CN103593614A - 一种未知病毒检索方法 - Google Patents
一种未知病毒检索方法 Download PDFInfo
- Publication number
- CN103593614A CN103593614A CN201310617402.1A CN201310617402A CN103593614A CN 103593614 A CN103593614 A CN 103593614A CN 201310617402 A CN201310617402 A CN 201310617402A CN 103593614 A CN103593614 A CN 103593614A
- Authority
- CN
- China
- Prior art keywords
- behavior
- identification
- condition code
- behavioural analysis
- comparison database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
一种未知病毒检索方法,包括;配置对比库、行为提取、行为分析;所述行为分析包括木马识别、可疑行为识别,所述预先设置对比库将基本行为按照危险等级分为至少木马行为、可疑行为、可校正行为三级,所述行为分析包括木马识别和可疑行为识别,所述行为分析还包括:可疑行为校正步骤和过滤步骤;所述可疑行为校正为:从识别的可疑行为中根据预先设置的对比库中的可校正对比文件,将可疑行为识别出并归类为可校正行为。采用本发明所述的未知病毒检索方法及装置,用户可以自行配置各个危险等级对应的行为,满足不同用户的不同需求,通过减少可疑行为或木马行为配置,减少无谓分析过程,提高了查毒效率。
Description
技术领域
本发明属于计算机应用领域,涉及计算机病毒的识别和预防,特别是涉及一种未知病毒检索方法及装置。
背景技术
计算机病毒指编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自 我复制的一组计算机指令或者程序代码。计算机病毒通过某种途径潜伏在计算机的存储介质(或程序)里,当达到某种条件时即被激活,通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中。从而感染其他程序。
计算机病毒是计算机安全的主要威胁,计算机病毒变种能力日益增强,新病毒产生的速度加快。而目前大多数反病毒软件仍然使用病毒特征值检测方法,这种方法对已知病毒的检测效率较高,但是对于未知的新病毒却无能为力。随着安全领域的发展,又提出了基于程序文件的执行操作行为的检测来发现未知病毒,计算机病毒的操作行为通常包括修改注册表、调用内存、自行改变操作层级、堆栈溢出等,通过提取计算机病毒通常表现出的操作行为,与监控文件的行为进行对比来找到可疑的未知病毒。
目前虽然有不少基于行为的未知病毒的检测手段,但是由于病毒表现行为方式的多样性,容易误报,特别是对所有操作行为的逐一对比分析,占用计算机操作资源,查毒和杀毒时间增加,同时用户依赖于杀毒软件开发商提供的在线升级包对病毒库进行被动更新,用户不能根据自身需求对病毒库进行调整,造成对一些包含类似病毒操作行为的用户自己的非恶意操作也当成病毒误报误杀。
发明内容
为克服现有技术的查毒杀毒方法行为分析过程冗长,增加查毒杀毒时间,同时容易对非恶意操作行为误查误杀的技术缺陷,本发明公开了一种未知病毒检索方法及装置。
本发明所述的一种未知病毒检索方法,包括配置对比库、行为提取、行为分析;所述行为分析包括木马识别、可疑行为识别,所述配置对比库将基本行为按照危险等级分为至少木马行为、可疑行为、可校正行为三级,所述行为分析包括木马识别和可疑行为识别,所述行为分析还包括:可疑行为校正步骤;
所述可疑行为校正为:从识别的可疑行为中根据预先设置的对比库中的可校正对比文件,将可疑行为识别出并归类为可校正行为。
采用本发明所述的未知病毒检索方法,将操作行为分为木马行为、可疑行为和可校正行为,用户可以自行配置各个危险等级对应的行为,满足不同用户的不同需求,通过减少可疑行为或木马行为配置,减少无谓分析过程,提高了查毒效率。
优选的,所述配置对比库将基本行为按照危险等级分为木马行为、可疑行为、可校正行为、过滤行为四级,所述过滤行为包括本发明所述行为提取和/或行为分析步骤中产生的行为操作;所述行为分析还包括位于木马识别、可疑行为识别之前的过滤步骤。
过滤行为和过滤步骤的设定进一步缩短了文件分析的时间。
优选的,所述行为分析中的行为识别步骤为:将待识别行为的全部操作与对比库中对应危险等级的所有行为的全部操作进行对比,若与某一行为的全部操作吻合,则识别成功,否则失败。
优选的,所述行为分析还包括特征码对比步骤和特征码提取步骤,
所述特征码提取步骤为:对已完成识别的行为提取特征码,并存储到对比库的历史文件子库中;
所述特征码对比步骤为:识别之前,将待识别行为的特征码与历史文件子库中已存储的特征码对比,若对比成功则根据对比结果作出识别,否则继续后续识别。
通过文件特征码对比快速判断出该文件是否是已知的木马文件或安全文件,有效提高文件分析效率。
进一步的,所述特征码由md5值和文件后缀名组成。
本发明还公开了一种未知病毒检索装置,包括对比库、行为提取模块、行为分析模块,所述对比库与行为提取模块、行为分析模块连接,所述行为提取模块和行为分析模块连接,其特征在于,所述对比库包括至少如下子库:木马行为库、可疑行为库和可校正行为库,还包括与对比库连接的用户配置模块。
优选的,所述行为分析模块还包括特征码对比模块和特征码提取模块,所述对比库还包括与所述特征码对比模块和特征码提取模块连接的历史文件子库。
采用本发明所述的未知病毒检索装置,可以实现本发明所述未知病毒检索方法。
附图说明
图1为本发明所述木马行为识别过程的一种具体实施方式结构示意图;
图2为本发明所述可疑行为识别过程的一种具体实施方式结构示意图;
图3为本发明所述未知病毒检索装置的一种具体实施方式结构示意图。
具体实施方式
下面结合附图,对本发明的具体实施方式作进一步的详细说明。
本发明所述的一种未知病毒检索方法,包括配置对比库、行为提取、行为分析,所述行为分析包括木马识别、可疑行为识别,其特征在于,所述配置对比库将基本行为按照危险等级分为至少木马行为、可疑行为、可校正行为三级,所述行为分析包括木马识别和可疑行为识别,所述行为分析还包括:可疑行为校正步骤;所述可疑行为校正为:从识别的可疑行为中根据预先设置的对比库中的可校正对比文件,将可疑行为识别出并归类为可校正行为。
用户根据历史查杀记录对对比库进行配置,按照危险等级将各种操作行为分为木马行为,可疑行为和可校正行为,用户配置模块可以对对比库中的各个不同等级的行为进行选择,不同的文件操作在不同的用户中可能配置在不同的危险等级。其中木马行为和可疑行为通常根据历史杀毒记录选择定义,木马行为是根据历史记录得到的各种木马病毒表现的典型行为,可疑行为是根据历史记录总结出的一般木马程序通常会产生的行为,可校正行为是用户根据自身需求配置的子行为库,可校正行为是用户根据自身应用需求设定,将用户自身使用的各种正常操作行为归于可校正行为,在进行行为分析时,待识别的可疑行为如果与可校正行为符合,则将可疑行为归类为可校正行为,而不再将其识别为可疑行为或进一步判断为木马行为,避免误杀。
本发明的上述方法对应采用的未知病毒检索装置,包括对比库、行为提取模块、行为分析模块,所述对比库与行为提取模块、行为分析模块连接,所述行为提取模块和行为分析模块连接,其特征在于,所述对比库包括至少如下子库:木马行为库、可疑行为库和可校正行为库,还包括与对比库连接的用户配置模块。
采用上述的未知病毒检索方法及装置,将操作行为分为木马行为、可疑行为和可校正行为,用户可以自行配置各个危险等级对应的行为,满足不同用户的不同需求,通过减少可疑行为或木马行为配置,减少无谓分析过程,提高了查毒效率。
一种优选的实施方式为对不需要识别分析的行为进行过滤以提高效率,在配置对比库时将基本行为按照危险等级分为木马行为、可疑行为、可校正行为、过滤行为四级,所述行为分析还包括位于木马识别、可疑行为识别之前的过滤步骤,过滤行为通常包括计算机开机运行时的各种正常操作行为,在本发明中,过滤行为还包括在行为提取、行为分析过程中,所产生的系统自身的行为操作,这些行为操作不需要关心,在行为分析过程中可以不做分析。
对木马行为识别的一种具体实施方式如图1所示,
(1)文件行为提取后,根据行为提取模块根据提取结果得到的文件基本行为报告,与对比库对比,根据对比库中过滤文件列表过滤掉不需要后续分析的行为操作;
(2)将行为与对比库中的全部木马行为文件进行对比,具体为:对每个木马的所有操作行为一一对比,如果该木马行为的所有操作行为均能够在文件的基本行为报告中找到,则表示该木马行为匹配成功,则可以说明该文件是一个已知的木马病毒文件,否则匹配不成功,继续进行下一木马行为文件的对比,若遍历全部木马行为文件均匹配不成功,则认为该文件不是对比库中已知的木马文件。
完成木马识别后,对未识别出的文件,继续进行可疑行为识别,如图2所示给出可疑行为识别的一种具体实施方式:
(1)读取行为提取模块所提取的文件基本行为报告,根据过滤操作配置,过滤掉不需要分析的行为操作;
(2)从对比库的可疑行为列表中读取一个可疑行为配置,从文件基本行为操作报告中查找该可疑行为的所有操作,如果该可疑行为的所有操作都能在对比库中该可疑行为配置的相关操作行为中找到,则进行第(3)步,若该可疑行为的基本操作行为中有一项不能找到,则匹配该可疑行为失败。
(3)可疑行为匹配成功后,将该行为继续进行可校正行为匹配,判断该可疑操作列表中的所有操作行为是否在可校正行为列表中,如果所有的可疑操作均在可校正行为列表中,则表示该可疑行为为可校正行为,而不再认为是可疑行为,遍历全部可校正行为,若均不能匹配,则认为该可疑行为不是可校正行为,表示该可疑行为匹配成功。
各个行为分析中的行为识别步骤均可以表示为:将待识别行为的全部操作与对比库中对应危险等级的所有行为的全部操作进行对比,若与某一行为的全部操作吻合,则识别成功,否则失败。操作行为是细化后的具体操作,例如创建进程、创建线程、文件操作、网络操作、修改帐号、调用API、堆栈溢出等,正常的程序软件完全可能用到上述操作中的一种或几种,任意单一操作并非判断程序是否有害的标准,对操作行为逐一对比是对木马行为或其他行为进行甄别的必要步骤,否则不能得到正确结果。
另一种优选的实施方式为,所述行为分析还包括特征码对比步骤和特征码提取步骤,所述特征码提取步骤为:对已完成识别的行为提取特征码,并存储到对比库的历史文件子库中;所述特征码对比步骤为:识别之前,将待识别行为的特征码与历史文件子库中已存储的特征码对比,若对比成功则根据对比结果作出识别,否则继续后续识别。所述特征码可以由md5值和文件后缀名组成,MD5是message-digest algorithm 5(信息-摘要算法)的缩写,任何一个文件,都有且只有一个独一无二的MD5信息值,采用md5值和文件后缀名组合可以对一个文件进行唯一性标记,且包含的数据量很小。
如图3所示,通过在行为分析模块中增加特征码对比模块和特征码提取模块,对比库中增加与所述特征码对比模块和特征码提取模块连接的历史文件子库实现上述过程。
对已分析过的文件,特征码提取模块提取该文件的特征码,并与该文件所标记的类型,例如是木马文件还是可疑文件,打包关联存储到历史文件子库中,在下次进行文件分析时,特征码对比模块通过查询历史文件子库判断该文件是否需要进行分析,通过文件特征码对比快速判断出该文件是否是已知的木马文件或安全文件,有效提高文件分析效率。
特征码提取模块通过计算文件的特征码,对文件是否需要交由文件行为提取模块进行管理,如果某个文件已经分析过,该模块通过查询文件特征码库可以。同时对比库还具有历史文件子库,对一个文件是否是木马病毒,可以先通过黑白名单中的文件特征码进行事先查询,可以快速判断文件是否是已知的木马病毒文件或是安全文件,有效的提高文件分析效率。
本发明中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
前文所述的为本发明的各个优选实施例,各个优选实施例中的优选实施方式如果不是明显自相矛盾或以某一优选实施方式为前提,各个优选实施方式都可以任意叠加组合使用,所述实施例以及实施例中的具体参数仅是为了清楚表述发明人的发明验证过程,并非用以限制本发明的专利保护范围,本发明的专利保护范围仍然以其权利要求书为准,凡是运用本发明的说明书及附图内容所作的等同结构变化,同理均应包含在本发明的保护范围内。
Claims (7)
1.一种未知病毒检索方法,其特征在于,包括配置对比库、行为提取、行为分析;所述行为分析包括木马识别、可疑行为识别,所述配置对比库将基本行为按照危险等级分为至少木马行为、可疑行为、可校正行为三级,所述行为分析包括木马识别和可疑行为识别,所述行为分析还包括:可疑行为校正步骤;
所述可疑行为校正为:从识别的可疑行为中根据预先设置的对比库中的可校正对比文件,将可疑行为识别出并归类为可校正行为。
2. 如权利要求1所述的一种未知病毒检索方法,其特征在于,所述配置对比库将基本行为按照危险等级分为木马行为、可疑行为、可校正行为、过滤行为四级,所述过滤行为包括本发明所述行为提取和/或行为分析步骤中产生的行为操作;所述行为分析还包括位于木马识别、可疑行为识别之前的过滤步骤。
3. 如权利要求1所述的一种未知病毒检索方法,其特征在于,所述行为分析中的行为识别步骤为:将待识别行为的全部操作与对比库中对应危险等级的所有行为的全部操作进行对比,若与某一行为的全部操作吻合,则识别成功,否则失败。
4. 如权利要求1所述的一种未知病毒检索方法,其特征在于,所述行为分析还包括特征码对比步骤和特征码提取步骤,
所述特征码提取步骤为:对已完成识别的行为提取特征码,并存储到对比库的历史文件子库中;
所述特征码对比步骤为:识别之前,将待识别行为的特征码与历史文件子库中已存储的特征码对比,若对比成功则根据对比结果作出识别,否则继续后续识别。
5. 如权利要求4所述的一种未知病毒检索方法,其特征在于,所述特征码由md5值和文件后缀名组成。
6.一种未知病毒检索装置,包括对比库、行为提取模块、行为分析模块,所述对比库与行为提取模块、行为分析模块连接,所述行为提取模块和行为分析模块连接,其特征在于,所述对比库包括至少如下子库:木马行为库、可疑行为库和可校正行为库,还包括与对比库连接的用户配置模块。
7. 如权利要求6所述的一种未知病毒检索装置,其特征在于,所述行为分析模块还包括特征码对比模块和特征码提取模块,所述对比库还包括与所述特征码对比模块和特征码提取模块连接的历史文件子库。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310617402.1A CN103593614B (zh) | 2013-11-29 | 2013-11-29 | 一种未知病毒检索方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310617402.1A CN103593614B (zh) | 2013-11-29 | 2013-11-29 | 一种未知病毒检索方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103593614A true CN103593614A (zh) | 2014-02-19 |
| CN103593614B CN103593614B (zh) | 2017-01-11 |
Family
ID=50083747
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310617402.1A Active CN103593614B (zh) | 2013-11-29 | 2013-11-29 | 一种未知病毒检索方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103593614B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107689962A (zh) * | 2017-09-25 | 2018-02-13 | 深圳市盛路物联通讯技术有限公司 | 一种数据流过滤方法及系统 |
| CN109474573A (zh) * | 2017-12-30 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种识别失活木马程序的方法、装置和存储介质 |
| CN109829304A (zh) * | 2018-12-29 | 2019-05-31 | 北京奇安信科技有限公司 | 一种病毒检测方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101226570A (zh) * | 2007-09-05 | 2008-07-23 | 江启煜 | 一种监控与清除广义未知病毒的方法 |
| US20100077481A1 (en) * | 2008-09-22 | 2010-03-25 | Microsoft Corporation | Collecting and analyzing malware data |
| CN101808093A (zh) * | 2010-03-15 | 2010-08-18 | 北京安天电子设备有限公司 | 一种对web安全进行自动化检测的系统和方法 |
| CN103177214A (zh) * | 2011-12-23 | 2013-06-26 | 宇龙计算机通信科技(深圳)有限公司 | 恶意软件的检测方法、系统及通信终端 |
-
2013
- 2013-11-29 CN CN201310617402.1A patent/CN103593614B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101226570A (zh) * | 2007-09-05 | 2008-07-23 | 江启煜 | 一种监控与清除广义未知病毒的方法 |
| US20100077481A1 (en) * | 2008-09-22 | 2010-03-25 | Microsoft Corporation | Collecting and analyzing malware data |
| CN101808093A (zh) * | 2010-03-15 | 2010-08-18 | 北京安天电子设备有限公司 | 一种对web安全进行自动化检测的系统和方法 |
| CN103177214A (zh) * | 2011-12-23 | 2013-06-26 | 宇龙计算机通信科技(深圳)有限公司 | 恶意软件的检测方法、系统及通信终端 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107689962A (zh) * | 2017-09-25 | 2018-02-13 | 深圳市盛路物联通讯技术有限公司 | 一种数据流过滤方法及系统 |
| CN107689962B (zh) * | 2017-09-25 | 2021-03-19 | 深圳市盛路物联通讯技术有限公司 | 一种数据流过滤方法及系统 |
| CN109474573A (zh) * | 2017-12-30 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种识别失活木马程序的方法、装置和存储介质 |
| CN109474573B (zh) * | 2017-12-30 | 2021-05-25 | 北京安天网络安全技术有限公司 | 一种识别失活木马程序的方法、装置和存储介质 |
| CN109829304A (zh) * | 2018-12-29 | 2019-05-31 | 北京奇安信科技有限公司 | 一种病毒检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103593614B (zh) | 2017-01-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20210256127A1 (en) | System and method for automated machine-learning, zero-day malware detection | |
| US11188650B2 (en) | Detection of malware using feature hashing | |
| US9665713B2 (en) | System and method for automated machine-learning, zero-day malware detection | |
| Bayer et al. | Scalable, behavior-based malware clustering. | |
| US8955120B2 (en) | Flexible fingerprint for detection of malware | |
| KR101162051B1 (ko) | 문자열 비교 기법을 이용한 악성코드 탐지 및 분류 시스템 및 그 방법 | |
| CN107368582B (zh) | 一种sql语句检测方法及系统 | |
| EP3346664B1 (en) | Binary search of byte sequences using inverted indices | |
| KR101851233B1 (ko) | 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체 | |
| CN105046152B (zh) | 基于函数调用图指纹的恶意软件检测方法 | |
| CN106803040B (zh) | 病毒特征码处理方法及装置 | |
| RU2587429C2 (ru) | Система и способ оценки надежности правила категоризации | |
| US20210136032A1 (en) | Method and apparatus for generating summary of url for url clustering | |
| CN110135162A (zh) | Webshell后门识别方法、装置、设备及存储介质 | |
| EP3800570B1 (en) | Methods and systems for genetic malware analysis and classification using code reuse patterns | |
| O'Kane et al. | N-gram density based malware detection | |
| Gonzalez et al. | Authorship attribution of android apps | |
| CN103955644A (zh) | 一种基于终端自启动项的静态木马检测方法 | |
| CN103593614B (zh) | 一种未知病毒检索方法 | |
| KR20180133726A (ko) | 특징 벡터를 이용하여 데이터를 분류하는 장치 및 방법 | |
| Feichtner et al. | Obfuscation-resilient code recognition in Android apps | |
| CN108319853B (zh) | 病毒特征码处理方法及装置 | |
| US20220129550A1 (en) | Method for constructing behavioural software signatures | |
| WO2010149986A2 (en) | A method, a computer program and apparatus for analysing symbols in a computer | |
| US12067115B2 (en) | Malware attributes database and clustering |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 610000 No. 06, floor 15, unit 2, building 1, No. 28, north section of Tianfu Avenue, Chengdu hi tech Zone, China (Sichuan) pilot Free Trade Zone, Chengdu, Sichuan Patentee after: Chengdu Shumo Technology Co.,Ltd. Address before: No. 801, middle section of Tianfu Avenue, high tech Zone, Chengdu, Sichuan 610000 Patentee before: COLASOFT Co.,Ltd. |
|
| CP03 | Change of name, title or address | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220310 Address after: 610041 12th, 13th and 14th floors, unit 1, building 4, No. 966, north section of Tianfu Avenue, high tech Zone, Chengdu, Sichuan Patentee after: Kelai Network Technology Co.,Ltd. Address before: 610000 No. 06, floor 15, unit 2, building 1, No. 28, north section of Tianfu Avenue, Chengdu hi tech Zone, China (Sichuan) pilot Free Trade Zone, Chengdu, Sichuan Patentee before: Chengdu Shumo Technology Co.,Ltd. |
|
| TR01 | Transfer of patent right |