CN103646213B - 一种恶意软件的分类方法和装置 - Google Patents
一种恶意软件的分类方法和装置 Download PDFInfo
- Publication number
- CN103646213B CN103646213B CN201310446158.7A CN201310446158A CN103646213B CN 103646213 B CN103646213 B CN 103646213B CN 201310446158 A CN201310446158 A CN 201310446158A CN 103646213 B CN103646213 B CN 103646213B
- Authority
- CN
- China
- Prior art keywords
- software
- malice
- file
- virtual
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Abstract
本发明公开了一种恶意软件的分类方法和装置,用以解决现有技术中在对恶意软件进行分类时存在的准确度较低的问题。该方法包括:根据预先基于已获得的恶意软件的特征行为生成的进程信息,创建与所述进程信息对应的虚拟进程;运行待分类的恶意软件,并记录所述待分类的恶意软件针对创建的虚拟安装记录和所述虚拟进程产生的动态行为;其中,所述虚拟安装记录是根据预先基于已获得的恶意软件的特征行为生成的软件安装信息创建的;将记录的动态行为输出给恶意软件分类工具,以使所述恶意软件分类工具能够根据记录的动态行为对待分类的恶意软件进行分类。
Description
技术领域
本发明涉及计算机信息安全技术领域,尤其涉及一种恶意软件的分类方法和装置。
背景技术
恶意软件用来统称包括病毒、蠕虫、木马和间谍软件在内的各种恶意程序。近年来,由于利益驱动的关系,纯粹的恶意软件(比如仅以恶作剧或实验为目的的恶意软件)越来越少,而出现更多的是那种带有后门、可以使攻击者远程控制被感染的机器的恶意软件,被这种恶意软件感染的机器通常被称为“肉鸡”,因此这种恶意软件通常被称为“肉鸡”型恶意软件,而由“肉鸡”组成的受控网络通常被称为“僵尸网络”,而攻击者通常利用其拥有的“僵尸网络”以分布式拒绝服务(DistributedDenialofService,DDoS)攻击、银行卡密码窃取、垃圾邮件发送和敏感信息盗窃等攻击方式进行盈利。因为这些原因,恶意软件常被归结为多种威胁的源头,是当前比较严重的威胁之一。
目前,围绕恶意软件已经形成了一条集开发、销售、分发和运营的完整产业链,而恶意软件的数量也随之而迅速膨胀,比如赛门铁克Symantec公司统计出2012年仅“肉鸡”型恶意软件的数量就增加了340万,平均每天增加近1万。这种数量上的迅速膨胀增加了对恶意软件分析和研究的难度,传统的逐个样本分析和研究的方式不再有效,恶意软件的分类技术因此被发展出来。由于很多新出现的恶意软件只是已有的恶意软件的变种,它们的特征应该存在很多相似性,因此可以按照恶意软件的静态特征或者动态特征对其进行分类,把对单个样本的研究转化成对一类样本的研究,从而降低分析和研究的难度。其中,静态特征是指恶意软件中特定的字符串或者二进制串,这种分类技术比较成熟,传统的杀毒软件厂商一般都使用这种方法;而动态特征是指恶意软件的特征行为,其中,恶意软件运行过程中的所有行为被称作动态行为,而这些动态行为中恶意软件所特有的、能够用来作为识别特征的行为被称为特征行为。
基于上述思想,现有的恶意软件的分类技术一般先通过沙盒来获取待分类恶意软件的动态行为,沙盒的特点是对恶意软件运行过程中的动态行为作如实记录,但并不会捕获恶意软件的隐性行为,也就是说如果恶意软件的某种行为依赖沙盒中是否安装或者运行某种软件,而沙盒的配置环境不满足这种条件,那么该恶意软件相应的行为就不会产生,沙盒获得的主机行为就会有缺失,而缺失的很可能正是这种恶意软件所特有的、能够用来作为识别特征的特征行为。而在缺失该特征行为的前提下对这种恶意软件进行分类,一定会使分类结果的准确度大大降低。比如,最近出现的新蠕虫病毒BetaBot,它在运行后会首先检测系统中是否安装了mIrc和7zip等软件,如果系统中安装了上述软件,则停止运行。这种行为在恶意软件中比较罕见,可以作为这种恶意软件的特征行为。但是如果系统中没有安装上述软件,则这种特征行为就不会发生,沙盒就不会捕获到该特征行为,从而导致对这种恶意软件进行分类时的准确度比较低。
为了解决上述准确度低的缺陷,目前的解决方案是在沙盒中预先安装好必要的软件,但是安装的某些软件会对某些恶意软件的运行产生干扰,比如在沙盒中安装某杀毒软件,那么该杀毒软件很可能会对某些恶意软件的运行过程进行阻止,甚至杀掉这些恶意软件的进程,使沙盒捕获不到恶意软件的特征行为,因此该解决方案仍然存在对恶意软件进行分类时准确度低的缺陷。
发明内容
本发明实施例提供一种恶意软件的分类方法和装置,用以解决现有技术中在对恶意软件进行分类时存在的准确度较低的问题。
本发明实施例采用以下技术方案:
一种恶意软件的分类方法,包括:
根据预先基于已获得的恶意软件的特征行为生成的进程信息,创建与所述进程信息对应的虚拟进程;
运行待分类的恶意软件,并记录所述待分类的恶意软件针对创建的虚拟安装记录和所述虚拟进程产生的动态行为;其中,所述虚拟安装记录是根据预先基于已获得的恶意软件的特征行为生成的软件安装信息创建的;
