一種檢測惡意代碼家族變種及新家族的方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域�����,尤其涉及一種檢測惡意代碼家族變種及新家族的方法及系統(tǒng)����。
【背景技術(shù)】
[0002]隨著惡意代碼的不斷進(jìn)化�,一種新的惡意代碼出現(xiàn)后,其本身會迅速發(fā)展���,而且操作系統(tǒng)或者軟件升級后���,惡意代碼也會調(diào)整新的攻擊方式,產(chǎn)生新的變種���。近幾年來�,這些對用戶的信息安全造成巨大破壞的惡意代碼家族層出不窮,經(jīng)統(tǒng)計���,截止2014年11月��,年度新增家族數(shù)量為1032�,而新增的家族變種更是數(shù)量驚人?���,F(xiàn)有的惡意代碼檢測方法都為單一目標(biāo)樣本的檢測,并沒有對家族樣本進(jìn)行分類�,無法直觀的發(fā)現(xiàn)目前正在活躍的家族并根據(jù)其新的變種做好針對性的防御,這不但不能很好的對惡意代碼的來源進(jìn)行追溯�,也使得對惡意代碼的檢測和查殺的過程相對復(fù)雜,無法有效的提高處理效率�����。
【發(fā)明內(nèi)容】
[0003]本發(fā)明針對現(xiàn)有對惡意代碼檢測形式上的不足�,提出了一種檢測惡意代碼家族變種及新家族的方法及系統(tǒng),首先通過現(xiàn)有的已知惡意代碼家族及其樣本作為訓(xùn)練數(shù)據(jù)���,提取其中的API函數(shù)名和API函數(shù)傳入的參數(shù)���,在檢測過程中����,首先將待檢測惡意代碼的API函數(shù)名與訓(xùn)練數(shù)據(jù)的函數(shù)名進(jìn)行對比���,初步判斷其是否屬于已知惡意代碼家族�����,然后將待檢測惡意代碼API函數(shù)傳入的參數(shù)與訓(xùn)練數(shù)據(jù)的API函數(shù)傳入的參數(shù)進(jìn)行對比����,判斷其屬于現(xiàn)有家族的變種還是屬于新增家族的樣本���,最終返回檢測結(jié)果��。
[0004]具體
【發(fā)明內(nèi)容】
包括:
一種檢測惡意代碼家族變種及新家族的方法�����,其特征在于��,包括:
解析現(xiàn)有惡意代碼家族中的已知惡意代碼樣本�,提取并存儲已知惡意代碼樣本所包含的API函數(shù)名及API函數(shù)傳入的參數(shù);
提取待檢測惡意代碼所包含的API函數(shù)名���,將其分別與各已知惡意代碼樣本的API函數(shù)名進(jìn)行對比,若API函數(shù)名相同個數(shù)都不大于規(guī)定閾值��,則待檢測惡意代碼為新增惡意代碼家族的惡意代碼樣本�;
若存在API函數(shù)名相同個數(shù)大于規(guī)定閾值,則記錄對應(yīng)的已知惡意代碼樣本��,并分別提取記錄的已知惡意代碼樣本與待檢測惡意代碼相同的API函數(shù)名��;
提取待檢測惡意代碼中所述相同API函數(shù)名對應(yīng)的API函數(shù)傳入的參數(shù)���,并將其分別與各記錄的已知惡意代碼樣本中API函數(shù)名對應(yīng)的API函數(shù)傳入的參數(shù)進(jìn)行對比�����,若對比結(jié)果顯示傳入的參數(shù)完全相同����,則該結(jié)果對應(yīng)的已知惡意代碼樣本的權(quán)值加1 ;
若對比結(jié)果顯示傳入的參數(shù)不完全相同�,則該結(jié)果對應(yīng)的已知惡意代碼樣本的權(quán)值減
1 ;
統(tǒng)計所有已知惡意代碼樣本的權(quán)值,若權(quán)值均小于規(guī)定數(shù)值����,則待檢測惡意代碼為新增惡意代碼家族的惡意代碼樣本��; 若存在權(quán)值不小于規(guī)定數(shù)值����,則記錄權(quán)值最大的已知惡意代碼樣本�����,且待檢測惡意代碼為該已知惡意代碼樣本對應(yīng)的惡意代碼家族的變種���。
[0005]進(jìn)一步地�,所述提取已知惡意代碼樣本所包含的API函數(shù)名�����,和提取待檢測惡意代碼所包含的API函數(shù)名�,通過代碼靜態(tài)分析實現(xiàn),具體為:分析代碼的PE結(jié)構(gòu)�,得到可選映像頭中的數(shù)據(jù)目錄表,并獲取其中的導(dǎo)入表地址�,從導(dǎo)入表中得到導(dǎo)入的API函數(shù)的函數(shù)名。
[0006]進(jìn)一步地�����,所述提取已知惡意代碼樣本和待檢測惡意代碼API傳入的參數(shù),通過動態(tài)分析實現(xiàn)��,具體為:通過API HOOK技術(shù)�����,鉤掛API函數(shù)���,得到傳入API函數(shù)的參數(shù)。
[0007]進(jìn)一步地��,所述若存在API函數(shù)名相同個數(shù)大于規(guī)定閾值����,則首先取API函數(shù)名相同個數(shù)最多的已知惡意代碼樣本的MD5值或HASH值,與待檢測惡意代碼的MD5值或HASH值進(jìn)行比較���,若比較結(jié)果為相同����,則待檢測惡意代碼與所述最大對比結(jié)果對應(yīng)的已知惡意代碼樣本相同�,此時對待檢測惡意代碼進(jìn)行過濾��;
若比較結(jié)果為不相同����,則提取待檢測惡意代碼中所述相同API函數(shù)名對應(yīng)的API函數(shù)傳入的參數(shù)����,并將其對應(yīng)的與各記錄的已知惡意代碼樣本中API函數(shù)名對應(yīng)的API函數(shù)傳入的參數(shù)進(jìn)行對比。
[0008]一種檢測惡意代碼家族變種及新家族的系統(tǒng)�����,其特征在于���,包括:
現(xiàn)有惡意代碼家族解析模塊����,用于解析現(xiàn)有惡意代碼家族中的已知惡意代碼樣本���,提取并存儲已知惡意代碼樣本所包含的API函數(shù)名及API函數(shù)傳入的參數(shù)�;
API函數(shù)名檢測模塊�,用于提取待檢測惡意代碼所包含的API函數(shù)名,將其分別與各已知惡意代碼樣本的API函數(shù)名進(jìn)行對比,若API函數(shù)名相同個數(shù)都不大于規(guī)定閾值�,則待檢測惡意代碼為新增惡意代碼家族的惡意代碼樣本,若存在API函數(shù)名相同個數(shù)大于規(guī)定閾值��,則通過API參數(shù)檢測模塊進(jìn)行進(jìn)一步檢測��;
API參數(shù)檢測模塊���,存在API函數(shù)名相同個數(shù)大于規(guī)定閾值時���,用于記錄對應(yīng)的已知惡意代碼樣本��,并分別提取記錄的已知惡意代碼樣本與待檢測惡意代碼相同的API函數(shù)名����,提取待檢測惡意代碼中所述相同API函數(shù)名對應(yīng)的API函數(shù)傳入的參數(shù),并將其分別與各記錄的已知惡意代碼樣本中API函數(shù)名對應(yīng)的API函數(shù)傳入的參數(shù)進(jìn)行對比���,若對比結(jié)果顯示傳入的參數(shù)完全相同�,則該結(jié)果對應(yīng)的已知惡意代碼樣本的權(quán)值加1���,若對比結(jié)果顯示傳入的參數(shù)不完全相同���,則該結(jié)果對應(yīng)的已知惡意代碼樣本的權(quán)值減1 ;
權(quán)值統(tǒng)計模塊����,用于統(tǒng)計所有已知惡意代碼樣本的權(quán)值�����,若權(quán)值均小于規(guī)定數(shù)值�����,則待檢測惡意代碼為新增惡意代碼家族的惡意代碼樣本���,若存在權(quán)值不小于規(guī)定數(shù)值���,則記錄權(quán)值最大的已知惡意代碼樣本,且待檢測惡意代碼為該已知惡意代碼樣本對應(yīng)的惡意代碼家族的變種���。
[0009]進(jìn)一步地����,所述提取已知惡意代碼樣本所包含的API函數(shù)名�����,和提取待檢測惡意代碼所包含的API函數(shù)名,通過代碼靜態(tài)分析實現(xiàn)��,具體為:分析代碼的PE結(jié)構(gòu)�����,得到可選映像頭中的數(shù)據(jù)目錄表����,并獲取其中的導(dǎo)入表地址,從導(dǎo)入表中得到導(dǎo)入的API函數(shù)的函數(shù)名�����。
[0010]進(jìn)一步地�,所述提取已知惡意代碼樣本和待檢測惡意代碼API傳入的參數(shù)����,通過動態(tài)分析實現(xiàn),具體為:通過API HOOK技術(shù)��,鉤掛API函數(shù)�,得到傳入API函數(shù)的參數(shù)。
[0011]進(jìn)一步地,所述若存在API函數(shù)名相同個數(shù)大于規(guī)定閾值����,則首先取API函數(shù)名相同個數(shù)最多的已知惡意代碼樣本的MD5值或HASH值,與待檢測惡意代碼的MD5值或HASH值進(jìn)行比較����,若比較結(jié)果為相同,則待檢測惡意代碼與所述最大對比結(jié)果對應(yīng)的已知惡意代碼樣本相同��,此時對待檢測惡意代碼進(jìn)行過濾��;
若比較結(jié)果為不相同�,則提取待檢測惡意代碼中所述相同API函數(shù)名對應(yīng)的API函數(shù)傳入的參數(shù),并將其對應(yīng)的與各記錄的已知惡意代碼樣本中API函數(shù)名對應(yīng)的API函數(shù)傳入的參數(shù)進(jìn)行對比��。
[0012]本發(fā)明的有益效果是:
現(xiàn)有的惡意代碼檢測方法都為單一目標(biāo)樣本的檢測���,并沒有對家族樣本進(jìn)行分類����,無法直觀的發(fā)現(xiàn)目前正在活躍的家族并根據(jù)其新的變種做好針對性的防御���,這不但不能很好的對惡意代碼的來源進(jìn)行追溯�����,也使得對惡意代碼的檢測和查殺的過程相對復(fù)雜���,無法有效的提高處理效率��。針對上述現(xiàn)有對惡意代碼檢測形式上的不足����,本發(fā)明提出了一種檢測惡意代碼家族變種及新家族的方法及系統(tǒng)�����,將現(xiàn)有惡意代碼家族及其已知的惡意代碼樣本作為訓(xùn)練數(shù)據(jù)���,解析待檢測惡意代碼的API函數(shù)名及其傳入的參數(shù)���,與訓(xùn)練數(shù)據(jù)的API函數(shù)名及其傳入的參數(shù)進(jìn)行對比���,能夠準(zhǔn)確的檢測出待檢測惡意代碼屬于現(xiàn)有家族中的變種還是屬于新增家族的樣本�����。通過本發(fā)明的方法���,可以有效的將惡意代碼按照家族進(jìn)行劃分��,并發(fā)現(xiàn)新的家族���,有利于分析惡意代碼作者的意圖,為后續(xù)對惡意代碼進(jìn)行針對性的防御提供便利��,從而有效提高惡意代碼檢測效率����,并且可以通過家族劃分來追溯惡意代碼來源。本發(fā)明首先通過API函數(shù)名的對比初步判斷待檢測惡意代碼是否屬于現(xiàn)有惡意代碼家族��,考慮到API函數(shù)名可以被修改�,為了更精確的判斷待檢測惡意代碼是否屬于現(xiàn)有惡意代碼家族,增加了 API函數(shù)傳入?yún)?shù)的對比���,使得檢測結(jié)果更精確可靠�����。
【附圖說明】
[0013]為了更清楚地說明本發(fā)明或現(xiàn)有技術(shù)中的技術(shù)方案����,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地����,下面描述中的附圖僅僅是本發(fā)明中記載的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講�����,在不付出創(chuàng)造性勞動的前提下�����,還可以根據(jù)這些附圖獲得其他的附圖�。
[