一種檢測(cè)惡意代碼家族變種及新家族的方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,尤其涉及一種檢測(cè)惡意代碼家族變種及新家族的方法及系統(tǒng)�。
【背景技術(shù)】
[0002]隨著惡意代碼的不斷進(jìn)化,一種新的惡意代碼出現(xiàn)后��,其本身會(huì)迅速發(fā)展�,而且操作系統(tǒng)或者軟件升級(jí)后,惡意代碼也會(huì)調(diào)整新的攻擊方式�,產(chǎn)生新的變種。近幾年來(lái)���,這些對(duì)用戶的信息安全造成巨大破壞的惡意代碼家族層出不窮���,經(jīng)統(tǒng)計(jì),截止2014年11月�,年度新增家族數(shù)量為1032,而新增的家族變種更是數(shù)量驚人?���,F(xiàn)有的惡意代碼檢測(cè)方法都為單一目標(biāo)樣本的檢測(cè)�,并沒(méi)有對(duì)家族樣本進(jìn)行分類�����,無(wú)法直觀的發(fā)現(xiàn)目前正在活躍的家族并根據(jù)其新的變種做好針對(duì)性的防御����,這不但不能很好的對(duì)惡意代碼的來(lái)源進(jìn)行追溯,也使得對(duì)惡意代碼的檢測(cè)和查殺的過(guò)程相對(duì)復(fù)雜����,無(wú)法有效的提高處理效率。
【發(fā)明內(nèi)容】
[0003]本發(fā)明針對(duì)現(xiàn)有對(duì)惡意代碼檢測(cè)形式上的不足�,提出了一種檢測(cè)惡意代碼家族變種及新家族的方法及系統(tǒng)�,首先通過(guò)現(xiàn)有的已知惡意代碼家族及其樣本作為訓(xùn)練數(shù)據(jù)�����,提取其中的API函數(shù)名和API函數(shù)傳入的參數(shù)����,在檢測(cè)過(guò)程中,首先將待檢測(cè)惡意代碼的API函數(shù)名與訓(xùn)練數(shù)據(jù)的函數(shù)名進(jìn)行對(duì)比,初步判斷其是否屬于已知惡意代碼家族�,然后將待檢測(cè)惡意代碼API函數(shù)傳入的參數(shù)與訓(xùn)練數(shù)據(jù)的API函數(shù)傳入的參數(shù)進(jìn)行對(duì)比,判斷其屬于現(xiàn)有家族的變種還是屬于新增家族的樣本�,最終返回檢測(cè)結(jié)果。
[0004]具體
【發(fā)明內(nèi)容】
包括:
一種檢測(cè)惡意代碼家族變種及新家族的方法�,其特征在于����,包括:
解析現(xiàn)有惡意代碼家族中的已知惡意代碼樣本,提取并存儲(chǔ)已知惡意代碼樣本所包含的API函數(shù)名及API函數(shù)傳入的參數(shù)���;
提取待檢測(cè)惡意代碼所包含的API函數(shù)名�,將其分別與各已知惡意代碼樣本的API函數(shù)名進(jìn)行對(duì)比��,若API函數(shù)名相同個(gè)數(shù)都不大于規(guī)定閾值�,則待檢測(cè)惡意代碼為新增惡意代碼家族的惡意代碼樣本;
若存在API函數(shù)名相同個(gè)數(shù)大于規(guī)定閾值����,則記錄對(duì)應(yīng)的已知惡意代碼樣本,并分別提取記錄的已知惡意代碼樣本與待檢測(cè)惡意代碼相同的API函數(shù)名���;
提取待檢測(cè)惡意代碼中所述相同API函數(shù)名對(duì)應(yīng)的API函數(shù)傳入的參數(shù)���,并將其分別與各記錄的已知惡意代碼樣本中API函數(shù)名對(duì)應(yīng)的API函數(shù)傳入的參數(shù)進(jìn)行對(duì)比�,若對(duì)比結(jié)果顯示傳入的參數(shù)完全相同�,則該結(jié)果對(duì)應(yīng)的已知惡意代碼樣本的權(quán)值加1 ;
若對(duì)比結(jié)果顯示傳入的參數(shù)不完全相同,則該結(jié)果對(duì)應(yīng)的已知惡意代碼樣本的權(quán)值減
1 ;
統(tǒng)計(jì)所有已知惡意代碼樣本的權(quán)值���,若權(quán)值均小于規(guī)定數(shù)值�����,則待檢測(cè)惡意代碼為新增惡意代碼家族的惡意代碼樣本����; 若存在權(quán)值不小于規(guī)定數(shù)值�,則記錄權(quán)值最大的已知惡意代碼樣本,且待檢測(cè)惡意代碼為該已知惡意代碼樣本對(duì)應(yīng)的惡意代碼家族的變種����。
[0005]進(jìn)一步地,所述提取已知惡意代碼樣本所包含的API函數(shù)名���,和提取待檢測(cè)惡意代碼所包含的API函數(shù)名�����,通過(guò)代碼靜態(tài)分析實(shí)現(xiàn)����,具體為:分析代碼的PE結(jié)構(gòu),得到可選映像頭中的數(shù)據(jù)目錄表����,并獲取其中的導(dǎo)入表地址,從導(dǎo)入表中得到導(dǎo)入的API函數(shù)的函數(shù)名��。
[0006]進(jìn)一步地����,所述提取已知惡意代碼樣本和待檢測(cè)惡意代碼API傳入的參數(shù)�,通過(guò)動(dòng)態(tài)分析實(shí)現(xiàn),具體為:通過(guò)API HOOK技術(shù)����,鉤掛API函數(shù),得到傳入API函數(shù)的參數(shù)����。
[0007]進(jìn)一步地,所述若存在API函數(shù)名相同個(gè)數(shù)大于規(guī)定閾值����,則首先取API函數(shù)名相同個(gè)數(shù)最多的已知惡意代碼樣本的MD5值或HASH值�����,與待檢測(cè)惡意代碼的MD5值或HASH值進(jìn)行比較����,若比較結(jié)果為相同�����,則待檢測(cè)惡意代碼與所述最大對(duì)比結(jié)果對(duì)應(yīng)的已知惡意代碼樣本相同�,此時(shí)對(duì)待檢測(cè)惡意代碼進(jìn)行過(guò)濾;
若比較結(jié)果為不相同��,則提取待檢測(cè)惡意代碼中所述相同API函數(shù)名對(duì)應(yīng)的API函數(shù)傳入的參數(shù)���,并將其對(duì)應(yīng)的與各記錄的已知惡意代碼樣本中API函數(shù)名對(duì)應(yīng)的API函數(shù)傳入的參數(shù)進(jìn)行對(duì)比�����。
[0008]一種檢測(cè)惡意代碼家族變種及新家族的系統(tǒng)���,其特征在于���,包括:
現(xiàn)有惡意代碼家族解析模塊,用于解析現(xiàn)有惡意代碼家族中的已知惡意代碼樣本�����,提取并存儲(chǔ)已知惡意代碼樣本所包含的API函數(shù)名及API函數(shù)傳入的參數(shù)��;
API函數(shù)名檢測(cè)模塊�����,用于提取待檢測(cè)惡意代碼所包含的API函數(shù)名���,將其分別與各已知惡意代碼樣本的API函數(shù)名進(jìn)行對(duì)比,若API函數(shù)名相同個(gè)數(shù)都不大于規(guī)定閾值����,則待檢測(cè)惡意代碼為新增惡意代碼家族的惡意代碼樣本,若存在API函數(shù)名相同個(gè)數(shù)大于規(guī)定閾值���,則通過(guò)API參數(shù)檢測(cè)模塊進(jìn)行進(jìn)一步檢測(cè)�;
API參數(shù)檢測(cè)模塊���,存在API函數(shù)名相同個(gè)數(shù)大于規(guī)定閾值時(shí)��,用于記錄對(duì)應(yīng)的已知惡意代碼樣本�����,并分別提取記錄的已知惡意代碼樣本與待檢測(cè)惡意代碼相同的API函數(shù)名����,提取待檢測(cè)惡意代碼中所述相同API函數(shù)名對(duì)應(yīng)的API函數(shù)傳入的參數(shù),并將其分別與各記錄的已知惡意代碼樣本中API函數(shù)名對(duì)應(yīng)的API函數(shù)傳入的參數(shù)進(jìn)行對(duì)比��,若對(duì)比結(jié)果顯示傳入的參數(shù)完全相同��,則該結(jié)果對(duì)應(yīng)的已知惡意代碼樣本的權(quán)值加1����,若對(duì)比結(jié)果顯示傳入的參數(shù)不完全相同,則該結(jié)果對(duì)應(yīng)的已知惡意代碼樣本的權(quán)值減1 ;
權(quán)值統(tǒng)計(jì)模塊�����,用于統(tǒng)計(jì)所有已知惡意代碼樣本的權(quán)值��,若權(quán)值均小于規(guī)定數(shù)值�,則待檢測(cè)惡意代碼為新增惡意代碼家族的惡意代碼樣本�,若存在權(quán)值不小于規(guī)定數(shù)值���,則記錄權(quán)值最大的已知惡意代碼樣本��,且待檢測(cè)惡意代碼為該已知惡意代碼樣本對(duì)應(yīng)的惡意代碼家族的變種�����。
[0009]進(jìn)一步地����,所述提取已知惡意代碼樣本所包含的API函數(shù)名��,和提取待檢測(cè)惡意代碼所包含的API函數(shù)名��,通過(guò)代碼靜態(tài)分析實(shí)現(xiàn)�����,具體為:分析代碼的PE結(jié)構(gòu)�����,得到可選映像頭中的數(shù)據(jù)目錄表�,并獲取其中的導(dǎo)入表地址,從導(dǎo)入表中得到導(dǎo)入的API函數(shù)的函數(shù)名���。
[0010]進(jìn)一步地�,所述提取已知惡意代碼樣本和待檢測(cè)惡意代碼API傳入的參數(shù)�����,通過(guò)動(dòng)態(tài)分析實(shí)現(xiàn)�,具體為:通過(guò)API HOOK技術(shù),鉤掛API函數(shù)���,得到傳入API函數(shù)的參數(shù)�����。
[0011]進(jìn)一步地����,所述若存在API函數(shù)名相同個(gè)數(shù)大于規(guī)定閾值���,則首先取API函數(shù)名相同個(gè)數(shù)最多的已知惡意代碼樣本的MD5值或HASH值��,與待檢測(cè)惡意代碼的MD5值或HASH值進(jìn)行比較�,若比較結(jié)果為相同,則待檢測(cè)惡意代碼與所述最大對(duì)比結(jié)果對(duì)應(yīng)的已知惡意代碼樣本相同��,此時(shí)對(duì)待檢測(cè)惡意代碼進(jìn)行過(guò)濾����;
若比較結(jié)果為不相同,則提取待檢測(cè)惡意代碼中所述相同API函數(shù)名對(duì)應(yīng)的API函數(shù)傳入的參數(shù)���,并將其對(duì)應(yīng)的與各記錄的已知惡意代碼樣本中API函數(shù)名對(duì)應(yīng)的API函數(shù)傳入的參數(shù)進(jìn)行對(duì)比���。
[0012]本發(fā)明的有益效果是:
現(xiàn)有的惡意代碼檢測(cè)方法都為單一目標(biāo)樣本的檢測(cè)�����,并沒(méi)有對(duì)家族樣本進(jìn)行分類�,無(wú)法直觀的發(fā)現(xiàn)目前正在活躍的家族并根據(jù)其新的變種做好針對(duì)性的防御,這不但不能很好的對(duì)惡意代碼的來(lái)源進(jìn)行追溯����,也使得對(duì)惡意代碼的檢測(cè)和查殺的過(guò)程相對(duì)復(fù)雜,無(wú)法有效的提高處理效率����。針對(duì)上述現(xiàn)有對(duì)惡意代碼檢測(cè)形式上的不足,本發(fā)明提出了一種檢測(cè)惡意代碼家族變種及新家族的方法及系統(tǒng)����,將現(xiàn)有惡意代碼家族及其已知的惡意代碼樣本作為訓(xùn)練數(shù)據(jù),解析待檢測(cè)惡意代碼的API函數(shù)名及其傳入的參數(shù)��,與訓(xùn)練數(shù)據(jù)的API函數(shù)名及其傳入的參數(shù)進(jìn)行對(duì)比����,能夠準(zhǔn)確的檢測(cè)出待檢測(cè)惡意代碼屬于現(xiàn)有家族中的變種還是屬于新增家族的樣本。通過(guò)本發(fā)明的方法�����,可以有效的將惡意代碼按照家族進(jìn)行劃分�����,并發(fā)現(xiàn)新的家族�����,有利于分析惡意代碼作者的意圖����,為后續(xù)對(duì)惡意代碼進(jìn)行針對(duì)性的防御提供便利�,從而有效提高惡意代碼檢測(cè)效率�,并且可以通過(guò)家族劃分來(lái)追溯惡意代碼來(lái)源。本發(fā)明首先通過(guò)API函數(shù)名的對(duì)比初步判斷待檢測(cè)惡意代碼是否屬于現(xiàn)有惡意代碼家族���,考慮到API函數(shù)名可以被修改����,為了更精確的判斷待檢測(cè)惡意代碼是否屬于現(xiàn)有惡意代碼家族�����,增加了 API函數(shù)傳入?yún)?shù)的對(duì)比�,使得檢測(cè)結(jié)果更精確可靠。
【附圖說(shuō)明】
[0013]為了更清楚地說(shuō)明本發(fā)明或現(xiàn)有技術(shù)中的技術(shù)方案�����,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹���,顯而易見(jiàn)地���,下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例�,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講�,在不付出創(chuàng)造性勞動(dòng)的前提下�,還可以根據(jù)這些附圖獲得其他的附圖。
[