新型病毒防御架构关键技术研究.doc

新型病毒防御架构关键技术研究 娜一?硕士学位论文新型病毒防御架构关键技术研究论文作者:夏康指导教师:谭连生教授学科专业:计算机系统结构研究方向:计算机网络华中师范大学计算机学院年月硕士学位论文 .:.硕士学位论文 华中师范大学学位论文原创性声明和使用授权说明原创性声明本人郑重声明:所呈交的学位论文,是本人在导师指导下,独立进行研究工作所取得的研究成果。除文中已经标明引用的内容外,本论文不包含任何其他个人或集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体,均已在文中以明确方式标明。本声明的法律结果由本人承担。日期:年/月;日作者签名:夏灰学位论文版权使用授权书学位论文作者完全了解华中师范大学有关保留、使用学位论文的规定,即:研究生在校攻读学位期间论文工作的知识产权单位属华中师范大学。学校有权保留并向国家有关部门或机构送交论文的复印件和电子版,允许学位论文被查阅和借阅;学校可以公布学位论文的全部或部分内容,可以允许采用影印、缩印或其它复制手段保存、汇编学位论文。保密的学位论文在解密后遵守此规定保密论文注释:本学位论文属于保密,在?年解密后适用本授权书。非保密论文注释:本学位论文不属于保密范围,适用本授权书。导师签名:作者签名:夏康 钐乏日期:别弓年多月罗日期:凡年月 一, /本人已经认真阅读“向校学位论文全文数据厍发布章程”,同意将本人的学位论文提交“高校学位论文全文数据库中全文发布,并可按“章程”中的规定享受相关权益。回童途塞坦交盾进卮;旦兰生;旦二生;旦三生筮查作者签名:躲 导师签名:气厶日期:年月多日日期:栌峥月,日硕士学位论文摘要病毒和病毒防御技术一直是互相对抗同时又互相促进地发展着。病毒总数量的剧增和病毒进化程度的提高,使得传统病毒防御系统越来越难以及时地发现和清除病毒,病毒的误报和漏报事件屡见不鲜。对此,出现了种种改进方法,比如基于行为分析的动态检测、基于虚拟机技术的病毒检测、基于人工智能的病毒防御技术、多引擎病毒防御系统等等。但是,由于用户计算机资源非常有限,高级智能检测策略因为需要占用过多资源而难以发挥出理论上所能达到的效果。随着云计算技术迅猛发展,我国互联网基础设施也在高速发展,云杀毒技术应运而生。虽然存在一些商业炒作,但在病毒防御领域确实发生了一些明显的技术革新。比如轻客户端策略、将病毒防御的业务逻辑从用户计算机转移到服务器端等。不过,作为一种新出现的病毒防御技术,云杀毒还存在着信息指纹碰撞导致误报、用户隐私保护被忽视等不足之处。本文针对传统病毒防御架构所存在的问题,以及各种改进方案的局限,提出了一种新型的病毒防御架构,并针对新型病毒防御架构带来的网络和服务器负载过大等问题给出了合适的解决方案。新型病毒防御架构通过信息指纹来初步判断用户文件是否隐含病毒风险,将有风险文件的关键部分上传到病毒防御服务器进行彻底分析。在这一应用领域,常用信息指纹算法设计中的雪崩效应等复杂特性失去了实际的意义,一定程度的指纹碰撞不会影响用户文件病毒检测的结果,对系统整体性能的影响微乎其微。本文提出一种适用于新型病毒防御架构的信息指纹算法,去除常用信息指纹算法中的一些复杂性,一定程度上牺牲指纹的低碰撞率和均匀性,从而简化信息指纹的求解过程,得到更快的算法收敛速度。对比常用信息指纹算法,本文所提算法在处理大量文件检测请求时的性能优势更加突出。文中所说的病毒是指广义的病毒,即所有恶意程序,包括蠕虫、木马等。关键词:病毒防御;病毒检测;信息指纹., . . , ,.,.? . , .,? , ,.,西. , . . , , . , .硕士学位论文 ,.:; 硕士学位论文:目录摘要?.?.第章绪论.研究背景.国内外研究现状.国外研究现状?.国内研究现状?.论文研究内容.论文主要工作?.论文组织结构?第章传统病毒防御架构.传统病毒防御架构介绍.传统病毒防御架构的客户端?.传统病毒防御架构的服务器端.传统病毒防御架构面临的问题.传统病毒防御架构的改进一.基于行为的病毒检测?.基于虚拟机的病毒检测.基于人工智能的病毒防御技术?一.多引擎病毒防御系统。.云杀毒。 .本章小结?.第章新型病毒防御架构?.新型病毒防御架构介绍?.新型病毒防御架构客户端设计?。.新型病毒防御架构服务器端设计?一.新型病毒防御架构详细说明?.新型病毒防御架构需解决的两个问题?.文件拆解规范.硕士学位论文 .新型病毒防御架构资源占用模型?.新型病毒防御架构的优点.本章小结第章新型病毒防御架构的信息指纹算法.常用信息指纹算法?.算法介绍一.碰撞率分析?一.归并散列算法?。.归并散列算法的设计思路?.归并散列算法的执行过程?.归并散列算法的详细解释?.归并散列算法与比较?.归并散列算法的实验验证?一.本章小结?第章总结与展望?.本文总结?.未来工作展望参考文献?。在校期问发表的论文、科研成果等?致谢硕士学位论文 第章绪论.研究背景当今世界,互联网已经深入人们生活和工作的各个角落,计算机网络技术的发展使得互联网的覆盖面日益广泛,对人们生活、工作方式和正常社会次序的影响日益增加。与此同时,病毒等网络安全的威胁也日益严重,带来了非常巨大的经济损的报告【,全球每年因病毒而造成的经济损失都在失。根据亿美元之上。根据美国联邦调查局和计算机安全协会发布的研究报告【,在所有计算机系统安全攻击事件中,病毒攻击发生的次数和直接经济损失都高居榜.】自。在国内,计算机病毒防御形势同样严峻。根据公安部公共信息网络安全监察局发布的报告显示,%的被调查单位发生过信息网络安全事件,其中计算机病毒占发生安全事件总数的%。大部分计算机病毒攻击事件都带有非常明显的利益目的。根据.于年月目的报道【,目前国内已形成较大的病毒集团控制着%的病毒下载通道,并且形成了分工明确、收益模式多样化的灰色产业链,仅流量收入一项一年就可获利约.亿元。但病毒防御是一个复杂的问题,数量巨多、种类各异的病毒已成为让网络使用者和计算机管理员头疼的难题。一方面病毒数量以惊人的速度爆炸式增长。由于出现给病毒加壳变形的工具包【,实现了病毒的自动化量产,使得每年新增的病毒数量呈爆炸式增加,仅年一年新增的病毒数量就几乎等于以往所有病毒数量的总和。另一方面病毒的进化程度越来越高,传播方式越来越隐蔽,难以有效地发现和清除病毒。病毒防御已经成为一个非常紧迫的问题。传统的病毒防御系统难以继续发挥作用。因为病毒的数量过于庞大,病毒特征码库已经非常巨大,需要占用大量的存储空间,特征码库扫描一遍也需要很多时间,严重影响了用户计算机的正常使用。虽然高级智能化病毒防御领域有大量的研究成果,但相对于基于特征码匹配的传统病毒防御架构,智能化病毒防御需要更多的计算资源和存储空间【】,难以应用到覆盖面最广泛的个人病毒防御。随着云计算技术的迅猛发展,互联网计算和存储资源得到更好的整合【,极大提高了计算和存储资源的利用率【。年,由我国工信部联合八部委推动的“宽带中国战略工程被列为“十二五”规划重点工程【,我国互联网基础设旋建设有硕士学位论文 望得到飞速发展。按规划,到年末,我国东部发达地区省会城市家庭带宽达到,城市家庭带宽达到以上,农村家庭带宽达到以上【引。在这种背景之下,云杀毒概念应运而生。虽然不断受到质疑,但云杀毒技术一直在稳步地向前发展。当前主流的信息安全厂商都提供了自己的云杀毒方案。云杀毒概念的意义在于:不仅最大限度释放了对用户计算机资源的占用,而且颠覆了传统的病毒检测模式。然而,作为一种新的病毒防御策略,云杀毒也具有一些缺陷,比如许多云杀毒系统都属于针对地址或是.地址这样简单对象的一种信誉服务,难以对计算机系统提供全面的安全防护。鉴于此,本文分析了传统病毒防御架构以及几种主流改进方案的不足之处,借鉴其中的优秀思路,提出一种新型病毒防御架构,并探讨了实现这种架构的若干关键技术。.国内外研究现状计算机病毒已经成为计算机系统和互联网的巨大威胁,在世界范围内每年造成巨大的经济损失,因此一直是国内外研究的一大热点。.国外研究现状等人提出了一种针对?的安全架构】。等人研究了函数调用序列对病毒检测的影响【副,将作为程序控制流的关键节点生成一个图,然后检测图中包含的危险系统调用序列是否超过了阈值。在智能化病毒防御领域,公司的和等人探讨了如何将神经网络应用到病毒检测中【 ,实验表明,神经网络可以较好地应用于引导型病毒检测。等人后来将这一成果推广到位环境下的病毒检测【。等人尝试将数据挖掘方法应用到病毒防御领域【引,使用可执行代码片段、调用、库和字符序列等作为特征向量,测试了多种不同的病毒检测方法。等人尝试将机器学习算法应用于病毒检测【,实验表明使用综合分类器检测效果要好于单个分类器。在云杀毒领域, 和等人【探讨了云计算环境下的病毒防御策略,分析了云杀毒概念产生的原因和具体实践。硕士学位论文 在多态病毒检测领域,等人研究了对抗变形病毒的相关技术翰,通过引入病毒自动机来处理病毒代码中包含的垃圾代码和异常指令跳转,同时标记寄存器的占位符,如果病毒自动机与被检测程序生成的语言有交集,说明被检测程序存在异常。技术团来检测多态病毒,该技术去除多提出一种态变形病毒代码中的空白符、垃圾代码、花指令等,然后再生成特定的病毒特征码,但该方法本质上仍然是基于特征码扫描技术。