一种恶意代码检测系统技术方案

本发明专利技术公开了一种恶意代码检测系统，包括：代码格式识别模块，用于进行待检测代码格式的识别和解析；静态分析模块，用于获取待检测代码的API函数调用序列、组件和资源构建待检测代码的特征向量；动态行为分析模块，用于通过建立的多态响应代码行为分析模型进行代码行为的分析；代码行为监测模块，用于通过脚本录制的方式进行代码行为数据的录制；还包括代码行为预测模块、代码识别判定模块和记录提取模块。本发明专利技术基于静态和动态进行恶意代码的检测，可以监测中新种类的恶意代码，实现了恶意代码特征数据库以及恶意行为特征数据库的自动更新。

A malware detection system

The invention discloses a malicious code detection system, including: code format recognition module, used to identify and parse the format of the code to be detected; the static analysis module is used to obtain the API function call sequence of the code to be detected, the component and the resource to construct the feature vector to be detected, and the dynamic behavior analysis module, The code behavior analysis model is used to analyze code behavior through the established behavior analysis model of polymorphic response code; code behavior monitoring module is used to record code behavior data through the way of script recording; it also includes code behavior prediction module, code recognition and decision module and record extraction module. The invention is based on static and dynamic detection of malicious code, which can monitor new types of malicious code, and realize the automatic update of malicious code feature database and malicious behavior feature database.

【技术实现步骤摘要】
一种恶意代码检测系统
本专利技术涉及数据安全领域，具体涉及一种恶意代码检测系统。
技术介绍
随着恶意代码爆炸性增长，恶意代码成为个人、企业信息泄露的最大原因，所以对恶意代码在运行之前被检测出来很有必要。目前有比较成熟的恶意代码检测技术，主要有基于签名、基于特征码、基于启发式等等方法。基于签名的恶意检测方法，对各种恶意代码生成一个标记，并利用这些标记构建一个恶意代码数据库。这种方法能快速的检测出一段代码是否为恶意代码，对数据库中已有样本种类检验准确率很高，是很多商业杀毒软件采取的主要方式。但是这种方法存在以下的缺点：对恶意代码的标记有些需要领域专家进行人工提取；一个新的恶意代码可能不包括任何已知的特征，只能检测已有的恶意代码，不能检测出新种类的恶意代码。
技术实现思路
为解决上述问题，本专利技术提供了一种恶意代码检测系统，基于静态和动态进行恶意代码的检测，可以监测中新种类的恶意代码，实现了恶意代码特征数据库以及恶意行为特征数据库的自动更新。为实现上述目的，本专利技术采取的技术方案为：一种恶意代码检测系统，包括：代码格式识别模块，用于进行待检测代码格式的识别和解析；静态分析模块，用于获取待检测代码的API函数调用序列、组件和资源构建待检测代码的特征向量；动态行为分析模块，用于通过建立的多态响应代码行为分析模型进行代码行为的分析；代码行为监测模块，用于通过脚本录制的方式进行代码行为数据的录制；代码行为预测模块，基于粒子群优化支持向量机，根据静态分析模块所得的特征向量生成短期代码行为预报信息；代码识别判定模块，用于综合静态分析模块、动态行为分析模块以及代码行为预测模块的分析结果进行代码类型的判定，若为恶意代码，则启动记录提取模块；记录提取模块，用于将代码行为分析结果以及对应的代码特征向量、行为数据写入恶意代码特征数据库以及恶意行为特征数据库中进行记录预警。优选地，所述代码识别判定模块通过以下步骤完成代码类别的判定：S1、根据静态分析模块所得特征向量进行该代码类型的判定，若恶意代码特征数据库中未查见，则进入步骤S2；S2、根据动态行为分析模块以及代码行为预测模块进行该代码类型的判定，只要其中任何一个模块所得的分析结果为恶意代码行为的都认为该代码为恶意代码。优选地，还包括一防御决策生成模块，用于接收动态行为分析模块所发送的分析数据，并选取静态分析模块所得的特征向量与防御决策信息数据库内的数据进行相似度对比后，输出相应的防御决策。优选地，还包括一虚拟执行模块，用于根据静态分析所得的代码特征向量进行其所对应的代码行为虚拟执行环境的构建，并进行代码的执行。优选地，所述防御决策至少包括任务执行主体、任务操作、任务执行时间及任务执行的约束条件，任务操作包括操作对象、任务动作及执行参数，通过调用恶意代码防御决策信息库内态势信息和转换规则，实现目标转换、期望及手段转换。优选地，还包括一代码解密模块，用于根据代码格式识别模块的识别结果进行启闭，一旦识别到的代码数据存在乱码或其他加密行为，则启动代码解密模块进行代码的解密处理；完成解密后，方可进行静态、动态行为分析。本专利技术具有以下有益效果：1、通过建立的多态响应代码行为分析模型进行代码行为的分析，实现了代码行为的监测分析，提高了系统的检测精度；2、基于粒子群优化支持向量机，根据静态分析模块所得的特征向量生成短期代码行为预报信息，实现了恶意代码未来某一时间段内行为的预测分析，进一步提高了系统的检测精度；3、实现了恶意代码特征数据库以及恶意行为特征数据库的自动更新；4、实现了加密恶意代码的解密识别，适用范围更广。附图说明图1为本专利技术实施例一种恶意代码检测系统的系统框图。具体实施方式为了使本专利技术的目的及优点更加清楚明白，以下结合实施例对本专利技术进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本专利技术，并不用于限定本专利技术。如图1所示，本专利技术实施例提供了一种恶意代码检测系统，包括：代码格式识别模块，用于进行待检测代码格式的识别和解析；代码解密模块，用于根据代码格式识别模块的识别结果进行启闭，一旦识别到的代码数据存在乱码或其他加密行为，则启动代码解密模块进行代码的解密处理；完成解密后，方可进行静态、动态行为分析；静态分析模块，用于获取待检测代码的API函数调用序列、组件和资源构建待检测代码的特征向量；动态行为分析模块，用于通过建立的多态响应代码行为分析模型进行代码行为的分析；代码行为监测模块，用于通过脚本录制的方式进行代码行为数据的录制；代码行为预测模块，基于粒子群优化支持向量机，根据静态分析模块所得的特征向量生成短期代码行为预报信息；代码识别判定模块，用于综合静态分析模块、动态行为分析模块以及代码行为预测模块的分析结果进行代码类型的判定，若为恶意代码，则启动记录提取模块；记录提取模块，用于将代码行为分析结果以及对应的代码特征向量、行为数据写入恶意代码特征数据库以及恶意行为特征数据库中进行记录预警。所述代码识别判定模块通过以下步骤完成代码类别的判定：S1、根据静态分析模块所得特征向量进行该代码类型的判定，若恶意代码特征数据库中未查见，则进入步骤S2；S2、根据动态行为分析模块以及代码行为预测模块进行该代码类型的判定，只要其中任何一个模块所得的分析结果为恶意代码行为的都认为该代码为恶意代码。防御决策生成模块，用于接收动态行为分析模块所发送的分析数据，并选取静态分析模块所得的特征向量与防御决策信息数据库内的数据进行相似度对比后，输出相应的防御决策。还包括一虚拟执行模块，用于根据静态分析所得的代码特征向量进行其所对应的代码行为虚拟执行环境的构建，并进行代码的执行，从而为代码行为监测模块提供条件；所述防御决策至少包括任务执行主体、任务操作、任务执行时间及任务执行的约束条件，任务操作包括操作对象、任务动作及执行参数，通过调用恶意代码防御决策信息库内态势信息和转换规则，实现目标转换、期望及手段转换。以上所述仅是本专利技术的优选实施方式，应当指出，对于本
的普通技术人员来说，在不脱离本专利技术原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本专利技术的保护范围。本文档来自技高网...

