本发明专利技术公开了对文件行为特征进行检测的系统,包括客户端及服务器端:其中,所述客户端包括:文件上传单元,用于将疑似恶意的文件样本上传到所述服务器端;所述服务器端包括:第一待检测文件确定单元;文件类别确定单元;行为收集单元;特征比对单元,用于将所述待检测文件在运行过程中产生的行为与该类别对应的非恶意行为特征库中的行为特征进行比对,所述该类别对应的非恶意行为特征库中的行为特征为该类别的非恶意文件所具有的行为特征;以及检测结果确定单元,用于如果存在所述非恶意行为特征库之外的行为,则将该待检测文件确定为恶意文件。能够降低误判率,提高检测结果的准确度。
【技术实现步骤摘要】
本专利技术涉及计算机安全
,具体涉及对文件行为特征进行检测的系统。
技术介绍
一些黑客经常会向文件中写入恶意代码,使得文件成为恶意文件,网络用户在从网站上下载这些文件(例如游戏或其他程序等)或者从其他的移动存储设备拷贝这些文件时,就会连同恶意代码一并带入自己的电脑,从而对用户电脑造成危害或者给用户带来各种干扰。因此,有效地检测出文件中是否包为恶意文件是非常重要的。最初,一般会通过文 件的一些静态特征对文件进行检测,例如,文件的名称、MD5值等等。但是如果文件版本更新,或者恶意代码结构变化,这些静态特征就会失效,需要进行修改,因此检测的有效性不高,并且需要的维护成本也会比较高。为此,出现了基于文件的行为特征对文件进行检测的方法。在该方法中,一般是预先收集各种可能出现的恶意的行为特征,将待检测文件投入到沙箱中运行,记录运行过程中产生的行为,并与预先收集的恶意行为特征进行比对,根据出现的恶意行为特征的数量,来确定文件为恶意文件的概率。例如,恶意行为特征库中有100条恶意的行为特征(这些行为特征是从已知的各种恶意文件的行为中提取出来的,通常称为黑行为特征),有一个文件在运行过程中产生的行为命中了其中的10条,可能该文件的危险级别比较低,如果另一文件在运行过程中产生的行为命中了其中的50条,则该文件的危险级别就比较高,等等。但是,现有技术中的这种基于行为特征的检测方法,容易造成误报。例如,文件加壳的目的一般是阻止对文件的反汇编分析或者动态分析,以达到它不可告人的目的。文件加壳行为一般会被作为恶意的特征保存在沙箱中,于是只要是加壳的文件,都被认为存在一定的危险性。然而有些情况下,文件加壳却是一种正常的行为,可能是用来保护文件的版权,防止被软件破解,等等。例如,视频教程文件等,为了保密等原因,可能会对文件进行加壳,但这并不意味着该文件就是含有恶意代码的恶意文件,如果直接将其判定为恶意文件,则可能会是一种误判。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的对文件行为特征进行检测的系统。在本专利技术的一个方面,提供了一种对文件行为特征进行检测的系统,包括客户端及服务器端其中,所述客户端包括文件上传单元,用于将疑似恶意的文件样本上传到所述服务器端;所述服务器端包括第一待检测文件确定单元,用于将所述客户端上传的文件样本确定为待检测样本;以及检测恶意文件的装置。任选地,所述检测恶意文件的装置包括文件类别确定单元,用于确定待检测文件所属的类别;行为收集单元,用于将所述待检测文件投入到该类别对应的沙箱中运行,收集所述待检测文件在运行过程中产生的行为;特征比对单元,用于将所述待检测文件在运行过程中产生的行为与该类别对应的非恶意行为特征库中的行为特征进行比对,所述该类别对应的非恶意行为特征库中的行为特征为该类别的非恶意文件所具有的行为特征;以及 检测结果确定单元,用于如果存在所述非恶意行为特征库之外的行为,则将该待检测文件确定为恶意文件。任选地,所述文件类别确定单元包括静态分析子单元,用于根据待检测文件的文件静态特征,确定待检测文件所属的类别。任选地,所述文件静态特征包括文件的图标、大小和/或代码的循环冗余校验码CRC。任选地,所述文件类别确定单元包括网站分析子单元,用于如果所述待检测文件来源于网站,则根据网站所属的类别确定待检测文件所属的类别。任选地,所述待检测文件所属的类别包括私服类,所述该类别对应的非恶意行为特征库中的行为特征包括遍历目录查找游戏、查找游戏程序窗口和/或加载具有特定路径及文件名的动态链接库文件。任选地,所述待检测文件所属的类别包括外挂类,所述该类别对应的非恶意行为特征库中的行为特征包括创建非恶意文件、遍历目录查找游戏、加载具有特定路径及文件名的动态链接库文件、对游戏进程的操作和/或非恶意的网络操作。任选地,该系统还包括第一文件确定单元,用于接收客户端上传的新的文件样本,将新上传的文件样本确定为所述待检测文件;或者,第二文件确定单元,用于从互联网上收集新的文件样本,将新收集到的新的文件样本确定为所述待检测文件。在本专利技术的另一方面,提供了一种对文件行为特征进行检测的系统,包括样本收集单元,用于从互联网上收集文件样本;第二待检测文件确定单元,用于将收集到的文件样本确定为待检测文件;以及检测恶意文件的装置。