[发明专利]基于计算机免疫的间谍软件自适应诱导与检测方法

说明书

技术领域

本发明属于信息安全技术领域，发明了一种基于计算机免疫的间谍软件自适应诱导与检测方法。

背景技术

从创始之初的恶作剧，到网络犯罪的帮凶，再到网络战的秘密武器，恶意软件在目的、隐蔽性和复杂性等方面，始终没有停下演化的步伐。近年来，随着互联网应用的普及，一种以窃取有价值信息为目的的恶意软件——间谍软件（Spyware）正在成为政府、企业和个人信息资产的头号威胁。

与病毒、蠕虫等传统恶意软件大张旗鼓地搞破坏不同，间谍软件的目的不是破坏计算机系统或在网络中蔓延，而是通过窃取计算机中的隐私或机密信息，为黑客或情报机构带来利益，属于典型的高级持续性威胁（Advanced Persisting Threat,APT）。间谍软件通常由国家或大型组织操控，受政治或经济利益驱使，以特定的政府或企业为攻击目标，采用极具隐蔽性的技术手段，能够在不被察觉的情况下窃取机密或隐私信息，给政府、企业和个人带来巨大的危害，甚至有可能危及社会稳定和国家安全。2012年在伊朗等中东国家肆虐的“火焰（Flame）”恶意软件就是典型代表。

检测技术是防御间谍软件的有效手段之一。目前，间谍软件的检测技术延续了恶意软件检测的思路，总体上分为以下两大类：

1.基于特征码的间谍软件检测方法

基于特征码的方法是目前商用反间谍软件产品常用的检测方法。该方法与杀毒软件的原理类似：用特征库保存已发现的间谍软件的代码特征，若待检测软件的特征存在于特征库中，则该软件被视为间谍软件。由于间谍软件的特征是由安全专家人工分析获得，这种方法具有极高的准确性；然而，该方法最大的不足是无法发现新的或变种的间谍软件，因为特征库中没有这些间谍软件的特征。

2.基于行为的间谍软件检测方法

基于行为的方法不是去寻找特殊的代码特征，而是通过刻画程序的行为来检测间谍软件。自适应、低误报和反潜伏是这类方法期望达到的目标。

早期的行为检测方法关注程序的某一类行为。根据间谍软件需要发送截获的信息这一特点，Shaw等人通过监视本机向未知的或未授权的地址发起连接的方式，检测系统中潜在的间谍软件；而Borders等人构建了通过分析主机外发HTTP流量的Web Tap系统以发现间谍软件。此外，还有许多学者分别从随系统或应用程序启动、隐藏文件、设置系统“钩子”、自我修复和自动安装的行为出发检测间谍软件。单行为的检测方法能发现部分未知的间谍软件，但由于正常应用程序也会有同样的行为，该方法的误报率较高。

为了解决这个问题，多行为关联检测的方法[应运而生。该方法通过将程序的多种行为进行综合分析，降低了间谍软件检测的误报率。这一类的方法主要有动态分析的方法、基于规则的方法和统计学方法。

同时，也有多名学者提出了基于诱导的检测方法来使潜伏的间谍软件表现出显著的活动。这种诱导作用是通过模拟特定的用户活动来实现的，如网络请求模拟、按键模拟和多种活动模拟。尽管这些方法在一定程度上降低了检测的漏报率，但它们使用的诱导手段是静态的、缺乏自适应性的，因此不能发现不同类别的间谍软件。

在基于行为的检测方法中，借鉴机体免疫系统对抗各类病原体原理的计算机免疫系统（AIS），尤其是以先天免疫系统原理为核心的第二代AIS，由于具有自适应、误报率低、响应快等特点，在间谍软件检测中取得了较好的效果。这些方法借鉴近期备受关注的免疫学“危险模型”学说，通过定义、探察和融合危险信号来发现未知的间谍软件。但在检测潜伏性强的间谍软件时，这些方法也容易因不能产生显著的危险信号而发生漏报。

总的来看，现有的基于行为的检测方法已不同程度的具备了自适应、低误报和反潜伏的能力，但还没有一种方法能同时具备这三种特性。

发明内容

发明目的：鉴于现有间谍软件检测方法的不足，本发明借鉴免疫系统中自然杀伤细胞（NK）诱导潜伏病毒的原理，首次将其引入到计算机免疫系统（AIS）中，与借鉴免疫系统中抗原提呈细胞（APC）行为原理而构建的人工APC一同构成了多细胞协作的计算机免疫系统（如图1所示），以自适应地检测潜伏的间谍软件。在该系统中，人工NK能通过学习和演化，自适应地发现未知间谍软件存在的蛛丝马迹，并释放一些间谍软件感兴趣的“诱饵（诱导因子）”，引诱其实施恶意活动。之后，人工APC通过感知和关联这些被激发的恶意活动，实现间谍软件的最终识别。

技术方案：本发明包括如下技术方案：

一种基于计算机免疫的间谍软件自适应诱导与检测方法，包括以下周而复始

执行的步骤：