文献提到一种技术用来检测多态病毒,综合使用一个静态和一个动态的启发式扫描器,其中动态扫描器通过一个专家系统收集程序运行过程中的信息,以检测多态病毒解密后的行为序列。等人【提出了一种通过检验运行时完整性的方法以防御病毒入侵,使用一种签名工具对运行的程序进行签名,用于防范病毒对格式文件和脚本文件的感染。.国内研究现状何申等人尝试了使用统计分析的方法对挂马网页进行安全检测】。在智能化病毒防御领域,赵庆松设计了一种操作系统安全策略模型【,立足于防止病毒对操作系统进行破坏,限制病毒的扩散范围。张波云集中研究了几种重要的计算机病毒智能检测技术【引,分别用多重朴素贝叶斯算法、模糊模式识别模型、支持向量机、神经网络模式识别器等方法进行了病毒检测试验。宋明秋借鉴自然界生物免疫分子的分子模式识别作用,提出一种基于计算机病毒保守模式的人工免疫系统模型【】,对模型中检测器的工作机理、分布方式、进化机制进行了分析与设计。在云杀毒领域,李轻候披露了国内主流信息安全产品云安全系统的发展经过和后台运作方式【。于娟娟分析了云计算与云安全的概念构想,详细介绍了信誉服务、电子邮件信誉服务、文件信誉服务、行为关联分析技术、自动反馈机制等云安全的核心技术。在无线环境病毒防御领域,王长广研究了无线环境下病毒的传播机制【,通过将无线网络的一些特征参数引入到传统流行病模型中,提出了一种移动无线网络中的病毒传播模型。硕士学位论文 .论文研究内容.论文主要工作本文深入探讨了传统病毒防御架构,指出传统病毒防御架构已经不能适应病毒数量快速增长、病毒复杂程度越来越高的现状,其原因在于用户计算机难以承担病毒防御所需要的计算资源和存储空间。针对传统病毒防御架构及几种重要改进方案所存在的问题,本文取得的成果主要包括以下几个方面:.提出一种新型病毒防御架构。新架构将病毒检测等主要功能从用户计算机转移到病毒防御服务器端,从而大幅缓解了病毒防御系统对用户计算机资源的严重占用,提高了用户计算机的可用性和病毒防御系统的用户体验。新架构并不直接基于文件的信息指纹来判定文件安全性,而是通过三个层次的病毒检测,逐步深入地对文件安全性进行判定,从而避免了因指纹碰撞导致误判病毒的风险。.由于涉及用户文件上传,新型病毒防御架构面临用户隐私保护、网络流量和服务器负载过大等问题。本文从技术角度对用户隐私保护提出了建议,并提出多种策略来降低网络流量和服务器负载。另外,本文探讨了新型病毒防御架构的资源占用模型,为将来进一步研究该领域的资源分配、网络节能等问题奠定基础,并证明了新架构在提高病毒防御性能的同时,并没有增加总体的资源占用量。.提出一种高效的信息指纹算法。在病毒防御领域,因为用户文件数目过大,常用信息指纹算法存在指纹碰撞的风险,可能造成非常广泛的影响。在新型病毒防御架构中,用户文件的信息指纹只是作为判定用户文件是否需要拆解上传的一种过滤条件。指纹碰撞的后果仅仅是少量增加网络流量和服务器负载,对用户文件安全性的检测结果没有影响,对整体系统的性能影响也很小。因此,常用信息指纹算法中的一些复杂特性,比如雪崩效应、指纹分布均匀性等,在这一特定应用领域不再具有非常重要的实际意义。本文提出一种归并散列算法,简化常用信息指纹算法过程的复杂性,一定程度上牺牲碰撞率、均匀性等特性,加速算法求解过程,以期在处理海量用户文件时体现出性能优势。.论文组织结构本文共分为章。第章首先介绍了病毒防御领域的研究背景以及国内外研究现状,说明当前病毒防御的困难性和本文研究的迫切性,然后阐述了本文的主要研究内容及贡献,最硕士学位论文 后介绍了本文主要章节的组织及内容。第章介绍了传统病毒防御架构以及几种重要的改进方案。本章首先介绍传统病毒防御架构客户端结构、传统病毒防御架构服务器端的处理流程,分析了传统病毒防御架构面临的问题,并指出其根本原因是传统病毒防御架构过度占用了用户计算机资源。然后介绍了传统病毒防御架构几种比较重要的改进以及各自存在的问题。第章介绍了一种新型病毒防御架构。包括新型病毒防御架构客户端和服务器端的设计,并详细解释该架构的若干设计思路。第章介绍了新型病毒防御架构可以使用的一种归并散列算法。首先介绍常用信息指纹算法,分析了在该应用领域中的一些可以改进之处,然后介绍了归并散列算法的设计思路和具体实现过程。最后通过实验验证归并散列算法在求解速度上的提升。第章总结了本文所作的研究工作,并提出若干需要进一步研究的课题。硕士学位论文 第章传统病毒防御架构.传统病毒防御架构介绍传统病毒防御架构普遍基于病毒特征码检测法。所谓病毒特征码,是指病毒中比较特殊的一段可执行代码片段,能够用来准确识别出病毒的种类和名称。在进行病毒检测时,对病毒特征码库中的每一条特征码,检索其是否存在于被检测文件中,从而判定被检测文件中是否含有该特征码所对应的病毒。病毒特征码检测法的优点是实现简单、系统开销相对较小、可识别病毒具体种类因而便于处理。.传统病毒防御架构的客户端传统病毒防御架构的客户端框架图如图.所示:图.客户端框架图传统病毒防御架构在客户端分为三个层次:驱动层。包括系统自保护模块、文件驱动模块、网络驱动和防火墙模块等。系统自保护模块:实现病毒防御系统的自保护,以及与恶意程序的攻防对抗、驱动层的系统控制权争夺等。文件驱动模块:在驱动层实现文件处理,以保证能够及时有效地清除隐硕士学位论文 藏恶意程序的文件。网络驱动和防火墙模块:感知网络事件如恶意扫描、网络下载等,提供网络防护功能。引擎层。包括病毒数据库、病毒特征码扫描侦测模块和高级智能侦测模块等。病毒数据库:典型的如病毒特征码库,还包括病毒名称、病毒分类等信息数据库。病毒特征码扫描侦测模块:即病毒特征码的扫描引擎,是病毒查杀系统最基本的组成部分。高级智能侦测引擎:如行为检测、代码的静态分析、沙盒等等。高级智能侦测引擎模块的具体实现多种多样,是各种病毒防御系统最具特色的部分,许多病毒防御领域的研究成果和技术创新都应用在此模块中。服务层。包括控制中心、日志和报告服务、文件扫描服务、程序组件和病毒库升级服务、病毒处理和文件备份服务。控制中心:主要负责整个病毒防御系统各个模块之间的命令交互和功能调用。日志和报告服务:主要负责系统检测结果报告和系统运行的日志记录与审计。文件扫描服务:实现文件系统的病毒扫描。程序组件和病毒库升级服务:及时从服务器推送系统组件更新和病毒库更新,实现与服务器最新病毒库的同步。病毒处理和文件备份服务:主要负责在检测到病毒时采取的处理措施和文件备份,还包括文件处理的规则编辑和文件恢复等。.传统病毒防御架构的服务器端传统病毒防御架构在服务器端的处理流程如图.所示:硕士学位论文 ?一?一?.?.一.?,.图.服务器端流程图在服务器端,收集到病毒样本文件之后,首先进行文件的预处理,得到脱壳之后的文件,然后进行样本的病毒分析。与客户端不同,服务器端资源相对充足,可以使用较复杂的病毒分析技术。然后提取出病毒的特征码,加入到病毒防御服务器的病毒数据库中。通过对病毒数据库进行统计分析,从而得知病毒传播范围和疫情分布等情况,以便于对近期高发病毒进行预警。对于传播范围较大、造成严重危害的病毒,可以在服务器推出专杀工具。.传统病毒防御架构面临的问题由前文对传统病毒防御架构客户端和服务器端的介绍可知,传统病毒防御架构是重客户端.轻服务器端的架构。病毒防御的主要功能实现都存在于客户端,在客户端维护一个庞大的病毒数据库,在客户端实现各种高级的智能化病毒检测技术。传统病毒防御架构越来越难以应对病毒的层出不穷,一方面是因为病毒数量庞大,进硕士学位论文 化迅速;另一方面也是因为传统病毒防御架构本身存在局限性:病毒检测功能主要在客户端实现,而客户端的计算和存储资源非常有限,高强度的病毒检测需要占用大量的存储和计算资源,会严重影响用户计算机的正常使用。传统病毒查杀架构主要面临如下几个方面的问题:病毒特征码库过于庞大,检测效率低下自年月日蠕虫首次出现至今,全球已经被发现的计算机病毒数目早已突破万种,并且呈几何级数爆炸式地增长。根据国内著名互联网信息安全公司金山网络发布的报告年中国电脑病毒疫情及互联网安全报告引,仅年上半年便截获到新增病毒、木马万个,较年全年总数增长了%,超过近年新增病毒数量的总和。每新增一种病毒,就需要在病毒特征码库中添加一条特征码。若病毒总数目为,则病毒特征码库中特征码条数也为。设一个用户文件的长度为,则检测一个用户文件中是否包含病毒所需的时间复杂度为.,检测个文件所需的时间复杂度为.,。因此,随着病毒总数目的急剧增大,对用户文件进行病毒检测扫描的时间复杂度也急剧增大。资源占用严重随着病毒持续进化,病毒的隐蔽性和复杂性不断增强,病毒防御系统也相应地变得结构复杂、体积庞大,由于传统病毒防御架构的功能实现主要集中在客户端,导致用户计算机承受的负担越来越大。即便是采用系统开销相对较小的病毒特征码检测法,假设病毒特征码库包含万条特征码,特征码平均长度为个字符,则对计算机进行病毒扫描时,仅加载病毒特征码库就需要超过的内存。考虑到病毒防御系统其它模块的资源消耗,以及用户操作系统本身所需开销,用户计算机的内存资源所剩无几。这意味着对于普通的个人计算机而言,在进行病毒防御的同时,几乎无法进行其它的日常工作。而对于更高级的病毒检测算法,所需要的系统开销更大。