CN108304721A - 一种恶意代码检测系统 - Google Patents
一种恶意代码检测系统 Download PDFInfo
- Publication number
- CN108304721A CN108304721A CN201810235554.8A CN201810235554A CN108304721A CN 108304721 A CN108304721 A CN 108304721A CN 201810235554 A CN201810235554 A CN 201810235554A CN 108304721 A CN108304721 A CN 108304721A
- Authority
- CN
- China
- Prior art keywords
- code
- module
- malicious
- analysis
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种恶意代码检测系统,包括:代码格式识别模块,用于进行待检测代码格式的识别和解析;静态分析模块,用于获取待检测代码的API函数调用序列、组件和资源构建待检测代码的特征向量;动态行为分析模块,用于通过建立的多态响应代码行为分析模型进行代码行为的分析;代码行为监测模块,用于通过脚本录制的方式进行代码行为数据的录制;还包括代码行为预测模块、代码识别判定模块和记录提取模块。本发明基于静态和动态进行恶意代码的检测,可以监测中新种类的恶意代码,实现了恶意代码特征数据库以及恶意行为特征数据库的自动更新。
Description
技术领域
本发明涉及数据安全领域,具体涉及一种恶意代码检测系统。
背景技术
随着恶意代码爆炸性增长,恶意代码成为个人、企业信息泄露的最大原因,所以对恶意代码在运行之前被检测出来很有必要。目前有比较成熟的恶意代码检测技术,主要有基于签名、基于特征码、基于启发式等等方法。
基于签名的恶意检测方法,对各种恶意代码生成一个标记,并利用这些标记构建一个恶意代码数据库。这种方法能快速的检测出一段代码是否为恶意代码,对数据库中已有样本种类检验准确率很高,是很多商业杀毒软件采取的主要方式。
但是这种方法存在以下的缺点:对恶意代码的标记有些需要领域专家进行人工提取;一个新的恶意代码可能不包括任何已知的特征,只能检测已有的恶意代码,不能检测出新种类的恶意代码。
发明内容
为解决上述问题,本发明提供了一种恶意代码检测系统,基于静态和动态进行恶意代码的检测,可以监测中新种类的恶意代码,实现了恶意代码特征数据库以及恶意行为特征数据库的自动更新。
为实现上述目的,本发明采取的技术方案为:
一种恶意代码检测系统,包括:
代码格式识别模块,用于进行待检测代码格式的识别和解析;
静态分析模块,用于获取待检测代码的API函数调用序列、组件和资源构建待检测代码的特征向量;
动态行为分析模块,用于通过建立的多态响应代码行为分析模型进行代码行为的分析;
代码行为监测模块,用于通过脚本录制的方式进行代码行为数据的录制;
代码行为预测模块,基于粒子群优化支持向量机,根据静态分析模块所得的特征向量生成短期代码行为预报信息;
代码识别判定模块,用于综合静态分析模块、动态行为分析模块以及代码行为预测模块的分析结果进行代码类型的判定,若为恶意代码,则启动记录提取模块;
记录提取模块,用于将代码行为分析结果以及对应的代码特征向量、行为数据写入恶意代码特征数据库以及恶意行为特征数据库中进行记录预警。
优选地,所述代码识别判定模块通过以下步骤完成代码类别的判定:
S1、根据静态分析模块所得特征向量进行该代码类型的判定,若恶意代码特征数据库中未查见,则进入步骤S2;
S2、根据动态行为分析模块以及代码行为预测模块进行该代码类型的判定,只要其中任何一个模块所得的分析结果为恶意代码行为的都认为该代码为恶意代码。
优选地,还包括一防御决策生成模块,用于接收动态行为分析模块所发送的分析数据,并选取静态分析模块所得的特征向量与防御决策信息数据库内的数据进行相似度对比后,输出相应的防御决策。
优选地,还包括一虚拟执行模块,用于根据静态分析所得的代码特征向量进行其所对应的代码行为虚拟执行环境的构建,并进行代码的执行。
优选地,所述防御决策至少包括任务执行主体、任务操作、任务执行时间及任务执行的约束条件,任务操作包括操作对象、任务动作及执行参数,通过调用恶意代码防御决策信息库内态势信息和转换规则,实现目标转换、期望及手段转换。
优选地,还包括一代码解密模块,用于根据代码格式识别模块的识别结果进行启闭,一旦识别到的代码数据存在乱码或其他加密行为,则启动代码解密模块进行代码的解密处理;完成解密后,方可进行静态、动态行为分析。
本发明具有以下有益效果:
1、通过建立的多态响应代码行为分析模型进行代码行为的分析,实现了代码行为的监测分析,提高了系统的检测精度;
2、基于粒子群优化支持向量机,根据静态分析模块所得的特征向量生成短期代码行为预报信息,实现了恶意代码未来某一时间段内行为的预测分析,进一步提高了系统的检测精度;
3、实现了恶意代码特征数据库以及恶意行为特征数据库的自动更新;
4、实现了加密恶意代码的解密识别,适用范围更广。
附图说明
图1为本发明实施例一种恶意代码检测系统的系统框图。
具体实施方式
为了使本发明的目的及优点更加清楚明白,以下结合实施例对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,本发明实施例提供了一种恶意代码检测系统,包括:
