一种基于诱导机制的间谍软件检测方法

doi:10.12263/DZXB.20211017

电子学报 ›› 2022, Vol. 50 ›› Issue (4): 1014-1024.DOI: 10.12263/DZXB.20211017

一种基于诱导机制的间谍软件检测方法

郭春¹, 罗迪¹, 申国伟¹, 崔允贺¹, 平源²

^1.贵州大学计算机科学与技术学院公共大数据国家重点实验室，贵州贵阳 550025
^2.许昌学院信息学院，河南许昌 461000

收稿日期:2021-08-01 修回日期:2022-03-04 出版日期:2022-04-25
- 作者简介:
- 郭春男，1986年生，贵州贵阳人.博士，贵州大学计算机科学与技术学院副教授，CCF会员.主要研究领域为数据挖掘、入侵检测、恶意代码检测. E-mail: gc_gzedu@163.com
  罗迪男，1996年生，贵州六盘水人.贵州大学计算机科学与技术学院硕士研究生，CCF学生会员.主要研究方向为计算机网络与信息安全.E-mail: luodi_happy@163.com
  申国伟男，1986年生，湖南邵东人. 贵州大学计算机科学与技术学院教授、硕士生导师，CCF会员.主要研究领域为网络与信息安全、大数据.E-mail: gwshen@gzu.edu.cn
  崔允贺（通讯作者）男，1987年生，贵州贵阳人.贵州大学计算机科学与技术学院讲师、硕士生导师.主要研究领域为网络安全、云计算、数据中心. E-mail: yhcui@gzu.edu.cn
  平源男，1981年生，重庆合川人.博士，许昌学院信息工程学院教授.主要研究领域为机器学习、数据隐私安全、云计算、边缘计算. E-mail: pyuan.lhn@xcu.edu.cn
- 基金资助:
- 国家自然科学基金 (62162009); 贵州省自然科学基金 (黔科合基础［2020］1Y268); 河南省重点研发与推广专项 (212102210084)

A Spyware Detection Method based on Inducement Mechanism

GUO Chun¹, LUO Di¹, SHEN Guo-wei¹, CUI Yun-he¹, PING Yuan²

^1.State Key Laboratory of Public Big Data, College of Computer Science and Technology, Guizhou University, Guiyang, Guizhou 550025, China
^2.School of Information, Xuchang University, Xuchang, Henan 461000, China

Received:2021-08-01 Revised:2022-03-04 Online:2022-04-25 Published:2022-04-25
- Supported by:
- National Natural Science Foundation of China (62162009); Natural Science Foundation of Guizhou Province, China (黔科合基础［2020］1Y268); Key Research and Development and Promotion Project of Henan Province (212102210084)

摘要/Abstract

摘要：

间谍软件是攻击者广泛采用的一类信息窃取类恶意软件，具有高威胁性、高隐蔽性等特点.间谍软件在实施窃密行为时通常采用触发执行策略，使得基于软件行为的动态检测方法难以在短时间内将其捕获，故上述方法检测间谍软件效果不佳.针对该问题，本文采用主动诱导间谍软件执行窃密行为的思路，从应用程序编程接口（Application Programming Interface，API）层面分析不同诱导操作和诱导强度对间谍软件的不同诱发效果，进而提出一种基于诱导机制的间谍软件检测方法（Spyware Detection Method based on Inducement Mechanism，SDMIM）.SDMIM包含诱导操作筛选、软件“活跃度”计算、间谍软件判别3个阶段，能够适用于多种类型间谍软件的诱导式检测.实验结果表明，SDMIM能够在包含5种不同类型间谍软件的样本集上获得95.98%的检测准确率.

关键词: 间谍软件, 诱导操作, 动态检测, 触发执行策略, API调用

Abstract:

As a kind of information-stealing software, spyware is featured with high threat and concealment and is widely exploited by attackers nowadays. Since the stealing behavior is executed under a specific trigger strategy, it can hardly be captured by the mainstream malware detection methods based on dynamic behavior analysis in a short time. Frequently, the corresponding performance of spyware detection is below expectation. To tackle this problem, in this paper, the influence of different inducement operations and inducement strengths on the inducement effects of spyware from the (Application Programming Interface，API) level is firstly analyzed by introducing the idea of actively inducing spyware to perform its secret stealing behavior. Then, a Spyware detection method based on inducement mechanism (SDMIM) is proposed. SDMIM consists of three phases: inducible operation filtering, software "activity" calculation, and spyware discrimination. It is fit for the inducible detection of various types of spyware. Experimental results show that SDMIM can achieve an accuracy of 95.98% for detecting a dataset consisting of five kinds of spyware.

Key words: spyware, inducement operation, dynamic detection, trigger implementation strategy, API call

中图分类号:

TP309

郭春, 罗迪, 申国伟, 等. 一种基于诱导机制的间谍软件检测方法[J]. 电子学报, 2022, 50(4): 1014-1024.

Chun GUO, Di LUO, Guo-wei SHEN, et al. A Spyware Detection Method based on Inducement Mechanism[J]. Acta Electronica Sinica, 2022, 50(4): 1014-1024.

图/表 18

参考文献 25

1	DROZDO, KHARCHENKOV, RUCINSKIA, et al. Development of models in resilient computing[C]//2019 International Conference on Dependable Systems, Services and Technologies. Leeds: IEEE, 2019: 1-6.
2	Symantec. 2019 Internet Security Threat Report[EB/OL]. [2020-06-28]. .
3	AFZULPURKARA, ALSHEMAILIM, SAMARAK. Outgoing data filtration for detecting spyware on personal computers[C]//Advances in Internet, Data and Web Technologies. Switzerland: Springer, 2019: 355-362.
4	WANGZ, LIUQ, CHIY. Review of android malware detection based on deep learning[J]. IEEE Access, 2020, 8: 181102-181126.
5	BADIHH, BONDB, RRUSHIJ. On second-order detection of webcam spyware[C]//2020 International Conference on Information and Computer Technologies. San Jose: IEEE, 2020: 424-431.
6	MALLIKARAJUNANK, PREETHIS R, SELVALAKSHMIS, et al. Detection of spyware in software using virtual environment[C]//2019 International Conference on Trends in Electronics and Informatics. Tirunelveli: IEEE, 2019: 1138-1142.
7	李鹏伟, 姜宇谦, 薛飞扬, 等. 一种基于深度学习的强对抗性Android恶意代码检测方法[J]. 电子学报, 2020, 48 (8): 48-54.
	LIP W, JIANGY Q, XUEF Y, et al. A robust approach for android malware detection based on deep learning[J]. Acta Electronica Sinica, 2020, 48(8): 1502-1508. (in Chinese)
8	DINGY X, ZHUS Y. Malware detection based on deep learning algorithm[J]. Neural Comput & Applic, 2017, 31: 461-472.
9	KUMARR. Malicious code detection based on image processing using deep learning[C]//2018 Proceedings of the 2018 International Conference on Computing and Artificial Intelligence. New York: ACM, 2018: 81-85.
10	郭春, 陈长青, 申国伟, 等. 一种基于可视化的勒索软件分类方法[J].信息网络安全, 2020, 20(4): 31-39.
	GUOC, CHENC Q, SHENG W, et al. A visualization-based ransomware classification method[J]. Information Network Security, 2020, 20(4): 31-39. (in Chinese)
11	CHUQ, LIUG, ZHUX. Visualization feature and CNN based homology classification of malicious code[J]. Chinese Journal of Electronics, 2020, 29(1): 154-160.
12	CHOUDHARYS P, VIDYARTHIM D. A simple method for detection of metamorphic malware using dynamic analysis and text mining[J]. Procedia Computer Science, 2015, 54: 265-270.
13	DAMODARANA, TROIAF D, VISAGGIOC A, et al. Acomparison of static, dynamic, and hybrid analysis for malware detection[J]. ComputVirol Hack Tech, 2017, 13(1): 1-12.
14	JAVAHERID, HOSSEINZADEHM, RAHMANIA M. Detection and elimination of spyware and ransomware by intercepting kernel-level system routines[J]. IEEE Access, 2018, 6: 78321-78332.
15	陈长青, 郭春, 崔允贺,等. 基于API短序列的勒索软件早期检测方法[J]. 电子学报, 2021, 49(3): 586-595.
	CHENC Q, GUOC, CUIY H, et al. Early detection method of ransomware based on API short sequence[J]. Acta Electronica Sinica, 2021, 49(3): 586-595. (in Chinese)
16	ALLANN, NGUBIRIJ. Windows PE API calls for malicious and benigin programs[J]. International Journal of Technology and Management, 2019, 3(2): 1-9.
17	FASANOF, MARTINELLIF, MERCALDOF, et al. Spyware detection using temporal logic[C]//Proceedings of the 5th International Conference on Information Systems Security and Privacy. Portugal: SCITEPRESS, 2019: 690-699.
18	ESLAMA, IVANZ. A dynamic Windows malware detection and prediction method based on contextual understanding of API call sequence[J]. Computers & Security, 2020, 92: 101760.1-101760.15.
19	WANGL, WANGB, ZHAOP, et al. Malware detection algorithm based on the attention mechanism and resnet[J]. Chinese Journal of Electronics, 2020, 29(6): 1054-1060.
20	BELOUSA, SALADUKHAV. Computer viruses, malicious logic, and spyware[M]//Viruses, Hardware and Software Trojans, Attacks and Countermeasures. Switzerland: Springer, 2020: 101-207.
21	BEJOYB J, SUBBIAHJ. An intrusion detection and prevention system using ais-an nk cell-based approach[M]//Lecture Notes in Computational Vision and Biomechanics. Switzerland: Springer, 2018: 883-893.
22	傅军, 杨欢, 芮平亮, 等. 基于计算机免疫的间谍软件自适应诱导与检测方法: CN201310466755.6[P]. 2016-08-31.
23	ALSALEHM N, WEIJ, ALSHAERE, et al. Gextractor: automated extraction of malware deception parameters for autonomous cyber deception[M]//Autonomous Cyber Deception. Switzerland: Springer, 2019: 185-207.
24	HUTCHINSONS, ZHOUB, KARABIYIKU. Are we really protected an investigation into the play protect service[C]//2019 IEEE International Conference on Big Data. San Jose: IEEE, 2019: 4997-5004.
25	TAHIRR. A study on malware and malware detection techniques[J]. International Journal of Education and Management Engineering, 2018, 8(2): 20-30.

样本类型	样本占比	主要窃密行为执行方式	是否运用触发执行
键盘信息记录型(S₁)	33.3%(101/303)	系统中存在击键行为时,捕获敲击的键盘信息	√
剪切信息记录型(S₂)	18.5%(56/303)	系统中存在复制、剪切或粘贴行为时,记录复制、剪切或粘贴的内容	√
网页信息记录型(S₃)	17.2%(52/303)	系统中存在通过浏览器浏览网页行为时,记录浏览的网页信息	√
屏幕信息截取型(S₄)	16.2%(49/303)	系统中鼠标指针移动或打开/关闭软件时,截取屏幕信息	√
综合信息记录型(S₅)	14.8%(45/303)	系统中存在账号、口令、文件、软件等操作时,记录相关信息	√

样本类型	样本占比	主要窃密行为执行方式	是否运用触发执行
键盘信息记录型(S₁)	33.3%(101/303)	系统中存在击键行为时,捕获敲击的键盘信息	√
剪切信息记录型(S₂)	18.5%(56/303)	系统中存在复制、剪切或粘贴行为时,记录复制、剪切或粘贴的内容	√
网页信息记录型(S₃)	17.2%(52/303)	系统中存在通过浏览器浏览网页行为时,记录浏览的网页信息	√
屏幕信息截取型(S₄)	16.2%(49/303)	系统中鼠标指针移动或打开/关闭软件时,截取屏幕信息	√
综合信息记录型(S₅)	14.8%(45/303)	系统中存在账号、口令、文件、软件等操作时,记录相关信息	√

样本类型		样本名称	API调用数量
样本类型		样本名称	非诱导期/30 s	诱导期/30 s
间谍软件	键盘信息记录型	Keyloggerspymonitor	9 763	96 528
		Enregisterkey	10 507	72 013
		KmsKeylogger	11 307	70 155
	剪切信息记录型	Allinonekeylogger	11 089	70 274
		Isafe	9 813	75 996
		HZRMC	11 274	69 975
	网页信息记录型	Refog	11 913	156 488
		Actualspy	10 376	72 054
		PowrSpy	10 625	58 074
	屏幕信息截取型	Cyborg	10 575	57 877
		SpyMonitor	9 858	75 724
		Keyneniry	12 015	156 179
	综合信息记录型	HawkEye	10 572	82 368
		Predator	10 695	61 496
		Actualkeylogger	11 673	165 826
		间谍软件均值	10 803.6	89 401.8
正常软件	工具软件	WinRAR	10 076	9 675
	工具软件	Notepad	10 462	10 589
	系统软件	Explorer	9 502	9 795
	办公软件	Office	9 152	9 733
	游戏软件	GameBar	9 592	9 756
	浏览器	Firefox	10 339	9 576
	其他软件	Wireshark	10 268	10 683
	其他软件	360好压	9 493	10 865
		正常软件均值	9 860.5	10 084.0

样本类型		样本名称	API调用数量
样本类型		样本名称	非诱导期/30 s	诱导期/30 s
间谍软件	键盘信息记录型	Keyloggerspymonitor	9 763	96 528
		Enregisterkey	10 507	72 013
		KmsKeylogger	11 307	70 155
	剪切信息记录型	Allinonekeylogger	11 089	70 274
		Isafe	9 813	75 996
		HZRMC	11 274	69 975
	网页信息记录型	Refog	11 913	156 488
		Actualspy	10 376	72 054
		PowrSpy	10 625	58 074
	屏幕信息截取型	Cyborg	10 575	57 877
		SpyMonitor	9 858	75 724
		Keyneniry	12 015	156 179
	综合信息记录型	HawkEye	10 572	82 368
		Predator	10 695	61 496
		Actualkeylogger	11 673	165 826
		间谍软件均值	10 803.6	89 401.8
正常软件	工具软件	WinRAR	10 076	9 675
	工具软件	Notepad	10 462	10 589
	系统软件	Explorer	9 502	9 795
	办公软件	Office	9 152	9 733
	游戏软件	GameBar	9 592	9 756
	浏览器	Firefox	10 339	9 576
	其他软件	Wireshark	10 268	10 683
	其他软件	360好压	9 493	10 865
		正常软件均值	9 860.5	10 084.0

诱导操作		平均API调用数		API变化数量 (诱导期与非诱导期之差)
诱导操作		非诱导期	诱导期	API变化数量 (诱导期与非诱导期之差)
敲击键盘	间谍软件	10 613.7	76 321.0	65 707.3
敲击键盘	正常软件	9 895.1	10 086.8	1 91.7
复制粘贴	间谍软件	10 976.0	19 614.7	8 638.7
复制粘贴	正常软件	10 362.6	10 429.0	66.4
浏览网页	间谍软件	9 799.8	14 278.5	4 478.7
浏览网页	正常软件	10 696.5	10 056.8	-639.7
创建文件	间谍软件	10 703.3	16 123.4	5 420.1
创建文件	正常软件	10 193.0	10 237.3	44.3
编辑文件	间谍软件	9 641.2	16 348.2	6 707.0
编辑文件	正常软件	10 679.3	10 158.5	-520.8

一种基于诱导机制的间谍软件检测方法

A Spyware Detection Method based on Inducement Mechanism

RichHTML

PDF

可视化

摘要/Abstract

引用本文

使用本文

图/表 18

参考文献 25

相关文章 1

编辑推荐

Metrics

序号	诱导行为	强度	序号	诱导行为	强度
1	敲击键盘	12	10	重命名文件操作	4
2	复制粘贴操作	6	11	安装软件	4
3	打开文本文档	6	12	卸载软件	4
4	关闭文本文档	6	13	打开浏览器	6
5	打开应用程序	6	14	关闭浏览器	6
6	关闭应用程序	6	15	浏览网页	6
7	创建文件操作	4	16	截取屏幕	6
8	编辑文件操作	4	17	网络下载	4
9	删除文件操作	4	18	收藏网站	4

API序号	API名称	API序号	API名称
API₁	CloseFile	API₁₇	QueryBasicInformationFile
API₂	CreateFile	API₁₈	QueryDirectory
API₃	LockFile	API₁₉	QueryNOpenInformationFile
API₄	ReadFile	API₂₀	QueryNameInformationFile
API₅	WriteFile	API₂₁	QueryOpen
API₆	RegCloseKey	API₂₂	QueryStandardInformationFile
API₇	RegCreateKey	API₂₃	CreateFileMapping
API₈	RegEnumKey	API₂₄	FRForSectionSynchronization
API₉	RegEnumValue	API₂₅	FileSystemControl
API₁₀	RegOpenKey	API₂₆	FlushBuffersFile
API₁₁	RegQueryKey	API₂₇	IrpMJClose
API₁₂	RegQueryKeySecurity	API₂₈	Process Profiling
API₁₃	RegQueryValue	API₂₉	SetEndOfFileInformationFile
API₁₄	RegSetInfoKey	API₃₀	UDP Receive
API₁₅	RegSetValue	API₃₁	UDP Send
API₁₆	QueryAInformationVolume	N/A	N/A

应用类型	应用名	应用类型	应用名
浏览器类	谷歌浏览器	娱乐类	爱奇艺视频、Wegame
聊天类	腾讯QQ	系统类	csrss.exe、dwn.exe
安全软件类	360杀毒	工具类	PDF阅读器、迅雷下载

正常软件样本类型	数量	间谍软件样本类型	数量
办公软件	52	键盘信息记录型	101
视频软件	26	剪切信息记录型	56
游戏软件	18	网页信息记录型	52
工具软件	46	屏幕信息截取型	49
查杀类软件	18	综合信息记录型	45
聊天交友软件	20	N/A	N/A
其它应用软件	40	N/A	N/A
正常软件样本总计	220	间谍软件样本总计	303

正常系统	API调用数量	异常系统	API调用数量
WinRAR	36 083	Actualkeylog	182 946
Notepad	38 405	Actualspy	105 897
Explorer	40 923	Cyborg	89 362
Office	45 286	Allinonekeylog	97 524
Wireshark	49 827	Isafe	109 450
Firefox	47 439	Refog	176 682
GameBar	39 682	Enregisterkey	96 283
360好压	40 028	PowrSpy	87 449
微信	41 916	KmsKeylog	112 067
Xshell	50 193	SpyMonitor	102 986
正常系统均值	42 978.2	异常系统均值	116 064.6

API序号	间谍软件R_i	正常软件R_i	阈值R_Threshold_{_i}	API序号	间谍软件R_i	正常软件R_i	阈值R_Threshold_{_i}
API₁	1036.3	110.6	573.5	API₁₇	687.1	31.3	359.2
API₂	1113.7	107.9	610.8	API₁₈	2.6	2.5	2.5
API₃	3.6	1.1	2.3	API₁₉	2.8	1.4	2.1
API₄	29.1	12.3	20.7	API₂₀	3.7	2.0	2.8
API₅	506.8	86.4	296.6	API₂₁	462.9	39.2	251.0
API₆	435.2	259.4	347.3	API₂₂	58.2	12.3	35.2
API₇	7.9	5.3	6.6	API₂₃	679.8	28.3	354.1
API₈	361.7	135.3	248.5	API₂₄	662.5	28.4	345.4
API₉	16.6	10.2	13.4	API₂₅	6.1	7.6	6.8
API₁₀	588.7	432.6	510.6	API₂₆	5.1	6.8	5.9
API₁₁	495.6	476.8	486.2	API₂₇	1035.6	55.3	545.4
API₁₂	81.4	63.7	72.5	API₂₈	712.8	688.2	700.5
API₁₃	551.7	494.6	523.1	API₂₉	1.7	1.4	1.5
API₁₄	4.5	1.5	3.0	API₃₀	2.6	0.5	1.6
API₁₅	3.2	1.2	2.2	API₃₁	2.7	0.5	1.6
API₁₆	2.6	2.0	2.3	N/A	N/A	N/A	N/A

I_Threshold	Time/min	Precision/%	Recall/%	F1/%
6 000	2	90.18	97.03	93.48
7 000	2	91.88	97.02	94.38
8 000	2	96.38	96.70	96.54
9 000	2	96.32	95.05	95.68
10 000	2	96.62	94.39	95.49

Time/min	I_Threshold	Precision/%	Recall/%	F1/%
0.5	8 000	91.61	93.73	92.66
1	8 000	92.88	94.72	93.79
2	8 000	96.38	96.70	96.54
4	8 000	96.71	97.03	96.86
6	8 000	96.73	97.68	97.21

方法(类别)	Accuracy	Precision	Recall	F1
Guo^[10](静态)	93.50%	94.68%	94.06%	94.37%
Ninyesiga^[16](动态)	95.03%	96.01%	95.38%	95.70%
Amer^[18](动态)	95.41%	96.35%	95.71%	96.03%
SDMIM(动态)	95.98%	96.38%	96.70%	96.54%

方法	间谍软件判别错误样本类型及数量	原因分析	正常软件判别错误类型及数量	原因分析
Guo^[10]	网页信息记录:5个综合信息记录:6个屏幕信息截取:5个剪切信息记录:2个	这些间谍软件样本生成的灰度图与用于训练检测模型的训练样本所生成灰度图的相似度低	工具软件:4个办公软件:4个视频软件:2个其它应用软件:6个	这些正常软件样本生成的灰度图与用于训练检测模型的正常软件样本所生成灰度图的相似度低
Ninyesiga^[16]	键盘信息记录:4个剪切信息记录:4个网页信息记录:3个综合信息记录:3个	部分间谍软件样本在其触发条件未满足时不执行窃密行为,此时间段内其API序列与正常软件的API序列区别不明显	工具软件:3个查杀类软件:3个聊天交友软件:4个其他应用软件:2个	部分聊天软件类正常软件样本运行时会频繁调用网络API,这与间谍软件信息发送行为相似
Amer^[18]	键盘信息记录:4个剪切信息记录:4个网页信息记录:3个综合信息记录:2个	部分间谍软件样本在其触发条件未满足时不执行窃密行为,此时间段内其API调用序列与正常软件的API序列区别不明显	工具软件:3个查杀类软件:3个聊天交友软件:4个其他应用软件:1个	部分聊天软件类正常软件样本运行时会频繁调用网络API,这与间谍软件信息发送行为相似
SDMIM	网页信息记录:5个屏幕信息截取:3个剪切信息记录:2个	当前的诱导操作集合对部分网页信息记录类间谍软件样本的诱发效果较差	工具软件:2个查杀类软件:6个聊天交友软件:2个其他应用软件:1个	部分安全杀毒类软件样本对一些诱导操作比较敏感,例如会在系统中出现部分软件行为时记录相关信息并上传至云端进行分析