CN101236584B - 检测入侵代码的设备及其方法 - Google Patents
检测入侵代码的设备及其方法 Download PDFInfo
- Publication number
- CN101236584B CN101236584B CN2007101540789A CN200710154078A CN101236584B CN 101236584 B CN101236584 B CN 101236584B CN 2007101540789 A CN2007101540789 A CN 2007101540789A CN 200710154078 A CN200710154078 A CN 200710154078A CN 101236584 B CN101236584 B CN 101236584B
- Authority
- CN
- China
- Prior art keywords
- feature
- code
- data
- random pool
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Quality & Reliability (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Burglar Alarm Systems (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
提供一种检测入侵代码的设备和方法。所述用于检测入侵代码的设备包括:设置值输入单元,输入对每一组都不同的设置值;免疫数据库产生单元,基于设置值产生免疫数据库;和入侵代码确定单元,基于产生的免疫数据库确定数据是否对应于入侵代码。
Description
本申请要求于2007年1月31日在韩国知识产权局提交的第10-2007-0010300号韩国专利申请的优先权,该公开全部包含于此,以资参考。
技术领域
根据本发明的方法和设备涉及入侵代码检测,更具体的说,涉及为每个计算机建立各自的特征,并使用不同的免疫数据库检测数据是否对应于入侵代码。
背景技术
已经开发了使用计算机的有线/无线通信,诸如病毒、蠕虫、木马、垃圾邮件、黑客工具等的恶意代码已经被广泛散发,因此需要用于防止和检测这种恶意代码的散播的技术。
检测恶意代码的现有技术将与恶意代码相应的签名存储为数据库,并通过检测存储在数据库中的签名来检测被包括在数据中的恶意代码。
然而,因为当新类型或者变种的恶意代码被散布到多个计算机时,检测恶意代码的现有技术不能检测出存在的全部恶意代码,所以恶意代码或者被计算机统一检测出来,或者统一使计算机感染。
具体来说,当计算机被散布的恶意代码感染并且感染计算机的恶意代码被散布到第二计算机时,第二计算机也被感染。因此,与恶意代码接触的全部计算机被相同地感染。另一方面,如果在特定计算机中检测出了该恶意代码,则在所有计算机中可检测出该恶意代码。
如上所述,现有的检测恶意代码技术具有这样的问题,即,因为检测恶意代码的数据库被相同地配置在全部计算机中,所以在接触可检的测恶意代码时,在全部计算机中相同地检测出恶意代码,当接触不可检测的恶意代码时,全部计算机相同地被感染。
因此,需要一种可防止恶意代码的统一检测和由恶意代码引起的统一感染,并具有对部分系统中的恶意代码的耐受性(tolerant)的设备。
发明内容
本发明提供一种检测入侵代码的设备和方法,所述设备和方法可异化并产生能够确定数据是否对应于入侵代码的免疫数据库。
本发明还提供了一种检测入侵代码的设备和方法,所述设备和方法可使用不同的免疫数据库防止由于新类型或者变种的恶意代码引起的统一损害。
本发明还提供了一种检测入侵代码的设备和方法,所述设备和方法可从具有对新类型或者变种的恶意代码的耐受性的系统获得针对新类型或者变种的恶意代码的诊断方法。
根据本发明的一方面,提供了一种检测入侵代码的设备,所述设备包括:设置值输入单元,输入对至少一个计算机的每一组都不同的设置值;免疫数据库产生单元,基于设置值产生免疫数据库;和入侵代码确定单元,基于产生的免疫数据库确定数据是否对应于入侵代码。
所述输入到设置值输入单元的设置值可包括:组特征关键词,划分组;驻留代码列表,对应于安全代码;和随机池产生因子,产生免疫数据库的池。
所述免疫数据库产生单元可包括:特征提取单元,使用组特征关键词提取驻留代码的特征;池特征产生单元,基于组特征关键词和随机池产生因子产生随机池特征;近似度值计算单元,计算提取的驻留代码的特征和产生的随机池特征的近似度值;和免疫数据库产生管理单元,将从随机池特征中计算的近似度值小于或者等于预定阈值的特征产生为免疫数据库。
所述池特征产生单元基于组特征关键词的长度和包括在随机池产生因子中的随机池大小来产生随机池特征。
所述入侵代码确定单元可包括:数据特征提取单元,使用组特征关键词提取数据的特征;数据近似度值计算单元,计算提取的数据的特征和免疫数据库的特征的近似度值;入侵代码确定管理单元,当计算的近似度值大于预定阈值时,将所述数据确定为入侵代码。
所述入侵代码确定单元还可包括:数据收集单元,收集数据以确定入侵代码;和数据特征提取单元,提取每一收集的数据的特征。
所述入侵代码确定单元基于产生的免疫数据库确定任何内部存储的执行文件数据是否对应于入侵代码。
所述入侵代码确定单元基于产生的免疫数据库还确定实时输入的数据是否对应于入侵代码。
根据本发明的另一方面,提供一种检测入侵代码的方法,所述方法包括:输入对每一组都不同的设置值;基于设置值产生免疫数据库;和基于产生的免疫数据库确定数据是否对应于入侵代码。
所述设置值可包括:组特征关键词,划分组;驻留代码列表,对应于安全代码;和随机池产生因子,产生免疫数据库的池。
所述产生免疫数据库的步骤可包括:使用组特征关键词提取驻留代码的特征;基于组特征关键词和随机池产生因子产生随机池特征;计算提取的驻留代码的特征和产生的随机池特征的近似度值;和将从随机池特征中计算的近似度值小于或者等于预定阈值的特征产生为免疫数据库。
附图说明
通过以下结合附图对本发明特定示例性实施例的详细描述,本发明的以上和其他方面将变得更加清楚并且更容易被理解,其中:
图1是示出根据本发明示例性实施例的检测入侵代码的设备的配置的框图;
图2是示出图1的免疫数据库产生单元的配置的框图;
图3是示出图1的入侵代码确定单元的配置的框图;
图4是示出根据本发明示例性实施例的用于不同地建立组特征关键词(key)的组的示例的示图;
图5是示出根据本发明示例性实施例的从在每个计算机中建立的驻留代码列表中提取特征的示例的示图;
图6是示出根据本发明示例性实施例的产生随机池特征的示例的示图;
图7是示出根据本发明示例性实施例的从在每个计算机中收集的待定代码列表中提取特征的示例的示图;
图8是示出根据本发明示例性实施例的检测入侵代码的方法的操作的流程图;
图9是示出图8的基于设置值产生免疫数据库的具体操作的流程图;和
图10是示出图8的确定数据是否与入侵代码对应的具体操作的流程图。
具体实施方式
现在将详细描述本发明示例性实施例,附图中示出了本发明的示例,其中相同的标号始终指示相同的组件。以下将参照附图描述所述示例性实施例以解释本发明。
图1是示出根据本发明示例性实施例的检测入侵代码的设备的配置的框图。
检测入侵代码的设备包括:设置值输入单元110、免疫数据库产生单元120和入侵代码确定单元130。
在设置值输入单元110输入对至少一台计算机的各个组都不同的设置值。
设置值包括:分组的组特征关键词、与安全代码对应的驻留代码列表和产生免疫数据库的池的随机池产生因子。
组特征关键词被用于提取产生免疫数据库的驻留代码的特征,或者提取用于确定数据是否对应于入侵代码的数据的特征。具体来说,从驻留代码中提取对应于组特征关键词条件的特征,并且从用于确定数据是否对应于入侵代码的数据提取对应于组特征关键词条件的特征。
组特征关键词可对应于在处理二进制文件或者原始二进制执行文件的文件中以预定概率出现的式样(pattern),例如,所述概率范围从大约1/10到大约1/10000,但不限于此。具体来说,组特征关键词可以对应于以下式样,所述式样对从具有预定长度的二进制序列中以预定概率获得的二进制序列进行限制。
例如,当组特征关键词对应于XXYX[YF]XX[LMIV]时,要求X包括全部式样中的任何一种,要求[YF]包括Y式样和F式样的任何一个,和要求[LMIV]包括L式样、M式样、I式样和V式样中的任何一个。
每个式样对应于根据预定单位和预定规则的二进制值的映射。其中执行与式样的映射的二进制值可被改变,而其中执行与二进制值的映射的式样也可被改变。
例如,但不限于,如果根据预定单位和预定规则每个式样包括6比特,则组特征关键词可包括48比特,并且可由制造商确定Y式样、F式样、L式样、M式样、I式样和V式样的配置。
驻留代码列表可对应于用户安装在计算机内的程序或者在执行代码中被确定为安全的代码列表。
驻留代码列表还可由用户手动地建立,或者通过使用用于检索执行文件或者检查安全性的计算机病毒软件来建立。
如上所述,因为可在各个计算机上改变程序和执行文件,所以驻留代码列表可被不同地建立,以对应于各个计算机的特征。
随机池产生因子可包括:建立阈值和随机池大小的因子。所述阈值被用于产生免疫数据库或者通过使用产生的免疫数据库确定入侵代码。
免疫数据库产生单元120基于设置值输入单元110的设置值产生免疫数据库140。
基于组特征关键词和随机池产生因子,免疫数据库产生单元120可从包括在驻留代码列表中的每个驻留代码提取特征,并产生随机池特征。
可使用组特征关键词提取驻留代码的特征。
基于组特征关键词和包括在随机池产生因子中的随机池大小可产生随机池特征。
免疫数据库产生单元120计算驻留代码的特征和随机池特征的近似度值,并且将从随机池特征中计算的近似度值小于或者等于预定阈值的特征产生为免疫数据库140。
近似度值是指两个预定特征之间的区别度或者近似度。具体来说,近似度值的计算数值地表达了两个特征的区别度或者近似度,并且是指数值地表达计算的近似度值的两个特征的区别度或者近似度。
可使用Euclidean距离法、调和平均数法、匹配(Matching)系数法、掷骰子(Dice)系数法、余弦近似度法、Levenshtein距离法、Sellers算法、Smith-Waterman距离法、块(Block)距离法等来计算近似度值。本发明此示例性实施例中的计算近似度值的方法不限于上述方法,并且可以使用所有计算近似度值的方法。
以下对作为示例的使用块距离方法的两个字符串的近似度值进行描述,但不限于此。
当字符串q是“ABCDEFGH”,并且字符串r是“BCDEFGHG”时,使用块距离函数计算两个字符串q和r的各个元素间的距离值,随后,通过将计算的距离值进行相加来计算两个字符串之间的近似度值。具体来说,使用块距离函数计算q的元素A与r的元素B之间的距离值,以及q的元素B和r的元素C之间的距离值。对q的元素H和r的元素G执行计算距离值的处理,并且通过将所有计算的距离值相加来计算两个字符串的近似度值。
入侵代码确定单元130基于免疫数据库产生单元120产生的免疫数据库140确定数据是否对应于入侵代码。
入侵代码确定单元130可收集用于确定数据是否对应于入侵代码的数据,并且收集的数据可以是存储在计算机中的任何执行文件数据,存储在计算机中的任何数据和实时输入计算机的任何数据。
例如,实时输入计算机的数据可对应于使用有线/无线网络共享下载的文件、使用超文本传输协议/文件传输协议(HTTP/FTP)下载的文件、使用电子邮件下载的文件、使用对等(P2P)技术下载的文件、从存储设备下载的文件等。
入侵代码确定单元130从收集的数据中提取特征,计算提取的特征和免疫数据库140的特征的近似度值,并且在计算的近似度值大于预定阈值时将数据确定为入侵代码。
在这种情况下,入侵代码确定单元130可基于组特征关键词从收集的数据中提取特征。
在收集的数据是压缩文件的情况下,入侵代码确定单元130可在解压缩文件后提取特征,并确定该数据是否对应于入侵代码。
图2是示出图1的免疫数据库产生单元120的配置的框图。
免疫数据库产生单元120包括:特征提取单元210、池特征产生单元240、近似度值计算单元220和免疫数据库产生管理单元230。
特征提取单元210使用组特征关键词提取包括在驻留代码列表中的每个驻留代码的特征。
特征提取单元210可从驻留代码读取对应于组特征关键词的比特数,并提取对应于组特征关键词条件的特征。
池特征产生单元240基于组特征关键词和随机池产生因子产生随机池特征。
池特征产生单元240可基于组特征关键词的长度和包括在随机池产生因子中的随机池大小产生随机池特征。
例如,当组特征关键词的长度是48比特并且随机池大小是1%时,池特征产生单元240随机地产生248×0.01个随机池特征。
近似度值计算单元220计算驻留代码的特征和随机池特征的近似度值。
免疫数据库产生管理单元230将从随机池特征中计算的近似度值小于或者等于预定阈值的特征产生为免疫数据库。
免疫数据库产生管理单元230可产生免疫数据库,所述免疫数据库从由池特征产生单元240产生的随机池特征中选择确定驻留代码和入侵代码的特征。
因此,在对从驻留代码中提取的特征计算近似度值时,免疫数据库产生管理单元230产生的免疫数据库的特征不变地具有小于或者等于阈值的计算的近似度值。在对除了驻留代码之外的代码计算近似度值时,免疫数据库的特征还具有计算的近似度值的大于阈值的可能性。
图3示出了图1的入侵代码确定单元130的配置的框图。
入侵代码确定单元130包括:数据收集单元310、数据特征提取单元320、数据近似度值计算单元330和入侵代码确定管理单元340。
数据收集单元310收集数据以确定数据是否对应于入侵代码的数据。
在这种情况下,数据收集单元310可收集存储在计算机中的全部执行文件数据、存储在计算机中的全部数据和实时输入计算机的数据中的任何一种。
实时输入计算机的数据可对应于使用有线/无线网络共享下载的文件、使用HTTP/FTP下载的文件、使用电子邮件下载的文件、使用P2P技术下载的文件、从存储设备下载的文件等。
数据特征提取单元320使用组特征关键词从收集的数据中提取特征。具体来说,数据特征提取单元320从收集的数据中提取对应于组特征关键词条件的特征。
数据近似度值计算单元330计算从收集的数据中提取的特征和免疫数据库的特征的近似度值。
如果计算的近似度值大于预定的阈值,则入侵代码确定管理单元340确定该数据是入侵代码。具体来说,如果计算的近似度值小于或者等于预定的阈值,则入侵代码确定管理单元340确定该数据是驻留代码。
参照图4到图7对图1所示的根据本发明示例性实施例的检测入侵代码的设备的操作进行详细描述。
图4是示出根据本发明示例性实施例的用于不同地建立组特征关键词的组的示例的示图。
组410到450中的每一组中设置了不同的组特征关键词。具体来说,为每个组建立不同的组特征关键词,从而可为每个组产生用于确定驻留代码和入侵代码的唯一免疫数据库。
因为包括在组450中的第一计算机460到第四计算机490的每一个可包括安装在计算机中的不同的程序,所以对从460到490的每个计算机来说,驻留代码列表可以不同。
此外,对每个计算机可不同地建立随机池产生因子。例如,可为第一计算机460建立阈值2300和10%的随机池大小,可为第二计算机470建立阈值2350和1%的随机池大小,可为第三计算机480建立阈值2400和5%的随机池大小和可为第四计算机490建立阈值2500和0.5%的随机池大小。
具体来说,可不同地建立设置值,从而可为图4中所示的每个计算机组和包括在计算机组中的每个计算机产生不同的免疫数据库。
图5是示出根据本发明示例性实施例从在每个计算机中建立的驻留代码列表中提取特征的示例的示图。
从包括在每个计算机中的驻留代码列表中收集包括在驻留代码列表中的驻留代码,从收集的驻留代码中提取特征。
每个计算机可通过使用为每个计算机组建立的组特征关键词从驻留代码中提取特征。
具体来说,每个计算机从驻留代码中读取对应于组特征关键词比特的比特,确定式样是否对应于建立的组特征关键词条件,当式样对应于组特征关键词条件时将对应的式样提取为特征。相反,当式样与组特征关键词条件不同时,相应样式被移动一比特,接着每个计算机确定该式样是否对应于组特征关键词条件。
使用上述处理,可从驻留代码中提取对应于组特征关键词条件的特征。
图6是示出根据本发明示例性实施例的产生随机池特征的示例的示图。
使用在每个计算机中建立的组特征关键词的长度和随机池大小来产生随机池特征。
例如,当在第一计算机中建立的组特征关键词的长度是48比特,并且随机池大小是10%时,随机产生的池特征的数量是248×0.1。当在第二计算机中建立的组特征关键词的长度是48比特,并且随机池大小是1%时,随机产生的池特征的数量是248×0.01。
产生的随机池特征中的部分特征可以被选为免疫数据库的特征。
具体来说,计算提取的驻留代码的特征和随机池特征的近似度值,并且将从随机池特征中计算的近似度值小于或者等于预定阈值的特征产生为免疫数据库。
如上所述,因为为每个组建立的组特征关键词不同,所以为各组产生的免疫数据库也不同。此外,因为包括在组中的每个计算机的驻留代码列表和随机池产生因子可不同地被建立,所以可为包括在同一组中的每个计算机产生不同的免疫数据库。
由此,因为每个计算机中产生的免疫数据库不同,所以每个计算机可对驻留代码和入侵代码做出不同的确定。
此外,因为每个计算机中确定的驻留代码和入侵代码不同,所以恶意代码不会感染特定组中的全部计算机,而仅感染该组中全部计算机的一部分。因此,可防止由于新类型或者变种的恶意代码导致的统一损害,并且可从其中具有对新类型或者变种的恶意代码的耐受性的计算机中获得针对新类型或者变种的恶意代码的诊断方法。具体来说,可通过从受损计算机定位恶意代码的类型和通过从其中具有对新类型或者变种的恶意代码的耐受性的计算机中获得针对恶意代码的免疫式样来获得针对新类型或者变种的恶意代码的诊断方法。
图7是示出根据本发明示例性实施例的从在每个计算机中收集的待定代码列表提取特征的示例的示图。
每个计算机从待定代码列表中收集存储在计算机中的执行文件数据或者存储在计算机中的全部数据,以确定代码列表中的数据是否对应于入侵代码。
