一种恶意软件的检测方法及装置制造方法及图纸

技术编号:15763593 阅读:348 留言:0更新日期:2017-07-06 01:46
本发明专利技术公开了一种恶意软件的检测方法及装置,该方法包括步骤:将可疑的恶意软件载入沙箱进行静态特征分析和动态行为分析;若检测到可疑的恶意软件存在恶意行为,则拦截所述恶意行为并将所述可疑的恶意软件载入终端内存进行隔离运行。本发明专利技术公开的恶意软件的检测方法及装置,通过将可疑的恶意软件载入终端内存进行隔离运行,一方面可避免恶意软件对终端做修改或感染其他系统,另一方面,终端或终端用户不用等待或中断工作,安全部门也可对可疑的恶意软件进行深度分析。

Method and device for detecting malicious software

The invention discloses a method and a device for detecting malicious software, the method comprises the following steps: the suspected malware sandbox feature analysis and analysis of static load dynamic behavior; if detected suspicious malware malicious behavior, to intercept the malicious behavior and the suspicious malware loading terminal memory isolated operation. The invention discloses a method and a device for detecting malware, isolation will run through the suspicious malware loading terminal memory, one can avoid malicious software modifications or infect other systems on the terminal, on the other hand, the terminal or terminal users without waiting or interruption of work, security departments can perform in-depth analysis of suspicious malicious software.

【技术实现步骤摘要】
一种恶意软件的检测方法及装置
本专利技术涉及网络安全
,尤其涉及一种恶意软件的检测方法及装置。
技术介绍
近年来,网络安全问题日益突出,黑客入侵以及网络攻击现象日益增多。而随着计算机网络技术的不断普及,公众使用计算机的次数越来越多。特别是公用信息基础设施建设推动了政府、企业日益依赖各种信息系统,一些涉及国计民生的业务、系统受到了前所未有的安全挑战。如维基解密网站泄漏了大量政府的机密信息;花旗集团受黑客攻击导致36多万的客户账户信息被窃取;CSDN网站被攻击导致600余万用户资料被泄漏等。这些事故充分说明网络安全对国家、政府和企业的重要性。目前,在所有的网络入侵行为当中,恶意代码是承载网络攻击行为的重要载体,服务器的远程控制,非正常操作都依托于恶意代码来实现;另外一方面,为实现更加高级的网络攻击,越来越多的恶意代码逐步采用混淆技术、虚拟机技术对恶意代码进行了伪装,甚至利用0day漏洞绕过杀毒软件的查收,因此通过传统特征码来鉴别恶意代码显得力不从心。如何应对日益严峻的高级别恶意代码攻击的技术问题,已经成为了本领域技术人员亟待解决的技术问题。
技术实现思路
本专利技术的主要目的在于提出一种恶意软件的检测方法及装置,旨在解决沙箱对恶意软件进行检测时,根据文件大小和/或复杂度,需要耗费很长时间检查才能获得准确结果的问题。为实现上述目的,本专利技术实施例第一方面提供一种恶意软件的检测方法,所述方法包括步骤:将可疑的恶意软件载入沙箱进行静态特征分析和动态行为分析;若检测到可疑的恶意软件存在恶意行为,则拦截所述恶意行为并将所述可疑的恶意软件载入终端内存进行隔离运行。结合本专利技术实施例的第一方面,本专利技术实施例的第一方面的第一种实现方式中,所述恶意行为包括更改注册表、写入临时目录或删除文件。结合本专利技术实施例的第一方面,本专利技术实施例的第一方面的第二种实现方式中,所述可疑的恶意软件通过以下方式进行识别:若软件的信息摘要算法值或者哈希值在恶意软件特征库中,则识别该软件为可疑的恶意软件。结合本专利技术实施例的第一方面,本专利技术实施例的第一方面的第三种实现方式中,所述步骤将所述可疑的恶意软件载入终端内存进行隔离运行包括:将所述可疑的恶意软件载入终端内存;将运行所述可疑的恶意软件的进程载入终端内存。结合本专利技术实施例的第一方面,本专利技术实施例的第一方面的第四种实现方式中,所述方法还包括步骤:记录可疑的恶意软件在沙箱中运行的记录和结果;记录可疑的恶意软件在终端内存中运行的记录和结果;将记录的可疑的恶意软件在沙箱中运行的记录和结果和记录的可疑的恶意软件在终端内存中运行的记录和结果进行比较,若不一致则判断为存在沙箱逃逸。此外,为实现上述目的,本专利技术实施例第二方面提供一种恶意软件的检测装置,所述装置包括:沙箱检测模块和隔离运行模块;所述沙箱检测模块,用于将可疑的恶意软件载入沙箱进行静态特征分析和动态行为分析;所述隔离运行模块,用于若所述沙箱检测模块检测到可疑的恶意软件存在恶意行为,则拦截所述恶意行为并将所述可疑的恶意软件载入终端内存进行隔离运行。结合本专利技术实施例的第二方面,本专利技术实施例的第二方面的第一种实现方式中,所述恶意行为包括更改注册表、写入临时目录或删除文件。结合本专利技术实施例的第二方面,本专利技术实施例的第二方面的第二种实现方式中,所述装置还包括识别模块;所述识别模块,用于若软件的信息摘要算法值或者哈希值在恶意软件特征库中,则识别该软件为可疑的恶意软件。结合本专利技术实施例的第二方面,本专利技术实施例的第二方面的第三种实现方式中,所述隔离运行模块包括载入单元;所示载入单元,用于将所述可疑的恶意软件载入终端内存;将运行所述可疑的恶意软件的进程载入终端内存。结合本专利技术实施例的第二方面,本专利技术实施例的第二方面的第四种实现方式中,所述装置还包括第一记录模块、第二记录模块和比较判断模块;所述第一记录模块,用于记录可疑的恶意软件在沙箱中运行的记录和结果;所述第二记录模块,用于记录可疑的恶意软件在终端内存中运行的记录和结果;所述比较判断模块,用于将所述第一记录模块记录的可疑的恶意软件在沙箱中运行的记录和结果和所述第二记录模块记录的可疑的恶意软件在终端内存中运行的记录和结果进行比较,若不一致则判断为存在沙箱逃逸。本专利技术实施例提供的恶意软件的检测方法及装置,通过将可疑的恶意软件载入终端内存进行隔离运行,一方面可避免恶意软件对终端做修改或感染其他系统,另一方面,终端或终端用户不用等待或中断工作,安全部门也可对可疑的恶意软件进行深度分析。附图说明图1为实现本专利技术各个实施例的移动终端的硬件结构示意图;图2为如图1所示的移动终端的无线通信系统示意图;图3为本专利技术实施例提供的恶意软件的检测方法流程示意图;图4为本专利技术实施例提供的恶意软件的检测方法另一流程示意图;图5为本专利技术实施例提供的恶意软件的检测装置结构示意图;图6为本专利技术实施例提供的恶意软件的检测装置中隔离运行模块结构示意图;图7为本专利技术实施例提供的恶意软件的检测装置另一结构示意图。本专利技术目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。具体实施方式应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。现在将参考附图描述实现本专利技术各个实施例的移动终端。在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本专利技术的说明,其本身并没有特定的意义。因此,"模块"与"部件"可以混合地使用。移动终端可以以各种形式来实施。例如,本专利技术中描述的终端可以包括诸如移动电话、智能电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、导航装置等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。下面,假设终端是移动终端。然而,本领域技术人员将理解的是,除了特别用于移动目的的元件之外,根据本专利技术的实施方式的构造也能够应用于固定类型的终端。图1为实现本专利技术各个实施例的移动终端的硬件结构示意。移动终端100可以包括无线通信单元110、A/V(音频/视频)输入单元120、用户输入单元130、感测单元140、输出单元150、存储器160、接口单元170、控制器180和电源单元190等等。图1示出了具有各种组件的移动终端,但是应理解的是,并不要求实施所有示出的组件。可以替代地实施更多或更少的组件。将在下面详细描述移动终端的元件。无线通信单元110通常包括一个或多个组件,其允许移动终端100与无线通信系统或网络之间的无线电通信。例如,无线通信单元可以包括广播接收模块111、移动通信模块112、无线互联网模块113、短程通信模块114和位置信息模块115中的至少一个。广播接收模块111经由广播信道从外部广播管理服务器接收广播信号和/或广播相关信息。广播信道可以包括卫星信道和/或地面信道。广播管理服务器可以是生成并发送广播信号和/或广播相关信息的服务器或者接收之前生成的广播信号和/或广播相关信息并且将其发送给终端的服务器。广播信号可以包括TV广播信号、无线电广播信号、数据广播信号等等。而且,广播信号可以进一步包括与TV或无线电广播信号组合的广播信号。广播相关信息也可以经由移动通信网络提供,并且在该情况下,广播相关信息可以由移动通信模块112来接收。广本文档来自技高网...
一种恶意软件的检测方法及装置

【技术保护点】
一种恶意软件的检测方法,所述方法包括步骤:将可疑的恶意软件载入沙箱进行静态特征分析和动态行为分析;若检测到可疑的恶意软件存在恶意行为,则拦截所述恶意行为并将所述可疑的恶意软件载入终端内存进行隔离运行。

【技术特征摘要】
1.一种恶意软件的检测方法,所述方法包括步骤:将可疑的恶意软件载入沙箱进行静态特征分析和动态行为分析;若检测到可疑的恶意软件存在恶意行为,则拦截所述恶意行为并将所述可疑的恶意软件载入终端内存进行隔离运行。2.根据权利要求1所述的一种恶意软件的检测方法,其特征在于,所述恶意行为包括更改注册表、写入临时目录或删除文件。3.根据权利要求1所述的一种恶意软件的检测方法,其特征在于,所述可疑的恶意软件通过以下方式进行识别:若软件的信息摘要算法值或者哈希值在恶意软件特征库中,则识别该软件为可疑的恶意软件。4.根据权利要求1所述的一种恶意软件的检测方法,其特征在于,所述步骤将所述可疑的恶意软件载入终端内存进行隔离运行包括:将所述可疑的恶意软件载入终端内存;将运行所述可疑的恶意软件的进程载入终端内存。5.根据权利要求1所述的一种恶意软件的检测方法,其特征在于,所述方法还包括步骤:记录可疑的恶意软件在沙箱中运行的记录和结果;记录可疑的恶意软件在终端内存中运行的记录和结果;将记录的可疑的恶意软件在沙箱中运行的记录和结果和记录的可疑的恶意软件在终端内存中运行的记录和结果进行比较,若不一致则判断为存在沙箱逃逸。6.一种恶意软件的检测装置,所述装置包括:沙箱检测模块和隔离运行模块;所述沙箱检测模块,用于将可疑的恶意软...

【专利技术属性】
技术研发人员:杨文峰
申请(专利权)人:努比亚技术有限公司
类型:发明
国别省市:广东,44

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1