一種基于字符串調(diào)整權(quán)值的惡意代碼檢測(cè)方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供了一種基于字符串調(diào)整權(quán)值的惡意代碼檢測(cè)方法及系統(tǒng),所述方法包括:建立字符串庫(kù),設(shè)定字符串權(quán)值;并利用字符串庫(kù)對(duì)可疑程序進(jìn)行匹配檢測(cè),如果可疑程序?yàn)閻阂?,則將可疑程序中的其他字符串添加到字符串庫(kù)中;根據(jù)預(yù)設(shè)時(shí)間間隔,將字符串庫(kù)中的字符串與黑、白名單匹配,如果所述字符串與白名單匹配,則將相應(yīng)字符串權(quán)值減1,如果所述字符串與黑名單匹配,則將相應(yīng)字符串權(quán)值加1。通過(guò)本發(fā)明的方法及系統(tǒng),能夠使字符串庫(kù)進(jìn)行自學(xué)習(xí),并且根據(jù)黑白名單匹配,隨時(shí)自動(dòng)調(diào)整字符串權(quán)值,從而提高可疑程序的檢測(cè)精度,降低誤報(bào)率。
【專利說(shuō)明】一種基于字符串調(diào)整權(quán)值的惡意代碼檢測(cè)方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及惡意代碼檢測(cè)技術(shù),特別涉及一種基于字符串調(diào)整權(quán)值的惡意代碼檢測(cè)方法。
【背景技術(shù)】
[0002]隨著近些年“震網(wǎng)蠕蟲”、“dequ” “紅色十月”等網(wǎng)絡(luò)安全事件的爆發(fā),高級(jí)可持續(xù)攻擊引起了世界范圍的關(guān)注。傳統(tǒng)惡意代碼檢測(cè)、識(shí)別手段通常是通過(guò)靜態(tài)特征碼掃描方式來(lái)識(shí)別病毒,該方法由于計(jì)算機(jī)病毒技術(shù)成熟,且惡意代碼片段普遍流傳及惡意代碼的可配置性較強(qiáng)、復(fù)制率高等特點(diǎn),讓傳統(tǒng)的惡意代碼識(shí)別技術(shù)檢測(cè)率相對(duì)較高。但由于高級(jí)可持續(xù)攻擊大多經(jīng)過(guò)組織周密編寫,且不采取互聯(lián)網(wǎng)普遍流傳的惡意代碼片段特征,因此導(dǎo)致其使用傳統(tǒng)靜態(tài)特征碼檢測(cè)方法難以識(shí)別。
【發(fā)明內(nèi)容】
[0003]本發(fā)明提供了一種基于字符串調(diào)整權(quán)值的惡意代碼檢測(cè)方法及系統(tǒng),通過(guò)本發(fā)明的方法,解決了靜態(tài)特征碼檢測(cè)方式字符串固定,無(wú)法應(yīng)對(duì)高級(jí)可持續(xù)攻擊的問(wèn)題,使字符串能夠根據(jù)黑白名單隨時(shí)調(diào)整,形成高準(zhǔn)確度的字符串庫(kù)。
[0004]一種基于字符串調(diào)整權(quán)值的惡意代碼檢測(cè)方法,包括:可疑程序檢測(cè)及字符串庫(kù)更新;
所述可疑程序檢測(cè)包括:
建立字符串庫(kù),并設(shè)定每個(gè)字符串的權(quán)值;所述字符串可以為惡意代碼路徑、訪問(wèn)網(wǎng)絡(luò)域名、網(wǎng)絡(luò)IP或互斥量等;
檢測(cè)可疑程序,將所述可疑程序與字符串庫(kù)中的字符串比對(duì),并累計(jì)字符串匹配數(shù)
量;
判斷字符串匹配數(shù)量是否超過(guò)預(yù)設(shè)值,如果是,則認(rèn)為所述可疑程序?yàn)閻阂?,向用戶?bào)警,并將所述可疑程序的其他字符串添加到字符串庫(kù)中,設(shè)定字符串權(quán)值;否則繼續(xù)等待檢測(cè)可疑程序;
