白名單生成及惡意程序檢測方法、客戶端和服務(wù)器的制造方法
【專利摘要】本發(fā)明公開了一種依據(jù)白名單進(jìn)行惡意程序檢測的方法，包括：服務(wù)器端的數(shù)據(jù)庫建立合法程序的白名單并進(jìn)行收集更新；客戶端對一程序的程序特征和/或程序行為進(jìn)行收集并發(fā)送到服務(wù)器端進(jìn)行查詢，服務(wù)器端根據(jù)所述程序特征和/或程序行為在所述白名單中進(jìn)行分析比對，根據(jù)比對結(jié)果對所述程序的合法性或信任值進(jìn)行判定并反饋給所述客戶端。本發(fā)明通過使用白名單對合法程序進(jìn)行判定，從而將不屬于白名單范疇的非合法程序判定為惡意程序，從另一角度進(jìn)行惡意程序的判定查殺。
【專利說明】白名單生成及惡意程序檢測方法、客戶端和服務(wù)器
[0001]本發(fā)明專利申請是申請日為2010年8月18日、申請?zhí)枮?01010256973.3、名稱為“一種依據(jù)白名單進(jìn)行惡意程序檢測的方法”的中國發(fā)明專利申請的分案申請。
【技術(shù)領(lǐng)域】
[0002]本發(fā)明屬于網(wǎng)絡(luò)安全領(lǐng)域，具體地說，涉及一種依據(jù)白名單進(jìn)行惡意程序檢測的方法。
【背景技術(shù)】
[0003]傳統(tǒng)的惡意程序防殺主要依賴于特征庫模式。特征庫是由廠商收集到的惡意程序樣本的特征碼組成，而特征碼則是分析工程師從惡意程序中找到和正當(dāng)軟件的不同之處，截取一段類似于“搜索關(guān)鍵詞”的程序代碼。當(dāng)查殺過程中，引擎會讀取文件并與特征庫中的所有特征碼“關(guān)鍵詞”進(jìn)行匹配，如果發(fā)現(xiàn)文件程序代碼被命中，就可以判定該文件程序?yàn)閻阂獬绦颉?br> [0004]之后又衍生出了在本地啟發(fā)式殺毒的方式，是以特定方式實(shí)現(xiàn)的動態(tài)高度器或反編譯器，通過對有關(guān)指令序列的反編譯逐步理解和確定其蘊(yùn)藏的真正動機(jī)。惡意程序和正常程序的區(qū)別可以體現(xiàn)在許多方面，比如:通常一個(gè)應(yīng)用程序在最初的指令，是檢查命令行輸入有無參數(shù)項(xiàng)、清屏和保存原來屏幕顯示等，而惡意程序通常最初的指令則是直接寫盤操作、解碼指令，或搜索某路徑下的可執(zhí)行程序等相關(guān)操作指令序列。這些顯著的不同之處，一個(gè)熟練的程序員在調(diào)試狀態(tài)下只需一瞥便可一目了然。啟發(fā)式代碼掃描技術(shù)實(shí)際上就是把這種經(jīng)驗(yàn)和知識移植到一個(gè)查殺病毒軟件中的具體程序體現(xiàn)。
[0005]但是上述查殺惡意軟件的方法都是基于惡意行為和/或惡意特征，先對一個(gè)程序判定其是否為惡意程序，然后再決定是否進(jìn)行查殺或者清理。這就不可避免導(dǎo)致出現(xiàn)了如下弊端。
[0006]據(jù)統(tǒng)計(jì)，現(xiàn)今全球惡意程序數(shù)量呈幾何級增長，基于這種爆發(fā)式的增速，特征庫的生成與更新往往是滯后的，特征庫中惡意程序的特征碼的補(bǔ)充跟不上層出不窮的未知惡意程序。
[0007]另外，近年來，隨著惡意程序制作者對免殺技術(shù)的應(yīng)用，通過對惡意程序加殼或修改該惡意程序的特征碼的手法越來越多的出現(xiàn)；以及許多木馬程序采用了更多更頻繁快速的自動變形，這些都導(dǎo)致通過惡意行為和/或惡意特征對惡意程序進(jìn)行判定的難度越來越大，從而引起對惡意程序的查殺或清理的困難。

【發(fā)明內(nèi)容】

[0008]有鑒于此，本發(fā)明所要解決的技術(shù)問題是提供了一種依據(jù)白名單進(jìn)行惡意程序檢測的方法，不依賴于本地?cái)?shù)據(jù)庫，并且基于對合法程序的認(rèn)定來反向判定惡意程序。
[0009]為了解決上述技術(shù)問題，本發(fā)明公開了一種依據(jù)白名單進(jìn)行惡意程序檢測的方法，包括:服務(wù)器端的數(shù)據(jù)庫建立合法程序的白名單并進(jìn)行收集更新；客戶端對一程序的程序特征和/或程序行為進(jìn)行收集并發(fā)送到服務(wù)器端進(jìn)行查詢，服務(wù)器端根據(jù)所述程序特征和/或程序行為在所述白名單中進(jìn)行分析比對，根據(jù)比對結(jié)果對所述程序的合法性或信任值進(jìn)行判定并反饋給所述客戶端。
[0010]進(jìn)一步地，所述服務(wù)器端根據(jù)所述程序特征和/或程序行為，與所述白名單中保存的合法程序特征和/或合法程序行為進(jìn)行比對，如果命中，則判定所述程序?yàn)楹戏ǔ绦颍⒎答伣o所述客戶端；如果沒有命中，則判定所述程序?yàn)閻阂獬绦颍⒎答伣o所述客戶端。
[0011]進(jìn)一步地，所述服務(wù)器端根據(jù)程序的一組程序特征和/或一組程序行為，與所述白名單中保存的合法程序特征和/或合法程序行為進(jìn)行比對，根據(jù)命中的程度，對所述程序賦予一信任值，并將所述信任值反饋給所述客戶端；所述客戶端預(yù)設(shè)一閾值，根據(jù)所述信任值與所述閾值進(jìn)行比對，如果所述信任值不小于所述閾值，則判定所述所述程序?yàn)楹戏ǔ绦?，如果所述信任值小于所述閾值，則判定所述程序?yàn)閻阂獬绦颉?br> [0012]進(jìn)一步地，如果所述一組程序特征和/或一組程序行為在所述白名單中全部命中，則所述服務(wù)器端對所述程序賦予一最高信任值；如果所述一組程序特征和/或一組程序行為在所述白名單中全部未命中，則所述服務(wù)器端對所述程序賦予一最低信任值。
[0013]進(jìn)一步地，還包括:所述客戶端根據(jù)所述判定結(jié)果決定對惡意程序行為進(jìn)行攔截、終止執(zhí)行該惡意程序和/或清理該惡意程序，恢復(fù)系統(tǒng)環(huán)境。
[0014]進(jìn)一步地，還包括:所述客戶端根據(jù)所述判定結(jié)果并結(jié)合所述惡意程序的屬性，決定是否對該惡意程序行為進(jìn)行攔截、終止執(zhí)行該惡意程序和/或清理該惡意程序。
[0015]進(jìn)一步地，所述屬性，包括:所述惡意程序是否為自啟動程序和/或所述惡意程序是否存在于系統(tǒng)目錄內(nèi)。
[0016]進(jìn)一步地，所述服務(wù)器端的數(shù)據(jù)庫對合法程序的白名單進(jìn)行收集更新的步驟，包括:周期性通過手工、利用蜘蛛或網(wǎng)絡(luò)爬蟲和/或用戶上傳對合法程序進(jìn)行收集；通過手工或通過工具自動甄別所述合法程序的程序特征和或程序行為并保存在所述白名單中。
[0017]進(jìn)一步地，所述服務(wù)器端的數(shù)據(jù)庫對合法程序的白名單進(jìn)行收集更新的步驟，包括:根據(jù)現(xiàn)有已知白名單中的合法程序特征及其對應(yīng)的程序行為，對未知程序特征及程序行為進(jìn)行分析，以更新白名單。
[0018]進(jìn)一步地，所述程序特征，包括:程序文件內(nèi)的靜態(tài)特征和/或靜態(tài)特征串。
[0019]進(jìn)一步地，所述對未知程序特征及其程序行為進(jìn)行分析的步驟，包括:如果未知程序特征與現(xiàn)有白名單中的已知程序特征相同，則將該未知程序特征及其程序行為列入白名單；如果未知程序行為與現(xiàn)有白名單中的已知程序行為相同或近似，則將該未知程序行為及其程序特征列入白名單；當(dāng)某程序行為被列入白名單時(shí)，在數(shù)據(jù)庫中將該程序行為對應(yīng)的程序特征列入白名單，并將與該程序行為有關(guān)聯(lián)關(guān)系的其他程序行為和程序特征也列入白名單；和/或當(dāng)某程序特征被列入白名單時(shí)，在數(shù)據(jù)庫中將該程序特征對應(yīng)的程序行為列入白名單，并將與該程序特征有關(guān)聯(lián)關(guān)系的其他程序行為和程序特征也列入白名單。
[0020]進(jìn)一步地，還包括:在具有相同或近似行為的程序之間建立行為與特征的關(guān)聯(lián)關(guān)系，根據(jù)所述具有相同或近似行為的程序之間的關(guān)聯(lián)關(guān)系，對未知程序特征及程序行為進(jìn)行分析，以更新白名單。
[0021]與現(xiàn)有的方案相比，本發(fā)明所獲得的技術(shù)效果:
[0022]本發(fā)明通過使用白名單對合法程序進(jìn)行判定，從而將不屬于白名單范疇的非合法程序判定為惡意程序，從另一角度進(jìn)行惡意程序的判定查殺；
[0023]同時(shí)引入云安全架構(gòu)，將所有“云安全”客戶端與“云安全”服務(wù)器實(shí)時(shí)連接，將合法程序的判定分析放在服務(wù)器端完成；
[0024]另外，本發(fā)明還通過客戶端收集程序行為并關(guān)聯(lián)到程序特征，從而在數(shù)據(jù)庫中記錄程序特征及其對應(yīng)的程序行為，根據(jù)收集到的程序行為和程序特征的關(guān)聯(lián)關(guān)系，可以在數(shù)據(jù)庫中對樣本進(jìn)行分析歸納，從而有助于對軟件或程序進(jìn)行合法判別。
【專利附圖】

【附圖說明】
[0025]圖1為本發(fā)明的實(shí)施模式示意圖；
[0026]圖2本發(fā)明的依據(jù)白名單進(jìn)行惡意程序檢測的方法流程圖；
[0027]圖3為根據(jù)本發(fā)明實(shí)施例所述的關(guān)聯(lián)關(guān)系示意圖。
【具體實(shí)施方式】
[0028]以下將配合圖式及實(shí)施例來詳細(xì)說明本發(fā)明的實(shí)施方式，藉此對本發(fā)明如何應(yīng)用技術(shù)手段來解決技術(shù)問題并達(dá)成技術(shù)功效的實(shí)現(xiàn)過程能充分理解并據(jù)以實(shí)施。
[0029]本發(fā)明的核心構(gòu)思在于:服務(wù)器端的數(shù)據(jù)庫建立合法程序的白名單并進(jìn)行收集更新；客戶端對一程序的程序特征和/或程序行為進(jìn)行收集并發(fā)送到服務(wù)器端進(jìn)行查詢，服務(wù)器端根據(jù)所述程序特征和/或程序行為在所述白名單中進(jìn)行分析比對，根據(jù)比對結(jié)果對所述程序進(jìn)行判定并反饋給所述客戶端。
[0030]下面對于由大量客戶端計(jì)算機(jī)102-服務(wù)器端104構(gòu)成的云安全模式下的白名單檢測惡意程序方法進(jìn)行說明。云結(jié)構(gòu)就是一個(gè)大型的客戶端/服務(wù)器(CS)架構(gòu)，如圖1所示，為本發(fā)明的實(shí)施模式示意圖。
[0031]參考圖2為本發(fā)明的依據(jù)白名單進(jìn)行惡意程序檢測的方法流程圖，包括:
[0032]SI，服務(wù)器端的數(shù)據(jù)庫建立合法程序的白名單并進(jìn)行收集更新；
[0033]S2，客戶端對一程序的程序特征和/或程序行為進(jìn)行收集并發(fā)送到服務(wù)器端進(jìn)行查詢；
[0034]S3，服務(wù)器端根據(jù)所述程序特征和/或程序行為在所述白名單中進(jìn)行分析比對，根據(jù)比對結(jié)果對所述程序進(jìn)行判定并反饋給所述客戶端；
[0035]S4，所述客戶端根據(jù)所述判定結(jié)果決定對惡意程序行為進(jìn)行攔截、終止執(zhí)行該惡意程序和/或清理該惡意程序，恢復(fù)系統(tǒng)環(huán)境；或者
[0036]所述客戶端根據(jù)所述判定結(jié)果并結(jié)合所述惡意程序的屬性，決定是否對該惡意程序行為進(jìn)行攔截、終止執(zhí)行該惡意程序和/或清理該惡意程序；
[0037]所述屬性，包括:所述惡意程序是否為自啟動程序和/或所述惡意程序是否存在于系統(tǒng)目錄內(nèi)。
[0038]對于步驟S3，可以具體由以下方式實(shí)現(xiàn)。
[0039]第一方式:所述服務(wù)器端根據(jù)所述程序特征和/或程序行為，與所述白名單中保存的合法程序特征和/或合法程序行為進(jìn)行比對，如果命中，則判定所述程序?yàn)楹戏ǔ绦颍⒎答伣o所述客戶端；如果沒有命中，則判定所述程序?yàn)閻阂獬绦?，并反饋給所述客戶端。
[0040]第二方式:所述服務(wù)器端根據(jù)程序的一組程序特征和/或一組程序行為，與所述白名單中保存的合法程序特征和/或合法程序行為進(jìn)行比對，根據(jù)命中的程度，對所述程序賦予一信任值，并將所述信任值反饋給所述客戶端；所述客戶端預(yù)設(shè)一閾值，根據(jù)所述信任值與所述閾值進(jìn)行比對，如果所述信任值不小于所述閾值，則判定所述所述程序?yàn)楹戏ǔ绦颍绻鲂湃沃敌∮谒鲩撝?，則判定所述程序?yàn)閻阂獬绦颉?br> [0041]對于信任值的設(shè)定，如果所述一組程序特征和/或一組程序行為在所述白名單中全部命中，則所述服務(wù)器端對所述程序賦予一最高信任值；如果所述一組程序特征和/或一組程序行為在所述白名單中全部未命中，則所述服務(wù)器端對所述程序賦予一最低信任值；處于上述兩命中率之間的程序按所述上述趨勢設(shè)定。
[0042]對于步驟SI，所述服務(wù)器端的數(shù)據(jù)庫對合法程序的白名單進(jìn)行收集更新的步驟，可以由以下方式實(shí)現(xiàn)。
[0043]第一方式:由技術(shù)人員周期性通過手工、利用蜘蛛或網(wǎng)絡(luò)爬蟲和/或用戶上傳對合法程序進(jìn)行收集；通過手工或通過工具自動甄別所述合法程序的程序特征和或程序行為并保存在所述白名單中。
[0044]第二方式:根據(jù)現(xiàn)有已知白名單中的合法程序特征及其對應(yīng)的程序行為，對未知程序特征及程序行為進(jìn)行分析，以更新白名單。
[0045]所述程序特征，可以是程序文件內(nèi)的靜態(tài)特征，如經(jīng)由MD5 (Message-DigestAlgorithm5,信息-摘要算法)運(yùn)算得出的MD5驗(yàn)證碼，或SHAl碼，或CRC (CyclicRedundancy Check,循環(huán)冗余校驗(yàn))碼等可唯一標(biāo)識原程序的特征碼；也可以是程序文件內(nèi)的靜態(tài)特征串。
[0046]下面對于第二方式中服務(wù)器端的數(shù)據(jù)庫白名單的構(gòu)建及動態(tài)維護(hù)進(jìn)行下說明。
[0047]其處理思路主要是:根據(jù)現(xiàn)有已知白名單中的程序特征及其對應(yīng)的程序行為，對未知程序特征及程序行為進(jìn)行分析，以更新白名單。這種對比分析有時(shí)候不需要對程序的行為本身做追蹤分析，只需要簡單的與現(xiàn)有白名單中的已知程序行為做比對即可判定未知程序的性質(zhì)。
[0048]由于在數(shù)據(jù)庫中記錄了程序特征及該特征對應(yīng)的行為記錄，因此可以結(jié)合已知白名單對未知程序進(jìn)行分析。
[0049]例如，如果未知程序特征與現(xiàn)有白名單中的已知程序特征相同，則將該未知程序特征及其程序行為都列入白名單。
[0050]如果未知程序行為與現(xiàn)有白名單中的已知程序行為相同或近似，則將該未知程序行為及其程序特征都列入白名單。
[0051]通過數(shù)據(jù)庫中的記錄分析，我們可以發(fā)現(xiàn)，有一些程序的行為相同或近似，但程序特征不同，這時(shí)，只要我們在具有相同或近似行為的程序之間建立行為與特征的關(guān)聯(lián)關(guān)系，并根據(jù)這種關(guān)聯(lián)關(guān)系，就可以更便捷的對未知程序特征及程序行為進(jìn)行分析，以更新白名單。
[0052]如圖3所示，為根據(jù)本發(fā)明實(shí)施例所述的關(guān)聯(lián)關(guān)系示意圖。假設(shè)未知程序A、B和C的特征分別為A、B和C，其各自對應(yīng)的程序行為為Al?A4，B1?B4，C1?C4。如果經(jīng)過分析發(fā)現(xiàn)程序行為Al?A4，BI?B4，Cl?C4之間實(shí)質(zhì)上相同或非常近似，那么就可以在特征A、B、C和行為Al?A4，BI?B4，Cl?C4之間建立特征與行為的關(guān)聯(lián)關(guān)系。
[0053]通過這種關(guān)聯(lián)關(guān)系，在某些條件下可以更加快捷的自擴(kuò)展的對數(shù)據(jù)庫進(jìn)行維護(hù)。例如，當(dāng)程序B的程序行為BI?B4被確認(rèn)為合法程序行為并被列入白名單時(shí)，可以在數(shù)據(jù)庫中自動將與該程序行為對應(yīng)的程序特征B列入白名單，同時(shí)，根據(jù)關(guān)聯(lián)關(guān)系，可以自動將與該程序行為有關(guān)聯(lián)關(guān)系的程序行為Al?A4，Cl?C4及對應(yīng)的程序特征A，特征C也列入白名單。
[0054]再例如，如果最初時(shí)程序A、B和C都屬于黑白未知的程序，而經(jīng)由其他病毒查殺途徑，程序特征B首先被確認(rèn)為屬于合法程序的特征，則在數(shù)據(jù)庫中可以自動將行為BI?B4的組合列入白名單，還可以根據(jù)關(guān)聯(lián)關(guān)系，將具有相同或近似行為的特征A和C也列入白名單，并將程序行為Al?A4，Cl?C4也列入白名單。
[0055]本發(fā)明由于在數(shù)據(jù)庫中記錄了程序特征對應(yīng)的行為，這就使得對未知程序的行為分析提供了很大的便利。本發(fā)明上述分析方法不限于此，還可以利用類似于決策樹，貝葉斯算法，神經(jīng)網(wǎng)域計(jì)算等方法，或者使用簡單的閾值分析，都可以在本發(fā)明的數(shù)據(jù)庫基礎(chǔ)上得到很好的應(yīng)用。
[0056]上述說明示出并描述了本發(fā)明的若干優(yōu)選實(shí)施例，但如前所述，應(yīng)當(dāng)理解本發(fā)明并非局限于本文所披露的形式，不應(yīng)看作是對其他實(shí)施例的排除，而可用于各種其他組合、修改和環(huán)境，并能夠在本文所述發(fā)明構(gòu)想范圍內(nèi)，通過上述教導(dǎo)或相關(guān)領(lǐng)域的技術(shù)或知識進(jìn)行改動。而本領(lǐng)域人員所進(jìn)行的改動和變化不脫離本發(fā)明的精神和范圍，則都應(yīng)在本發(fā)明所附權(quán)利要求的保護(hù)范圍內(nèi)。