从收集的数据(具体来说,即,包括在待定代码列表中的待定代码)提取特征。可使用在计算机中建立的组特征关键词来提取待定代码的特征。
计算提取的特征和免疫数据库的特征的近似度值,以确定待定代码是否对应于入侵代码。
具体来说,计算从待定代码(例如,第一执行文件)提取的特征和免疫数据库的特征的近似度值。随后将计算的近似度值和在计算机中建立的阈值进行比较。
当全部计算的近似度值小于或者等于阈值时,待定代码被确定为驻留代码。具体来说,当计算的近似度值中的任何近似度值大于阈值时,待定代码被确定为入侵代码。
对包括在待定代码列表中的全部待定代码执行以下处理:从待定代码中提取特征,计算提取的特征和免疫数据库的特征的近似度值,将计算的近似度值与阈值进行比较,和确定数据是否对应于入侵代码。
使用上述处理可确定待定代码是否对应于入侵代码。
图8是示出根据本发明示例性实施例的检测入侵代码的方法的操作的流程图。
在操作S810,每个计算机中的检测入侵代码的方法从输入对每个计算机组都不同的设置值开始。
输入的设置值可对应于对每个计算机组都不同的组特征关键词、驻留代码列表和用于产生免疫数据库的池的随机池产生因子。
组特征关键词可被用于提取用于产生免疫数据库的驻留代码的特征,或者提取用于确定数据是否对应于入侵代码的数据的特征。具体来说,从驻留代码提取对应于组特征关键词条件的特征,从用于确定数据是否对应于入侵代码的数据中提取对应于组特征关键词条件的特征。
组特征关键词可对应于在处理二进制文件或者原始二进制执行文件的文件中以预定概率出现的式样。
驻留代码列表可对应于用户安装在计算机中的程序或者执行代码中确定为安全的代码列表。
如上所述,因为对于各个用户计算机可改变程序和执行文件,所以驻留代码列表可被不同地建立,以对应于每个计算机的特征。
随机池产生因子可包括建立阈值和随机池大小的因子。这里,阈值用于产生免疫数据库或者使用产生的免疫数据库确定入侵代码。
在操作S820,当输入对每个组都不同的设置值时,基于输入的设置值产生免疫数据库。
具体来说,基于组特征关键词和随机池产生因子,从每个包括在驻留代码列表中的驻留代码中提取对应于组特征关键词条件的特征,并产生随机池特征。
可基于组特征关键词的长度和包括在随机池产生因子中的随机池大小产生随机池特征。
计算每个驻留代码的特征和随机池特征的近似度值,将从随机池特征中计算的近似度值小于或者等于预定阈值的特征产生为免疫数据库。
在操作S830,基于产生的免疫数据库确定数据是否对应于入侵代码。
具体来说,使用免疫数据库来确定收集的数据是否对应于入侵代码。以示例的方式,但不限于此,收集的数据可包括:任何存储在计算机中的执行文件数据中所包括的数据、任何存储在计算机中的数据和实时输入的任何数据。
在为了确定数据是否对应于入侵代码而从数据中提取对应于组特征关键词条件的特征并且计算提取的数据的特征和免疫数据库的特征的近似度值之后,将计算的近似度值与阈值进行比较。
如果计算的近似度值大于阈值,则将该数据被确定为入侵数据。
如果全部计算的近似度值小于或者等于阈值,则该数据被确定为属于安全代码的驻留代码。
图9是示出图8的操作S820的具体操作的流程图。
操作S910使用输入的组特征关键词和驻留代码列表提取驻留代码的特征。
可从包括在驻留代码列表中的每个驻留代码提取对应于组特征关键词条件的特征。
在操作S920,基于组特征关键词的长度和包括在随机池产生因子中的随机池大小来产生随机池特征。
从与组特征关键词的长度对应的多个特征来随机地产生与随机池大小对应的多个随机池特征。
在操作S930,为了产生免疫数据库,计算提取的驻留代码的特征和产生的随机池特征的近似度值。
根据一一对应的方式针对每个特征计算近似度值。因此,当驻留代码的特征的数量为“N”,而随机池特征的数量为“M”时,按照数量N×M来计算近似度值。
在计算近似度值之后,在操作S940,根据随机池特征中计算的近似度值小于或者等于预定阈值的特征来产生免疫数据库。
当阈值可以是输入设置值时包括在随机池产生因子中的阈值。
图10是示出图8的操作S830的具体操作的流程图。
在操作S1010中,收集数据以确定该数据是否对应于入侵数据。
收集的数据可对应于包括在任何存储在计算机中的执行文件数据、任何存储在计算机中的数据和任何实时输入计算机的数据中的数据。
实时输入计算机的数据可对应于使用有线/无线网络共享下载的文件、使用HTTP/FTP下载的文件、使用电子邮件下载的文件、使用P2P技术下载的文件、从存储设备下载的文件等。
在操作S1020,从收集的数据(例如,每个执行文件)提取对应于组特征关键词条件的特征。
在操作S1030,计算从数据提取的特征和免疫数据库的特征的近似度值。
具体来说,计算从数据提取的每个特征和免疫数据库的每个特征的近似度值。
在操作S1040,确定针对免疫数据库的特征计算的近似度值是否大于预定阈值。
在操作S1050,如果确定针对免疫数据库的特征计算的近似度值大于预定阈值,则确定该数据是入侵代码。
相反,如果计算的近似度值小于或者等于预定阈值,则该数据被确定为属于安全代码的驻留代码。
根据上述示例性实施例的检测入侵代码的方法可被记录在计算机可读介质内,所述计算机可读介质包括程序指令以实施计算机实现的各种操作。所述介质还可包括单独的程序指令、数据文件、数据结构等,或者包括程序指令、数据文件、数据结构等的组合。计算机可读介质的示例包括,但不限于:诸如硬盘、软盘和磁带的磁介质,诸如CD ROM盘和DVD的光学介质,诸如光盘的磁光介质,和诸如只读存储器(ROM)、随机存取存储器(RAM)、闪速存储器等的被特殊配置以存储和执行程序指令的硬件装置。所述程序指令的示例包括机器代码(诸如编译器产生的代码)和包含可由计算机使用解释器来执行的高级代码的文件。所述硬件装置可以被配置为一个或者多个软件模块,以执行上述本发明实施例的操作。
根据本发明示例性实施例,可提供一种检测入侵代码的设备和方法,所述设备和方法可区分并产生能够确定数据是否对应于入侵代码的免疫数据库。
根据本发明的示例性实施例,还提供了一种检测入侵代码的设备和方法,所述设备和方法可使用不同的免疫数据库防止由于新类型或者变种的恶意代码引起的统一损害。
根据本发明的示例性实施例,还提供了一种检测入侵代码的设备和方法,所述设备和方法可从具有对新类型或者变种的恶意代码的耐受性的系统获得针对新类型或者变种的恶意代码的诊断方法。
尽管已经示出并描述了本发明的几个示例性实施例,但是本发明不限于所述的示例性实施例。而本领域技术人员应当理解,在不脱离本发明的原则和精神的情况下,可对这些示例性实施例进行改变,本发明的范围由权利要求及其等同物限定。
Claims (19)
1.一种检测入侵代码的设备,所述设备包括:
设置值输入单元,输入对多个组中的每一组都不同的设置值;
免疫数据库产生单元,基于设置值产生免疫数据库;和
入侵代码确定单元,基于产生的免疫数据库确定数据是否对应于入侵代码。
2.如权利要求1所述的设备,其中,设置值包括:
组特征关键词,划分组;
驻留代码列表,对应于安全代码;和
随机池产生因子,产生免疫数据库的池。
3.如权利要求2所述的设备,其中,免疫数据库产生单元包括:
特征提取单元,使用组特征关键词提取驻留代码的特征;
池特征产生单元,基于组特征关键词和随机池产生因子产生随机池特征;
近似度值计算单元,计算提取的驻留代码的特征和产生的随机池特征的近似度值;和
免疫数据库产生管理单元,将计算的近似度值小于或者等于阈值的随机池特征产生为免疫数据库。
4.如权利要求3所述的设备,其中,池特征产生单元基于组特征关键词的长度和包括在随机池产生因子中的随机池大小来产生随机池特征。
5.如权利要求3所述的设备,其中,在随机池产生因子中设置所述阈值。
6.如权利要求2所述的设备,其中,入侵代码确定单元包括:
数据收集单元,收集数据以确定所述数据是否对应于入侵代码;
数据特征提取单元,使用组特征关键词提取数据收集单元收集的数据的特征;
数据近似度值计算单元,计算提取的数据的特征和免疫数据库的特征的近似度值;
入侵代码确定管理单元,当计算的近似度值大于预定阈值时,将所述数据确定为入侵代码。
7.如权利要求1所述的设备,其中,所述数据是计算机中内部存储的执行文件数据。
8.如权利要求1所述的设备,其中,所述数据是计算机中内部存储的任何数据。
9.如权利要求1所述的设备,其中,所述数据是实时输入的数据。
10.如权利要求1所述的设备,其中,组包括至少一个计算机。
11.一种检测入侵代码的方法,所述方法包括:
输入对每一组都不同的设置值;
基于设置值产生免疫数据库;和
基于产生的免疫数据库确定数据是否对应于入侵代码。
12.如权利要求11所述的方法,其中,设置值包括:
组特征关键词,划分组;
驻留代码列表,对应于安全代码;和
随机池产生因子,产生免疫数据库的池。
13.如权利要求12所述的方法,其中,产生免疫数据库的步骤包括:
使用组特征关键词提取驻留代码的特征;
基于组特征关键词和随机池产生因子产生随机池特征;
计算提取的驻留代码的特征和产生的随机池特征的近似度值;和
将计算的近似度值小于或者等于阈值的随机池特征产生为免疫数据库。
14.如权利要求13所述的方法,其中,在随机池特征的产生步骤,基于组特征关键词的长度和包括在随机池产生因子中的随机池大小来产生随机池特征。
15.如权利要求13所述的方法,其中,在随机池产生因子中设置所述阈值。
16.如权利要求12所述的方法,其中,确定所述数据是否对应于入侵代码的步骤包括:
收集数据以确定所述数据是否对应于入侵代码;使用组特征关键词提取收集的数据的特征;
计算提取的数据的特征和免疫数据库的特征的近似度值;
如果计算的近似度值大于阈值,则将所述数据确定为入侵代码。
17.如权利要求11所述的方法,其中,所述数据是计算机中内部存储的执行文件数据。
18.如权利要求11所述的方法,其中,所述数据是计算机中内部存储的任何数据。
19.如权利要求11所述的方法,其中,所述数据是实时输入的数据。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020070010300 | 2007-01-31 | ||
| KR10-2007-0010300 | 2007-01-31 | ||
| KR1020070010300A KR101303643B1 (ko) | 2007-01-31 | 2007-01-31 | 침입 코드 탐지 장치 및 그 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101236584A CN101236584A (zh) | 2008-08-06 |
| CN101236584B true CN101236584B (zh) | 2010-10-13 |
Family
ID=39325666
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101540789A Expired - Fee Related CN101236584B (zh) | 2007-01-31 | 2007-09-13 | 检测入侵代码的设备及其方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8205256B2 (zh) |
| EP (1) | EP1953664A3 (zh) |
| JP (1) | JP4699438B2 (zh) |
| KR (1) | KR101303643B1 (zh) |
| CN (1) | CN101236584B (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2127311B1 (en) | 2007-02-02 | 2013-10-09 | Websense, Inc. | System and method for adding context to prevent data leakage over a computer network |
| US9130986B2 (en) | 2008-03-19 | 2015-09-08 | Websense, Inc. | Method and system for protection against information stealing software |
| US9015842B2 (en) | 2008-03-19 | 2015-04-21 | Websense, Inc. | Method and system for protection against information stealing software |
| IL197477A0 (en) * | 2009-03-08 | 2009-12-24 | Univ Ben Gurion | System and method for detecting new malicious executables, based on discovering and monitoring of characteristic system call sequences |
| CN102054149B (zh) * | 2009-11-06 | 2013-02-13 | 中国科学院研究生院 | 一种恶意代码行为特征提取方法 |
| US9110769B2 (en) * | 2010-04-01 | 2015-08-18 | Microsoft Technology Licensing, Llc | Code-clone detection and analysis |
| TWI419003B (zh) * | 2010-11-12 | 2013-12-11 | Univ Nat Chiao Tung | 自動化分析與分類惡意程式之方法及系統 |
| US9323923B2 (en) * | 2012-06-19 | 2016-04-26 | Deja Vu Security, Llc | Code repository intrusion detection |
| TWI461953B (zh) * | 2012-07-12 | 2014-11-21 | Ind Tech Res Inst | 運算環境安全方法和電子運算系統 |
| US10438204B2 (en) * | 2014-05-19 | 2019-10-08 | American Express Travel Related Services Copmany, Inc. | Authentication via biometric passphrase |
| CN104331436B (zh) * | 2014-10-23 | 2017-06-06 | 西安交通大学 | 基于家族基因码的恶意代码快速归类方法 |
| WO2016130542A1 (en) * | 2015-02-10 | 2016-08-18 | The Trustees Of Columbia University In The City Of New York | Code relatives detection |
| CN104866765B (zh) * | 2015-06-03 | 2017-11-10 | 康绯 | 基于行为特征相似性的恶意代码同源性分析方法 |
| CN107172062B (zh) * | 2017-06-07 | 2018-08-03 | 郑州轻工业学院 | 一种基于生物免疫t细胞受体机制的入侵检测方法 |
| CN110046501B (zh) * | 2019-03-09 | 2020-09-29 | 中国人民解放军战略支援部队信息工程大学 | 一种受生物基因启发的恶意代码检测方法 |
| JP7554139B2 (ja) * | 2021-03-02 | 2024-09-19 | 株式会社日立製作所 | 不正侵害分析支援装置、及び不正侵害分析支援方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6721721B1 (en) * | 2000-06-15 | 2004-04-13 | International Business Machines Corporation | Virus checking and reporting for computer database search results |
| CN1656732A (zh) * | 2002-05-23 | 2005-08-17 | 赛门铁克公司 | 变形计算机病毒检测 |
| CN1752888A (zh) * | 2005-11-08 | 2006-03-29 | 朱林 | 用于移动/智能终端的病毒特征提取和检测系统及方法 |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5448668A (en) | 1993-07-08 | 1995-09-05 | Perelson; Alan S. | Method of detecting changes to a collection of digital signals |
| JP3597686B2 (ja) | 1997-12-02 | 2004-12-08 | 富士通株式会社 | ウィルスチェックネットワークシステム及びウィルスチェック装置 |
| US20040064737A1 (en) * | 2000-06-19 | 2004-04-01 | Milliken Walter Clark | Hash-based systems and methods for detecting and preventing transmission of polymorphic network worms and viruses |
| US7069583B2 (en) * | 2000-07-14 | 2006-06-27 | Computer Associates Think, Inc. | Detection of polymorphic virus code using dataflow analysis |
| US7636945B2 (en) * | 2000-07-14 | 2009-12-22 | Computer Associates Think, Inc. | Detection of polymorphic script language viruses by data driven lexical analysis |
| US7093239B1 (en) * | 2000-07-14 | 2006-08-15 | Internet Security Systems, Inc. | Computer immune system and method for detecting unwanted code in a computer system |
| US20020194489A1 (en) * | 2001-06-18 | 2002-12-19 | Gal Almogy | System and method of virus containment in computer networks |
| US20040111632A1 (en) * | 2002-05-06 | 2004-06-10 | Avner Halperin | System and method of virus containment in computer networks |
| KR20030087195A (ko) | 2002-05-07 | 2003-11-14 | 주식회사 세니온 | 휴대정보단말기와, 이 휴대정보단말기의 바이러스 검출 및치료 서비스 방법 |
| KR100509650B1 (ko) | 2003-03-14 | 2005-08-23 | 주식회사 안철수연구소 | 코드 삽입 기법을 이용한 악성 스크립트 감지 방법 |
| KR20040090373A (ko) | 2003-04-15 | 2004-10-22 | 주식회사 안철수연구소 | 무선 단말기에서 실시간 바이러스 감시/진단/치료 방법 |
| JP2004362491A (ja) | 2003-06-09 | 2004-12-24 | Nec Saitama Ltd | ウィルス駆除関連データの更新履歴情報管理システム及び更新履歴情報管理方法 |
| US7639714B2 (en) * | 2003-11-12 | 2009-12-29 | The Trustees Of Columbia University In The City Of New York | Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data |
| US7343624B1 (en) * | 2004-07-13 | 2008-03-11 | Sonicwall, Inc. | Managing infectious messages as identified by an attachment |
| US8037535B2 (en) * | 2004-08-13 | 2011-10-11 | Georgetown University | System and method for detecting malicious executable code |
| US20060101277A1 (en) * | 2004-11-10 | 2006-05-11 | Meenan Patrick A | Detecting and remedying unauthorized computer programs |
| US20060272019A1 (en) * | 2005-05-27 | 2006-11-30 | Addepalli Srinivasa R | Intelligent database selection for intrusion detection & prevention systems |
| KR20080066653A (ko) * | 2005-06-29 | 2008-07-16 | 트러스티스 오브 보스턴 유니버시티 | 완전한 네트워크 변칙 진단을 위한 방법 및 장치와 트래픽피쳐 분포를 사용하여 네트워크 변칙들을 검출하고분류하기 위한 방법 |
| US7739740B1 (en) * | 2005-09-22 | 2010-06-15 | Symantec Corporation | Detecting polymorphic threats |
| US20070094734A1 (en) * | 2005-09-29 | 2007-04-26 | Mangione-Smith William H | Malware mutation detector |
| US8413245B2 (en) * | 2005-12-16 | 2013-04-02 | Cisco Technology, Inc. | Methods and apparatus providing computer and network security for polymorphic attacks |
| US8381299B2 (en) * | 2006-02-28 | 2013-02-19 | The Trustees Of Columbia University In The City Of New York | Systems, methods, and media for outputting a dataset based upon anomaly detection |
-
2007
- 2007-01-31 KR KR1020070010300A patent/KR101303643B1/ko not_active IP Right Cessation
- 2007-08-01 EP EP07113628.7A patent/EP1953664A3/en not_active Withdrawn
- 2007-09-13 CN CN2007101540789A patent/CN101236584B/zh not_active Expired - Fee Related
- 2007-10-18 US US11/874,348 patent/US8205256B2/en not_active Expired - Fee Related
- 2007-11-12 JP JP2007293641A patent/JP4699438B2/ja not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6721721B1 (en) * | 2000-06-15 | 2004-04-13 | International Business Machines Corporation | Virus checking and reporting for computer database search results |
| CN1656732A (zh) * | 2002-05-23 | 2005-08-17 | 赛门铁克公司 | 变形计算机病毒检测 |
| CN1752888A (zh) * | 2005-11-08 | 2006-03-29 | 朱林 | 用于移动/智能终端的病毒特征提取和检测系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR101303643B1 (ko) | 2013-09-11 |
| EP1953664A3 (en) | 2016-05-18 |
| EP1953664A2 (en) | 2008-08-06 |
| KR20080071862A (ko) | 2008-08-05 |
| CN101236584A (zh) | 2008-08-06 |
| US8205256B2 (en) | 2012-06-19 |
| JP4699438B2 (ja) | 2011-06-08 |
| US20080184369A1 (en) | 2008-07-31 |
| JP2008192127A (ja) | 2008-08-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101236584B (zh) | 检测入侵代码的设备及其方法 | |
| CN111382430B (zh) | 用于对计算机系统的对象进行分类的系统和方法 | |
| CN111382434B (zh) | 用于检测恶意文件的系统和方法 | |
| US9990583B2 (en) | Match engine for detection of multi-pattern rules | |
| CN107066883B (zh) | 用于阻断脚本执行的系统和方法 | |
| CN109344611B (zh) | 应用的访问控制方法、终端设备及介质 | |
| KR101851233B1 (ko) | 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체 | |
| CN112134897B (zh) | 网络攻击数据的处理方法和装置 | |
| US11055399B2 (en) | Data recovery through reversal of hash values using probabilistic data structures | |
| JP6322240B2 (ja) | フィッシング・スクリプトを検出するためのシステム及び方法 | |
| CN112751804A (zh) | 一种仿冒域名的识别方法、装置和设备 | |
| KR20220101952A (ko) | 비트코인 불법거래 탐지 장치 및 방법 | |
| JP6602799B2 (ja) | セキュリティ監視サーバ、セキュリティ監視方法、プログラム | |
| CN110868382A (zh) | 一种基于决策树的网络威胁评估方法、装置及存储介质 | |
| CN107229865B (zh) | 一种解析Webshell入侵原因的方法及装置 | |
| CN115314271A (zh) | 一种访问请求的检测方法、系统及计算机存储介质 | |
| Rahat et al. | Cimalir: Cross-Platform IoT Malware Clustering using Intermediate Representation | |
| Swathi et al. | Detection of Phishing Websites Using Machine Learning | |
| CN113127865B (zh) | 一种恶意文件的修复方法、装置、电子设备及存储介质 | |
| US11848944B1 (en) | Dynamic analysis for detecting harmful content | |
| CN115694898A (zh) | 网络攻击的检测方法和装置 | |
| Azhari et al. | Feature selection approach for Android Malware Detection using Information Gain | |
| CN114021122A (zh) | 一种基于时序网络的交互增强型恶意变种检测方法 | |
| CN117792720A (zh) | 一种网络攻击识别的方法、装置及设备 | |
| CN116192448A (zh) | 一种恶意样本数据包分析方法、装置及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101013 Termination date: 20140913 |
|
| EXPY | Termination of patent right or utility model |