CN107437027B - 恶意代码快速查询和检测的系统与方法 - Google Patents
恶意代码快速查询和检测的系统与方法 Download PDFInfo
- Publication number
- CN107437027B CN107437027B CN201710630145.3A CN201710630145A CN107437027B CN 107437027 B CN107437027 B CN 107437027B CN 201710630145 A CN201710630145 A CN 201710630145A CN 107437027 B CN107437027 B CN 107437027B
- Authority
- CN
- China
- Prior art keywords
- file
- value
- malicious code
- malicious
- sorting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/13—File access structures, e.g. distributed indices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/14—Details of searching files based on file metadata
- G06F16/148—File search processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Library & Information Science (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种恶意代码快速查询和检测的系统与方法,通过采取按不同方式排列恶意代码特征库的索引,如按权重,按热门,按预测新颖等,用分布式的系统进行同步的查询。同时对已查对的文件进行存储,也按不同方式对已查询文件建立索引,如按权重,按热门,频率等,用分布式的系统进行同步查询。这样提高了恶意代码快速查询和检测效率,方便用户更高效,快速查询捕获到恶意代码。
Description
技术领域
本发明涉及安全领域,具体涉及一种恶意代码快速查询和检测的系统与方法。
背景技术
随着互联网的不断普及,互联网已引领社会的潮流,成为人民生活中不可缺少的部分。但是互联网安全也越来越成为威胁用户安全的问题,无论个人电脑还是移动终端,各种恶意代码层出不穷。快速,高效的检测出文件中是否含有恶意代码,是保障用户安全的关键。发现恶意代码越早越快越及时,对用户的损失和系统的破坏也就越小。
发明内容
本发明克服了现有技术的不足,提供一种恶意代码快速查询和检测的系统与方法,旨在提高恶意代码快速查询和检测效率。
考虑到现有技术的上述问题,根据本发明公开的一个方面,本发明采用以下技术方案:
一种恶意代码快速查询和检测的系统,包括:
提取疑似恶意代码特征值模块,用于对文件进行分析,提取疑似恶意代码;
恶意代码检测模块,用于根据提取疑似恶意代码特征值模块提取的特征值,按不同排序方式进行同步比对查询,检测出该特征值是否属于恶意代码的特征值;
恶意代码预测模块,用于将恶意代码在模拟环境下进行诱导演化,形成新的恶意代码,然后提取新生成恶意代码的特征值,保存在新恶意代码特征值库中;
文件分析查询模块,用于对已分析的文件结果进行存储,用户再次分析文件时,对已分析的文件结果进行查找,如果该文件已检测过,直接反馈用户结果。
为了更好地实现本发明,进一步的技术方案是:
根据本发明的一个实施方案,所述提取疑似恶意代码特征值模块包括:
静态分析单元,用于判断文件是否含有疑似恶意二进制的代码;
动态分析单元,用于分析文件运行时是否会含有恶意代码的执行;
行为分析单元,用于将文件至于虚拟环境中运行,检测行为是否符合恶意代码的行为特征,并提取特征值;
语义分析单元,用于根据文件中所含有的语义表述,检测是否含有恶意代码的行为特征。
根据本发明的另一个实施方案,所述恶意代码检测模块,以恶意代码数据库为基础,提取索引并建立索引数据库。
根据本发明的另一个实施方案,所述提取索引的方式包括按社会关注度排序,按危害程度排序,按首次出现时间排序,按爆发频次排序,按时间危害程度社会关注度加权平均排序。
根据本发明的另一个实施方案,所述按时间危害程度社会关注度加权平均排序的算法为:
SORT=T×a1+L×a2+S×a3+F×a4
其中,T代表首次出现时间排序表值,出现时间离现在越近,值就越大;
