CN105740706B - 基于api名称和立即数的启发式样本检测方法及系统 - Google Patents

基于api名称和立即数的启发式样本检测方法及系统 Download PDF

Info

Publication number
CN105740706B
CN105740706B CN201510985230.2A CN201510985230A CN105740706B CN 105740706 B CN105740706 B CN 105740706B CN 201510985230 A CN201510985230 A CN 201510985230A CN 105740706 B CN105740706 B CN 105740706B
Authority
CN
China
Prior art keywords
immediate
sample
hash
detected
api
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510985230.2A
Other languages
English (en)
Other versions
CN105740706A (zh
Inventor
童志明
刘爽
何公道
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Antiy Technology Group Co Ltd
Original Assignee
Harbin Antiy Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Antiy Technology Co Ltd filed Critical Harbin Antiy Technology Co Ltd
Priority to CN201510985230.2A priority Critical patent/CN105740706B/zh
Publication of CN105740706A publication Critical patent/CN105740706A/zh
Application granted granted Critical
Publication of CN105740706B publication Critical patent/CN105740706B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Stored Programmes (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明提出一种基于API名称和立即数的启发式样本检测方法及系统,包括:获取系统文件的全部导出函数名称,并计算各导出函数名称的散列值;将所有导出函数名称的散列值形成散列匹配库;遍历待检测样本的全部指令中所包含的立即数;将所述立即数与散列匹配库中的散列值匹配,并计算匹配成功的立即数个数;判断所述匹配成功的立即数个数是否超过阈值,如果是,则所述待检测样本为恶意文件,否则所述待检测样本为普通文件。本发明通过对API名称进行散列计算与待检测样本的立即数匹配,能够快速发现存在隐藏自身API调用的恶意代码样本。

