CN103955644B - 一种基于终端自启动项的静态木马检测方法 - Google Patents

一种基于终端自启动项的静态木马检测方法 Download PDF

Info

Publication number
CN103955644B
CN103955644B CN201410171414.0A CN201410171414A CN103955644B CN 103955644 B CN103955644 B CN 103955644B CN 201410171414 A CN201410171414 A CN 201410171414A CN 103955644 B CN103955644 B CN 103955644B
Authority
CN
China
Prior art keywords
startup item
record
data
file
static
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201410171414.0A
Other languages
English (en)
Other versions
CN103955644A (zh
Inventor
高昆仑
杨成明
魏桂臣
郝增帅
李凌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
China Electric Power Research Institute Co Ltd CEPRI
Smart Grid Research Institute of SGCC
Original Assignee
State Grid Corp of China SGCC
China Electric Power Research Institute Co Ltd CEPRI
Global Energy Interconnection Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, China Electric Power Research Institute Co Ltd CEPRI, Global Energy Interconnection Research Institute filed Critical State Grid Corp of China SGCC
Priority to CN201410171414.0A priority Critical patent/CN103955644B/zh
Publication of CN103955644A publication Critical patent/CN103955644A/zh
Application granted granted Critical
Publication of CN103955644B publication Critical patent/CN103955644B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明一种基于终端自启动项的静态木马检测方法,所述方法包括以下步骤:构建系统启动项的引擎分析模型,并进行全周期启动项变化监测;对经过系统启动项的引擎分析模型过滤后的数据进行灰名单智能分析;记录数据存入各自数据库;数据库静态扫描检测与数据库智能分析对比。本发明提供的基于终端自启动项的静态木马检测方法改变了传统基于启动项木马查杀模式,传统启动项木马检测都是基于已知木马行为进行查杀,对未知木马或基于应用启动的木马没有检测手段,通过对系统启动项引擎分析静态检测和全周期检测,能快速判定未知木马和检测到木马基于哪个启动项或什么动作启动,检测出的木马可以定位木马存储位置及其关联文件,即可直接手动查杀。

