2009年5月四川师范大学学报(自然科学版)May，2009 第32卷第3期JournalofSichuanNormalUniversity(NaturalScience)Vo1．32，No．3 基于行为监控的木马检测系统研究及实现 李焕洲，唐彰国，钟明全，张健 (四川师范大学网络与通信技术研究所，四川成都610066) 摘要：为了检测木马型病毒，分析了现有木马检测措施，设计并实现了一个基于行为监控的木马检测系 统，介绍了该系统的软件结构和运行机制，描述了基于Winsock2SPI和NDISHOOK的网络通信检测技术、 基于内核调度监控的进(线)程检测技术．测试表明，该系统能准确识别出被检测程序在安装阶段、启动阶 段和网络通信阶段您的鼓励是我的动力的行为． 关键词：木马检测；行为监控；进(线)程检测；网络通信检测 中图分类号：TP309文献标识码：A文章编号：1001—8395(2009)03-0386-04 欢迎您访问我的网店doi：10．3969／j．issn．1001-8395．2OO9．03．026 0前言法能检测部分隐蔽型木马程序的自身隐藏属性，但 不能检测通过直接修改系统内核数据的方式来实 《CNCERT／CC2007年网络安全工作报告》¨ 现自身隐藏的木马程序． 指出：2007年我国大陆地区被植入木马的主机IP 数量(995154个)迅猛增长，是2006年(44717个)1基于行为监控的木马检测系统 的22倍，木马已成为互联网的最大危害．地下黑色 木马程序具有较强的隐蔽性和伪装性，它通常 产业链的成熟，为木马的大量生产和广泛传播提供 了十分便利的条件，木马在互联网上的泛滥导致大嵌人在一些合法程序(如：游戏程序、工具软件等) 量个人隐私信息和重要数据失窃，此外，木马还越或数据文件(如：Office文档、PDF文档等)中，或者 来越多地被用来窃取国家秘密和工作秘密，给国家木马服务器本身假冒成一个合法程序(如：网页中 和企业带来无法估量的损失．的Active控件等)，如果受害者运行了这些经过改 现有木马程序检测方法包括：(1)完整性检装或假冒的程序，就会自动激活木马服务器，而普 测E2-33：通过检查文件当前内容计算的校验和与原通计算机用户对此通常无法觉察． 来保存的校验和是否一致，来发现文件是否有所变无论木马程序通过何种方式隐藏自己，当其被 动．这种方法有较大的误报率，且不适宜检测一个激活运行时，在安装阶段、启动阶段和网络通信阶 未知的文件是否是木马程序．(2)特征码扫描：包段一般都会表现出一些固有的行为特征：(1)隐藏 括特征代码扫描法、特征字扫描法等．这种方法被进程(或线程)；(2)修改注册表；(3)创建网络通信 常规杀毒软件使用，针对已知恶意程序有很高的准通道；(4)创建或修改文件等．基于此，如果实时检 确率，误报率低，但不能用来检测未知恶意程序．测、对比一个未知的程序或文件被激活前后操作系 (3)机器学习方法：从大量的、随机的数据集中寻找统中网络通信、进(线)程、文件和注册表等状态的 潜在的有价值的信息，如：RIPPER方法J、跟踪取变化，则可以获知被检测程序的行为，从而可以判 证等．这种方法检测时间较长、准确性不高．断其是否是木马程序． 如何对隐蔽性木马进行检测，文[7-8]提出了1．1系统的软件结构系统的软件结构如图1所 “基于系统调用挂钩”的检测方法：分析用户进程空示．由图1可知，系统包括控制中心、网络通信检测 间与内核空间中系统函数调用信息，检测系统中是模块、进(线)程检测模块、文件检测模块、注册表检 否存在木马程序设置的隐蔽性系统调用挂钩．该方测模块、数据采集及判定模块、报告模块共7个组 收稿日期：2008—09一Ol 基金项目：四川省应用基础研究(07JY029-011)资助项目 作者简介：李焕洲(1974一)，男，副教授，主要从事信息安全的研究 第3期李焕洲等：基于行为监控的木马检测系统研究及实现387 被检测程序 l运行 虚拟检测环境 『采集 网络通信／进(线)程／注册表／文件异动数据 I ／／＼＼ <行为判定>丫 您的鼓励是我的动力f检测报告f 图1软件结构图2运行机制 Fig．1Thesystem’SsoftwarestructureFig．2Thesysteme’Srunmechanism 成部分．系统的运行机制如图欢迎您访问我的网店2所示．dll和Nmdriver．sys之间通过共享内存进行数据接 (1)控制中心：控制各功能模块的运行．口：对于Nmsock．dU已经截获处理的数据包， (2)网络通信检测模块：通过Winsock2SPINmdriver．sys直接放行；否则，Nmdriver．sys截获数 (ServiceProviderInterface)和ND