CN109460658A - 一种针对恶意勒索样本的检测方法 - Google Patents
一种针对恶意勒索样本的检测方法 Download PDFInfo
- Publication number
- CN109460658A CN109460658A CN201811362943.3A CN201811362943A CN109460658A CN 109460658 A CN109460658 A CN 109460658A CN 201811362943 A CN201811362943 A CN 201811362943A CN 109460658 A CN109460658 A CN 109460658A
- Authority
- CN
- China
- Prior art keywords
- target software
- wooden horse
- detection method
- suspicion
- sample
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种针对恶意勒索样本的检测方法,属于恶意代码检测领域,解决现有技术采用被动防御技术根本没法针对网络环境和用户主机提供主动性、实时性的全面防护。本发明包括静态特征检测方法:提取目标软件的二进制特征码判断目标软件是否有嵌入木马本体的嫌疑,即是否有恶意勒索样本,若判定有嵌入木马本体,则对其进行拦截,若判定为有嵌入木马本体的嫌疑,再作进一步判定,并对判定的嵌入木马本体进行拦截;主动防御检测方法:在内核驱动层对目标软件进行挂钩,并对windows提供的加密函数挂钩,若发现目标软件通过windows提供的加密函数进行操作,并且伴随着大量的磁盘读写操作,则有嵌入木马本体并对其进行拦截。本发明用于对目标软件的恶勒索样本检测。
Description
技术领域
一种针对恶意勒索样本的检测方法,用于对目标软件的恶勒索样本检测,属于恶意代码检测领域,具体涉及一种针对当前主流恶意程序进行识别检测的方法。
背景技术
互联网信息时代的网络安全问题复杂多样,木马、蠕虫、间谍程序等新的病毒不断的出现,而那些己经出现过的病毒、木马、蠕虫也通过不断的翻新变种成为新的病毒,本来能够清除它们的手段己然失效。面对如此多的新威胁,所有的用户都非常关心他们使用的杀毒软件是否能够为他们提供一个安全有效的上网环境以应对病毒的攻击。从目前的现状来说,大多数传统杀毒软件的杀毒原理还是依靠病毒库的更新,而病毒库的更新又总是在发现新的病毒之后,这种情况下总会有一部分用户遭到病毒的攻击而利益受损。这种病毒出现在前,杀毒手段在后的防御方式无法有效的遏制新病毒产生的危害。
2017年的5月12号,一种名为“WannaCry”的勒索病毒在世界各地进行传播,这次的网络威胁事件中,全世界大部分国家和地区都被侵入。这种新出现的勒索病毒“WannaCry”和之前的勒索病毒有着显著的不同,它有着蠕虫病毒的特性,利用Windows的系统漏洞入侵用户电脑,具有极高的危害性,全世界有上万家企业在几个小时之内造成了严重的经济损失。事实上," WannaCry”进行传播的Windows系统漏洞很早之前就已经公布了,但是大部分用户在这方面并没有防范意识,他们没有养成定期打补丁的习惯,也没有采取应有的安全防护手段,这表明了仅仅靠用户自己是不可靠的,拥有完善的安全防护系统对普通用户非常有必要。这次安全事件的发生给所有人警示,勒索病毒和蠕虫病毒相结合的方式给之后的防御带来了新的思考,即使是不同的系统漏洞也可以采用相同的方式进行传播和攻击,病毒的攻击和传播方式以及不同病毒之间的融合模式将带来更大的挑战。因此仅仅靠固有的被动防御是不能有效防护不断变化的病毒,用户需要的应该是主动防御,在未知的攻击到来之前就做好防御。
随着人们进入大数据时代,黑客、病毒以及木马等网络威胁大幅度增长,同时它们的攻击方式也变得多种多样。传统的防御技术在遭到攻击之后才寻求解决方案,早已不能有效面对当前的网络威胁。主动防御系统针对传统防御技术的不足之处,通过对网络的全面监控实现对计算机的实时保护以阻止计算机病毒的入侵、内部攻击以及误操作等危险行为,并且该系统可以和其他互联网安全防护产品相配合,对网络环境和用户主机提供主动性、实时性的全面防护。
主动防御作为一种阻止网络攻击的技术,“主动性”概念的提出成为人们关注的热点。主动防御技术是除了能够给用户提供一个安全的计算机使用环境,它还能够及时的检测到正在发生的攻击行为,并且能够预测和识别潜在的威胁,同时采取各种安全保障措施阻止攻击者破坏网络和用户主机或者窃取私密信息所使用的各种方法和技术。
主动防御技术会在用户的计算机上提前部署有效的防御措施,能够在用户计算机造成损失之前做出防护或者在没有人为辅助的情况下自动对侵入系统的可疑行为做出响应。主动防御的出现是解决网络安全问题的另一个思路,也是未来研究安全问题的热点。
发明内容
针对上述现有技术问题,本发明的目的在于提供一种针对恶意勒索样本的检测方法,解决现有技术依靠病毒库的更新进行系统的被动防御,病毒出现在前,防御手段在后,从而无法有效的遏制新病毒产生的危害,特别是针对“WannaCry”的勒索病毒,采用被动防御技术具有极高的危害性,根本没法针对网络环境和用户主机提供主动性、实时性的全面防护,造成了用户和企业严重的经济损失。
为了达到上述目的,本发明采用如下技术方案:
一种针对恶意勒索样本的检测方法,其特征在于,包括静态特征检测方法或主动防御检测方法:
静态特征检测方法:提取目标软件的二进制特征码判断目标软件是否有嵌入木马本体的嫌疑,即是否有恶意勒索样本,若判定有嵌入木马本体,则对其进行拦截,若判定为有嵌入木马本体的嫌疑,再作进一步判定,并对判定的嵌入木马本体进行拦截;
主动防御检测方法:在内核驱动层对目标软件进行挂钩,并对windows提供的加密函数挂钩,若发现目标软件通过windows提供的加密函数进行操作,并且伴随着大量的磁盘读写操作,则有嵌入木马本体并对其进行拦截。
进一步,静态特征检测方法包括如下方式:
通过对目标软件代码段大小来判断其是否有嵌入木马本体的嫌疑,若有嫌疑,再通过指令特征进行判定;
通过对目标软件的资源段大小来判断其是否有嵌入木马本体的嫌疑,若有嫌疑,再通过指令特征进行判定;
通过对目标软件的指令特征来判断是否有木马本体。
进一步,通过目标软件代码段大小来判断其是否有嵌入木马的嫌疑的具体方法为:
对目标软件进行PE格式解析,通过遍历区段头,搜索名字为.data的区段,然后在区段头找到该区段的大小,将其与给定的阈值比较,若超过则说明区段大小过大,有嵌入木马本体的嫌疑。
进一步,通过对目标软件的资源段大小来判断其是否有嵌入木马的嫌疑的具体方法为:
对目标软件进行PE格式解析,通过遍历区段头,搜索名字为.rsrc的区段,然后在区段头找到该区段的大小,将其与给定的阈值比较,若超过则说明区段大小过大,有嵌入木马本体的嫌疑。
进一步,通过对目标软件的指令特征来判断是否有木马本体的具体步骤为:
针对二进制目标软件进行扫描,若发现有call VirtualAlloc对应的字节码,则向前搜索直到找到分配的内存起始地址和大小,然后再向下搜索,若发现对该段内存进行call指令,则可判定该目标软件有嵌入木马本体。
进一步,主动防御检测方法包括如下方式:
在内核驱动层挂取目标软件扫描相关api,若执行的目标软件名不是正常合法目标软件,则进行拦截;
在内核驱动层挂取目标软件创建互斥体函数,若创建的互斥体名与当前主要勒索病毒创建的名称一致,则实施拦截;
在内核驱动层挂取目标软件注册表操作函数,针对非法目标软件写注册表关键部位操作进行拦截。
本发明同现有技术相比,其有益效果表现在:
一、本发明中,静态特征检测方法的提取紧密贴合当前主要勒索软件的无文件加载特征;当今的勒索软件大多为无落地文件或者加密的文件的形式,运行时将其读入内存后通过代码程序完成它的加载运行过程,而静态特征检测中的指令提取就是针对当今的这种文件加载方法提出的一种有效的静态检测方法,利用了将文件加载运行的代码的二进制特征;
二、本发明中,静态特征检测方法中利用的二进制特征(即对目标软件的资源段大小提取、对目标软件的资源段大小提取和指令提取)方便执行,代价低,便于扫描,扫描的指令较少,其中数据段和资源端大小的读取通过pe结构解析便可执行,执行速度快;
三、本发明采用复合特征码的方式,即对目标软件的资源段大小提取或对目标软件的资源段大小提取的方式判断其是否有嵌入木马本体的嫌疑,最终再通过指令提取进行判定,可以有效提高准确率;
四、本发明在主动防御检测方法中,针对主要勒索软件行为特征,制定了行之有效的策略,可以很好地检测出勒索的加密行为,实施拦截。
五、本发明中的静态特征检测方法和主动防御检测方法,能对网络环境和用户主机提供主动性、实时性的全面防护,可防止用户和企业严重的经济损失。
附图说明
图1是本发明中静态特征检测方法的示意图;
图2是本发明中主动防御检测方法的示意图。
具体实施方式
下面将结合附图及具体实施方式对本发明作进一步的描述。
实施例
针对目前主要勒索病毒特征提出一种新的特征提取策略和主动防御策略,其中特征提取策略基于病毒的执行流程和文件特征,主动防御则是基于勒索要采取的加密手段来进行防御。
一种针对恶意勒索样本的检测方法,包括静态特征检测方法或主动防御检测方法:
静态特征检测方法:提取目标软件的二进制特征码判断目标软件是否有嵌入木马本体的嫌疑,即是否有恶意勒索样本,若判定有嵌入木马本体,则对其进行拦截,若判定为有嵌入木马本体的嫌疑,再作进一步判定,并对判定的嵌入木马本体进行拦截;
具体包括如下方式:一、基于数据段大小特征提取,即对目标软件代码段大小提取:对目标软件进行PE格式解析,通过遍历区段头,搜索名字为.data的区段,然后在区段头找到该区段的大小,将其与给定的阈值比较,若超过则说明区段大小过大,有嵌入木马本体的嫌疑,若有嫌疑,再通过指令特征进行判定,若判定为木马本体,则进行进行拦截。
二、基于资源段大小特征提取,即对目标软件的资源段大小提取:通过目标软件进行PE格式解析,通过遍历区段头,搜索名字为.rsrc的区段,然后在区段头找到该区段的大小,将其与给定的阈值比较,若超过则说明区段大小过大,有嵌入木马本体的嫌疑,若有嫌疑,再通过指令特征进行判定,若判定为木马本体,则进行进行拦截。
三、基于指令特征提取:针对目标二进制文件进行扫描,若发现有callVirtualAlloc对应的字节码,则向前搜索直到找到分配的内存起始地址和大小,然后再向下搜索,若发现对该段内存进行call指令,则可判定该文件有木马,并对其进行拦截。
主动防御检测方法:在驱动层对目标软件进行挂钩,并对windows提供的加密函数挂钩,若发现目标软件通过windows提供的加密函数进行操作,并且伴随着大量的磁盘读写操作,则有嵌入木马本体并对其进行拦截。具体如下:当前的勒索软件大多会调用windows自带的加密api并伴随着大量的文件读取操作,扫描进程,关闭进程,驱动扫描,创建互斥体,设置注册表等操作,通过在内核驱动层对文件系统挂钩,系统调用挂钩,从而对这些操作进行监视,即在内核驱动层对目标软件进行挂钩,并对windows提供的加密函数挂钩,若发现目标软件通过windows提供的加密函数进行操作,并且伴随着大量的磁盘读写操作,则有嵌入木马本体并对其进行拦截。
具体操作有:
进程扫描挂钩:在内核驱动层挂取目标软件扫描相关api,若执行的目标软件名不是正常合法目标软件,则进行拦截;
创建互斥体挂钩:在内核驱动层挂取目标软件创建互斥体函数,若创建的互斥体名与当前主要勒索病毒创建的名称一致,则实施拦截;
注册表挂钩:在内核驱动层挂取目标软件注册表操作函数,针对非法目标软件写注册表关键部位操作进行拦截。
以上仅是本发明众多具体应用范围中的代表性实施例,对本发明的保护范围不构成任何限制。凡采用变换或是等效替换而形成的技术方案,均落在本发明权利保护范围之内。
Claims (6)
1.一种针对恶意勒索样本的检测方法,其特征在于,包括静态特征检测方法或主动防御检测方法:
静态特征检测方法:提取目标软件的二进制特征码判断目标软件是否有嵌入木马本体的嫌疑,即是否有恶意勒索样本,若判定有嵌入木马本体,则对其进行拦截,若判定为有嵌入木马本体的嫌疑,再作进一步判定,并对判定的嵌入木马本体进行拦截;
主动防御检测方法:在内核驱动层对目标软件进行挂钩,并对windows提供的加密函数挂钩,若发现目标软件通过windows提供的加密函数进行操作,并且伴随着大量的磁盘读写操作,则有嵌入木马本体并对其进行拦截。
2.根据权利要求1所述的一种针对恶意勒索样本的检测方法,其特征在于:静态特征检测方法包括如下方式:
通过对目标软件代码段大小来判断其是否有嵌入木马本体的嫌疑,若有嫌疑,再通过指令特征进行判定;
通过对目标软件的资源段大小来判断其是否有嵌入木马本体的嫌疑,若有嫌疑,再通过指令特征进行判定;
通过对目标软件的指令特征来判断是否有木马本体。
3.根据权利要求2所述的一种针对恶意勒索样本的检测方法,其特征在于:通过目标软件代码段大小来判断其是否有嵌入木马的嫌疑的具体方法为:
对目标软件进行PE格式解析,通过遍历区段头,搜索名字为.data的区段,然后在区段头找到该区段的大小,将其与给定的阈值比较,若超过则说明区段大小过大,有嵌入木马本体的嫌疑。
4.根据权利要求2所述的一种针对恶意勒索样本的检测方法,其特征在于:通过对目标软件的资源段大小来判断其是否有嵌入木马的嫌疑的具体方法为:
对目标软件进行PE格式解析,通过遍历区段头,搜索名字为.rsrc的区段,然后在区段头找到该区段的大小,将其与给定的阈值比较,若超过则说明区段大小过大,有嵌入木马本体的嫌疑。
5.根据权利要求2所述的一种针对恶意勒索样本的检测方法,其特征在于:通过对目标软件的指令特征来判断是否有木马本体的具体步骤为:
针对二进制目标软件进行扫描,若发现有call VirtualAlloc对应的字节码,则向前搜索直到找到分配的内存起始地址和大小,然后再向下搜索,若发现对该段内存进行call指令,则可判定该目标软件有嵌入木马本体。
6.根据权利要求1所述的一种针对恶意勒索样本的检测方法,其特征在于:主动防御检测方法包括如下方式:
在内核驱动层挂取目标软件扫描相关api,若执行的目标软件名不是正常合法目标软件,则进行拦截;
在内核驱动层挂取目标软件创建互斥体函数,若创建的互斥体名与当前主要勒索病毒创建的名称一致,则实施拦截;
在内核驱动层挂取目标软件注册表操作函数,针对非法目标软件写注册表关键部位操作进行拦截。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811362943.3A CN109460658B (zh) | 2018-11-16 | 2018-11-16 | 一种针对恶意勒索样本的检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811362943.3A CN109460658B (zh) | 2018-11-16 | 2018-11-16 | 一种针对恶意勒索样本的检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109460658A true CN109460658A (zh) | 2019-03-12 |
CN109460658B CN109460658B (zh) | 2022-03-25 |
Family
ID=65610618
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811362943.3A Active CN109460658B (zh) | 2018-11-16 | 2018-11-16 | 一种针对恶意勒索样本的检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109460658B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111563260A (zh) * | 2020-03-27 | 2020-08-21 | 中南大学 | 一种面向安卓应用程序的Web注入代码执行漏洞检测方法及系统 |
WO2023201583A1 (zh) * | 2022-04-20 | 2023-10-26 | 西门子股份公司 | 网络系统防护方法、装置、计算机设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101984450A (zh) * | 2010-12-15 | 2011-03-09 | 北京安天电子设备有限公司 | 恶意代码检测方法和系统 |
CN102542190A (zh) * | 2010-12-31 | 2012-07-04 | 北京奇虎科技有限公司 | 基于机器学习的程序识别方法及装置 |
CN102855440A (zh) * | 2012-09-13 | 2013-01-02 | 北京奇虎科技有限公司 | 一种检测加壳可执行文件的方法、装置和系统 |
CN104598820A (zh) * | 2015-01-14 | 2015-05-06 | 国家电网公司 | 一种基于特征行为分析的木马病检测方法 |
CN107423623A (zh) * | 2017-08-04 | 2017-12-01 | 郑州云海信息技术有限公司 | 一种基于行为分析的勒索病毒检测方法及系统 |
-
2018
- 2018-11-16 CN CN201811362943.3A patent/CN109460658B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101984450A (zh) * | 2010-12-15 | 2011-03-09 | 北京安天电子设备有限公司 | 恶意代码检测方法和系统 |
CN102542190A (zh) * | 2010-12-31 | 2012-07-04 | 北京奇虎科技有限公司 | 基于机器学习的程序识别方法及装置 |
CN102855440A (zh) * | 2012-09-13 | 2013-01-02 | 北京奇虎科技有限公司 | 一种检测加壳可执行文件的方法、装置和系统 |
CN104598820A (zh) * | 2015-01-14 | 2015-05-06 | 国家电网公司 | 一种基于特征行为分析的木马病检测方法 |
CN107423623A (zh) * | 2017-08-04 | 2017-12-01 | 郑州云海信息技术有限公司 | 一种基于行为分析的勒索病毒检测方法及系统 |
Non-Patent Citations (9)
Title |
---|
孙聪等: "《软件逆向工程原理与实践》", 28 February 2018 * |
张增波等: "基于行为的政府网站未知Webshel检测方法研究", 《警察技术. 2017,(02)》 * |
彭国军等: "《软件安全》", 30 September 2015 * |
徐江凌: "基于反跟踪和自修改代码技术的软件保护系统设计", 《中国优秀硕士学位论文全文数据库》 * |
李春晓: "基于行为分析的特种木马主动防御技术研究", 《中国优秀硕士学位论文全文数据库》 * |
李涛等: "《数据挖掘的应用与实践 大数据时代的案例分析》", 31 October 2013 * |
李阳: "基于PE文件的加壳检测与木马识别技术", 《中国优秀硕士学位论文全文数据库》 * |
王敏等: "《网络攻击与防御》", 31 January 2017 * |
韩兰胜: "《计算机病毒原理与防治技术》", 30 November 2010 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111563260A (zh) * | 2020-03-27 | 2020-08-21 | 中南大学 | 一种面向安卓应用程序的Web注入代码执行漏洞检测方法及系统 |
WO2023201583A1 (zh) * | 2022-04-20 | 2023-10-26 | 西门子股份公司 | 网络系统防护方法、装置、计算机设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN109460658B (zh) | 2022-03-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
McIntosh et al. | Ransomware mitigation in the modern era: A comprehensive review, research challenges, and future directions | |
Javaheri et al. | Detection and elimination of spyware and ransomware by intercepting kernel-level system routines | |
Alazab et al. | Cybercrime: the case of obfuscated malware | |
KR102307534B1 (ko) | 다수 소프트웨어 개체들에 걸쳐서 악성 행동을 트래킹하기 위한 시스템들 및 방법들 | |
US9100425B2 (en) | Method and apparatus for detecting malicious software using generic signatures | |
US20180248896A1 (en) | System and method to prevent, detect, thwart, and recover automatically from ransomware cyber attacks, using behavioral analysis and machine learning | |
JP5326062B1 (ja) | 非実行ファイル検査装置及び方法 | |
CN109684832A (zh) | 检测恶意文件的系统和方法 | |
Zakaria et al. | The rise of ransomware | |
Aldauiji et al. | Utilizing cyber threat hunting techniques to find ransomware attacks: A survey of the state of the art | |
Shan et al. | Growing grapes in your computer to defend against malware | |
CN110119619A (zh) | 创建防病毒记录的系统和方法 | |
Buch et al. | World of cyber security and cybercrime | |
Grooby et al. | Protecting IoT and ICS platforms against advanced persistent threat actors: analysis of APT1, silent chollima and molerats | |
CN109460658A (zh) | 一种针对恶意勒索样本的检测方法 | |
Shan et al. | Enforcing mandatory access control in commodity OS to disable malware | |
Pitropakis et al. | The greater the power, the more dangerous the abuse: facing malicious insiders in the cloud | |
Baldin | Best practices for fighting the fileless threat | |
Rao et al. | Machine learning proposed approach for detecting database intrusions in RBAC enabled databases | |
Smelcer | Rise of fileless malware | |
Georgina et al. | Deception based techniques against ransomwares: a systematic review | |
Yadav et al. | A complete study on malware types and detecting ransomware using API calls | |
Kono et al. | An unknown malware detection using execution registry access | |
TW202239178A (zh) | 偵測駭客攻擊的方法及電腦程式產品 | |
Bilar et al. | Using a novel behavioral stimuli-response framework to defend against adversarial cyberspace participants |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |