一种恶意程序识别系统技术方案

技术编号:15640162 阅读:274 留言:0更新日期:2017-06-16 04:09
本发明专利技术涉及一种恶意程序识别系统,基于时态性质检测,该系统主要由两个模块所组成:训练模块以及识别模块。训练模块通过对样本程序进行自动的时态性质挖掘,并通过对比正常程序样本与恶意程序样本的性质,筛选出恶意程序所特有的部分,从而建立恶意程序性质数据库。识别模块在训练模块得出的恶意程序性质数据库的基础上,对待识别的目标程序进行性质验证,根据目标程序是否具备恶意程序性质来判断目标程序是否为恶意程序。继而,又可以将运行过程中识别出来的程序作为样本进行进一步的性质挖掘,以更新扩充恶意程序性质数据库,从而自动地逐步增强系统的恶意程序识别能力。

【技术实现步骤摘要】
一种恶意程序识别系统
本专利技术属于计算机安全检测
,具体涉及一种基于时态性质检测的自进化恶意程序识别系统。
技术介绍
随着信息技术的日益发展与计算机的普及,从个人计算机、智能手机,到各种智能家居产品,越来越多的计算设备出现在人们的身旁。计算机在为人类提供了诸多便利,极大提高社会运转效率的同时,也带来了许多的安全性问题。其中绝大部分的问题源自于的恶意程序的传播与执行。常见的恶意程序有病毒、蠕虫、木马、后台程序,它们能够对计算机系统进行控制、信息窃取乃至破坏,并能进行自动复制传播,这极大地危害了广大计算机用户的隐私安全,财产安全,乃至影响到社会、国家的安全。传统的恶意程序检测主要通过对恶意程序进行扫描,识别其中所包含的特定二进制特征序列,从而判断程序是否为恶意程序。例如,中国专利申请号为201610134408.7的专利技术专利申请,公开了一种嵌入式处理器的未知恶意代码检测方法,包括创建嵌入式系统自体集、生成检测器集、检测未知恶意代码的步骤;在处理器指令级对系统内正常程序的指令序列信息进行采集编码生成二进制串集合作为自体集,随机生成二进制串作为候选检测器,并将其与自体集中的元素进行否定选择生成检测器集;利用检测器集里的二进制串与从指令级收集到的待检测代码的行为信息二进制串进行匹配;采用双阈值的海民规则进行自体集的二进制串、检测器二进制串以及待检测二进制串之间的模糊匹配,以提高对未知恶意代码的检测率,降低检测系统的资源消耗。这种检测方法,虽然具有检测速度快的特点,但需要不断更新特征数据库来维持对恶意程序的识别能力,具有滞后性。另外,随着恶意程序种自修改、死代码插入等各种混淆技术的采用,这种传统检测方法常常会失效。面对恶意程序不断变异的形势,传统恶意程序检测程序常处于被动防御的地位。模型检测技术的提出,起初用于检查软件模型是否满足需求文档中所描述的性质,若以恶意行为特征作为待验证的性质,自然也可以将模型检测应用于恶意程序的检测。例如,中国专利申请号为200810089576.4的专利技术专利申请,公开了一种基于语义的恶意代码检测方法,该专利技术方法包含a)获得已知恶意代码的有穷状态自动机;b)获得待检测的二进制可疑程序的下推自动机;c)使用模型检验方法检测所述的下推自动机和所述有穷状态自动机之间是否存在可以同时被两者接收的输入字符串,若是,则判定上述待检测的可疑程序为恶意程序。时态性质检测是模型检测技术的一个分支,其主要关注于模型中是否具备时间相关的性质,可以描述一定的时序关系,而通常在恶意程序中,为了完成某类恶意行为,必定具备按照某种顺序执行指令操作的性质,因而,可以引入时态逻辑进行描述,自然,就可以进行性质的验证。目前,随着研究领域的发展,需要研究更多的自动时态性质挖掘方法。
技术实现思路
针对传统的恶意程序特征序列检测方法,结合模型检测技术,本专利技术提出了一种基于时态性质检测的自进化恶意程序识别系统。通过二进制分析工具,对程序样本进行递归下降法的反汇编,破除指令重叠、自修改等混淆技术的影响,并生成相应的程序模型,在此基础上,进行时态性质挖掘、筛选与采集,构建出初始的恶意程序时态性质数据库,在之后的恶意程序识别过程中,只需对待识别程序进行性质验证,从而判断程序是否具备恶意性质。并能够以之作为新样本进行性质采集,以扩充恶意程序时态性质数据库,自动地完成系统恶意程序检测能力的增强。具体的,本专利技术提供了一种恶意程序识别系统,所述系统包括以下模块:训练模块:用于根据样本程序,构建恶意程序性质数据库;识别模块:用于采用模型检测方法对待识别程序进行性质验证,判断是否为恶意程序。优选的,所述训练模块通过对所述样本程序进行自动的时态性质挖掘,并通过对比正常程序样本与恶意程序样本的性质,筛选出恶意程序所特有的部分,从而建立所述恶意程序性质数据库。优选的,所述识别模块在所述恶意程序性质数据库的基础上,对待识别的目标程序进行性质验证,根据目标程序是否具备恶意程序性质来判断目标程序是否为恶意程序。优选的,所述系统具备以下两个数据库:正常程序时态性质数据库,存储正常程序样本挖掘所得的性质;恶意程序时态性质数据库,存储恶意程序样本挖掘所得的性质。优选的,所述恶意程序识别系统具备自进化能力,在使用过程中,根据判断结果,将已测试程序进行标注,放入训练模块中处理,以进行时态性质数据库的扩充。更优选的,所述训练模块包括如下组成单元:控制流图生成单元,用于从样本程序库中读取一个已知恶意与否的样本程序,采用IDAPro使用递归下降法对该样本程序的目标代码进行反汇编、库函数调用识别,相应控制流图的生成;转换单元,用于将样本程序的控制流图转换为迁移系统模型;时态性质挖掘单元,用于在迁移系统模型上运行时态性质挖掘算法,以一些常见的时态性质为模板,挖掘指令路径中存在的时态性质;时态性质存储单元,用于根据所述样本程序是否为恶意程序,将挖掘到的时态性质分别存入正常程序时态性质数据库与恶意程序时态性质数据库;判断单元,用于判断样本程序库中是否还有程序样本;筛选及更新单元,用于对比正常程序性质数据库与恶意程序性质数据库中的性质,筛选出那些仅属于恶意程序数据的性质,更新恶意程序性质数据库。更优选的,所述控制流图生成单元、转换单元、时态性质挖掘单元、时态性质存储单元、判断单元依次连接,所述判断单元还连接控制流图生成单元和筛选及更新单元。优选的,所述识别模块中包括以下组成单元:流图构建单元,用于读取待识别程序,对待识别程序的目标代码进行反汇编、库函数识别以及控制流图的生成;流图转换单元,用于将待识别程序的控制流图转换为迁移系统模型;检测单元,用于使用时态逻辑模型检查器检查迁移系统模型中是否具有恶意程序性质数据库中的时态性质;判定单元,用于判断迁移系统模型是否具备某项恶意程序性质;如果迁移系统模型具备某项恶意程序性质,就输出结果,表示其具备恶意特征,否则,则认定为正常程序。更优选的,所述流图构建单元、流图转换单元、检测单元、判定单元依次连接。本专利技术的有益效果如下:本专利技术可以有效识别恶意程序,同时可以将运行过程中识别出来的程序作为样本进行进一步的性质挖掘,以更新扩充恶意程序性质数据库,从而自动地逐步增强系统的恶意程序识别能力。上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。附图说明通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:图1是本专利技术的一种基于时态性质检测的自进化恶意程序识别系统构成示意图;图2是本专利技术的训练模块的结构示意图;图3是本专利技术的训练模块的工作流程图;图4是本专利技术的识别模块的结构示意图;图5是本专利技术的识别模块的工作流程图。具体实施方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公本文档来自技高网
...
一种恶意程序识别系统

【技术保护点】
一种恶意程序识别系统,其特征在于:所述系统包括以下模块:训练模块:用于根据样本程序构建恶意程序性质数据库;识别模块:用于采用模型检测方法对待识别程序进行性质验证,判断是否为恶意程序。

【技术特征摘要】
1.一种恶意程序识别系统,其特征在于:所述系统包括以下模块:训练模块:用于根据样本程序构建恶意程序性质数据库;识别模块:用于采用模型检测方法对待识别程序进行性质验证,判断是否为恶意程序。2.如权利要求1所述的一种恶意程序识别系统,其特征在于:所述训练模块通过对所述样本程序进行时态性质挖掘,并通过对比正常程序样本与恶意程序样本的性质,筛选出恶意程序所特有的部分,从而建立所述恶意程序性质数据库。3.如权利要求1所述的一种恶意程序识别系统,其特征在于:所述识别模块在所述恶意程序性质数据库的基础上,对待识别的目标程序进行性质验证,根据目标程序是否具备恶意程序性质来判断目标程序是否为恶意程序。4.如权利要求1所述的一种恶意程序识别系统,其特征在于:所述系统具备以下两个数据库:正常程序时态性质数据库,存储正常程序样本挖掘所得的性质;恶意程序时态性质数据库,存储恶意程序样本挖掘所得的性质。5.如权利要求1-4任意一项所述的一种恶意程序识别系统,其特征在于:所述恶意程序识别系统具备自进化能力,在使用过程中,根据判断结果将已测试样本程序进行标注,放入训练模块中处理,以进行时态性质数据库的扩充。6.如权利要求1-4任意一项所述的一种恶意程序识别系统,其特征在于:所述训练模块包括如下组成单元:控制流图生成单元,用于从样本程序库中读取一个已知恶意与否的样本程序,采用IDAPro使用递归下降法对该样本程序的目标代码进行反汇编、库函数调用识别,相应控制流图的生成;转换单元,用...

【专利技术属性】
技术研发人员:熊家文史建琦黄滟鸿李昂方徽星何积丰
申请(专利权)人:华东师范大学
类型:发明
国别省市:上海,31

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1