一种木马随机化行为的识别方法及系统技术方案

本发明专利技术公开了一种木马随机化行为的识别方法，包括：运行样本文件，记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息，产生行为信息1；二次运行样本文件，记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息，产生行为信息2；对比两次运行记录的行为信息，基于不一致的判断结果，确定行为信息2对应行为为随机行为。本发明专利技术所述技术方案克服了传统对于木马随机化行为识别，主要依靠人工逆向分析发现，这种方式产出效率低，发现不及时，无法处理大量的样本文件的问题。通过自动化方式可以批量地、及时地发现木马随机化行为。

Method and system for identifying random behavior of Trojan horse

Including the identification method, the invention discloses a Trojan behavior: run randomization sample files, record the operation after generating the file including file name, file hash, file registry information, generate behavior information 1; two run the sample files into the file, record the operation after the file name, including the contents of the file, hash file registry information, behavioral information 2; comparing the two operation record of information, based on the judgment of inconsistent results, determine the behavior information corresponding to 2 random behavior behavior. The technical scheme of the invention overcomes the traditional Trojan horse for random behavior recognition, mainly rely on artificial reverse analysis, the output efficiency is low, that is not timely, unable to deal with the problems of the large number of sample documents. The Trojan horse randomization can be found in batches and in a timely manner by means of automation.

【技术实现步骤摘要】
一种木马随机化行为的识别方法及系统
本专利技术涉及计算机安全
，更具体地涉及一种木马随机化行为的识别方法及系统。
技术介绍
木马指通过特定程序恶意控制另一台计算机。木马通常有两个可执行程序，一是控制端，另一个是被控制端。木马不经计算机用户允许就可获得计算机的控制权。具有较高的隐蔽性，长期获得的计算机控制权及用户敏感信息。恶意代码分析师通过研究木马的行为，得到检测木马的特征，比如木马驻留的文件路径、木马使用的启动项，木马文件名等。杀毒软件可以利用这些特征检测系统是否存在木马程序。因此，木马程序为了增强其隐蔽性，提高被检测难度，将一些可做特征且修改不会影响运行的内容，比如，文件名、服务名、自启动键值等，利用随机算法在运行时生成。这些随机化行为，将会影响恶意代码分析师特征提取的准确性，在自动化提取特征时也成为干扰。现今，对于木马随机化行为识别，主要依靠人工逆向分析发现，这种方式产出效率低，发现不及时，无法处理大量的样本文件。
技术实现思路
为了解决直接连接网络或通过虚拟网络通讯方式的恶意代码流量特征采集方法产生的威胁和低效率的技术问题，提供了根据本专利技术的基于模拟网络环境的恶意代码流量特征采集系统及方法。根据本专利技术的第一方面，提供了一种木马随机化行为的识别方法。该方法包括：运行样本文件，记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息，产生行为信息1；二次运行样本文件，记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息，产生行为信息2；对比两次运行记录的行为信息，基于不一致的判断结果，确定行为信息2对应行为为随机行为。在一些实施例中，所述对比两次运行记录的行为信息，基于不一致的判断结果，确定行为信息2对应行为为随机行为，包括：对比两次记录的行为信息，如果所述文件内容hash一致，所述文件名称不同，则确定行为信息2对应行为为随机行为。在一些实施例中，所述对比两次运行记录的行为信息，基于不一致的判断结果，确定行为信息2对应行为为随机行为，包括：对比两次记录的行为信息，如果文件名称或注册表信息中的名称开始部分有设定长度的相同，则确定行为信息2对应行为为部分随机行为。在一些实施例中，所述注册表信息包括键值路径、键值名称、键值数据。在一些实施例中，所述对比两次运行记录的行为信息，基于不一致的判断结果，确定行为信息2对应行为为随机行为，包括：对比两次记录的行为信息，如果所述注册表信息的键值路径和键值数据一致，所述键值名称不同，则确定行为信息2对应行为为随机行为。根据本专利技术的第二方面，提供一种木马随机化行为的识别系统，包括：第一运行模块，用于运行样本文件，记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息，产生行为信息1；第二运行模块，用于二次运行样本文件，记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息，产生行为信息2；判断模块，用于对比两次运行记录的行为信息，基于不一致的判断结果，确定行为信息2对应行为为随机行为。在一些实施例中，所述判断模块，用于对比两次记录的行为信息，如果所述文件内容hash一致，所述文件名称不同，则确定行为信息2对应行为为随机行为。在一些实施例中，所述判断模块，用于对比两次记录的行为信息，如果文件名称或注册表信息中的名称开始部分有设定长度的相同，则确定行为信息2对应行为为部分随机行为。在一些实施例中，所述注册表信息包括键值路径、键值名称、键值数据。在一些实施例中，所述判断模块，用于对比两次记录的行为信息，如果所述注册表信息的键值路径和键值数据一致，所述键值名称不同，则确定行为信息2对应行为为随机行为。通过使用本专利技术的系统和方法，在相同系统环境下，两次运行样本文件，记录样本文件运行后生成文件的名称、文件内容hash、注册表键值（注册表键值信息包括键值路径、键值名称、键值数据）等行为信息，将两份行为信息进行对比判断，识别出木马随机化行为，既可以规避随机命名进入特征，同时关键信息随机化作为一种具有威胁的行为也可以作为识别木马的一种行为。对需要人工才能够发现的木马随机化行为实现了自动化识别，可以批量地、及时地发现木马随机化行为。附图说明为了更清楚地说明本专利技术的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为根据本专利技术实施例的一种木马随机化行为的识别方法的流程图；图2为根据本专利技术实施例的一种木马随机化行为的识别系统的框图。具体实施方式下面参照附图对本专利技术的优选实施例进行详细说明，在描述过程中省略了对于本专利技术来说是不必要的细节和功能，以防止对本专利技术的理解造成混淆。虽然附图中显示了示例性实施例，然而应当理解，可以以各种形式实现本专利技术而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本专利技术的范围完整的传达给本领域的技术人员。本专利技术基于比较法，实现木马随机化行为识别。由于恶意代码在执行过程中，可以使用一些随机数算法，随机生成文件名或服务名等。每次恶意代码运行，产生的文件名或服务名都不一样。因此，需要运行系统进程监视，对系统中的任何文件操作过程及注册表的读写操作过程进行监视，并产生监视日志，同时还需要计算hash的工具，对产生的新文件进行hash值的计算。图1示出了根据本专利技术实施例的一种木马随机化行为的识别方法的流程图。如图1所示，方法包括如下步骤：S110，第一次运行样本文件，记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息，产生行为信息1。其中，第一次运行样本文件，通过系统进程监视软件产生的动态行为日志，记录运行样本后生成文件的名称、文件内容hash、注册表信息等行为信息1。然后，恢复系统初始状态，重新运行系统进程监视软件。由于恶意代码在执行过程中，可以使用一些随机数算法，随机生成文件名或服务名等。每次恶意代码运行，产生的文件名或服务名都不一样。S120，第二次运行样本文件，记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息，产生行为信息2。其中，第二次运行样本文件，通过系统进程监视软件产生的动态行为日志，记录运行样本后生成文件的名称、文件内容hash、注册表信息等行为信息2。注册表信息包括键值路径、键值名称、键值数据等项。其中，部分注册表信息表示系统服务的相关信息，包括服务名，服务启动方式等，部分注册表信息还表示自启动项的相关信息。S130，对比两次运行记录的行为信息。其中，可以通过记录样本两次执行产生的行为信息，比较记录的信息，基于不一致的判断结果，确定行为信息2对应行为为随机行为，以发现木马随机化行为。S140，如果两次运行记录中文件内容hash一致，文件名称不同，则确定行为信息2对应行为为随机行为。在一些实施例中，还包括：S150，如果两次运行记录中文件名称或注册表信息中的名称开始部分有设定长度的相同，则确定行为信息2对应行为为部分随机行为。具体的，对比两次的文件名或注册表变化项目的比例，如果发现开始长度3之间部分相同，则发现部分随机化行为。比如第一次生成的文件名为hra33.dll，第二次本文档来自技高网...

