恶意代码：非授权性和破坏性的特征及防御技术

20世纪80年代，科恩（Cohen）设计出一种在运行过程中可以复制自身的破坏性程序，艾德勒曼（Adleman）将其命名为“计算机病毒”。随后，艾德勒曼给病毒总结了一个较为简洁的定义，即具有相同性质的程序集合，只要该程序具备破坏特性、传染特性或者模仿特性，就被认为是计算机病毒。当然，这种定义认为只要是具有破坏特性的程序都归属于计算机病毒，忽略了病毒的潜伏性等其他特性。20世纪90年代末，恶意代码的类型与功能伴随着计算机技术和通信技术的飞速发展而不断丰富起来。格兰姆斯（Grimes）将恶意代码定义为，经过存储介质和网络进行传播，从一台计算机系统到另外一台计算机系统，未经授权认证破坏计算机系统完整性的程序或代码。它包括计算机病毒（Computer virus）、蠕虫（Worms）、特洛伊木马（Trojan Horse）、逻辑炸弹（Logic Bombs）、病菌（Bacteria）、用户级Root Kit、核心级 Root Kit、脚本恶意代码（Malicious Scripts）、恶意 ActiveX 控件等。由此定义可知，恶意代码存在两个明显的特征，即非授权性和破坏性。

近年来，恶意代码的生存能力和攻击能力不断增强。表3-1显示了过去20年来主要恶意代码事件，通过总结恶意代码的发展过程，笔者希望能够进一步预测恶意代码将来的发展。

表3-1　20年来主要恶意代码事件

第一，AppleⅡ病毒是实验室之外诞生的最早的计算机病毒之一，该病毒感染了当时风靡一时的苹果Ⅱ型（AppleⅡ）计算机。

第二，1988年泛滥的Morris蠕虫，顷刻间使得6000多台计算机（占当时Internet中计算机总数约10%）瘫痪，造成了严重的后果，引起世界范围内信息安全专家的关注。

第三，2000年爆发的“爱虫”病毒及其以后出现超过50个病毒变种，在一年的时间里全球共计4000多万台计算机被感染，造成经济损失大约87亿美元。

第四，“红色代码”是第一个Windows中的新型网络病毒，攻击目标是装有微软IIS（Internet Information Services，互联网信息服务）的Web服务器，并不会将恶意代码写入被攻击服务器的硬盘，给全球造成了26亿美元的损失。

第五，2003年，Slammer蠕虫在10分钟内导致互联网中90%主机被感染。同年8月，“冲击波”蠕虫爆发，8天内致使全球电脑用户损失共计20亿美元之多。

第六，2007年，“熊猫烧香”等复合型病毒开始称霸整个病毒市场，其危害程度已经远远超过了以往任何病毒。该类病毒可以关闭几乎所有主流反病毒软件，屏蔽所有与病毒有关的特征行为，在感染的计算机中“开后门”下载大量的木马，危害用户的个人信息安全。

第七，2008年，“磁碟机”病毒主要感染系统中的可执行文件，同时结束杀毒软件的运行，计算机中病毒后，系统会出现死机或者蓝屏等现象。区别于先前的病毒，该病毒采用了六种扰乱用户查杀和强制关闭杀毒软件的反制技术，许多杀毒软件由于缺乏足够的自身保护能力，在病毒面前纷纷被折。

第八，2010年，“鬼影”病毒成为首个“引导区”下载者病毒，该病毒每日的下载量大约为2万—3万。在系统的进程和启动加载项中找不到异常，代码主要是寄生在主引导记录（Master Boot Record，MBR）中。病毒动态隐蔽技术大幅度提高。

第九，自2012年以来，“钓鱼欺诈”成为恶意网站攻击个人用户的主要手段，逐步变成网络犯罪的主角。由于“钓鱼”网站本身不是恶意代码，只是模仿套用正规网站（如银行网站）的模板，因此很难被杀毒软件识别。

综上所述，尽管在防范恶意代码方面已经做了大量的工作，但恶意代码仍然严重地威胁着通信网络的安全，问题远没有得到解决，而且新的安全问题又不断地涌现，通信网络的安全面临着越来越大的威胁。所以，研究通信网络恶意代码关键技术及其应急防御措施，是一个很有意义的课题。课题的研究框架分为应急响应技术、恶意代码和隐患分析三部分，分别如图3-1、图3-2和图3-3所示。

图3-1　应急响应技术

图3-2　恶意代码

图3-3　隐患分析

下面，笔者分别从“通信网络安全隐患”“恶意代码攻击关键技术问题”“构建恶意代码防范整体框架的关键技术”三个方面来分析通信网络恶意代码及其应急响应的各方面关键技术，从而总结出课题研究的内容以及需要解决的核心问题。

（一）通信网络安全隐患分析

通过总结当前的通信网络中恶意代码的现状和发展趋势，以分析基于通信网络可能存在的安全隐患。从业务层安全、控制层安全、传输层安全、接入层安全等层次研究通信网络的系统性安全问题，其中针对控制层和传输层的安全问题需要重点考虑，这是研究大规模通信网络的恶意代码及其防御技术的基础。

1.业务层安全

由于网络业务平台主要负责开展以分组为基础的网络业务，必须处于开放状态，因此对其安全性要求很高。在开放业务接口的同时，还可能存在如下五方面安全隐患：一是非授权使用业务平台资源；二是非授权使用管理数据；三是以“中间人”方式为跳板，破坏正常业务，而且无法追踪；四是由于设置不当而导致业务信息泄露；五是通信网络业务平台提供的不少增值业务，如个人计算机（Personal Computer，简称PC）、电话业务等，由于终端类型的多样化，业务使用也存在不少安全隐患。

2.控制层安全

软交换是控制层的核心设备。控制层的安全隐患主要集中在对协议的攻击，即在下一代网络（Next Generation Network，简称NGN）中包含多种多样的协议，每种协议都可能存在隐患。例如，攻击者可以利用信令控制协议（Session Initiation Protocol，简称SIP协议）的漏洞发起注入会话劫持、中断会话、假冒服务器端等拒绝服务攻击，使合法用户的服务请求得不到满足。另外，也会产生大量不请自来的电话，即所谓的因特网电话垃圾（SPam over Internet Telephony，简称 SPIT）。(www.xing528.com)

3.传输层安全

该层次负责传输数据，也称为“核心传输网”。核心传输网沿用了在Internet上使用的网际协议（Internet Protocol，简称IP）技术。IP本身是无连接、不可靠的技术，NGN沿用这种技术自然也存在这些安全隐患。采用IP技术带来的灵活性、开放性是显著的，但IP安全缺陷对通信网络来说也是严峻的。因此，病毒、木马、黑客攻击等威胁仍会困扰通信网络。

传输层的攻击对象包括：可靠传输协议，代码和脚本攻击，拒绝服务攻击，引进验证头（Authentication Header，简称AH）和封装安全载荷（Encapsulat Security Payload，简称ESP）报头的安全隐患，网际协议版本4（Internet Protocol version 4，简称IPv4）向网际协议版本6（Internet Protocol version 6，简称IPv6）过渡的安全隐患等。

4.接入层安全

随着通信网络向NGN演进，传统电信网也逐渐开放。最初的封闭状态电信网设计并没有考虑到的安全问题，在开放的网络中逐渐呈现出来，给攻击者带来了可乘之机。但这个并非本章节的研究重点。

（二）恶意代码关键技术问题

随着计算机软、硬件技术的发展以及互联网的不断成熟，恶意代码在生成技术、传播和表现形式上都发生了很大的变化，它们正在不断地向智能化、多样化和综合化方向发展。分析恶意代码的实质，对其攻击行为进行抽象化，提出攻击模型，如图3-4所示，并讨论实现恶意代码的关键技术问题，为制订恶意代码的防范措施做好前提准备和提供技术支持。

图3-4　恶意代码攻击模型

（三）恶意代码应急响应的技术框架

在分析恶意代码攻击关键技术问题的基础上，面向通信网络大规模的网络环境，以构建恶意代码综合分析体系和监控环节为基础，对其发展动态进行追踪，从而实现自动化的特征分析和提取技术，并应用于检测和遏制环节中。该研究用于解决恶意代码应急处置和快速响应的原型系统所涉及的关键技术问题。

本章节将恶意代码应急响应技术总结为安全隐患排查、恶意代码和指标分析、监控体系建立、应急响应实施和效果反馈评估五大环节，每个环节包括多种方法和技术手段。通过笔者分析与总结，恶意代码应急响应技术框架见表3-2。

表3-2　恶意代码应急响应技术框架

笔者分析了其中的部分关键技术问题，这些研究内容是本章节的工作基础。具体阐述如下：

1.网络节点监控体系研究

所谓可疑代码采集，是指在网络中的关键位置设置采集点收集可疑代码，并进行简单的预处理，然后将采集到的信息传送到监控中心。目前，采集可疑代码的主要渠道有分布式虚拟蜜罐集群系统、网络探针、诱饵信箱、用户主动上报、样本志愿者上报等。以信息捕获部件位置进行分类，其信息收集方法主要有两大类型：一是基于主机的信息收集方法，可以对经过网卡的数据直接捕获并记录，也可以利用中间技术嵌入操作系统内部进行监视；二是基于网络的信息收集方法，以隐蔽的方式将收集机制设置在网络的外围，比基于主机的信息收集方法更具威胁。

2.可疑代码特征自动分析和提取方法

首先分析和提取出恶意代码的特征，为下一步的遏制恶意代码做准备。研究的内容主要是自动和手动的恶意代码分析方法，研究特征提取等方法对可疑代码进行处理。该项研究目前主要有四种方法：一是启发式检测法，该方法对未知的可疑代码进行分析识别，综合考虑计算机病毒的行为特征，以及过往检测经验的积累；二是特征代码分析法，该方法被应用于SCAN，CPAV（Central Point Anti Virus，中央点反病毒软件）等早期病毒检测工具中，被认为是检测已知病毒的最简单、开销最小的方法；三是基于逆向工程的恶意代码特征挖掘技术，先对恶意代码进行反汇编，然后对得到的目标代码进行切片处理，最后通过分析各个切片来综合判定是否存在破坏性；四是基于数据挖掘技术的恶意代码检测，该方法通过广泛收集审计数据来建立计算模型，从而精确地捕获恶意代码行为和正常行为模式。

3.通信网络环境下针对未知恶意代码的主动响应技术

通过研究针对恶意代码进行快速定位的方法，提出针对未知恶意代码的主动响应技术。当发现网络中存在异常样本时，则立即将该样本上传到病毒处理中心，经中心分析后，给出一个合理的解决方案，然后根据制定的方案进行定位杀毒，并针对该未知样本进行全网扫描和查杀的主动响应。主要的恶意代码定位技术包括四种：一是基于文件结构的定位技术，包括头文件定位技术、主程序参数定位技术、程序主体定位技术和程序输出定位技术；二是基于静态代码定位技术，包括反恶意代码软件分析、字符串分析、脚本分析、反编译分析、花指令清除等技术；三是代码运行时的动态定位技术，包括文件完整性检测、文件监测、进程监测、网络监测、注册表监测、动态反汇编分析等技术；四是API（Application Programming Interface，应用程序编程接口）调用序列定位技术，包括静态调用过程分析和动态调用过程分析。

4.恶意代码攻击防御技术

迅速提出针对恶意代码的遏制手段，并能够实现对恶意代码的网络主动免疫功能。目前的主要工作包括三方面：一是依附型恶意代码免疫技术，主要包括标识免疫、扩展名免疫、文件内容加密免疫、文件检测免疫、访问控制免疫等方面；二是独立型恶意代码免疫技术，主要有基于连接速度的遏制技术、主动良性蠕虫对抗技术等方法；三是对抗恶意代码主流反制手段技术，主要包括虚拟启发探测、反制病毒反杀、智能主动防御、实时监控等方法。