恶意文件检测方法及装置制造方法及图纸

本发明专利技术公开一种恶意文件检测方法及装置，其方法包括：获取待检测的样本文件；运行样本文件，并监控样本文件的运行行为，生成日志文件；分析日志文件，并基于预置的匹配规则进行恶意文件检测。本发明专利技术通过在虚拟机中运行样本文件，然后在虚拟机中运行监控程序，记录样本文件的运行行为，以此生成日志文件，然后再通过提取的特征规则对这些日志文件进行匹配，最终实现样本文件的恶意检测，本发明专利技术可大大提高病毒分析效率，并可及时找出当前反病毒软件无法检测出的新样本或某类有特定行为类型的样本，从而提高了病毒样本的检测准确率。

Method and device for detecting malicious files

The invention discloses a method and device for detecting malicious files, the method comprises the following steps: acquiring the sample file to be detected; run the sample files, run and monitor behavior sample files, log files; analyze log files, and matching rules based on the preset malware detection. The present invention by running the sample files in the virtual machine, and then run the monitoring program in the virtual machine, operating behavior record sample files, then generate the log file, and then through the characteristics of rule extraction of these log files, the final sample file malware detection, the invention can greatly improve the efficiency and the analysis of the virus. To find a new sample of the current anti-virus software can not detect or some kind of behavior specific types of samples, so as to improve the detection accuracy of virus samples.

【技术实现步骤摘要】

本专利技术涉及计算机安全
，尤其涉及一种基于运行行为日志分析的恶意文件检测方法及装置。
技术介绍
目前，随着病毒、恶意软件的大肆泛滥，病毒样本分析技术也得到不断提高，通过病毒样本分析，使病毒分析人员可快速鉴定病毒并了解其行为，从而制定相应的反病毒策略，对病毒进行有效拦截，保护用户系统免受破坏。目前基于云的反病毒系统可及时有效的获取到最新的样本，同时也带来了海量的样本库。由于人工分析病毒比较费时费力，单靠人工分析无法应对当前飞速增长的大量病毒，因此需要结合各种病毒自动化分析技术来提高病毒分析的效率。现有的病毒分析技术主要包括：启发式病毒分析技术、抗静态病毒分析技术、虚拟机检测病毒技术以及主动防御（实时防御）检测技术，其中：启发式病毒分析是利用病毒运行和程序正常运行时的行为模式的不同来判断一个程序是否是病毒，这种方式是通过总结大量病毒的运行行为而得出分析结果，比如通过病毒自启动、传播、盗号等行为总结出一定的行为模式规则，以此来检测病毒。但是这种病毒分析效率不高，而且病毒检测不够准确。对于抗静态病毒分析技术，启发式分析中静态分析技术比较简单且检测速度快，但是不能对付加壳、混淆、变形以及多态病毒，因为这类病毒通过各种技术模糊了自身的代码，而静态分析无法处理这类样本来了解病毒行为从而判断其恶意属性。对于虚拟机检测病毒技术，可以用来应对加壳或加花指令、混淆、变形病毒，虚拟机一般通过模拟CPU和文件、内存管理系统以及系统API进而模拟代码的执行过程，病毒程序在虚拟机的虚拟环境中执行而不是被真实的执行，监控系统内软件运行时的行为，根据这些行为日志匹配一些规则，如果匹配到则说明发现了可疑样本。但是，由于虚拟系统比较耗费系统资源，因此这类虚拟机并没有完全的模拟整个系统。病毒可以运行一些特殊指令，此时如果虚拟机没有模拟这条指令，病毒就能检测到自己运行到虚拟机下，则会改变执行流程，比如不执行恶意行为等，从而逃过反病毒软件检测。此外，这类虚拟技术不够稳定，在客户端使用时比较耗费系统资源，导致用户机器运行缓慢。主动防御（实时防御）检测技术是通过对系统中的一些关键API进行hook，记录下哪些程序调用了这些API以及调用时的参数，通过一个进程运行时调用的API序列可大致了解该程序的行为，判断其恶意属性，经判断为恶意程序则可及时阻止该恶意程序执行。这种检测技术虽然耗费资源较小，但是，在检测到病毒时，病毒可能已在系统中运行并对系统造成了损害。而且，如果病毒采用一些反病毒软件未hook的API来实现其功能，则可绕过主动防御系统。因此，现有的病毒样本分析技术对病毒的检测存在较大风险，易被病毒发现而绕过，使得检测准确率不高，而且病毒分析效率也不高。
技术实现思路
本专利技术的主要目的在于提供一种恶意文件检测方法及装置，旨在提高病毒检测准确率及病毒分析的效率。为了达到上述目的，本专利技术提出一种恶意文件检测方法，包括：获取待检测的样本文件；运行所述样本文件，并监控所述样本文件的运行行为，生成日志文件；分析所述日志文件，并基于预置的匹配规则进行恶意文件检测。本专利技术还提出一种恶意文件检测装置，包括：获取模块，用于获取待检测的样本文件；运行监控模块，用于运行所述样本文件，并监控所述样本文件的运行行为，生成日志文件；分析检测模块，用于分析所述日志文件，并基于预置的匹配规则进行恶意文件检测。本专利技术提出的一种恶意文件检测方法及装置，通过在虚拟机中运行样本文件，然后在虚拟机中运行监控程序，记录样本文件的运行行为，以此生成日志文件，然后再通过提取的特征规则对这些日志文件进行匹配，最终实现样本文件的恶意检测，本专利技术可大大提高病毒分析效率，并可及时找出当前反病毒软件无法检测出的新样本或某类有特定行为类型的样本，从而提高了病毒样本的检测准确率。附图说明图1是本专利技术恶意文件检测方法较佳实施例的流程示意图；图2是本专利技术恶意文件检测方法较佳实施例中运行所述样本文件，并监控所述样本文件的运行行为，生成日志文件的流程示意图；图3是本专利技术恶意文件检测方法较佳实施例中分析所述日志文件，并基于预置的匹配规则进行恶意文件检测的流程示意图；图4是本专利技术恶意文件检测装置较佳实施例的结构示意图；图5是本专利技术恶意文件检测装置较佳实施例中运行监控模块的结构示意图；图6是本专利技术恶意文件检测装置较佳实施例中分析检测模块的结构示意图。为了使本专利技术的技术方案更加清楚、明了，下面将结合附图作进一步详述。具体实施方式本专利技术实施例的解决方案主要是：通过在虚拟机中运行样本文件，然后在虚拟机中运行监控程序，记录样本文件的运行行为，包括对样本文件、注册表、网络、进程相关的读写、修改信息记录，由此生成日志文件，然后再通过提取的特征规则对这些日志文件进行匹配，如果匹配到则表明该样本文件为恶意样本，从而实现病毒的自动化行为分析。如图1所示，本专利技术较佳实施例提出一种恶意文件检测方法，包括：步骤S101，获取待检测的样本文件；待检测的样本文件可以不限定其获取来源，比如可以从指定位置下载。获取的待检测样本文件将被输入至自动化监控系统。以病毒为例，本实施例所设置的自动化监控系统用于批量的自动化运行病毒并记录病毒运行时的行为得到日志文件，供分析人员查看，从而快速了解病毒行为，节省人力。其中，自动化监控系统只能运行exe程序，而下载的样本文件可能有很多压缩包（rar、zip、7z等）、dll、sys等文件。因此首先需要对下载下来的所有样本文件进行格式识别、解压缩及筛选处理，如果是压缩包则使用解压工具解压，然后筛选出样本中的exe文件和解压后的exe文件放到固定的文件夹，作为自动化监控系统运行的样本来源。步骤S102，运行所述样本文件，并监控所述样本文件的运行行为，生成日志文件；如前所述，待检测的样本文件本被输入至自动化监控系统，由自动化监控系统运行样本文件并监控样本文件的运行行为得到日志文件，供分析人员查看，以便快速了解病毒等恶意文件的行为。本实施例在自动化监控系统中，使用了虚拟软件VMware和监控工具ProcessMonitor工具，在虚拟机中通过AutoIt脚本程序来控制上述工具的运行，自动化控制系统输出的文件是每个样本文件运行行为的日志文件（ProcessMonito本文档来自技高网...

【技术保护点】
一种恶意文件检测方法，其特征在于，包括：获取待检测的样本文件；运行所述样本文件，并监控所述样本文件的运行行为，生成日志文件；分析所述日志文件，并基于预置的匹配规则进行恶意文件检测。

【技术特征摘要】
1.一种恶意文件检测方法，其特征在于，包括：
获取待检测的样本文件；
运行所述样本文件，并监控所述样本文件的运行行为，生成日志文件
；
分析所述日志文件，并基于预置的匹配规则进行恶意文件检测。
2.根据权利要求1所述的方法，其特征在于，所述获取待检测的样本文件
的步骤之后还包括：
对所述样本文件进行格式识别、解压缩和\\或筛选处理，得到可运行的
样本文件。
3.根据权利要求1所述的方法，其特征在于，所述运行样本文件，并监控
所述样本文件的运行行为，生成日志文件的步骤包括：
对运行样本文件的虚拟机进行环境初始化操作；
将所述样本文件复制到虚拟机的固定目录；
在所述虚拟机中运行所述样本文件，并通过监控工具对运行过程中所
述样本文件的运行行为进行监控，生成日志文件。
4.根据权利要求3所述的方法，其特征在于，所述运行样本文件，并监控
所述样本文件的运行行为，生成日志文件的步骤还包括：
将所述日志文件从所述虚拟机复制到物理机的固定目录。
5.根据权利要求4所述的方法，其特征在于，所述分析日志文件，并基于
预置的匹配规则进行恶意文件检测的步骤包括：
从所述物理机的固定目录获取所述日志文件；
分析所述日志文件的运行行为；
将所述日志文件的运行行为与预置的匹配规则中的恶意日志进行匹配
；
若匹配成功，则检测出所述日志文件对应的样本文件为恶意文件。
6.根据权利要求1-5中任一项所述的方法，其特征在于，所述运行行为包
括：对文件、注册表、进程和/或网络信息的相关操作；所述日志...

【专利技术属性】
技术研发人员：李萌萌，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东;44