基於網絡指紋的軟體動態可信認證方法

2023-06-10 07:04:01 1

專利名稱：基於網絡指紋的軟體動態可信認證方法
技術領域：
本發明屬於信息系統安全領域，特別涉及一種基於網絡指紋的軟體動態可信認證方法。
背景技術：
隨著軟體規模的不斷增大，軟體的開發、集成和演化變得越來越複雜，這導致軟體產品在推出時總會含有很多已知或未知的缺陷。這些缺陷對軟體系統安全的可靠運行構成了嚴重的威脅；另一方面，軟體的運行和開發環境從傳統的靜態封閉的狀態變成網際網路環境下動態開放的狀態。越來越多的軟體漏洞和缺陷被發現並被惡意攻擊者頻繁利用。為了保障軟體的運行安全，目前安全界採用了多種防護手段和技術。典型的包括數據完整性驗證技術、特徵值檢測技術、虛擬機技術、啟發式掃描技術、主動防禦技術、防火牆技術、補丁自動修補技術、雲查殺技術等。 數據完整性驗證技術目前已經被很多安全軟體所採用，其缺陷在於無法保障軟體運行過程中動態行為的可信性，且需要提前獲得允許運行軟體的數據完整性校驗值。特徵值檢測技術在檢測已知病毒上效果良好，但卻無法檢測未知病毒，且已知病毒在經過免殺處理之後極易繞過特徵值檢測技術。啟發式掃描技術根據惡意軟體的代碼及行為特徵經驗來判定病毒，其可檢測未知病毒，但誤報率較高，且也容易被惡意攻擊者通過巧妙設計軟體行為來繞過。虛擬機技術結合特徵值檢測後可以有效對抗已知的加密型病毒，但對未知病毒依然無能為力，且虛擬機機制也容易被病毒檢測到和繞過。主動防禦技術對疑似危險行為進行了攔截，但卻沒有考慮軟體行為主體自身的行為特性，因此誤報率較高，目前的主動防禦技術也存在被繞過甚至被終結的風險。防火牆技術基於預定規則對網絡進出數據進行過濾，可有效抵擋一部分已知的入侵行為，但無法抵抗未知的攻擊，容易被繞過。補丁自動修補技術能夠及時地修補已知漏洞，保護系統的安全性，但是目前地下市場有大量的ODay漏洞，其對這些沒有補丁的漏洞無能為力。雲查殺技術將病毒判定過程從原來的客戶端轉移到服務端，從一定程度上說，其提升了病毒判定的能力，但其實時判定速度則有可能不能滿足需求，另外，部分雲查殺引擎需要上傳客戶計算機中的文件，也可能對用戶數據的私密性產生影響。可見，現有的安全防護技術很難保證系統的可信性，尤其是系統的動態行為可信性。如何提高現有計算機終端的安全防護能力，確保計算機系統的安全，已成為當前我國信息安全保障工作中亟待解決的關鍵問題。軟體動態行為可信技術是可信計算必須解決的一個關鍵性問題，同時也是促進軟體安全、有效增強系統信息安全的一種有效方式。要確保軟體動態行為可信就要確保軟體主體的行為「總是以預期的方式，達到預期的目標」。

發明內容
本發明目的在於解決現有技術不足，提出了基於網絡指紋的軟體動態可信認證方法，其可大大提升惡意軟體的免殺難度，能夠對各類未知惡意軟體進行準確檢測，從而增加惡意軟體的製作成本，有效保障信息系統的安全性。本發明提供的基於網絡指紋的動態可信認證方法，具體方案如下本方法包括四個步驟網絡指紋提取、軟體網絡行為監控、軟體網絡行為認證以及軟體行為控制，這四個步驟可以分為以下四個階段來實現網絡指紋提取階段網絡指紋包括軟體的網絡協議特徵及網絡數據特徵。網絡協議特徵是指，軟體對外進行通信採用的網絡通信協議，如應用層協議HTTP、SMTP、POP3、SNMP等，傳輸層協議TCP、UDP等；網絡數據指紋是指軟體採用相應協議對外進行通信時， 其數據表現出來的具體特點，如數據的信息熵、上行下行數據包的平均長度，時間間隔，上行下行數據量所佔的比例等。不同的軟體的網絡指紋特徵是不一樣的，在本階段，將對主機內所有具備網絡通信功能的軟體進行指紋提取，並存儲在網絡指紋庫中。另外，為了認證通信軟體的身份，還需要提前對通信軟體進行數據完整性指紋的提取，並將其存儲在軟體數據完整性指紋庫中。進行軟體數據完整性指紋提取時，根據具體的靜態指紋類別採用靜態提取方式直接對軟體自身進行相應的運算來獲取，譬如，如果將MD5值作為軟體的靜態指紋，則採用MD5算法對目標軟體的二進位文件進行計算；進行軟體網絡指紋提取時，可由安全服務提供者進行動態提取，也可由軟體生產商提供。安全服務提供者動態提取時，在乾淨的監控環境中，儘可能全面地運行軟體的各種功能，採用網絡數據捕獲技術分進程捕獲軟體的各類網絡通信數據，抽取出指定軟體的網絡指紋特徵。網絡行為監控階段在進行軟體網絡行為動態監控時，將對軟體進程的啟動行為、所有的網絡通信數據進行監控，監控手段既可以在目標系統內核層實現也可能在用戶層實現。當軟體進程啟動時，將首先根據軟體數據完整性指紋庫中的指紋信息對啟動進程對應軟體的數據完整性進行驗證以確定軟體身份，確定軟體身份有兩個目的1.確定該軟體在預期可允許範圍之內，2.為後續該軟體產生的網絡行為確定其行為標準(即定位網絡指紋庫中的具體網絡行為指紋實體)。軟體網絡行為認證階段軟體網絡行為認證中心對監控到的軟體啟動行為及所有網絡通信行為進行認證。當監控到新的執行體(如進程)即將被啟動時，則首先對其進行數據指紋認證(數字籤名校驗、或散列值校驗、或校驗和校驗)，認證通過之後，則允許啟動新進程。對於所有監控到的網絡通信行為，軟體網絡行為認證中心則根據軟體網絡指紋來判定當前通信行為(及同一進程之前一段時間之內的通信行為)是否符合預期，符合則放行並繼續監控認證後續網絡行為，否則交由軟體動態行為控制中心處理。具體認證方式如下I.確定該網絡行為所對應的具體進程P，通過該進程名及其進程路徑信息確定之前已經提取過軟體網絡指紋的具體軟體S，並獲得其網絡指紋數據NF ;如果找不到對應的軟體，則轉4 ;2.確定該軟體行為的協議是否符合S的網絡指紋NF中的協議特徵NF-Protocal，如果不符合，則直接拒絕，並調用軟體動態行為控制模塊來進行處理，否則，轉4 ；3.結合之前該進程已經發生的通信數據特徵，對網絡通信數據進行信息熵分析，上行下行流量比例分析，上行下行包大小比例分析，如果其在S的網絡數據特徵NF-Data中的標準範圍之內，則說明該軟體行為正常，將本次網絡數據特徵保存下來，然後繼續對後續網絡行為進行監控，轉I.否則，說明該軟體行為異常，轉4 ；4.調用軟體動態行為控制模塊來進行處理；對於不符合預期的網絡行為，軟體動態行為控制中心可提示用戶該進程可疑，提醒其進行處理，並直接終止該軟體行為。


圖I為本發明給出的一種具體實施方式
的實施流程。
具體實施例方式為便於實施，下面給出本發明所提供方法的一種具體實施方式
(參見圖I)該實施實例的運行環境為Windows XP作業系統，其目的是防止本系統被外部黑客控制或本系統的私密數據被外部攻擊者惡意獲取，保障系統的安全性。步驟101 :軟體數據完整性指紋提取階段網絡指紋包括軟體的數據完整性指紋及網絡指紋。進行軟體數據完整性指紋提取時，採用MD5算法對目標軟體S的二進位文件進行計算，並將其MD5值作為軟體的靜態指紋進行保存，標記為Zl。步驟102 :軟體網絡指紋提取階段網絡指紋包括軟體的網絡協議特徵及網絡數據特徵。進行網絡指紋提取時，在乾淨環境中運行指定目標軟體，儘可能按照正常需求使用該軟體，並同時對該進程的所有通信數據進行捕獲，以獲取如下網絡指紋，記為Z2 :網絡協議特徵(軟體對外進行通信時用到的各種網絡通信協議，如應用層協議HTTP、SMTP、P0P3、SNMP等，傳輸層協議TCP、UDP等)；網絡數據特徵(針對網絡協議特徵中的不同通信協議的通信數據，統計通信數據的信息熵範圍、上行下行數據包大小比例分配範圍、上行下行數據量大小比例分配範圍)。步驟103 :網絡指紋融合階段將Zl及Z2合併為最終的軟體P的網絡指紋信息。按照此法依次處理其他軟體個體，得到所有軟體的指紋信息。步驟104 :軟體行為監控階段在Windows下，採用自行編寫服務提供者接口程序(SPI程序)的方式(也可採用其他用戶態和內核態的系統攔截方式)對所有網絡行為進行攔截。