例如虚拟机技术需要在病毒防御系统中内嵌一个结构复杂的虚拟机来模拟整个计算机系统,并在虚拟机中执行程序指令以便动态检测是否包含病毒。基于人工神经网络的病毒检测模块需要构建一个多层次多节点的人工神经网络,并动态调整网络节点参数。这些智能化病毒检测策略所需要占用的资源都是个人计算机难以承受的。因此,虽然绝大部分病毒防御系统都集成了高级智能化病毒查杀模块,但由于该模块需要大量占用硕士学位论文 用户计算机资源,在开启时会明显降低用户计算机的响应速度,所以高级智能化病毒检测模块默认为不开启,仅在少数特殊情况下由用户手动开启。虽然智能化病毒检测领域已经有大量的研究成果,各种新技术不断涌现,但在实际应用中,因为大量占用用户计算机资源、严重影响了用户计算机的正常使用,高级智能化病毒检测的应用效果非常有限。可见,传统病毒防御架构的一个根本缺陷是主要功能实现集中在客户端,需要大量占用用户计算机资源,从而导致严重影响了用户计算机的正常使用,制约了病毒防御的效果。病毒特征码过于简单因为病毒数量太多,而病毒防御系统的特征码库过于庞大需要占用大量的内存资源,直接影响到病毒检测的效率和用户系统的可用性,所以必须使得提取的病毒特征码尽量短小。但病毒特征码的长度与区分度之间存在矛盾。在同样的编码方式下,病毒特征码越长,能够表示更多的特征信息。在实际应用中,出于效率的考虑,在提取特征码的时候往往对特征码长度有严格的限制,在一定程度上牺牲了特征码所表达的病毒特征。并且,随着病毒数目越来越多,用于病毒检测的特征码有越来越短的趋势;而随着病毒越来越复杂,病毒的实际特征有越来越复杂的趋势。这一矛盾的结果是,病毒特征码往往显得过于简单,这是造成病毒漏报和误报的一个很重要原因。对于计算机软件开发专业人员来说,自己正常编写的程序被病毒防御系统误报为病毒是一种并不少见的情况,尤其在使用汇编语言或者调用系统底层时。原因在于病毒防御系统使用的特征码过于简单,导致程序片段与病毒特征码所包含的特征重合的概率增加,即被误报为病毒的概率增加。系统容易被黑客或商业竞争对手攻击因为传统病毒防御架构的病毒查杀功能集中在客户端,而客户端程序是分发给所有用户的,因此其底层实现很容易被攻击者获取和破解分析。虽然可以采用软件加密技术实施一定的保护,但仍然存在很大的风险。年月国内某款著名杀毒软件发布,当天晚上其主要结构便被某团体破解,十天内便被完全破解分析,所采用的病毒检测算法和系统保护机制都暴露无遗。如果攻击者能够充分了解病毒防御系统的底层实现,自然能够针对性地编制恶意程序来绕过病毒防御系统的侦测机制,病毒查杀的效果和病毒防御系统本身的安全性都难以保证。硕士学位论文 .传统病毒防御架构的改进.基于行为的病毒检测因为病毒通常需要隐藏自身、接管系统、执行一些恶意操作,所以有一些行为是正常程序中比较少见的。通过监视程序运行时的行为,如果包含了病毒特有的行为集合,则认为程序中包含病毒。这种基于行为的病毒检测方法称为行为检测法【引。行为检测法的优点是可发现病毒的未知变种,可预报多数的未知病毒。因为只要程序执行了恶意的行为序列,便可判定为病毒。但行为检测法也存在着较大的缺点:系统开销大。行为检测法需要动态监控程序执行过程中的所有行为,并与病毒的特定行为集合进行比对,相对于直接静态比对代码段的特征码检测法,行为检测法实现起来较为复杂、系统开销也更大。可能误报。操作系统所提供的一般都是非常必要的,虽然有些程序行为非常特殊,但也是实际应用的需要。因此,某些特殊的应用程序可能执行的行为集合与病毒行为相接近,容易被行为检测法误判为病毒。不能准确地识别病毒的名称。对于一些隐蔽性非常强,或者结构复杂难以清除的病毒,需要准确识别出具体是哪种病毒,以便于彻底清除。行为检测法仅能检测到病毒的部分行为特征,虽然能够较好地及时发现异常检测到病毒存在,但不能准确识别出病毒名称,也就难以采取准确无误的措施进行后续的病毒处理。.基于虚拟机的病毒检测随着计算机病毒的不断进化,出现了多态性病毒。这种病毒在每次感染时使用不同的密钥对病毒代码进行加密,被感染文件中包含的病毒代码各不相同,即这是一种不断变形没有稳定代码的病毒。基于代码段比对的特征码检测技术对此类病毒完全失效,甚至所有静态分析的病毒检测方法对此类病毒都是基本无效的【。针对这种高级病毒,反病毒专家研究出基于虚拟机的病毒检测技术,通过软件模拟的方法,让多态性病毒在虚拟机中运行,病毒使用自身密钥进行解密进行文件感染和系统破坏,此时虚拟机既保护了用户系统又让病毒现出原形【】。目前大多数商用病毒防御系统的主动防御模块都包含基于虚拟机的病毒检测技术【。基于虚拟机的病毒检测存在的缺点:系统开销大。虚拟机通过软件模拟硬件构造出一个操作系统环境,本身就体硕士学位论文 积庞大、结构复杂,需要占用大量的计算和存储资源,而将用户文件导入虚拟机中模拟运行以动态检测变形病毒,更需要占用用户计算机的计算和存储资源。在本已庞大的病毒防御系统中嵌入虚拟机,对用户计算机来说是一个难以承受的负担。难以大规模使用。基于虚拟机的病毒检测主要针对不断变形的多态性病毒,如果对所有的用户文件都采用这种方法,每个文件都需要载入虚拟机运行一遍才能判断文件安全性,而有些用户文件的运行可能是非常耗时的,整个病毒防御系统的效率将非常低下。对于不知道是否隐藏了高级变形病毒的用户文件,病毒防御系统中的虚拟机是应该开启还是不开启昵由于对用户系统的性能影响太大,一般病毒防御系统中基于虚拟机的病毒检测默认是关闭的,而用户自己也很少手动开启这一功能。.基于人工智能的病毒防御技术采用人工智能领域的方法来建立病毒防御系统一直是信息安全领域的一大研究热点,使用人工智能技术的目的是为了实现病毒特征码提取和病毒实时检测的自动化。这方面的研究成果较多,人工智能的多个分支如神经网络、数据挖掘、机器学习等都有在病毒防御领域的尝试。基于人工智能的病毒防御技术存在的缺点:系统开销大。人工智能算法大多比较复杂,实现比较困难。以神经网络为例,需要对多层次多个节点构成的网络进行训练。当病毒数目过多、需要检测的用户文件数目巨大时,用户计算机系统需要承受的算法负担太大,难以使用。时间复杂度高。人工智能算法往往需要多次迭代的学习过程,根据病毒和正常程序在统计规律上的差异性来进行病毒防御,难以满足实时监测的需要。此外,病毒进化速度越来越快,病毒特征的统计规律也是不断变化的,因此人工智能算法需要不断地反馈训练参数来适应病毒的快速进化,难以比较快地收敛到一个稳定状态。.多引擎病毒防御系统为了追求在等国际权威病毒测试上的表现,一些安全厂商采用多引擎的病毒防御系统。多引擎的病毒报告集是每个引擎病毒报告集的并集,虽然能更好地覆盖病毒测试的病毒样本集,但这并不是一种很好的解决方案,无法为整个病毒防御系统的使用体验带来质的提升。硕士学位论文 多引擎病毒防御系统采用多套独立的病毒防御系统。一种是多个病毒防御引擎叠合使用;一种是用不同的系统处理不同种类的病毒。多引擎病毒防御系统的缺点:多引擎病毒防御系统的系统开销至少不会比单引擎系统要小。整套病毒防御系统的体积急剧增加,因为整合率低下,接近于所包含的多个引擎之和。结构复杂难以管理。多引擎病毒系统复杂的架构容易造成多个模块之间的管理困难,重叠的防护机制隐含出现相互冲突和安全漏洞的风险。.云杀毒在云计算技术迅速发展的背景之下,云计算也被应用到病毒防御领域。虽然不乏商家炒作成分,但确实给病毒防御带来诸多技术革新。比如,轻客户端策略被广泛应用,采用云架构的服务器计算能力和存储空间相对个人计算机而言近乎无穷大,文件病毒检测转移到服务器端等等。遗憾的是,云杀毒概念主要是信息安全厂商提出的技术解决方案,目前发表的相关学术研究论文还比较少。趋势科技的云杀毒趋势科技的” ”主要服务对象为企业级用户,根据趋势科技官方示例,当用户收到一封含有网络链接的电子邮件时,会按以下步骤进行:在.信誉服务器上检查该电子邮件的发送源地址是否为安全可信源地址。若服务器中记录显示邮件源地址为恶意地址,则转步骤;否则进入步骤。检查邮件中含有的所有网页链接。对邮件中包含的每个链接,访问.信誉服务器,检查该链接是否为安全可信.。若服务器中记录有邮件中的某个链接为恶意链接,则转步骤;否则进入步骤。对链接页面的组件和重定向页面进行详尽的安全分析。提取该链接的标识和安全信息添加到?可信度检测服务器中。如果未发现安全风险,转步骤;否则转步骤。用户接收到的.可以安全打开。用户接收到的.中含有安全风险,对用户提出风险警示。由此可见,趋势科技的云杀毒可以理解为基于一个的可信度数据库的查询服务。由于数据库非常庞大,必须建立在大量服务器集群的基础之上。在趋势科技的云杀毒概念中,趋势科技的服务器集群组成一个云,而客户端主要执行可信度查询任务。硕士学位论文趋势科技云杀毒方案强调的是在安全风险到达用户计算机之前就予以拦截,侧重于在企业网关这一节点上进行安全检测,对于已经存在于本地计算机上的安全威胁,或者通过其它渠道入侵到用户系统中的安全威胁,该方案的病毒防御能力有限。云安全以云安全对网页的检测防护为例:访问页面信誉数据库。如果数据库中记录该用户访问的网址是不安全的,则转步骤;否则转步骤。由页面抓取机群运用搜索引擎技术抓取当前用户所访问页面的内容。将结果交给网页挂马检测机群,运用自动化分析技术和虚拟机技术,主动分析页面内容中是否存在危险代码、是否存在视图攻击客户机的行为。用网页分析的结果信息更新页面信誉数据库。如果网页内容安全,则转步骤:如果网页内容存在风险,则转步骤。用户顺利访问网页内容。警告用户,所访问的页面存在安全风险。的云安全系统有两个特点:一是完全不再使用本地特征码扫描,把轻客户端策略发挥到极致。这样病毒防御系统对用户计算机造成的负担最小,使得用户计算机的速度得到提高。二是利用云计算技术,收集将近亿个文件的安全信息,即危险文件黑名单。当云安全系统扫描用户计算机上的文件时,它会连接到云端,查找用户文件的黑白名单,判断用户文件是否存在安全风险。目前云杀毒的缺陷云杀毒不仅能最大化地释放用户计算机的资源、提高用户计算机的可用性,而且因为病毒检测的功能实现隐藏在服务器端,一般人难以接触,因此有效地提高病毒防御系统自身的安全性。目前,国内外主要的信息安全厂商都推出了各自的云杀毒解决方案,成为病毒防御领域的一大研究热点。但是,目前云杀毒方案还存在着一些不足:检测对象过于简单。云杀毒是一种基于信息指纹的信誉检测服务。例如云杀毒的网页检测一般都基于对地址的信誉检测,地址的可信度记录是否需要更新则基于页面文件的信息指纹。虽然常用的信息指纹算法具有很高的安全性和很低的碰撞率,但是云杀毒涉及的文件数目实在太大,指纹碰撞的情况依然还是存在的。而由于云杀毒用户覆盖面太广,一旦发生指纹碰撞造成病毒误报,影响的覆盖面会很大。因此,在这一领域,不宜直接使用信息指纹作为判断的依据。硕士学位论文 用户隐私保护问题。云杀毒需要将大量的用户文件上传到服务器进行分析,如何保护用户隐私是一个很重要的问题,却长期受到忽视。如何区分不同文件。云杀毒涉及到的文件数目太大,而许多文件具有高度的相似性。对一个文件的某些部分进行大量修改,可能都不会影响文件安全性,则原始文件和修改后的文件可以共用一份安全性记录;而对一个文件的另一些部分进行轻微修改,可能就是一个病毒新变种。.本章小结本章首先介绍了传统病毒防御架构的客户端和服务器端设计,指出传统病毒防御架构难以适应病毒防御的形势需要,迫切需要改变。然后介绍传统病毒防御架构的几种重要改进方案,分别指出每种改进方案的不足之处。这些改进大多因为系统开销过大而在实际应用中难以达到理想效果。作为一种重要的改进,云杀毒采用轻客户端策略,很大程度上减少了病毒防御系统对用户计算机资源的消耗。但同时,当前流行的云杀毒方案也存在着一些不够完善的地方。硕士学位论文 第章新型病毒防御架构.新型病毒防御架构介绍.新型病毒防御架构客户端设计新型病毒防御架构客户端的基本设计如图.所示:图.新型病毒防御架构客户端设计图当用户计算机的文件系统从外界接收到可信度未知的文件,比如用户进行网络下载或者通过接口拷贝文件时,病毒防御系统的边界防御驱动会感知到这一用户行为,于是向病毒防御系统发送消息,启动病毒防御流程。对用户文件系统中新增的每一个可信度未知文件,由边界防御驱动和文件扫描模块协作,从中选取一个文件,按如下步骤进行病毒检测:曲访问用户计算机本地的近期高发病毒库,对文件进行特征码匹配。如果能够匹配,说明该文件中包含近期高发病毒,转步骤;如果不能匹配,说硕士学位论文 明该文件中不包含近期高发病毒,但还需要进一步仔细检测,转步骤。根据文件的类型,按照文件拆解规范对用户文件进行拆解,拆解出与病毒检测相关的文件关键节区。转步骤。对文件关键节区求信息指纹,将该信息指纹上传到病毒防御服务器进行检测。病毒防御服务器接收到信息指纹后,访问危险文件指纹库,检测用户查询的是否为危险文件。如果该信息指纹在病毒防御服务器的危险文件指纹库中有记录,说明用户文件存在危险,需要进一步检测,转步骤;如果该信息指纹在病毒防御服务器中没有记录,说明该文件安全,转步骤。病毒防御服务器将指纹检测结果返回到用户计算机。客户端将文件关键节区上传到病毒防御服务器进行进一步检测,转步骤。病毒防御服务器接收到文件关键节区后,依次经过各个病毒侦测引擎对用户文件进行病毒检测。如果文件确实不包含病毒,转步骤;如果文件包含病毒,病毒防御服务器更新危险文件指纹库,并转步骤。判定用户文件包含病毒,由文件处理模块进行病毒文件处理,如病毒文件的清理、隔离和备份等。判定用户文件安全。在新型病毒防御架构中,假设一个文件中确实包含病毒,则依次通过三个层次的检测:.用户计算机本地高发病毒库检测;.文件信息指纹检测;.将用户文件关键节区上传到服务器进行全面检测。并不是所有用户文件都需要上传到服务器,也不是将完整的用户文件上传到服务器。这样多层级的设计提高了用户计算机资源的利用效率,减少了需要上传到病毒防御服务器的文件数量,降低了病毒防御系统产生的网络流量和服务器负载。.新型病毒防御架构服务器端设计新型病毒防御架构服务器端的基本设计如图.所示:硕士学位论文 训以什姗砸一病毒检测引擎集群病毒样本搜集机制、客户端 /蜘电靠样本预处理 目日口十提取用户文件指纹上基于行为的病毒检测引擎文件拆解与上传智能识别分类器系统组件与病毒库升级模块: 、,占/ 、样本分折结果反馈机制 吝询童件指纹危险文件指纹提取 。病毒特征码提取 一病毒疫情统计分析一特殊病毒专项分析更新 更新 更新 更新奈喜高三剖三多司专杀工具包危险文件指纹库 完整病毒特征码库 近期高发病毒库, 、 、 一一,一、?/、?更新亨户端 更新事户端图.新型病毒防御架构服务器端设计图在新型病毒防御架构的服务器端,通过病毒样本搜集机制搜集到的样本,经过样本预处理后送到病毒检测引擎集群进行处理,经过一系列病毒检测模块的检测之后,将分析的结果反馈给用户。如果在服务器端进行分析的文件确实包含病毒,则需要对服务器端数据库进行一系列更新:幻提取危险文件的文件指纹,加入到病毒防御服务器的危险文件指纹库中。提取病毒特征码,加入到病毒防御服务器的病毒特征码库中。对一段时间内的病毒疫情进行统计分析,更新近期高发病毒库。对于危害特别大、影响特别广的病毒,要进行专项分析,及时推出针对性的专杀工具包。在服务器端更新近期高发病毒库和专杀工具包之后,需要及时将更新推送到客户端。硕士学位论文.新型病毒防御架构详细说明新型病毒防御架构设计的主要着眼点在于针对传统病毒防御架构所存在的问题进行改进。最基本的思路是将传统病毒防御架构集中于客户端的病毒检测功能转移到服务器端,从而有效缓解用户计算机的资源压力,利用服务器端强大的计算能力和相对丰富的存储资源来整体性提高病毒防御能力。.新型病毒防御架构需解决的两个问题既然新型病毒防御架构将病毒检测的主要功能转移到服务器端,势必需要将用户文件上传到服务器端进行病毒检测。因此,新型病毒防御架构主要面临两个方面的困难:用户文件的隐私保护。对海量的用户文件进行病毒检测会造成非常巨大的网络流量和服务器负载。不解决这两个问题,新型病毒防御架构难以具备实际应用的价值。、隐私保护将用户文件传送到病毒防御服务器,必须要考虑到用户的隐私保护问题。据上海青年报年月日报道,中国科学院信息工程研究所主办的隐私保护学术研讨会上,由中科院保密技术攻防重点实验室研究撰写的个人隐私泄露风险的技术研究报告显示【】:国内著名安全产品存在着诸多重大安全问题,该报告对社会舆论造成较大影响。出于商业竞争考虑,一些厂商通过安全产品来抢占用户上网关键环节,甚至不惜侵犯用户隐私。从长期来看,这样做对行业的发展非常有害。从前文可以看出,将病毒防御的业务逻辑从用户计算机转移到服务器是技术发展的趋势,能够很好地解决传统病毒防御架构大量占用用户资源、系统安全性不足等问题。但是,如果忽视用户隐私保护,甚至以信息安全的名义侵害用户隐私,必然会拖累整个安全领域的技术进步。这个问题已经超出了单纯的技术范畴,需要有关监管部门建立相应的法律法规,对此本文不做深究。从技术的角度,新型病毒防御架构对于隐私保护有两点考虑:曲文件拆解规范在新型病毒防御架构中,将用户文件进行拆解,只选取用户文件中可能隐藏病毒的关键区段上传到病毒防御服务器进行病毒检测,而用户文件的其它数据部分则不进行上传。这体现了“最小责任原则,即病毒防御系统只做它必须做的最少的事情,保证了与病毒防御不相关的用户数据不被非法访问。在新型病毒防御架构设计中,用户的资料文档不上传到服务器、用户程序仅提硕士学位论文 取出部分内容上传到服务器,从而有效地防止了用户数据的泄露,维护了用户私有信息的隐私保护。文件拆解规范的详细说明参见本文.节。开源因为病毒查杀的业务逻辑从客户端转移到服务器端,用户计算机上的客户端被设计得非常轻量级。因此,除了自保护模块以外,病毒防御系统的客户端模块,特别是与文件拆分和文件上传相关的模块,可以选择开源策略,保证对用户文件的上传是光明正大的,不会暗中窃取用户隐私。对于不便于开源的组成模块,也可以考虑通过第三方公证等方法来保证用户隐私不受侵犯。负载过大一台个人计算机上的文件就数以百万计,即便是面向机构内部使用的病毒防御系统,假设机构内部计算机台数为数百台,则需要扫描的文件总数达到的数量级。而面向全球个人用户的病毒防御系统,其用户数便达到的数量级,需要扫描的文件总数达到的数量级,可谓海量数据。当病毒防御系统用户数量较大时,就存在需要检测的文件数目过多、