CN103995814B - 一种病毒最终母体的查找方法和系统 - Google Patents
一种病毒最终母体的查找方法和系统 Download PDFInfo
- Publication number
- CN103995814B CN103995814B CN201310054562.XA CN201310054562A CN103995814B CN 103995814 B CN103995814 B CN 103995814B CN 201310054562 A CN201310054562 A CN 201310054562A CN 103995814 B CN103995814 B CN 103995814B
- Authority
- CN
- China
- Prior art keywords
- cryptographic hash
- virus
- final parent
- analysis sample
- sample
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/13—File access structures, e.g. distributed indices
- G06F16/134—Distributed indices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/14—Details of searching files based on file metadata
- G06F16/148—File search processing
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Library & Information Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例公开了一种病毒最终母体的查找方法和系统。本发明实施例采用获取伪随机系统程序,根据该伪随机系统程序生成伪随机系统程序的哈希值,并为该哈希值添加索引和生成时间,得到处理后哈希值,然后对该处理后哈希值进行过滤,得到过滤后哈希值,并据此建立以索引和时间为维度的查询表,在需要查找病毒最终母体时,根据该查询表获取哈希值分析样本并运行,同时记录所述哈希值分析样本释放的所有文件的哈希值信息,生成行为日志文件,然后对行为日志文件进行分析,以确定病毒最终母体,从而实现了自动查找病毒最终母体的目的;由于该方案无需人工进行操作,所以可以节省人力物力和时间,而且也避免了人工操作容易出现失误的弊端,大大改善了查找效果。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种病毒最终母体的查找方法和系统。
背景技术
随着互联网的快速发展,人们的生活与互联网的关系也越来越紧密,如何保护互联网中信息的安全,一直都是人们所关注的问题。计算机病毒,简称病毒,对信息安全具有很大的危害,因此,如何查杀病毒,是信息安全保护中的一个很重要的环节。
病毒往往不是单一的个体,而是一个释放另外一个,环环相扣。比如,有三个病毒A、B和C,其中,A释放了B,B又释放了C,即形成一个“A->B->C”的链,则此时我们可以称B为C的母体,而A则是B的母体,当然,也可以说A为C的母体。若A没有母体,比如是用户通过在网站上下载等各种渠道得到的,那么,则此时可以称A为最终母体。在对病毒进行查杀时,如果没有把病毒的最终母体A杀掉,则用户可能会再次运行A而导致重复中毒,而且,如果没有把最终母体A查找出来,也无法摸清整个病毒的传播渠道,从而无法尽快找到防治病毒的方法,因此,查找病毒的最终母体是查杀病毒的一个重要环节。在现有技术中,往往需要依靠用户提交相关的中毒信息,然后根据分析这些中毒信息,来得到病毒的最终母体。
在对现有技术的研究和实践过程中,本发明的发明人发现,由于用户对病毒了解甚少,所以往往无法提交有效的信息,因此,现有技术的方案不仅需要耗费大量的人力物力以及时间,而且其查找效果也并不佳。
发明内容
本发明实施例提供一种病毒最终母体的查找方法和系统,可以自动查找出病毒最终母体,不仅可以节省人力物力和时间,而且查找效果较佳。
一种病毒最终母体的查找方法,包括:
获取伪随机系统程序;
根据所述伪随机系统程序生成伪随机系统程序的哈希值,并为所述哈希值添加索引和生成时间,得到处理后哈希值;
