毒防治已不仅仅依靠单一的杀毒软件，而是将杀毒软件与网关、防火墙、 入侵检测等技术融合起来，各防病毒厂商的产品也是集多种技术于一身。 1 3 论文研究的意义 网络病毒与传统的计算机病毒相比，具有更大的危害性。传统的计算机病毒主要 通过计算机用户之间的文件拷贝来进行传播，它影响的只是本地计算机，同时它的传 播速度也受到很大程度的制约。而随着计算机应用的普及和互联网技术的深入，计算 机病毒依靠网络进行传播，网络病毒对计算机网络和计算机系统的安全威胁日益增 加。特别是在开放的计算机网络环境和复杂的应用环境下，网络病毒利用多样化的传 播途径，其潜伏性变得越来越强，传播速度越来越快，影响范围也越来越广，同时造 成的损失也更巨大。 随着计算机病毒技术的发展，计算机反病毒技术也随之发展起来，反病毒技术已 由最初的病毒特征代码分析发展到了现在的软件模拟检测等技术。但是，目前在世界 范围内，大多数的防病毒产品都是采用代码特征匹配模式来进行恶意代码检测。虽然 这些产品在不断地更新和发展，并且技术和功能也在不断地成熟和完善，但仍然不能 非常有效地解决病毒、蠕虫、木马、间谍软件和其它未知恶意程序的攻击。造成这一 严重情况的原因之一是病毒制造者的技术在不断提高，使得病毒有如下的新特点：编 程复杂、技术高超、形态多变、手段新颖、能攻善守和数量激增；同时更深层的原因 是采用特征匹配模式进行病毒检测的缺点就是被动，并且只能应对已知病毒，这就意 味着，与病毒相比，我们的防范和查杀永远是滞后的。当新病毒出现时，我们就不得 不先升级病毒库，而后再作出应对策略。而这段空白时间正是病毒入侵的好时机。随 着i n t e r n e t 应用和普及，越来越多的病毒依靠网络传播，不仅速度快，而且危害性大， 变动极多。当新病毒发作时，留给我们的反应时间越来越少，这种情况下滞后的杀毒 系统所带来的“空白期对于用户来讲极为危险。传统的安全产品厂商已经没有能力 来解决这一问题。如何建立智能和事先的安全防护体系就成了一个迫在眉睫的课题。 针对传统防毒机理的弊端，本文研究的代码行为检测法，通过检测应用代码的行 为来阻止有恶意行为的代码进入内网，使它们在到达目标机器之前被截获。该检测模 式的优点是它对网络及个人计算机的保护是主动和事前的。这种检测方法不仅能够查 杀已知病毒，而且可以有效地检测并拦截未知病毒。 综上所述，网络病毒防治问题已引起人们的广泛关注，并成为当前计算机安全技 5 北京化t 大学硕士学位论文 术研究的热点。目前，存在多种解决计算机病毒的技术，其中代码行为检测技术可以 发现未知病毒，防患于未然，成为网络安全研究的主流技术之一h 。因此，对代码行 为检测技术的研究具有重要的意义。 1 4 论文的主要工作 本文主要作了以下几个方面的工作： 回顾了计算机病毒、网络病毒的出现和发展，并对网络病毒的广义定义进行了阐 述，详细介绍了几种主要的网络病毒，总结了网络病毒防范技术的研究现状。 分析了当前主要的几种病毒检测技术，分析了它们的优缺点，在此基础上提出了 以代码的行为作为特征，利用数据挖掘的分类方法作为检测引擎来检测未知病毒的技 术。 分析了几个典型的网络病毒的工作过程及行为特征。 设计了基于代码行为检测的网络病毒检测系统。详细介绍了该检测系统的各功能 模块、各模块间的关系以及整个系统的工作流程。实现了该检测系统中的未知病毒检 测子系统。 详细介绍了未知病毒检测子系统的工作流程以及各功能模块的具体实现。 提出了一种改进的贝叶斯算法用作未知病毒检测引擎。详细介绍了该算法的设计 与实现。通过实验验证了该分类算法在检测未知病毒上的有效性。 1 5 论文的组织结构 第一章简要介绍了本文的研究背景和意义，以及论文内容安排。 第二章阐述了网络病毒的广义定义，详细介绍了几种网络病毒防治的关键技术。 第三章分析了几个典型的网络病毒的行为特征。详细介绍了代码行为检测所涉及 的关键技术。 第四章设计了基于代码行为检测的网络病毒防范系统，对其中的未知病毒检测子 系统的具体实现方法和关键技术进行了详细描述。 