一種基于編譯器識別的apt檢測方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種基于編譯器識別的APT檢測方法及系統(tǒng)，首先，獲取待檢測的PE文件，并檢測所述PE文件在特定位置處是否存在編譯器特征碼，若存在，則判定所述PE文件為非病毒程序，否則檢測所述PE文件在除特定位置外的其他位置是否存在編譯器特征碼，若存在，則判定所述PE文件為病毒程序，否則判定所述PE文件為加殼程序，對所述PE文件進行脫殼處理后，繼續(xù)進行檢測；本發(fā)明所述的方法可以脫離對龐大病毒庫的依賴，有效檢測已知病毒和未知病毒。
【專利說明】—種基于編譯器識別的APT檢測方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計算機網(wǎng)絡安全【技術(shù)領(lǐng)域】，尤其涉及一種基于編譯器識別的APT檢測方法及系統(tǒng)。
【背景技術(shù)】
[0002]傳統(tǒng)的病毒檢測方法通常都是基于特征碼的檢測，即根據(jù)捕獲的樣本，對同一種病毒或同一病毒家族提取一段共有的代碼作為特征碼，從而避免對正常的文件產(chǎn)生誤報，實現(xiàn)病毒檢測的目的。
[0003]傳統(tǒng)的病毒檢測方法由于是基于特征碼的檢測方法，對已知病毒的檢測效果較為有效，但是對于未知病毒就顯得無能為力了。而且，傳統(tǒng)的病毒檢測方法需要攜帶龐大的病毒庫，檢測能力在很大程度上取決于病毒庫的更新是否及時。對于新型病毒的出現(xiàn)，例如變型病毒或者多態(tài)病毒，都對傳統(tǒng)的病毒檢測提出了挑戰(zhàn)，因為傳統(tǒng)方法無法提取出公共特征。
[0004]目前，網(wǎng)絡威脅已經(jīng)進入高級可持續(xù)威脅(APT)時代，單純依靠已知信息是不能解決APT問題的，APT時代需要的是發(fā)現(xiàn)未知威脅的能力。

【發(fā)明內(nèi)容】

[0005]針對上述技術(shù)問題，本發(fā)明提供了一種基于編譯器識別的APT檢測方法及系統(tǒng)，該方法通過使用編譯器識別技術(shù)來判定所述PE文件是否攜帶病毒，可以更加有效的檢測未知病毒。
[0006]本領(lǐng)域的技術(shù)人員可以知道:一般經(jīng)過編譯器編譯過的二進制程序都具有共同的框架。不同類型的編譯器具有不同的框架。同時，作為正常的程序，其框架通常位于程序的特定位置(例如程序入口點、程序可開始執(zhí)行的位置等)。由此，可以利用所述框架作為編譯器識別的特征碼。
[0007]由于病毒體代碼不是由編譯器編譯的，不是一個完整的程序，因此，病毒體代碼本身不具備編譯器特征碼。病毒為了獲得執(zhí)行權(quán)限，通常會修改程序的框架，以此改變程序的執(zhí)行順序，以便可以優(yōu)先執(zhí)行病毒體代碼。因此，通常含有病毒代碼的程序的編譯器特征碼位于其他位置。
[0008]本發(fā)明采用如下方法來實現(xiàn):一種基于編譯器識別的APT檢測方法，包括:
步驟1、獲取待檢測的PE文件，并檢測所述PE文件在特定位置處是否存在編譯器特征碼，若存在，則判定所述PE文件為非病毒程序，否則執(zhí)行步驟2 ；
步驟2、檢測所述PE文件在除特定位置外的其他位置是否存在編譯器特征碼，若存在，則判定所述PE文件為病毒程序，否則判定所述PE文件為加殼程序，對所述PE文件進行脫殼處理后，繼續(xù)執(zhí)行步驟I ;
所述特定位置是不同程序經(jīng)相同編譯器編譯后具有相同框架代碼的位置，至少包括:程序入口點或者程序開始執(zhí)行的位置； 所述編譯器特征碼是從經(jīng)編譯器編譯后的程序的所述特定位置處提取的特征碼。
[0009]進一步地，當判定所述PE文件為非病毒程序后，還包括:使用反病毒引擎進一步檢測。
[0010]進一步地，所述檢測所述PE文件在除特定位置外的其他位置是否存在編譯器特征碼的方法為滑動檢測技術(shù)，所述滑動檢測技術(shù)為:從程序的設定位置開始，按照設定的順序，依次向后滑動檢測，當檢測到特征碼時則停止的檢測技術(shù)。
[0011]一種基于編譯器識別的APT檢測系統(tǒng)，包括:
第一檢測模塊，獲取待檢測的PE文件，并檢測所述PE文件在特定位置處是否存在編譯器特征碼，若存在，則判定所述PE文件為非病毒程序，否則將所述PE文件發(fā)送至第二檢測模塊；
第二檢測模塊，接收發(fā)送來的所述PE文件，檢測所述PE文件在除特定位置外的其他位置是否存在編譯器特征碼，若存在，則判定所述PE文件為病毒程序，否則判定所述PE文件為加殼程序，對所述PE文件進行脫殼處理后，將所述PE文件發(fā)送至第一檢測模塊；