将记录的动态行为输出给恶意软件分类工具,以使所述恶意软件分类工具能够根据记录的动态行为对待分类的恶意软件进行分类。
一种恶意软件的分类装置,包括:
虚拟进程创建单元,用于根据预先基于已获得的恶意软件的特征行为生成的进程信息,创建与所述进程信息对应的虚拟进程;
动态行为记录单元,用于运行待分类的恶意软件,并记录所述待分类的恶意软件针对创建的虚拟安装记录和虚拟进程创建单元创建的所述虚拟进程产生的动态行为;其中,所述虚拟安装记录是根据预先基于已获得的恶意软件的特征行为生成的软件安装信息创建的;
动态行为输出单元,用于将动态行为记录单元记录的动态行为输出给恶意软件分类工具,以使所述恶意软件分类工具能够根据记录的动态行为对待分类的恶意软件进行分类。
本发明实施例的有益效果如下:
本发明的技术方案中,在运行待分类的恶意软件之前,能够根据预先基于已获得的恶意软件的特征行为而生成的进程信息和软件安装信息来创建对应的虚拟进程和虚拟安装记录,由于创建的虚拟进程和虚拟安装记录并不是真正的安装和运行了相应的软件,因此不会对待分类的恶意软件的运行产生任何影响,而且该虚拟进程和虚拟安装记录还能为待分类的恶意软件提供其特征行为所依赖的软件已经安装和运行的假象,使该待分类的恶意软件的特征行为能够表现出来,从而大大提高了对该待分类的恶意软件进行分类的准确度。
附图说明
图1为本发明实施例提供的恶意软件的分类方法的实现流程图;
图2为本发明实施例提供的用于运行待分类的恶意软件的沙盒的具体结构示意图;
图3为本发明实施例提供的一种恶意软件的分类方法实现的具体流程图;
图4为本发明实施例提供的另一种恶意软件的分类方法实现的具体流程图;
图5为本发明实施例提供的一种恶意软件的分类装置的结构示意图;
图6为本发明实施例提供的另一种恶意软件的分类装置的结构示意图。
具体实施方式
为了解决现有技术中在对恶意软件进行分类时存在的准确度较低的问题,发明人对现有的恶意软件的分类技术进行了深入研究。现有的依据恶意软件的动态特征对恶意软件进行分类时,分类过程一般为:
首先获取待分类样本的动态行为,该过程一般在沙盒中完成,也可以通过动态仿真获得;然后将获取的一定数量的待分类样本的动态行为按照特定算法进行统计归类,常用的算法是聚类(cluster)算法;最后将动态行为相似的样本归为一类。
基于上述的分类过程,分类的准确度跟获取的待分类样本的特征行为的数量以及对动态行为建模的细化程度有关,对待分析样本的特征行为搜集越多、特征行为的描述信息越细,则分类的准确度越高。比如:某个恶意软件运行后会在c:\windows\system32\目录下创建一个scvhost.exe程序,然后将其添加到注册表的自启动项中,如下表1所示,为对创建scvhost.exe程序这个特征行为几种不同细化粒度的描述,级别level越大表示细化程度越高。
表1:
从上表可知,如果使用level4的描述信息进行统计分析,那么对该恶意软件进行分类的结果肯定比使用level1的描述信息的更准确。但是,上述分类过程必须在能够捕获到该恶意软件的特征行为的基础上,如果捕获不到该恶意软件的特征行为,那么后续用来分类的特征行为的描述信息无论细化程度有多高,都会导致分类结果不准确。
因此,如果能依据已知的恶意软件的特征行为对沙盒添加相应的配置,使其在运行待分类的恶意软件时能够获取更多的恶意软件的特征行为,就可以更好的对待分类的恶意软件进行分类。而基于上述思想,现有技术中已提供了一种能够提高分类的准确度的方案:在沙盒中预先安装好必要的软件,但是这种方法又存在如下缺点:
1、增加了配置的工作量,由于恶意软件的种类非常多,每种恶意软件的特征行为对应的软件不尽相同,因此需要在沙盒中预先安装的软件就非常多;
2、安装太多的软件会增加沙盒的体积,降低沙盒的运行速度;
3、某些软件会对某些恶意软件的运行产生干扰,导致沙盒捕获不到恶意软件的特征行为。
基于上述分析,本发明实施例提供了一种恶意软件的分类方案。该方案中,在运行待分类的恶意软件之前,能够根据预先基于已获得的恶意软件的特征行为而生成的进程信息和软件安装信息来创建对应的虚拟进程和虚拟安装记录,由于创建的虚拟进程和虚拟安装记录并不是真正的安装和运行了相应的软件,因此不会对待分类的恶意软件的运行产生任何影响,而且该虚拟进程和虚拟安装记录还能为待分类的恶意软件提供其特征行为所依赖的软件已经安装和运行的假象,使该待分类的恶意软件的特征行为能够表现出来,从而大大提高了对该待分类的恶意软件进行分类的准确度。
以下结合说明书附图对本发明的实施例进行说明,应当理解,此处所描述的实施例仅用于说明和解释本发明,并不用于限制本发明。并且在不冲突的情况下,本说明中的实施例及实施例的特征可以互相结合。
本发明实施例提供一种恶意软件的分类方法,如图1所示为该方法的实现流程图,该方法可以应用于沙盒中,主要包括下述步骤:
步骤11,根据预先基于已获得的恶意软件的特征行为生成的进程信息,创建与进程信息对应的虚拟进程;
其中,已获得的恶意软件的特征行为可以包括以下行为:
当检测到存在指定的注册表文件时,则停止运行的行为;
当检测到存在指定的注册表文件时,则删除该指定的注册表文件的行为;
当检测到存在指定的软件磁盘文件时,则停止运行的行为;
当检测到存在指定的软件磁盘文件时,则删除该指定的软件磁盘文件的行为;
当检测到存在指定的进程时,则停止运行的行为;
