CN106919837A - 一种恶意代码未知自启动识别方法及系统 - Google Patents
一种恶意代码未知自启动识别方法及系统 Download PDFInfo
- Publication number
- CN106919837A CN106919837A CN201610914040.6A CN201610914040A CN106919837A CN 106919837 A CN106919837 A CN 106919837A CN 201610914040 A CN201610914040 A CN 201610914040A CN 106919837 A CN106919837 A CN 106919837A
- Authority
- CN
- China
- Prior art keywords
- module
- self
- starting
- malicious code
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种恶意代码未知自启动识别方法及系统,包括:基于运行未知启动项的恶意代码,提取并记录所述恶意代码的特征信息,产生模块集合;监控系统重启恶意代码在运行中新释放模块的重新加载,判断模块集合中任一模块在注册表中出现,则对所述任一模块的自启动行为提取取样信息;扫描系统重启运行时的进程或内存,判断模块集合中任一模块在进程或内存中出现,则对所述任一模块的自启动行为提取取样信息;对所述自启动行为进行提示。本发明解决了现有技术中对于未知的启动项的预防与识别响应方法不够完善的技术问题。
Description
技术领域
本发明涉及计算机安全技术领域,更具体地涉及一种恶意代码未知自启动识别方法及系统。
背景技术
随着网络和计算技术的快速发展,恶意代码的启动方式在逐渐增强,同时互联网的开发性也加快了恶意代码自启动技术的传播,特别是人们可以直接从网站获得恶意代码源码或通过网络交流代码。因此目前网络上流行的恶意代码启动方式层次不穷,种类繁多,特点多样化。通常,需要恶意代码分析人员对于未知的恶意代码样本进行恶意程序信息结构上的识别、受害者系统中的特征监控识别、动态调试中的样本代码识别、以及反编译样本的深度行为识别来提取恶意代码未知自启动。对于处理到的结果也需要人工进行筛选和整理,最终梳理判别出是否为未知的自启动操作,整个过程非常的耗费时间和精力。
目前的病毒样本的自启动方式主要分为已知的启动目录启动、WIN.ini等配置文件启动、注册表启动、脚本启动、驱动文件启动、创建服务启动、劫持系统进程启动、文件关联启动等自启动方式。目前,对于未知的启动项的预防与识别响应方法不够完善。
发明内容
为了解决上述技术问题,提供了根据本发明的一种恶意代码未知自启动识别方法及系统。
根据本发明的第一方面,提供了一种恶意代码未知自启动识别方法。该方法包括:
基于运行未知启动项的恶意代码,提取并记录所述恶意代码的特征信息,产生模块集合;监控系统重启恶意代码在运行中新释放模块的重新加载,判断模块集合中任一模块在注册表中出现,则对所述任一模块的自启动行为提取取样信息;扫描系统重启运行时的进程或内存,判断模块集合中任一模块在进程或内存中出现,则对所述任一模块的自启动行为提取取样信息;对所述自启动行为进行提示。
在一些实施例中,所述方法包括:
将所述取样信息与已知的自启动样本库进行比外,若未匹配到,则所述取样信息对应自启动行为为未知自启动行为,整理所述取样信息入库。
在一些实施例中,所述提示是通过日志记录标识为未知自启动行为。
在一些实施例中,所述取样信息包括加载所述任一模块的程序加载行为信息、加载所述任一模块的内存数据、所述任一模块的内存数据。
在一些实施例中,所述特征信息包括进程结构体信息、模块调用信息、DLL调用信息、句柄调用信息、父子进程信息、堆栈调用信息、注册表中变化的键值信息、系统文件的hash值。
根据本发明的第二方面,提供一种恶意代码未知自启动识别系统,包括:
提取模块,用于基于运行未知启动项的恶意代码,提取并记录所述恶意代码的特征信息,产生模块集合;第一识别模块,用于监控系统重启恶意代码在运行中新释放模块的重新加载,判断模块集合中任一模块在注册表中出现,则对所述任一模块的自启动行为提取取样信息;第二识别模块,用于扫描系统重启运行时的进程或内存,判断模块集合中任一模块在进程或内存中出现,则对所述任一模块的自启动行为提取取样信息;提示模块,用于对所述自启动行为进行提示。
在一些实施例中,所述系统还包括:
整理模块,用于将所述取样信息与已知的自启动样本库进行比外,若未匹配到,则所述取样信息对应自启动行为为未知自启动行为,整理所述取样信息入库。
在一些实施例中,所述提示是通过日志记录标识为未知自启动行为。
在一些实施例中,所述取样信息包括加载所述任一模块的程序加载行为信息、加载所述任一模块的内存数据、所述任一模块的内存数据。
在一些实施例中,所述特征信息包括进程结构体信息、模块调用信息、DLL调用信息、句柄调用信息、父子进程信息、堆栈调用信息、注册表中变化的键值信息、系统文件的hash值。
可以在虚拟化沙箱中运行样本记录其进程、模块和注册表等操作,产生的模块集合在重启沙箱系统后对系统启动进行监控,然后重启系统检测样本模块、注册表键值、进程内存等行为,进而可以快速的识别恶意代码是否存在自启动行为,做出相应响应。对于新的病毒样本,能够迅速针对恶意代码是否有未知自启动行为做出检出。该技术可以对大批量样本的未知自启动方式进行归类划分,同时形成模块集合特征库可以用来对样本自启动类型进行判别,对恶意代码自启动的演化过程进行数据分析。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为根据本发明实施例的一种恶意代码未知自启动识别方法的流程图;
图2为根据本发明实施例的一种恶意代码未知自启动识别系统的框图。
具体实施方式
下面参照附图对本发明的优选实施例进行详细说明,在描述过程中省略了对于本发明来说是不必要的细节和功能,以防止对本发明的理解造成混淆。虽然附图中显示了示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本发明的范围完整的传达给本领域的技术人员。
在下文中,涉及到恶意代码运行都是基于虚拟化沙箱技术于沙箱中运行,在将所有恶意代码启动和运行产生的操作数据统称为“特征信息”,以方便描述。
图1示出了根据本发明实施例的一种恶意代码未知自启动识别方法的流程图。如图1所示,方法包括如下步骤:
S110,基于运行未知启动项的恶意代码。
基于虚拟化沙箱技术于沙箱系统中运行恶意代码,恶意代码在系统启动和运行过程中,记录其进程、模块和注册表等操作。
S120,提取并记录恶意代码的特征信息,产生模块集合。
提取并记录恶意代码的特征信息,产生含有恶意代码特征信息的模块集合。其中,特征信息包括但不限于进程结构体信息、模块调用信息、DLL调用信息、句柄调用信息、父子进程信息、堆栈调用信息、注册表中变化的键值信息、系统文件的hash值。
S130,重启系统环境后,监控恶意代码在运行中新释放模块的重新加载。
重启沙箱系统后,在监控识别未知样本自启动时,于虚拟化沙箱系统中运行恶意代码,发现新释放模块的重新加载。监控该样本是否有重新活动迹象,进而区别样本是否为活性样本。
S140,判断模块集合中任一模块在注册表中出现,如果出现,则执行S170,如果没有出现,则没有自启动行为。
基于模块集合对注册表中重新加载的新释放模块进行比对,判断是否有恶意代码模块集合中任一模块的进程、模块、注册表等特征信息行为在注册表中出现。
S150,扫描系统重启运行时的进程或内存。
系统完全重启后对系统进行扫描,在扫描识别未知样本自启动时,于虚拟化沙箱系统中运行恶意代码后,对系统进程或内存进行扫描。
S160,判断模块集合中任一模块在进程或内存中出现,如果出现,则执行S170,如果没有出现,则没有自启动行为。
基于模块集合的特征信息对进程或内存中的模块特征信息进行比对,判断是否有恶意代码模块集合中任一模块的进程、模块、注册表等特征信息行为在进程或内存中出现,以此来对恶意代码样本是否为活性做一个判断。
S170,对任一模块的自启动行为提取取样信息。
取样信息包括加载任一模块的程序加载行为信息、加载任一模块的内存数据、任一模块的内存数据。
S180,对自启动行为进行提示。
本实例中,提示是通过日志记录标识为未知自启动。
利用模块集合对系统启动进行监控或扫描内存,进而可以快速的相应识别恶意代码未知启动项,做出相应响应。
S190,针对提取到的自启动行为相关取样信息与已知的自启动样本库进行比对,识别未知自启动行为进行样本信息入库。
在系统启动时监控得到的取样信息和系统启动后扫描得到的取样信息与已知的自启动样本库进行比对,若未匹配到相同的自启动样本信息,则说明该样本自启动为未知自启动行为,对样本自启动行为信息进行整理入库。若匹配到相同的自启动样本信息,则说明该样本自启动为已知自启动行为。
图2为根据本发明实施例的一种恶意代码未知自启动识别系统的框图。如图2所述,系统可以包括:提取模块210、第一识别模块220、第二识别模块230、提示模块240。
提取模块210,用于基于运行未知启动项的恶意代码,提取并记录恶意代码的特征信息,产生模块集合。
其中,特征信息包括但不限于进程结构体信息、模块调用信息、DLL调用信息、句柄调用信息、父子进程信息、堆栈调用信息、注册表中变化的键值信息、系统文件的hash值。
第一识别模块220,用于监控系统重启恶意代码在运行中新释放模块的重新加载,判断模块集合中任一模块在注册表中出现,则对任一模块的自启动行为提取取样信息。
第二识别模块230,用于扫描系统重启运行时的进程或内存,判断模块集合中任一模块在进程或内存中出现,则对任一模块的自启动行为提取取样信息。
其中,取样信息包括加载任一模块的程序加载行为信息、加载任一模块的内存数据、任一模块的内存数据。
提示模块240,用于对自启动行为进行提示。
其中,提示是通过日志记录标识为未知自启动。
在一些实施例中,还包括:
整理模块250,用于将取样信息与已知的自启动样本库进行比外,若未匹配到,则取样信息对应自启动行为为未知自启动行为,整理该取样信息入库。
本发明基于虚拟化沙箱技术于沙箱中运行恶意代码记录其进程、模块和注册表等操作,产生的模块集合对感染系统启动进行监控识别,对于恶意代码的释放模块自启动加载、注册表自启动键值、进程内存中的自启动模块加载都能够准确扫描、识别,并进行提示。通过这种方法可以对大批量样本的未知自启动方式进行归类划分,同时形成模块集合特征库可以用来对样本自启动类型进行判别,对恶意代码自启动的演化过程进行数据分析。
至此已经结合优选实施例对本发明进行了描述。应该理解,本领域技术人员在不脱离本发明的精神和范围的情况下,可以进行各种其它的改变、替换和添加。因此,本发明的范围不局限于上述特定实施例,而应由所附权利要求所限定。
Claims (10)
1.一种恶意代码未知自启动识别方法,其特征在于,包括:
基于运行未知启动项的恶意代码,提取并记录所述恶意代码的特征信息,产生模块集合;
监控系统重启恶意代码在运行中新释放模块的重新加载,判断模块集合中任一模块在注册表中出现,则对所述任一模块的自启动行为提取取样信息;
扫描系统重启运行时的进程或内存,判断模块集合中任一模块在进程或内存中出现,则对所述任一模块的自启动行为提取取样信息;
对所述自启动行为进行提示。
2.根据权利要求1所述的方法,其特征在于,所述方法包括:
将所述取样信息与已知的自启动样本库进行比外,若未匹配到,则所述取样信息对应自启动行为为未知自启动行为,整理所述取样信息入库。
3.根据权利要求1所述的方法,其特征在于,所述提示是通过日志记录标识为未知自启动行为。
4.根据权利要求1或2所述的方法,其特征在于,所述取样信息包括加载所述任一模块的程序加载行为信息、加载所述任一模块的内存数据、所述任一模块的内存数据。
5.根据权利要求1所述的方法,其特征在于,所述特征信息包括进程结构体信息、模块调用信息、DLL调用信息、句柄调用信息、父子进程信息、堆栈调用信息、注册表中变化的键值信息、系统文件的hash值。
6.一种恶意代码未知自启动识别系统,其特征在于,包括:
提取模块,用于基于运行未知启动项的恶意代码,提取并记录所述恶意代码的特征信息,产生模块集合;
第一识别模块,用于监控系统重启恶意代码在运行中新释放模块的重新加载,判断模块集合中任一模块在注册表中出现,则对所述任一模块的自启动行为提取取样信息;
第二识别模块,用于扫描系统重启运行时的进程或内存,判断模块集合中任一模块在进程或内存中出现,则对所述任一模块的自启动行为提取取样信息;
提示模块,用于对所述自启动行为进行提示。
7.根据权利要求6所述的系统,其特征在于,所述系统还包括:
整理模块,用于将所述取样信息与已知的自启动样本库进行比外,若未匹配到,则所述取样信息对应自启动行为为未知自启动行为,整理所述取样信息入库。
8.根据权利要求6所述的系统,其特征在于,所述提示是通过日志记录标识为未知自启动行为。
9.根据权利要求6或7所述的系统,其特征在于,所述取样信息包括加载所述任一模块的程序加载行为信息、加载所述任一模块的内存数据、所述任一模块的内存数据。
10.根据权利要求6所述的系统,其特征在于,所述特征信息包括进程结构体信息、模块调用信息、DLL调用信息、句柄调用信息、父子进程信息、堆栈调用信息、注册表中变化的键值信息、系统文件的hash值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610914040.6A CN106919837B (zh) | 2016-10-20 | 2016-10-20 | 一种恶意代码未知自启动识别方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610914040.6A CN106919837B (zh) | 2016-10-20 | 2016-10-20 | 一种恶意代码未知自启动识别方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106919837A true CN106919837A (zh) | 2017-07-04 |
| CN106919837B CN106919837B (zh) | 2020-02-07 |
Family
ID=59453238
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610914040.6A Active CN106919837B (zh) | 2016-10-20 | 2016-10-20 | 一种恶意代码未知自启动识别方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106919837B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107437027A (zh) * | 2017-07-28 | 2017-12-05 | 四川长虹电器股份有限公司 | 恶意代码快速查询和检测的系统与方法 |
| CN109918907A (zh) * | 2019-01-30 | 2019-06-21 | 国家计算机网络与信息安全管理中心 | Linux平台进程内存恶意代码取证方法、控制器及介质 |
| CN110866253A (zh) * | 2018-12-28 | 2020-03-06 | 北京安天网络安全技术有限公司 | 一种威胁分析方法、装置、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103065094A (zh) * | 2011-12-28 | 2013-04-24 | 卡巴斯基实验室封闭式股份公司 | 用于检测目标为计算机引导过程的恶意软件的系统和方法 |
| CN103927484A (zh) * | 2014-04-21 | 2014-07-16 | 西安电子科技大学宁波信息技术研究院 | 基于Qemu模拟器的恶意程序行为捕获方法 |
| US8997226B1 (en) * | 2014-04-17 | 2015-03-31 | Shape Security, Inc. | Detection of client-side malware activity |
| CN104766011A (zh) * | 2015-03-26 | 2015-07-08 | 国家电网公司 | 基于主机特征的沙箱检测告警方法和系统 |
| US20150324586A1 (en) * | 2011-12-02 | 2015-11-12 | Invincea, Inc. | Methods and apparatus for control and detection of malicious content using a sandbox environment |
-
2016
- 2016-10-20 CN CN201610914040.6A patent/CN106919837B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150324586A1 (en) * | 2011-12-02 | 2015-11-12 | Invincea, Inc. | Methods and apparatus for control and detection of malicious content using a sandbox environment |
| CN103065094A (zh) * | 2011-12-28 | 2013-04-24 | 卡巴斯基实验室封闭式股份公司 | 用于检测目标为计算机引导过程的恶意软件的系统和方法 |
| US8997226B1 (en) * | 2014-04-17 | 2015-03-31 | Shape Security, Inc. | Detection of client-side malware activity |
| CN103927484A (zh) * | 2014-04-21 | 2014-07-16 | 西安电子科技大学宁波信息技术研究院 | 基于Qemu模拟器的恶意程序行为捕获方法 |
| CN104766011A (zh) * | 2015-03-26 | 2015-07-08 | 国家电网公司 | 基于主机特征的沙箱检测告警方法和系统 |
Non-Patent Citations (2)
| Title |
|---|
| 刘志永等: "一种基于主机特征的未知恶意程序动态识别系统", 《计算机与现代化》 * |
| 朱立军等: "基于动态行为的未知恶意代码识别方法", 《沈阳化工大学学报》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107437027A (zh) * | 2017-07-28 | 2017-12-05 | 四川长虹电器股份有限公司 | 恶意代码快速查询和检测的系统与方法 |
| CN110866253A (zh) * | 2018-12-28 | 2020-03-06 | 北京安天网络安全技术有限公司 | 一种威胁分析方法、装置、电子设备及存储介质 |
| CN110866253B (zh) * | 2018-12-28 | 2022-05-27 | 北京安天网络安全技术有限公司 | 一种威胁分析方法、装置、电子设备及存储介质 |
| CN109918907A (zh) * | 2019-01-30 | 2019-06-21 | 国家计算机网络与信息安全管理中心 | Linux平台进程内存恶意代码取证方法、控制器及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106919837B (zh) | 2020-02-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Sebastián et al. | Avclass2: Massive malware tag extraction from av labels | |
| CN109753800B (zh) | 融合频繁项集与随机森林算法的Android恶意应用检测方法及系统 | |
| CN109271788B (zh) | 一种基于深度学习的Android恶意软件检测方法 | |
| Ceschin et al. | The need for speed: An analysis of brazilian malware classifiers | |
| CN111460446B (zh) | 基于模型的恶意文件检测方法及装置 | |
| CN106951780A (zh) | 重打包恶意应用的静态检测方法和装置 | |
| CN109194689B (zh) | 异常行为识别方法、装置、服务器及存储介质 | |
| CN111368289B (zh) | 一种恶意软件检测方法和装置 | |
| CN109033839A (zh) | 一种基于动态多特征的恶意软件检测方法 | |
| CN110674479B (zh) | 异常行为数据实时处理方法、装置、设备及存储介质 | |
| CN107679403A (zh) | 一种基于序列比对算法的勒索软件变种检测方法 | |
| CN108446559A (zh) | 一种apt组织的识别方法及装置 | |
| CN106919837A (zh) | 一种恶意代码未知自启动识别方法及系统 | |
| CN108090360A (zh) | 一种基于行为特征的安卓恶意应用分类方法及系统 | |
| CN109800569A (zh) | 程序鉴别方法及装置 | |
| CN113254935A (zh) | 恶意文件识别方法、装置及存储介质 | |
| Bernardi et al. | A fuzzy-based process mining approach for dynamic malware detection | |
| Thiyagarajan et al. | Improved real‐time permission based malware detection and clustering approach using model independent pruning | |
| CN113468524B (zh) | 基于rasp的机器学习模型安全检测方法 | |
| CN112231696B (zh) | 恶意样本的识别方法、装置、计算设备以及介质 | |
| CN112632538A (zh) | 一种基于混合特征的安卓恶意软件检测方法及系统 | |
| CN115688107B (zh) | 一种涉诈app检测系统和方法 | |
| CN108334602B (zh) | 数据标注方法和装置、电子设备、计算机存储介质 | |
| CN115630373A (zh) | 一种云服务安全分析方法、监控设备及分析系统 | |
| CN110795705B (zh) | 轨迹数据处理方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 518000 Shenzhen, Baoan District, Guangdong Xixiang Baoan District street, the source of excellent industrial products display procurement center, block B, 7 floor, No. Patentee after: Shenzhen Antan Network Security Technology Co.,Ltd. Address before: 518000 Shenzhen, Baoan District, Guangdong Xixiang Baoan District street, the source of excellent industrial products display procurement center, block B, 7 floor, No. Patentee before: SHENZHEN ANZHITIAN INFORMATION TECHNOLOGY Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder |