本發(fā)明涉及惡意程序檢測技術(shù)和網(wǎng)絡(luò)安全領(lǐng)域�,特別涉及一種基于虛擬執(zhí)行的未知惡意程序離線檢測系統(tǒng)。
背景技術(shù):
:隨著信息與通信技術(shù)�����、傳感與測量技術(shù)���、先進(jìn)的設(shè)備技術(shù)以及先進(jìn)的控制技術(shù)的高速發(fā)展���,高級(jí)惡意軟件攻擊對(duì)工業(yè)控制網(wǎng)絡(luò)產(chǎn)生很大安全隱患。作為工業(yè)控制網(wǎng)絡(luò)的重要部分�����,智能電網(wǎng)也面臨著巨大的威脅�。目前在智能電網(wǎng)領(lǐng)域帶有保護(hù)、測量��、控制、計(jì)費(fèi)等功能的智能電子設(shè)備在電網(wǎng)中被大量使用���,為提高智能電子設(shè)備之間的互操作性及互操作的實(shí)時(shí)性�,滿足國際標(biāo)準(zhǔn)(如IEC61850)的通信服務(wù)模塊也被采用����。相比傳統(tǒng)電網(wǎng),用于互連互通的網(wǎng)元(工業(yè)交換機(jī)�����、路由器����、網(wǎng)管服務(wù)器等)成為新型電網(wǎng)基礎(chǔ)設(shè)施的重要組成部分�,因此電力系統(tǒng)自動(dòng)化、智能化得到了前所未有的發(fā)展��。然而����,ICT技術(shù)的廣泛應(yīng)用促進(jìn)電網(wǎng)快速發(fā)展的同時(shí),也帶來許多新的挑戰(zhàn)�����,尤其是近年來專門針對(duì)智能電網(wǎng)系統(tǒng)的新型高破壞性攻擊事件頻發(fā),嚴(yán)重威脅著人們的人身安全�����、資產(chǎn)安全和國家環(huán)境���、能源安全��。為了遏制未知威脅攻擊系統(tǒng)�����,保護(hù)用戶數(shù)據(jù)免受不法分子竊取����,最大程度的減小由于威脅入侵帶來的損失�����,更方便地控制未知威脅的擴(kuò)散���、攻擊等行為���,需要有可靠的檢測手段對(duì)未知威脅進(jìn)行識(shí)別和分析����。對(duì)現(xiàn)有文件檢索發(fā)現(xiàn)�,當(dāng)前主要有兩類未知惡意程序檢測方法。中國專利申請(qǐng)?zhí)?01310573299.5��,發(fā)明名稱“一種基于病毒樣本特征的檢測方法�����、檢測裝置及檢測系統(tǒng)”�����,通過對(duì)實(shí)際腳本進(jìn)行詞法���、語法分析,確定實(shí)際腳本中每個(gè)詞語單元的單詞類型�����、語句類型、集合�,并根據(jù)單詞類型和語句類型集合獲取實(shí)際腳本的虛擬腳本集合,檢測對(duì)虛擬腳本集合進(jìn)行虛擬執(zhí)行的結(jié)果���,判定是否為腳本病毒�����。該專利提供的方案是對(duì)腳本語言進(jìn)行分析�����,檢測手段單一���,而且準(zhǔn)確率無法保證。隨著攻擊技術(shù)的快速更新�����,攻擊者所采用的攻擊代碼不斷偽裝迭代�,僅根據(jù)現(xiàn)有的腳本集合難以應(yīng)對(duì)最新的攻擊代碼,該專利所提出的檢測方法很難應(yīng)對(duì)����。中國專利申請(qǐng)?zhí)?01310084544.6,發(fā)明名稱“一種基于虛擬執(zhí)行的病毒檢測系統(tǒng)”通過病毒樣本收集器收集未知病毒,并通過虛擬機(jī)執(zhí)行未知病毒����,然后得 到該病毒的執(zhí)行行為報(bào)告,最后對(duì)執(zhí)行的未知病毒行為報(bào)告進(jìn)行分析����,判斷該未知病毒是否為病毒。該專利提供的方案是對(duì)所有已進(jìn)入的未知病毒進(jìn)行虛擬執(zhí)行�����,需要讓每一個(gè)進(jìn)來的未知文件在虛擬系統(tǒng)中運(yùn)行至少一個(gè)周期����,面對(duì)很多程序時(shí),不僅耗費(fèi)大量時(shí)間�����,而且對(duì)硬件資源的占用率也很高���。技術(shù)實(shí)現(xiàn)要素:針對(duì)以上檢測技術(shù)在檢測大量��、高級(jí)惡意程序攻擊時(shí)所存在的不足,本發(fā)明提供了一種基于虛擬執(zhí)行的未知惡意程序離線檢測系統(tǒng),該系統(tǒng)采用多種檢測機(jī)制相結(jié)合的檢測系統(tǒng)���,不僅可以通過病毒檢測來對(duì)現(xiàn)有文件類型進(jìn)行快速分析��,還可以跟蹤系統(tǒng)調(diào)用來對(duì)未出現(xiàn)過的威脅程序進(jìn)行軟件行為特征分析��,并觀察分析內(nèi)存和指令的變化���,從而能夠在漏洞利用階段就發(fā)現(xiàn)高級(jí)惡意軟件攻擊,從而規(guī)避了漏洞利用后高級(jí)惡意程序針對(duì)沙箱檢測的逃避技術(shù)��。本發(fā)明所實(shí)現(xiàn)的系統(tǒng)具體技術(shù)方案如下:一種基于虛擬執(zhí)行的未知惡意程序離線檢測系統(tǒng)��,其特點(diǎn)在于����,包括:文件導(dǎo)入,用于導(dǎo)入待檢測的威脅未知的文件�;惡意程序檢測系統(tǒng),用于對(duì)待檢測文件進(jìn)行綜合檢測���;日志系統(tǒng)�,用于記錄檢測過程中攻擊行為和代碼特征���;威脅內(nèi)容分析���,用于分析所檢測到的惡意程序威脅詳情����。本系統(tǒng)采用用戶直接導(dǎo)入和遠(yuǎn)程批量導(dǎo)入兩種離線文件導(dǎo)入方式���。所述離線文件是指待檢測的威脅未知的文件����,一般是指采用偽裝��、嵌入常用文件等主要方法產(chǎn)生的惡意程序��,本系統(tǒng)支持包含了當(dāng)前主要常用文件�����,包括pdf���、xls��、doc�����、exe等類型�����。用戶直接導(dǎo)入是指系統(tǒng)提供控制界面���,由用戶選擇需要檢測的文件,直接導(dǎo)入到系統(tǒng)����;遠(yuǎn)程批量導(dǎo)入是指由用戶提供遠(yuǎn)程導(dǎo)入文件的權(quán)限,系統(tǒng)支持基于SMB協(xié)議的遠(yuǎn)程網(wǎng)絡(luò)資源共享方式導(dǎo)入遠(yuǎn)程的大批量文件�����。只要用戶提供相應(yīng)權(quán)限�,即可實(shí)現(xiàn)文件的遠(yuǎn)程批量導(dǎo)入。所述病毒檢測是指基于惡意代碼特征的病毒檢測�。對(duì)于導(dǎo)入計(jì)算機(jī)上的文件,提取其靜態(tài)特征����。靜態(tài)特征提取主要方式是提取文件中包含的字符串���。特征項(xiàng)可以有字符串描述方式、特征資源描述方式�、二進(jìn)制描述方式,而無論是哪一種都需要申請(qǐng)系統(tǒng)資源來完成自身的功能���,在所有的應(yīng)用程序之間找到了一個(gè)共性:需要通過調(diào)用系統(tǒng)底層的APl函數(shù)來實(shí)現(xiàn)自身的功能���,而這些API函數(shù)無疑會(huì)在該應(yīng)用程序文件中出現(xiàn)。因此我們采用字符串描述方式作為文件特征的描述方式��,這些字符串可以反映出該文件的特性�����。本發(fā)明使用病毒檢測技術(shù)的主要目的是將待測文件中感染了已知病毒的文件快速篩選檢測出來����,將較為消耗資源的動(dòng)態(tài)檢 測方法集中用于未知惡意程序的檢測。所述靜態(tài)檢測�����,主要關(guān)注與攻擊威脅中造成溢出等漏洞利用的特征����,雖然需要基于已知的漏洞信息��,但是檢測精度高�����,并且針對(duì)利用同一漏洞的不同惡意軟件,可以使用一個(gè)檢測規(guī)則做到完整的覆蓋����。本發(fā)明增加了智能Shellcode檢測部分。Shellcode是惡意軟件攻擊中一段可執(zhí)行代碼����。傳統(tǒng)惡意程序內(nèi)部結(jié)構(gòu)一般都有固定的填充字段和功能字段,因此基于模式匹配和反匯編技術(shù)靜態(tài)檢測方法能有效檢測出在文件中的Shellcode代碼��。然而隨著多態(tài)和變形技術(shù)的發(fā)展���,惡意文件內(nèi)部的功能字段都經(jīng)過了編碼和加密��,當(dāng)Shellcode代碼隱藏其中時(shí)�����,簡單的模式匹配和反匯編就不能檢測出Shellcode代碼��。并且在傳統(tǒng)Shellcode檢測的基礎(chǔ)上�����,增加文件動(dòng)態(tài)解碼的功能��。首先從待檢測文件隊(duì)列中取出文件��,然后判斷文件是否需要解碼���,如不需要解碼���,則直接進(jìn)行Shellcode檢測,如需要解碼���,則通過對(duì)文件動(dòng)態(tài)解碼�,還原出功能字段����,最后檢測出Shellcode。該檢測方法能有效針對(duì)多態(tài)Shellcode的逃避技術(shù)。所述動(dòng)態(tài)檢測是指動(dòng)態(tài)檢測模塊通過虛擬機(jī)技術(shù)建立多個(gè)不同的應(yīng)用環(huán)境��,觀察程序在其中的行為���,來判斷是否存在攻擊��。這種方式可以檢測已知和未知威脅�����,并且因?yàn)榉治龅氖钦鎸?shí)應(yīng)用環(huán)境下的真實(shí)行為�,因此可以做到極低的誤報(bào)率���,而較高的檢測率?�?紤]到檢測目標(biāo)是未知惡意程序��,其行為和特征都不詳���,需要從多個(gè)層面進(jìn)行深入分析��。因此��,系統(tǒng)從進(jìn)程���、文件��、注冊(cè)表�����、網(wǎng)絡(luò)���、漏洞利用等多個(gè)維度提供告警數(shù)據(jù),為最終的定性提供數(shù)據(jù)支撐����。虛擬執(zhí)行檢測技術(shù)采用和沙箱檢測不同的虛擬機(jī)機(jī)制,不僅可以通過對(duì)系統(tǒng)調(diào)用的跟蹤來分析軟件的行為特征����,而且可以觀察分析內(nèi)存和指令的變化。漏洞利用的過程�����,必然涉及到內(nèi)存和指令的變化�,也包括繞過操作系統(tǒng)保護(hù)機(jī)制采取的特定方式��。因此基于虛擬執(zhí)行技術(shù)這種更深層次的虛擬機(jī)技術(shù)���,能夠防止針對(duì)沙箱檢測的逃避技術(shù),漏洞利用階段的高級(jí)惡意軟件�����。虛擬執(zhí)行檢測技術(shù)的過程包括:1)根據(jù)動(dòng)態(tài)檢測策略�,生成虛擬執(zhí)行環(huán)境;2)將流量重組文件還原模塊還原的文件放入文件存儲(chǔ)隊(duì)列��;3)從文件存儲(chǔ)隊(duì)列中取出待檢測的文件��;4)將文件使用不同的軟件版本打開并放到多個(gè)虛擬機(jī)環(huán)境下執(zhí)行���,以便判別漏洞針對(duì)的系統(tǒng)和軟件版本;5)觀察待檢測文件被觸發(fā)后���,內(nèi)存指令層面的變化�,判斷是否存在高級(jí)惡意軟件攻擊�;6)觀察待檢測文件在虛擬機(jī)中的后續(xù)行為特征,包括文件和網(wǎng)絡(luò)的訪問�����、注冊(cè)表的修改、進(jìn)程的變化和檢測系統(tǒng)具備指令級(jí)的代碼分析能力���,可以跟蹤分析指令特征以及行為特征���。指令特征包括了堆、棧中的代碼執(zhí)行情況等���,通過指 令運(yùn)行中的內(nèi)存空間的異常變化�,可以發(fā)現(xiàn)各種溢出攻擊等漏洞利用行為�,發(fā)現(xiàn)0day漏洞。所述日志系統(tǒng)是指在檢測完成后系統(tǒng)記下此次未知程序的攻擊行為和代碼特征���,方便后續(xù)對(duì)攻擊情況進(jìn)行統(tǒng)計(jì)分析�。所述威脅內(nèi)容分析是指檢測系統(tǒng)具備指令級(jí)的代碼分析能力���,可以跟蹤分析指令特征以及行為特征�。指令特征包括了堆�����、棧中的代碼執(zhí)行情況等,通過指令運(yùn)行中的內(nèi)存空間的異常變化�,可以發(fā)現(xiàn)各種溢出攻擊等漏洞利用行為,發(fā)現(xiàn)0day漏洞���。附圖說明圖1是本發(fā)明基于虛擬執(zhí)行的未知惡意程序離線檢測系統(tǒng)的結(jié)構(gòu)示意圖圖2是本發(fā)明基于虛擬執(zhí)行的未知惡意程序離線檢測系統(tǒng)的檢測流程圖具體實(shí)施方式本發(fā)明實(shí)施例在以本發(fā)明技術(shù)方案為前提下實(shí)施�����,給出了詳細(xì)的實(shí)施方式和具體的操作過程���,但本發(fā)明的保護(hù)范圍不限于下面的實(shí)施例,下面對(duì)本發(fā)明的實(shí)施例作詳細(xì)說明���。下面參照附圖�,對(duì)本發(fā)明的具體實(shí)施方式作進(jìn)一步的詳細(xì)描述���。圖1是本發(fā)明基于虛擬執(zhí)行的未知惡意程序離線檢測系統(tǒng)的結(jié)構(gòu)示意圖�����,如圖所示,包括:離線文件102����、惡意程序檢測系統(tǒng)106���、日志系統(tǒng)107和威脅分析報(bào)告108,其中離線文件102有本地文件導(dǎo)入100和遠(yuǎn)程文件導(dǎo)入101兩種導(dǎo)入方式��,惡意程序檢測系統(tǒng)106包括病毒檢測103��、靜態(tài)檢測104和動(dòng)態(tài)檢測105�。本發(fā)明的總體運(yùn)行流程為:首先按照需求導(dǎo)入程序文件(本地文件導(dǎo)入100或遠(yuǎn)程文件導(dǎo)入101),然后啟動(dòng)惡意程序檢測系統(tǒng)106����,若果檢測出結(jié)果為威脅程序,則生成并輸出威脅檢測報(bào)告108�����,并將攻擊行為和代碼特征寫入日志系統(tǒng)107��。離線文件102為待檢測的威脅未知的文件����,一般是指采用偽裝、嵌入常用文件等主要方法產(chǎn)生的惡意程序�����。本系統(tǒng)支持包含了當(dāng)前主要常用文件���,具體支持包括如下七大類文件:文件類型擴(kuò)展名office文件.ppt/.pptx���、.doc/.docx�����、.xls/.xlsx����、.rtf可執(zhí)行文件.exe����、.dll、.com���、.scr��、.pif�、.batflash文件.swfjava文件.class、.jarpdf文件.pdf網(wǎng)頁文件.html��、.xml���、.js壓縮文件.zip、.rar�����、.gzip����、.gz、.tar�����、.7z�、.bz2本地文件導(dǎo)入100指提供控制界面,由用戶選擇需要檢測的文件�����,直接導(dǎo)入到系統(tǒng)����;遠(yuǎn)程文件導(dǎo)入101指由用戶提供遠(yuǎn)程導(dǎo)入文件的權(quán)限�����,系統(tǒng)支持基于SMB協(xié)議的遠(yuǎn)程網(wǎng)絡(luò)資源共享方式導(dǎo)入遠(yuǎn)程的大批量文件�����,當(dāng)用戶提供相應(yīng)權(quán)限時(shí)��,可實(shí)現(xiàn)文件的遠(yuǎn)程批量導(dǎo)入�����。圖2是本發(fā)明基于虛擬執(zhí)行的未知惡意程序離線檢測系統(tǒng)的檢測流程圖�,本發(fā)明的具體實(shí)施步驟如下:1)�����、系統(tǒng)完成初始化200后�����,由用戶選擇由系統(tǒng)控制界面直接導(dǎo)入100或基于SMB協(xié)議遠(yuǎn)程批量導(dǎo)入101的方式將待檢測文件導(dǎo)入到系統(tǒng)的文件存儲(chǔ)隊(duì)列203���。2)�����、同時(shí)��,系統(tǒng)讀取檢測策略204并根據(jù)預(yù)先設(shè)定的檢測策略205分別啟動(dòng)各檢測引擎206���,具體檢測引擎檢測方法如下:a)病毒檢測引擎207從文件存儲(chǔ)隊(duì)列中獲取文件并進(jìn)行病毒檢測210,通過檢測惡意代碼特征��,將待測文件中感染了已知病毒的文件快速篩選檢測出來��,把較為消耗資源的動(dòng)態(tài)檢測方法集中用于未知惡意程序的檢測執(zhí)行��;b)靜態(tài)檢測引擎208從文件存儲(chǔ)隊(duì)列中獲取文件211���,判斷文件是否采用了變形技術(shù)逃避檢測�����,如果是����,則對(duì)對(duì)應(yīng)功能字段解碼還原,接著對(duì)還原后的文件進(jìn)行ShellCode檢測�����,檢測攻擊威脅中造成溢出等漏洞利用的特征���;c)動(dòng)態(tài)檢測引擎209從文件存儲(chǔ)隊(duì)列中獲取文件���,按照檢測策略將文件放入不同虛擬執(zhí)行環(huán)境217進(jìn)行動(dòng)態(tài)檢測212。檢測過程中首先根據(jù)預(yù)先設(shè)定的檢測策略生成虛擬執(zhí)行環(huán)境213�����,如WinXP和Win7等��,因此某些類型的惡意程序主要利用WinXP系統(tǒng)的漏洞�,而在Win7系統(tǒng)中沒有效果;某些帶有惡意代碼的word文件是針對(duì)word2003缺陷設(shè)計(jì)的����,在word2007環(huán)境下則無法運(yùn)行。根據(jù)文件在虛擬機(jī)技術(shù)建立多個(gè)不同的應(yīng)用環(huán)境中的運(yùn)行行為����,來判斷其是否存在攻擊���。可以檢測未知威脅�����,并且因?yàn)榉治龅氖钦鎸?shí)應(yīng)用環(huán)境下的真實(shí)行為�����,因此可以做到極低的誤報(bào)率���,而較高的檢測率。在檢測過程中�����,可以靈活設(shè)定檢測策略�����;即可只啟用一類檢測引擎以加快檢測速度��,也可以啟動(dòng)多個(gè)檢測引擎�����、設(shè)定多種動(dòng)態(tài)檢測虛擬執(zhí)行環(huán)境以提高檢測準(zhǔn)確率。3)����、日志系統(tǒng)107是指在檢測完成后系統(tǒng)記下此次未知程序的攻擊行為和代碼特征,方便后續(xù)對(duì)攻擊情況進(jìn)行統(tǒng)計(jì)分析�。4)、威脅內(nèi)容分析108是指檢測系統(tǒng)所檢測的病毒檢測告警信息218���、靜態(tài) 檢測告警信息219���、動(dòng)態(tài)檢測告警信息220,其中病毒檢測告警信息218包含了病毒的來源��、請(qǐng)求的外部鏈接等����;靜態(tài)檢測告警信息219是指對(duì)ShellCode檢測出的漏洞利用情況等;動(dòng)態(tài)檢測告警信息220是指系統(tǒng)進(jìn)行指令級(jí)的代碼分析����,并跟蹤分析指令特征以及行為特征。其中指令特征包括了堆����、棧中的代碼執(zhí)行情況等�,分析指令運(yùn)行中的內(nèi)存空間的異常變化��,系統(tǒng)同時(shí)跟蹤進(jìn)程的創(chuàng)建中止�,進(jìn)程注入,服務(wù)���、驅(qū)動(dòng)��,注冊(cè)表訪問���、改寫�,文件訪問、改寫���、下載����,程序端口監(jiān)聽���,網(wǎng)絡(luò)訪問行為等行為特征�,系統(tǒng)根據(jù)以上行為特征,綜合分析找到屬于攻擊威脅的行為特征�����,進(jìn)而發(fā)現(xiàn)0day木馬等惡意軟件��。5)�����、動(dòng)態(tài)檢測中考慮到檢測目標(biāo)是未知惡意程序��,其行為和特征都不詳���,需要從多個(gè)層面進(jìn)行深入分析���。因此,系統(tǒng)從進(jìn)程��、文件����、注冊(cè)表、網(wǎng)絡(luò)���、漏洞利用等多個(gè)維度提供告警數(shù)據(jù)�,為最終的定性提供數(shù)據(jù)支撐。本系統(tǒng)提供的告警信息如下表所示:最后所應(yīng)說明的是���,以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案而非限制���,盡管參照較佳實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)說明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解�,可以對(duì)發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換,而不脫離本發(fā)明技術(shù)方案的精神和范圍����,其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中。當(dāng)前第1頁1 2 3