对所述处理后哈希值进行过滤,得到黑哈希值和/或灰哈希值;
根据所述黑哈希值和/或灰哈希值建立查询表,所述查询表以索引和时间为维度;
根据所述查询表获取哈希值分析样本;
运行所述哈希值分析样本,并记录所述哈希值分析样本释放的所有文件的哈希值信息,生成行为日志文件;
对所述行为日志文件进行分析,以确定病毒最终母体。
一种病毒最终母体的查找系统,包括:
程序获取单元,用于获取伪随机系统程序;
生成单元,用于根据所述伪随机系统程序生成伪随机系统程序的哈希值,并为所述哈希值添加索引和生成时间,得到处理后哈希值;
过滤单元,用于对所述处理后哈希值进行过滤,得到黑哈希值和/或灰哈希值;
建立单元,用于根据所述黑哈希值和/或灰哈希值建立查询表,所述查询表以索引和时间为维度;
样本获取单元,用于根据所述查询表获取哈希值分析样本;
运行单元,用于运行所述哈希值分析样本,并记录所述哈希值分析样本释放的所有文件的哈希值信息,生成行为日志文件;
分析单元,用于对所述行为日志文件进行分析,以确定病毒最终母体。
本发明实施例采用获取伪随机系统程序,根据该伪随机系统程序生成伪随机系统程序的哈希值,并为该哈希值添加索引和生成时间,得到处理后哈希值,然后对该处理后哈希值进行过滤,得到过滤后哈希值,并据此建立以索引和时间为维度的查询表,在需要查找病毒最终母体时,根据该查询表获取哈希值分析样本并运行,同时记录所述哈希值分析样本释放的所有文件的哈希值信息,生成行为日志文件,然后对行为日志文件进行分析,以确定病毒最终母体,从而实现了自动查找病毒最终母体的目的;由于该方案无需人工进行操作,所以可以节省人力物力和时间,而且也避免了人工操作容易出现失误的弊端,大大改善了查找效果。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的病毒最终母体的查找方法的流程图;
图2a是本发明实施例提供的病毒最终母体的查找系统的场景示意图;
图2b是本发明实施例提供的病毒最终母体的查找方法的另一流程图;
图2c是哈希值关系树的示意图;
图3是是本发明实施例提供的病毒最终母体的查找系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种病毒最终母体的查找方法和系统。以下分别进行详细说明。
实施例一、
在本实施例中,将以病毒最终母体的查找系统的角度进行描述,该病毒最终母体的查找系统具体可以集成在计算机中。
一种病毒最终母体的查找方法,包括:获取伪随机系统程序;根据该伪随机系统程序生成伪随机系统程序的哈希值,并为该哈希值添加索引和生成时间,得到处理后哈希值;对该处理后哈希值进行过滤,得到过滤后哈希值;根据该过滤后哈希值建立以索引和时间为维度的查询表;根据该查询表获取哈希值分析样本;运行该哈希值分析样本,并记录该哈希值分析样本释放的所有文件的哈希值信息,生成行为日志文件;对该行为日志文件进行分析,以确定病毒最终母体。
如图1所示,具体流程可以如下:
101、获取伪随机系统程序;
102、根据步骤101获取到的伪随机系统程序生成伪随机系统程序的哈希值,并为该哈希值添加索引和生成时间,得到处理后哈希值;
103、对步骤102中得到的处理后哈希值进行过滤,得到过滤后哈希值。
例如,该过滤后哈希值具体可以为黑哈希值和/或灰哈希值;即步骤102具体可以为:
对步骤102中得到的处理后哈希值进行过滤,得到黑哈希值和/或灰哈希值。
其中,黑哈希值代表已知的有恶意行为的文件的哈希值,而灰哈希值则代表未知的文件的哈希值。
例如,具体可以利用预置的白名单对该处理后哈希值进行过滤,得到黑哈希值和/或灰哈希值;其中,白名单里里记载了已知的系统程序的哈希值,即已知的没有恶意行为的文件的哈希值。
104、根据步骤103得到的过滤后哈希值,比如黑哈希值和/或灰哈希值建立查询表;
其中,该查询表以索引和时间为维度,可以用于查询某个索引在某段时间上出现了哪些黑哈希值和/或灰哈希值。
105、根据该查询表获取哈希值分析样本;
例如,具体可以获取用户关注的哈希值或时间范围,然后根据该用户关注的哈希值或时间范围通过查找所述查询表确定对应的哈希值分析样本的位置,并根据该哈希值分析样本的位置从样本库中下载哈希值分析样本。
106、运行步骤105中下载的哈希值分析样本,并记录该哈希值分析样本释放的所有文件的哈希值信息,生成行为日志文件;
例如,具体可以在蜜罐机中运行该哈希值分析样本,并记录该哈希值分析样本释放的所有文件的哈希值信息,生成行为日志文件,其中,该蜜罐机为部署有行为监控系统的机器。
107、对步骤106中生成的行为日志文件进行分析,以确定病毒最终母体。
例如,具体可以根据该行为日志文件确定各个哈希值分析样本之间的对应关系,并分别建立哈希值关系树,然后对该哈希值关系树进行分析并确定病毒最终母体。
比如,具体可以输入某个哈希值(该输入的哈希值即称为输入哈希值),得到该输入哈希值的生成哈希值,其中,该输入哈希值和生成哈希值之间的对应关系可以用树来表示(在本发明实施例中即称为哈希值关系树),依次类推,每个输入哈希值都可以得到相应的哈希值关系树,而病毒最终母体也就是找一个没有在其他哈希值关系树中以“生成哈希值”出现过的“输入哈希值”。
此外,对该行为日志文件进行分析,以确定病毒最终母体之后,还可以利用该得到的病毒最终母体来确定病毒的传播渠道,即该方法还可以包括:
根据该病毒最终母体确定病毒的传播渠道。
比如,具体可以将该病毒最终母体的哈希值拿到传播渠道的库中进行查询,以得到传播渠道,如得到该病毒最终母体的哈希值的下载地址等等,其中,该下载地址具体可以为统一资源定位符(URL,Uniform Resource Locator)。
由上可知,本实施例采用获取伪随机系统程序,根据该伪随机系统程序生成伪随机系统程序的哈希值,并为该哈希值添加索引和生成时间,得到处理后哈希值,然后对该处理后哈希值进行过滤,得到过滤后哈希值,比如黑哈希值和/或灰哈希值,并据此建立以索引和时间为维度的查询表,在需要查找病毒最终母体时,根据该查询表获取哈希值分析样本并运行,同时记录所述哈希值分析样本释放的所有文件的哈希值信息,生成行为日志文件,然后对行为日志文件进行分析,以确定病毒最终母体,从而实现了自动查找病毒最终母体的目的;由于该方案无需人工进行操作,所以可以节省人力物力和时间,而且也避免了人工操作容易出现失误的弊端,大大改善了查找效果。
进一步的,由于在该方案中,只关心输入的哈希生成了哪些哈希,而不关心生成的哈希之间的关系,所以还可以有效规避注入、bootkit(引导区工具包)以及rootkit(根工具包)病毒导致的释放关系链中断的情况(因为bootkit和rootkit病毒是通过驱动来进行恶意行为操作的,因此现有的监控是没有办法知道某个病毒是如何释放出来的,导致释放关系链中断)。
实施例二、
根据实施例一所描述的方法,以下将举例作进一步详细说明。
在本实施例中,将以该病毒最终母体的查找系统具体包括信息处理子系统、蜜罐子系统和分析子系统,参见图2a,具体可以如下:
1、信息处理子系统;
该信息处理子系统可以包括样本行为生成模块、白名单过滤模块和数据处理模块,如下:
样本行为生成模块,主要用于获取伪随机系统程序,根据该获取伪随机系统程序生成伪随机系统程序的哈希值,并为该哈希值添加索引和生成时间,得到处理后哈希值,将该处理后哈希值输出给白名单过滤模块。
白名单过滤模块,主要用于对处理后哈希值进行过滤,以过滤掉用户已知的系统程序的哈希值,得到过滤后哈希值,比如得到黑哈希值和/或灰哈希值,随后输出给数据处理模块。其中,白名单里里记载了用户已知的系统程序的哈希值,即已知的没有恶意行为的文件的哈希值,黑哈希值代表用户已知的有恶意行为的文件的哈希值,而灰哈希值则代表用户未知的文件的哈希值。
数据处理模块,主要用于根据白名单过滤模块输出的黑哈希值和/或灰哈希值建立查询表,并导出该查询表的查询接口供蜜罐子系统使用。其中,该查询表以索引和时间为维度,可以用于查询某个索引在某段时间上出现了哪些黑哈希值和/或灰哈希值。
2、蜜罐子系统;
蜜罐子系统可以包括下载分发模块和蜜罐机,如下:
下载分发模块,主要用于接收用户关注的哈希值和时间范围,然后根据该用户关注的哈希值或时间范围通过查找所述查询表确定对应的哈希值分析样本的位置,根据该哈希值分析样本的位置从样本库中下载哈希值分析样本,并分发给蜜罐机。
蜜罐机,为部署有行为监控系统的机器,主要用于运行该哈希值分析样本,并在运行的过程中,记录该哈希值分析样本释放的所有文件的哈希值信息,生成行为日志文件。并将该行为日志文件会输出给分析子系统进行分析,不过,如果行为日志文件里没有出现用户关注的哈希值,则无需输出给分析子系统。
3、分析子系统;
该分析子系统主要用于根据接收到的行为日志文件确定各个哈希值分析样本之间的对应关系,并分别建立哈希值关系树,然后对该哈希值关系树进行分析并确定病毒最终母体。此外,还可以利用该得到的病毒最终母体来确定病毒的传播渠道。
如图2b所示,具体流程可以如下:
201、信息处理子系统的样本行为生成模块获取伪随机系统程序。
202、样本行为生成模块根据该获取伪随机系统程序生成伪随机系统程序的哈希值,并为该哈希值添加索引和生成时间,得到处理后哈希值,将该处理后哈希值输出给白名单过滤模块。
203、白名单过滤模块利用预置的白名单对处理后哈希值进行过滤,以过滤掉用户已知的系统程序的哈希值,得到过滤后哈希值,比如得到黑哈希值和/或灰哈希值,并将该过滤后哈希值,比如黑哈希值和/或灰哈希值输出给数据处理模块。
其中,白名单里里记载了已知的系统程序的哈希值,即已知的没有恶意行为的文件的哈希值。而黑哈希值则代表已知的有恶意行为的文件的哈希值,灰哈希值代表未知的文件的哈希值。
204、数据处理模块根据白名单过滤模块输出的黑哈希值和/或灰哈希值建立查询表,并导出该查询表的查询接口供蜜罐子系统使用。
其中,该查询表以索引和时间为维度,可以用于查询某个索引在某段时间上出现了哪些黑哈希值和/或灰哈希值。
205、在需要查找病毒最终母体时,蜜罐子系统的下载分发模块获取用户关注的哈希值或时间范围,然后根据该用户关注的哈希值或时间范围通过查找查询表确定对应的哈希值分析样本的位置,并根据该哈希值分析样本的位置从样本库中下载哈希值分析样本,并分发给蜜罐子系统的蜜罐机。
206、蜜罐子系统的蜜罐机运行该哈希值分析样本,并在运行的过程中,记录该哈希值分析样本释放的所有文件的哈希值信息,生成行为日志文件。
207、蜜罐子系统的蜜罐机将该行为日志文件会输出给分析子系统进行分析。
需说明的是,如果行为日志文件里没有出现用户关注的哈希值,则无需输出给分析子系统。
208、分析子系统根据接收到的行为日志文件确定各个哈希值分析样本之间的对应关系,并分别建立哈希值关系树,然后对该哈希值关系树进行分析并确定病毒最终母体。
比如,若输入哈希值A,得到该输入哈希值的生成哈希值B、C和D,其中,如图2c所示,该输入哈希值A和生成哈希值B、C和D之间的对应关系可以用哈希值关系树来表示;又比如,若输入哈希值E,得到该输入哈希值的生成哈希值A、B、C和D,其中,如图2c所示,该输入哈希值E和生成哈希值A、B、C和D之间的对应关系也可以用哈希值关系树来表示;由这两个哈希值关系树可以看出,输入哈希值A是输入哈希值E的生成哈希值,因此,输入哈希值A不是病毒最终母体,如果输入哈希值E没有在其他哈希值关系树中以“生成哈希值”出现过,则输入哈希值E为病毒最终母体。也就是说,病毒最终母体就是找一个没有在其他哈希值关系树中以“生成哈希值”出现过的“输入哈希值”。
此外,对该行为日志文件进行分析,以确定病毒最终母体之后,还可以利用该得到的病毒最终母体来确定病毒的传播渠道,即还可以如下:
将该病毒最终母体的哈希值拿到传播渠道的库中进行查询,以得到传播渠道,如得到该病毒最终母体的哈希值的下载地址等等,其中,该下载地址具体可以为哈希值的下载URL。
209、分析子系统输出该确定的病毒最终母体,并显示该确定的病毒最终母体,以通知用户。
如果在步骤208中,还确定了传播渠道,则此时,还可以显示其传播渠道。
由上可知,本实施例采用获取伪随机系统程序,根据该伪随机系统程序生成伪随机系统程序的哈希值,并为该哈希值添加索引和生成时间,得到处理后哈希值,然后对该处理后哈希值进行过滤,得到黑哈希值和/或灰哈希值,并据此建立以索引和时间为维度的查询表,在需要查找病毒最终母体时,根据该查询表获取哈希值分析样本并运行,同时记录所述哈希值分析样本释放的所有文件的哈希值信息,生成行为日志文件,然后对行为日志文件进行分析,以确定病毒最终母体,从而实现了自动查找病毒最终母体的目的;而且,还可以根据该病毒最终母体确定其传播渠道。由于该方案无需人工进行操作,所以可以节省人力物力和时间,而且也避免了人工操作容易出现失误的弊端,大大改善了查找效果。
进一步的,由于在该方案中,只关心输入的哈希生成了哪些哈希,而不关心生成的哈希之间的关系,所以还可以有效规避注入、bootkit(引导区工具包)以及rootkit(根工具包)病毒导致的释放关系链中断的情况。
实施例三、
相应的,本发明实施例还提供一种病毒最终母体的查找系统,如图3所示,该病毒最终母体的查找系统包括程序获取单元301、生成单元302、过滤单元303、建立单元304、样本获取单元305、运行单元306和分析单元307;
程序获取单元301,用于获取伪随机系统程序;
生成单元302,用于根据获取到的伪随机系统程序生成伪随机系统程序的哈希值,并为所述哈希值添加索引和生成时间,得到处理后哈希值;