另外採用SSDT Hook方式對軟體啟動行為進行攔截，對軟體模塊啟動行為進行監控，以捕獲軟體執行和模塊加載行為。步驟105 :軟體數據指紋認證階段當監控到軟體執行或模塊加載時，首先對軟體或模塊的靜態指紋進行校驗，具體方法是重新計算軟體的MD5值，然後將其與網絡指紋庫中的MD5值進行比對，如果找到可匹配項，則放行，否則提示用戶進行拒絕或者設置為可信並重新提取指紋，或直接給予拒絕。步驟106 :軟體網絡行為指紋認證階段軟體開始執行之後，自動開始進行軟體網絡行為認證，具體方法為當捕獲到目標軟體的網絡通信時，根據目標軟體的網絡指紋集合來判定網絡通信協議以及特定協議對應的網絡數據的信息熵、上行下行數據包平均大小，各類不同大小數據包的比例，以及上行下行數據量的大小比例是否符合預期標準，如果符合，則放行，繼續監控認證，否則說明軟體的通信數據異常，極有可能出現惡意軟體入侵，此時交由軟體動態行為控制模塊來處理。步驟107 :軟體動態行為控制階段
對於不符合網絡指紋預期特徵的軟網絡件行為，首先對用戶給出提示，根據用戶選擇來處理或者直接拒絕軟體行為。
權利要求
1.一種基於網絡指紋的軟體動態行為可信認證方法，其特徵在於其包含了如下幾個步驟網絡指紋提取、軟體網絡行為監控、軟體網絡行為認證、軟體網絡行為控制。這四個步驟可以設計四個對應的模塊來實現。
2.根據權利要求I所述的基於網絡指紋的軟體動態行為可信認證方法，其特徵在於網絡指紋包括軟體對外進行網絡通信的協議特徵和網絡數據特徵。
3.根據權利要求2所述的基於網絡指紋的軟體動態行為可信認證方法，其特徵在於需要對本地所有網絡通信程序進行網絡指紋提取，建立對應的網絡程序白名單；進行網絡指紋提取時，對於其網絡通信協議特徵和網絡數據特徵，可由安全系統研製方自行提取，也可以由軟體研製方提供。
4.根據權利要求I所屬的基於網絡指紋的軟體動態行為可信認證方法，其特徵在於在進行軟體網絡行為監控時，將對本系統的所有網絡數據收發行為進行監控，同時確定響應網絡數據對應的收發進程，監控手段既可以在目標系統內核層實現也可能在用戶層實現。
5.根據權利要求I所屬的基於網絡指紋的軟體動態行為可信認證方法，其特徵在於軟體網絡行為認證中心對監控到的各類軟體網絡行為進行認證；當監控到新的執行體(如進程)即將被啟動時，則首先對其進行實體身份認證，認證通過之後，則允許啟動新進程；當監控到網絡通信數據時，軟體行為認證中心則根據軟體網絡指紋來判定當前網絡通信數據是否符合預期，符合則放行，否則交由軟體網絡行為控制中心處理。
6.根據權利要求I和5所屬的基於網絡指紋的軟體動態行為可信認證方法，其特徵在於對於不符合預期的軟體網絡行為，軟體動態行為控制中心可提示用戶對應的軟體存在異常，讓其進行處理，或者直接阻止對應進程的所有行為。
全文摘要
本發明提供一種基於網絡指紋的軟體動態可信認證方法，該方法由4個步驟組成網絡指紋提取、軟體網絡行為監控、軟體網絡行為認證、軟體動態行為控制，可分別對應4個模塊。網絡指紋提取模塊提取軟體的網絡指紋信息，網絡指紋包括網絡協議特徵及網絡數據特徵兩部分。軟體網絡行為監控模塊對軟體網絡指紋中所描述的關鍵特徵進行細粒度監控。軟體動態行為認證模塊基於網絡指紋對監控的網絡行為進行動態認證，以判定軟體的網絡通信行為是否符合預期，是則繼續監控，否則交由軟體動態行為控制模塊處理。軟體網絡行為控制模塊以有利於保障軟體動態可信的方式進行處理。本檢測方法可有效提升惡意軟體免殺的難度，同時可準確檢測出各類帶有通信特徵的未知惡意軟體威脅。
文檔編號H04L9/32GK102891752SQ20111020658
公開日2013年1月23日 申請日期2011年7月22日 優先權日2011年7月22日
發明者彭國軍, 黎曉方 申請人:武漢安珈教育科技有限公司