Description

一种基于终端自启动项的静态木马检测方法
技术领域
本发明属于信息安全技术领域,具体涉及一种基于终端自启动项的静态木马检测方法。
背景技术
木马作为黑客常用攻击工具的一种,木马对网络安全造成了严重威胁,也是网络攻击中获取信息系的重要途径,随着互联网飞速发展,不法分子们将木马植入用户计算机,以窃取有价值的信息,如:银行账号、密码和商业信息等,木马技术已深入操作系统的内部,植入操作系统内部很难被发现。
传统木马检测方法的漏报率较高,对已知的木马有很好的方法去防御,对于特种、未知、变种等木马的检测仍然是网络安全方面面临的主要任务,特种、未知、变种木马通过自身免杀、修改绕过杀毒软件制定的特征码检测、样本检测或修改网络通信规则,很容易达到绕过安全产品的防护。
发明内容
为了克服上述现有技术的不足,本发明提供一种基于终端自启动项的静态木马检测方法,可以有效提高检测特种、未知、变种木马的准确率,降低检测误报率和漏报率。
为了实现上述发明目的,本发明采取如下技术方案:
本发明提供一种基于终端自启动项的静态木马检测方法,所述方法包括以下步骤:
步骤1:构建系统启动项的引擎分析模型,并进行全周期启动项变化监测;
步骤2:对经过系统启动项的引擎分析模型过滤后的数据进行灰名单智能分析;
步骤3:记录数据存入各自数据库;
步骤4:数据库静态扫描检测与数据库智能分析对比。
所述步骤1包括以下步骤:
步骤1-1:构建系统启动项的引擎分析模型;系统启动项的引擎分析模型包括启动菜单、以前系统遗留文件、注册表、计划任务、启动项、组策略和自动启动服务;
步骤1-2:对与系统相关启动关联项进行分析记录;
步骤1-3:通过对启动项文件证书签名进行过滤,过滤正常文件的证书签名文件,全周期记录已构建的系统启动项的引擎分析模型中产生变化的检测数据,并对应用软件或后续关于启动项启动程序进行监控记录。
所述步骤2包括以下步骤:
步骤2-1:依据木马关联启动项、启动方式、文件类型特征、文件的证书及签名创建灰名单;所述灰名单主要介于白名单与黑名单之间;
步骤2-2:对经过系统启动项的引擎分析模型过滤后的数据与全周期记录的变化监测数据进行灰名单过滤分析;
步骤2-3:采用的灰名单采用黑名单加灰名单检测机制,通过灰名单判定已知木马、过滤正常程序,对于介于之间的启动项数据继进行下一步分析。
所述步骤3包括以下步骤:
步骤3-1:对灰名单过滤后的系统启动项的引擎分析模型数据与全周期记录变化检测数据进行记录;
步骤3-2:记录的数据采用智能处理依托启动项主文件的所有附属文件处理机制,对于整个记录的启动项文件以及依托文件做去重过滤;
步骤3-3:将系统启动项的引擎分析模型记录及过滤后的启动项文件以及依托文件记录数据存入B数据库中,全周期记录变化检测数据记录及全周期的启动项文件以及依托文件记录数据存入A数据库中。
所述步骤4包括以下步骤:
步骤4-1:对B数据库进行静态扫描检测;
先进行静态的特征扫描,过滤一次签名文件和已知恶意特征文件;之后进行可执行文件pe节区解析,包括敏感字符串解析、敏感函数名解析、壳文件特征判断、oep函数入口异常判断、pe节区是否感染规则分析;
步骤4-2:对各种手段分别设定权重值,根据权重值判定木马程序,将A数据库与B数据库进行智能分析比对,对于无异常记录进行标记放过,若存在差异记录,对差异记录数据在进行静态扫描检测,由权重值判定木马程序,根据数据库记录信息可以查找木马所在位置及依托的启动项或其他文件,即可直接手动查杀。
与现有技术相比,本发明的有益效果在于:
本发明提供的基于终端自启动项的静态木马检测方法改变了传统基于启动项木马查杀模式,传统启动项木马检测都是基于已知木马行为进行查杀,对未知木马或基于应用启动的木马没有检测手段,通过对系统启动项引擎分析静态检测和全周期检测,能快速判定未知木马和检测到木马基于哪个启动项或什么动作启动,检测出的木马可以定位木马存储位置及其关联文件,即可直接手动查杀。
附图说明
图1是基于终端自启动项的静态木马检测方法流程图。
具体实施方式
下面结合附图对本发明作进一步详细说明。
如图1,本发明提供一种基于终端自启动项的静态木马检测方法,所述方法包括以下步骤:
步骤1:构建系统启动项的引擎分析模型,并进行全周期启动项变化监测;
步骤2:对经过系统启动项的引擎分析模型过滤后的数据进行灰名单智能分析;
步骤3:记录数据存入各自数据库;
步骤4:数据库静态扫描检测与数据库智能分析对比。
所述步骤1包括以下步骤:
步骤1-1:构建系统启动项的引擎分析模型;系统启动项的引擎分析模型包括启动菜单、以前系统遗留文件、注册表、计划任务、启动项、组策略和自动启动服务;
步骤1-2:对与系统相关启动关联项进行分析记录;
步骤1-3:通过对启动项文件证书签名进行过滤,过滤正常文件的证书签名文件,全周期记录已构建的系统启动项的引擎分析模型中产生变化的检测数据,并对应用软件或后续关于启动项启动程序进行监控记录。
所述步骤2包括以下步骤:
步骤2-1:依据木马关联启动项、启动方式、文件类型特征、文件的证书及签名创建灰名单;所述灰名单主要介于白名单与黑名单之间;
步骤2-2:对经过系统启动项的引擎分析模型过滤后的数据与全周期记录的变化监测数据进行灰名单过滤分析;
步骤2-3:采用的灰名单采用黑名单加灰名单检测机制,通过灰名单判定已知木马、过滤正常程序,对于介于之间的启动项数据继进行下一步分析。
所述步骤3包括以下步骤:
步骤3-1:对灰名单过滤后的系统启动项的引擎分析模型数据与全周期记录变化检测数据进行记录;
步骤3-2:记录的数据采用智能处理依托启动项主文件的所有附属文件处理机制,对于整个记录的启动项文件以及依托文件做去重过滤;
步骤3-3:将系统启动项的引擎分析模型记录及过滤后的启动项文件以及依托文件记录数据存入B数据库中,全周期记录变化检测数据记录及全周期的启动项文件以及依托文件记录数据存入A数据库中。
所述步骤4包括以下步骤:
步骤4-1:对B数据库进行静态扫描检测;
先进行静态的特征扫描,过滤一次签名文件和已知恶意特征文件;之后进行可执行文件pe节区解析,包括敏感字符串解析、敏感函数名解析、壳文件特征判断、oep函数入口异常判断、pe节区是否感染规则分析;
步骤4-2:对各种手段分别设定权重值,根据权重值判定木马程序,将A数据库与B数据库进行智能分析比对,对于无异常记录进行标记放过,若存在差异记录,对差异记录数据在进行静态扫描检测,由权重值判定木马程序,根据数据库记录信息可以查找木马所在位置及依托的启动项或其他文件,即可直接手动查杀。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求范围当中。

Claims (4)

1.一种基于终端自启动项的静态木马检测方法,其特征在于:所述方法包括以下步骤:
步骤1:构建系统启动项的引擎分析模型,并进行全周期启动项变化监测;
步骤2:对经过系统启动项的引擎分析模型过滤后的数据进行灰名单智能分析;
步骤3:记录数据存入各自数据库;
步骤4:数据库静态扫描检测与数据库智能分析对比;
所述步骤1包括以下步骤:
步骤1-1:构建系统启动项的引擎分析模型;系统启动项的引擎分析模型包括启动菜单、以前系统遗留文件、注册表、计划任务、启动项、组策略和自动启动服务;
步骤1-2:对与系统相关启动关联项进行分析记录;
步骤1-3:通过对启动项文件证书签名进行过滤,过滤正常文件的证书签名文件,全周期记录已构建的系统启动项的引擎分析模型中产生变化的检测数据,并对应用软件或后续关联启动项启动程序进行监控记录。
2.根据权利要求1所述的基于终端自启动项的静态木马检测方法,其特征在于:所述步骤2包括以下步骤:
步骤2-1:依据木马关联启动项、启动方式、文件类型特征、文件的证书及签名创建灰名单;所述灰名单介于白名单与黑名单之间;
步骤2-2:对经过系统启动项的引擎分析模型过滤后的数据与全周期记录的变化监测数据进行灰名单过滤分析;
步骤2-3:采用的灰名单采用黑名单加灰名单检测机制,通过灰名单判定已知木马、过滤正常程序,对于介于之间的启动项数据进行下一步分析。
3.根据权利要求1所述的基于终端自启动项的静态木马检测方法,其特征在于:所述步骤3包括以下步骤:
步骤3-1:对灰名单过滤后的系统启动项的引擎分析模型数据与全周期记录变化检测数据进行记录;
步骤3-2:记录的数据采用智能处理依托启动项主文件的所有附属文件处理机制,对于整个记录的启动项文件以及依托文件做去重过滤;
步骤3-3:将系统启动项的引擎分析模型记录及过滤后的启动项文件以及依托文件记录数据存入B数据库中,全周期记录变化检测数据记录及全周期的启动项文件以及依托文件记录数据存入A数据库中。
4.根据权利要求3所述的基于终端自启动项的静态木马检测方法,其特征在于:所述步骤4包括以下步骤:
步骤4-1:对B数据库进行静态扫描检测;
先进行静态的特征扫描,过滤一次签名文件和已知恶意特征文件;之后进行可执行文件pe节区解析,包括敏感字符串解析、敏感函数名解析、壳文件特征判断、oep函数入口异常判断、pe节区是否感染规则分析;
步骤4-2:对各种手段分别设定权重值,根据权重值判定木马程序,将A数据库与B数据库进行智能分析比对,对于无异常记录进行标记放过,若存在差异记录,对差异记录数据再进行静态扫描检测,由权重值判定木马程序,根据数据库记录信息可以查找木马所在位置及依托的启动项或其他文件,即可直接手动查杀。
CN201410171414.0A 2014-04-25 2014-04-25 一种基于终端自启动项的静态木马检测方法 Active CN103955644B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410171414.0A CN103955644B (zh) 2014-04-25 2014-04-25 一种基于终端自启动项的静态木马检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410171414.0A CN103955644B (zh) 2014-04-25 2014-04-25 一种基于终端自启动项的静态木马检测方法

Publications (2)

Publication Number Publication Date
CN103955644A CN103955644A (zh) 2014-07-30
CN103955644B true CN103955644B (zh) 2017-06-06

Family

ID=51332919

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410171414.0A Active CN103955644B (zh) 2014-04-25 2014-04-25 一种基于终端自启动项的静态木马检测方法

Country Status (1)

Country Link
CN (1) CN103955644B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104462972A (zh) * 2014-12-19 2015-03-25 浪潮电子信息产业股份有限公司 一种木马查杀工具
CN104503807B (zh) * 2014-12-31 2018-05-25 北京奇虎科技有限公司 启动项的管理方法及装置
CN105590053B (zh) * 2015-12-18 2018-11-09 北京奇虎科技有限公司 启动项未知风险的检测方法及装置
CN109241734A (zh) * 2018-08-10 2019-01-18 航天信息股份有限公司 一种防护软件运行效率优化方法及系统
CN109254805A (zh) * 2018-09-21 2019-01-22 武汉斗鱼网络科技有限公司 一种应用自启动方法、终端装置及可读存储介质
CN110012030A (zh) * 2019-04-23 2019-07-12 北京微步在线科技有限公司 一种关联检测黑客的方法及装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN201477598U (zh) * 2009-09-01 2010-05-19 北京鼎普科技股份有限公司 终端木马监测装置
CN103019778A (zh) * 2012-11-30 2013-04-03 北京奇虎科技有限公司 开机启动项的清理方法和装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9213838B2 (en) * 2011-05-13 2015-12-15 Mcafee Ireland Holdings Limited Systems and methods of processing data associated with detection and/or handling of malware

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN201477598U (zh) * 2009-09-01 2010-05-19 北京鼎普科技股份有限公司 终端木马监测装置
CN103019778A (zh) * 2012-11-30 2013-04-03 北京奇虎科技有限公司 开机启动项的清理方法和装置

Also Published As

Publication number Publication date
CN103955644A (zh) 2014-07-30

Similar Documents

Publication Publication Date Title
CN103955644B (zh) 一种基于终端自启动项的静态木马检测方法
Sato et al. Detecting android malware by analyzing manifest files
Sun et al. Detecting anomalous user behavior using an extended isolation forest algorithm: an enterprise case study
CN104598824B (zh) 一种恶意程序检测方法及其装置
Lin et al. Identifying android malicious repackaged applications by thread-grained system call sequences
JP2016053956A (ja) ウェブ基盤の悪性コード探知システムおよび方法
CN103428196A (zh) 一种基于url白名单的web应用入侵检测方法和装置
KR101851233B1 (ko) 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체
WO2018099206A1 (zh) 一种apt检测方法、系统及装置
CN102768717A (zh) 恶意文件检测的方法及装置
CN109672671A (zh) 基于智能行为分析的安全网关及安全防护系统
CN105046152B (zh) 基于函数调用图指纹的恶意软件检测方法
CN103324615A (zh) 基于搜索引擎优化的钓鱼网站探测方法及系统
CN103500307A (zh) 一种基于行为模型的移动互联网恶意应用软件检测方法
CN107016298B (zh) 一种网页篡改监测方法及装置
KR101692982B1 (ko) 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템
CN104598820A (zh) 一种基于特征行为分析的木马病检测方法
CN107800686A (zh) 一种钓鱼网站识别方法和装置
CN110135162A (zh) Webshell后门识别方法、装置、设备及存储介质
WO2017197942A1 (zh) 病毒库的获取方法及装置、设备、服务器、系统
CN106375303A (zh) 攻击防御方法及装置
Djanali et al. SQL injection detection and prevention system with raspberry Pi honeypot cluster for trapping attacker
CN108241802A (zh) 一种聚合多维的Android平台隐私窃取类应用自动识别方法
CN104978523A (zh) 一种基于网络热词识别的恶意样本捕获方法及系统
KR20140077405A (ko) 사이버 공격 탐지 장치 및 방법

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C41 Transfer of patent application or patent right or utility model
TA01 Transfer of patent application right

Effective date of registration: 20160511

Address after: 100031 Xicheng District West Chang'an Avenue, No. 86, Beijing

Applicant after: State Grid Corporation of China

Applicant after: China Electric Power Research Institute

Applicant after: State Grid Smart Grid Institute

Address before: 100031 Xicheng District West Chang'an Avenue, No. 86, Beijing

Applicant before: State Grid Corporation of China

Applicant before: China Electric Power Research Institute

CB02 Change of applicant information

Address after: 100031 Xicheng District West Chang'an Avenue, No. 86, Beijing

Applicant after: State Grid Corporation of China

Applicant after: China Electric Power Research Institute

Applicant after: GLOBAL ENERGY INTERCONNECTION RESEARCH INSTITUTE

Address before: 100031 Xicheng District West Chang'an Avenue, No. 86, Beijing

Applicant before: State Grid Corporation of China

Applicant before: China Electric Power Research Institute

Applicant before: State Grid Smart Grid Institute

COR Change of bibliographic data
GR01 Patent grant
GR01 Patent grant