The invention discloses a method and device for detecting malicious files, the method comprises the following steps: acquiring the sample file to be detected; run the sample files, run and monitor behavior sample files, log files; analyze log files, and matching rules based on the preset malware detection. The present invention by running the sample files in the virtual machine, and then run the monitoring program in the virtual machine, operating behavior record sample files, then generate the log file, and then through the characteristics of rule extraction of these log files, the final sample file malware detection, the invention can greatly improve the efficiency and the analysis of the virus. To find a new sample of the current anti-virus software can not detect or some kind of behavior specific types of samples, so as to improve the detection accuracy of virus samples.
【技术实现步骤摘要】
本专利技术涉及计算机安全
,尤其涉及一种基于运行行为日志分析的恶意文件检测方法及装置。
技术介绍
目前,随着病毒、恶意软件的大肆泛滥,病毒样本分析技术也得到不断提高,通过病毒样本分析,使病毒分析人员可快速鉴定病毒并了解其行为,从而制定相应的反病毒策略,对病毒进行有效拦截,保护用户系统免受破坏。目前基于云的反病毒系统可及时有效的获取到最新的样本,同时也带来了海量的样本库。由于人工分析病毒比较费时费力,单靠人工分析无法应对当前飞速增长的大量病毒,因此需要结合各种病毒自动化分析技术来提高病毒分析的效率。现有的病毒分析技术主要包括:启发式病毒分析技术、抗静态病毒分析技术、虚拟机检测病毒技术以及主动防御(实时防御)检测技术,其中:启发式病毒分析是利用病毒运行和程序正常运行时的行为模式的不同来判断一个程序是否是病毒,这种方式是通过总结大量病毒的运行行为而得出分析结果,比如通过病毒自启动、传播、盗号等行为总结出一定的行为模式规则,以此来检测病毒。但是这种病毒分析效率不高,而且病毒检测不够准确。对于抗静态病毒分析技术,启发式分析中静态分析技术比较简单且检测速度快,但是不能对付加壳、混淆、变形以及多态病毒,因为这类病毒通过各种技术模糊了自身的代码,而静态分析无法处理这类样本来了解病毒行为从而判断其恶意属性。对于虚拟机检测病毒技术,可以用来应对加壳或加花指令、混淆、变形病 ...
【技术保护点】
一种恶意文件检测方法,其特征在于,包括:获取待检测的样本文件;运行所述样本文件,并监控所述样本文件的运行行为,生成日志文件;分析所述日志文件,并基于预置的匹配规则进行恶意文件检测。
【技术特征摘要】
1.一种恶意文件检测方法,其特征在于,包括:
获取待检测的样本文件;
运行所述样本文件,并监控所述样本文件的运行行为,生成日志文件
;
分析所述日志文件,并基于预置的匹配规则进行恶意文件检测。
2.根据权利要求1所述的方法,其特征在于,所述获取待检测的样本文件
的步骤之后还包括:
对所述样本文件进行格式识别、解压缩和\\或筛选处理,得到可运行的
样本文件。
3.根据权利要求1所述的方法,其特征在于,所述运行样本文件,并监控
所述样本文件的运行行为,生成日志文件的步骤包括:
对运行样本文件的虚拟机进行环境初始化操作;
将所述样本文件复制到虚拟机的固定目录;
在所述虚拟机中运行所述样本文件,并通过监控工具对运行过程中所
述样本文件的运行行为进行监控,生成日志文件。
4.根据权利要求3所述的方法,其特征在于,所述运行样本文件,并监控
所述样本文件的运行行为,生成日志文件的步骤还包括:
将所述日志文件从所述虚拟机复制到物理机的固定目录。
5.根据权利要求4所述的方法,其特征在于,所述分析日志文件,并基于
预置的匹配规则进行恶意文件检测的步骤包括:
从所述物理机的固定目录获取所述日志文件;
分析所述日志文件的运行行为;
将所述日志文件的运行行为与预置的匹配规则中的恶意日志进行匹配
;
若匹配成功,则检测出所述日志文件对应的样本文件为恶意文件。
6.根据权利要求1-5中任一项所述的方法,其特征在于,所述运行行为包
括:对文件、注册表、进程和/或网络信息的相关操作;所述日志...
【专利技术属性】
技术研发人员:李萌萌,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。