一种恶意代码未知自启动识别方法及系统技术方案

本发明专利技术公开了一种恶意代码未知自启动识别方法及系统，包括：基于运行未知启动项的恶意代码，提取并记录所述恶意代码的特征信息，产生模块集合；监控系统重启恶意代码在运行中新释放模块的重新加载，判断模块集合中任一模块在注册表中出现，则对所述任一模块的自启动行为提取取样信息；扫描系统重启运行时的进程或内存，判断模块集合中任一模块在进程或内存中出现，则对所述任一模块的自启动行为提取取样信息；对所述自启动行为进行提示。本发明专利技术解决了现有技术中对于未知的启动项的预防与识别响应方法不够完善的技术问题。

Malicious code unknown self starting identification method and system

The invention discloses an unknown malicious code from the start and system identification methods include: running malicious code unknown startup items based on the extracted feature information and records the malicious code, generating module set; monitoring system restart new malicious code release reload module in operation, any judgment module collection module in the registry, the module of any self starting behavior extraction sampling information; scanning system restart process or run-time memory, judgment module collection module in any process or in memory, the module of any self starting behavior extraction sampling information; prompt the behavior of the self starting. The invention solves the technical problems of the prevention and identification of unknown startup items in the prior art and the inadequate response method.

【技术实现步骤摘要】
一种恶意代码未知自启动识别方法及系统
本专利技术涉及计算机安全
，更具体地涉及一种恶意代码未知自启动识别方法及系统。
技术介绍
随着网络和计算技术的快速发展，恶意代码的启动方式在逐渐增强，同时互联网的开发性也加快了恶意代码自启动技术的传播，特别是人们可以直接从网站获得恶意代码源码或通过网络交流代码。因此目前网络上流行的恶意代码启动方式层次不穷，种类繁多，特点多样化。通常，需要恶意代码分析人员对于未知的恶意代码样本进行恶意程序信息结构上的识别、受害者系统中的特征监控识别、动态调试中的样本代码识别、以及反编译样本的深度行为识别来提取恶意代码未知自启动。对于处理到的结果也需要人工进行筛选和整理，最终梳理判别出是否为未知的自启动操作，整个过程非常的耗费时间和精力。目前的病毒样本的自启动方式主要分为已知的启动目录启动、WIN.ini等配置文件启动、注册表启动、脚本启动、驱动文件启动、创建服务启动、劫持系统进程启动、文件关联启动等自启动方式。目前，对于未知的启动项的预防与识别响应方法不够完善。
技术实现思路
为了解决上述技术问题，提供了根据本专利技术的一种恶意代码未知自启动识别方法及系统。根据本专利技术的第一方面，提供了一种恶意代码未知自启动识别方法。该方法包括：基于运行未知启动项的恶意代码，提取并记录所述恶意代码的特征信息，产生模块集合；监控系统重启恶意代码在运行中新释放模块的重新加载，判断模块集合中任一模块在注册表中出现，则对所述任一模块的自启动行为提取取样信息；扫描系统重启运行时的进程或内存，判断模块集合中任一模块在进程或内存中出现，则对所述任一模块的自启动行为提取取样信息；对所述自启动行为进行提示。在一些实施例中，所述方法包括：将所述取样信息与已知的自启动样本库进行比外，若未匹配到，则所述取样信息对应自启动行为为未知自启动行为，整理所述取样信息入库。在一些实施例中，所述提示是通过日志记录标识为未知自启动行为。在一些实施例中，所述取样信息包括加载所述任一模块的程序加载行为信息、加载所述任一模块的内存数据、所述任一模块的内存数据。在一些实施例中，所述特征信息包括进程结构体信息、模块调用信息、DLL调用信息、句柄调用信息、父子进程信息、堆栈调用信息、注册表中变化的键值信息、系统文件的hash值。根据本专利技术的第二方面，提供一种恶意代码未知自启动识别系统，包括：提取模块，用于基于运行未知启动项的恶意代码，提取并记录所述恶意代码的特征信息，产生模块集合；第一识别模块，用于监控系统重启恶意代码在运行中新释放模块的重新加载，判断模块集合中任一模块在注册表中出现，则对所述任一模块的自启动行为提取取样信息；第二识别模块，用于扫描系统重启运行时的进程或内存，判断模块集合中任一模块在进程或内存中出现，则对所述任一模块的自启动行为提取取样信息；提示模块，用于对所述自启动行为进行提示。在一些实施例中，所述系统还包括：整理模块，用于将所述取样信息与已知的自启动样本库进行比外，若未匹配到，则所述取样信息对应自启动行为为未知自启动行为，整理所述取样信息入库。在一些实施例中，所述提示是通过日志记录标识为未知自启动行为。在一些实施例中，所述取样信息包括加载所述任一模块的程序加载行为信息、加载所述任一模块的内存数据、所述任一模块的内存数据。在一些实施例中，所述特征信息包括进程结构体信息、模块调用信息、DLL调用信息、句柄调用信息、父子进程信息、堆栈调用信息、注册表中变化的键值信息、系统文件的hash值。可以在虚拟化沙箱中运行样本记录其进程、模块和注册表等操作，产生的模块集合在重启沙箱系统后对系统启动进行监控，然后重启系统检测样本模块、注册表键值、进程内存等行为，进而可以快速的识别恶意代码是否存在自启动行为，做出相应响应。对于新的病毒样本，能够迅速针对恶意代码是否有未知自启动行为做出检出。该技术可以对大批量样本的未知自启动方式进行归类划分，同时形成模块集合特征库可以用来对样本自启动类型进行判别，对恶意代码自启动的演化过程进行数据分析。附图说明为了更清楚地说明本专利技术的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为根据本专利技术实施例的一种恶意代码未知自启动识别方法的流程图；图2为根据本专利技术实施例的一种恶意代码未知自启动识别系统的框图。具体实施方式下面参照附图对本专利技术的优选实施例进行详细说明，在描述过程中省略了对于本专利技术来说是不必要的细节和功能，以防止对本专利技术的理解造成混淆。虽然附图中显示了示例性实施例，然而应当理解，可以以各种形式实现本专利技术而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本专利技术的范围完整的传达给本领域的技术人员。在下文中，涉及到恶意代码运行都是基于虚拟化沙箱技术于沙箱中运行，在将所有恶意代码启动和运行产生的操作数据统称为“特征信息”，以方便描述。图1示出了根据本专利技术实施例的一种恶意代码未知自启动识别方法的流程图。如图1所示，方法包括如下步骤：S110，基于运行未知启动项的恶意代码。基于虚拟化沙箱技术于沙箱系统中运行恶意代码，恶意代码在系统启动和运行过程中，记录其进程、模块和注册表等操作。S120，提取并记录恶意代码的特征信息，产生模块集合。提取并记录恶意代码的特征信息，产生含有恶意代码特征信息的模块集合。其中，特征信息包括但不限于进程结构体信息、模块调用信息、DLL调用信息、句柄调用信息、父子进程信息、堆栈调用信息、注册表中变化的键值信息、系统文件的hash值。S130，重启系统环境后，监控恶意代码在运行中新释放模块的重新加载。重启沙箱系统后，在监控识别未知样本自启动时，于虚拟化沙箱系统中运行恶意代码，发现新释放模块的重新加载。监控该样本是否有重新活动迹象，进而区别样本是否为活性样本。S140，判断模块集合中任一模块在注册表中出现，如果出现，则执行S170，如果没有出现，则没有自启动行为。基于模块集合对注册表中重新加载的新释放模块进行比对，判断是否有恶意代码模块集合中任一模块的进程、模块、注册表等特征信息行为在注册表中出现。S150，扫描系统重启运行时的进程或内存。系统完全重启后对系统进行扫描，在扫描识别未知样本自启动时，于虚拟化沙箱系统中运行恶意代码后，对系统进程或内存进行扫描。S160，判断模块集合中任一模块在进程或内存中出现，如果出现，则执行S170，如果没有出现，则没有自启动行为。基于模块集合的特征信息对进程或内存中的模块特征信息进行比对，判断是否有恶意代码模块集合中任一模块的进程、模块、注册表等特征信息行为在进程或内存中出现，以此来对恶意代码样本是否为活性做一个判断。S170，对任一模块的自启动行为提取取样信息。取样信息包括加载任一模块的程序加载行为信息、加载任一模块的内存数据、任一模块的内存数据。S180，对自启动行为进行提示。本实例中，提示是通过日志记录标识为未知自启动。利用模块集合对系统启动进行监控或扫描内存，进而可以快速的相应识别恶意代码未知启动项，做出相应响应。S190，针对提取到的自启动行为相关取样信息与本文档来自技高网...

【技术保护点】
一种恶意代码未知自启动识别方法，其特征在于，包括：基于运行未知启动项的恶意代码，提取并记录所述恶意代码的特征信息，产生模块集合；监控系统重启恶意代码在运行中新释放模块的重新加载，判断模块集合中任一模块在注册表中出现，则对所述任一模块的自启动行为提取取样信息；扫描系统重启运行时的进程或内存，判断模块集合中任一模块在进程或内存中出现，则对所述任一模块的自启动行为提取取样信息；对所述自启动行为进行提示。

【技术特征摘要】
1.一种恶意代码未知自启动识别方法，其特征在于，包括：基于运行未知启动项的恶意代码，提取并记录所述恶意代码的特征信息，产生模块集合；监控系统重启恶意代码在运行中新释放模块的重新加载，判断模块集合中任一模块在注册表中出现，则对所述任一模块的自启动行为提取取样信息；扫描系统重启运行时的进程或内存，判断模块集合中任一模块在进程或内存中出现，则对所述任一模块的自启动行为提取取样信息；对所述自启动行为进行提示。2.根据权利要求1所述的方法，其特征在于，所述方法包括：将所述取样信息与已知的自启动样本库进行比外，若未匹配到，则所述取样信息对应自启动行为为未知自启动行为，整理所述取样信息入库。3.根据权利要求1所述的方法，其特征在于，所述提示是通过日志记录标识为未知自启动行为。4.根据权利要求1或2所述的方法，其特征在于，所述取样信息包括加载所述任一模块的程序加载行为信息、加载所述任一模块的内存数据、所述任一模块的内存数据。5.根据权利要求1所述的方法，其特征在于，所述特征信息包括进程结构体信息、模块调用信息、DLL调用信息、句柄调用信息、父子进程信息、堆栈调用信息、注册表中变化的键值信息、系统文件的hash值。6.一种恶意代码未知自启动识别系统，其特...

【专利技术属性】
技术研发人员：康学斌，邓琮，董建武，肖新光，
申请(专利权)人：深圳市安之天信息技术有限公司，
类型：发明
国别省市：广东,44