所述特定位置是不同程序經(jīng)相同編譯器編譯后具有相同框架代碼的位置，至少包括:程序入口點或者程序開始執(zhí)行的位置；
所述編譯器特征碼是從經(jīng)編譯器編譯后的程序的所述特定位置處提取的特征碼。
[0012]進一步地，當?shù)谝粰z測模塊判定所述PE文件為非病毒程序后，還包括:使用反病毒引擎進一步檢測。
[0013]進一步地，所述檢測所述PE文件在除特定位置外的其他位置是否存在編譯器特征碼的方法為滑動檢測技術(shù)，所述滑動檢測技術(shù)為:從程序的設定位置開始，按照設定的順序，依次向后滑動檢測，當檢測到特征碼時則停止的檢測技術(shù)。
[0014]綜上所述，本發(fā)明提供了一種基于編譯器識別的APT檢測方法及系統(tǒng)，首先記錄經(jīng)現(xiàn)有編譯器編譯后的程序具有的程序框架，從所述框架中提取編譯器特征碼用于后續(xù)的編譯器識別，獲取待檢測的PE文件，判斷所述PE文件的特定位置處是否存在編譯器特征碼，若存在則判定為非病毒程序，否則繼續(xù)判斷所述PE文件的其他位置處是否存在編譯器特征碼，若存在，則判定所述PE文件為病毒程序。因為，當檢測到所述PE文件在特定位置處不含有編譯器特征碼，而在其他位置含有編譯器特征碼時，則認為存在病毒程序改變了程序本來的框架，改變了程序的執(zhí)行順序，以便可以優(yōu)先執(zhí)行病毒體代碼，并由此判斷所述PE文件為病毒程序。該發(fā)明所述的方法及系統(tǒng)可以更有效的檢測已知病毒和未知病毒，并且其檢測的準確率與病毒庫的更新無關(guān)，可以更加有效地對抗變形病毒或者多態(tài)病毒等新型病毒。
【專利附圖】

【附圖說明】
[0015]為了更清楚地說明本發(fā)明的技術(shù)方案，下面將對實施例中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明中記載的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。
[0016]圖1為本發(fā)明提供的一種基于編譯器識別的APT檢測方法流程圖；
圖2為本發(fā)明提供的一種基于編譯器識別的APT檢測系統(tǒng)結(jié)構(gòu)圖?！揪唧w實施方式】
[0017]本發(fā)明給出了一種基于編譯器識別的APT檢測方法及系統(tǒng)，為了使本【技術(shù)領(lǐng)域】的人員更好地理解本發(fā)明實施例中的技術(shù)方案，并使本發(fā)明的上述目的、特征和優(yōu)點能夠更加明顯易懂，下面結(jié)合附圖對本發(fā)明中技術(shù)方案作進一步詳細的說明:
本發(fā)明首先提供了一種基于編譯器識別的APT檢測方法，如圖1所示，包括:
SlOl獲取待檢測的PE文件；
S102檢測所述PE文件在特定位置處是否存在編譯器特征碼，若存在，則判定所述PE文件為非病毒程序，否則執(zhí)行S103 ；
S103檢測所述PE文件在除特定位置外的其他位置是否存在編譯器特征碼，若存在，則判定所述PE文件為病毒程序，否則判定所述PE文件為加殼程序，繼續(xù)執(zhí)行S104 ；
S104對所述PE文件進行脫殼處理后，繼續(xù)執(zhí)行SlOl ；
所述特定位置是不同程序經(jīng)相同編譯器編譯后具有相同框架代碼的位置，至少包括:程序入口點或者程序開始執(zhí)行的位置；
所述編譯器特征碼是從經(jīng)編譯器編譯后的程序的所述特定位置處提取的特征碼。
[0018]其中，上述所述的編譯器可以為一個或者多個，可以從現(xiàn)有的編譯器中提取編譯器特征碼，用于后續(xù)檢測。
[0019]優(yōu)選地，當判定所述PE文件為非病毒程序后，還包括:使用反病毒引擎進一步檢測。
[0020]優(yōu)選地，所述檢測所述PE文件在除特定位置外的其他位置是否存在編譯器特征碼的方法為滑動檢測技術(shù)，所述滑動檢測技術(shù)為:從程序的設定位置開始，按照設定的順序，依次向后滑動檢測，當檢測到特征碼時則停止的檢測技術(shù)。
[0021]本發(fā)明還提供了一種基于編譯器識別的APT檢測系統(tǒng)，如圖2所示，包括:
第一檢測模塊201，獲取待檢測的PE文件，并檢測所述PE文件在特定位置處是否存在
編譯器特征碼，若存在，則判定所述PE文件為非病毒程序，否則將所述PE文件發(fā)送至第二檢測模塊202 ；
第二檢測模塊202，接收發(fā)送來的所述PE文件，檢測所述PE文件在除特定位置外的其他位置是否存在編譯器特征碼，若存在，則判定所述PE文件為病毒程序，否則判定所述PE文件為加殼程序，對所述PE文件進行脫殼處理后，將所述PE文件發(fā)送至第一檢測模塊201 ；
所述特定位置是不同程序經(jīng)相同編譯器編譯后具有相同框架代碼的位置，至少包括:程序入口點或者程序開始執(zhí)行的位置；
所述編譯器特征碼是從經(jīng)編譯器編譯后的程序的所述特定位置處提取的特征碼。
[0022]優(yōu)選地，當?shù)谝粰z測模塊判定所述PE文件為非病毒程序后，還包括:使用反病毒引擎進一步檢測。
[0023]優(yōu)選地，所述檢測所述PE文件在除特定位置外的其他位置是否存在編譯器特征碼的方法為滑動檢測技術(shù)，所述滑動檢測技術(shù)為:從程序的設定位置開始，按照設定的順序，依次向后滑動檢測，當檢測到特征碼時則停止的檢測技術(shù)。
[0024]如上所述，本發(fā)明給出了一種基于編譯器識別的APT檢測方法及系統(tǒng)，其與傳統(tǒng)方法的區(qū)別在于，傳統(tǒng)的病毒檢測方法是基于特征碼的檢測，雖然該方法不會對正常的文件產(chǎn)生誤報，但是對于未知病毒基本沒有檢測能力；而本發(fā)明所述的方法，基于編譯器編譯過的程序具備相同的框架代碼，并且病毒程序必然會修改該程序的框架代碼，所以利用這一特性，通過對所述PE文件進行檢測，看是否存在編譯器特征碼，所述的編譯器特征碼出現(xiàn)在什么位置，來判斷所述PE文件是否是病毒程序。該方法可以更加有效的檢測未知病毒，并無需龐大的病毒庫。
[0025]以上實施例用以說明而非限制本發(fā)明的技術(shù)方案。不脫離本發(fā)明精神和范圍的任何修改或局部替換，均應涵蓋在本發(fā)明的權(quán)利要求范圍當中。
【權(quán)利要求】
1.一種基于編譯器識別的APT檢測方法，其特征在于，包括: 步驟1、獲取待檢測的PE文件，并檢測所述PE文件在特定位置處是否存在編譯器特征碼，若存在，則判定所述PE文件為非病毒程序，否則執(zhí)行步驟2 ； 步驟2、檢測所述PE文件在除特定位置外的其他位置是否存在編譯器特征碼，若存在，則判定所述PE文件為病毒程序，否則判定所述PE文件為加殼程序，對所述PE文件進行脫殼處理后，繼續(xù)執(zhí)行步驟I ; 所述特定位置是不同程序經(jīng)相同編譯器編譯后具有相同框架代碼的位置，至少包括:程序入口點或者程序開始執(zhí)行的位置； 所述編譯器特征碼是從經(jīng)編譯器編譯后的程序的所述特定位置處提取的特征碼。
2.如權(quán)利要求1所述的方法，其特征在于，當判定所述PE文件為非病毒程序后，還包括:使用反病毒引擎進一步檢測。
3.如權(quán)利要求1所述的方法，其特征在于，所述檢測所述PE文件在除特定位置外的其他位置是否存在編譯器特征碼的方法為滑動檢測技術(shù)，所述滑動檢測技術(shù)為:從程序的設定位置開始，按照設定的順序，依次向后滑動檢測，當檢測到特征碼時則停止的檢測技術(shù)。
4.一種基于編譯器識別的APT檢測系統(tǒng)，其特征在于，包括: 第一檢測模塊，獲取待檢測的PE文件，并檢測所述PE文件在特定位置處是否存在編譯器特征碼，若存在，則判定所述PE文件為非病毒程序，否則將所述PE文件發(fā)送至第二檢測模塊； 第二檢測模塊，接收發(fā)送來的所述PE文件，檢測所述PE文件在除特定位置外的其他位置是否存在編譯器特征碼，若存在，則判定所述PE文件為病毒程序，否則判定所述PE文件為加殼程序，對所述PE文件進行脫殼處理后，將所述PE文件發(fā)送至第一檢測模塊； 所述特定位置是不同程序經(jīng)相同編譯器編譯后具有相同框架代碼的位置，至少包括:程序入口點或者程序開始執(zhí)行的位置； 所述編譯器特征碼是從經(jīng)編譯器編譯后的程序的所述特定位置處提取的特征碼。
5.如權(quán)利要求4所述的系統(tǒng)，其特征在于，當?shù)谝粰z測模塊判定所述PE文件為非病毒程序后，還包括:使用反病毒引擎進一步檢測。
6.如權(quán)利要求4所述的系統(tǒng)，其特征在于，所述檢測所述PE文件在除特定位置外的其他位置是否存在編譯器特征碼的方法為滑動檢測技術(shù)，所述滑動檢測技術(shù)為:從程序的設定位置開始，按照設定的順序，依次向后滑動檢測，當檢測到特征碼時則停止的檢測技術(shù)。
【文檔編號】G06F21/56GK103902901SQ201310423516
【公開日】2014年7月2日 申請日期:2013年9月17日 優(yōu)先權(quán)日:2013年9月17日
【發(fā)明者】童志明, 沈長偉, 張栗偉 申請人:北京安天電子設備有限公司