Including the identification method, the invention discloses a Trojan behavior: run randomization sample files, record the operation after generating the file including file name, file hash, file registry information, generate behavior information 1; two run the sample files into the file, record the operation after the file name, including the contents of the file, hash file registry information, behavioral information 2; comparing the two operation record of information, based on the judgment of inconsistent results, determine the behavior information corresponding to 2 random behavior behavior. The technical scheme of the invention overcomes the traditional Trojan horse for random behavior recognition, mainly rely on artificial reverse analysis, the output efficiency is low, that is not timely, unable to deal with the problems of the large number of sample documents. The Trojan horse randomization can be found in batches and in a timely manner by means of automation.
【技术实现步骤摘要】
一种木马随机化行为的识别方法及系统
本专利技术涉及计算机安全
,更具体地涉及一种木马随机化行为的识别方法及系统。
技术介绍
木马指通过特定程序恶意控制另一台计算机。木马通常有两个可执行程序,一是控制端,另一个是被控制端。木马不经计算机用户允许就可获得计算机的控制权。具有较高的隐蔽性,长期获得的计算机控制权及用户敏感信息。恶意代码分析师通过研究木马的行为,得到检测木马的特征,比如木马驻留的文件路径、木马使用的启动项,木马文件名等。杀毒软件可以利用这些特征检测系统是否存在木马程序。因此,木马程序为了增强其隐蔽性,提高被检测难度,将一些可做特征且修改不会影响运行的内容,比如,文件名、服务名、自启动键值等,利用随机算法在运行时生成。这些随机化行为,将会影响恶意代码分析师特征提取的准确性,在自动化提取特征时也成为干扰。现今,对于木马随机化行为识别,主要依靠人工逆向分析发现,这种方式产出效率低,发现不及时,无法处理大量的样本文件。
技术实现思路
为了解决直接连接网络或通过虚拟网络通讯方式的恶意代码流量特征采集方法产生的威胁和低效率的技术问题,提供了根据本专利技术的基于模拟网络环境的恶意代码流量特征采集系统及方法。根据本专利技术的第一方面,提供了一种木马随机化行为的识别方法。该方法包括:运行样本文件,记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息,产生行为信息1;二次运行样本文件,记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息,产生行为信息2;对比两次运行记录的行为信息,基于不一致的判断结果,确定行为信息2对应行为为随机行为。在 ...
【技术保护点】
一种木马随机化行为的识别方法,其特征在于,包括:运行样本文件,记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息,产生行为信息1;二次运行样本文件,记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息,产生行为信息2;对比两次运行记录的行为信息,基于不一致的判断结果,确定行为信息2对应行为为随机行为。
【技术特征摘要】
1.一种木马随机化行为的识别方法,其特征在于,包括:运行样本文件,记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息,产生行为信息1;二次运行样本文件,记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息,产生行为信息2;对比两次运行记录的行为信息,基于不一致的判断结果,确定行为信息2对应行为为随机行为。2.根据权利要求1所述的方法,其特征在于,所述对比两次运行记录的行为信息,基于不一致的判断结果,确定行为信息2对应行为为随机行为,包括:对比两次记录的行为信息,如果所述文件内容hash一致,所述文件名称不同,则确定行为信息2对应行为为随机行为。3.根据权利要求1所述的方法,其特征在于,所述对比两次运行记录的行为信息,基于不一致的判断结果,确定行为信息2对应行为为随机行为,包括:对比两次记录的行为信息,如果文件名称或注册表信息中的名称开始部分有设定长度的相同,则确定行为信息2对应行为为部分随机行为。4.根据权利要求1所述的方法,其特征在于,所述注册表信息包括键值路径、键值名称、键值数据。5.根据权利要求4所述的方法,其特征在于,所述对比两次运行记录的行为信息,基于不一致的判断结果,确定行为信息2对应行为为随机行为,包括:对比两次记录的行为信息,如果所述注...
【专利技术属性】
技术研发人员:周奋彦,康学斌,肖新光,
申请(专利权)人:深圳市安之天信息技术有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。