第五章给出了实验中的相关数据，通过实验表明本文所提出的改进贝叶斯分类算 法在未知病毒检测上应用的有效性。 第六章是结束语，总结了论文的主要贡献，并对后续研究工作做了展望。 6 第二章网络病毒问题及对策 第二章网络病毒问题及对策 2 1 网络病毒的定义 2 1 1 计算机病毒的原始定义 计算机病毒是一个程序，一段可执行码。像生物病毒一样，计算机病毒有其独特 的复制能力，可以很快地蔓延，又常常难以根除，它们能把自身附着在各种类型的文 件上，当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开 来。 在生物学中，病毒是指侵入动植物体等有机生命体中的具有感染性、潜伏性、破 坏性的微生物，而且不同的病毒具有不同的诱发因素。“计算机病毒 一词是人们联 系到破坏计算机系统的“病原体 具有与生物病毒相似的特征，借用生物学病毒而使 用的计算机术语。 最初对计算机病毒理论的构思可追溯到科幻小说。在7 0 年代美国作家雷恩出版 的p 1 的青春一书中构思了一种能够自我复制，利用通信进行传播的计算机程序。 借用生物学中的“病毒”一词，称之为“计算机病毒”。“计算机病毒 与医学上的 “病毒”不同，它不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性， 编制具有特殊功能的程序。由于它与生物医学上的“病毒”同样有传染和破坏的特性， 因此这一名词是由生物医学上的“病毒”概念引申而来。 1 9 8 3 年，美国计算机安全专家f r e d e r i c kc o h e n 博士首次提出计算机病毒的存在， 他认为：计算机病毒是一个能感染其他程序的程序，它靠修改其他程序，并把自身的 拷贝嵌入其他程序而实现病毒的感染。1 9 8 9 年，他进一步将计算机病毒定义为：“病 毒程序通过个性其他程序的方法将自己的精确拷贝或可能演化的形式放入其他程序 中，从而感染它们”。所谓感染，是指病毒将自身嵌入到指令序列中，致使执行合法 程序的操作招致病毒程序的共同执行，或是以病毒程序的执行取而代之。 1 9 9 4 年，我国正式颁实施了中华人民共和国计算机信息系统安全保护条例， 其中第二十八条中给出了计算机病毒的明确定义：“计算机病毒是指编制或者在计算 机程序中插入的，破坏计算机功能或数据、影响计算机使用，并能自我复制的一组计 算机指令或者程序代码”。目前，这个定义是国内对计算机病毒的权威定义，并具有 国家法规效力。 2 1 2 网络病毒的广义定义 7 北京化工大学硕士学位论文 随着计算机网络的发展，计算机病毒与计算机网络技术相结合，病毒传播地更加 迅速，破坏力更强。 网络病毒是指利用网络进行传播、复制及破坏的一类病毒的总称。它是计算机技 术和网络普及的社会信息化进程发展到一定阶段的必然产物。其特征是：扩散速度快， 范围广，难于彻底清除，破坏性大，激发条件多样化，具有复发性。 而现在网络病毒，已经不是如此单纯的一个概念了，它被溶进了更多的东西。可 以这样说，如今的网络病毒是指以网络为平台，对计算机产生安全威胁的所有程序的 总和。广义上讲，网络病毒包括矛- 阳丽但进行传播的所有恶意代码，其中包括病毒、 蠕虫、木马、攻击代码以及它们之结合产生的新的恶意代码等。下面就以上列 出的几种广义的网络病毒举例说刨 1 计算机病毒 计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影 响计算机使用，并能自我复制的一组计算机指令或者程序代码。病毒的一般特征有n 引： 1 ) 传染性 传染性是病毒的基本特征。计算机病毒是一段人为编制的程序代码，它一旦 进入计算机并得以执行，它会会搜寻其他符合其传染条件的程序或存储介质，确 定目标后再将自身代码插入其中，达到自我繁殖的目的。 2 ) 隐蔽性 计算机病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序 中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现，目的是不让用户发现 它的存在。