CN106874759A - 一种木马随机化行为的识别方法及系统 - Google Patents
一种木马随机化行为的识别方法及系统 Download PDFInfo
- Publication number
- CN106874759A CN106874759A CN201610847472.XA CN201610847472A CN106874759A CN 106874759 A CN106874759 A CN 106874759A CN 201610847472 A CN201610847472 A CN 201610847472A CN 106874759 A CN106874759 A CN 106874759A
- Authority
- CN
- China
- Prior art keywords
- behavior
- information
- file
- behavioural information
- key assignments
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种木马随机化行为的识别方法,包括:运行样本文件,记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息,产生行为信息1;二次运行样本文件,记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息,产生行为信息2;对比两次运行记录的行为信息,基于不一致的判断结果,确定行为信息2对应行为为随机行为。本发明所述技术方案克服了传统对于木马随机化行为识别,主要依靠人工逆向分析发现,这种方式产出效率低,发现不及时,无法处理大量的样本文件的问题。通过自动化方式可以批量地、及时地发现木马随机化行为。
Description
技术领域
本发明涉及计算机安全技术领域,更具体地涉及一种木马随机化行为的识别方法及系统。
背景技术
木马指通过特定程序恶意控制另一台计算机。木马通常有两个可执行程序,一是控制端,另一个是被控制端。木马不经计算机用户允许就可获得计算机的控制权。具有较高的隐蔽性,长期获得的计算机控制权及用户敏感信息。
恶意代码分析师通过研究木马的行为,得到检测木马的特征,比如木马驻留的文件路径、木马使用的启动项,木马文件名等。杀毒软件可以利用这些特征检测系统是否存在木马程序。因此,木马程序为了增强其隐蔽性,提高被检测难度,将一些可做特征且修改不会影响运行的内容,比如,文件名、服务名、自启动键值等,利用随机算法在运行时生成。这些随机化行为,将会影响恶意代码分析师特征提取的准确性,在自动化提取特征时也成为干扰。
现今,对于木马随机化行为识别,主要依靠人工逆向分析发现,这种方式产出效率低,发现不及时,无法处理大量的样本文件。
发明内容
为了解决直接连接网络或通过虚拟网络通讯方式的恶意代码流量特征采集方法产生的威胁和低效率的技术问题,提供了根据本发明的基于模拟网络环境的恶意代码流量特征采集系统及方法。
根据本发明的第一方面,提供了一种木马随机化行为的识别方法。该方法包括:运行样本文件,记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息,产生行为信息1;二次运行样本文件,记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息,产生行为信息2;对比两次运行记录的行为信息,基于不一致的判断结果,确定行为信息2对应行为为随机行为。
在一些实施例中,所述对比两次运行记录的行为信息,基于不一致的判断结果,确定行为信息2对应行为为随机行为,包括:
对比两次记录的行为信息,如果所述文件内容hash一致,所述文件名称不同,则确定行为信息2对应行为为随机行为。
在一些实施例中,所述对比两次运行记录的行为信息,基于不一致的判断结果,确定行为信息2对应行为为随机行为,包括:
对比两次记录的行为信息,如果文件名称或注册表信息中的名称开始部分有设定长度的相同,则确定行为信息2对应行为为部分随机行为。
在一些实施例中,所述注册表信息包括键值路径、键值名称、键值数据。
在一些实施例中,所述对比两次运行记录的行为信息,基于不一致的判断结果,确定行为信息2对应行为为随机行为,包括:
对比两次记录的行为信息,如果所述注册表信息的键值路径和键值数据一致,所述键值名称不同,则确定行为信息2对应行为为随机行为。
根据本发明的第二方面,提供一种木马随机化行为的识别系统,包括:第一运行模块,用于运行样本文件,记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息,产生行为信息1;第二运行模块,用于二次运行样本文件,记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息,产生行为信息2;判断模块,用于对比两次运行记录的行为信息,基于不一致的判断结果,确定行为信息2对应行为为随机行为。
在一些实施例中,所述判断模块,用于对比两次记录的行为信息,如果所述文件内容hash一致,所述文件名称不同,则确定行为信息2对应行为为随机行为。
在一些实施例中,所述判断模块,用于对比两次记录的行为信息,如果文件名称或注册表信息中的名称开始部分有设定长度的相同,则确定行为信息2对应行为为部分随机行为。
在一些实施例中,所述注册表信息包括键值路径、键值名称、键值数据。
在一些实施例中,所述判断模块,用于对比两次记录的行为信息,如果所述注册表信息的键值路径和键值数据一致,所述键值名称不同,则确定行为信息2对应行为为随机行为。
通过使用本发明的系统和方法,在相同系统环境下,两次运行样本文件,记录样本文件运行后生成文件的名称、文件内容hash、注册表键值(注册表键值信息包括键值路径、键值名称、键值数据)等行为信息,将两份行为信息进行对比判断,识别出木马随机化行为,既可以规避随机命名进入特征,同时关键信息随机化作为一种具有威胁的行为也可以作为识别木马的一种行为。对需要人工才能够发现的木马随机化行为实现了自动化识别,可以批量地、及时地发现木马随机化行为。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为根据本发明实施例的一种木马随机化行为的识别方法的流程图;
图2为根据本发明实施例的一种木马随机化行为的识别系统的框图。
具体实施方式
下面参照附图对本发明的优选实施例进行详细说明,在描述过程中省略了对于本发明来说是不必要的细节和功能,以防止对本发明的理解造成混淆。虽然附图中显示了示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本发明的范围完整的传达给本领域的技术人员。
本发明基于比较法,实现木马随机化行为识别。由于恶意代码在执行过程中,可以使用一些随机数算法,随机生成文件名或服务名等。每次恶意代码运行,产生的文件名或服务名都不一样。因此,需要运行系统进程监视,对系统中的任何文件操作过程及注册表的读写操作过程进行监视,并产生监视日志,同时还需要计算hash的工具,对产生的新文件进行hash值的计算。
图1示出了根据本发明实施例的一种木马随机化行为的识别方法的流程图。如图1所示,方法包括如下步骤:
S110,第一次运行样本文件,记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息,产生行为信息1。
其中,第一次运行样本文件,通过系统进程监视软件产生的动态行为日志,记录运行样本后生成文件的名称、文件内容hash、注册表信息等行为信息1。然后,恢复系统初始状态,重新运行系统进程监视软件。
由于恶意代码在执行过程中,可以使用一些随机数算法,随机生成文件名或服务名等。每次恶意代码运行,产生的文件名或服务名都不一样。
S120,第二次运行样本文件,记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息,产生行为信息2。
其中,第二次运行样本文件,通过系统进程监视软件产生的动态行为日志,记录运行样本后生成文件的名称、文件内容hash、注册表信息等行为信息2。
注册表信息包括键值路径、键值名称、键值数据等项。其中,部分注册表信息表示系统服务的相关信息,包括服务名,服务启动方式等,部分注册表信息还表示自启动项的相关信息。
S130,对比两次运行记录的行为信息。
其中,可以通过记录样本两次执行产生的行为信息,比较记录的信息,基于不一致的判断结果,确定行为信息2对应行为为随机行为,以发现木马随机化行为。
S140,如果两次运行记录中文件内容hash一致,文件名称不同,则确定行为信息2对应行为为随机行为。
在一些实施例中,还包括:
S150,如果两次运行记录中文件名称或注册表信息中的名称开始部分有设定长度的相同,则确定行为信息2对应行为为部分随机行为。
具体的,对比两次的文件名或注册表变化项目的比例,如果发现开始长度3之间部分相同,则发现部分随机化行为。比如第一次生成的文件名为hra33.dll ,第二次生成的文件名为hra456.dll,然后进行对比,发现从开头有3个字符以上(包括三个字符)的相同,剩余的字符不同,则发现部分随机化文件名。
在一些实施例中,还包括:
S160,如果两次运行记录中注册表信息的键值路径和键值数据一致,键值名称不同,则确定行为信息2对应行为为随机行为。
在一些实施例中,还包括:切换系统环境包括硬盘序列号、用户名、计算机环境运行木马,记录上述相同信息,如果发现变化则发现具有系统信息依赖的随机化行为。
图2为根据本发明实施例的一种木马随机化行为的识别系统的框图。如图2所述,系统可以包括:第一运行模块210、第二运行模块220、判断模块230。
第一运行模块210,用于运行样本文件,记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息,产生行为信息1。
第二运行模块220,用于二次运行样本文件,记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息,产生行为信息2。
其中,注册表信息包括键值路径、键值名称、键值数据等。部分注册表信息表示系统服务的相关信息,包括服务名,服务启动方式等,部分注册表信息还表示自启动项的相关信息。
判断模块230,用于对比两次运行记录的行为信息,基于不一致的判断结果,确定行为信息2对应行为为随机行为。
在一些实施例中,还包括:
判断模块230,用于对比两次记录的行为信息,如果文件内容hash一致,文件名称不同,则确定行为信息2对应行为为随机行为。
在一些实施例中,还包括:
判断模块230,用于对比两次记录的行为信息,如果文件名称或注册表信息中的名称开始部分有设定长度的相同,则确定行为信息2对应行为为部分随机行为。
在一些实施例中,还包括:
判断模块230,用于对比两次记录的行为信息,如果注册表信息的键值路径和键值数据一致,键值名称不同,则确定行为信息2对应行为为随机行为。
本发明通过两次运行样本文件,记录样本文件运行并得到两份行为信息,将其进行对比判断,识别出木马随机化行为。对需要人工才能够发现的木马随机化行为实现了自动化,可以批量地、及时地发现木马随机化行为。通过该种方法可发现包括木马使用随机文件名创建副本、利用随机服务名注册系统服务、自启动项,对于发现新的随机化行为具有良好的效果。
至此已经结合优选实施例对本发明进行了描述。应该理解,本领域技术人员在不脱离本发明的精神和范围的情况下,可以进行各种其它的改变、替换和添加。因此,本发明的范围不局限于上述特定实施例,而应由所附权利要求所限定。
Claims (10)
1.一种木马随机化行为的识别方法,其特征在于,包括:
运行样本文件,记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息,产生行为信息1;
二次运行样本文件,记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息,产生行为信息2;
对比两次运行记录的行为信息,基于不一致的判断结果,确定行为信息2对应行为为随机行为。
2.根据权利要求1所述的方法,其特征在于,所述对比两次运行记录的行为信息,基于不一致的判断结果,确定行为信息2对应行为为随机行为,包括:
对比两次记录的行为信息,如果所述文件内容hash一致,所述文件名称不同,则确定行为信息2对应行为为随机行为。
3.根据权利要求1所述的方法,其特征在于,所述对比两次运行记录的行为信息,基于不一致的判断结果,确定行为信息2对应行为为随机行为,包括:
对比两次记录的行为信息,如果文件名称或注册表信息中的名称开始部分有设定长度的相同,则确定行为信息2对应行为为部分随机行为。
4.根据权利要求1所述的方法,其特征在于,所述注册表信息包括键值路径、键值名称、键值数据。
5.根据权利要求4所述的方法,其特征在于,所述对比两次运行记录的行为信息,基于不一致的判断结果,确定行为信息2对应行为为随机行为,包括:
对比两次记录的行为信息,如果所述注册表信息的键值路径和键值数据一致,所述键值名称不同,则确定行为信息2对应行为为随机行为。
6.一种木马随机化行为的识别系统,其特征在于,包括:
第一运行模块,用于运行样本文件,记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息,产生行为信息1;
第二运行模块,用于二次运行样本文件,记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息,产生行为信息2;
判断模块,用于对比两次运行记录的行为信息,基于不一致的判断结果,确定行为信息2对应行为为随机行为。
7.根据权利要求6所述的系统,其特征在于,所述判断模块,用于对比两次记录的行为信息,如果所述文件内容hash一致,所述文件名称不同,则确定行为信息2对应行为为随机行为。
8.根据权利要求6所述的系统,其特征在于,所述判断模块,用于对比两次记录的行为信息,如果文件名称或注册表信息中的名称开始部分有设定长度的相同,则确定行为信息2对应行为为部分随机行为。
9.根据权利要求6所述的系统,其特征在于,所述注册表信息包括键值路径、键值名称、键值数据。
10.根据权利要求9所述的系统,其特征在于,所述判断模块,用于对比两次记录的行为信息,如果所述注册表信息的键值路径和键值数据一致,所述键值名称不同,则确定行为信息2对应行为为随机行为。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610847472.XA CN106874759B (zh) | 2016-09-26 | 2016-09-26 | 一种木马随机化行为的识别方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610847472.XA CN106874759B (zh) | 2016-09-26 | 2016-09-26 | 一种木马随机化行为的识别方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106874759A true CN106874759A (zh) | 2017-06-20 |
| CN106874759B CN106874759B (zh) | 2020-04-28 |
Family
ID=59239512
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610847472.XA Active CN106874759B (zh) | 2016-09-26 | 2016-09-26 | 一种木马随机化行为的识别方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106874759B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109492399A (zh) * | 2019-01-17 | 2019-03-19 | 腾讯科技(深圳)有限公司 | 风险文件检测方法、装置及计算机设备 |
| CN111163066A (zh) * | 2019-12-16 | 2020-05-15 | 苏州哈度软件有限公司 | 一种基于云计算的网络安全软件系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050021994A1 (en) * | 2003-07-21 | 2005-01-27 | Barton Christopher Andrew | Pre-approval of computer files during a malware detection |
| CN103679031A (zh) * | 2013-12-12 | 2014-03-26 | 北京奇虎科技有限公司 | 一种文件病毒免疫的方法和装置 |
| CN104252447A (zh) * | 2013-06-27 | 2014-12-31 | 贝壳网际(北京)安全技术有限公司 | 文件行为分析方法及装置 |
| CN104598820A (zh) * | 2015-01-14 | 2015-05-06 | 国家电网公司 | 一种基于特征行为分析的木马病检测方法 |
-
2016
- 2016-09-26 CN CN201610847472.XA patent/CN106874759B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050021994A1 (en) * | 2003-07-21 | 2005-01-27 | Barton Christopher Andrew | Pre-approval of computer files during a malware detection |
| CN104252447A (zh) * | 2013-06-27 | 2014-12-31 | 贝壳网际(北京)安全技术有限公司 | 文件行为分析方法及装置 |
| CN103679031A (zh) * | 2013-12-12 | 2014-03-26 | 北京奇虎科技有限公司 | 一种文件病毒免疫的方法和装置 |
| CN104598820A (zh) * | 2015-01-14 | 2015-05-06 | 国家电网公司 | 一种基于特征行为分析的木马病检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 吴少华等: "木马检测与防护技术的发展", 《计算机科学与应用》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109492399A (zh) * | 2019-01-17 | 2019-03-19 | 腾讯科技(深圳)有限公司 | 风险文件检测方法、装置及计算机设备 |
| CN111163066A (zh) * | 2019-12-16 | 2020-05-15 | 苏州哈度软件有限公司 | 一种基于云计算的网络安全软件系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106874759B (zh) | 2020-04-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109743315B (zh) | 针对网站的行为识别方法、装置、设备及可读存储介质 | |
| CN104598824B (zh) | 一种恶意程序检测方法及其装置 | |
| EP2975873A1 (en) | A computer implemented method for classifying mobile applications and computer programs thereof | |
| Singh et al. | Experimental analysis of Android malware detection based on combinations of permissions and API-calls | |
| CN107870860A (zh) | 埋点验证系统及方法 | |
| CN111159697A (zh) | 一种密钥检测方法、装置及电子设备 | |
| CN112579623B (zh) | 存储数据的方法、装置、存储介质及设备 | |
| CN113468524B (zh) | 基于rasp的机器学习模型安全检测方法 | |
| CN105760761A (zh) | 软件行为分析方法和装置 | |
| CN116366377B (zh) | 恶意文件检测方法、装置、设备及存储介质 | |
| CN108881150B (zh) | 一种检测任务的处理方法、装置、电子设备及存储介质 | |
| CN105631325A (zh) | 一种恶意应用程序检测方法和装置 | |
| CN113726818B (zh) | 一种失陷主机检测方法及装置 | |
| CN106874759A (zh) | 一种木马随机化行为的识别方法及系统 | |
| CN114024761A (zh) | 网络威胁数据的检测方法、装置、存储介质及电子设备 | |
| CN113282921A (zh) | 一种文件检测方法、装置、设备及存储介质 | |
| CN110826062B (zh) | 恶意软件的检测方法及装置 | |
| CN109002441A (zh) | 应用名称相似度的确定方法、异常应用检测方法及系统 | |
| CN110955894A (zh) | 一种恶意内容检测方法、装置、电子设备及可读存储介质 | |
| Cole et al. | ScanMe mobile: a local and cloud hybrid service for analyzing APKs | |
| CN113364766B (zh) | 一种apt攻击的检测方法及装置 | |
| CN112632548B (zh) | 一种恶意安卓程序检测方法、装置,电子设备及存储介质 | |
| CN107229865B (zh) | 一种解析Webshell入侵原因的方法及装置 | |
| CN114153838A (zh) | 一种会员信息用加密存储和查询方法 | |
| CN114021131A (zh) | 一种获取数据分析图谱的方法、装置及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: B726, building 7, building B, famous industrial products purchasing center, Shenzhen Road, Xixiang, Baoan District, Guangdong, China Patentee after: Shenzhen Antan Network Security Technology Co.,Ltd. Address before: No. b726, 7 / F, block B, Mingyou industrial products exhibition and procurement center, Baoyuan Road, Xixiang street, Bao'an District, Shenzhen, Guangdong Patentee before: SHENZHEN ANZHITIAN INFORMATION TECHNOLOGY Co.,Ltd. |