L代表危害程度排序表值,危害程度越大,值就越大;
S代表社会关注度表值,社会关注度越高,值就越大;
F代表病毒爆发的频次,爆发率越高,值就越大;
a1、a2、a3、a4为权重值,a1+a2+a3+a4=100%;
SORT为加权值,值越大排序就越靠前。
根据本发明的另一个实施方案,所述文件分析查询模块将文件分析结果存储在文件分析数据库中,与文件的哈希值对应存储。
根据本发明的另一个实施方案,所述文件分析检测模块以文件分析数据库为基础,以不同排序方式进行索引建立索引数据库。
根据本发明的另一个实施方案,所述不同排序方式包括按热门,按频率,按文件MD5值字母顺序,按文件大小,按权重。
根据本发明的另一个实施方案,所述权重算法为:
SORT=F×a1+L×a2+S×a3
其中,F代表文件请求分析的频次,频次越多,值就越大;
L代表按文件MD5值字母顺序;
S代表文件大小,按区间法,第一区间排序最优先;
a1、a2、a3为权重值,a1+a2+a3=100%;
SORT为权重值,值越大排序就越靠前。
本发明还可以是:
一种恶意代码快速查询和检测的方法,包括:
将需分析的文件提交到提取疑似恶意代码特征值模块;
提取疑似恶意代码特征值模块分析文件,获取文件特征值和疑似恶意代码特征值;
疑似恶意代码特征值模块将文件特征值交付由文件分析查询模块查询文件是否已分析过,如果分析过直接获取结果,并更新分析该文件的次数;以及
将疑似恶意代码特征值交付恶意代码预测模块,恶意代码检测模块检测特征值是否符合恶意代码特征,并将结果保存在文件分析数据库中。
与现有技术相比,本发明的有益效果之一是:
本发明的一种恶意代码快速查询和检测的系统与方法,通过采取按不同方式排列恶意代码特征库的索引,如按权重,按热门,按预测新颖等,用分布式的系统进行同步的查询。同时对已查对的文件进行存储,也按不同方式对已查询文件建立索引,如按权重,按热门,频率等,用分布式的系统进行同步查询。这样提高了恶意代码快速查询和检测效率,方便用户更高效,快速查询捕获到恶意代码。
附图说明
为了更清楚的说明本申请文件实施例或现有技术中的技术方案,下面将对实施例或现有技术的描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅是对本申请文件中一些实施例的参考,对于本领域技术人员来讲,在不付出创造性劳动的情况下,还可以根据这些附图得到其它的附图。
图1为根据本发明一个实施例的恶意代码检测模块布局示意图。
图2为根据本发明一个实施例的文件分析查询布局示意图。
图3为根据本发明一个实施例的恶意代码快速查询和检测系统流程示意图。
具体实施方式
下面结合实施例对本发明作进一步地详细说明,但本发明的实施方式不限于此。
本发明的恶意代码快速查询和检测的系统和方法,涉及威胁态势感知平台和恶意代码检测分析平台中对文件进行深度分析的功能模块。用户可使用本发明的系统对文件进行深度分析,从而快速、高效的获得文件是否具有恶意或威胁的结论。其中,由四个模块组成恶意代码快速查询和检测的系统,包含恶意代码预测模块,文件分析查询模块,恶意代码检测模块,提取疑似恶意代码特征值模块。
各部份的功能如下:
提取疑似恶意代码特征值模块,主要功能是将文件进行分析,提取疑似恶意代码。模块采用的方法有静态分析、动态分析、行为分析、语义分析。经过上述分析后,提取疑似恶意代码特征值。静态分析主要是采用走查文件的二进制,判断文件是否含有疑似恶意二进制的代码。动态分析是分析文件运行时是否会含有恶意代码的执行。行为分析是将文件至于虚拟环境中运行,检测行为是否符合恶意代码的行为特征,并提取特征值。语义分析是根据文件中的所含有的语义表述,检测是否含有恶意代码的行为特征。这个模块主要是利用或嵌入现有成熟的第三方软件和第三方库进行特征值的提取。
恶意代码检测模块是根据提取疑似恶意代码特征值模块提取的特征值,按不同排序方式进行同步比对查询,检测出该特征值是否属于恶意代码的特征值。恶意代码检测模块是以恶意代码数据库为基础,以不同方式再进行提取索引建立索引数据库。采取的方式有按社会关注度排序,按危害程度排序,按首次出现时间排序,按爆发频次排序,按时间危害程度社会关注度加权平均排序。其中时间、危害程度、社会关注度、爆发频次加权平均算法规则如下:
SORT=T×a1+L×a2+S×a3+F×a4
T代表首次出现时间排序表值,出现时间离现在越近,值就越大;
L代表危害程度排序表值,危害程度越大,值就越大;
S代表社会关注度表值,社会关注度越高,值就越大;
F代表病毒爆发的频次,爆发率越高,值就越大;
a1、a2、a3、a4为权重值,a1+a2+a3+a4=100%;
SORT为加权值,值越大排序就越靠前。其中,恶意代码检测模块分布式布局如图1所示。
文件分析查询模块是对已分析的文件结果进行存储,用户再次分析文件时,可对已分析的文件结果进行查找,如果该文件已检测过,可直接反馈用户结果。文件分析结果存储在文件分析数据库中,与文件的哈希值如MD5值,对应存储。文件分析检测模块以文件分析数据库为基础,以不同排序方式进行索引建立索引数据库。采取的方式有按热门,按频率,按文件MD5值字母顺序,按文件大小,按权重。文件大小排序采用区间法,5k到3G的文件为第一区间按从大到小排序,低于5k的文件为第二区间按从大到小排序,超过3G的文件为第三区间按从小到大排序。权重算法规则如下:
SORT=F×a1+L×a2+S×a3
F代表文件请求分析的频次,频次越多,值就越大;
L代表按文件MD5值字母顺序;
S代表文件大小,按区间法,第一区间排序最优先;
a1、a2、a3为权重值,a1+a2+a3=100%;
SORT为权重值,值越大排序就越靠前;其中,文件分析查询模块分布式布局如图2所示。
恶意代码预测模块是将危害程度大、社会关注度高、加权值大的恶意代码在模拟环境下进行诱导演化,形成新的恶意代码,然后提取新生成恶意代码的特征值,保存在新恶意代码特征值库中。当新的恶意代码出现时,本系统可以提前检测出该恶意代码。
恶意代码快速查询和检测系统的主要流程是:
1、用户将需分析的文件提交到提取疑似恶意代码特征值模块。
2、提取疑似恶意代码特征值模块分析文件,获取文件特征值如MD5值,疑似恶意代码特征值等信息。
3、疑似恶意代码特征值模块将文件特征值交付由文件分析查询模块查询文件是否已分析过,如果分析过直接获取结果,并更新分析该文件的次数;同时将疑似恶意代码特征值交付恶意代码预测模块,恶意代码检测模块检测特征值是否符合恶意代码特征。同时将结果保存在文件分析数据库中。其中,恶意代码快速查询和检测系统流程图如图3所示。
综上,本发明通过采用对恶意代码特征值的索引进行不同方式的排序,如按加权值、关注度、热门、新颖性等分别建立分布式查询库,方便查询比对恶意代码。同时,对已查寻过的文件,提取文件特征值,并建立索引,再按加权值、关注度、热门、频率等分别建立分布式查询库,方便查询比对含有恶意代码的文件。
在本说明书中所谈到的“一个实施例”、“另一个实施例”、“实施例”、等,指的是结合该实施例描述的具体特征、结构或者特点包括在本申请概括性描述的至少一个实施例中。在说明书中多个地方出现同种表述不是一定指的是同一个实施例。进一步来说,结合任一实施例描述一个具体特征、结构或者特点时,所要主张的是结合其他实施例来实现这种特征、结构或者特点也落在本发明的范围内。
尽管这里参照本发明的多个解释性实施例对本发明进行了描述,但是,应该理解,本领域技术人员可以设计出很多其他的修改和实施方式,这些修改和实施方式将落在本申请公开的原则范围和精神之内。更具体地说,在本申请公开和权利要求的范围内,可以对主题组合布局的组成部件和/或布局进行多种变型和改进。除了对组成部件和/或布局进行的变型和改进外,对于本领域技术人员来说,其他的用途也将是明显的。
Claims (6)
1.一种恶意代码快速查询和检测的系统,其特征在于包括:
提取疑似恶意代码特征值模块,用于对文件进行分析,提取疑似恶意代码特征值;
恶意代码检测模块,用于根据提取疑似恶意代码特征值模块提取的特征值,按不同排序方式进行查询,检测出该特征值是否属于恶意代码的特征值;所述恶意代码检测模块,以恶意代码数据库为基础,提取索引并建立索引数据库;所述提取索引的方式包括按社会关注度排序或按危害程度排序或按首次出现时间排序或按爆发频次排序或按时间危害程度社会关注度加权平均排序;所述按时间危害程度社会关注度加权平均排序的算法为:
SORT=T×a1+L×a2+S×a3+F×a4
其中,T代表首次出现时间排序表值,出现时间离现在越近,值就越大;
L代表危害程度排序表值,危害程度越大,值就越大;
S代表社会关注度表值,社会关注度越高,值就越大;
F代表病毒爆发的频次,爆发率越高,值就越大;
a1、a2、a3、a4为权重值,a1+a2+a3+a4=100%;
SORT为加权值,值越大排序就越靠前;
恶意代码预测模块,用于将恶意代码在模拟环境下进行诱导演化,形成新的恶意代码,然后提取新生成恶意代码的特征值,保存在新恶意代码特征值库中;
文件分析查询模块,用于对已分析的文件结果进行存储,用户再次分析文件时,对已分析的文件结果进行查找,如果该文件已检测过,直接反馈用户结果。
2.根据权利要求1所述的恶意代码快速查询和检测的系统,其特征在于所述提取疑似恶意代码特征值模块包括:
静态分析单元,用于判断文件是否含有疑似恶意二进制的代码;
动态分析单元,用于分析文件运行时是否会含有恶意代码的执行;
行为分析单元,用于将文件至于虚拟环境中运行,检测行为是否符合恶意代码的行为特征,并提取特征值;
语义分析单元,用于根据文件中所含有的语义表述,检测是否含有恶意代码的行为特征。
3.根据权利要求1所述的恶意代码快速查询和检测的系统,其特征在于所述文件分析查询模块将文件分析结果存储在文件分析数据库中,与文件的哈希值对应存储。
4.根据权利要求3所述的恶意代码快速查询和检测的系统,其特征在于所述文件分析查询模块以文件分析数据库为基础,以不同排序方式进行索引建立索引数据库。
5.根据权利要求4所述的恶意代码快速查询和检测的系统,其特征在于所述不同排序方式包括按热门,按频率,按文件MD5值字母顺序,按文件大小,按权重。
6.根据权利要求5所述的恶意代码快速查询和检测的系统,其特征在于权重算法为:
SORT=F×a1+L×a2+S×a3
其中,F代表文件请求分析的频次,频次越多,值就越大;
L代表文件MD5值字母顺序;
S代表文件大小,按区间法,第一区间排序最优先;
a1、a2、a3为权重值,a1+a2+a3=100%;
SORT为权重值,值越大排序就越靠前。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710630145.3A CN107437027B (zh) | 2017-07-28 | 2017-07-28 | 恶意代码快速查询和检测的系统与方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710630145.3A CN107437027B (zh) | 2017-07-28 | 2017-07-28 | 恶意代码快速查询和检测的系统与方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107437027A CN107437027A (zh) | 2017-12-05 |
CN107437027B true CN107437027B (zh) | 2020-11-03 |
Family
ID=60460860
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710630145.3A Active CN107437027B (zh) | 2017-07-28 | 2017-07-28 | 恶意代码快速查询和检测的系统与方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107437027B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109120593A (zh) * | 2018-07-12 | 2019-01-01 | 南方电网科学研究院有限责任公司 | 一种移动应用安全防护系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101959193A (zh) * | 2010-09-26 | 2011-01-26 | 宇龙计算机通信科技(深圳)有限公司 | 一种信息安全检测方法及移动终端 |
CN102843271A (zh) * | 2011-11-14 | 2012-12-26 | 哈尔滨安天科技股份有限公司 | 恶意url的形式化检测方法和系统 |
CN106326746A (zh) * | 2016-08-26 | 2017-01-11 | 成都科来软件有限公司 | 一种恶意程序行为特征库构建方法及装置 |
KR101749210B1 (ko) * | 2015-12-18 | 2017-06-20 | 한양대학교 산학협력단 | 다중 서열 정렬 기법을 이용한 악성코드 패밀리 시그니쳐 생성 장치 및 방법 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8787567B2 (en) * | 2011-02-22 | 2014-07-22 | Raytheon Company | System and method for decrypting files |
CN102360408A (zh) * | 2011-09-28 | 2012-02-22 | 国家计算机网络与信息安全管理中心 | 恶意代码的检测方法及其系统 |
CN106919837B (zh) * | 2016-10-20 | 2020-02-07 | 深圳市安之天信息技术有限公司 | 一种恶意代码未知自启动识别方法及系统 |
-
2017
- 2017-07-28 CN CN201710630145.3A patent/CN107437027B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101959193A (zh) * | 2010-09-26 | 2011-01-26 | 宇龙计算机通信科技(深圳)有限公司 | 一种信息安全检测方法及移动终端 |
CN102843271A (zh) * | 2011-11-14 | 2012-12-26 | 哈尔滨安天科技股份有限公司 | 恶意url的形式化检测方法和系统 |
KR101749210B1 (ko) * | 2015-12-18 | 2017-06-20 | 한양대학교 산학협력단 | 다중 서열 정렬 기법을 이용한 악성코드 패밀리 시그니쳐 생성 장치 및 방법 |
CN106326746A (zh) * | 2016-08-26 | 2017-01-11 | 成都科来软件有限公司 | 一种恶意程序行为特征库构建方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN107437027A (zh) | 2017-12-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109271512B (zh) | 舆情评论信息的情感分析方法、装置及存储介质 | |
CN108737423B (zh) | 基于网页关键内容相似性分析的钓鱼网站发现方法及系统 | |
CN102722709B (zh) | 一种垃圾图片识别方法和装置 | |
CN103020521B (zh) | 木马扫描方法及系统 | |
CN102779249A (zh) | 恶意程序检测方法及扫描引擎 | |
CN107911448B (zh) | 一种内容推送方法及装置 | |
CN104572717B (zh) | 信息搜索方法和装置 | |
US11328159B2 (en) | Automatically detecting contents expressing emotions from a video and enriching an image index | |
EP3346664B1 (en) | Binary search of byte sequences using inverted indices | |
US8645363B2 (en) | Spreading comments to other documents | |
CN108268438B (zh) | 一种页面内容提取方法、装置以及客户端 | |
CN110765761A (zh) | 基于人工智能的合同敏感词校验方法、装置及存储介质 | |
RU2014113565A (ru) | Способ и устройство для автоматического генерирования рекомендаций | |
CN111723371B (zh) | 构建恶意文件的检测模型以及检测恶意文件的方法 | |
CN104537341A (zh) | 人脸图片信息获取方法和装置 | |
CN108388556B (zh) | 同类实体的挖掘方法及系统 | |
CN110209659A (zh) | 一种简历过滤方法、系统和计算机可读存储介质 | |
CN107437027B (zh) | 恶意代码快速查询和检测的系统与方法 | |
CN110245357B (zh) | 主实体识别方法和装置 | |
CN106919593B (zh) | 一种搜索的方法和装置 | |
CN108804917B (zh) | 一种文件检测方法、装置、电子设备及存储介质 | |
CN105468972A (zh) | 一种移动终端文件检测方法 | |
CN104765747A (zh) | 网页处理方法及装置 | |
CN105138918B (zh) | 一种安全文件的识别方法及装置 | |
CN110390185B (zh) | 重打包应用检测方法、规则库构建方法及相关装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |