技術領域

本發明屬于信息系統安全領域，特別涉及一種基于網絡指紋的軟件動態可信認證方法。

背景技術

隨著軟件規模的不斷增大，軟件的開發、集成和演化變得越來越復雜，這導致軟件產品在推出時總會含有很多已知或未知的缺陷。這些缺陷對軟件系統安全的可靠運行構成了嚴重的威脅；另一方面，軟件的運行和開發環境從傳統的靜態封閉的狀態變成互聯網環境下動態開放的狀態。越來越多的軟件漏洞和缺陷被發現并被惡意攻擊者頻繁利用。

為了保障軟件的運行安全，目前安全界采用了多種防護手段和技術。典型的包括：數據完整性驗證技術、特征值檢測技術、虛擬機技術、啟發式掃描技術、主動防御技術、防火墻技術、補丁自動修補技術、云查殺技術等。

數據完整性驗證技術目前已經被很多安全軟件所采用，其缺陷在于無法保障軟件運行過程中動態行為的可信性，且需要提前獲得允許運行軟件的數據完整性校驗值。

特征值檢測技術在檢測已知病毒上效果良好，但卻無法檢測未知病毒，且已知病毒在經過免殺處理之后極易繞過特征值檢測技術。

啟發式掃描技術根據惡意軟件的代碼及行為特征經驗來判定病毒，其可檢測未知病毒，但誤報率較高，且也容易被惡意攻擊者通過巧妙設計軟件行為來繞過。

虛擬機技術結合特征值檢測后可以有效對抗已知的加密型病毒，但對未知病毒依然無能為力，且虛擬機機制也容易被病毒檢測到和繞過。

主動防御技術對疑似危險行為進行了攔截，但卻沒有考慮軟件行為主體自身的行為特性，因此誤報率較高，目前的主動防御技術也存在被繞過甚至被終結的風險。

防火墻技術基于預定規則對網絡進出數據進行過濾，可有效抵擋一部分已知的入侵行為，但無法抵抗未知的攻擊，容易被繞過。

補丁自動修補技術能夠及時地修補已知漏洞，保護系統的安全性，但是目前地下市場有大量的0Day漏洞，其對這些沒有補丁的漏洞無能為力。

云查殺技術將病毒判定過程從原來的客戶端轉移到服務端，從一定程度上說，其提升了病毒判定的能力，但其實時判定速度則有可能不能滿足需求，另外，部分云查殺引擎需要上傳客戶計算機中的文件，也可能對用戶數據的私密性產生影響。

可見，現有的安全防護技術很難保證系統的可信性，尤其是系統的動態行為可信性。

如何提高現有計算機終端的安全防護能力，確保計算機系統的安全，已成為當前我國信息安全保障工作中亟待解決的關鍵問題。

軟件動態行為可信技術是可信計算必須解決的一個關鍵性問題，同時也是促進軟件安全、有效增強系統信息安全的一種有效方式。

要確保軟件動態行為可信就要確保軟件主體的行為“總是以預期的方式，達到預期的目標”。

發明內容

本發明目的在于解決現有技術不足，提出了基于網絡指紋的軟件動態可信認證方法，其可大大提升惡意軟件的免殺難度，能夠對各類未知惡意軟件進行準確檢測，從而增加惡意軟件的制作成本，有效保障信息系統的安全性。

本發明提供的基于網絡指紋的動態可信認證方法，具體方案如下：

本方法包括四個步驟：網絡指紋提取、軟件網絡行為監控、軟件網絡行為認證以及軟件行為控制，這四個步驟可以分為以下四個階段來實現：

網絡指紋提取階段：網絡指紋包括軟件的網絡協議特征及網絡數據特征。網絡協議特征是指，軟件對外進行通信采用的網絡通信協議，如應用層協議：HTTP、SMTP、POP3、SNMP等，傳輸層協議：TCP、UDP等；網絡數據指紋是指軟件采用相應協議對外進行通信時，其數據表現出來的具體特點，如數據的信息熵、上行下行數據包的平均長度，時間間隔，上行下行數據量所占的比例等。不同的軟件的網絡指紋特征是不一樣的，在本階段，將對主機內所有具備網絡通信功能的軟件進行指紋提取，并存儲在網絡指紋庫中。另外，為了認證通信軟件的身份，還需要提前對通信軟件進行數據完整性指紋的提取，并將其存儲在軟件數據完整性指紋庫中。

進行軟件數據完整性指紋提取時，根據具體的靜態指紋類別采用靜態提取方式直接對軟件自身進行相應的運算來獲取，譬如，如果將MD5值作為軟件的靜態指紋，則采用MD5算法對目標軟件的二進制文件進行計算；

進行軟件網絡指紋提取時，可由安全服務提供者進行動態提取，也可由軟件生產商提供。安全服務提供者動態提取時，在干凈的監控環境中，盡可能全面地運行軟件的各種功能，采用網絡數據捕獲技術分進程捕獲軟件的各類網絡通信數據，抽取出指定軟件的網絡指紋特征。