如果不经过代码分析，病毒程序与正常程序是不容易区别开来的。 3 ) 潜伏性 大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只 有在满足其特定条件时才启动其表现( 破坏) 模块。只有这样它才可进行广泛地 传播。 4 ) 破坏性 任何病毒只要侵入系统， 都会对系统及应用程序产生程度不同的影响。轻者会 降 低计算机工作效率，占用系统资源，重者可导致系统崩溃。可将病毒分为良性病 毒与恶性病毒。良性病度可能只显示些画面或出点音乐和无聊的语句，或者根本没 有任何破坏动作，但会占用系统资源。恶性病毒则有明确得目的，或破坏数据、删除 文件或加密磁盘、格式化磁盘，有的对数据造成不可挽回的破坏。 当前流行的病毒特征： 1 ) 抗分析性 具有这类新特性的病毒采用了加密和反跟踪技术来对抗反病毒技术的分析、 第二章网络病毒问题及对策 扫描，极大地增加了计算机防范人员对病毒工作机理的分析难度。 2 ) 攻击对象的混合性 传统的病毒攻击对象单一、代码精练、表现形式明显。因些早期的病毒要么是 引导型病毒，要么就是文件型病毒。随着病毒技术的成熟与进步，新病毒对象由单 个趋向多个、由单一趋向混合。 3 ) 攻击技术的混合性 当前流行的病毒所采用的攻击技术的另一个动向是集文件传染、蠕虫、黑客等 多种技术于一身。一个重要的趋势是黑客技术与病毒技术的混合。 4 ) 变形性 所谓“变形”，即若通过修改病毒代码而形成一种新的病毒，使其可以逃匿 反病毒手段的检测，则称它为原病毒的变形。 5 ) 多态性 具有多态性的病毒是由于采取了特殊的加密技术编写的、能够躲避一般的反 病毒软件的检测的一类病毒。它的出现使得所有基于简单特征码的病毒检测技术 失效，极大的增加了查病毒软件的编写难度。 计算机病毒主要攻击的是文件系统，在其传染的过程中，计算机使用者是传染的 触发者，是传染的关键环节，使用者的计算机知识水平的高低常常决定了病毒所能造 成的破坏程度。而下面要提到的蠕虫则主要利用计算机系统漏洞( v u l n e r a b i l i t y ) 进行传染，搜索到网络中存在漏洞的计算机后主动进行攻击，在传染的过程中，与计 算机操作者是否进行操作无关，从而与使用者的计算机知识水平无关。 2 i n t e r n e t 蠕虫( w o r m ) i n t e r n e t 蠕虫是无须计算机使用者干预即可运行的独立程序，它通过不停地获得 网络中存在漏洞的计算机上的部分或全部控制权来进行传播。蠕虫和计算机病毒都具 有传染性和复制功能，这两个主要特性的一致，导致二者之间很难区分，尤其是近年 来，越来越多的病毒采取了部分蠕虫的技术，另一方面具有破坏性的蠕虫也采取了部 分病毒的技术，更加剧了这种情况。 蠕虫程序的工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段，如图 2 1 所示。蠕虫程序扫描到有漏洞的计算机系统后，将蠕虫主体迁移到目标主机。然 后，蠕虫程序进入被感染的系统，对目标主机迸行现场处理。现场处理部分的工作包 括：隐藏、信息搜集等。同时，蠕虫程序生成多个副本，重复上述流程。不同的蠕虫 采取的i p 生成策略可能并不相同，甚至随机生成。各个步骤的繁简程度也不同，有的 十分复杂，有的则非常简单。 9 北京化t 学埘e 学位论文 图2 1 蠕虫的工作流程 f i g 2 一i t h e w o r kf l o w o f t h e w o r m 通过对蠕虫的整个工作流程进行分析，可咀归纳得到它的行为特祉“”： 1 ) 主动攻击：蠕虫在本质上己经演变为黑客入侵的自动化工具当蠕虫被释放 ( r e l e a s e ) 后，从搜索漏洞，到利用搜索结果攻击系统，到复制副本，整个流程 全由蠕虫自身主动完成。 2 ) 行踪隐蔽：由于蠕虫的传播过程中，不像病毒那样需要计算机使用者的辅助工作 ( 如执行文件、打开文件、阅读信件、浏览网页等等) ，所以蠕虫传播的过程中 计算机使用者基本上不可察觉。 3 ) 利用系统、网络应用服务漏洞：除了最早的蠕虫在计算机之间传播是程序设计人 员许可，并在每台计算机上做了相应的配合支持机制之外，所有后来的蠕虫都是 要突破计算机系统的臼身脯线并对其资源进行滥用。计算机系统存在漏洞是蠕 虫传播的前提，利用这些漏洞，蠕虫获得被攻击的计算机系统的相应权限，完成 后继的复制和传橘过程。这些漏洞有的足操作系统本身的问题，有的是应用服务 程序的问题，有的是网络管理人员的配置问题。正是由于漏制产生原因的复杂性， 导致面对蠕虫的攻击肪不胜防。 4 ) 造成网络拥塞：蠕虫进行传播的第一步就是找到网络上其它存在漏洞的计算机系 统，这需要通过大面积的搜索柬完成，搜索动作包括：判断其它汁算机是否存在； 判断特定应用服务是否存在：判断漏洞是否存在。这不可避免的会产生附加的网 络数据流量。即使是不包含破坏系统j 下常工作的恶意代码的蠕虫，也会因为它产 生了巨量的m 络流量，导致整个嘲络瘫痪，造j j 兑经济损失。 5 ) 降低系统性能：蠕虫八侵到计算机系统之后，会在被感染的汁算机上产生自己的 多个副球，每个副本启动搜索程序寻找新的攻击目标。大最的进程会耗费系统的 资源，导致系统的性能r 降。这刘刚络服务器的影响儿其明显。 6 ) 产生安全隐忠：大部分蠕虫会搜集、扩散、暴露系统敏感信息( 如用户信息等) ， 第二章网络病毒问题及对镱 并在系统中留下后门。这些都会导致未来的安全隐患。 7 ) 反复性：即使清除了蠕虫在文件系统中留下的任何痕迹，如果没有修补计算机系 统漏洞，重新接入到网络中的计算机还是会被重新感染。 8 ) 破坏性：从蠕虫的历史发展过程可以看到，越来越多的蠕虫开始包含恶意代码， 破坏被攻击的计算机系统，而且造成的经济损失数目越来越大。 3 木马( t r o j a n ) 木马( t r o j a n ) ，是从希腊神话里面的“特洛伊木马”得名的。所谓的特洛伊木马 是指那些有着正常程序的外表，实际目的却是危害计算机安全并导致严重破坏的计算 机程序。它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。例如一 些密码窃取类木马，它会伪装成系统登录框的模样，当用户在登录框中输入用户名与 密码时，这个假的登录框木马便会将用户口令通过网络泄漏出去。 一个完整的木马系统由硬件部分、软件部分和具体连接部分组成。建立木马连接 所必须的硬件实体具体包括控制端、服务端和i n t e r n e t 。控制端是对服务端进行远程 控制的一方；服务端是被远程控制的一方；i n t e r n e t 是实现控制端对服务端进行远程 控制，数据传输的载体。实现远程控制也必须有软件程序，软件程序具体包括控制端程 序、木马程序和木马配置程序。控制端程序是控制端用以远程控制服务端的程序；木 马程序是潜入木马内部，获取其操作权限的程序；木马配置程序是设置木马程序的端 口号，触发条件，木马名称等，使其在服务端得到更隐蔽的程序。连接部分具体包括控 制端口和木马端口，它是控制端和服务端的数据入口，通过这个数据入口可直达控制 端程序或木马程序。 木马的工作原理：用木马这种工具进行网络入侵，从过程上大致可分为配置木马、 传播木马、运行木马、信息泄露、建立连接和远程控制这六部分。一般来说，木马都 有配置程序，从具体配置内容看主要是为了在服务端尽可能的隐藏好木马，将信息的 反馈方式或地址进行设置。木马的传播方式主要有两种：一种是通过e - m a il 控制端 将木马程序以附件形式附在邮件中发送出去，收信人只要打开附件就会感染木马；另 一种是软件下载，一些非正规网站以提供软件下载为名义，将木马捆绑在软件安装程 序上，下载后只要运行这些程序，木马就会自动安装。木马还会用伪装的方式来降低用 户的警觉，来欺骗用户。常见的欺骗方式有修改图标、捆绑文件、出错显示、定制端 口、自我销毁和木马更名等。 服务端用户运行木马程序后，木马就会自动进行安装。