字符串庫(kù)更新,主要是通過(guò)將字符串庫(kù)中的字符串,定期與白名單和黑名單中的字符串對(duì)比,調(diào)整每個(gè)字符串所對(duì)應(yīng)權(quán)值,來(lái)保證字符串庫(kù)的準(zhǔn)確度,提高檢測(cè)精度。所述字符串庫(kù)更新包括:
根據(jù)預(yù)設(shè)時(shí)間間隔,將已知白名單中的字符串與字符串庫(kù)中的字符串比對(duì),將字符串庫(kù)中與白名單相同字符串的權(quán)值減I ;
判斷所述字符串權(quán)值是否低于預(yù)設(shè)值,如果是,則認(rèn)為所述字符串可信,將所述字符串從字符串庫(kù)中清除,否則進(jìn)行黑名單比對(duì);
根據(jù)預(yù)設(shè)時(shí)間間隔,將已知黑名單中的字符串與字符串庫(kù)中的字符串比對(duì),將字符串庫(kù)中與黑名單相同字符串的權(quán)值加I ;
判斷黑名單中是否有新增字符串,如果是,則將所述字符串增加到字符串庫(kù)中,并設(shè)定字符串權(quán)值,否則繼續(xù)等待下一次比對(duì)。
[0005]所述的方法中,所述設(shè)定每個(gè)字符串的權(quán)值根據(jù)字符串的威脅程度任意設(shè)定。
[0006]所述的方法中,所述可疑程序的其他字符串為:可疑程序中除字符串庫(kù)中已知字符串外的字符串。
[0007]一種基于字符串調(diào)整權(quán)值的惡意代碼檢測(cè)系統(tǒng),包括:可疑程序檢測(cè)模塊及字符串庫(kù)更新模塊;
所述可疑程序檢測(cè)模塊包括:
字符串庫(kù)模塊,用于建立存儲(chǔ)字符串庫(kù),并設(shè)定每個(gè)字符串的權(quán)值;
檢測(cè)模塊,用于檢測(cè)可疑程序,將所述可疑程序與字符串庫(kù)中的字符串比對(duì),并累計(jì)字符串匹配數(shù)量;
判斷模塊,用于判斷字符串匹配數(shù)量是否超過(guò)預(yù)設(shè)值,如果是,則認(rèn)為所述可疑程序?yàn)閻阂?,向用戶?bào)警,并將所述可疑程序的其他字符串添加到字符串庫(kù)模塊的字符串庫(kù)中,設(shè)定字符串權(quán)值;否則繼續(xù)等待檢測(cè)可疑程序;
所述字符串庫(kù)更新模塊包括:
白名單模塊,用于根據(jù)預(yù)設(shè)時(shí)間間隔,將已知白名單中的字符串與字符串庫(kù)中的字符串比對(duì),將字符串庫(kù)中與白名單相同字符串的權(quán)值減I ;
判斷所述字符串權(quán)值是否低于預(yù)設(shè)值,如果是,則將所述字符串從字符串庫(kù)中清除,否則進(jìn)行黑名單比對(duì);
黑名單模塊,用于根據(jù)預(yù)設(shè)時(shí)間間隔,將已知黑名單中的字符串與字符串庫(kù)中的字符串比對(duì),將字符串庫(kù)中與黑名單相同字符串的權(quán)值加I ;
判斷黑名單中是否有新增字符串,如果是,則將所述字符串增加到字符串庫(kù)中,并設(shè)定字符串權(quán)值,否則繼續(xù)等待下一次比對(duì)。
[0008]所述的系統(tǒng)中,所述設(shè)定每個(gè)字符串的權(quán)值根據(jù)字符串的威脅程度任意設(shè)定。
[0009]所述的系統(tǒng)中,所述可疑程序的其他字符串為:可疑程序中除字符串庫(kù)中已知字符串外的字符串。
[0010]本發(fā)明的方法及系統(tǒng)優(yōu)勢(shì)在于,能夠在對(duì)可疑程序檢測(cè)過(guò)程中,自動(dòng)向字符串庫(kù)中添加字符串,并且通過(guò)設(shè)置權(quán)值,通過(guò)白名單及黑名單自動(dòng)調(diào)節(jié)權(quán)值,使惡意代碼誤報(bào)率降低。同時(shí)自動(dòng)添加字符串及自動(dòng)調(diào)節(jié)權(quán)值的方式,也解決了以往手動(dòng)更新的耗時(shí)耗力。