【技术保护点】
一种木马随机化行为的识别方法，其特征在于，包括：运行样本文件，记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息，产生行为信息1；二次运行样本文件，记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息，产生行为信息2；对比两次运行记录的行为信息，基于不一致的判断结果，确定行为信息2对应行为为随机行为。

【技术特征摘要】
1.一种木马随机化行为的识别方法，其特征在于，包括：运行样本文件，记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息，产生行为信息1；二次运行样本文件，记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息，产生行为信息2；对比两次运行记录的行为信息，基于不一致的判断结果，确定行为信息2对应行为为随机行为。2.根据权利要求1所述的方法，其特征在于，所述对比两次运行记录的行为信息，基于不一致的判断结果，确定行为信息2对应行为为随机行为，包括：对比两次记录的行为信息，如果所述文件内容hash一致，所述文件名称不同，则确定行为信息2对应行为为随机行为。3.根据权利要求1所述的方法，其特征在于，所述对比两次运行记录的行为信息，基于不一致的判断结果，确定行为信息2对应行为为随机行为，包括：对比两次记录的行为信息，如果文件名称或注册表信息中的名称开始部分有设定长度的相同，则确定行为信息2对应行为为部分随机行为。4.根据权利要求1所述的方法，其特征在于，所述注册表信息包括键值路径、键值名称、键值数据。5.根据权利要求4所述的方法，其特征在于，所述对比两次运行记录的行为信息，基于不一致的判断结果，确定行为信息2对应行为为随机行为，包括：对比两次记录的行为信息，如果所述注...

【专利技术属性】
技术研发人员：周奋彦，康学斌，肖新光，
申请(专利权)人：深圳市安之天信息技术有限公司，
类型：发明
国别省市：广东,44