任选地,所述检测恶意文件的装置包括文件类别确定单元,用于确定待检测文件所属的类别;行为收集单元,用于将所述待检测文件投入到该类别对应的沙箱中运行,收集所述待检测文件在运行过程中产生的行为;特征比对单元,用于将所述待检测文件在运行过程中产生的行为与该类别对应的非恶意行为特征库中的行为特征进行比对,所述该类别对应的非恶意行为特征库中的行为特征为该类别的非恶意文件所具有的行为特征;以及检测结果确定单元,用于如果存在所述非恶意行为特征库之外的行为,则将该待检测文件确定为恶意文件。任选地,所述文件类别确定单元包括静态分析子单元,用于根据待检测文件的文件静态特征,确定待检测文件所属的类别。 任选地,所述文件静态特征包括文件的图标、大小和/或代码的循环冗余校验码CRC。任选地,所述文件类别确定单元包括网站分析子单元,用于如果所述待检测文件来源于网站,则根据网站所属的类别确定待检测文件所属的类别。任选地,所述待检测文件所属的类别包括私服类,所述该类别对应的非恶意行为特征库中的行为特征包括遍历目录查找游戏、查找游戏程序窗口和/或加载具有特定路径及文件名的动态链接库文件。任选地,所述待检测文件所属的类别包括外挂类,所述该类别对应的非恶意行为特征库中的行为特征包括创建非恶意文件、遍历目录查找游戏、加载具有特定路径及文件名的动态链接库文件、对游戏进程的操作和/或非恶意的网络操作。任选地,该系统还包括第一文件确定单元,用于接收客户端上传的新的文件样本,将新上传的文件样本确定为所述待检测文件;或者,第二文件确定单元,用于从互联网上收集新的文件样本,将新收集到的新的文件样本确定为所述待检测文件。根据本专利技术的对文件行为特征进行检测的系统,可以根据同类的无恶意文件所表现出来的共有的行为特征建立各类文件的无恶意行为特征库,这样,在进行检测时,可以首先确定出待检测文件所属的类别,并将待检测文件投入到该类文件对应的沙箱中运行,记录待检测文件在运行过程中发生的所有行为,并将这些行为与该类文件对应的无恶意行为特征库中的各个行为进行比对,如果出现了无恶意行为特征库之外的行为,则可以将待检测文件确定为恶意文件。通过该方法,由于可以对不同的文件按照类别进行检测,因此,可以大大降低误判率,提高检测结果的准确度。上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。附图说明通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中图I示出了根据本专利技术一个实施例的方法的流程图;图2示出了根据本专利技术一个实施例的装置的示意图;图3示出了根据本文档来自技高网...
【技术保护点】
一种对文件行为特征进行检测的系统,包括客户端及服务器端:其中,所述客户端包括:文件上传单元,用于将疑似恶意的文件样本上传到所述服务器端;所述服务器端包括:第一待检测文件确定单元,用于将所述客户端上传的文件样本确定为待检测样本;和检测恶意文件的装置。
【技术特征摘要】
1.一种对文件行为特征进行检测的系统,包括客户端及服务器端 其中,所述客户端包括 文件上传单元,用于将疑似恶意的文件样本上传到所述服务器端; 所述服务器端包括 第一待检测文件确定单元,用于将所述客户端上传的文件样本确定为待检测样本;和 检测恶意文件的装置。2.如权利要求I所述的系统,其中,所述检测恶意文件的装置包括 文件类别确定单元,用于确定待检测文件所属的类别; 行为收集单元,用于将所述待检测文件投入到该类别对应的沙箱中运行,收集所述待检测文件在运行过程中产生的行为; 特征比对单元,用于将所述待检测文件在运行过程中产生的行为与该类别对应的非恶意行为特征库中的行为特征进行比对,所述该类别对应的非恶意行为特征库中的行为特征为该类别的非恶意文件所具有的行为特征;以及 检测结果确定单元,用于如果存在所述非恶意行为特征库之外的行为,则将该待检测文件确定为恶意文件。3.根据权利要求2所述的系统,所述文件类别确定单元包括 静态分析子单元,用于根据待检测文件的文件静态特征,确定待检测文件所属的类别。4.根据权利要求3所述的系统,所述文件静态特征包括文件的图标、大小和/或代码的循环冗余校验码CRC。5.根据权利要求2所述的系统,所述文件类别确定单元包括 网站分析子单元,用于如果所述待检测文件来源于网站,则根据网站所属的类别确定待检测文件所属的类别。6.根据权利要求2所述的系统,所述待检测文件所属的类别包括私服类,所述该类别对应的非恶意行为特征库中的行为特征包括 遍历目录查找游戏、查找游戏程序窗口和/或加载具有特定路径及文件名的动态链接库文件。7.根据权利要求2所述的系统,所述待检测文件所属的类别包括外挂类,所述该类别对应的非恶意行为特征库中的行为特征包括 创建非恶意文件、遍历目录查找游戏、加载具有特定路径及文件名的动态链接库文件、对游戏进程的操作和/或非恶意的网络操作。8.根据权利要求I至7任一项所述的系统,还包括 第一文件确定单元,用于接收客户端上传的新的文件样本,将新上传的文件样本确定为所述待检测文件; 或者, 第二文件确定单元,用于从互联网上收集新的文件样本,将新收集到的新的...
【专利技术属性】
技术研发人员:梁志文,张海,林岳川,徐立业,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。