前言:想要寫出一篇引人入勝的文章?我們特意為您整理了計算機(jī)病毒密碼算法檢測系統(tǒng)淺析范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:本文基于密碼算法設(shè)計了計算機(jī)病毒檢測系統(tǒng),詳細(xì)分析了密碼算法,并進(jìn)行了系統(tǒng)測試。結(jié)果發(fā)現(xiàn),此系統(tǒng)不僅可自動迅速識別計算機(jī)病毒內(nèi)的密碼算法,還可準(zhǔn)確跟蹤檢測計算機(jī)病毒運(yùn)行時的密碼算法調(diào)用與加密過程,同時可由病毒加殼、加密通信、加密文件等視角分析以全面刻畫病毒。
關(guān)鍵詞:計算機(jī)病毒;密碼算法;病毒檢測;靜態(tài)特征;動態(tài)行為
0引言
隨著計算機(jī)技術(shù)的快速發(fā)展,人們的日常生產(chǎn)生活發(fā)生了巨大轉(zhuǎn)變,也獲得了各種便捷,從而演變成了現(xiàn)代化社會最不可獲取的部分。但是計算機(jī)系統(tǒng)的安全性依舊有待提高,其不安全因素主要有計算機(jī)信息系統(tǒng)自身與人為操作,而計算機(jī)病毒是最常見且最不安全的因素,病毒的存在不僅會造成資源與財富浪費(fèi),還會導(dǎo)致社會性災(zāi)難。并且在互聯(lián)網(wǎng)技術(shù)的大范圍普及下,郵件、腳本、網(wǎng)頁、木馬、蠕蟲等病毒愈發(fā)泛濫,計算機(jī)用戶隨時隨地可能會遭遇攻擊,所以采用多元化算法與技術(shù)檢測并預(yù)防計算機(jī)病毒已是必然趨勢[1]。據(jù)此本文基于密碼算法設(shè)計了計算機(jī)病毒檢測系統(tǒng),以期能夠?yàn)榉揽夭《咀龀鲆欢ㄘ暙I(xiàn)。
1密碼算法分析
密碼算法可保護(hù)并認(rèn)證數(shù)據(jù),通常用于為計算機(jī)提供安全防護(hù),但是密碼算法實(shí)際上一把雙刃劍,其在提供安全保護(hù)的同時,很多攻擊者也會利用密碼算法逃避安全部門的追蹤檢測,導(dǎo)致有關(guān)調(diào)查取證工作難以有序開展,從而嚴(yán)重威脅著網(wǎng)絡(luò)安全與社會和諧[2]。一般情況下,密碼算法主要基于加殼免殺、加密通信、加密勒索方式散播計算機(jī)病毒。其中加殼免殺方式會隱藏病毒特性,無法以靜態(tài)特征碼識別并查殺病毒;加密通信方式會通過HTTP協(xié)議偽裝為網(wǎng)頁,以此繞過防火墻入侵計算機(jī);加密勒索方式的破壞性更巨大,此方式下散播的病毒會直接導(dǎo)致用戶的計算機(jī)文件訪問異常,給用戶帶來不可挽回的損失。比特幣勒索病毒便是以加密勒索方式攻擊了數(shù)百萬計算機(jī),支付贖金用戶上萬,用戶根本無法獲取解密私鑰,無法破解,很多用戶只能通過支付贖金的方式獲取密鑰?,F(xiàn)階段基于密碼算法的計算機(jī)病毒依舊在蔓延,對此如何有效迅速地檢測并分析病毒的工作已經(jīng)迫在眉睫,但是當(dāng)前計算機(jī)病毒密碼算法的自動化系統(tǒng)研究仍舊亟待深入[3]。
2計算機(jī)病毒結(jié)構(gòu)模式分析
雖然當(dāng)前的計算機(jī)病毒逐漸海量化,類型也逐步復(fù)雜化,但基于病毒程序代碼分析,對比可知大部分病毒程序均是由引導(dǎo)模塊、傳染模塊、破壞表現(xiàn)模塊共同組成的。計算機(jī)病毒結(jié)構(gòu)模式[4]具體見圖1。
3計算機(jī)病毒密碼算法檢測系統(tǒng)設(shè)計
3.1系統(tǒng)架構(gòu)