[0011]本發(fā)明提供了一種基于字符串調(diào)整權(quán)值的惡意代碼檢測(cè)方法及系統(tǒng),所述方法包括:建立字符串庫(kù),設(shè)定字符串權(quán)值;并利用字符串庫(kù)對(duì)可疑程序進(jìn)行匹配檢測(cè),如果可疑程序?yàn)閻阂?,則將可疑程序中的其他字符串添加到字符串庫(kù)中;根據(jù)預(yù)設(shè)時(shí)間間隔,將字符串庫(kù)中的字符串與黑、白名單匹配,如果所述字符串與白名單匹配,則將相應(yīng)字符串權(quán)值減1,如果所述字符串與黑名單匹配,則將相應(yīng)字符串權(quán)值加I。通過(guò)本發(fā)明的方法及系統(tǒng),能夠使字符串庫(kù)進(jìn)行自學(xué)習(xí),并且根據(jù)黑白名單匹配,隨時(shí)自動(dòng)調(diào)整字符串權(quán)值,,從而提高可疑程序的檢測(cè)精度,降低誤報(bào)率。
【專利附圖】
【附圖說(shuō)明】
[0012]為了更清楚地說(shuō)明本發(fā)明或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見(jiàn)地,下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
[0013]圖1為本發(fā)明可疑程序檢測(cè)流程圖;
圖2為本發(fā)明字符串庫(kù)更新流程圖;
圖3為本發(fā)明基于字符串調(diào)整權(quán)值的惡意代碼檢測(cè)系統(tǒng)結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0014]為了使本【技術(shù)領(lǐng)域】的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案,并使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂,下面結(jié)合附圖對(duì)本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說(shuō)明。
[0015]本發(fā)明提供了一種基于字符串調(diào)整權(quán)值的惡意代碼檢測(cè)方法及系統(tǒng),通過(guò)本發(fā)明的方法,解決了靜態(tài)特征碼檢測(cè)方式字符串固定,無(wú)法應(yīng)對(duì)高級(jí)可持續(xù)攻擊的問(wèn)題,使字符串能夠根據(jù)黑白名單隨時(shí)調(diào)整,形成高準(zhǔn)確度的字符串庫(kù)。
[0016]本發(fā)明提供了一種基于字符串調(diào)整權(quán)值的惡意代碼檢測(cè)方法,包括:可疑程序檢測(cè)及字符串庫(kù)更新;
所述可疑程序檢測(cè)過(guò)稱如圖1所示,包括:
5101:建立字符串庫(kù),并設(shè)定每個(gè)字符串的權(quán)值;所述字符串可以為惡意代碼路徑、訪問(wèn)網(wǎng)絡(luò)域名、網(wǎng)絡(luò)IP或互斥量等;
5102:檢測(cè)可疑程序,將所述可疑程序與字符串庫(kù)中的字符串比對(duì),并累計(jì)字符串匹配
數(shù)量;
5103:判斷字符串匹配數(shù)量是否超過(guò)預(yù)設(shè)值,如果是,則認(rèn)為所述可疑程序?yàn)閻阂猓蛴脩魣?bào)警,并將所述可疑程序的其他字符串添加到字符串庫(kù)中,設(shè)定字符串權(quán)值;否則返回S101,繼續(xù)等待檢測(cè)可疑程序;