当检测到存在指定的进程时,则删除该指定的进程的行为。
需要说明的是,本发明实施例中的已获得的恶意软件的特征行为可以包括但并不仅限于上述行为。
该步骤中,预先基于已获得的恶意软件的特征行为生成的进程信息可以是进程名称,且承载该进程名称的载体可以为配置文件,在这种情况下,该进程信息可以按照如下方式生成:
首先根据已获得的恶意软件的特征行为,确定与已获得的恶意软件的特征行为对应的软件;然后根据确定的软件,生成与确定的软件对应的进程名称,并将进程名称承载在配置文件中。
在进程信息为进程名称的前提下,该步骤可以具体包括:首先读取并解析配置文件,然后根据解析后的配置文件中承载的进程名称,创建与进程名称对应的虚拟进程。
另外,该步骤中的进程信息也可以是与进程同名的可执行文件,在这种情况下,该进程信息可以按照如下方式生成:
首先根据已获得的恶意软件的特征行为,确定与已获得的恶意软件的特征行为对应的软件;然后根据确定的软件,生成与确定的软件对应的进程名称,并将进程名称承载在配置文件中;最后根据配置文件中承载的进程名称,生成与进程名称对应的可执行文件,其中,生成的可执行文件的名称与对应的进程名称相同。
在进程信息为可执行文件的前提下,该步骤可以具体包括:运行可执行文件,创建与可执行文件对应的虚拟进程。
需要说明的是,创建的虚拟进程与其仿冒的软件的进程没有任何关联,只是名称相同,而且本发明实施例中对该虚拟进程具体执行的工作不做限制,其中,较优的,可以使创建的虚拟进程保持睡眠状态,以减少沙盒的运行负担。
步骤12,运行待分类的恶意软件,并记录该待分类的恶意软件针对创建的虚拟安装记录和虚拟进程产生的动态行为;
其中,虚拟安装记录是根据预先基于已获得的恶意软件的特征行为生成的软件安装信息创建的;该虚拟安装记录可以和虚拟进程同时创建,也可以在沙盒启动之前创建,本发明实施例中对虚拟安装记录的创建时间不做强制限定。
本发明实施例中,基于已获得的恶意软件的特征行为生成的软件安装信息可以包括:注册表键值、软件文件名称和软件安装路径,且承载软件安装信息的载体为配置文件,则该软件安装信息可以按照如下方式生成:
首先根据已获得的恶意软件的特征行为,确定与已获得的恶意软件的特征行为对应的软件;然后根据确定的软件,生成与确定的软件对应的注册表键值、软件文件名称和软件安装路径,并将注册表键值、软件文件名称和软件安装路径承载在配置文件中。
在上述情况下,根据软件安装信息创建的虚拟安装记录可以包括:注册表文件和软件磁盘文件,则虚拟安装记录可以按照如下方式创建:
首先读取并解析配置文件;然后根据配置文件中承载的注册表键值,创建与注册表键值对应的注册表文件,以及根据配置文件中承载的软件文件名称和软件安装路径,创建与软件文件名称和软件安装路径对应的软件磁盘文件。
需要说明的是,本发明实施例中创建的注册表文件与其仿冒的软件的注册表文件没有任何关联,只是名称相同;而创建的软件磁盘文件可以是空文件,也可以是无特定意义的文件,其内容与其仿冒的软件的文件内容只是路径和名称相同,没有其他任何关联。
步骤13,将记录的动态行为输出给恶意软件分类工具,以使恶意软件分类工具能够根据记录的动态行为对待分类的恶意软件进行分类。
本发明实施例中,在运行待分类的恶意软件之前,能够根据预先基于已获得的恶意软件的特征行为而生成的进程信息和软件安装信息来创建对应的虚拟进程和虚拟安装记录,由于创建的虚拟进程和虚拟安装记录并不是真正的安装和运行了相应的软件,因此不会对待分类的恶意软件的运行产生任何影响,而且该虚拟进程和虚拟安装记录还能为待分类的恶意软件提供其特征行为所依赖的软件已经安装和运行的假象,使该待分类的恶意软件的特征行为能够表现出来,从而大大提高了对该待分类的恶意软件进行分类的准确度。
基于上述提供的恶意软件的分类方法,在实际应用时,用于运行待分类的恶意软件的沙盒的具体结构示意图如图2所示。图2中,沙盒包括:配置文件Fakerlist,该配置文件根据已获得的恶意软件的特征行为生成,承载有各种需要创建的信息,包括注册表键值、软件文件名称、软件安装路径和进程名称;还包括用于根据配置文件创建虚拟进程和虚拟安装记录的程序FakerMaker,而Faker1至FakerN为创建的虚拟进程、注册表文件和软件磁盘文件。
基于图2所示的沙盒,以下以本发明实施例提供的上述方法在实际中的具体应用为例,详细说明该方法的实现流程及其所能达到的技术效果。
实施例一:
如图3所示,为本发明实施例提供的恶意软件的分类方法实现的具体流程图,主要包括下述步骤:
步骤31,确定已获得的恶意软件的特征行为;
其中,已获得的恶意软件的特征行为可以包括:
当检测到存在指定的注册表文件时,则停止运行的行为;
当检测到存在指定的注册表文件时,则删除所述指定的注册表文件的行为;
当检测到存在指定的软件磁盘文件时,则停止运行的行为;
当检测到存在指定的软件磁盘文件时,则删除所述指定的软件磁盘文件的行为;
当检测到存在指定的进程时,则停止运行的行为;
当检测到存在指定的进程时,则删除所述指定的进程的行为。
步骤32,根据已获得的恶意软件的特征行为,生成配置文件;
其中,配置文件生成后被保存到沙盒中,供FakerMaker运行时读取。
具体的,该步骤可以包括:首先根据已获得的恶意软件的特征行为,确定与已获得的恶意软件的特征行为对应的软件,然后根据确定的软件,生成与确定的软件对应的进程名称、注册表键值、软件文件名称和软件安装路径,最后将上述生成的进程名称、注册表键值、软件文件名称和软件安装路径承载在配置文件中。
步骤33,将FakerMaker保存在沙盒中,并配置到沙盒的自启动列表中,使FakerMaker能在沙盒运行后自动运行。
上述步骤31至步骤33均是在沙盒启动之前执行的操作,为后续沙盒启动做准备。
步骤34,沙盒启动后,创建虚拟进程、注册表文件和软件磁盘文件;
其中,该步骤可以具体包括:沙盒启动后,FakerMaker自动运行,首先读取并解析配置文件,然后根据配置文件中承载的进程名称,创建与进程名称对应的虚拟进程,根据配置文件中承载的注册表键值,创建与注册表键值对应的注册表文件,以及根据配置文件中承载的软件文件名称和软件安装路径,创建与软件文件名称和软件安装路径对应的软件磁盘文件。
本发明实施例中,创建的虚拟进程与其仿冒的软件的进程没有任何关联,只是名称相同,而且本发明实施例中对该虚拟进程具体执行的工作不做限制,其中,较优的,可以使创建的虚拟进程保持睡眠状态,以减少沙盒的运行负担;创建的注册表文件与其仿冒的软件的注册表文件也没有任何关联,只是名称相同;而创建的软件磁盘文件可以是空文件,也可以是无特定意义的文件,其内容与其仿冒的软件的文件内容只是路径和名称相同,没有其他任何关联。
步骤35,运行待分类的恶意软件,并记录该待分类的恶意软件针对创建的注册表文件、软件磁盘文件和虚拟进程产生的动态行为;
步骤36,将记录的动态行为输出给恶意软件分类工具,以使该恶意软件分类工具能够根据记录的动态行为对待分类的恶意软件进行分类。
其中,步骤35和步骤36的实现过程在现有技术中已经比较成熟,在此不再详述。
实施例二:
如图4所示,为本发明实施例提供的恶意软件的分类方法实现的具体流程图,主要包括下述步骤:
步骤41,确定已获得的恶意软件的特征行为;
其中,已获得的恶意软件的特征行为可以包括:
当检测到存在指定的注册表文件时,则停止运行的行为;
当检测到存在指定的注册表文件时,则删除所述指定的注册表文件的行为;
当检测到存在指定的软件磁盘文件时,则停止运行的行为;
当检测到存在指定的软件磁盘文件时,则删除所述指定的软件磁盘文件的行为;
当检测到存在指定的进程时,则停止运行的行为;
当检测到存在指定的进程时,则删除所述指定的进程的行为。
步骤42,根据已获得的恶意软件的特征行为,生成配置文件;
具体的,首先根据已获得的恶意软件的特征行为,确定与已获得的恶意软件的特征行为对应的软件,然后根据确定的软件,生成与确定的软件对应的进程名称、注册表键值、软件文件名称和软件安装路径,最后将上述生成的进程名称、注册表键值、软件文件名称和软件安装路径承载在配置文件中。
步骤43,将FakerMaker保存在沙盒中,并配置到沙盒的自启动列表中,使FakerMaker能在沙盒运行后自动运行。
步骤44,FakerMaker读取并解析配置文件,根据配置文件中承载的注册表键值、软件文件名称和软件安装路径,创建注册表文件和软件磁盘文件。
其中,步骤41至步骤44均是在沙盒启动之前执行的操作,为后续沙盒启动做准备。另外,步骤43也可以在步骤42之前执行。
步骤45,沙盒启动后,创建虚拟进程;
具体的,沙盒启动后,FakerMaker自动运行,读取并解析配置文件,根据配置文件中承载的进程名称,创建与进程名称对应的虚拟进程。
步骤46,运行待分类的恶意软件,并记录该待分类的恶意软件针对创建的注册表文件、软件磁盘文件和虚拟进程产生的动态行为;
步骤47,将记录的动态行为输出给恶意软件分类工具,以使该恶意软件分类工具能够根据记录的动态行为对待分类的恶意软件进行分类。
本发明实施例中,由于注册表文件和软件磁盘文件可以在沙盒启动之前创建,可以避免每次运行沙盒时都进行软件磁盘文件和注册表文件的配置,因此可以减少沙盒的运行时间,提高运行效率。
另外,在创建虚拟进程时,可以采用沙盒的自启动机制实现,而不是由FakerMaker完成。具体的,在根据已获得的恶意软件的特征行为生成配置文件之后,根据该配置文件中承载的进程名称,生成与进程名称对应的可执行文件,然后将可执行文件保存到沙盒的自启动列表中,保证沙盒运行后能自动执行可执行文件,进而根据运行可执行文件,创建与可执行文件对应的虚拟进程;而注册表文件和软件磁盘文件可以采用上述实施例一或者实施例二的方法进行创建。
上述的技术方案中,在运行待分类的恶意软件之前,能够根据预先基于已获得的恶意软件的特征行为而生成的进程信息和软件安装信息来创建对应的虚拟进程和虚拟安装记录,由于创建的虚拟进程和虚拟安装记录并不是真正的安装和运行了相应的软件,因此不会对待分类的恶意软件的运行产生任何影响,而且该虚拟进程和虚拟安装记录还能为待分类的恶意软件提供其特征行为所依赖的软件已经安装和运行的假象,使该待分类的恶意软件的特征行为能够表现出来,从而大大提高了对该待分类的恶意软件进行分类的准确度。
另外,由于创建的虚拟进程和虚拟安装记录并不是真正的安装和运行了相应的软件,因此对于运行恶意软件的沙盒来说,不仅能极大的降低配置时间,而且还能提高沙盒的运行速度。
基于上述提供的恶意软件的分类方法,本发明实施例还提供了一种恶意软件的分类装置,如图5所示,为该装置的结构示意图,包括:
虚拟进程创建单元51,用于根据预先基于已获得的恶意软件的特征行为生成的进程信息,创建与所述进程信息对应的虚拟进程;
动态行为记录单元52,用于运行待分类的恶意软件,并记录所述待分类的恶意软件针对创建的虚拟安装记录和虚拟进程创建单元51创建的所述虚拟进程产生的动态行为;其中,所述虚拟安装记录是根据预先基于已获得的恶意软件的特征行为生成的软件安装信息创建的;
动态行为输出单元53,用于将动态行为记录单元52记录的动态行为输出给恶意软件分类工具,以使所述恶意软件分类工具能够根据记录的动态行为对待分类的恶意软件进行分类。
其中,当进程信息为进程名称,且承载所述进程信息的载体为配置文件时,该装置还可以包括:
进程信息第一生成单元54,用于根据已获得的恶意软件的特征行为,确定与已获得的恶意软件的特征行为对应的软件;根据确定的所述软件,生成与确定的软件对应的进程名称,并将所述进程名称承载在配置文件中;以及
虚拟进程创建单元51,可以具体包括:
读取和解析模块511,用于读取并解析所述配置文件;
创建模块512,用于根据读取和解析模块511得到的所述配置文件中承载的所述进程名称,创建与所述进程名称对应的虚拟进程。
当软件安装信息包括:注册表键值、软件文件名称和软件安装路径,且承载所述软件安装信息的载体为配置文件时,该装置还可以包括:
软件安装信息生成单元55,用于根据已获得的恶意软件的特征行为,确定与已获得的恶意软件的特征行为对应的软件;根据确定的所述软件,生成与确定的软件对应的注册表键值、软件文件名称和软件安装路径,并将所述注册表键值、软件文件名称和软件安装路径承载在配置文件中。
当该装置包括软件安装信息生成单元55时,虚拟安装记录可以包括:注册表文件和软件磁盘文件,则该装置还包括:
虚拟安装记录创建单元56,用于读取并解析所述配置文件;根据所述配置文件中承载的注册表键值,创建与所述注册表键值对应的注册表文件,以及根据所述配置文件中承载的软件文件名称和软件安装路径,创建与所述软件文件名称和软件安装路径对应的软件磁盘文件。
其中,预先获得的恶意软件的特征行为可以包括:
当检测到存在指定的注册表文件时,则停止运行的行为;
当检测到存在指定的注册表文件时,则删除所述指定的注册表文件的行为;
当检测到存在指定的软件磁盘文件时,则停止运行的行为;
当检测到存在指定的软件磁盘文件时,则删除所述指定的软件磁盘文件的行为;
当检测到存在指定的进程时,则停止运行的行为;
当检测到存在指定的进程时,则删除所述指定的进程的行为。
基于上述提供的恶意软件的分类方法,本发明实施例还提供了一种恶意软件的分类装置,如图6所示,为该装置的结构示意图,包括:
虚拟进程创建单元61,用于根据预先基于已获得的恶意软件的特征行为生成的进程信息,创建与所述进程信息对应的虚拟进程;
动态行为记录单元62,用于运行待分类的恶意软件,并记录所述待分类的恶意软件针对创建的虚拟安装记录和虚拟进程创建单元61创建的所述虚拟进程产生的动态行为;其中,所述虚拟安装记录是根据预先基于已获得的恶意软件的特征行为生成的软件安装信息创建的;
动态行为输出单元63,用于将动态行为记录单元62记录的动态行为输出给恶意软件分类工具,以使所述恶意软件分类工具能够根据记录的动态行为对待分类的恶意软件进行分类。
其中,当进程信息为可执行文件时,该装置还可以包括:
进程信息第二生成单元64,用于根据已获得的恶意软件的特征行为,确定与已获得的恶意软件的特征行为对应的软件;根据确定的所述软件,生成与确定的软件对应的进程名称,并将所述进程名称承载在配置文件中;根据所述配置文件中承载的所述进程名称,生成与所述进程名称对应的可执行文件;以及
虚拟进程创建单元61,具体用于:
运行所述可执行文件,创建与所述可执行文件对应的虚拟进程。
当软件安装信息包括:注册表键值、软件文件名称和软件安装路径,且承载所述软件安装信息的载体为配置文件时,该装置还可以包括:
软件安装信息生成单元65,用于根据已获得的恶意软件的特征行为,确定与已获得的恶意软件的特征行为对应的软件;根据确定的所述软件,生成与确定的软件对应的注册表键值、软件文件名称和软件安装路径,并将所述注册表键值、软件文件名称和软件安装路径承载在配置文件中。
当该装置包括软件安装信息生成单元65时,虚拟安装记录可以包括:注册表文件和软件磁盘文件,则该装置还包括:
虚拟安装记录创建单元66,用于读取并解析所述配置文件;根据所述配置文件中承载的注册表键值,创建与所述注册表键值对应的注册表文件,以及根据所述配置文件中承载的软件文件名称和软件安装路径,创建与所述软件文件名称和软件安装路径对应的软件磁盘文件。
其中,预先获得的恶意软件的特征行为可以包括:
当检测到存在指定的注册表文件时,则停止运行的行为;
当检测到存在指定的注册表文件时,则删除所述指定的注册表文件的行为;
当检测到存在指定的软件磁盘文件时,则停止运行的行为;
当检测到存在指定的软件磁盘文件时,则删除所述指定的软件磁盘文件的行为;
当检测到存在指定的进程时,则停止运行的行为;
当检测到存在指定的进程时,则删除所述指定的进程的行为。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (12)
1.一种恶意软件的分类方法,其特征在于,所述方法应用于沙盒中,包括:
根据预先基于已获得的恶意软件的特征行为生成的进程信息,创建与所述进程信息对应的虚拟进程;
运行待分类的恶意软件,并记录所述待分类的恶意软件针对创建的虚拟安装记录和所述虚拟进程产生的动态行为;其中,所述虚拟安装记录是根据预先基于已获得的恶意软件的特征行为生成的软件安装信息创建的;
将记录的动态行为输出给恶意软件分类工具,以使所述恶意软件分类工具能够根据记录的动态行为对待分类的恶意软件进行分类。
2.如权利要求1所述的方法,其特征在于,所述进程信息为进程名称,且承载所述进程信息的载体为配置文件;则
所述进程信息按照如下方式生成:
根据已获得的恶意软件的特征行为,确定与已获得的恶意软件的特征行为对应的软件;
根据确定的所述软件,生成与确定的软件对应的进程名称,并将所述进程名称承载在配置文件中;以及
创建与所述进程信息对应的虚拟进程,具体包括:
读取并解析所述配置文件;
根据所述配置文件中承载的所述进程名称,创建与所述进程名称对应的虚拟进程。
3.如权利要求1所述的方法,其特征在于,所述进程信息为可执行文件;则
所述进程信息按照如下方式生成:
根据已获得的恶意软件的特征行为,确定与已获得的恶意软件的特征行为对应的软件;
根据确定的所述软件,生成与确定的软件对应的进程名称,并将所述进程名称承载在配置文件中;
根据所述配置文件中承载的所述进程名称,生成与所述进程名称对应的可执行文件;以及
创建与所述进程信息对应的虚拟进程,具体包括:
运行所述可执行文件,创建与所述可执行文件对应的虚拟进程。
4.如权利要求1所述的方法,其特征在于,所述软件安装信息包括:注册表键值、软件文件名称和软件安装路径,且承载所述软件安装信息的载体为配置文件;则
所述软件安装信息按照如下方式生成:
根据已获得的恶意软件的特征行为,确定与已获得的恶意软件的特征行为对应的软件;
根据确定的所述软件,生成与确定的软件对应的注册表键值、软件文件名称和软件安装路径,并将所述注册表键值、软件文件名称和软件安装路径承载在配置文件中。
5.如权利要求4所述的方法,其特征在于,所述虚拟安装记录包括:注册表文件和软件磁盘文件;则
所述虚拟安装记录按照如下方式创建:
读取并解析所述配置文件;
根据所述配置文件中承载的注册表键值,创建与所述注册表键值对应的注册表文件,以及根据所述配置文件中承载的软件文件名称和软件安装路径,创建与所述软件文件名称和软件安装路径对应的软件磁盘文件。
6.如权利要求1~5任一所述的方法,其特征在于,预先获得的恶意软件的特征行为包括:
当检测到存在指定的注册表文件时,则停止运行的行为;
当检测到存在指定的注册表文件时,则删除所述指定的注册表文件的行为;
当检测到存在指定的软件磁盘文件时,则停止运行的行为;
当检测到存在指定的软件磁盘文件时,则删除所述指定的软件磁盘文件的行为;
当检测到存在指定的进程时,则停止运行的行为;
当检测到存在指定的进程时,则删除所述指定的进程的行为。
7.一种恶意软件的分类装置,其特征在于,包括:
虚拟进程创建单元,用于根据预先基于已获得的恶意软件的特征行为生成的进程信息,创建与所述进程信息对应的虚拟进程;
动态行为记录单元,用于运行待分类的恶意软件,并记录所述待分类的恶意软件针对创建的虚拟安装记录和虚拟进程创建单元创建的所述虚拟进程产生的动态行为;其中,所述虚拟安装记录是根据预先基于已获得的恶意软件的特征行为生成的软件安装信息创建的;
动态行为输出单元,用于将动态行为记录单元记录的动态行为输出给恶意软件分类工具,以使所述恶意软件分类工具能够根据记录的动态行为对待分类的恶意软件进行分类。
8.如权利要求7所述的装置,其特征在于,所述进程信息为进程名称,且承载所述进程信息的载体为配置文件;则
所述装置还包括:
进程信息第一生成单元,用于根据已获得的恶意软件的特征行为,确定与已获得的恶意软件的特征行为对应的软件;根据确定的所述软件,生成与确定的软件对应的进程名称,并将所述进程名称承载在配置文件中;以及
虚拟进程创建单元,具体包括:
读取和解析模块,用于读取并解析所述配置文件;
创建模块,用于根据读取和解析模块得到的所述配置文件中承载的所述进程名称,创建与所述进程名称对应的虚拟进程。
9.如权利要求7所述的装置,其特征在于,所述进程信息为可执行文件;则
所述装置还包括:
进程信息第二生成单元,用于根据已获得的恶意软件的特征行为,确定与已获得的恶意软件的特征行为对应的软件;根据确定的所述软件,生成与确定的软件对应的进程名称,并将所述进程名称承载在配置文件中;根据所述配置文件中承载的所述进程名称,生成与所述进程名称对应的可执行文件;以及
虚拟进程创建单元,具体用于:
运行所述可执行文件,创建与所述可执行文件对应的虚拟进程。
10.如权利要求7所述的装置,其特征在于,所述软件安装信息包括:注册表键值、软件文件名称和软件安装路径,且承载所述软件安装信息的载体为配置文件;则
所述装置还包括:
软件安装信息生成单元,用于根据已获得的恶意软件的特征行为,确定与已获得的恶意软件的特征行为对应的软件;根据确定的所述软件,生成与确定的软件对应的注册表键值、软件文件名称和软件安装路径,并将所述注册表键值、软件文件名称和软件安装路径承载在配置文件中。
11.如权利要求10所述的装置,其特征在于,所述虚拟安装记录包括:注册表文件和软件磁盘文件;则
所述装置还包括:
虚拟安装记录创建单元,用于读取并解析所述配置文件;根据所述配置文件中承载的注册表键值,创建与所述注册表键值对应的注册表文件,以及根据所述配置文件中承载的软件文件名称和软件安装路径,创建与所述软件文件名称和软件安装路径对应的软件磁盘文件。
12.如权利要求7~11任一所述的装置,其特征在于,预先获得的恶意软件的特征行为包括:
当检测到存在指定的注册表文件时,则停止运行的行为;
