【技术实现步骤摘要】
本专利技术涉及计算机安全
,具体涉及对文件行为特征进行检测的系统。
技术介绍
一些黑客经常会向文件中写入恶意代码,使得文件成为恶意文件,网络用户在从网站上下载这些文件(例如游戏或其他程序等)或者从其他的移动存储设备拷贝这些文件时,就会连同恶意代码一并带入自己的电脑,从而对用户电脑造成危害或者给用户带来各种干扰。因此,有效地检测出文件中是否包为恶意文件是非常重要的。最初,一般会通过文 件的一些静态特征对文件进行检测,例如,文件的名称、MD5值等等。但是如果文件版本更新,或者恶意代码结构变化,这些静态特征就会失效,需要进行修改,因此检测的有效性不高,并且需要的维护成本也会比较高。为此,出现了基于文件的行为特征对文件进行检测的方法。在该方法中,一般是预先收集各种可能出现的恶意的行为特征,将待检测文件投入到沙箱中运行,记录运行过程中产生的行为,并与预先收集的恶意行为特征进行比对,根据出现的恶意行为特征的数量,来确定文件为恶意文件的概率。例如,恶意行为特征库中有100条恶意的行为特征(这些行为特征是从已知的各种恶意文件的行为中提取出来的,通常称为黑行为特征),有一个文件在运...
【技术保护点】
一种对文件行为特征进行检测的系统,包括客户端及服务器端:其中,所述客户端包括:文件上传单元,用于将疑似恶意的文件样本上传到所述服务器端;所述服务器端包括:第一待检测文件确定单元,用于将所述客户端上传的文件样本确定为待检测样本;和检测恶意文件的装置。
【技术特征摘要】
1.一种对文件行为特征进行检测的系统,包括客户端及服务器端 其中,所述客户端包括 文件上传单元,用于将疑似恶意的文件样本上传到所述服务器端; 所述服务器端包括 第一待检测文件确定单元,用于将所述客户端上传的文件样本确定为待检测样本;和 检测恶意文件的装置。2.如权利要求I所述的系统,其中,所述检测恶意文件的装置包括 文件类别确定单元,用于确定待检测文件所属的类别; 行为收集单元,用于将所述待检测文件投入到该类别对应的沙箱中运行,收集所述待检测文件在运行过程中产生的行为; 特征比对单元,用于将所述待检测文件在运行过程中产生的行为与该类别对应的非恶意行为特征库中的行为特征进行比对,所述该类别对应的非恶意行为特征库中的行为特征为该类别的非恶意文件所具有的行为特征;以及 检测结果确定单元,用于如果存在所述非恶意行为特征库之外的行为,则将该待检测文件确定为恶意文件。3.根据权利要求2所述的系统,所述文件类别确定单元包括 静态分析子单元,用于根据待检测文件的文件静态特征,确定待检测文件所属的类别。4.根据权利要求3所述的系统,所述文件静态特征包括文件的图标、大小和/或代码的循环冗余校验码CRC。5.根据权利要求2所述的系统,所述文件类别确定单元包括 网站分析子单元,用于如果所述待检测文件来源于网站,则根据网站所属的类别确定待检测文件所属的类别。6.根据权利要求2所述的系统,所述待检测文件所属的类别包括私服类,所述该类别对应的非恶意行为特征库中的行为特征包括 遍历目录查找游戏、查找游戏程序窗口和/或加载具有特定路径及文件名的动态链接库文件。7.根据权利要求2所述的系统,所述待检测文件所属的类别包括外挂类,所述该类别对应的非恶意行为特征库中的行为特征包括 创建非恶意文件、遍历目录查找游戏、加载具有特定路径及文件名的动态链接库文件、对游戏进程的操作和/或非恶意的网络操作。8.根据权利要求I至7任一项所述的系统,还包括 第一文件确定单元,用于接收客户端上传的新的文件样本,将新上传的文件样本确定为所述待检测文件; 或者, 第二文件确定单元,用于从互联网上收集新的文件样本,将新收集到的新的...
【专利技术属性】
技术研发人员:梁志文,张海,林岳川,徐立业,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。