一種互聯(lián)網(wǎng)惡意代碼處置方法
【專利摘要】本發(fā)明公開了一種互聯(lián)網(wǎng)惡意代碼處置方法�����,包括:步驟S101�����,匹配可疑樣本�,計算可疑樣本文件的哈希值�����,與已分析樣本進行對比�����,判斷是否已經(jīng)分析過���,如果是��,則直接返回該可疑樣本的已有分析結(jié)果�;如果否,則轉(zhuǎn)步驟S102�����;步驟S102�����,對于未分析過的可疑樣本����,調(diào)用殺毒引擎進行病毒掃描,判斷該可疑樣本是否屬于已知惡意代碼���,如果是��,則獲得該惡意代碼的信息�;如果否����,則轉(zhuǎn)步驟S103;步驟S103,當(dāng)可疑樣本屬于未知惡意代碼時���,進行全面的動態(tài)分析�����,得到惡意代碼分析報告�。本發(fā)明能自動快速分析各種惡意代碼�����,生成惡意代碼分析報告����,為研究惡意代碼防御和清除方法提供依據(jù)。
【專利說明】—種互聯(lián)網(wǎng)惡意代碼處置方法【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及互聯(lián)網(wǎng)【技術(shù)領(lǐng)域】����,特別是涉及一種互聯(lián)網(wǎng)惡意代碼處置方法���。
【背景技術(shù)】
[0002]網(wǎng)絡(luò)在提供便利的信息與資源共享的同時��,由于其多樣化的傳播途徑和復(fù)雜的應(yīng)用環(huán)境���,給用戶帶來了各種各樣的安全風(fēng)險��。惡意代碼的入侵則成為近年來廣大個人用戶使用計算機和智能手機過程中需要面對的首要安全問題���。惡意代碼入侵輕則浪費系統(tǒng)資源、篡改用戶的瀏覽器或者彈出廣告頁面���,重則盜取用戶資料����、機密文件���,甚至通過毀壞系統(tǒng)文件���、格式化硬盤等方式破壞系統(tǒng),給用戶造成巨大的經(jīng)濟損失����。對于企業(yè)來說,一旦內(nèi)部敏感信息泄露�����,或者內(nèi)部網(wǎng)絡(luò)遭到破壞,造成的損失都是十分致命的���。
[0003]在這種背景下����,快速的惡意代碼分析系統(tǒng)��,能夠?qū)阂獯a危害行為進行快速有效的識別�,并對惡意代碼的阻斷和清除提供有利依據(jù)。惡意代碼分析技術(shù)主要包含兩種:靜態(tài)分析技術(shù)和動態(tài)分析技術(shù)���。
[0004]靜態(tài)分析技術(shù)是指在不運行惡意代碼的情況下�����,利用分析工具對惡意代碼的靜態(tài)特征和功能模塊進行分析的方法��,利用靜態(tài)分析方法����,可以找到惡意代碼的特征字符串��、特征代碼段等��,還可以得到惡意代碼的功能模塊和各個功能模塊的流程圖��。靜態(tài)分析的好處是可以避免惡意代碼執(zhí)行過程對分析系統(tǒng)的破壞�����。惡意代碼從本質(zhì)上是由計算機指令構(gòu)成的��,根據(jù)分析過程是否考慮構(gòu)成惡意代碼的計算機指令的語義����,可以把靜態(tài)分析方法分成基于代碼特征的分析方法和基于代碼語義的分析方法兩種類型。傳統(tǒng)的靜態(tài)分析�����,基于代碼特征檢測的方法已經(jīng)不能阻止越來越多的未知惡意代碼的攻擊?��,F(xiàn)在的惡意代碼已經(jīng)采用了變形��、模糊變換����、多態(tài)等技術(shù)�,基于特征碼的分析方法并不能對惡意代碼進行準(zhǔn)確的分析�,且漏報誤報率高��。目前�����,病毒��、木馬等非法程序的種類迅速增加���、變化不斷加快��,帶來的危害日益嚴(yán)重���,而特征碼的提取又必然滯后于非法程序的出現(xiàn)。
[0005]動態(tài)分析技術(shù)�����,就是根據(jù)程序的動態(tài)行為特征(如在注冊表設(shè)置自啟動項等)判斷其是否可疑����。惡意代碼要達(dá)到一定的目的,必須會對系統(tǒng)進行某些操作���,比如添加啟動項���、網(wǎng)絡(luò)連接、創(chuàng)建進程��、注冊表操作�、文件操作等。通過在虛擬環(huán)境中執(zhí)行惡意代碼����,并記錄其運行過程中的各種行為,就可以比較真實的得到有關(guān)惡意代碼的信息���。動態(tài)行為分析具有可檢測特征碼未知的惡意程序的特點����,所以成為目前國內(nèi)外反病毒���、反木馬等領(lǐng)域研究的執(zhí)占��。
【發(fā)明內(nèi)容】
[0006]本發(fā)明要解決的技術(shù)問題是提供一種互聯(lián)網(wǎng)惡意代碼處置方法�����,用以解決現(xiàn)有技術(shù)中的對惡意代碼漏報誤報率高的問題�����。
[0007]為解決上述技術(shù)問題���,本發(fā)明提供一種互聯(lián)網(wǎng)惡意代碼處置方法��,包括:
[0008] 步驟S101�����,匹配可疑樣本�,計算可疑樣本文件的哈希值��,與已分析樣本進行對比��,判斷是否已經(jīng)分析過,如果是,則直接返回該可疑樣本的已有分析結(jié)果;如果否���,則轉(zhuǎn)步驟S102 ;
[0009]步驟S102�����,對于未分析過的可疑樣本,調(diào)用殺毒引擎進行病毒掃描����,判斷該可疑樣本是否屬于已知惡意代碼�����,如果是,則獲得該惡意代碼的信息���;如果否���,則轉(zhuǎn)步驟S103 �;
[0010]步驟S103,當(dāng)可疑樣本屬于未知惡意代碼時��,進行全面的動態(tài)分析,得到惡意代碼分析報告���。
[0011]進一步,當(dāng)可疑樣本的惡意代碼為計算機惡意代碼時�����,采用虛擬機技術(shù)進行動態(tài)分析。
[0012]進一步����,當(dāng)可疑樣本的惡意代碼運行平臺為手機惡意代碼時�����,在模擬器或真實手機中運行惡意代碼程序,記錄下惡意代碼運行過程中的動態(tài)行為��,利用手機的恢復(fù)出廠設(shè)置功能還原分析環(huán)境��。
[0013]進一步,通過客戶端將可疑樣本上傳到服務(wù)器端����。
[0014]進一步���,接收客戶端上傳的可疑樣本后,對可疑樣本進行保存��,并將可疑樣本信息及待處理的分析任務(wù)存入客戶信息數(shù)據(jù)庫中。
[0015]進一步���,將可疑樣本在虛擬機環(huán)境中動態(tài)啟動�����,監(jiān)控其行為活動���,分析結(jié)束后����,將分析結(jié)果存入客戶信息數(shù)據(jù)庫中�����。
[0016]本發(fā)明有益效果如下:
[0017]本發(fā)明采用靜態(tài)分析和動態(tài)分析相結(jié)合的方法�����,自動化快速的分析計算機系統(tǒng)和智能手機系統(tǒng)的各種惡意代碼��,生成惡意代碼分析報告�����。報告中給出已知惡意代碼的名稱、危害等級等信息�����,對于未知惡意代碼能夠準(zhǔn)確�、全面的描述其特征和行為,為研究惡意代碼防御和清除方法提供依據(jù)�。
【專利附圖】
【附圖說明】
[0018]圖1是本發(fā)明實施例中一種互聯(lián)網(wǎng)惡意代碼處置方法的流程圖。
【具體實施方式】
[0019]以下結(jié)合附圖以及實施例���,對本發(fā)明進行進一步詳細(xì)說明�����。應(yīng)當(dāng)理解,此處所描述的具體實施例僅僅用以解釋本發(fā)明���,并不限定本發(fā)明�����。
[0020]如圖1所示���,本發(fā)明實施例涉及一種互聯(lián)網(wǎng)惡意代碼處置方法���,包括:
[0021]步驟SlOl,匹配可疑樣本�����,計算可疑樣本文件的哈希(HASH)值�,與已經(jīng)分析過的樣本進行對比,判斷是否已經(jīng)分析過�����,如果是�,則直接返回該可疑樣本的已有分析結(jié)果,縮短分析時間����;如果否,則轉(zhuǎn)步驟S102�����。
[0022]步驟S102��,對于未分析過的可疑樣本���,調(diào)用殺毒引擎進行病毒掃描���,判斷該可疑樣本是否屬于已知惡意代碼����,如果是�����,則獲得該惡意代碼的信息����,例如獲取該惡意代碼名稱、種類�、危害等級等信息;如果否�,則轉(zhuǎn)步驟S103����。
[0023]步驟S103,當(dāng)可疑樣本屬于未知惡意代碼時�����,進行全面的動態(tài)分析,得到惡意代碼分析報告����。
[0024]本步驟中,根據(jù)可疑樣本的惡意代碼運行平臺不同���,分為計算機惡意代碼和手機惡意代碼��。對于計算機惡意代碼����,采用虛擬機技術(shù)進行動態(tài)分析�����;在虛擬機中惡意代碼的動態(tài)行為可以完整的展現(xiàn)���,并且便于實現(xiàn)分析環(huán)境的恢復(fù)�����。對于手機惡意代碼��,在模擬器或真實手機中運行惡意代碼程序���,記錄下惡意代碼運行過程中的動態(tài)行為����,利用手機的恢復(fù)出廠設(shè)置功能還原分析環(huán)境�。
[0025]上述方法采用分布式系統(tǒng)以全局方式管理系統(tǒng)資源,它可以為用戶任意調(diào)度網(wǎng)絡(luò)資源����,并且調(diào)度過程是“透明的”。當(dāng)用戶提交一個任務(wù)時�,分布式系統(tǒng)包括多臺分布式服務(wù)器,能夠在系統(tǒng)中選擇最合適的服務(wù)器���,將用戶的任務(wù)提交給該服務(wù)器進行處理�����。在這個過程中�,用戶并不會意識到有多個服務(wù)器的存在�,整個系統(tǒng)就好像一個服務(wù)器一樣。本系統(tǒng)為了適應(yīng)多任務(wù)的同時執(zhí)行��,采用了同一功能對應(yīng)多個服務(wù)器的方法�。系統(tǒng)實際運行過程中將由多個分布式服務(wù)器同時執(zhí)行接收到的不同任務(wù),任務(wù)的分發(fā)由控制中心負(fù)責(zé)���,達(dá)到任務(wù)并行處理的效果�,加快系統(tǒng)處理任務(wù)的速度��。分布式服務(wù)器有三類�,分別是MD5匹配服務(wù)器、掃描服務(wù)器�、分析服務(wù)器。同一類服務(wù)器可以有多個�����,總控中心進行任務(wù)分配時會根據(jù)任務(wù)的種類先找到對應(yīng)類型的服務(wù)器�,將新任務(wù)分配給待處理任務(wù)數(shù)目最小的服務(wù)器,從而更好地利用分布式計算機資源���。
[0026]分布式系統(tǒng)中包括惡意代碼自動分析子系統(tǒng)�,該子系統(tǒng)包括:
[0027]1�、客戶端
[0028]用戶通過客戶端登錄到惡意代碼分析系統(tǒng)網(wǎng)站,將可疑樣本通過HTTP上傳到服務(wù)器端��;接收服務(wù)器端返回的惡意代碼分析報告,報告以網(wǎng)頁形式展現(xiàn)���。
[0029]2��、控制中心
[0030]負(fù)責(zé)協(xié)調(diào)各個模塊處理流程�;包括對各個模塊下達(dá)處理命令以及接收命令完成結(jié)果�。是分布式系統(tǒng)進行任務(wù)調(diào)度的管理模塊。
[0031]3���、樣本接收和登記
[0032]接收客戶端上傳的可疑樣本信息�,將可疑樣本文件保存到本地磁盤����,并將可疑樣本信息及待處理的分析任務(wù)存入數(shù)據(jù)庫中。
[0033]4����、樣本處理模塊
[0034]樣本處理模塊包括樣本掃描子模塊和樣本分析子模塊。
[0035]a���、樣本掃描子模塊:
[0036]樣本特征匹配:負(fù)責(zé)將用戶新上傳的可疑樣本和以前分析過的樣本進行匹配���,匹配算法采用MD5����。如果匹配成功則直接返回以前的分析結(jié)果�。這里運用了文件特征匹配技術(shù)�����,可以將該模塊做成分布式的系統(tǒng)��。
[0037]殺毒引擎樣本查毒:將匹配未成功的可疑樣本通過殺毒引擎掃描�����,判斷是否是已知惡意代碼��。如果是則返回惡意代碼的名稱等信息����。這里運用了病毒掃描技術(shù),可以將該模塊做成分布式的系統(tǒng)�����。
[0038]b��、樣本分析子模塊
[0039]樣本特征分析在虛擬機等環(huán)境中,將可疑樣本動態(tài)啟動����,監(jiān)控其行為活動,主要包括文件����、進程、注冊表����、網(wǎng)絡(luò)連接、啟動項等方面���;分析結(jié)束后���,將分析結(jié)果存入客戶信息數(shù)據(jù)庫中。這里運用了行為分析技術(shù)和虛擬機技術(shù)����,將該模塊做成分布式的系統(tǒng)。
[0040]5�、報告生成模塊
[0041]該模塊在收到控制中心下達(dá)的報告生成命令后,從客戶信息數(shù)據(jù)庫中讀出相關(guān)信息�����,生成惡意代碼分析報告,并將惡意代碼分析報告返回到客戶端�����。
[0042]6�、客戶信息數(shù)據(jù)庫[0043]保存客戶上傳的樣本信息����,可疑樣本的分析結(jié)果也存入客戶信息數(shù)據(jù)庫中,惡意代碼分析報告最終也是根據(jù)該數(shù)據(jù)庫的相關(guān)內(nèi)容生成的���。
[0044]本發(fā)明采用靜態(tài)分析和動態(tài)分析相結(jié)合的方法����,自動化快速的分析計算機系統(tǒng)和智能手機系統(tǒng)的各種惡意代碼�,生成惡意代碼分析報告。報告中給出已知惡意代碼的名稱�����、危害等級等信息��,對于未知惡意代碼能夠準(zhǔn)確、全面的描述其特征和行為�����,為研究惡意代碼防御和清除方法提供依據(jù)���。
[0045]盡管為示例目的�,已經(jīng)公開了本發(fā)明的優(yōu)選實施例����,本領(lǐng)域的技術(shù)人員將意識到各種改進、增加和取代也是可能的�,因此,本發(fā)明的范圍應(yīng)當(dāng)不限于上述實施例���。
【權(quán)利要求】
1.一種互聯(lián)網(wǎng)惡意代碼處置方法�����,其特征在于��,包括: 步驟S101�����,匹配可疑樣本���,計算可疑樣本文件的哈希值�,與已分析樣本進行對比�,判斷是否已經(jīng)分析過,如果是��,則直接返回該可疑樣本的已有分析結(jié)果����;如果否���,則轉(zhuǎn)步驟S102 ��; 步驟S102�,對于未分析過的可疑樣本��,調(diào)用殺毒引擎進行病毒掃描��,判斷該可疑樣本是否屬于已知惡意代碼�,如果是,則獲得該惡意代碼的信息���;如果否��,則轉(zhuǎn)步驟S103 �; 步驟S103,當(dāng)可疑樣本屬于未知惡意代碼時�����, 進行全面的動態(tài)分析��,得到惡意代碼分析?艮告���。
2.如權(quán)利要求1所述的互聯(lián)網(wǎng)惡意代碼處置方法�,其特征在于�����,當(dāng)可疑樣本的惡意代碼為計算機惡意代碼時���,采用虛擬機技術(shù)進行動態(tài)分析�����。
3.如權(quán)利要求1所述的互聯(lián)網(wǎng)惡意代碼處置方法����,其特征在于,當(dāng)可疑樣本的惡意代碼運行平臺為手機惡意代碼時���,在模擬器或真實手機中運行惡意代碼程序����,記錄下惡意代碼運行過程中的動態(tài)行為�,利用手機的恢復(fù)出廠設(shè)置功能還原分析環(huán)境。
4.如權(quán)利要求2或3所述的互聯(lián)網(wǎng)惡意代碼處置方法���,其特征在于��,通過客戶端將可疑樣本上傳到服務(wù)器端。
5.如權(quán)利要求4所述的互聯(lián)網(wǎng)惡意代碼處置方法����,其特征在于,接收客戶端上傳的可疑樣本后��,對可疑樣本進行保存����,并將可疑樣本信息及待處理的分析任務(wù)存入客戶信息數(shù)據(jù)庫中����。
6.如權(quán)利要求5所述的互聯(lián)網(wǎng)惡意代碼處置方法�,其特征在于,將可疑樣本在虛擬機環(huán)境中動態(tài)啟動���,監(jiān)控其行為活動�����,分析結(jié)束后�����,將分析結(jié)果存入客戶信息數(shù)據(jù)庫中����。
【文檔編號】G06F21/56GK103942491SQ201310729190
【公開日】2014年7月23日 申請日期:2013年12月25日 優(yōu)先權(quán)日:2013年12月25日
【發(fā)明者】嚴(yán)寒冰, 李軼夫, 王永剛, 趙忠華, 姚珊, 徐劍 申請人:國家計算機網(wǎng)絡(luò)與信息安全管理中心