技術領域

本發明涉及網絡安全技術領域，具體涉及一種基于行為特征相似性的惡意代碼同源性分析方法。

背景技術

惡意代碼是指運行在計算機上，使系統按照攻擊者意愿執行任務的一組指令。隨著計算機網絡的深度應用和惡意代碼技術的不斷發展，惡意代碼帶來的危害越來越大，已成為威脅計算機系統安全的一個重要因素。惡意代碼在未獲得用戶授權的前提下，在計算機或其他終端上執行，達到干擾主機正常工作、破壞存儲數據的完整性和竊取用戶個人隱私等惡意的目的，嚴重侵犯被攻擊者的合法權益。

近年來，隨著2010年Google極光攻擊和2011年的RSA SecurID竊取攻擊等事件的曝光，一個新興的網絡攻擊手段正在引起越來越多的關注—高級持續性威脅(Advanced Persistent Threat)。相比傳統攻擊手法，APT攻擊具有高級入侵手段和持續性攻擊兩個特點，危害性極強，且傳統的基于特征匹配的檢測手段無法發現。

由于APT攻擊的特殊性，它一般是由組織(特別是政府)或者一些特定的團隊發起的，為了適應不同的攻擊目標環境或實現不同的攻擊目的，惡意代碼的編寫者會在一個原始惡意代碼樣本的基礎上，通過修改得到不同的惡意代碼。在此情況下，這些新生成的惡意代碼使用的已經不再是傳統惡意代碼生存技術中的變形(Metamorphic)和多態(Polymorphic)技術，但這些惡意代碼之間通常存在著某種共同特征，例如相似的代碼結構，高度一致的代碼片段或使用數據手法的相似性等等。這些來自同一編寫者或編寫團隊的、具有相似特征的惡意代碼就是具有同源性的惡意代碼。同源性分析技術是實現惡意代碼追蹤溯源的一個重要手段。

2011年，知名信息安全廠商卡巴斯基在其分析報告中指出，在近兩年相繼發現的震網和毒區兩個ATP攻擊病毒中包括一部分相同的代碼，因此推定他們應該來自同一編寫者。由此國外針對同源性惡意代碼的分析也迅速展開。該分析是建立在大量的人工分析工作的基礎上的，分析周期較長，分析效率不高。

美國科技公司Charles River Analytics通過綜合利用生物演化、計算機程序逆向工程和語言學等多項技術，開發了一套能夠快速定位攻擊來源的惡意代碼分析系統。該分析系統選擇了靜態分析中提取的指令序列、PE頭分析中的頭部信息、動態分析中的追蹤記錄、代碼執行過程中的行為序列的語義和函數特征等多種特征作為分析的基礎，經過代碼演化算法分析最終輸出一張代碼演化圖來表明輸入的惡意代碼樣本之間的同源性關系。該分析方法建立在著名的情報分析平臺palantir之上的，不滿足一般的應用條件。

2013年1月，美國的曼迪昂特公司發布報告“APT1”，在該報告中提出了一種利用惡意代碼特征追蹤攻擊源頭的方法，該報告從軟件的注釋、代碼的編寫風格、惡意軟件的中針對的目標群體、使用的IP地址、維持聯系的域名服務等多個方面對不同惡意軟件進行了同源性分析，并據此作為確定攻擊源頭的重要依據。該分析是在對目標長期的跟蹤情況下得出，分析周期較長。

國內著名安全機構安天實驗室也對震網和毒區進行了人工對比分析，他們指出兩個病毒在資源嵌入、加密、驅動存在相似的結構和手法，并且都使用了竊取的數字證書來躲避反病毒檢測，但這些手法是惡意代碼的典型手法并不能證明兩者同源。他們判定的依據主要是：相似的代碼片段、相似的數據結構和共同的錯誤。該分析方法需要借助分析人員的逆向分析知識，且分析過程中花費的時間和人力資源的成本較高。

2012年，劉星借鑒了生物信息學中的物種系統發生樹構建方法，提出了基于惡意代碼函數調用圖的惡意代碼系統發生樹構建方法。官強借鑒和利用了生物信息學中同源和進化分析的序列比對和網絡比對技術，提出了基于系統函數序列的惡意代碼同源分析方法，對一組惡意代碼構建其家族演化樹。這兩種方法基于惡意代碼靜態特征對同源性自動分析技術進行了深入的研究，但對于加殼惡意代碼樣本的分析具有一定的局限性。

目前國內外針對惡意代碼同源性的研究還不是很多，在已有的方法中，卡巴斯基、安天等安全公司都有關于惡意代碼同源性的詳細的分析報告，但這些成果都是在對捕獲的樣本進行深入的人工分析之后取得的，分析所需的人力與時間投入較大。美國一家科技公司也有一整套針對同源性的惡意代碼分析軟件，但相關文獻只是介紹了其采用的技術框架而缺少實現的技術細節的介紹。另外國防科技大學的官強等人在同源性分析中對惡意代碼特征的選取比較單一，且無法分析加殼的惡意代碼，分析方法缺乏通用性。

發明內容