原型示范：木马检测与防御系统刘婷，关晓红，郑清华，珂鲁，宋元峰，张伟张MOEKLINNS实验室和SKLMS实验室西安交通大学电子与信息工程学院中国，陕西，西安{tliu,xhguan,klu,yfsong}@sei.xjtu.edu.cn{qhzheng,zhangwzh}@mail.xjtu.edu.cn摘要：本文提出了一种新的木马检测与防御系统。原型检索包含用户机密信息的硬盘文件。然后，通过捕获和分析IRP（I/O请求包）来检测这些文件。木马的工作过程不同于常规情况下评价几个机器学习模型的API调用，也并不是基于传统的签名机制。测试结果表明，该原型可以快速准确的检测和防御未知的木马。关键词：网络安全，木马，API，IRPⅠ.引言木马，也被称为特洛伊木马，是一种表现呈良性的程序，但实际上它旨在控制系统并盗取可以在地下市场销售的个人信息。这些年来，其诱人的利润刺激了新型木马以指数形式不断增长。2007年，卡巴斯基发现了201958个新的木马，与2006年发现的91911个未知危险相比数量以惊人的速度增加了120%。此外，他预计，“到2008年底新威胁的数量将可能翻倍”。显然，木马已成为最危险的和最广泛的恶意软件。目前已经提出了许多的方案和产品用以防御木马程序，如杀毒软件、入侵检测防御系统和防火墙。然而，面对许多新的木马，安全公司不得不加快反病毒数据库的发布，如从2007年10月开始卡巴斯基每半小时更新一次其数据库。此外，所有这些基于签名的安全产品都不能保卫地下木马因为其编码和签名难以被捕获和分析。因此，这些恶意软件成为一个在地下市场最受欢迎的商品，他们比所有已知的木马更多。在我们的研究中提出了一种新方法用以检测和防御木马，它是基于重要文件和API调用的监测。该木马的动机是为了窃取机密信息，如银行卡、信用卡或网络游戏的密码，完整身份ID等。所有这些数据都被记录在电脑文件里。因此，可以通过监控所有的访问文件来捕获木马活动。然而，一个新的WindowsXP系统拥有超过30000个文件，并且在平均一台个人电脑中又有超过100000个文件。因此，这种查找所有包含机密信息的重要文件的文件搜索算法被提出来。我们只需要监视1000个重要的文件，而不是整个硬盘，就可以检测木马。木马与正常程序有不同的行为和动机，这些可以反映出程序的真正功能。因此，他们应该调用不同的API包。例如，大多数木马会调用“CreatePipe”函数但常见的软件通常会抛弃它，这个函数适用于创建一个匿名管道，并返回的句柄到管道末尾的的读写端：并且它和“releasesemaphore”函数是绝对对立的，该函数适用于对指定的信号量增加指定的值（见表1）。通过调查5007个木马和712种常见的软件的API调用，我们从2208个标准API中选定了100个来评估该过程。同时，贝叶斯网络，J48决策树和RBF网络（径向基函数网络）模型都被用来评估程序的API调用从而从正常程序中区分出木马程序。由于这种方法检测木马是用评估程序的API取代了匹配签名的过程，所以它对新的未知木马具有更好的防御性能和更快的处理速度。表一.正常程序和木马之间调用的不同API（1表示相应的API被某一进程调用而0表示没有被调用）Ⅱ.系统的体系结构该系统由三大模块组成：文件搜索模块，IRP监控模块和API评估模块（见图1）。图1．原型软件的体系结构建立文件搜索模块是为了找到所有可能包含用户机密信息的文件。我们推荐通过三种方法来搜索这些重要文件：特定的文件夹例如在Windows系统中“C：\Windows\System32\config\SAM”是用来储存密码记录的文件夹。特定的文件名或扩展名记录了一些重要的信息的文件，会被以特定的方式命名：“MY_bank_account．*”用来记录用户的财务信息；“password.xml”或“*.DBX”被Outlook用来记录用户的电子邮件。在文件内容的关键词包含用户的姓名、身份证号、电话号码、信用卡号码的文件需要被小心保护。IRP监控模块将捕获所有的进程创建的IRP。根据重要的文件列表，IRP和对敏感文件的访问将被过滤和整理，从而找到它们的来源进程和访问行为。可疑的IRP将暂停，其进程会被API评估模块作为危险评估。这样，用户的重要文件将被保护免受木马的攻击。API评估模块是用来从常规进程中区分木马程序。当一个进程访问一个重要文件时，在相同调用树中的所有都会被评估，因为木马总是通过调用常用程序来访问受害者的文件。估计的结果将被转发到IRP监控模块，可疑进程会被杀死的。此外，新的恶意软件的API调用将被自动收集来训练识别模型以提高检测精度。Ⅲ.演示场景如图2所示，该演示系统的硬件部分由下面三个部分组成：木