計算機(jī)病毒密碼算法檢測系統(tǒng)整體架構(gòu)具體見圖2。用戶通過傳輸待分析病毒文件于系統(tǒng)中,經(jīng)過三種算法檢測之后生成最終分析結(jié)果[5-6]。第一環(huán)節(jié),加殼算法檢測?;诩託ぶ讣y特征庫和PE文件信息熵相結(jié)合的方式,可保障計算機(jī)病毒加殼算法識別精確度。其中已知?dú)ば铇?gòu)建指紋特征庫,以指紋特征匹配可迅速精準(zhǔn)地檢測出既知病毒使用的加殼算法;而未知?dú)び捎诩託斐晌募?shù)據(jù)信息熵增高,對此可通過PE文件信息熵方式對病毒進(jìn)行檢測,以得知是否加殼。第二環(huán)節(jié),靜態(tài)特征密碼算法檢測。以病毒靜態(tài)特征的詳細(xì)分析實(shí)現(xiàn)密碼算法和靜態(tài)特征的映射建設(shè),通過算法特征匹配檢測病毒所使用的加密算法。第三環(huán)節(jié),動態(tài)行為加密算法檢測。一般情況下病毒為了逃避追蹤檢測,會采取加殼或指令轉(zhuǎn)變技術(shù)隱匿算法的靜態(tài)特征碼,這時便可基于靜態(tài)檢測分析,進(jìn)行算法動態(tài)分析與實(shí)時跟蹤,從而提升密碼算法檢測精確度。
3.2密碼算法
3.2.1加殼檢測算法分析與實(shí)驗(yàn)。3.2.1.1算法分析。傳統(tǒng)靜態(tài)加殼技術(shù)影響下,加殼病毒執(zhí)行過程中會具備相同編碼,所以檢測與破解難度較小。為滿足計算機(jī)病毒防護(hù)需求,攻擊者提供了動態(tài)加殼技術(shù)理念,以隨機(jī)加密算法,加密病毒程序代碼與數(shù)據(jù)。為生成各種特征加密殼,通過隨機(jī)密鑰加密算法可實(shí)現(xiàn)多態(tài)引擎技術(shù),基于保障同功能病毒樣本,以新方式生成不同病毒代碼序列,且序列中的特征碼完全不同,從而導(dǎo)致單一特征碼匹配檢測技術(shù)逐漸失去了效用。3.2.1.2檢測實(shí)驗(yàn)。通常基于UPX加殼算法指紋特征匹配模式進(jìn)行已知?dú)z測,結(jié)果具體見圖3。由圖可以看出,UPX加殼算法能夠迅速且準(zhǔn)確地識別病毒為64為可執(zhí)行程序,且可通過UPX實(shí)現(xiàn)加殼處理。檢測未知?dú)さ臅r候利用以信息熵檢測技術(shù)研發(fā)檢測儀器,檢測結(jié)果具體見圖4。由圖可以看出,第一個樣本評估為加殼,第二個樣本評估為未加殼,準(zhǔn)確率較高。3.2.2靜態(tài)特征密碼檢測算法分析與實(shí)驗(yàn)。3.2.2.1算法分析。靜態(tài)特征密碼檢測算法即基于提取算法所需靜態(tài)特征碼,以標(biāo)識密碼算法。所以特征碼提取合理性在很大程度上決定了密碼算法識別準(zhǔn)確率。就原理不同主要劃分為Hash函數(shù)、分組密碼算法、公鑰密碼算法三種算法。Hash函數(shù)密碼算法主要利用初始鏈值進(jìn)行加密數(shù)據(jù)處理分析,即算法使用的初始鏈值保持不變的狀態(tài)下,以這些數(shù)據(jù)為靜態(tài)特征;分組密碼算法則通過S盒和置換盒等常數(shù)發(fā)揮輔助作用,其中S盒負(fù)責(zé)混淆視聽,定義為靜態(tài)數(shù)值,就AES算法來講若病毒文件匹配到了S盒,則病毒可能使用了AES算法;公鑰密碼算法中的RSA算法在生成密鑰的時候需采用2個大素數(shù),而大素數(shù)的生成以小素數(shù)表為載體,所以此特征可在RSA算法中得以應(yīng)用。3.2.2.2檢測實(shí)驗(yàn)。通過靜態(tài)特征密碼檢測算法原理進(jìn)行特征提取,并將其輸入到IDA密碼算法檢測插件特征庫中。就AES算法來講,S盒作為16×16數(shù)組,在內(nèi)存內(nèi)可存儲為256長度字符串。AES字節(jié)替代是關(guān)于字節(jié)的非線性變換,可通過可逆變換復(fù)合生成。