一種基于字符串調(diào)整權(quán)值的惡意代碼檢測方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供了一種基于字符串調(diào)整權(quán)值的惡意代碼檢測方法及系統(tǒng)，所述方法包括：建立字符串庫，設定字符串權(quán)值；并利用字符串庫對可疑程序進行匹配檢測，如果可疑程序為惡意，則將可疑程序中的其他字符串添加到字符串庫中；根據(jù)預設時間間隔，將字符串庫中的字符串與黑、白名單匹配，如果所述字符串與白名單匹配，則將相應字符串權(quán)值減1，如果所述字符串與黑名單匹配，則將相應字符串權(quán)值加1。通過本發(fā)明的方法及系統(tǒng)，能夠使字符串庫進行自學習，并且根據(jù)黑白名單匹配，隨時自動調(diào)整字符串權(quán)值，從而提高可疑程序的檢測精度，降低誤報率。
【專利說明】一種基于字符串調(diào)整權(quán)值的惡意代碼檢測方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及惡意代碼檢測技術(shù)，特別涉及一種基于字符串調(diào)整權(quán)值的惡意代碼檢測方法。
【背景技術(shù)】
[0002]隨著近些年“震網(wǎng)蠕蟲”、“dequ” “紅色十月”等網(wǎng)絡安全事件的爆發(fā)，高級可持續(xù)攻擊引起了世界范圍的關(guān)注。傳統(tǒng)惡意代碼檢測、識別手段通常是通過靜態(tài)特征碼掃描方式來識別病毒，該方法由于計算機病毒技術(shù)成熟，且惡意代碼片段普遍流傳及惡意代碼的可配置性較強、復制率高等特點，讓傳統(tǒng)的惡意代碼識別技術(shù)檢測率相對較高。但由于高級可持續(xù)攻擊大多經(jīng)過組織周密編寫，且不采取互聯(lián)網(wǎng)普遍流傳的惡意代碼片段特征，因此導致其使用傳統(tǒng)靜態(tài)特征碼檢測方法難以識別。

【發(fā)明內(nèi)容】

[0003]本發(fā)明提供了一種基于字符串調(diào)整權(quán)值的惡意代碼檢測方法及系統(tǒng)，通過本發(fā)明的方法，解決了靜態(tài)特征碼檢測方式字符串固定，無法應對高級可持續(xù)攻擊的問題，使字符串能夠根據(jù)黑白名單隨時調(diào)整，形成高準確度的字符串庫。
[0004]一種基于字符串調(diào)整權(quán)值的惡意代碼檢測方法，包括:可疑程序檢測及字符串庫更新；
所述可疑程序檢測包括:
建立字符串庫，并設定每個字符串的權(quán)值；所述字符串可以為惡意代碼路徑、訪問網(wǎng)絡域名、網(wǎng)絡IP或互斥量等；
檢測可疑程序，將所述可疑程序與字符串庫中的字符串比對，并累計字符串匹配數(shù)
量;
判斷字符串匹配數(shù)量是否超過預設值，如果是，則認為所述可疑程序為惡意，向用戶報警，并將所述可疑程序的其他字符串添加到字符串庫中，設定字符串權(quán)值；否則繼續(xù)等待檢測可疑程序；
字符串庫更新，主要是通過將字符串庫中的字符串，定期與白名單和黑名單中的字符串對比，調(diào)整每個字符串所對應權(quán)值，來保證字符串庫的準確度，提高檢測精度。所述字符串庫更新包括:
根據(jù)預設時間間隔，將已知白名單中的字符串與字符串庫中的字符串比對，將字符串庫中與白名單相同字符串的權(quán)值減I ;
判斷所述字符串權(quán)值是否低于預設值，如果是，則認為所述字符串可信，將所述字符串從字符串庫中清除，否則進行黑名單比對；
根據(jù)預設時間間隔，將已知黑名單中的字符串與字符串庫中的字符串比對，將字符串庫中與黑名單相同字符串的權(quán)值加I ;
判斷黑名單中是否有新增字符串，如果是，則將所述字符串增加到字符串庫中，并設定字符串權(quán)值，否則繼續(xù)等待下一次比對。
[0005]所述的方法中，所述設定每個字符串的權(quán)值根據(jù)字符串的威脅程度任意設定。
[0006]所述的方法中，所述可疑程序的其他字符串為:可疑程序中除字符串庫中已知字符串外的字符串。
[0007]一種基于字符串調(diào)整權(quán)值的惡意代碼檢測系統(tǒng)，包括:可疑程序檢測模塊及字符串庫更新模塊；
所述可疑程序檢測模塊包括:
字符串庫模塊，用于建立存儲字符串庫，并設定每個字符串的權(quán)值；
檢測模塊，用于檢測可疑程序，將所述可疑程序與字符串庫中的字符串比對，并累計字符串匹配數(shù)量；
判斷模塊，用于判斷字符串匹配數(shù)量是否超過預設值，如果是，則認為所述可疑程序為惡意，向用戶報警，并將所述可疑程序的其他字符串添加到字符串庫模塊的字符串庫中，設定字符串權(quán)值；否則繼續(xù)等待檢測可疑程序；
所述字符串庫更新模塊包括:
白名單模塊，用于根據(jù)預設時間間隔，將已知白名單中的字符串與字符串庫中的字符串比對，將字符串庫中與白名單相同字符串的權(quán)值減I ;
判斷所述字符串權(quán)值是否低于預設值，如果是，則將所述字符串從字符串庫中清除，否則進行黑名單比對；
黑名單模塊，用于根據(jù)預設時間間隔，將已知黑名單中的字符串與字符串庫中的字符串比對，將字符串庫中與黑名單相同字符串的權(quán)值加I ;
判斷黑名單中是否有新增字符串，如果是，則將所述字符串增加到字符串庫中，并設定字符串權(quán)值，否則繼續(xù)等待下一次比對。
[0008]所述的系統(tǒng)中，所述設定每個字符串的權(quán)值根據(jù)字符串的威脅程度任意設定。
[0009]所述的系統(tǒng)中，所述可疑程序的其他字符串為:可疑程序中除字符串庫中已知字符串外的字符串。
[0010]本發(fā)明的方法及系統(tǒng)優(yōu)勢在于，能夠在對可疑程序檢測過程中，自動向字符串庫中添加字符串，并且通過設置權(quán)值，通過白名單及黑名單自動調(diào)節(jié)權(quán)值，使惡意代碼誤報率降低。同時自動添加字符串及自動調(diào)節(jié)權(quán)值的方式，也解決了以往手動更新的耗時耗力。
[0011]本發(fā)明提供了一種基于字符串調(diào)整權(quán)值的惡意代碼檢測方法及系統(tǒng)，所述方法包括:建立字符串庫，設定字符串權(quán)值；并利用字符串庫對可疑程序進行匹配檢測，如果可疑程序為惡意，則將可疑程序中的其他字符串添加到字符串庫中；根據(jù)預設時間間隔，將字符串庫中的字符串與黑、白名單匹配，如果所述字符串與白名單匹配，則將相應字符串權(quán)值減1，如果所述字符串與黑名單匹配，則將相應字符串權(quán)值加I。通過本發(fā)明的方法及系統(tǒng)，能夠使字符串庫進行自學習，并且根據(jù)黑白名單匹配，隨時自動調(diào)整字符串權(quán)值，，從而提高可疑程序的檢測精度，降低誤報率。
【專利附圖】

【附圖說明】
[0012]為了更清楚地說明本發(fā)明或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明中記載的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。
[0013]圖1為本發(fā)明可疑程序檢測流程圖；
圖2為本發(fā)明字符串庫更新流程圖；
圖3為本發(fā)明基于字符串調(diào)整權(quán)值的惡意代碼檢測系統(tǒng)結(jié)構(gòu)示意圖。
【具體實施方式】
[0014]為了使本【技術(shù)領(lǐng)域】的人員更好地理解本發(fā)明實施例中的技術(shù)方案，并使本發(fā)明的上述目的、特征和優(yōu)點能夠更加明顯易懂，下面結(jié)合附圖對本發(fā)明中技術(shù)方案作進一步詳細的說明。
[0015]本發(fā)明提供了一種基于字符串調(diào)整權(quán)值的惡意代碼檢測方法及系統(tǒng)，通過本發(fā)明的方法，解決了靜態(tài)特征碼檢測方式字符串固定，無法應對高級可持續(xù)攻擊的問題，使字符串能夠根據(jù)黑白名單隨時調(diào)整，形成高準確度的字符串庫。
[0016]本發(fā)明提供了一種基于字符串調(diào)整權(quán)值的惡意代碼檢測方法，包括:可疑程序檢測及字符串庫更新；
所述可疑程序檢測過稱如圖1所示，包括:
5101:建立字符串庫，并設定每個字符串的權(quán)值；所述字符串可以為惡意代碼路徑、訪問網(wǎng)絡域名、網(wǎng)絡IP或互斥量等；
5102:檢測可疑程序，將所述可疑程序與字符串庫中的字符串比對，并累計字符串匹配
數(shù)量；
5103:判斷字符串匹配數(shù)量是否超過預設值，如果是，則認為所述可疑程序為惡意，向用戶報警，并將所述可疑程序的其他字符串添加到字符串庫中，設定字符串權(quán)值；否則返回S101，繼續(xù)等待檢測可疑程序；
字符串庫更新，主要是通過將字符串庫中的字符串，定期與白名單和黑名單中的字符串對比，調(diào)整每個字符串所對應權(quán)值，來保證字符串庫的準確度，提高檢測精度。所述字符串庫更新如圖2所示,包括:
5201:根據(jù)預設時間間隔，將已知白名單中的字符串與字符串庫中的字符串比對，將字符串庫中與白名單相同字符串的權(quán)值減I ;
5202:判斷所述字符串權(quán)值是否低于預設值，如果是，則認為所述字符串可信，執(zhí)行S203，否則執(zhí)行S204 ；
5203:將所述字符串從字符串庫中清除；
5204:根據(jù)預設時間間隔，將已知黑名單中的字符串與字符串庫中的字符串比對，將字符串庫中與黑名單相同字符串的權(quán)值加I ;
5205:判斷黑名單中是否有新增字符串，如果是，則將所述字符串增加到字符串庫中，并設定字符串權(quán)值，否則繼續(xù)等待下一次比對。
[0017]在整個發(fā)明方法中，每一個過程都可以形成記錄，以便讓維護人員進行查看與管理。
[0018]所述的方法中，所述設定每個字符串的權(quán)值根據(jù)字符串的威脅程度任意設定。
[0019]所述的方法中，所述可疑程序的其他字符串為:可疑程序中除字符串庫中已知字符串外的字符串。如字符串庫中有字符串A和字符串B，所述可疑程序中包括字符串A、字符串B及字符串C，經(jīng)過對比后確認可疑程序為惡意，則將字符串C添加到字符串庫中。
[0020]本發(fā)明還提供一種基于字符串調(diào)整權(quán)值的惡意代碼檢測系統(tǒng)，如圖3所示，包括:可疑程序檢測模塊301及字符串庫更新模塊302 ；
所述可疑程序檢測模塊301還包括:
字符串庫模塊301-1，用于建立存儲字符串庫，并設定每個字符串的權(quán)值；
檢測模塊301-2，用于檢測可疑程序，將所述可疑程序與字符串庫中的字符串比對，并累計字符串匹配數(shù)量；
判斷模塊301-3，用于判斷字符串匹配數(shù)量是否超過預設值，如果是，則認為所述可疑程序為惡意，向用戶報警，并將所述可疑程序的其他字符串添加到字符串庫模塊的字符串庫中，設定字符串權(quán)值；否則繼續(xù)等待檢測可疑程序；
所述字符串庫更新模塊302還包括:
白名單模塊302-1，用于根據(jù)預設時間間隔，將已知白名單中的字符串與字符串庫中的字符串比對，將字符串庫中與白名單相同字符串的權(quán)值減I ;
判斷所述字符串權(quán)值是否低于預設值，如果是，則將所述字符串從字符串庫中清除，否則進行黑名單比對；
黑名單模塊302-2，用于根據(jù)預設時間間隔，將已知黑名單中的字符串與字符串庫中的字符串比對，將字符串庫中與黑名單相同字符串的權(quán)值加I ;
判斷黑名單中是否有新增字符串，如果是，則將所述字符串增加到字符串庫中，并設定字符串權(quán)值，否則繼續(xù)等待下一次比對。
[0021]所述的系統(tǒng)中，所述設定每個字符串的權(quán)值根據(jù)字符串的威脅程度任意設定。
[0022]所述的系統(tǒng)中，所述可疑程序的其他字符串為:可疑程序中除字符串庫中已知字符串外的字符串。
[0023]本發(fā)明的方法及系統(tǒng)優(yōu)勢在于，能夠在對可疑程序檢測過程中，自動向字符串庫中添加字符串，并且通過設置權(quán)值，通過白名單及黑名單自動調(diào)節(jié)權(quán)值，保證了字符串入庫后，能夠及時得到調(diào)整，形成一批高風險的字符串庫，使惡意代碼誤報率降低。同時自動添加字符串及自動調(diào)節(jié)權(quán)值的方式，也解決了以往手動更新的耗時耗力。
[0024]本發(fā)明提供了一種基于字符串調(diào)整權(quán)值的惡意代碼檢測方法及系統(tǒng)，所述方法包括:建立字符串庫，設定字符串權(quán)值；并利用字符串庫對可疑程序進行匹配檢測，如果可疑程序為惡意，則將可疑程序中的其他字符串添加到字符串庫中；根據(jù)預設時間間隔，將字符串庫中的字符串與黑、白名單匹配，如果所述字符串與白名單匹配，則將相應字符串權(quán)值減1，如果所述字符串與黑名單匹配，則將相應字符串權(quán)值加I。通過本發(fā)明的方法及系統(tǒng)，能夠使字符串庫進行自學習，并且根據(jù)黑白名單匹配，隨時自動調(diào)整字符串權(quán)值，，從而提高可疑程序的檢測精度，降低誤報率。
[0025]本發(fā)明不局限于計算機操作系統(tǒng)，還可以攬括所有涉及可以感染惡意代碼的操作系統(tǒng)，但更加適合高級可持續(xù)攻擊威脅。
[0026]本說明書中的各個實施例均采用遞進的方式描述，各個實施例之間相同相似的部分互相參見即可，每個實施例重點說明的都是與其他實施例的不同之處。尤其，對于系統(tǒng)實施例而言，由于其基本相似于方法實施例，所以描述的比較簡單，相關(guān)之處參見方法實施例的部分說明即可。
[0027]本發(fā)明可用于眾多通用或?qū)Ｓ玫挠嬎阆到y(tǒng)環(huán)境或配置中。例如:個人計算機、服務器計算機、手持設備或便攜式設備、平板型設備、多處理器系統(tǒng)、基于微處理器的系統(tǒng)、置頂盒、可編程的消費電子設備、網(wǎng)絡PC、小型計算機、大型計算機、包括以上任何系統(tǒng)或設備的分布式計算環(huán)境等等。
[0028]雖然通過實施例描繪了本發(fā)明，本領(lǐng)域普通技術(shù)人員知道，本發(fā)明有許多變形和變化而不脫離本發(fā)明的精神，希望所附的權(quán)利要求包括這些變形和變化而不脫離本發(fā)明的精神。
【權(quán)利要求】
1.一種基于字符串調(diào)整權(quán)值的惡意代碼檢測方法，其特征在于，包括:可疑程序檢測及字符串庫更新； 所述可疑程序檢測包括: 建立字符串庫，并設定每個字符串的權(quán)值； 檢測可疑程序，將所述可疑程序與字符串庫中的字符串比對，并累計字符串匹配數(shù)量; 判斷字符串匹配數(shù)量是否超過預設值，如果是，則認為所述可疑程序為惡意，向用戶報警，并將所述可疑程序的其他字符串添加到字符串庫中，設定字符串權(quán)值；否則繼續(xù)等待檢測可疑程序； 所述字符串庫更新包括: 根據(jù)預設時間間隔，將已知白名單中的字符串與字符串庫中的字符串比對，將字符串庫中與白名單相同字符串的權(quán)值減I ; 判斷所述字符串權(quán)值是否低于預設值，如果是，則將所述字符串從字符串庫中清除，否則進行黑名單比對； 根據(jù)預設時間間隔，將已知黑名單中的字符串與字符串庫中的字符串比對，將字符串庫中與黑名單相同字符串的權(quán)值加I ; 判斷黑名單中是否有新增字符串，如果是，則將所述字符串增加到字符串庫中，并設定字符串權(quán)值，否則繼續(xù)等待下一次比對。
2.如權(quán)利要求1所述的方法，其特征在于，所述設定每個字符串的權(quán)值根據(jù)字符串的威脅程度任意設定。
3.如權(quán)利要求1所述的方法，其特征在于，所述可疑程序的其他字符串為:可疑程序中除字符串庫中已知字符串外的字符串。
4.一種基于字符串調(diào)整權(quán)值的惡意代碼檢測系統(tǒng)，其特征在于，包括:可疑程序檢測模塊及字符串庫更新模塊； 所述可疑程序檢測模塊包括: 字符串庫模塊，用于建立存儲字符串庫，并設定每個字符串的權(quán)值； 檢測模塊，用于檢測可疑程序，將所述可疑程序與字符串庫中的字符串比對，并累計字符串匹配數(shù)量； 判斷模塊，用于判斷字符串匹配數(shù)量是否超過預設值，如果是，則認為所述可疑程序為惡意，向用戶報警，并將所述可疑程序的其他字符串添加到字符串庫模塊的字符串庫中，設定字符串權(quán)值；否則繼續(xù)等待檢測可疑程序； 所述字符串庫更新模塊包括: 白名單模塊，用于根據(jù)預設時間間隔，將已知白名單中的字符串與字符串庫中的字符串比對，將字符串庫中與白名單相同字符串的權(quán)值減I ; 判斷所述字符串權(quán)值是否低于預設值，如果是，則將所述字符串從字符串庫中清除，否則進行黑名單比對； 黑名單模塊，用于根據(jù)預設時間間隔，將已知黑名單中的字符串與字符串庫中的字符串比對，將字符串庫中與黑名單相同字符串的權(quán)值加I ; 判斷黑名單中是否有新增字符串，如果是，則將所述字符串增加到字符串庫中，并設定字符串權(quán)值，否則繼續(xù)等待下一次比對。
5.如權(quán)利要求4所述的系統(tǒng)，其特征在于，所述設定每個字符串的權(quán)值根據(jù)字符串的威脅程度任意設定。
6.如權(quán)利要求4所述的系統(tǒng)，其特征在于，所述可疑程序的其他字符串為:可疑程序中除字符串庫中已知 字符串外的字符串。
【文檔編號】G06F21/56GK103927481SQ201310690786
【公開日】2014年7月16日 申請日期:2013年12月17日 優(yōu)先權(quán)日:2013年12月17日
【發(fā)明者】張慧云, 李柏松 申請人:哈爾濱安天科技股份有限公司