一种恶意程序检测的方法及装置制造方法及图纸

本申请涉及计算机领域，特别涉及一种恶意程序检测的方法及装置。用以提高对新型病毒的查杀能力。该方法为：将程序样本放至在沙盒系统中运行，并对程序样本产生的各类关联进程进行实时监控，记录各个关联进程的权限状态信息，确定任意一关联进程的权限得到提升时，判定程序样本为恶意程序。这样，可以不依赖于已知的安全漏洞的特征进行恶意程序检测，即使针对新的高级威胁，也可以准确定义出哪些程序样本为恶意程序，大大提升了未知病毒的检测成功率。

Method and device for detecting malicious program

The invention relates to the computer field, in particular to a method and a device for detecting malicious programs. In order to improve the killing ability of the new virus. The method is that the sample to run in a sandbox system, all kinds of samples and the associated process program for real-time monitoring, access state information records of all the associated process, determine any associated process permission to get a promotion, judging program samples for malicious programs. This feature, security vulnerabilities can not rely on the known malicious program detection, even for the new advanced threat, also can accurately define what procedures for samples of malicious programs, greatly enhance the success rate of unknown virus detection.

【技术实现步骤摘要】

本申请涉及计算机领域，特别涉及一种恶意程序检测的方法及装置。
技术介绍
随机计算机技术的发展，各种病毒程序也日益增多，为了保证计算机系统的安全，病毒查杀技术需要得到有效发展。目前，传统的基于特征码的静态反病毒查杀的方式无法解决当前日益增多的高级威胁，只能解决已知的病毒威胁，对于日益变化的新型病毒却无能为力。如，现有的杀毒软件对于提权类的病毒样本检测只能根据具体的安全漏洞提取特征，并且依据提取特征进行检测，因此只能检测出利用已经公开的提权类安全漏洞的病毒样本，无法解决检测出利用未知的提权类安全漏洞。因此，需要对病毒查杀技术作出进一步强化。
技术实现思路
本申请实施例提供一种恶意程序检测的方法及装置，用以提高对新型高级病毒的查杀能力。本申请实施例提供的具体技术方案如下：一种恶意程序检测的方法，包括：采用普通权限运行程序样本，确定程序样本运行过程中产生的关联进程；每确定一个关联进程，对当前确定的一个关联进程的运行状态进行监控，并按照设定周期记录所述当前确定的一个关联进程的权限状态信息；基于记录的所有关联进程的权限状态信息，当确定任意一关联进程的权限等级得到提升时，判定所述程序样本为恶意程序。较佳的，所述关联进程至少包括以下进程中的一种或任意组合：所述程序样本自身所调用的进程；所述程序样本在运行过程中创建的新进程；在所述程序样本运行过程中，被所述程序样本注入恶意代码的进程。较佳的，确定一个关联进程后，对所述一个关联进程的运行状态进行监控，并按照设定周期记录所述一个关联进程的权限状态信息，包括：确定所述一个关联进程后，在所述一个关联进程中注入预设的监控代码，通过所述监控代码对所述一个关联进程的运行状态进行监控，以及通过所述监控代码定期调用系统API，读取并记录所述一个关联进程的权限状态信息。确定一个关联进程后，对所述一个关联进程的运行状态进行监控，并按照设定周期记录所述一个关联进程的权限状态信息，包括：较佳的，确定所述一个关联进程后，通过应用层程序对所述一个关联进程的运行状态进行监控，以及通过系统内核进程数据结构中预设的系统API，读取并记录所述一个关联进程的权限状态信息。较佳的，基于记录的所有关联进程的权限状态信息，确定任意一关联进程的权限等级得到提升时，判定所述程序样本为恶意程序，包括：基于记录的所有关联进程的权限状态信息，确定任意一关联进程的权限等级相较上一次的记录结果等级提高时，直接判定所述程序样本为恶意程序；或者，基于记录的所有关联进程的权限状态信息，确定任意一关联进程的权限等级相较上一次的记录结果等级提高至预设等级范围时，判定所述程序样本为恶意程序。一种恶意程序检测的装置，包括：运行单元，用于采用普通权限运行程序样本，确定程序样本运行过程中产生的关联进程；监控单元，用于每确定一个关联进程，对当前确定的一个关联进程的运行状态进行监控，并按照设定周期记录所述当前确定的一个关联进程的权限状态信息；判定单元，用于基于记录的所有关联进程的权限状态信息，当确定任意一关联进程的权限等级得到提升时，判定所述程序样本为恶意程序。较佳的，所述关联进程至少包括以下进程中的一种或任意组合：所述程序样本自身所调用的进程；所述程序样本在运行过程中创建的新进程；在所述程序样本运行过程中，被所述程序样本注入恶意代码的进程。较佳的，确定一个关联进程后，对所述一个关联进程的运行状态进行监控，并按照设定周期记录所述一个关联进程的权限状态信息时，所述监控单元用于：确定所述一个关联进程后，在所述一个关联进程中注入预设的监控代码，通过所述监控代码对所述一个关联进程的运行状态进行监控，以及通过所述监控代码定期调用系统API，读取并记录所述一个关联进程的权限状态信息。较佳的，确定一个关联进程后，对所述一个关联进程的运行状态进行监控，并按照设定周期记录所述一个关联进程的权限状态信息时，所述监控单元用于：确定所述一个关联进程后，通过应用层程序对所述一个关联进程的运行状态进行监控，以及通过系统内核进程数据结构中预设的系统API，读取并记录所述一个关联进程的权限状态信息。较佳的，基于记录的所有关联进程的权限状态信息，确定任意一关联进程的权限等级得到提升时，判定所述程序样本为恶意程序时，所述判定单元用于：基于记录的所有关联进程的权限状态信息，确定任意一关联进程的权限等级相较上一次的记录结果等级提高时，直接判定所述程序样本为恶意程序；或者，基于记录的所有关联进程的权限状态信息，确定任意一关联进程的权限等级相较上一次的记录结果等级提高至预设等级范围时，判定所述程序样本为恶意程序。综上所述，本申请实施例中，将程序样本放至在沙盒系统中以普通权限(非administrator)运行，并对程序样本产生的各类关联进程进行实时监控，记录各个关联进程的权限状态信息，确定任意一关联进程的权限得到提升时，判定程序样本为恶意程序。这样，可以不依赖于于已知的安全漏洞的特征进行恶意程序检测，即使针对新的高级威胁，也可以准确定义出哪些程序样本为恶意程序，大大提升了未知病毒的检测成功率。附图说明图1A为本申请实施例中恶意程序检测的流程图；图1B为本申请实施例中关联进程示意图；图2为本申请实施例中恶意程序检测的装置功能结构示意图。具体实施方式下面合附图对本申请优选的实施方式进行详细说明。当前最新的操作系统如windows、linux等，都实现权限划分机制，并且一般的用户只能够使用默认的权限(通常为普通权限，而非高权限)，满足日常的使用需求即可，运行程序需要高权限时都需要用户进行确认或者输入密码，从而保证计算机系统不被恶意程序肆意破坏。如，windows7，默认一般的用户是没有administrator权限的，当运行程序需要administrator或者System权限时，会弹出用户账户控制(UserAccountControl，UAC)提示框，提示用户输入密码或者进行确认操作。Linux系统同样如此，建议一般的用户使用非root权限，只有在需要使用root权限时才进行切换。专利技术人经研究发现，对程序样本的运行状态进行监控及行为分析，判断其在运行过程中是否进行的权限提升，从而判定其是否为恶意程序(如，病毒程度)。其中，所谓行为分析：是指通过分析程序的动态行为，对行为匹配一定的规则或者算法分析出程序是否恶意或者进行程序分类；所谓权限提升：简称提权，现有的操作系统为了安全性均引入了权限的概念，不同的用户有着不同的权限，权限存在高低之分，若低权限提升到高权限则称之为提权；所谓恶意程序：又称恶意软件，指能够在计算机系统中进行非授权操作的程序。可选的，根据本申请至少一个实施例，对程序样本的运行状态监控并通过判断其在运行过程中是否进行的权限提升来判定其是否为恶意病毒的过程，在沙盒系统中执行。参阅图1A所示，本申请实施例中，进行恶意程序检测的详细流程如下：步骤100：采用普通权限运行程序样本，确定程序样本运行过程中产生的关联进程。本申请实施例中，例如可以将未知的程序样本投入沙盒系统的虚拟机中运行。沙盒系统，是一个程序样本的行为分析系统，可以调度程序样本，投入虚拟机进行分析，再通过驱动程序和应用层程序等方式记录程序样本运行的所有行为，然后通过分析算法本文档来自技高网...

【技术保护点】
一种恶意程序检测的方法，其特征在于，包括：采用普通权限运行程序样本，确定程序样本运行过程中产生的关联进程；每确定一个关联进程，对当前确定的一个关联进程的运行状态进行监控，并按照设定周期记录所述当前确定的一个关联进程的权限状态信息；基于记录的所有关联进程的权限状态信息，当确定任意一关联进程的权限等级得到提升时，判定所述程序样本为恶意程序。

【技术特征摘要】
1.一种恶意程序检测的方法，其特征在于，包括：采用普通权限运行程序样本，确定程序样本运行过程中产生的关联进程；每确定一个关联进程，对当前确定的一个关联进程的运行状态进行监控，并按照设定周期记录所述当前确定的一个关联进程的权限状态信息；基于记录的所有关联进程的权限状态信息，当确定任意一关联进程的权限等级得到提升时，判定所述程序样本为恶意程序。2.如权利要求1所述的方法，其特征在于，所述关联进程至少包括以下进程中的一种或任意组合：所述程序样本自身所调用的进程；所述程序样本在运行过程中创建的新进程；在所述程序样本运行过程中，被所述程序样本注入恶意代码的进程。3.如权利要求1或2所述的方法，其特征在于，确定一个关联进程后，对所述一个关联进程的运行状态进行监控，并按照设定周期记录所述一个关联进程的权限状态信息，包括：确定所述一个关联进程后，在所述一个关联进程中注入预设的监控代码，通过所述监控代码对所述一个关联进程的运行状态进行监控，以及通过所述监控代码定期调用系统应用程序接口API，读取并记录所述一个关联进程的权限状态信息。4.如权利要求1或2所述的方法，其特征在于，确定一个关联进程后，对所述一个关联进程的运行状态进行监控，并按照设定周期记录所述一个关联进程的权限状态信息，包括：确定所述一个关联进程后，通过应用层程序对所述一个关联进程的运行状态进行监控，以及通过系统内核进程数据结构中预设的系统API，读取并记录所述一个关联进程的权限状态信息。5.如权利要求1所述的方法，其特征在于，基于记录的所有关联进程的
\t权限状态信息，确定任意一关联进程的权限等级得到提升时，判定所述程序样本为恶意程序，包括：基于记录的所有关联进程的权限状态信息，确定任意一关联进程的权限等级相较上一次的记录结果等级提高时，直接判定所述程序样本为恶意程序；或者，基于记录的所有关联进程的权限状态信息，确定任意一关联进程的权限等级相较上一次的记录结果等级提高至预设等级范围时，判定所述程序样本为恶意程序。6.一种恶意程序检测的装置，其特征在于，包...

【专利技术属性】
技术研发人员：王云翔，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛;KY