【權(quán)利要求】
1.一種白名單生成方法，其包括:定期對合法程序進(jìn)行收集；甄別出所述合法程序的程序特征和/或程序行為；對所述程序特征和/或程序行為進(jìn)行保存以生成白名單。
2.如權(quán)利要求1所述的方法，還包括:根據(jù)已生成的白名單中的合法程序特征及其對應(yīng)的程序行為，對未知程序特征及程序行為進(jìn)行分析，以更新白名單。
3.—種惡意程序檢測方法，其包括:對一程序的程序特征和/或程序行為進(jìn)行收集并發(fā)送以供查詢；根據(jù)反饋回的查詢結(jié)果來判定所述程序是否為惡意程序。
4.如權(quán)利要求3所述的惡意程序檢測方法，其中，根據(jù)反饋回的查詢結(jié)果來判定所述程序是否為惡意程序進(jìn)一步包括:預(yù)設(shè)一閾值；將反饋回的查詢結(jié)果與所述閾值進(jìn)行比對；如果反饋回的查詢結(jié)果不小于所述閾值，則判定所述所述程序?yàn)楹戏ǔ绦?，如果反饋回的查詢結(jié)果小于所述閾值，則判定所述程序?yàn)閻阂獬绦颉?br> 5.一種客戶端，其包括:收集單元，適于對一程序的程序特征和/或程序行為進(jìn)行收集并發(fā)送以供查詢；判定單元，適于根據(jù)反饋回的查詢結(jié)果來判定所述程序是否為惡意程序。
6.如權(quán)利要求5所述的客戶端，其中，所述判定單元包括:閾值設(shè)定單元，適于預(yù)設(shè)一閾值；比對單元，適于將反饋回的查詢結(jié)果與所述閾值進(jìn)行比對；結(jié)果確定單元，適于如果反饋回的查詢結(jié)果不小于所述閾值，則判定所述所述程序?yàn)楹戏ǔ绦?，如果反饋回的查詢結(jié)果小于所述閾值，則判定所述程序?yàn)閻阂獬绦颉?br> 7.—種惡意程序檢測方法，其包括:接收發(fā)送方發(fā)送的一程序的程序特征和/或程序行為；根據(jù)所述程序特征和/或程序行為在白名單中進(jìn)行分析比對，其中，所述白名單用于存放合法程序特征和/或合法程序行為；根據(jù)比對結(jié)果對所述程序的合法性或信任值進(jìn)行判定并反饋給所述發(fā)送方。
8.如權(quán)利要求7所述的方法，其中，所述比對結(jié)果包括命中和沒有命中，其中，如果命中，則判定所述程序?yàn)楹戏ǔ绦?；如果沒有命中，則判定所述程序?yàn)閻阂獬绦颉?br> 9.一種服務(wù)器，其包括:接收單元，適于接收發(fā)送方發(fā)送的一程序的程序特征和/或程序行為；比對單元，適于根據(jù)所述程序特征和/或程序行為在白名單中進(jìn)行分析比對，其中，所述白名單用于存放合法程序特征和/或合法程序行為；判定單元，適于根據(jù)比對結(jié)果對所述程序的合法性或信任值進(jìn)行判定并反饋給所述發(fā)送方O
10.如權(quán)利要求9所述的服務(wù)器，其中，所述比對結(jié)果包括命中和沒有命中，其中，如果命中，則判定所述程序?yàn)楹戏ǔ绦?；如果沒有命中，則判定所述程序?yàn)閻阂獬绦颉?br> 【文檔編號】H04L29/06GK103607381SQ201310552867
【公開日】2014年2月26日 申請日期:2010年8月18日 優(yōu)先權(quán)日:2010年8月18日
【發(fā)明者】周鴻祎, 齊向東 申請人:北京奇虎科技有限公司, 奇智軟件（北京）有限公司