首先計算字節(jié)E于有限域內(nèi)的乘法逆元,結(jié)果記錄為F=f0f1f2f3f4f5f6f7,規(guī)定字節(jié)00變化成自身;其次對結(jié)果F進(jìn)行仿映射變換,字節(jié)E替代之后的結(jié)果記錄為字節(jié)G=G0G1G2G3G4G5G6G7?;谵D(zhuǎn)變生成S盒字節(jié)代替數(shù)組,以其中前32個字節(jié)作為算法識別特征。ruleRijnDael_AES_CHAR{meta:Author=“_pusher_”Description=“RijnDaelAES(check2)[char]”date=“2021-06”strings:$c0={637C777BF26B6FC53001672BFED7AB76CA82C97DFA5947F0ADD4A2AF9CA472C0}condition:$c0}基于以上所提取靜態(tài)字符串特征,進(jìn)行AES密碼算法識別檢測,結(jié)果具體見圖5。由圖可以看出,靜態(tài)特征密碼檢測算法可以快速準(zhǔn)確識別出待檢測程序內(nèi)所包含的AES算法。3.2.3動態(tài)行為密碼檢測算法分析與實(shí)驗(yàn)。3.2.3.1搭建環(huán)境。以Cuckoo沙箱為載體搭建病毒動態(tài)行為密碼檢測分析環(huán)境,動態(tài)分析環(huán)境配置具體見表1。3.2.3.2算法庫調(diào)用。許多病毒程序基于調(diào)用既有密碼算法庫得以實(shí)現(xiàn)。以動態(tài)行為密碼檢測算法調(diào)動過程識別技術(shù),能夠?qū)Σ《境绦蜻\(yùn)行過程中加載的密碼算法動態(tài)鏈接庫加以準(zhǔn)確識別,還可就API函數(shù)跟蹤調(diào)取的加密函數(shù)與所傳輸相關(guān)參數(shù)進(jìn)一步生成密碼算法調(diào)取序列,以還原勒索病毒中密碼算法的具體調(diào)用過程。病毒可通過CryptoAPI給予的有關(guān)函數(shù)對用戶數(shù)據(jù)進(jìn)行加密,并保障解密密鑰不被用戶獲取。3.2.3.3加密通信流量。就已經(jīng)感染病毒的計算機(jī)來講,所有主機(jī)操作系統(tǒng)類型均需以網(wǎng)絡(luò)實(shí)現(xiàn)和攻擊者之間的通信交流,還可為了逃避檢測選用加密通信方式。在計算機(jī)病毒動態(tài)化運(yùn)行過程中會產(chǎn)生網(wǎng)絡(luò)流量數(shù)據(jù),將其儲存為pcap格式文件,在此文件中可分析病毒所用加密通信協(xié)議。通過加密通信流量分析可以順利獲得病毒在外對接的控制端或中轉(zhuǎn)站的具體IP。對于比較簡單的加密通信方式來講,可以選用還原流量的方式,但是高強(qiáng)復(fù)雜的加密通信方式選用流量還原方式雖然難度非常大,但是依舊可在獲取IP通信地址的同時,以防火墻為輔助阻隔木馬或者僵尸網(wǎng)絡(luò),最大程度上防控威脅,避免信息丟失。通過Cuckoo沙箱環(huán)境執(zhí)行病毒程序,可獲取加密流量數(shù)據(jù)報文,以數(shù)據(jù)報文分析可知,病毒程序與控制服務(wù)器的信息傳輸均會基于TLS加密處理。
4系統(tǒng)測試
以WannaCry勒索病毒為例進(jìn)行計算機(jī)病毒密碼算法檢測系統(tǒng)測試。WannaCry是一種蠕蟲式勒索病毒軟件,在2017年爆發(fā)時,大量高校與企業(yè)內(nèi)網(wǎng)遭遇感染,甚至部分政府機(jī)構(gòu)業(yè)務(wù)被迫中斷。此病毒加密設(shè)計比較復(fù)雜,切實(shí)結(jié)合了RSA算法密位屬性、價格、座位號。如果可訂,可用航班及其可訂座位屬性信息將流向捆綁銷售規(guī)則配置模塊。步驟三:捆綁銷售規(guī)則配置模塊,是航空公司業(yè)務(wù)人員事先配置完成的捆綁產(chǎn)品規(guī)則,支持配置特定屬性的座位與特定機(jī)票品牌捆綁形成一個產(chǎn)品銷售單位,例如“長腿位”和“超值經(jīng)濟(jì)艙”可以捆綁且限量20個,“長腿位”和“豪華商務(wù)艙”不可捆綁;若步驟二中查出可被捆綁的座位屬性,系統(tǒng)將出行用戶選定的航班下可用于捆綁的品牌和座位,組成該品牌機(jī)票+座位的捆綁產(chǎn)品,例如“長腿位”加“超值經(jīng)濟(jì)艙”是一個銷售單位,在前端展示給出行用戶;捆綁產(chǎn)品經(jīng)過捆綁銷售調(diào)價配置模塊的價格管道處理,生成專屬價格,例如配置了整體減價50元,那么捆綁產(chǎn)品的價格等于機(jī)票總價與長腿位總價之和為1550元(不含稅),減去50元后,為出行用戶展示該捆綁產(chǎn)品價格為“1500元”(不含稅);以及為出行用戶展示捆綁產(chǎn)品詳情及優(yōu)惠金額,前文提到的整體減價50元,將以“立省50元”類似的方式在前端展示給出行用戶;不同常旅客等級可能享受不同的優(yōu)惠金額,例如配置了金卡用戶折上再8折,該出行用戶身份為金卡用戶,在前端展示“1200元”(不含稅)、“金卡立省300元”的醒目提示。步驟四:在捆綁產(chǎn)品選購模塊中,每個捆綁產(chǎn)品旁都有一個預(yù)訂按鈕,出行用戶可一鍵選擇心儀的品牌機(jī)票加座位的捆綁產(chǎn)品,繼續(xù)后續(xù)預(yù)訂流程。點(diǎn)擊預(yù)訂后,系統(tǒng)將機(jī)票和座位產(chǎn)品都加入訂單信息中,記錄機(jī)票和座位屬性的詳細(xì)信息。之后進(jìn)入出行用戶信息填寫頁,需要為每一個出行用戶填寫姓名、證件類型、證件號、聯(lián)系方式等信息,填寫完畢并確認(rèn)后,系統(tǒng)根據(jù)捆綁產(chǎn)品中的座位屬性,在之后的選擇座位頁面中,以座位圖的樣式向出行用戶開放該座位屬性對應(yīng)可選座位區(qū)域,出行用戶在區(qū)域范圍內(nèi)選擇具體座位,點(diǎn)擊座位圖標(biāo)即可確認(rèn)座位,將座位號加入訂單信息中。待出行用戶完成確認(rèn)航班信息和座位號后,系統(tǒng)即將正式生成訂單,繼續(xù)步驟五的支付和預(yù)訂操作。若出行用戶改變主意,不想購買該捆綁產(chǎn)品,可與前端的特定按鈕交互,返回原來的品牌機(jī)票流程,繼續(xù)選購機(jī)票產(chǎn)品。步驟五:系統(tǒng)生成訂單后,出行用戶進(jìn)行支付操作,支付成功的狀態(tài)下,系統(tǒng)的捆綁產(chǎn)品預(yù)訂模塊收到支付成功狀態(tài)后,立刻向中國航信訂座系統(tǒng)和EMD系統(tǒng)發(fā)出預(yù)訂請求,后臺系統(tǒng)根據(jù)預(yù)訂請求,對出行用戶所選的機(jī)票、座位產(chǎn)品分別進(jìn)行出票。待中國航信訂座系統(tǒng)、EMD系統(tǒng)完成出票并回傳預(yù)訂成功信息至該系統(tǒng)后,系統(tǒng)判斷捆綁產(chǎn)品整體預(yù)訂成功,在前端頁面向旅客展示預(yù)訂成功信息及訂單信息。至此,該系統(tǒng)所有涉及的模塊的工作實(shí)現(xiàn)介紹完畢,全流程結(jié)束。
參考文獻(xiàn)
[1]里格斯·道格尼斯.迷航:航空運(yùn)輸經(jīng)濟(jì)與營銷(第四版)[M].北京.航空工業(yè)出版社.2011(01).
[2]王文芳,羅亮生.基于差異化服務(wù)收益理念的航空公司品牌運(yùn)價體系戰(zhàn)略研究.CNKI:SUN:GLXZ.0.2019-14-051[Z].
[3]趙禮強(qiáng),陳鵬,張子辰,鄭曉宇.考慮旅客異質(zhì)性的機(jī)票捆綁銷售研究[D].沈陽航空航天大學(xué)經(jīng)濟(jì)與管理學(xué)院,110136.2020(50).
作者:張文川 單位:蘭州石化職業(yè)技術(shù)大學(xué)