CN106570401B - 一种基于时间变化的恶意代码检测方法及系统 - Google Patents
一种基于时间变化的恶意代码检测方法及系统 Download PDFInfo
- Publication number
- CN106570401B CN106570401B CN201611229093.0A CN201611229093A CN106570401B CN 106570401 B CN106570401 B CN 106570401B CN 201611229093 A CN201611229093 A CN 201611229093A CN 106570401 B CN106570401 B CN 106570401B
- Authority
- CN
- China
- Prior art keywords
- vector
- malicious code
- time
- vector set
- identification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Abstract
本发明公开了一种基于时间变化的恶意代码检测方法及系统,包括:获取用户唯一性的标识id,以及当前时间t;基于时间t、id变量的向量函数进行计算,产生向量集合;依据所述向量集合来识别恶意代码。解决现有技术中大部分安全防护产品都是通过识别恶意代码标识向量来对恶意代码进行识别,且每次对同一恶意代码的检测向量相同,这样很难抵抗黑客的持续试探、绕过的问题。
Description
技术领域
本发明涉及计算机安全技术领域,更具体地涉及一种基于时间变化的恶意代码检测方法及系统。
背景技术
随着计算机网络的迅猛发展,计算机木马病毒也随之层出不穷,安全防护产品随即营运而生,正所谓攻防是一场博弈。现有的安全防护产品对木马的识别通常为通过木马识别向量进行检测,有检出即完成了识别任务,但随着恶意代码的对抗升级,很多恶意软件开发者针对安全防护产品进行持续绕过、试探,进而探明绕过方法。为了绕过防护设备的检测,恶意代码开发者在利益的趋势下,通过购买想要绕过的安全防护产品进行持续的试探,发现其识别恶意代码的标识向量,进而升级其恶意代码来绕过该类安全防护产品,使被试探的安全防护产品对升级后的木马失效来达到无阻碍传播恶意代码的目的。目前大部分的安全防护产品都是通过识别木马标识向量来对木马进行识别,且每次检测对同一木马的检测向量相同,这样很难抵抗黑客的持续试探、绕过。
发明内容
为了解决上述技术问题,提供了根据本发明的一种基于时间变化的恶意代码检测方法及系统。
根据本发明的第一方面,提供了一种基于时间变化的恶意代码检测方法,包括:获取用户唯一性的标识id,以及当前时间t;基于时间t、id变量的向量函数进行计算,产生向量集合;依据所述向量集合来识别恶意代码;
其中,所述向量函数还包括以下方式来计算:
{V1,…Vn}=f(id,t);
其中,Vn代表向量,所述向量函数表达式可以预先设定;
所述向量集合中的任意向量可独立识别所述恶意代码。
在一些实施例中,所述向量函数不少于一个。
在一些实施例中,所述向量集合是所述识别恶意代码所有向量的子集。
根据本发明的第二方面,提供一种基于时间变化的恶意代码检测系统,包括:获取模块,用于获取用户唯一性的标识id,以及当前时间t;计算模块,用于基于时间t、id变量的向量函数进行计算,产生向量集合;识别模块,用于依据所述向量集合来识别恶意代码;
其中,所述向量函数还包括以下方式来计算:
{V1,…Vn}=f(id,t);
其中,Vn代表向量,所述向量函数表达式可以预先设定;
所述向量集合中的任意向量可独立识别所述恶意代码。
在一些实施例中,所述向量函数不少于一个。
在一些实施例中,所述向量集合是所述识别恶意代码所有向量的子集。
通过使用本发明的方法和系统,利用时间与用户id作为变量来实现选择识别恶意代码的向量集合,增加安全防护产品被持续试探、绕过的难度,该方法可对黑客持续绕过、试探安全防护产品起到一定的抑制作用,提高要安全防护设备的抗衰减性。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为根据本发明实施例的一种基于时间变化的恶意代码检测方法的流程图;
图2为根据本发明实施例的一种基于时间变化的恶意代码检测系统的框图。
具体实施方式
下面参照附图对本发明的优选实施例进行详细说明,在描述过程中省略了对于本发明来说是不必要的细节和功能,以防止对本发明的理解造成混淆。虽然附图中显示了示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本发明的范围完整的传达给本领域的技术人员。
本发明实现的方法主要应用在安全防护产品中,通过时间变量t与用户id为变量的向量进行恶意代码识别。
图1是示出了根据本发明的一种基于时间变化的恶意代码检测方法的流程图,如图1所示,方法包括如下步骤:
S110,统计恶意代码的标识向量的总和,即标识恶意代码的识别向量集合Sn。
本发明中向量函数用来表示,包括以下方式来计算:
{V1,…Vn}=f(id,t);
其中,n为任意正整数,Vn代表向量,向量函数表达式可以预先设定,以id和t做变量就可以,向量函数可以不少于一个。
