一种无实体文件恶意代码的检测方法及系统技术方案

本发明专利技术公开了一种无实体文件恶意代码的检测方法，包括：临时阻断利用PowerShell执行的命令和/或参数；判断所述命令和/或参数是否为允许运行的命令和/或参数，若是，则允许运行，否则对所述命令和/或参数进行是否为恶意代码的检测；若判定所述命令和/或参数为恶意代码则终止运行，否则允许运行。本发明专利技术同时公开了一种无实体文件恶意代码的检测系统。本发明专利技术所述技术方案能够有效检测基于PowerShell的无实体文件的恶意代码。

Method and system for detecting non physical file malicious code

The invention discloses a detection method, a non malicious code entity files including: temporary occlusion using PowerShell commands and / or parameters; judging whether the commands and / or parameter if it is allowed to run commands and / or parameters, and if so, is allowed to run, otherwise the commands and / or parameters whether for the detection of malicious code; determine if the command and / or parameters for malicious code is to terminate the operation, or allowed to run. The invention also discloses a detection system for the non physical file malicious code. The technical proposal of the invention can effectively detect the malicious code based on the PowerShell entity file.

【技术实现步骤摘要】

本专利技术涉及信息安全
，尤其涉及一种无实体文件恶意代码的检测方法及系统。
技术介绍
大部分的反病毒产品是基于对实体文件进行恶意代码检测的，利用进程对应的文件，进程加载的文件等方法来检测恶意代码。从而对无实体文件类的恶意代码无法检测，基于PowerShell的恶意代码更是因使用了PowerShell的进程（白名单机制）而被忽略。基于PowerShell的无实体文件的恶意代码可以突破传统的反病毒产品的检测，并且已经被更多的不法分子使用。2015年，发现了针对我国的APT攻击事件，这次攻击事件中使用的攻击方法正是基于PowerShell的恶意代码，某反病毒产品因无法检测这种恶意代码而使系统被入侵。
技术实现思路
针对上述技术问题，本专利技术所述的技术方案通过对PowerShell执行的命令和/或参数进行临时阻断，并进一步去检测所述命令和/参数是否是恶意代码，若是则终止运行。本专利技术能够弥补传统检测手段无法检测无实体文件恶意代码的问题，能够及时发现并检测无实体文件类型的恶意代码。本专利技术采用如下方法来实现：一种无实体文件恶意代码的检测方法，包括：临时阻断利用PowerShell执行的命令和/或参数；判断所述命令和/或参数是否为允许运行的命令和/或参数，若是，则允许运行，否则对所述命令和/或参数进行是否为恶意代码的检测；若判定所述命令和/或参数为恶意代码则终止运行，否则允许运行。进一步地，对所述命令和/或参数进行是否为恶意代码的检测为：基于静态检测方法和动态检测方法对所述命令和/或参数进行是否为恶意代码的检测。更进一步地，所述静态检测方法包括：若所述命令和/或参数被加密，则进行解密处理，若无法进行成功解密，则判定为恶意代码；若所述命令和/或参数未加密或者被成功解密，则利用脚本检测方法和结构化检测方法对所述命令和/或参数进行是否为恶意代码的检测。上述方法中，所述动态检测方法包括：利用本地虚拟化检测方法虚拟执行所述命令和/或参数，并进行是否为恶意代码的检测；利用远程虚拟系统检测方法虚拟执行所述命令和/或参数，并进行是否为恶意代码的检测。本专利技术可以采用如下系统来实现：一种无实体文件恶意代码的检测系统，包括：临时阻断模块，用于临时阻断利用PowerShell执行的命令和/或参数；前置开关模块，用于判断所述命令和/或参数是否为允许运行的命令和/或参数，若是，则允许运行，否则将所述命令和/或参数送至检测模块；检测模块，用于对所述命令和/或参数进行是否为恶意代码的检测，若是则终止运行，否则允许运行。进一步地，所述检测模块用于：基于静态检测方法和动态检测方法对所述命令和/或参数进行是否为恶意代码的检测。更进一步地，所述静态检测方法包括：若所述命令和/或参数被加密，则进行解密处理，若无法进行成功解密，则判定为恶意代码；若所述命令和/或参数未加密或者被成功解密，则利用脚本检测方法和结构化检测方法对所述命令和/或参数进行是否为恶意代码的检测。上述系统中，所述动态检测方法包括：利用本地虚拟化检测方法虚拟执行所述命令和/或参数，并进行是否为恶意代码的检测；利用远程虚拟系统检测方法虚拟执行所述命令和/或参数，并进行是否为恶意代码的检测。综上，本专利技术给出一种无实体文件恶意代码的检测方法及系统，首先临时阻断利用PowerShell执行的命令和/或参数；并判断所述命令和/或参数是否是允许运行的，若允许运行则不进行检测，否则对所述命令和/或参数进行是否为恶意代码的检测，若是则终止运行，否则允许运行。有益效果为：本专利技术与传统检测方法不同，并不是基于实体文件进行的检测，而是监控PowerShell并阻断利用PowerShell执行的命令和/或参数；进而对所述命令和/或参数进行是否是恶意代码的检测，从而克服了传统检测方法对于PowerShell相关的恶意代码无法检出的问题。由于本专利技术是在所述命令和/或参数执行前进行的检测，一旦发现存在可疑行为，则终止所述命令和/或参数的运行，从而彻底避免了恶意代码可能造成的破坏和损失。附图说明为了更清楚地说明本专利技术的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术提供的一种无实体文件恶意代码的检测方法实施例流程图；图2为本专利技术提供的一种无实体文件恶意代码的检测系统实施例结构图。具体实施方式本专利技术给出了一种无实体文件恶意代码的检测方法及系统实施例，为了使本
的人员更好地理解本专利技术实施例中的技术方案，并使本专利技术的上述目的、特征和优点能够更加明显易懂，下面结合附图对本专利技术中技术方案作进一步详细的说明：本专利技术首先提供了一种无实体文件恶意代码的检测方法实施例，如图1所示，包括：S101临时阻断利用PowerShell执行的命令和/或参数；S102判断所述命令和/或参数是否为允许运行的命令和/或参数，若是，则允许运行，否则执行S103；确保不影响正常使用PowerShell功能，可以指定允许运行的命令和/或参数，从而保证不影响用户的正常使用；S103对所述命令和/或参数进行是否为恶意代码的检测，若是则终止运行，否则允许运行。优选地，对所述命令和/或参数进行是否为恶意代码的检测为：基于静态检测方法和动态检测方法对所述命令和/或参数进行是否为恶意代码的检测。更优选地，所述静态检测方法包括：若所述命令和/或参数被加密，则进行解密处理，若无法进行成功解密，则判定为恶意代码；若所述命令和/或参数未加密或者被成功解密，则利用脚本检测方法和结构化检测方法对所述命令和/或参数进行是否为恶意代码的检测。其中，所述脚本检测方法为利用特征码和检测规则对所述命令和/或参数进行检测，可以有效检出已知恶意代码；其中，所述结构化检测方法可以有效检出已知的恶意代码家族变种和未知的恶意代码。上述方法实施例中，所述动态检测方法包括：利用本地虚拟化检测方法虚拟执行所述命令和/或参数，并进行是否为恶意代码的检测；利用远程虚拟系统检测方法虚拟执行所述命令和/或参数，并进行是否为恶意代码的检测。其中，所述本地虚拟化检测方法不会影响本地系统，是一种较为安全的本地动态检测方法；其中，所述远程虚拟系统检测方法在企业内部搭建动态行为检测的虚拟系统，将所述命令和/或参数发送至该虚拟系统中进行动态行为检测；所述远程虚拟系统检测方法性能可靠并且准确性高。本专利技术还提供了一种无实体文件恶意代码的检测系统实施例，如图2所示，包括：临时阻断模块201，用于临时阻断利用PowerShell执行的命令和/或参数；前置开关模块202，用于判断所述命令和/或参数是否为允许运行的命令和/或参数，若是，则允许运行，否则将所述命令和/或参数送至检测模块；检测模块203，用于对所述命令和/或参数进行是否为恶意代码的检测，若是则终止运行，否则允许运行。优选地，所述检测模块用于：基于静态检测方法和动态检测方法对所述命令和/或参数进行是否为恶意代码的检测。更优选地，所述静态检测方法包括：若所述命令和/或参数被加密，则进行解密处理，若本文档来自技高网...