过滤单元303,用于对该处理后哈希值进行过滤,得到过滤后哈希值哈希值;
比如,该过滤后哈希值具体可以为黑哈希值和/或灰哈希值,即过滤单元303具体可以用于对该处理后哈希值进行过滤,得到黑哈希值和/或灰哈希值;
其中,黑哈希值代表已知的有恶意行为的文件的哈希值,而灰哈希值则代表未知的文件的哈希值。
例如,过滤单元303具体可以利用预置的白名单对该处理后哈希值进行过滤,得到黑哈希值和/或灰哈希值;其中,白名单里里记载了已知的系统程序的哈希值,即已知的没有恶意行为的文件的哈希值。
建立单元304,用于根据得到的过滤后哈希值建立查询表,其中,该查询表以索引和时间为维度。
例如,建立单元304,具体用于根据得到的黑哈希值和/或灰哈希值建立查询表,等等。
样本获取单元305,用于根据该查询表获取哈希值分析样本;
运行单元306,用于运行获取到的哈希值分析样本,并记录该哈希值分析样本释放的所有文件的哈希值信息,生成行为日志文件;
比如,运行单元306具体可以在蜜罐机中运行所述哈希值分析样本,并记录所述哈希值分析样本释放的所有文件的哈希值信息,生成行为日志文件,所述蜜罐机为部署有行为监控系统的机器。
分析单元307,用于对该行为日志文件进行分析,以确定病毒最终母体。
其中,样本获取单元305具体可以包括获取子单元、查找子单元和下载子单元,如下:
获取子单元,用于获取用户关注的哈希值或时间范围;
查找子单元,用于根据所述用户关注的哈希值或时间范围通过查找所述查询表确定对应的哈希值分析样本的位置;
下载子单元,用于根据所述哈希值分析样本的位置从样本库中下载哈希值分析样本。
其中,分析单元307可以包括关系建立子单元和确定子单元;
关系建立子单元,用于根据行为日志文件确定各个哈希值分析样本之间的对应关系,并分别建立哈希值关系树;
确定子单元,用于对建立的哈希值关系树进行分析,并确定病毒最终母体。
比如,具体可以输入某个哈希值,得到该输入哈希值的生成哈希值,其中,该输入哈希值和生成哈希值之间的对应关系可以用树来表示,依次类推,每个输入哈希值都可以得到相应的哈希值关系树,而病毒最终母体也就是找一个没有在其他哈希值关系树中以“生成哈希值”出现过的“输入哈希值”。
此外,在确定了病毒最终母体之后,还可以利用该得到的病毒最终母体来确定病毒的传播渠道,即:
分析单元307,还可以用于根据该病毒最终母体确定病毒的传播渠道。
比如,分析单元307具体可以将该病毒最终母体的哈希值拿到传播渠道的库中进行查询,以得到传播渠道,如得到该病毒最终母体的哈希值的下载地址等等,其中,该下载地址具体可以为统一资源定位符URL。
具体实施时,以上各个单元可以作为独立的实体实现,也可以进行任意组合,作为同一或若干个实体来实现。比如,程序获取单元301和生成单元302可以由信息处理子系统中的样本行为生成模块来实现,过滤单元303可以由信息处理子系统中的白名单过滤模块来实现,建立单元304可以由信息处理子系统中的数据处理模块来实现,样本获取单元305可以由蜜罐子系统中的下载分发模块来实现,运行单元306可以由蜜罐子系统中的蜜罐机来实现,分析单元307可以由分析子系统来实现,等等,当然,也可以以其他的实体形式来实现,在此不再赘述。该病毒最终母体的查找系统具体可以集成在计算机中。
由上可知,本实施例的病毒最终母体的查找系统的生成单元302可以根据程序获取单元301获取到的伪随机系统程序生成伪随机系统程序的哈希值,并为该哈希值添加索引和生成时间,得到处理后哈希值,然后由过滤单元303对该处理后哈希值进行过滤,得到过滤后哈希值,比如黑哈希值和/或灰哈希值,并由建立单元304据此建立以索引和时间为维度的查询表,在需要查找病毒最终母体时,由样本获取单元305根据该查询表获取哈希值分析样本,并由运行单元306进行运行,同时记录该哈希值分析样本释放的所有文件的哈希值信息,生成行为日志文件,然后由分析单元307对行为日志文件进行分析,以确定病毒最终母体,从而实现了自动查找病毒最终母体的目的;而且,还可以根据该病毒最终母体确定其传播渠道。由于该方案无需人工进行操作,所以可以节省人力物力和时间,而且也避免了人工操作容易出现失误的弊端,大大改善了查找效果。
进一步的,由于在该方案中,只关心输入的哈希生成了哪些哈希,而不关心生成的哈希之间的关系,所以还可以有效规避注入、bootkit(引导区工具包)以及rootkit(根工具包)病毒导致的释放关系链中断的情况。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,RandomAccess Memory)、磁盘或光盘等。