Description

基于API名称和立即数的启发式样本检测方法及系统
技术领域
本发明涉及网络安全技术领域,特别涉及一种基于API名称和立即数的启发式样本检测方法及系统。
背景技术
传统的恶意代码检测方式是在深度分析机器指令后,根据指令序列进行相关特征的提取。这种检测方式的原理是同一个病毒家族总是会有若干段相同的指令序列,但不足在于,指令序列必须经过大量人工分析后才能得到,有时候在恶意代码有意隐藏的情况下,如将API调用中使用的API名称进行散列变换,甚至得不到期望的相同指令序列,则无法对恶意代码进行有效的检测。
发明内容
本发明提出了一种基于API名称和立即数的启发式样本检测方法及系统,通过对API名称进行散列计算与待检测样本的立即数匹配,能够快速发现存在隐藏自身API调用的恶意代码样本。
一种基于API名称和立即数的启发式样本检测方法,包括:
获取系统文件的全部导出函数名称,并计算各导出函数名称的散列值;
将所有导出函数名称的散列值形成散列匹配库;
遍历待检测样本的全部指令中所包含的立即数;
将所述立即数与散列匹配库中的散列值匹配,并计算匹配成功的立即数个数;
判断所述匹配成功的立即数个数是否超过阈值,如果是,则所述待检测样本为恶意文件,否则所述待检测样本为普通文件;
其中,将所述立即数与散列匹配库中的散列值匹配,具体为:若待检测样本存在恶意代码,恶意代码会将API的名称进行散列计算,并在指令中使用散列计算数值作为指令的立即数来进行API的隐式调用的行为,即所述立即数与散列值存在匹配情况。
一种基于API名称和立即数的启发式样本检测系统,包括:
散列计算模块,用于获取系统文件的全部导出函数名称,并计算各导出函数名称的散列值;
散列匹配库模块,用于将所有导出函数名称的散列值形成散列匹配库;
遍历模块,用于遍历待检测样本的全部指令中所包含的立即数;
匹配模块,用于将所述立即数与散列匹配库中的散列值匹配,并计算匹配成功的立即数个数;
判断模块,用于判断所述匹配成功的立即数个数是否超过阈值,如果是,则所述待检测样本为恶意文件,否则所述待检测样本为普通文件;
其中,将所述立即数与散列匹配库中的散列值匹配,具体为:若待检测样本存在恶意代码,恶意代码会将API的名称进行散列计算,并在指令中使用散列计算数值作为指令的立即数来进行API的隐式调用的行为,即所述立即数与散列值存在匹配情况。
本发明的优势在于,利用一些恶意代码为了隐藏自身躲避检测,会将API的名称进行散列计算,并在指令中使用该数值作为指令的立即数来进行API的隐式调用的行为,通过将系统API名称计算散列值,并与待检测样本的立即数匹配进行检测,能够快速准确发现存在隐藏自身API调用的恶意代码样本。
本发明提出一种基于API名称和立即数的启发式样本检测方法及系统,包括:获取系统文件的全部导出函数名称,并计算各导出函数名称的散列值;将所有导出函数名称的散列值形成散列匹配库;遍历待检测样本的全部指令中所包含的立即数;将所述立即数与散列匹配库中的散列值匹配,并计算匹配成功的立即数个数;判断所述匹配成功的立即数个数是否超过阈值,如果是,则所述待检测样本为恶意文件,否则所述待检测样本为普通文件。本发明通过对API名称进行散列计算与待检测样本的立即数匹配,能够快速发现存在隐藏自身API调用的恶意代码样本。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为一种基于API名称和立即数的启发式样本检测方法流程图;
图2为一种基于API名称和立即数的启发式样本检测系统结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明提出了一种基于API名称和立即数的启发式样本检测方法及系统,通过对API名称进行散列计算与待检测样本的立即数匹配,能够快速发现存在隐藏自身API调用的恶意代码样本。
一种基于API名称和立即数的启发式样本检测方法,如图1所示,包括:
S101:获取系统文件的全部导出函数名称,并计算各导出函数名称的散列值;
S102:将所有导出函数名称的散列值形成散列匹配库;
S103:遍历待检测样本的全部指令中所包含的立即数;
S104:将所述立即数与散列匹配库中的散列值匹配,并计算匹配成功的立即数个数;
S105:判断所述匹配成功的立即数个数是否超过阈值,如果是,则所述待检测样本为恶意文件,否则所述待检测样本为普通文件。
一种基于API名称和立即数的启发式样本检测系统,如图2所示,包括:
散列计算模块201,用于获取系统文件的全部导出函数名称,并计算各导出函数名称的散列值;
散列匹配库模块202,用于将所有导出函数名称的散列值形成散列匹配库;
遍历模块203,用于遍历待检测样本的全部指令中所包含的立即数;
匹配模块204,用于将所述立即数与散列匹配库中的散列值匹配,并计算匹配成功的立即数个数;
判断模块205,用于判断所述匹配成功的立即数个数是否超过阈值,如果是,则所述待检测样本为恶意文件,否则所述待检测样本为普通文件。
本发明的优势在于,利用一些恶意代码为了隐藏自身躲避检测,会将API的名称进行散列计算,并在指令中使用该数值作为指令的立即数来进行API的隐式调用的行为,通过将系统API名称计算散列值,并与待检测样本的立即数匹配进行检测,能够快速准确发现存在隐藏自身API调用的恶意代码样本。
本发明提出一种基于API名称和立即数的启发式样本检测方法及系统,包括:获取系统文件的全部导出函数名称,并计算各导出函数名称的散列值;将所有导出函数名称的散列值形成散列匹配库;遍历待检测样本的全部指令中所包含的立即数;将所述立即数与散列匹配库中的散列值匹配,并计算匹配成功的立即数个数;判断所述匹配成功的立即数个数是否超过阈值,如果是,则所述待检测样本为恶意文件,否则所述待检测样本为普通文件。本发明通过对API名称进行散列计算与待检测样本的立即数匹配,能够快速发现存在隐藏自身API调用的恶意代码样本。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。

Claims (2)

1.一种基于API名称和立即数的启发式样本检测方法,其特征在于,包括:
获取系统文件的全部导出函数名称,并计算各导出函数名称的散列值;
将所有导出函数名称的散列值形成散列匹配库;
遍历待检测样本的全部指令中所包含的立即数;
将所述立即数与散列匹配库中的散列值匹配,并计算匹配成功的立即数个数;
判断所述匹配成功的立即数个数是否超过阈值,如果是,则所述待检测样本为恶意文件,否则所述待检测样本为普通文件;
其中,将所述立即数与散列匹配库中的散列值匹配,具体为:若待检测样本存在恶意代码,恶意代码会将API的名称进行散列计算,并在指令中使用散列计算数值作为指令的立即数来进行API的隐式调用的行为,即所述立即数与散列值存在匹配情况。
2.一种基于API名称和立即数的启发式样本检测系统,其特征在于,包括:
散列计算模块,用于获取系统文件的全部导出函数名称,并计算各导出函数名称的散列值;
散列匹配库模块,用于将所有导出函数名称的散列值形成散列匹配库;
遍历模块,用于遍历待检测样本的全部指令中所包含的立即数;
匹配模块,用于将所述立即数与散列匹配库中的散列值匹配,并计算匹配成功的立即数个数;
判断模块,用于判断所述匹配成功的立即数个数是否超过阈值,如果是,则所述待检测样本为恶意文件,否则所述待检测样本为普通文件;
其中,将所述立即数与散列匹配库中的散列值匹配,具体为:若待检测样本存在恶意代码,恶意代码会将API的名称进行散列计算,并在指令中使用散列计算数值作为指令的立即数来进行API的隐式调用的行为,即所述立即数与散列值存在匹配情况。
CN201510985230.2A 2015-12-25 2015-12-25 基于api名称和立即数的启发式样本检测方法及系统 Active CN105740706B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510985230.2A CN105740706B (zh) 2015-12-25 2015-12-25 基于api名称和立即数的启发式样本检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510985230.2A CN105740706B (zh) 2015-12-25 2015-12-25 基于api名称和立即数的启发式样本检测方法及系统

Publications (2)

Publication Number Publication Date
CN105740706A CN105740706A (zh) 2016-07-06
CN105740706B true CN105740706B (zh) 2019-05-07

Family

ID=56296041

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510985230.2A Active CN105740706B (zh) 2015-12-25 2015-12-25 基于api名称和立即数的启发式样本检测方法及系统

Country Status (1)

Country Link
CN (1) CN105740706B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107819783A (zh) * 2017-11-27 2018-03-20 深信服科技股份有限公司 一种基于威胁情报的网络安全检测方法及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101976319A (zh) * 2010-11-22 2011-02-16 张平 基于行为特征的BIOS固件Rootkit检测方法
CN102938040A (zh) * 2012-09-29 2013-02-20 中兴通讯股份有限公司 Android恶意应用程序检测方法、系统及设备
CN102945347A (zh) * 2012-09-29 2013-02-27 中兴通讯股份有限公司 一种检测Android恶意软件的方法、系统及设备
CN103186746A (zh) * 2013-03-26 2013-07-03 北京深思数盾科技有限公司 一种可执行文件的保护方法及系统
CN104657662A (zh) * 2015-01-26 2015-05-27 安一恒通(北京)科技有限公司 用于检测感染型病毒的方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101976319A (zh) * 2010-11-22 2011-02-16 张平 基于行为特征的BIOS固件Rootkit检测方法
CN102938040A (zh) * 2012-09-29 2013-02-20 中兴通讯股份有限公司 Android恶意应用程序检测方法、系统及设备
CN102945347A (zh) * 2012-09-29 2013-02-27 中兴通讯股份有限公司 一种检测Android恶意软件的方法、系统及设备
CN103186746A (zh) * 2013-03-26 2013-07-03 北京深思数盾科技有限公司 一种可执行文件的保护方法及系统
CN104657662A (zh) * 2015-01-26 2015-05-27 安一恒通(北京)科技有限公司 用于检测感染型病毒的方法及装置

Also Published As

Publication number Publication date
CN105740706A (zh) 2016-07-06

Similar Documents

Publication Publication Date Title
WO2021127660A3 (en) Machine and deep learning process modeling of performance and behavioral data
EP2560120A3 (en) Systems and methods for identifying associations between malware samples
ATE555430T1 (de) Systeme und verfahren für computersicherheit
WO2015191731A8 (en) Systems and methods for software analytics
GB2494337A (en) Systems and methods for determining whether data includes strings that correspond to sensitive information
WO2015127472A3 (en) Systems and methods for malware detection and mitigation
WO2013074774A4 (en) Data clustering based on variant token networks
JP2012521598A5 (zh)
GB2502715A (en) Malware Detection
CN102801709A (zh) 一种钓鱼网站识别系统及方法
JP2015508549A5 (ja) モバイル環境用のトロイの木馬化されたアプリケーション(アプリ)を特定するためのコンピュータ実装方法、非一時コンピュータ読み取り可能な媒体およびコンピュータシステム
WO2015067964A3 (en) Identifying media components
MX2016010454A (es) Metodo para evaluar automaticamente una ausencia de electroencefalograma (eeg), programa de ordenador y dispositivo de evaluacion del mismo.
WO2013073999A3 (ru) Способ автоматизированного анализа текстовых документов
RU2012156446A (ru) Система и способ формирования сценариев модели поведения приложений
CN108985065A (zh) 应用改进的马氏距离计算方法进行固件漏洞检测的方法及系统
CN105446757B (zh) 一种数据包的处理方法和设备
CN105740706B (zh) 基于api名称和立即数的启发式样本检测方法及系统
DE602006013666D1 (de) Verfahren und vorrichtung zum automatischen erstellung einer abspielliste durch segmentweisen merkmalsvergleich
CN103324888A (zh) 基于家族样本的病毒特征自动提取方法及系统
EP3073398A3 (en) A method of modelling at least a part of a gas turbine engine
CN105488414A (zh) 一种防止恶意代码探测虚拟环境的方法及系统
EP2816518A3 (en) Methods and apparatuses to identify user dissatisfaction from early cancelation
CN106326746B (zh) 一种恶意程序行为特征库构建方法及装置
RU2017123182A (ru) Способ и система управления регенерацией фильтра твердых частиц

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP03 Change of name, title or address

Address after: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin Hi-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road)

Patentee after: Harbin antiy Technology Group Limited by Share Ltd

Address before: Room 506, 162 Hongqi Street, Nangang Concentrated District, Harbin Development Zone, Heilongjiang Province, 150028

Patentee before: Harbin Antiy Technology Co., Ltd.

CP03 Change of name, title or address
PE01 Entry into force of the registration of the contract for pledge of patent right
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: API name and immediate value-based heuristic sample detection method and system

Effective date of registration: 20190828

Granted publication date: 20190507

Pledgee: Bank of Longjiang, Limited by Share Ltd, Harbin Limin branch

Pledgor: Harbin antiy Technology Group Limited by Share Ltd

Registration number: Y2019230000002

CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road)

Patentee after: Antan Technology Group Co.,Ltd.

Address before: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road)

Patentee before: Harbin Antian Science and Technology Group Co.,Ltd.

PC01 Cancellation of the registration of the contract for pledge of patent right
PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20211119

Granted publication date: 20190507

Pledgee: Bank of Longjiang Limited by Share Ltd. Harbin Limin branch

Pledgor: Harbin Antian Science and Technology Group Co.,Ltd.

Registration number: Y2019230000002