[发明专利]使用密码散列法的病毒定位

说明书

相关申请的交叉引用

本发明要求2006年10月31日提交的美国临时专利申请第60/855,710号的优先 权，其所有内容和公开通过引用结合于此。

发明领域

本发明一般涉及软件安全，并且尤其涉及用于使用完整性检查技术来标识和定位 计算机病毒的方法。

发明背景

病毒检测是一个对经常被要求采取如购买和运行防病毒软件等防病毒的预防性 措施的任何计算机用户有着惊人地广泛影响的问题。病毒是文本、可执行代码等形式 的数据，其在没有用户授权并通常在不为该用户所知的情况下被添加至该用户的文件 或重写该用户的文件中的数据。病毒检测领域中的研究包括针对特定种类的病毒的各 种试探式方法。尝试解决该问题的最成功的现代技术中的一些落入签名检测和完整性 检查的一般范例中，例如E.Skoudis，“MALWARE：Fighting Malicious Code”(恶意软 件：与恶意代码做斗争)，Prentice Hall(2004)，以及P.Szor，“The Art of Computer Virus Research and Defense”(计算机病毒研究和防御的艺术)，Addison Wesley(2005)。前一 范例需要发现已知病毒的受感染代码的片段、被调用的签名，存储该签名，并开发扫 描计算机存储器以搜索这样的签名的软件。本发明所关注的后一范例是需要使用检测 对文件的未授权改变的密码散列函数，并可能揭示未知病毒的存在。后一范例的成功 的重要示例是Tripwire，其是UNIX环境的广泛可用的完整性检查程序。

如在例如G.Di Crescenzo、A.Ghosh和R.Talpade的“Towards a Theory of Instrusion Detection(入侵检测理论)”中所讨论的，签名和异常检测的入侵检测原理也提供对病 毒检测方法的洞察。签名病毒检测范例类似于入侵检测领域中的签名检测原理；相反， 完整性检查范例更类似于入侵检测领域中的异常检测原理。

可用的防病毒软件通常使用三种用于检测病毒的主要技术：签名、试探法、和完 整性验证。签名技术类似于入侵检测系统中的签名检测方法。首先，学习已知病毒并 且存储它们的签名；接着在候选可执行文件中寻找这些签名的出现。尽管这是病毒检 测的最流行的方法，但它依赖于厂商快速更新签名数据库和用户快速更新他们的签名 文件，并且它很容易被多形和变形的病毒技术击败。

其它两种技术，试探法和完整性验证，更类似于入侵检测系统中的异常检测方法。 试探技术在尝试基于病毒可能展示的例如试图向可执行文件中写入、访问引导扇区、 删除硬盘驱动器内容等某些行为的基础上来标识病毒方面可能有点复杂。完整性验证 技术尝试在感染已经发生之后但可能在受感染的文件执行发生之前检测对文件的非预 期修改，因此仍然使得该感染无害。

尽管试探法和完整性验证技术两者都具有捕获更多智能病毒的潜力，例如具有多 形和变形能力的那些病毒，但这些技术最多能够引起对特定文件的警觉，其随后将在 受控环境下在病毒诊断阶段被仔细仿真和分析，在该受控环境中需要导出潜在病毒的 位置、特性和后果的结论。由于实现用于仿真的精确受控环境的困难，所导出的后果 的精确性可能不可信。此外，在许多情况下，病毒对原始文件所作的修改非常微小， 例如对位于存储器中某处的程序的子例程调用，并且因此拥有关于病毒自身的附加信 息将会非常有用。

此外，完整性验证技术或完整性检查原理仅检测对文件的改变，但不定位或指示 该改变发生在文件中的什么地方。缺少关于病毒的定位信息，则它的检测是很耗资源 且易于失败的。这隐含地定义了软件安全领域的一个新问题，“病毒定位”。

据发明者所知，病毒定位的问题之前从未被严格调查或甚至提出过。对数据应用 密码散列法是用于数据完整性验证的一个公知范例，并且是像Tripwire等验证文件系 统完整性的程序的基础。文件的所有原子块的密码散列法也是已知范例，并且已被用 于通过高等待时间、低带宽链路远程地更新文件或解决一次写入式档案数据存储目的 的程序。然而，所有这些程序都不解决病毒定位问题。

发明简述