字符串庫(kù)更新,主要是通過(guò)將字符串庫(kù)中的字符串,定期與白名單和黑名單中的字符串對(duì)比,調(diào)整每個(gè)字符串所對(duì)應(yīng)權(quán)值,來(lái)保證字符串庫(kù)的準(zhǔn)確度,提高檢測(cè)精度。所述字符串庫(kù)更新如圖2所示,包括:
5201:根據(jù)預(yù)設(shè)時(shí)間間隔,將已知白名單中的字符串與字符串庫(kù)中的字符串比對(duì),將字符串庫(kù)中與白名單相同字符串的權(quán)值減I ;
5202:判斷所述字符串權(quán)值是否低于預(yù)設(shè)值,如果是,則認(rèn)為所述字符串可信,執(zhí)行S203,否則執(zhí)行S204 ;
5203:將所述字符串從字符串庫(kù)中清除;
5204:根據(jù)預(yù)設(shè)時(shí)間間隔,將已知黑名單中的字符串與字符串庫(kù)中的字符串比對(duì),將字符串庫(kù)中與黑名單相同字符串的權(quán)值加I ;
5205:判斷黑名單中是否有新增字符串,如果是,則將所述字符串增加到字符串庫(kù)中,并設(shè)定字符串權(quán)值,否則繼續(xù)等待下一次比對(duì)。
[0017]在整個(gè)發(fā)明方法中,每一個(gè)過(guò)程都可以形成記錄,以便讓維護(hù)人員進(jìn)行查看與管理。
[0018]所述的方法中,所述設(shè)定每個(gè)字符串的權(quán)值根據(jù)字符串的威脅程度任意設(shè)定。
[0019]所述的方法中,所述可疑程序的其他字符串為:可疑程序中除字符串庫(kù)中已知字符串外的字符串。如字符串庫(kù)中有字符串A和字符串B,所述可疑程序中包括字符串A、字符串B及字符串C,經(jīng)過(guò)對(duì)比后確認(rèn)可疑程序?yàn)閻阂?,則將字符串C添加到字符串庫(kù)中。
[0020]本發(fā)明還提供一種基于字符串調(diào)整權(quán)值的惡意代碼檢測(cè)系統(tǒng),如圖3所示,包括:可疑程序檢測(cè)模塊301及字符串庫(kù)更新模塊302 ;
所述可疑程序檢測(cè)模塊301還包括:
字符串庫(kù)模塊301-1,用于建立存儲(chǔ)字符串庫(kù),并設(shè)定每個(gè)字符串的權(quán)值;
檢測(cè)模塊301-2,用于檢測(cè)可疑程序,將所述可疑程序與字符串庫(kù)中的字符串比對(duì),并累計(jì)字符串匹配數(shù)量;
判斷模塊301-3,用于判斷字符串匹配數(shù)量是否超過(guò)預(yù)設(shè)值,如果是,則認(rèn)為所述可疑程序?yàn)閻阂?,向用戶?bào)警,并將所述可疑程序的其他字符串添加到字符串庫(kù)模塊的字符串庫(kù)中,設(shè)定字符串權(quán)值;否則繼續(xù)等待檢測(cè)可疑程序;
所述字符串庫(kù)更新模塊302還包括:
白名單模塊302-1,用于根據(jù)預(yù)設(shè)時(shí)間間隔,將已知白名單中的字符串與字符串庫(kù)中的字符串比對(duì),將字符串庫(kù)中與白名單相同字符串的權(quán)值減I ;
判斷所述字符串權(quán)值是否低于預(yù)設(shè)值,如果是,則將所述字符串從字符串庫(kù)中清除,否則進(jìn)行黑名單比對(duì);
黑名單模塊302-2,用于根據(jù)預(yù)設(shè)時(shí)間間隔,將已知黑名單中的字符串與字符串庫(kù)中的字符串比對(duì),將字符串庫(kù)中與黑名單相同字符串的權(quán)值加I ;
判斷黑名單中是否有新增字符串,如果是,則將所述字符串增加到字符串庫(kù)中,并設(shè)定字符串權(quán)值,否則繼續(xù)等待下一次比對(duì)。
[0021]所述的系統(tǒng)中,所述設(shè)定每個(gè)字符串的權(quán)值根據(jù)字符串的威脅程度任意設(shè)定。
[0022]所述的系統(tǒng)中,所述可疑程序的其他字符串為:可疑程序中除字符串庫(kù)中已知字符串外的字符串。
[0023]本發(fā)明的方法及系統(tǒng)優(yōu)勢(shì)在于,能夠在對(duì)可疑程序檢測(cè)過(guò)程中,自動(dòng)向字符串庫(kù)中添加字符串,并且通過(guò)設(shè)置權(quán)值,通過(guò)白名單及黑名單自動(dòng)調(diào)節(jié)權(quán)值,保證了字符串入庫(kù)后,能夠及時(shí)得到調(diào)整,形成一批高風(fēng)險(xiǎn)的字符串庫(kù),使惡意代碼誤報(bào)率降低。同時(shí)自動(dòng)添加字符串及自動(dòng)調(diào)節(jié)權(quán)值的方式,也解決了以往手動(dòng)更新的耗時(shí)耗力。
[0024]本發(fā)明提供了一種基于字符串調(diào)整權(quán)值的惡意代碼檢測(cè)方法及系統(tǒng),所述方法包括:建立字符串庫(kù),設(shè)定字符串權(quán)值;并利用字符串庫(kù)對(duì)可疑程序進(jìn)行匹配檢測(cè),如果可疑程序?yàn)閻阂?,則將可疑程序中的其他字符串添加到字符串庫(kù)中;根據(jù)預(yù)設(shè)時(shí)間間隔,將字符串庫(kù)中的字符串與黑、白名單匹配,如果所述字符串與白名單匹配,則將相應(yīng)字符串權(quán)值減1,如果所述字符串與黑名單匹配,則將相應(yīng)字符串權(quán)值加I。通過(guò)本發(fā)明的方法及系統(tǒng),能夠使字符串庫(kù)進(jìn)行自學(xué)習(xí),并且根據(jù)黑白名單匹配,隨時(shí)自動(dòng)調(diào)整字符串權(quán)值,,從而提高可疑程序的檢測(cè)精度,降低誤報(bào)率。
[0025]本發(fā)明不局限于計(jì)算機(jī)操作系統(tǒng),還可以攬括所有涉及可以感染惡意代碼的操作系統(tǒng),但更加適合高級(jí)可持續(xù)攻擊威脅。
[0026]本說(shuō)明書中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述,各個(gè)實(shí)施例之間相同相似的部分互相參見(jiàn)即可,每個(gè)實(shí)施例重點(diǎn)說(shuō)明的都是與其他實(shí)施例的不同之處。尤其,對(duì)于系統(tǒng)實(shí)施例而言,由于其基本相似于方法實(shí)施例,所以描述的比較簡(jiǎn)單,相關(guān)之處參見(jiàn)方法實(shí)施例的部分說(shuō)明即可。
[0027]本發(fā)明可用于眾多通用或?qū)S玫挠?jì)算系統(tǒng)環(huán)境或配置中。例如:個(gè)人計(jì)算機(jī)、服務(wù)器計(jì)算機(jī)、手持設(shè)備或便攜式設(shè)備、平板型設(shè)備、多處理器系統(tǒng)、基于微處理器的系統(tǒng)、置頂盒、可編程的消費(fèi)電子設(shè)備、網(wǎng)絡(luò)PC、小型計(jì)算機(jī)、大型計(jì)算機(jī)、包括以上任何系統(tǒng)或設(shè)備的分布式計(jì)算環(huán)境等等。
[0028]雖然通過(guò)實(shí)施例描繪了本發(fā)明,本領(lǐng)域普通技術(shù)人員知道,本發(fā)明有許多變形和變化而不脫離本發(fā)明的精神,希望所附的權(quán)利要求包括這些變形和變化而不脫離本發(fā)明的精神。
【權(quán)利要求】
1.一種基于字符串調(diào)整權(quán)值的惡意代碼檢測(cè)方法,其特征在于,包括:可疑程序檢測(cè)及字符串庫(kù)更新; 所述可疑程序檢測(cè)包括: 建立字符串庫(kù),并設(shè)定每個(gè)字符串的權(quán)值; 檢測(cè)可疑程序,將所述可疑程序與字符串庫(kù)中的字符串比對(duì),并累計(jì)字符串匹配數(shù)量; 判斷字符串匹配數(shù)量是否超過(guò)預(yù)設(shè)值,如果是,則認(rèn)為所述可疑程序?yàn)閻阂?,向用戶?bào)警,并將所述可疑程序的其他字符串添加到字符串庫(kù)中,設(shè)定字符串權(quán)值;否則繼續(xù)等待檢測(cè)可疑程序; 所述字符串庫(kù)更新包括: 根據(jù)預(yù)設(shè)時(shí)間間隔,將已知白名單中的字符串與字符串庫(kù)中的字符串比對(duì),將字符串庫(kù)中與白名單相同字符串的權(quán)值減I ; 判斷所述字符串權(quán)值是否低于預(yù)設(shè)值,如果是,則將所述字符串從字符串庫(kù)中清除,否則進(jìn)行黑名單比對(duì); 根據(jù)預(yù)設(shè)時(shí)間間隔,將已知黑名單中的字符串與字符串庫(kù)中的字符串比對(duì),將字符串庫(kù)中與黑名單相同字符串的權(quán)值加I ; 判斷黑名單中是否有新增字符串,如果是,則將所述字符串增加到字符串庫(kù)中,并設(shè)定字符串權(quán)值,否則繼續(xù)等待下一次比對(duì)。
2.如權(quán)利要求1所述的方法,其特征在于,所述設(shè)定每個(gè)字符串的權(quán)值根據(jù)字符串的威脅程度任意設(shè)定。
3.如權(quán)利要求1所述的方法,其特征在于,所述可疑程序的其他字符串為:可疑程序中除字符串庫(kù)中已知字符串外的字符串。
4.一種基于字符串調(diào)整權(quán)值的惡意代碼檢測(cè)系統(tǒng),其特征在于,包括:可疑程序檢測(cè)模塊及字符串庫(kù)更新模塊; 所述可疑程序檢測(cè)模塊包括: 字符串庫(kù)模塊,用于建立存儲(chǔ)字符串庫(kù),并設(shè)定每個(gè)字符串的權(quán)值; 檢測(cè)模塊,用于檢測(cè)可疑程序,將所述可疑程序與字符串庫(kù)中的字符串比對(duì),并累計(jì)字符串匹配數(shù)量; 判斷模塊,用于判斷字符串匹配數(shù)量是否超過(guò)預(yù)設(shè)值,如果是,則認(rèn)為所述可疑程序?yàn)閻阂?,向用戶?bào)警,并將所述可疑程序的其他字符串添加到字符串庫(kù)模塊的字符串庫(kù)中,設(shè)定字符串權(quán)值;否則繼續(xù)等待檢測(cè)可疑程序; 所述字符串庫(kù)更新模塊包括: 白名單模塊,用于根據(jù)預(yù)設(shè)時(shí)間間隔,將已知白名單中的字符串與字符串庫(kù)中的字符串比對(duì),將字符串庫(kù)中與白名單相同字符串的權(quán)值減I ; 判斷所述字符串權(quán)值是否低于預(yù)設(shè)值,如果是,則將所述字符串從字符串庫(kù)中清除,否則進(jìn)行黑名單比對(duì); 黑名單模塊,用于根據(jù)預(yù)設(shè)時(shí)間間隔,將已知黑名單中的字符串與字符串庫(kù)中的字符串比對(duì),將字符串庫(kù)中與黑名單相同字符串的權(quán)值加I ; 判斷黑名單中是否有新增字符串,如果是,則將所述字符串增加到字符串庫(kù)中,并設(shè)定字符串權(quán)值,否則繼續(xù)等待下一次比對(duì)。
5.如權(quán)利要求4所述的系統(tǒng),其特征在于,所述設(shè)定每個(gè)字符串的權(quán)值根據(jù)字符串的威脅程度任意設(shè)定。
6.如權(quán)利要求4所述的系統(tǒng),其特征在于,所述可疑程序的其他字符串為:可疑程序中除字符串庫(kù)中已知 字符串外的字符串。
【文檔編號(hào)】G06F21/56GK103927481SQ201310690786
【公開日】2014年7月16日 申請(qǐng)日期:2013年12月17日 優(yōu)先權(quán)日:2013年12月17日
【發(fā)明者】張慧云, 李柏松 申請(qǐng)人:哈爾濱安天科技股份有限公司