任意向量可独立识别恶意代码,如n个向量V1、V2……Vn均可独立识别恶意代码T,识别恶意代码的向量有多种,如:V1为木马hash值,V2为木马的名称特征,V3的木马的yara特征,V4为木马的字符串特征等。
Sn={V1,…Vn};
其中,Sn是恶意代码T的所有向量的集合,n为任意正整数,向量包括表示恶意代码的hash值、名称特征、yara特征、字符串特征、服务名特征、pdb特征、url特征、注册表特征等。
S120,获取用户唯一性的标识id,以及当前时间t。
用户id即为标识用户唯一性的标识,每位使用者的id均不相同。而针对时间t每次获取的都是当前时间,当触发检测行为时获取或预先设置获取频率。
S130,基于时间变量t、id的向量函数进行计算,产生向量集合Sm。
向量函数根据用户id与时间变量t的不同产生不同的识别向量集合Sm(得到n个向量中的m个,m<=n),向量集合Sm是恶意代码向量总集的子集,即Sm为Sn的子集,可以是任意m个向量的组合,比如V1、V3、V10……Vm。
S140,依据向量的向量集合Sm来识别恶意代码。
根据每次检测产生的标识向量集合Sm,从多维度识别恶意代码T,即达到了时间不同、用户id不同,识别木马的向量不同,探测结果也不同的目的。
只有t与id相同时,才可得到相同的向量集合Sm,实现了黑客每天对安全防护设备的探测结果均不相同,即使购买了相同的设备,因用户id的不同探测结果也不相同。
图2是示出了根据本发明的一种基于时间变化的恶意代码检测系统的框图,如图2所示,系统包括:获取模块210、计算模块220、识别模块230、。
获取模块210,用于获取用户唯一性的标识id,以及当前时间t。
用户id即为标识用户唯一性的标识,每位使用者的id均不相同。而针对时间t每次获取的都是当前时间,当触发检测代码时获取或预先设置获取频率。
计算模块220,用于基于时间t、id变量的向量函数进行计算,产生向量集合。
向量函数表示包括以下方式来计算:{V1,…Vn}=f(id,t);
其中,n为任意正整数,Vn代表向量,向量函数表达式可以预先设定,以id和t做变量就可以,向量函数可以不少于一个。
Sn={V1,…Vn};
其中,Sn是恶意代码T的所有向量的集合,n为任意正整数。其中,任意向量可独立识别恶意代码,如n个向量V1、V2……Vn均可独立识别恶意代码T,
向量函数根据用户id与时间变量t的不同产生不同的识别向量集合Sm(得到n个向量中的m个,m<=n),向量集合Sm是恶意代码向量总集的子集,即Sm为Sn的子集,可以是任意m个向量的组合,比如V1、V3、V10……Vm。
识别模块230,用于依据向量集合来识别恶意代码。根据每次检测产生的标识向量集合Sm识别恶意代码T。
本发明所提供的技术方案,统计识别恶意代码的向量总集,向量总集通常有多个,假设N个,即通过向量V1、V2…Vn均可独立识别出恶意代码T,利用时间与用户id作为变量来实现选择识别恶意代码的向量集合,通过向量集合从多维度识别恶意代码T,增加安全防护产品被持续试探、绕过的难度,该方法可对黑客持续绕过、试探安全防护产品起到一定的抑制作用,提高要安全防护设备的抗衰减性。
至此已经结合优选实施例对本发明进行了描述。应该理解,本领域技术人员在不脱离本发明的精神和范围的情况下,可以进行各种其它的改变、替换和添加。因此,本发明的范围不局限于上述特定实施例,而应由所附权利要求所限定。
Claims (6)
1.一种基于时间变化的恶意代码检测方法,其特征在于,包括:
获取用户唯一性的标识id,以及当前时间t;
基于时间t、id变量的向量函数进行计算,产生向量集合;
依据所述向量集合来识别恶意代码;
其中,所述向量函数还包括以下方式来计算:
{V1,…Vn}=f(id,t);
其中,Vn代表向量,所述向量函数表达式可以预先设定;
所述向量集合中的任意向量可独立识别所述恶意代码。
2.根据权利要求1所述的方法,其特征在于,所述向量函数不少于一个。
3.根据权利要求1所述的方法,其特征在于,所述向量集合是所述识别恶意代码所有向量的子集。
4.一种基于时间变化的恶意代码检测系统,其特征在于,包括:
获取模块,用于获取用户唯一性的标识id,以及当前时间t;
计算模块,用于基于时间t、id变量的向量函数进行计算,产生向量集合;
识别模块,用于依据所述向量集合来识别恶意代码;
其中,所述向量函数还包括以下方式来计算:
{V1,…Vn}=f(id,t);
其中,Vn代表向量,所述向量函数表达式可以预先设定;
所述向量集合中的任意向量可独立识别所述恶意代码。
5.根据权利要求4所述的系统,其特征在于,所述向量函数不少于一个。
6.根据权利要求4所述的系统,其特征在于,所述向量集合是所述识别恶意代码所有向量的子集。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611229093.0A CN106570401B (zh) | 2016-12-27 | 2016-12-27 | 一种基于时间变化的恶意代码检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611229093.0A CN106570401B (zh) | 2016-12-27 | 2016-12-27 | 一种基于时间变化的恶意代码检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106570401A CN106570401A (zh) | 2017-04-19 |
| CN106570401B true CN106570401B (zh) | 2019-07-26 |
Family
ID=58543014
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611229093.0A Active CN106570401B (zh) | 2016-12-27 | 2016-12-27 | 一种基于时间变化的恶意代码检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106570401B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103106367A (zh) * | 2013-02-06 | 2013-05-15 | 重庆大学 | 一种抗攻击的恶意软件识别方法及系统 |
| US8578051B2 (en) * | 2007-01-24 | 2013-11-05 | Mcafee, Inc. | Reputation based load balancing |
| CN103559235A (zh) * | 2013-10-24 | 2014-02-05 | 中国科学院信息工程研究所 | 一种在线社交网络恶意网页检测识别方法 |
| CN103617393A (zh) * | 2013-11-28 | 2014-03-05 | 北京邮电大学 | 一种基于支持向量机的移动互联网恶意应用软件检测方法 |
| CN104751055A (zh) * | 2013-12-31 | 2015-07-01 | 北京启明星辰信息安全技术有限公司 | 一种基于纹理的分布式恶意代码检测方法、装置及系统 |
| CN104866765A (zh) * | 2015-06-03 | 2015-08-26 | 康绯 | 基于行为特征相似性的恶意代码同源性分析方法 |
-
2016
- 2016-12-27 CN CN201611229093.0A patent/CN106570401B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8578051B2 (en) * | 2007-01-24 | 2013-11-05 | Mcafee, Inc. | Reputation based load balancing |
| CN103106367A (zh) * | 2013-02-06 | 2013-05-15 | 重庆大学 | 一种抗攻击的恶意软件识别方法及系统 |
| CN103559235A (zh) * | 2013-10-24 | 2014-02-05 | 中国科学院信息工程研究所 | 一种在线社交网络恶意网页检测识别方法 |
| CN103617393A (zh) * | 2013-11-28 | 2014-03-05 | 北京邮电大学 | 一种基于支持向量机的移动互联网恶意应用软件检测方法 |
| CN104751055A (zh) * | 2013-12-31 | 2015-07-01 | 北京启明星辰信息安全技术有限公司 | 一种基于纹理的分布式恶意代码检测方法、装置及系统 |
| CN104866765A (zh) * | 2015-06-03 | 2015-08-26 | 康绯 | 基于行为特征相似性的恶意代码同源性分析方法 |
Non-Patent Citations (1)
| Title |
|---|
| 《提升多维特征检测迷惑恶意代码》;孔德光等;《软件学报》;20110331;第22卷(第3期);第522-533页 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106570401A (zh) | 2017-04-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Li et al. | Libd: Scalable and precise third-party library detection in android markets | |
| Caballero et al. | Measuring {Pay-per-Install}: The commoditization of malware distribution | |
| Zhang et al. | Semantics-aware android malware classification using weighted contextual api dependency graphs | |
| Portokalidis et al. | Argos: an emulator for fingerprinting zero-day attacks for advertised honeypots with automatic signature generation | |
| Kotov et al. | Anatomy of exploit kits: Preliminary analysis of exploit kits as software artefacts | |
| RU2014121249A (ru) | Системы и способы защиты от вредоносного программного обеспечения на основе нечеткого вайтлистинга | |
| Balachandran et al. | Potent and stealthy control flow obfuscation by stack based self-modifying code | |
| Hsu et al. | Browserguard: A behavior-based solution to drive-by-download attacks | |
| US10262122B2 (en) | Analysis apparatus, analysis system, analysis method, and analysis program | |
| CN113973012B (zh) | 一种威胁检测方法、装置、电子设备及可读存储介质 | |
| US8938805B1 (en) | Detection of tampering with software installed on a processing device | |
| CN116192461A (zh) | 流量处理方法、装置、设备及存储介质 | |
| CN109389400A (zh) | 在用户与银行服务交互期间识别潜在危险设备的系统和方法 | |
| CN106570401B (zh) | 一种基于时间变化的恶意代码检测方法及系统 | |
| CN107070845A (zh) | 用于检测网络钓鱼脚本的系统和方法 | |
| KR101639869B1 (ko) | 악성코드 유포 네트워크 탐지 프로그램 | |
| CN109815702A (zh) | 软件行为的安全检测方法、装置及设备 | |
| Jeong et al. | Code graph for malware detection | |
| Zhao et al. | Improved clustering for intrusion detection by principal component analysis with effective noise reduction | |
| Kim et al. | A study on the malware realtime analysis systems using the finite automata | |
| Han et al. | On the effectiveness of software diversity: A systematic study on real-world vulnerabilities | |
| CN107203720B (zh) | 风险值计算方法及装置 | |
| EP3252645A1 (en) | System and method of detecting malicious computer systems | |
| WO2016141510A1 (en) | Method and apparatus for mutual-aid collusive attack detection in online voting systems | |
| Payer | Embracing the new threat: towards automatically, self-diversifying malware |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin Hi-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road) Patentee after: Harbin antiy Technology Group Limited by Share Ltd Address before: 150090 Room 506, No. 162 Hongqi Street, Nangang District, Harbin Development Zone, Heilongjiang Province Patentee before: Harbin Antiy Technology Co., Ltd. |
|
| CP03 | Change of name, title or address | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road) Patentee after: Antan Technology Group Co.,Ltd. Address before: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road) Patentee before: Harbin Antian Science and Technology Group Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder |