【技术实现步骤摘要】
一种面向海量Windows软件的未知恶意代码检测方法及系统
本专利技术属于系统安全
,涉及一种恶意代码检测的方法,特别涉及一种适用于海量Windows平台软件的未知恶意代码检测方法及系统。
技术介绍
计算机技术以及互联网技术的飞速发展带来的影响日益显著,无论是经济、文化、政治还是医疗、教育等领域都产生了巨大的变革。然而,人们在享受这些便利的同时也不可避免的需要考虑一些安全问题,其中最典型的就是恶意代码的攻击和泛滥。恶意代码又称恶意软件,这些软件也可称为广告软件、间谍软件、恶意共享软件。是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件。2018年上半年,360互联网安全中心累计截获新增恶意程序样本1.4亿个。其中,新增PC端恶意程序样本14099.8万个,平均每天截获新增恶意程序样本77.9万个,可以发现PC端恶意程序占据了恶意程序总量的97.9%,因此研究Windows平台下的恶意软件很有必要。恶意软件增长速度越来越快,变种数量增加,家族特征明显。另外一些高级的恶意代码为了保护自己,往往采用高级技术与安全分析人员做对抗。例如通过加壳、混淆等措施增大逆向分析的难度。恶意代码造成的危害巨大,一般具有下述行为的一种或多种:强制安装、浏览器劫持、窃取、修改用户数据、恶意收集用户信息、恶意卸载、恶意捆绑及其他侵犯用户知情权、选择权的恶意行为等。这些行为将严重侵犯用户合法权益,甚至对用户及他人带来巨大的经济或其他形式的利益损失。例如2017年WannaCry“蠕虫 ...
【技术保护点】
1.一种面向海量Windows软件的未知恶意代码检测方法,其特征在于,包括以下步骤:/n对目标软件进行预处理:筛选出格式规范的Windows平台可执行文件,并初步判断是恶意还是良性,若为恶意则作为恶意样本;/n对恶意样本进行静态辅助检测:结合敏感字符串与ImpHash值,自动生成针对恶意样本的规则,根据该规则和已有的规则构建恶意样本的特征库,判断恶意样本是否匹配该特征库的规则,若匹配则判定为恶意,否则为良性;/n对恶意样本进行动态行为分类:动态运行上述判定为良性的恶意样本,获取动态运行时的API调用序列,输入到深度神经网络模型中进行分类,判断其是恶意还是良性;/n若恶意样本被静态辅助检测和动态行为分类中的一个判定为恶意,则最终判定为恶意软件,否则判定为良性软件。/n
【技术特征摘要】
1.一种面向海量Windows软件的未知恶意代码检测方法,其特征在于,包括以下步骤:
对目标软件进行预处理:筛选出格式规范的Windows平台可执行文件,并初步判断是恶意还是良性,若为恶意则作为恶意样本;
对恶意样本进行静态辅助检测:结合敏感字符串与ImpHash值,自动生成针对恶意样本的规则,根据该规则和已有的规则构建恶意样本的特征库,判断恶意样本是否匹配该特征库的规则,若匹配则判定为恶意,否则为良性;
对恶意样本进行动态行为分类:动态运行上述判定为良性的恶意样本,获取动态运行时的API调用序列,输入到深度神经网络模型中进行分类,判断其是恶意还是良性;
若恶意样本被静态辅助检测和动态行为分类中的一个判定为恶意,则最终判定为恶意软件,否则判定为良性软件。
2.如权利要求1所述的方法,其特征在于,预处理方法为检查目标软件的格式,筛选出格式规范的Windows平台可执行文件,再借助在线检测工具VirusTotal进行初步判定是良性还是恶意。
3.如权利要求1所述的方法,其特征在于,利用恶意软件模式匹配工具yara进行静态辅助检测,将yara规则库作为已有的规则库,其包括yara-rules官方库以及由ClamAV特征码转换后的yara规则库。
4.如权利要求1所述的方法,其特征在于,敏感字符串的提取方法是,首先获取恶意样本的可打印字符串,然后删除提前收集的良性软件中存在的所有字符串,保留恶意软件字符串集合,最后筛选出敏感的字符串集合,该集合包含一定数量的URL、IP、Hash、File,系统敏感位置和注册表路径。
5.如权利要求1所述的方法,其特征在于,结合ImpHash值生成针对恶意样本的规则,其方法为,基于导入地址表中库/API名称及其在可执行文件中的特定顺序创建散列,如果文件之间具有相同的ImpHash值,则判定这些文件具有相同的导入地...
【专利技术属性】
技术研发人员:贾晓启,李帅,陈阳,杜海超,白璐,解亚敏,唐静,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。