代码格式识别模块,用于进行待检测代码格式的识别和解析;
代码解密模块,用于根据代码格式识别模块的识别结果进行启闭,一旦识别到的代码数据存在乱码或其他加密行为,则启动代码解密模块进行代码的解密处理;完成解密后,方可进行静态、动态行为分析;
静态分析模块,用于获取待检测代码的API函数调用序列、组件和资源构建待检测代码的特征向量;
动态行为分析模块,用于通过建立的多态响应代码行为分析模型进行代码行为的分析;
代码行为监测模块,用于通过脚本录制的方式进行代码行为数据的录制;
代码行为预测模块,基于粒子群优化支持向量机,根据静态分析模块所得的特征向量生成短期代码行为预报信息;
代码识别判定模块,用于综合静态分析模块、动态行为分析模块以及代码行为预测模块的分析结果进行代码类型的判定,若为恶意代码,则启动记录提取模块;
记录提取模块,用于将代码行为分析结果以及对应的代码特征向量、行为数据写入恶意代码特征数据库以及恶意行为特征数据库中进行记录预警。
所述代码识别判定模块通过以下步骤完成代码类别的判定:
S1、根据静态分析模块所得特征向量进行该代码类型的判定,若恶意代码特征数据库中未查见,则进入步骤S2;
S2、根据动态行为分析模块以及代码行为预测模块进行该代码类型的判定,只要其中任何一个模块所得的分析结果为恶意代码行为的都认为该代码为恶意代码。
防御决策生成模块,用于接收动态行为分析模块所发送的分析数据,并选取静态分析模块所得的特征向量与防御决策信息数据库内的数据进行相似度对比后,输出相应的防御决策。
还包括一虚拟执行模块,用于根据静态分析所得的代码特征向量进行其所对应的代码行为虚拟执行环境的构建,并进行代码的执行,从而为代码行为监测模块提供条件;
所述防御决策至少包括任务执行主体、任务操作、任务执行时间及任务执行的约束条件,任务操作包括操作对象、任务动作及执行参数,通过调用恶意代码防御决策信息库内态势信息和转换规则,实现目标转换、期望及手段转换。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (6)
1.一种恶意代码检测系统,其特征在于,包括:
代码格式识别模块,用于进行待检测代码格式的识别和解析;
静态分析模块,用于获取待检测代码的API函数调用序列、组件和资源构建待检测代码的特征向量;
动态行为分析模块,用于通过建立的多态响应代码行为分析模型进行代码行为的分析;
代码行为监测模块,用于通过脚本录制的方式进行代码行为数据的录制;
代码行为预测模块,基于粒子群优化支持向量机,根据静态分析模块所得的特征向量生成短期代码行为预报信息;
代码识别判定模块,用于综合静态分析模块、动态行为分析模块以及代码行为预测模块的分析结果进行代码类型的判定,若为恶意代码,则启动记录提取模块;
记录提取模块,用于将代码行为分析结果以及对应的代码特征向量、行为数据写入恶意代码特征数据库以及恶意行为特征数据库中进行记录预警。
2.如权利要求1所述的一种恶意代码检测系统,其特征在于,所述代码识别判定模块通过以下步骤完成代码类别的判定:
S1、根据静态分析模块所得特征向量进行该代码类型的判定,若恶意代码特征数据库中未查见,则进入步骤S2;
S2、根据动态行为分析模块以及代码行为预测模块进行该代码类型的判定,只要其中任何一个模块所得的分析结果为恶意代码行为的都认为该代码为恶意代码。
3.如权利要求1所述的一种恶意代码检测系统,其特征在于,还包括一防御决策生成模块,用于接收动态行为分析模块所发送的分析数据,并选取静态分析模块所得的特征向量与防御决策信息数据库内的数据进行相似度对比后,输出相应的防御决策。
4.如权利要求1所述的一种恶意代码检测系统,其特征在于,还包括一虚拟执行模块,用于根据静态分析所得的代码特征向量进行其所对应的代码行为虚拟执行环境的构建,并进行代码的执行。
5.如权利要求1所述的一种恶意代码检测系统,其特征在于,所述防御决策至少包括任务执行主体、任务操作、任务执行时间及任务执行的约束条件,任务操作包括操作对象、任务动作及执行参数,通过调用恶意代码防御决策信息库内态势信息和转换规则,实现目标转换、期望及手段转换。
6.如权利要求1所述的一种恶意代码检测系统,其特征在于,还包括一代码解密模块,用于根据代码格式识别模块的识别结果进行启闭,一旦识别到的代码数据存在乱码或其他加密行为,则启动代码解密模块进行代码的解密处理;完成解密后,方可进行静态、动态行为分析。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810235554.8A CN108304721A (zh) | 2018-03-21 | 2018-03-21 | 一种恶意代码检测系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810235554.8A CN108304721A (zh) | 2018-03-21 | 2018-03-21 | 一种恶意代码检测系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108304721A true CN108304721A (zh) | 2018-07-20 |
Family
ID=62850271
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810235554.8A Pending CN108304721A (zh) | 2018-03-21 | 2018-03-21 | 一种恶意代码检测系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108304721A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20190034632A1 (en) * | 2017-07-25 | 2019-01-31 | Trend Micro Incorporated | Method and system for static behavior-predictive malware detection |
CN110659490A (zh) * | 2019-09-20 | 2020-01-07 | 哈尔滨安天科技集团股份有限公司 | 恶意样本的处理方法、装置、电子设备及存储介质 |
CN112929365A (zh) * | 2021-02-05 | 2021-06-08 | 深信服科技股份有限公司 | 一种远程命令检测方法、装置及电子设备 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102682229A (zh) * | 2011-03-11 | 2012-09-19 | 北京市国路安信息技术有限公司 | 一种基于虚拟化技术的恶意代码行为检测方法 |
CN103095716A (zh) * | 2013-01-28 | 2013-05-08 | 北京航空航天大学 | 计算机网络防御决策系统 |
CN103761481A (zh) * | 2014-01-23 | 2014-04-30 | 北京奇虎科技有限公司 | 一种恶意代码样本自动处理的方法及装置 |
CN103810427A (zh) * | 2014-02-20 | 2014-05-21 | 中国科学院信息工程研究所 | 一种恶意代码隐藏行为挖掘方法及系统 |
US20150324580A1 (en) * | 2014-05-12 | 2015-11-12 | Electronics And Telecommunications Research Institute | Apparatus and method for analyzing malicious code in real environment |
CN105069355A (zh) * | 2015-08-26 | 2015-11-18 | 厦门市美亚柏科信息股份有限公司 | webshell变形的静态检测方法和装置 |
CN105183631A (zh) * | 2015-07-16 | 2015-12-23 | 小米科技有限责任公司 | 设备测试方法及装置 |
CN105447388A (zh) * | 2015-12-17 | 2016-03-30 | 福建六壬网安股份有限公司 | 一种基于权重的安卓恶意代码检测系统及方法 |
CN105930264A (zh) * | 2016-04-03 | 2016-09-07 | 郑州升达经贸管理学院 | 一种计算机软件性能测试方法 |
CN107590388A (zh) * | 2017-09-12 | 2018-01-16 | 南方电网科学研究院有限责任公司 | 恶意代码检测方法和装置 |
-
2018
- 2018-03-21 CN CN201810235554.8A patent/CN108304721A/zh active Pending
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102682229A (zh) * | 2011-03-11 | 2012-09-19 | 北京市国路安信息技术有限公司 | 一种基于虚拟化技术的恶意代码行为检测方法 |
CN103095716A (zh) * | 2013-01-28 | 2013-05-08 | 北京航空航天大学 | 计算机网络防御决策系统 |
CN103761481A (zh) * | 2014-01-23 | 2014-04-30 | 北京奇虎科技有限公司 | 一种恶意代码样本自动处理的方法及装置 |
CN103810427A (zh) * | 2014-02-20 | 2014-05-21 | 中国科学院信息工程研究所 | 一种恶意代码隐藏行为挖掘方法及系统 |
US20150324580A1 (en) * | 2014-05-12 | 2015-11-12 | Electronics And Telecommunications Research Institute | Apparatus and method for analyzing malicious code in real environment |
CN105183631A (zh) * | 2015-07-16 | 2015-12-23 | 小米科技有限责任公司 | 设备测试方法及装置 |
CN105069355A (zh) * | 2015-08-26 | 2015-11-18 | 厦门市美亚柏科信息股份有限公司 | webshell变形的静态检测方法和装置 |
CN105447388A (zh) * | 2015-12-17 | 2016-03-30 | 福建六壬网安股份有限公司 | 一种基于权重的安卓恶意代码检测系统及方法 |
CN105930264A (zh) * | 2016-04-03 | 2016-09-07 | 郑州升达经贸管理学院 | 一种计算机软件性能测试方法 |
CN107590388A (zh) * | 2017-09-12 | 2018-01-16 | 南方电网科学研究院有限责任公司 | 恶意代码检测方法和装置 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20190034632A1 (en) * | 2017-07-25 | 2019-01-31 | Trend Micro Incorporated | Method and system for static behavior-predictive malware detection |
US11481492B2 (en) * | 2017-07-25 | 2022-10-25 | Trend Micro Incorporated | Method and system for static behavior-predictive malware detection |
CN110659490A (zh) * | 2019-09-20 | 2020-01-07 | 哈尔滨安天科技集团股份有限公司 | 恶意样本的处理方法、装置、电子设备及存储介质 |
CN112929365A (zh) * | 2021-02-05 | 2021-06-08 | 深信服科技股份有限公司 | 一种远程命令检测方法、装置及电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Tann et al. | Towards safer smart contracts: A sequence learning approach to detecting security threats | |
Dumford et al. | Backdooring convolutional neural networks via targeted weight perturbations | |
Aslan et al. | A new malware classification framework based on deep learning algorithms | |
CN109753800B (zh) | 融合频繁项集与随机森林算法的Android恶意应用检测方法及系统 | |
CN110263538B (zh) | 一种基于系统行为序列的恶意代码检测方法 | |
CN106778268A (zh) | 恶意代码检测方法与系统 | |
US20210067531A1 (en) | Context informed abnormal endpoint behavior detection | |
CN110795732A (zh) | 基于SVM的Android移动网络终端恶意代码的动静结合检测方法 | |
CN108304721A (zh) | 一种恶意代码检测系统 | |
CN107180190A (zh) | 一种基于混合特征的Android恶意软件检测方法及系统 | |
CN108256329B (zh) | 基于动态行为的细粒度rat程序检测方法、系统及相应的apt攻击检测方法 | |
Ibba et al. | Evaluating machine-learning techniques for detecting smart ponzi schemes | |
CN113468524B (zh) | 基于rasp的机器学习模型安全检测方法 | |
CN107491691A (zh) | 一种基于机器学习的远程取证工具安全分析系统 | |
Niu et al. | Detecting malware on X86-based IoT devices in autonomous driving | |
Bernardi et al. | A fuzzy-based process mining approach for dynamic malware detection | |
Alatawi et al. | Mobile forensics: A review | |
Sasaki et al. | On embedding backdoor in malware detectors using machine learning | |
CN111881446A (zh) | 一种工业互联网恶意代码识别方法及装置 | |
Tumuluru et al. | APMWMM: Approach to Probe Malware on Windows Machine using Machine Learning | |
Soremekun et al. | Towards backdoor attacks and defense in robust machine learning models | |
CN116756578B (zh) | 车辆信息安全威胁聚合分析预警方法及系统 | |
CN113536322A (zh) | 一种基于对抗神经网络的智能合约可重入漏洞检测方法 | |
Gopali et al. | Vulnerability detection in smart contracts using deep learning | |
CN114285587A (zh) | 域名鉴别方法和装置、域名分类模型的获取方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180720 |