【技术实现步骤摘要】
一种用于恶意程序检测的行为白名单自动收集方法
本专利技术涉及计算机安全
,尤其涉及一种用于恶意程序检测的行为白名单自动收集方法。
技术介绍
恶意程序是指人为编制的、对网络或系统会产生威胁或潜在威胁的计算机代码。最常见的恶意程序种类包括病毒、木马、蠕虫、后门、广告、勒索、间谍等。随着杀毒软件的不断发展,恶意程序也在不断的演化升级,呈现出变种数量多、隐蔽性强、传播速度快、影响范围广、恶意行为越来越复杂等特点。主流的恶意程序检测技术分为两类:一类是基于规则式的检测方法,一类是基于启发式的检测方法。基于规则式的检测方法主要利用恶意代码特征规则库(包括恶意指令的指纹特征、恶意行为的模式特征)对样本进行检测和归类。基于启发式的检测方法通过收集样本的静态特征数据、动态行为数据构造特征向量,再通过机器学习或深度学习算法进行训练、建模、分类,分类结果就代表了样本的风险性。白名单过滤技术是基于启发式的恶意程序检测软件减少误报的主要途径之一,白名单的覆盖范围直接决定了恶意程序检测软件的品质好坏。但是白名单也不是越大越好,随着白名单容...
【技术保护点】
1.一种用于恶意程序检测的行为白名单自动收集方法,其特征在于:所述自动收集方法包括:/n将经过处理后标记为正常的样本程序入库,中心服务器将对每个入库样本的样本原文件分发给多个沙箱分析程序并全程监控沙箱分析程序的任务状态;/n沙箱分析程序对单个样本分析并形成分析日志后传送回中心服务器,中心服务器调用动态日志分析模块形成单个样本的白名单列表;/n对单个样本的白名单列表进行去重和模板统计处理后整合到总体白名单中,并按照样本类别分类存储到数据库中;/n重复上述第二和第三步骤,直到所有统计模板存储到数据库中。/n
【技术特征摘要】
1.一种用于恶意程序检测的行为白名单自动收集方法,其特征在于:所述自动收集方法包括:
将经过处理后标记为正常的样本程序入库,中心服务器将对每个入库样本的样本原文件分发给多个沙箱分析程序并全程监控沙箱分析程序的任务状态;
沙箱分析程序对单个样本分析并形成分析日志后传送回中心服务器,中心服务器调用动态日志分析模块形成单个样本的白名单列表;
对单个样本的白名单列表进行去重和模板统计处理后整合到总体白名单中,并按照样本类别分类存储到数据库中;
重复上述第二和第三步骤,直到所有统计模板存储到数据库中。
2.根据权利要求1所述的一种用于恶意程序检测的行为白名单自动收集方法,其特征在于:所述中心服务器将对每个入库样本的样本原文件分发给多个沙箱分析程序并全程监控沙箱分析程序的任务状态包括:
中心服务器启动多个线程,每个线程分配一到多个沙箱分析程序,通过ICE接口下发分析任务和查询分析状态,状态查询通过轮询机制实现;
每个样本文件需要多次下发到沙箱分析程序进行分析,同时在查询到分析状态是完成时,接收来自沙箱分析程序返回的由进程树和一条条行为项组成的分析日志文件。
3.根据权利要求2所述的一种用于恶意程序检测的行为白名单自动收集方法,其特征在于:在向沙箱分析程序下发分析任务之前需要先查询其支持的样本类型,再从数据库中获取对应类别的原始样本文件,同时记录下当前的查询位置。
4.根据权利要求2所述的一种用于恶意程序检测的行为白名单自动收集方法,其特征在于:所述沙箱分析程序对单个样本分析并形成分析日志后传送回中心服务器,中心服务器调用动态日志分析模块形成单个样本的白名单列表包括:
下发任务线程在获取到分析日志文件后将分析日志传递给动态日志分析模块;
动态日志分析模块从代表进程关系的条目中重建进程树,并对行为项按触发时间从小到大进行排序,再逐条分析行为项;
分析完日志文件的所用行为项后最终生成单个样本的白名单行为列表。
5.根据权利要求4所述的一种用于恶意程序检测的行为白名单自动收集方法,其特征在于:在所述动态日志分析模块内置有一个词典,其至少包含多个字母英文单词和常见的中文词组;所述动态日志分析模块通过提取出行为参数,并通过去随机算法和版本号检测对可变部分进行通配符替换的方式对行为项进行逐条分析。
6.根据权利要求5所述的一种用于恶意程序检测的行为白名单自动收集方法,其特征...
【专利技术属性】
技术研发人员:俞祥基,王宗才,胡周,毛春森,张洁,赵键,邓金祥,胡勇,王炜,
申请(专利权)人:成都安思科技有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。