当检测到存在指定的注册表文件时,则删除所述指定的注册表文件的行为;
当检测到存在指定的软件磁盘文件时,则停止运行的行为;
当检测到存在指定的软件磁盘文件时,则删除所述指定的软件磁盘文件的行为;
当检测到存在指定的进程时,则停止运行的行为;
当检测到存在指定的进程时,则删除所述指定的进程的行为。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310446158.7A CN103646213B (zh) | 2013-09-26 | 2013-09-26 | 一种恶意软件的分类方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310446158.7A CN103646213B (zh) | 2013-09-26 | 2013-09-26 | 一种恶意软件的分类方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103646213A CN103646213A (zh) | 2014-03-19 |
| CN103646213B true CN103646213B (zh) | 2016-06-01 |
Family
ID=50251426
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310446158.7A Active CN103646213B (zh) | 2013-09-26 | 2013-09-26 | 一种恶意软件的分类方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103646213B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104392174B (zh) * | 2014-10-23 | 2016-04-06 | 腾讯科技(深圳)有限公司 | 应用程序动态行为的特征向量的生成方法及装置 |
| CN105791323B (zh) * | 2016-05-09 | 2019-02-26 | 国家电网公司 | 未知恶意软件的防御方法和设备 |
| CN108197473B (zh) * | 2017-12-25 | 2021-12-28 | 中国科学院信息工程研究所 | 一种抗干扰的环境敏感型恶意软件行为相似性评测方法和装置 |
| CN109101815B (zh) * | 2018-07-27 | 2023-04-07 | 平安科技(深圳)有限公司 | 一种恶意软件检测方法及相关设备 |
| CN111027062A (zh) * | 2019-03-29 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种靶场应用失陷状态的评估方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102902924A (zh) * | 2012-09-29 | 2013-01-30 | 北京奇虎科技有限公司 | 对文件行为特征进行检测的方法及装置 |
| CN103065093A (zh) * | 2012-12-27 | 2013-04-24 | 中国人民解放军国防科学技术大学 | 一种恶意软件行为特征标识方法 |
| CN103150510A (zh) * | 2013-03-18 | 2013-06-12 | 珠海市君天电子科技有限公司 | 一种软件恶意行为的处理方法和装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8479286B2 (en) * | 2009-12-15 | 2013-07-02 | Mcafee, Inc. | Systems and methods for behavioral sandboxing |
-
2013
- 2013-09-26 CN CN201310446158.7A patent/CN103646213B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102902924A (zh) * | 2012-09-29 | 2013-01-30 | 北京奇虎科技有限公司 | 对文件行为特征进行检测的方法及装置 |
| CN103065093A (zh) * | 2012-12-27 | 2013-04-24 | 中国人民解放军国防科学技术大学 | 一种恶意软件行为特征标识方法 |
| CN103150510A (zh) * | 2013-03-18 | 2013-06-12 | 珠海市君天电子科技有限公司 | 一种软件恶意行为的处理方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| 《基于沙盒技术的恶意程序检测模型》;陈丹伟 等;《计算机科学》;20120615;第12-14页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103646213A (zh) | 2014-03-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Galal et al. | Behavior-based features model for malware detection | |
| US9715588B2 (en) | Method of detecting a malware based on a white list | |
| Azmandian et al. | Virtual machine monitor-based lightweight intrusion detection | |
| US9177141B2 (en) | Active defense method on the basis of cloud security | |
| Salehi et al. | A miner for malware detection based on API function calls and their arguments | |
| Zolkipli et al. | An approach for malware behavior identification and classification | |
| Liu et al. | A novel approach for detecting browser-based silent miner | |
| US8108931B1 (en) | Method and apparatus for identifying invariants to detect software tampering | |
| US20110041179A1 (en) | Malware detection | |
| EP2975873A1 (en) | A computer implemented method for classifying mobile applications and computer programs thereof | |
| Zhao et al. | Malicious executables classification based on behavioral factor analysis | |
| CN103646213B (zh) | 一种恶意软件的分类方法和装置 | |
| Siddiqui | Data mining methods for malware detection | |
| Carlin et al. | Dynamic analysis of malware using run-time opcodes | |
| Vadrevu et al. | Maxs: Scaling malware execution with sequential multi-hypothesis testing | |
| Al-Khshali et al. | Effect of PE file header features on accuracy | |
| Shalaginov et al. | Automated intelligent multinomial classification of malware species using dynamic behavioural analysis | |
| Rana et al. | Automated windows behavioral tracing for malware analysis | |
| Gregory Paul et al. | A framework for dynamic malware analysis based on behavior artifacts | |
| Xin et al. | Obfuscated computer virus detection using machine learning algorithm | |
| Kumar et al. | A review: malware analysis work at IIT Kanpur | |
| Jawhar | A Survey on Malware Attacks Analysis and Detected | |
| Zhang et al. | A web page malicious script detection system | |
| Gavrilut et al. | Dealing with class noise in large training datasets for malware detection | |
| Van Hung | An approach to fast malware classification with machine learning technique |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Patentee after: NSFOCUS Technologies Group Co.,Ltd. Patentee after: NSFOCUS TECHNOLOGIES Inc. Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. Patentee before: NSFOCUS TECHNOLOGIES Inc. |