【技术保护点】
一种无实体文件恶意代码的检测方法，其特征在于，包括：临时阻断利用PowerShell执行的命令和/或参数；判断所述命令和/或参数是否为允许运行的命令和/或参数，若是，则允许运行，否则对所述命令和/或参数进行是否为恶意代码的检测；若判定所述命令和/或参数为恶意代码则终止运行，否则允许运行。

【技术特征摘要】
1.一种无实体文件恶意代码的检测方法，其特征在于，包括：临时阻断利用PowerShell执行的命令和/或参数；判断所述命令和/或参数是否为允许运行的命令和/或参数，若是，则允许运行，否则对所述命令和/或参数进行是否为恶意代码的检测；若判定所述命令和/或参数为恶意代码则终止运行，否则允许运行。2.如权利要求1所述的方法，其特征在于，对所述命令和/或参数进行是否为恶意代码的检测为：基于静态检测方法和动态检测方法对所述命令和/或参数进行是否为恶意代码的检测。3.如权利要求2所述的方法，其特征在于，所述静态检测方法包括：若所述命令和/或参数被加密，则进行解密处理，若无法进行成功解密，则判定为恶意代码；若所述命令和/或参数未加密或者被成功解密，则利用脚本检测方法和结构化检测方法对所述命令和/或参数进行是否为恶意代码的检测。4.如权利要求2或3所述的方法，其特征在于，所述动态检测方法包括：利用本地虚拟化检测方法虚拟执行所述命令和/或参数，并进行是否为恶意代码的检测；利用远程虚拟系统检测方法虚拟执行所述命令和/或参数，并进行是否为恶意代码的检测。5.一种无...

【专利技术属性】
技术研发人员：高喜宝，李柏松，
申请(专利权)人：哈尔滨安天科技股份有限公司，
类型：发明
国别省市：黑龙江;23