首先将自身拷贝到w i n d o w s 的系统文件夹( c ：w i n d o w s ，c ：w i n d o e s s y s t e m 或c ：w i n d o w s t e m p 目录下) 中，然后修改 注册表和启动组，在启动组中设置好木马的触发条件，这样，木马的安装就完成了。 设置成熟的木马都会有一个信息反馈机制，指的是木马成功安装后会收集一些服务端 的软硬件信息( 服务器端主机所使用的操作系统、系统目录、硬盘分区情况和系统口 令等) ，并通过电子邮件、i r c 或i c o 的方式告知控制端用户。这些信息中，最重要的 北京化工大学硕士学位论文 是服务端i p ，因为只有得到这个参数控制端才能与服务端连接。 一个木马连接的建立必须满足两个条件：一是服务端以安装了木马程序；二是控 制端和服务端都在线。在此基础上，控制端可以通过服务端建立连接。控制端上的控 制端程序可通过这条通道与服务端上的木马取得联系，并通过木马程序对服务端进行 远程控制。控制端具有十分广泛的权限，如果服务端被运行，控制端会像控制自己的 机器一样简单。 现在的木马病毒与传统的木马病毒相比已经有了很大的区别。如果说传统的木马 病毒是个“骗子”的话，那么现在的木马病毒则更像一个“间谍”。现在的木马病 毒一般是指利用系统漏洞进入用户的计算机系统，通过修改注册表自启动，运行时有 意不让用户察觉，将用户计算机中的所有信息都暴露在网络中的病毒程序。如今大多 数黑客程序的服务器端都是木马。 4 黑客程序( h a c k ) 黑客程序产生的年代由来以久，但在过去，从没有人将它看做是病毒，理由是， 黑客程序只是一个工具，它有界面又不会传染，不能算做病毒。而随着网络的发展与 人们日益增长的安全需求，我们必须重新来看待黑客程序。黑客程序一般都有攻击性， 它会利用漏洞在远程控制计算机，甚至直接破坏计算机；黑客程序通常会在用户的计 算机中植入一个木马病毒，与木马病毒内外勾结，对计算机安全构成威胁。所以黑客 程序也是一种网络病毒。象“冰河”，“b 0 ”，它们功能强大到可以远端控制计算机 做任何事情。 5 攻击代码( e x p l o i t ) 攻击代码指可以用来体现漏洞( v u l n e r a b i l i t y ) 的程序代码，通过执行这些代 码，可以展示出“漏洞”，即出现信息泄漏或资源失控或服务失效这些结果。官方的 组织一般只通知漏洞的存在以及如何修复漏洞，而不提供攻击代码。另外，在很多地 下的黑客站点上，保存着比较完整的攻击代码数据库。这些攻击代码一方面帮助系统 管理人员了解了漏洞的原因和原理，一方面常常被攻击者所滥用。只会用已有的漏洞 进行攻击的攻击者被称为s c r i p tk i d d i e s ，这一称呼虽然充满了贬义，但很多攻击者 还是乐此不疲。大部分的蠕虫都是通过对已有的漏洞进行修改和组装编写而成的。 6 间谍软件 间谍软件是指在没有经过用户同意或在削弱用户控制权的情况下实行的技术：发 生实质的改变，影响到用户的使用、隐私或系统安全：使用他们的系统资源，包括安 装在他们电脑上的软件：以及收集、使用和公开他们的个人或敏感信息。 7 后门( b a c k d o o r ) 后门是程序或系统内的一种功能，它允许没有账号的用户或普通受限用户使用高 权限访问甚至完全控制系统。后门在程序开发中有合法的用途，有时会因设计需要或 偶然因素而存在于某些完备的系统中。后门容易被一些病毒制造者利用。 1 2 第二章网络病毒问题及对策 8 捆绑器病毒( b i n d e r ) 捆绑器病毒是一个很新的概念，人们编写这些程序的最初目的是希望通过一次点 击可以同时运行多个程序，然而这一工具却成了病毒的新帮凶。比如说，用户可以将 一个小游戏与病毒通过捆绑器程序捆绑，当用户运行游戏时，病毒也会同时悄悄地运 行，给用户计算机造成危害。 由于捆绑器会将两个程序重新组合，产生一个自己的特殊格式，所以捆绑器程序 的出现，使新变种病毒产生的速度大大增加了。为了对付新情况，各大杀毒厂商都将 此类型程序定义成一种新病毒捆绑器病毒，像瑞星2 0 0 3 版杀毒软件还针对此种 病毒推出了新的杀毒引擎，可见此病毒已经得到了人们更多的观注。 9 网页病毒 网页病毒是一种利用软件或系统操作平台等的安全漏洞，通过执行嵌入在网页 h t m l 超文本标记语言内的j a v aa p p l e t d 、应用程序、j a v a s c r i p t 脚本语言程序、 a c t iv e x 软件部件网络交互技术支持可自动执行的代码程序等，以强行修改用户操 作系统的注册表设置及系统实用配置程序，或非法控制系统资源盗取用户文件，或 恶意删除硬盘文件、格式化硬盘为行为目标的非法恶意程序h 钔。 随着j a v a ，j a v as c r i p t ，v bs c r i p t 等一些新的网页编程语言的出现，w e b 网 页的外观变得更美观，功能也变得更强大。但是从网络安全的角度来看，恰恰是内嵌 了这些语言编写的程序的网页变成了网页病毒滋生的温床。当用户访问一个含有网页 病毒的网站时，用户的浏览器会将这些病毒代码下载到客户端并执行，其结果就会 造成用户的系统被网页病毒感染。根据美国国际计算机安全协会发布的病毒疫情调查 报告显示，网页病毒出现后数量发展迅猛，原因是网页病毒的编写难度较低。目前， 很多计算机黑客通过设置恶意网站，以各种诱饵吸引用户访问他们的网站，然后通 过网页中的计算机病毒和有害代码侵入用户的计算机系统，利用开设后门或自动发 送邮件等方式盗取计算机用户的信息，严重威胁着信息安全。随着网络安全的发展， 网页病毒对整个网络造成的危害越来越得到人们的关注。 根据美国国际计算机安全协会发布的病毒疫情调查报告显示，网页病毒出现后 数量发展迅猛，原因是网页病毒的编写难度较低。目前，很多计算机黑客通过设置恶 意网站，以各种诱饵吸引用户访问他们的网站，然后通过网页中的计算机病毒和有 害代码侵入用户的计算机系统，利用开设后门或自动发送邮件等方式盗取计算机用 户的信息，严重威胁着信息安全。随着网络安全的发展，网页病毒对整个网络造成的 危害越来越得到人们的关注。网页病毒是一种通过网络媒介进行传播的病毒，它具有 传播速度快、病毒载体多样化、破坏力强等特点。随着网页浏览器使用广泛性的增强， 网页病毒不但保留了原有的利用用户系统漏洞进行被动传播的方式，而且衍生出了 利用搜索引擎进行扩散的主动传播方式。由于融合了i e 漏洞利用技术及社会工程学， 网页病毒采用的技术手段更加多样化，甚至出现了多态、变形的病毒体。 北京化工大学硕士学位论文 通过以上的分析和总结，本文给出网络病毒的广义定义：网络病毒是指利用网络 进行传播、复制及破坏的所有对网络和个人计算机系统产生破坏、信息泄露、危害系 统安全等一系列恶意行为的代码的总称。 根据以上的定义，可以得出，病毒、i n t e r n e t 蠕虫、木马和攻击代码等恶意代 码都属于广义的网络病毒范畴，它们正是本文所提出的基于代码行为检测算法的检测 对象。 2 2 计算机病毒防治的关键技术 本节详细介绍了近年来主要的几种计算机反病毒技术的研究方向。虽然这些技术 有待进一步完善，但是它们出现的技术背景和具体的技术思想，都可以为我们研究和 设计计算机反病毒系统提供很好的借鉴。这些技术也代表着计算机反病毒技术未来的 发展方向。 2 2 1 特征代码技术 特征代码法被早期应用于s c a n 、c p a v 等著名病毒检测工具中，目前被认为是 用来检测已知病毒的最简单、开销最小的方法。 防毒软件最初扫描病毒的方式是将所有病毒的病毒码加以剖析，并且将这些病毒 独有的特征搜集在一个病毒码资料库中，每当需要扫描该程序是否有毒的时候，启动 杀毒软件程序，以扫描的方式与该病毒码资料库内的现有资料一一比对，如果两方资 料皆有吻合之处的话，既判定该程序己遭病毒感染。特征代码法的实现步骤如下： 1 ) 采集己知病毒样本。如果病毒既感染c o m 文件，又感染e x e 文件，那么要对这 种病毒要同时采集c o m 型病毒样本和e x e 型病毒样本。2 ) 在病毒样本中，