【技术保护点】
1.一种恶意代码检测系统，其特征在于，包括：代码格式识别模块，用于进行待检测代码格式的识别和解析；静态分析模块，用于获取待检测代码的API函数调用序列、组件和资源构建待检测代码的特征向量；动态行为分析模块，用于通过建立的多态响应代码行为分析模型进行代码行为的分析；代码行为监测模块，用于通过脚本录制的方式进行代码行为数据的录制；代码行为预测模块，基于粒子群优化支持向量机，根据静态分析模块所得的特征向量生成短期代码行为预报信息；代码识别判定模块，用于综合静态分析模块、动态行为分析模块以及代码行为预测模块的分析结果进行代码类型的判定，若为恶意代码，则启动记录提取模块；记录提取模块，用于将代码行为分析结果以及对应的代码特征向量、行为数据写入恶意代码特征数据库以及恶意行为特征数据库中进行记录预警。

【技术特征摘要】
1.一种恶意代码检测系统，其特征在于，包括：代码格式识别模块，用于进行待检测代码格式的识别和解析；静态分析模块，用于获取待检测代码的API函数调用序列、组件和资源构建待检测代码的特征向量；动态行为分析模块，用于通过建立的多态响应代码行为分析模型进行代码行为的分析；代码行为监测模块，用于通过脚本录制的方式进行代码行为数据的录制；代码行为预测模块，基于粒子群优化支持向量机，根据静态分析模块所得的特征向量生成短期代码行为预报信息；代码识别判定模块，用于综合静态分析模块、动态行为分析模块以及代码行为预测模块的分析结果进行代码类型的判定，若为恶意代码，则启动记录提取模块；记录提取模块，用于将代码行为分析结果以及对应的代码特征向量、行为数据写入恶意代码特征数据库以及恶意行为特征数据库中进行记录预警。2.如权利要求1所述的一种恶意代码检测系统，其特征在于，所述代码识别判定模块通过以下步骤完成代码类别的判定：S1、根据静态分析模块所得特征向量进行该代码类型的判定，若恶意代码特征数据库中未查见，则进入步骤S2；S2、根据动态行为分析模块以及代码行为预测模块进行该代码类型的判定...

【专利技术属性】
技术研发人员：王方伟，王长广，张运凯，赵冬梅，张林伟，侯卫红，李青茹，曾水光，赵琛，
申请(专利权)人：河北师范大学，
类型：发明
国别省市：河北,13