一种基于计算机内存分析技术的木马检测方法技术

本发明专利技术的基于计算机内存分析技术的木马检测方法，包括行为监控、恶意代码检测、磁盘信息综合分析、综合关联分析、检测结果呈现；行为监控包括进程操作、注册表操作、文件操作和网络数据监控，恶意代码检测包括动态链接库检测、恶意进程、隐藏进程检测、驱动检测，磁盘信息综合分析包括注册表启动项、文件扫描、PE文件解析。本发明专利技术的木马检测方法，对于存在加密保护的恶意代码，其在内存中运行时的状态是解密状态，使用本技术检测此类恶意代码无需进行解密，检测结果更为可靠，能有效防止rootkit攻击对木马检测结果造成的影响。

【技术实现步骤摘要】
一种基于计算机内存分析技术的木马检测方法
本专利技术涉及一种木马检测方法，更具体的说，尤其涉及一种基于计算机内存分析技术的木马检测方法。本方法将应用于信息安全领域，主要用于信息安全事件和各类计算机攻击事件的检测。
技术介绍
a).木马；命名来源于古希腊神话中的“特洛伊木马”，这是因为该类型的恶意程序，同特洛伊木马一样，其最大的特点是隐蔽性强，不易被发现。这里特指进入宿主计算机后潜伏下来向木马操控者发送宿主计算机信息的一类间谍代码。一旦进入计算机，木马程序会主动搜索系统资源，获得必要的合法存在条件，或者避免被捕获查杀，之后，程序会在一定状态下启动并控制该计算机，在一定条件下，还会同远端的服务器通讯，传输窃取的资源。同一个木马程序中可同时出现以上多种功能。从木马对计算机系统的破坏性来看，主要包括以下两类：1）以获取操作权为目的的木马，典型的是远程控制程序。该类木马能够在用户毫无知觉的情况，与用户共同控制计算机系统，甚至可以屏蔽或者剥夺用户的控制权。该类型的木马能够获得计算机的屏幕画面、修改注册表信息、截获用户的键盘操作和鼠标事件、任意阅读系统内的各类文件等，危害性极大。2）以某些计算机系本文档来自技高网...

【技术保护点】
1.一种基于计算机内存分析技术的木马检测方法，其特征在于，包括行为监控、恶意代码检测、磁盘信息综合分析、综合关联分析、检测结果呈现；行为监控包括进程操作行为监控、注册表操作行为监控、文件操作行为监控和网络数据监控，恶意代码检测包括基于内存分析技术的动态链接库检测、恶意进程检测、隐藏进程检测、驱动检测，磁盘信息综合分析包括注册表启动项检测、文件扫描检测、文件关联检测、PE文件解析；综合关联分析包括进程监控、文件监控与注册表监控的关联，恶意进程与自启动项的关联，进程与网络连接的关联；检测结果处理包括样本提取、风险评估、检测报告生成；行为监控通过监控网络数据、进程变化、操作的文件和注册表信息检测异常...

【技术特征摘要】
1.一种基于计算机内存分析技术的木马检测方法，其特征在于，包括行为监控、恶意代码检测、磁盘信息综合分析、综合关联分析、检测结果呈现；行为监控包括进程操作行为监控、注册表操作行为监控、文件操作行为监控和网络数据监控，恶意代码检测包括基于内存分析技术的动态链接库检测、恶意进程检测、隐藏进程检测、驱动检测，磁盘信息综合分析包括注册表启动项检测、文件扫描检测、文件关联检测、PE文件解析；综合关联分析包括进程监控、文件监控与注册表监控的关联，恶意进程与自启动项的关联，进程与网络连接的关联；检测结果处理包括样本提取、风险评估、检测报告生成；行为监控通过监控网络数据、进程变化、操作的文件和注册表信息检测异常行为来实现。2.根据权利要求1所述的基于计算机内存分析技术的木马检测方法，其特征在于：进程操作行为监控以驱动和内存分析相结合的方式监控系统中正在运行的进程变化情况，注册表操作行为监控以安装注册表监控驱动的方式，监控进程对注册表项包括创建、修改在内的操作行为，将进程对注册表的操作行为与注册表操作规则库进行比较，如果符合注册表操作规则库的行为，则认为其存在恶意行为；文件操作行为监控以安装文件过滤驱动的方式，监控进程对文件包括创建、打开、读取、写入、删除在内的操作行为，并将进程对文件的操作行为与文件操作规则库进行比较，如果符合文件操作规则库中的行为，则认为其存在恶意行为；其中，注册表操作规则库为事先人为设定的存在恶意行为的册表操作集合，文件操作规则库为事先人为设定的存在恶意行为的文件操作集合。3.根据权利要求1或2所述的基于计算机内存分析技术的木马检测方法，其特征在于：网络数据监控通过捕获网络数据包获取远程控制指令、访问的域名和URL、网络连接的心跳信息，然后将远程控制指令与远控指令特征库进行匹配，如果远程控制指令存在于远控指令特征库中，则判断其存在木马的远程控制行为，根据域名和URL的黑名单设置，记录可疑域名和URL的访问告警，记录的内容包括访问的描述、访问时间、执行访问进程的PID、域名和URL名称；根据心跳信息判断是否有可疑的木马行为，如果每隔30秒或60秒主机会尝试向某一特定IP地址发数据包,则认为主机存在可疑的木马行为；其中，远控指令特征库为事先人为设定的存在恶意行为的远控指令的集合，URL的黑名单为事先人为设定的存在恶意行为的URL集合。4.根据权利要求1或2所述的基于计算机内存分析技术的木马检测方法，其特征在于：所述磁盘信息综合分析通过对磁盘上的信息或文件进行静态检测的方法完成恶意代码的检测，动态链接库检测的方法为：首先获取进程所调用的所有动态链接库的链表，然后遍历进程的vad树，获取进程中加载的是“读写可执行”属性的PE文件，如果获取的PE文件所在物理内存中的页面不存在于动态连接库的链表的任一动态链接库所占用的物理内存页面中，则认为所获取的PE文件是被恶意注入的动态链接库文件。5.根据权利要求1或2所述的基于计算机内存分析技术的木马检测方法，其特征在于：可疑进程的检测包括：异常派生路径检测、异常DLL调用检测、可执行文件样本检测、操作对象检测、路径一致性检测、特殊类型进程检测；异常派生路径检测通过将进程在派生关系树中所在的路径与正常计算机的进程派生树相比，如果不存在相一致的路径，则表明进程存...

【专利技术属性】
技术研发人员：徐丽娟，王连海，徐淑奖，韩晓晖，张睿超，周洋，
申请(专利权)人：山东省计算中心国家超级计算济南中心，
类型：发明
国别省市：山东,37