以上对本发明实施例所提供的一种病毒最终母体的查找方法和系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (12)
1.一种病毒最终母体的查找方法,其特征在于,包括:
获取伪随机系统程序;
根据所述伪随机系统程序生成伪随机系统程序的哈希值,并为所述哈希值添加索引和生成时间,得到处理后哈希值;
对所述处理后哈希值进行过滤,得到过滤后哈希值;
根据所述过滤后哈希值建立查询表,所述查询表以索引和时间为维度;
根据所述查询表获取哈希值分析样本;
运行所述哈希值分析样本,并记录所述哈希值分析样本释放的所有文件的哈希值信息,生成行为日志文件;
对所述行为日志文件进行分析,以确定病毒最终母体。
2.根据权利要求1所述的方法,其特征在于,所述根据所述查询表获取哈希值分析样本,包括:
获取用户关注的哈希值或时间范围;
根据所述用户关注的哈希值或时间范围通过查找所述查询表确定对应的哈希值分析样本的位置;
根据所述哈希值分析样本的位置从样本库中下载哈希值分析样本。
3.根据权利要求1或2所述的方法,其特征在于,所述对所述行为日志文件进行分析,以确定病毒最终母体,包括:
根据所述行为日志文件确定各个哈希值分析样本之间的对应关系,并分别建立哈希值关系树;
对所述哈希值关系树进行分析,并确定病毒最终母体。
4.根据权利要求1所述的方法,其特征在于,所述运行所述哈希值分析样本,并记录所述哈希值分析样本释放的所有文件的哈希值信息,生成行为日志文件,包括:
在蜜罐机中运行所述哈希值分析样本,并记录所述哈希值分析样本释放的所有文件的哈希值信息,生成行为日志文件,所述蜜罐机为部署有行为监控系统的机器。
5.根据权利要求1或2所述的方法,其特征在于,所述对所述处理后哈希值进行过滤,得到过滤后哈希值,包括:
对所述处理后哈希值进行过滤,得到黑哈希值和/或灰哈希值;
则所述根据所述过滤后哈希值建立查询表具体为:根据所述黑哈希值和/或灰哈希值建立查询表。
6.根据权利要求1或2所述的方法,其特征在于,所述对所述行为日志文件进行分析,以确定病毒最终母体之后,还包括:
根据所述病毒最终母体确定病毒的传播渠道。
7.一种病毒最终母体的查找系统,其特征在于,包括:
程序获取单元,用于获取伪随机系统程序;
生成单元,用于根据所述伪随机系统程序生成伪随机系统程序的哈希值,并为所述哈希值添加索引和生成时间,得到处理后哈希值;
过滤单元,用于对所述处理后哈希值进行过滤,得到过滤后哈希值;
建立单元,用于根据所述过滤后哈希值建立查询表,所述查询表以索引和时间为维度;
样本获取单元,用于根据所述查询表获取哈希值分析样本;
运行单元,用于运行所述哈希值分析样本,并记录所述哈希值分析样本释放的所有文件的哈希值信息,生成行为日志文件;
分析单元,用于对所述行为日志文件进行分析,以确定病毒最终母体。
8.根据权利要求7所述的病毒最终母体的查找系统,其特征在于,所述样本获取单元,包括:
获取子单元,用于获取用户关注的哈希值或时间范围;
查找子单元,用于根据所述用户关注的哈希值或时间范围通过查找所述查询表确定对应的哈希值分析样本的位置;
下载子单元,用于根据所述哈希值分析样本的位置从样本库中下载哈希值分析样本。
9.根据权利要求7或8所述的病毒最终母体的查找系统,其特征在于,所述分析单元包括关系建立子单元和确定子单元;
关系建立子单元,用于根据所述行为日志文件确定各个哈希值分析样本之间的对应关系,并分别建立哈希值关系树;
确定子单元,用于对所述哈希值关系树进行分析,并确定病毒最终母体。
10.根据权利要求7所述的病毒最终母体的查找系统,其特征在于,
运行单元,具体用于在蜜罐机中运行所述哈希值分析样本,并记录所述哈希值分析样本释放的所有文件的哈希值信息,生成行为日志文件,所述蜜罐机为部署有行为监控系统的机器。
11.根据权利要求7或8所述的病毒最终母体的查找系统,其特征在于,
所述过滤单元,具体用于对所述处理后哈希值进行过滤,得到黑哈希值和/或灰哈希值;
建立单元,用于根据所述黑哈希值和/或灰哈希值建立查询表,所述查询表以索引和时间为维度。
12.根据权利要求7或8所述的病毒最终母体的查找系统,其特征在于,
所述分析单元,还用于根据所述病毒最终母体确定病毒的传播渠道。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310054562.XA CN103995814B (zh) | 2013-02-20 | 2013-02-20 | 一种病毒最终母体的查找方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310054562.XA CN103995814B (zh) | 2013-02-20 | 2013-02-20 | 一种病毒最终母体的查找方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103995814A CN103995814A (zh) | 2014-08-20 |
| CN103995814B true CN103995814B (zh) | 2017-04-05 |
Family
ID=51309983
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310054562.XA Active CN103995814B (zh) | 2013-02-20 | 2013-02-20 | 一种病毒最终母体的查找方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103995814B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6088714B2 (ja) * | 2014-10-14 | 2017-03-01 | 日本電信電話株式会社 | 特定装置、特定方法および特定プログラム |
| CN111177720B (zh) * | 2019-08-08 | 2024-03-08 | 腾讯科技(深圳)有限公司 | 基于大数据生成威胁情报的方法、装置及可读存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7472420B1 (en) * | 2008-04-23 | 2008-12-30 | Kaspersky Lab, Zao | Method and system for detection of previously unknown malware components |
| CN102789562A (zh) * | 2012-07-19 | 2012-11-21 | 腾讯科技(深圳)有限公司 | 确定病毒文件的方法和装置 |
| CN102855274A (zh) * | 2012-07-17 | 2013-01-02 | 北京奇虎科技有限公司 | 一种可疑进程检测的方法和装置 |
| CN102867144A (zh) * | 2012-09-06 | 2013-01-09 | 北京奇虎科技有限公司 | 一种用于检测和清除计算机病毒的方法和装置 |
-
2013
- 2013-02-20 CN CN201310054562.XA patent/CN103995814B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7472420B1 (en) * | 2008-04-23 | 2008-12-30 | Kaspersky Lab, Zao | Method and system for detection of previously unknown malware components |
| CN102855274A (zh) * | 2012-07-17 | 2013-01-02 | 北京奇虎科技有限公司 | 一种可疑进程检测的方法和装置 |
| CN102789562A (zh) * | 2012-07-19 | 2012-11-21 | 腾讯科技(深圳)有限公司 | 确定病毒文件的方法和装置 |
| CN102867144A (zh) * | 2012-09-06 | 2013-01-09 | 北京奇虎科技有限公司 | 一种用于检测和清除计算机病毒的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103995814A (zh) | 2014-08-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Anderson et al. | Evading machine learning malware detection | |
| CN109302380B (zh) | 一种安全防护设备联动防御策略智能决策方法及系统 | |
| Likarish et al. | Obfuscated malicious javascript detection using classification techniques | |
| DE112019001121B4 (de) | Auf einem computer implementiertes verfahren zum identifizieren von malware und system hierfür | |
| CA2871470C (en) | Method and system for matching unknown software component to known software component | |
| CN107368856B (zh) | 恶意软件的聚类方法及装置、计算机装置及可读存储介质 | |
| CN108920954B (zh) | 一种恶意代码自动化检测平台及方法 | |
| Zolkipli et al. | An approach for malware behavior identification and classification | |
| Zollner et al. | An automated live forensic and postmortem analysis tool for bitcoin on windows systems | |
| US10409987B2 (en) | System and method for adaptive modification of antivirus databases | |
| CN110691080B (zh) | 自动溯源方法、装置、设备及介质 | |
| CN106529294B (zh) | 一种用于手机病毒判定与过滤的方法 | |
| Haddadi et al. | On botnet behaviour analysis using GP and C4. 5 | |
| RU2012156434A (ru) | Система и способ выбора оптимального типа антивирусной проверки при доступе к файлу | |
| CN103455753B (zh) | 一种样本文件分析方法及装置 | |
| Pan et al. | Webshell detection based on executable data characteristics of php code | |
| CN103995814B (zh) | 一种病毒最终母体的查找方法和系统 | |
| CN109359251A (zh) | 应用系统使用情况的审计预警方法、装置和终端设备 | |
| Walenstein et al. | Header information in malware families and impact on automated classifiers | |
| Al-Khshali et al. | Effect of PE file header features on accuracy | |
| Karademir et al. | Using clone detection to find malware in acrobat files | |
| Al-Mugerrn et al. | A Metamodeling Approach for Structuring and Organizing Cloud Forensics Domain | |
| CN108959860A (zh) | 一种检测Android系统是否被破解和破解记录获取方法 | |
| Zhang et al. | Osldetector: Identifying open-source libraries through binary analysis | |
| Zhang et al. | imcircle: Automatic mining of indicators of compromise from the web |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |