本发明公开了一种基于反向追踪的高威窃密恶意代码检测方法及系统,首先,在系统中预置诱饵文件和关键词库;监控诱饵文件,若存在进程和/或线程对所述诱饵文件进行非法操作,或者监控系统文件,若存在进程和/或线程对系统文件进行非法操作,则对所述系统文件进行关键词库匹配,若发现所述系统文件中存在关键词库中的敏感词汇,则定位所述进程和/或线程,并定位与所述进程和/或线程相关的可执行文件,并进行白名单匹配,匹配失败的为高威窃密恶意代码文件,并在此基础上进行关联对比,获取其他的相关联的高威窃密恶意代码文件。从而,克服了现有的恶意代码检测方法无法检测高威窃密恶意代码的缺点,并且该方法检测及时,不存在滞后性。
1.一种基于反向追踪的高威窃密恶意代码检测方法,其特征在于,包括:步骤1、在系统中预置文件名或者文件内容中包含敏感词汇的诱饵文件,并创建由敏感词汇构成的关键词库;
步骤2、监控诱饵文件,若存在进程和/或线程对所述诱饵文件进行非法操作,则执行步骤3;
监控系统文件,若存在进程和/或线程对系统文件进行非法操作,则对所述系统文件进行关键词库匹配,若发现所述系统文件的文件名或者文件内容中存在关键词库中的敏感词汇,则执行步骤3;
步骤3、定位所述进程和/或线程,并反向定位与所述进程和/或线程相关的可执行文件;
步骤4、针对所述可执行文件进行白名单匹配,如果匹配成功则所述可执行文件不是高威窃密恶意代码文件,否则所述可执行文件为高威窃密恶意代码文件,并执行步骤5;
步骤5、提取系统中所述进程和/或线程以外的其他进程和/或线程相关的文件,并提取敏感目录文件;所述敏感目录包括:所述可执行文件所在目录、系统用户目录或者system32目录;
步骤6、针对步骤5提取的文件进行白名单匹配,如果全部匹配成功则不存在相关联的高威窃密恶意代码文件,否则,执行步骤7;所述提取的文件包括:其他进程和/或线程相关的文件和所述敏感目录文件;
步骤7、将没有匹配成功的文件与步骤4所述的高威窃密恶意代码文件进行关联对比,对比成功的文件为相关联的高威窃密恶意代码文件;
所述相关联的高威窃密恶意代码文件为与高威窃密恶意代码文件相关的DLL文件、下载文件或者启动文件。
2.如权利要求1所述的方法,其特征在于,步骤1所述的敏感词汇包括:国家政治机密、国家军事机密、国家经济机密或者企业技术机密中经常用到的关键词。
3.如权利要求1所述的方法,其特征在于,在执行步骤2时,同时监控系统的网络行为,如果存在异常网络行为则记录,当存在两次相同形式的异常网络行为时,则执行步骤3定位与所述异常网络行为相关的进程和/或线程。
4.如权利要求3所述的方法,其特征在于,所述的异常网络行为包括以下形式:敏感IP行为,建立敏感IP库,记录各个敏感IP段,当出现敏感IP库中的IP行为时,则认为是异常网络行为;
异常传输行为,当监控中发现存在突然的大量网络占用或者间断性的流量升高情况,则认为是异常网络行为;
异常协议行为,解析网络协议,当存在不是常用的网络协议进行数据传输时,则认为是异常网络行为;
异常加密行为,当检测到不可识别的加密方法时,则认为是异常网络行为。
5.如权利要求1所述的方法,其特征在于,步骤7中所述的关联对比包括:静态对比或者动态对比,当存在对比成功的文件,则记录所述文件,并将所述文件与剩余的没有匹配成功的文件进行关联对比。
6.如权利要求5所述的方法,其特征在于,所述静态对比包括:文件格式对比、文件位置对比、文件大小对比、版本信息对比、有无加壳对比或者资源大小对比。
7.如权利要求5所述的方法,其特征在于,所述动态对比包括:函数调用方法对比,文件功能对比、内部结构对比、文件运行环境对比或者代码编写风格对比。
8.一种基于反向追踪的高威窃密恶意代码检测系统,其特征在于,包括:预置模块,用于在系统中预置文件名或者文件内容中包含敏感词汇的诱饵文件,并创建由敏感词汇构成的关键词库;
监控模块,用于监控诱饵文件,若存在进程和/或线程对所述诱饵文件进行非法操作,则由定位模块完成定位操作;
监控系统文件,若存在进程和/或线程对系统文件进行非法操作,则对所述系统文件进行关键词库匹配,若发现所述系统文件的文件名或者文件内容中存在关键词库中的敏感词汇,则由定位模块完成定位操作;
定位模块,用于定位所述进程和/或线程,并反向定位与所述进程和/或线程相关的可执行文件,并将所述可执行文件发送至第一匹配模块;
第一匹配模块,接收发送来的可执行文件,并针对所述可执行文件进行白名单匹配,如果匹配成功则所述可执行文件不是高威窃密恶意代码文件,否则所述可执行文件为高威窃密恶意代码文件,并将所述高威窃密恶意代码文件发送至关联对比模块;
提取模块,提取系统中所述进程和/或线程以外的其他进程和/或线程相关的文件,并提取敏感目录文件,并将提取的文件发送至第二匹配模块;所述敏感目录包括:所述可执行文件所在目录、系统用户目录或者system32目录;
第二匹配模块,接收发送来的文件,并将提取的文件进行白名单匹配,如果全部匹配成功则不存在相关联的高威窃密恶意代码文件,否则,将没有匹配成功的文件发送至关联对比模块;所述提取的文件包括:其他进程和/或线程相关的文件和所述敏感目录文件;
关联对比模块,将第二匹配模块发送来的没有匹配成功的文件与第一匹配模块发送来的高威窃密恶意代码文件进行关联对比,对比成功的文件为相关联的高威窃密恶意代码文件;
所述相关联的高威窃密恶意代码文件为与高威窃密恶意代码文件相关的DLL文件、下载文件或者启动文件。
9.如权利要求8所述的系统,其特征在于,预置模块中所述的敏感词汇包括:国家政治机密、国家军事机密、国家经济机密或者企业技术机密中经常用到的关键词。
10.如权利要求8所述的系统,其特征在于,在监控模块中,同时监控系统的网络行为,如果存在异常网络行为则记录,当存在两次相同形式的异常网络行为时,则由定位模块定位与所述异常网络行为相关的进程和/或线程。
11.如权利要求10所述的系统,其特征在于,所述的异常网络行为包括以下形式:敏感IP行为,建立敏感IP库,记录各个敏感IP段,当出现敏感IP库中的IP行为时,则认为是异常网络行为;
异常传输行为,当监控中发现存在突然的大量网络占用或者间断性的流量升高情况,则认为是异常网络行为;
异常协议行为,解析网络协议,当存在不是常用的网络协议进行数据传输时,则认为是异常网络行为;
异常加密行为,当检测到不可识别的加密方法时,则认为是异常网络行为。
12.如权利要求8所述的系统,其特征在于,关联对比模块中所述的关联对比包括:静态对比或者动态对比,当存在对比成功的文件,则记录所述文件,并将所述文件与剩余的没有匹配成功的文件进行关联对比。
13.如权利要求12所述的系统,其特征在于,所述静态对比包括:文件格式对比、文件位置对比、文件大小对比、版本信息对比、有无加壳对比或者资源大小对比。
14.如权利要求12所述的系统,其特征在于,所述动态对比包括:函数调用方法对比,文件功能对比、内部结构对比、文件运行环境对比或者代码编写风格对比。
一种基于反向追踪的高威窃密恶意代码检测方法及系统
技术领域
[0001] 本发明涉及信息安全技术领域,尤其涉及一种基于反向追踪的高威窃密恶意代码检测方法及系统。
背景技术
[0002] 高威窃密恶意代码的攻击行为具有极强的隐蔽能力,通常是利用企业或机构网络中受信的应用程序漏洞来形成攻击者所需网络环境;其还具有很强的针对性,攻击触发之前通常需要熟悉用户网络坏境,收集大量关于用户业务流程和目标系统使用情况的精确信息,定位关键信息的存储位置与通信方式,特别针对被攻击环境的各类0day收集更是其中重要的环节。
[0003] 高威窃密恶意代码利用各类0day漏洞、免杀技术、绕过技术、防调试技术、驱动保护、加密技术、社会工程学等,使得传统的基于通用检测的反病毒技术、传统网络环境中的IPS/IDS、防火墙安全网关等信息安全防御失去了应有的应对能力。而且这些基于特征库或规则库的被动防御体系存在着滞后性,往往是先有特征才能查杀,不能够进行无特征的扫描,所以都无法抵御高威窃密恶意代码定向攻击的入侵。
[0004] 当前反病毒界针对高威窃密恶意代码检测也提出了多个主流方案:第一是沙箱方案,但其不足在于模拟的客户端类型不够全面,如果缺乏合适的运行环境,会导致流量中的恶意代码在检测环境中无法触发,造成漏报,更大的不足是不能将用户环境中的所有软件都进行沙箱处置,因为这样在时间和空间开销上占用太大;第二是异常检测方案,但检测效率依赖于其异常的业务模式构建,如果业务模式发生偏差,则会导致较高的漏报与误报;第三是全流量审计方案,但其需要强大的后端计算能力、存储能力、大数据分析能力等,并且搭建困难、造价高昂,且不能捕捉到用户系统本地行为异常,只能进行单一的网络行为分析,并且高威窃密恶意代码的网络传输都为高强加密的,在分析中想获取有利信息更是难上加难。
发明内容
[0005] 针对上述技术问题,本发明提供了一种基于反向追踪的高威窃密恶意代码检测方法及系统,该方法通过预置诱饵文件,并对诱饵文件或者系统文件进行监控的方法检测高威窃密恶意代码,并且利用关联对比技术检测相关联的高威窃密恶意代码,所述方法克服了传统恶意代码检测方法无法检测高威窃密恶意代码和检测存在滞后性的缺点。
[0006] 本发明采用如下方法来实现:一种基于反向追踪的高威窃密恶意代码检测方法,其特征在于,包括:
[0007] 步骤1、在系统中预置文件名或者文件内容中包含敏感词汇的诱饵文件,并创建由敏感词汇构成的关键词库;
[0008] 步骤2、监控诱饵文件,若存在进程和/或线程对所述诱饵文件进行非法操作,则执行步骤3;
[0009] 监控系统文件,若存在进程和/或线程对系统文件进行非法操作,则对所述系统文件进行关键词库匹配,若发现所述系统文件的文件名或者文件内容中存在关键词库中的敏感词汇,则执行步骤3;所述非法操作可以包括:打开或者复制等;
[0010] 步骤3、定位所述进程和/或线程,并反向定位与所述进程和/或线程相关的可执行文件;
[0011] 步骤4、针对所述可执行文件进行白名单匹配,如果匹配成功则所述可执行文件不是高威窃密恶意代码文件,否则所述可执行文件为高威窃密恶意代码文件,并执行步骤5;
[0012] 步骤5、提取系统中所述进程和/或线程以外的其他进程和/或线程相关的文件,并提取敏感目录文件;所述敏感目录包括:所述可执行文件所在目录、系统用户目录或者system32目录;
[0013] 步骤6、针对步骤5提取的文件进行白名单匹配,如果全部匹配成功则不存在相关联的高威窃密恶意代码文件,否则,执行步骤7;所述提取的文件包括:其他进程和/或线程相关的文件和所述敏感目录文件;
[0014] 步骤7、将没有匹配成功的文件与步骤4所述的高威窃密恶意代码文件进行关联对比,对比成功的文件为相关联的高威窃密恶意代码文件。所述的相关联的高威窃密恶意代码文件可能是与高威窃密恶意代码文件相关的DLL文件、下载文件或者启动文件等;
[0015] 方法中步骤1所述的敏感词汇可以包括:国家政治机密、国家军事机密、国家经济机密或者企业技术机密中经常用到的关键词。
[0016] 方法中在执行步骤2时,可以同时监控系统的网络行为,如果存在异常网络行为则记录,当存在两次相同形式的异常网络行为时,则执行步骤3定位与所述异常网络行为相关的进程和/或线程。
[0017] 方法中所述的异常网络行为可以包括以下形式:
[0018] 敏感IP行为,建立敏感IP库,记录各个敏感IP段,当出现敏感IP库中的IP行为时,则认为是异常网络行为;
[0019] 异常传输行为,当监控中发现存在突然的大量网络占用或者间断性的流量升高情况,则认为是异常网络行为;
[0020] 异常协议行为,解析网络协议,当存在不是常用的网络协议进行数据传输时,则认为是异常网络行为;
[0021] 异常加密行为,当检测到不可识别的加密方法时,则认为是异常网络行为。
[0022] 方法中步骤7中所述的关联对比包括:静态对比或者动态对比,当存在对比成功的文件,则记录所述文件,并将所述文件与剩余的没有匹配成功的文件进行关联对比。
[0023] 以上所述的方法中所述静态对比包括:文件格式对比、文件位置对比、文件大小对比、版本信息对比、有无加壳对比、资源大小对比、节数和节的大小对比、区段对齐对比、文件对齐对比、入口点对比、导入导出表的函数个数对比、数字签名对比、内部字符串对比或者文件切分对比。
[0024] 以上所述的方法中所述动态对比包括:函数调用方法对比,文件功能对比、内部结构对比、文件运行环境对比、代码编写风格对比、加密解密调用的key对比、网络通信方式对比、代码中系统函数调用地址对比、文件行为对比、代码相似性对比。
[0025] 以上所述的方法中提到的两次白名单匹配操作中使用的白名单可以为:对于用户系统进行遍历后过滤所得,另一部分为常用系统与常用软件的海量收集与过滤所得;在使用过程中要注意白名单的及时更新。
[0026] 方法中所述的诱饵文件的类型包括:文本文件、微软OFFICE系列文件、图片类文件、声音类文件、视频类文件、各编程语言源码类文件、网页类文件、数据库与表、包裹类文件、加密类文件、程序源码各种管理器及构造的上传源码、工业控制类文件等。
[0027] 一种基于反向追踪的高威窃密恶意代码检测系统,包括:
[0028] 预置模块,用于在系统中预置文件名或者文件内容中包含敏感词汇的诱饵文件,并创建由敏感词汇构成的关键词库;
[0029] 监控模块,用于监控诱饵文件,若存在进程和/或线程对所述诱饵文件进行非法操作,则由定位模块完成定位操作;
[0030] 监控系统文件,若存在进程和/或线程对系统文件进行非法操作,则对所述系统文件进行关键词库匹配,若发现所述系统文件的文件名或者文件内容中存在关键词库中的敏感词汇,则由定位模块完成定位操作;所述非法操作可以包括:打开或者复制等;
[0031] 定位模块,用于定位所述进程和/或线程,并反向定位与所述进程和/或线程相关的可执行文件,并将所述可执行文件发送至第一匹配模块;
[0032] 第一匹配模块,接收发送来的可执行文件,并针对所述可执行文件进行白名单匹配,如果匹配成功则所述可执行文件不是高威窃密恶意代码文件,否则所述可执行文件为高威窃密恶意代码文件,并将所述高威窃密恶意代码文件发送至关联对比模块;
[0033] 提取模块,提取系统中所述进程和/或线程以外的其他进程和/或线程相关的文件,并提取敏感目录文件,并将提取的文件发送至第二匹配模块;所述敏感目录可以包括:所述可执行文件所在目录、系统用户目录或者system32目录等;
[0034] 第二匹配模块,接收发送来的文件,并将提取的文件进行白名单匹配,如果全部匹配成功则不存在相关联的高威窃密恶意代码文件,否则,将没有匹配成功的文件发送至关联对比模块;所述提取的文件包括:其他进程和/或线程相关的文件和所述敏感目录文件;
[0035] 关联对比模块,将第二匹配模块发送来的没有匹配成功的文件与第一匹配模块发送来的高威窃密恶意代码文件进行关联对比,对比成功的文件为相关联的高威窃密恶意代码文件。
[0036] 所述的相关联的高威窃密恶意代码文件可能是与高威窃密恶意代码文件相关的DLL文件、下载文件或者启动文件等;
[0037] 系统的预置模块中所述的敏感词汇可以包括:国家政治机密、国家军事机密、国家经济机密或者企业技术机密中经常用到的关键词。
[0038] 在监控模块中,可以同时监控系统的网络行为,如果存在异常网络行为则记录,当存在两次相同形式的异常网络行为时,则由定位模块定位与所述异常网络行为相关的进程和/或线程。
[0039] 系统中所述的异常网络行为包括以下形式:
[0040] 敏感IP行为,建立敏感IP库,记录各个敏感IP段,当出现敏感IP库中的IP行为时,则认为是异常网络行为;
[0041] 异常传输行为,当监控中发现存在突然的大量网络占用或者间断性的流量升高情况,则认为是异常网络行为;
[0042] 异常协议行为,解析网络协议,当存在不是常用的网络协议进行数据传输时,则认为是异常网络行为;
[0043] 异常加密行为,当检测到不可识别的加密方法时,则认为是异常网络行为。
[0044] 系统的关联对比模块中所述的关联对比可以包括:静态对比或者动态对比,当存在对比成功的文件,则记录所述文件,并将所述文件与剩余的没有匹配成功的文件进行关联对比。
[0045] 以上所述的系统中所述静态对比包括:文件格式对比、文件位置对比、文件大小对比、版本信息对比、有无加壳对比、资源大小对比、节数和节的大小对比、区段对齐对比、文件对齐对比、入口点对比、导入导出表的函数个数对比、数字签名对比、内部字符串对比或者文件切分对比。
[0046] 以上所述的系统中所述动态对比包括:函数调用方法对比,文件功能对比、内部结构对比、文件运行环境对比、代码编写风格对比、加密解密调用的key对比、网络通信方式对比、代码中系统函数调用地址对比、文件行为对比、代码相似性对比。
[0047] 以上所述的系统中提到的两次白名单匹配操作中使用的白名单可以为:对于用户系统进行遍历后过滤所得,另一部分为常用系统与常用软件的海量收集与过滤所得;在使用过程中要注意白名单的及时更新。
[0048] 综上所述,本发明提供了一种基于反向追踪的高威窃密恶意代码检测方法及系统,首先,在系统中预置诱饵文件,并对诱饵文件和系统文件进行监控,当发现存在非法操作时,则反向定位相关的进程和/或线程,并依据定位到的进程和/或线程定位到相应的可执行文件,经白名单过滤之后确定高威窃密恶意代码文件,最后利用关联对比技术,检测出相关联的高威窃密恶意代码文件。以上所述方案解决了高威窃密恶意代码不易检测的问题,并且可以做到快速发现,定位和分析。
附图说明
[0049] 为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0050] 图1为本发明提供的基于反向追踪的高威窃密恶意代码检测方法流程图;
[0051] 图2为本发明提供的基于反向追踪的高威窃密恶意代码检测系统结构图。
具体实施方式
[0052] 本发明给出了一种基于反向追踪的高威窃密恶意代码检测方法及系统,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
[0053] 本发明首先提供了一种基于反向追踪的高威窃密恶意代码检测方法,如图1所示,包括:
[0054] S101在系统中预置文件名或者文件内容中包含敏感词汇的诱饵文件,并创建由敏感词汇构成的关键词库;
[0055] S102监控诱饵文件,判断是否存在进程和/或线程对所述诱饵文件进行非法操作,若是,则执行S104,否则执行S103;
[0056] S103监控系统文件,若存在进程和/或线程对系统文件进行非法操作,则对所述系统文件进行关键词库匹配,并判断所述系统文件的文件名或者文件内容中是否存在关键词库中的敏感词汇,若是则执行S104,否则返回S102继续执行;
[0057] S104定位所述进程和/或线程,并继续定位与所述进程和/或线程相关的可执行文件;
[0058] S105针对所述可执行文件进行白名单匹配,并判断是否匹配成功,若是,则所述可执行文件不是高威窃密恶意代码文件,否则,则所述可执行文件为高威窃密恶意代码文件,并执行S106;
[0059] S106提取系统中所述进程和/或线程以外的其他进程和/或线程相关的文件,并提取敏感目录文件;
[0060] S107针对S106提取的文件进行白名单匹配,并判断是否全部匹配成功,若是,则不存在相关联的高威窃密恶意代码文件,否则执行S108;
[0061] S108将没有匹配成功的文件与S105所述的高威窃密恶意代码文件进行关联对比,对比成功的文件为相关联的高威窃密恶意代码文件。
[0062] 优选地,方法中所述的敏感词汇包括:国家政治机密、国家军事机密、国家经济机密或者企业技术机密中经常用到的关键词。
[0063] 优选地,同时监控系统的网络行为,如果存在异常网络行为则记录,当存在两次相同形式的异常网络行为时,则执行S104。
[0064] 优选地,所述的异常网络行为包括以下形式:
[0065] 敏感IP行为,建立敏感IP库,记录各个敏感IP段,当出现敏感IP库中的IP行为时,则认为是异常网络行为;
[0066] 异常传输行为,当监控中发现存在突然的大量网络占用或者间断性的流量升高情况,则认为是异常网络行为;
[0067] 异常协议行为,解析网络协议,当存在不是常用的网络协议进行数据传输时,则认为是异常网络行为;
[0068] 异常加密行为,当检测到不可识别的加密方法时,则认为是异常网络行为。
[0069] 优选地,方法中所述的关联对比包括:静态对比或者动态对比,当存在对比成功的文件,则记录所述文件,并将所述文件与剩余的没有匹配成功的文件进行关联对比。
[0070] 优选地,所述静态对比包括:文件格式对比、文件位置对比、文件大小对比、版本信息对比、有无加壳对比、资源大小对比、节数和节的大小对比、区段对齐对比、文件对齐对比、入口点对比、导入导出表的函数个数对比、数字签名对比、内部字符串对比或者文件切分对比。
[0071] 优选地,所述动态对比包括:函数调用方法对比,文件功能对比、内部结构对比、文件运行环境对比、代码编写风格对比、加密解密调用的key对比、网络通信方式对比、代码中系统函数调用地址对比、文件行为对比、代码相似性对比。
[0072] 一种基于反向追踪的高威窃密恶意代码检测系统,如图2所示,包括:
[0073] 预置模块201,用于在系统中预置文件名或者文件内容中包含敏感词汇的诱饵文件,并创建由敏感词汇构成的关键词库;
[0074] 监控模块202,用于监控诱饵文件,若存在进程和/或线程对所述诱饵文件进行非法操作,则由定位模块203完成定位操作;
[0075] 监控系统文件,若存在进程和/或线程对系统文件进行非法操作,则对所述系统文件进行关键词库匹配,若发现所述系统文件的文件名或者文件内容中存在关键词库中的敏感词汇,则由定位模块203完成定位操作;
[0076] 定位模块203,用于定位所述进程和/或线程,并反向定位与所述进程和/或线程相关的可执行文件,并将所述可执行文件发送至第一匹配模块204;
[0077] 第一匹配模块204,接收发送来的可执行文件,并针对所述可执行文件进行白名单匹配,如果匹配成功则所述可执行文件不是高威窃密恶意代码文件,否则所述可执行文件为高威窃密恶意代码文件,并将所述高威窃密恶意代码文件发送至关联对比模块207;
[0078] 提取模块205,提取系统中所述进程和/或线程以外的其他进程和/或线程相关的文件,并提取敏感目录文件,并将提取的文件发送至第二匹配模块206;所述敏感目录包括:所述可执行文件所在目录、系统用户目录或者system32目录;
[0079] 第二匹配模块206,接收发送来的文件,并将提取的文件进行白名单匹配,如果全部匹配成功则不存在相关联的高威窃密恶意代码文件,否则,将没有匹配成功的文件发送至关联对比模块207;
[0080] 关联对比模块207,将第二匹配模块206发送来的没有匹配成功的文件与第一匹配模块204发送来的高威窃密恶意代码文件进行关联对比,对比成功的文件为相关联的高威窃密恶意代码文件。
[0081] 优选地,预置模块中所述的敏感词汇包括:国家政治机密、国家军事机密、国家经济机密或者企业技术机密中经常用到的关键词。
[0082] 优选地,在监控模块中,同时监控系统的网络行为,如果存在异常网络行为则记录,当存在两次相同形式的异常网络行为时,则由定位模块完成定位操作。
[0083] 优选地,所述的异常网络行为包括以下形式:
[0084] 敏感IP行为,建立敏感IP库,记录各个敏感IP段,当出现敏感IP库中的IP行为时,则认为是异常网络行为;
[0085] 异常传输行为,当监控中发现存在突然的大量网络占用或者间断性的流量升高情况,则认为是异常网络行为;
[0086] 异常协议行为,解析网络协议,当存在不是常用的网络协议进行数据传输时,则认为是异常网络行为;
[0087] 异常加密行为,当检测到不可识别的加密方法时,则认为是异常网络行为。
[0088] 优选地,关联对比模块中所述的关联对比包括:静态对比或者动态对比,当存在对比成功的文件,则记录所述文件,并将所述文件与剩余的没有匹配成功的文件进行关联对比。
[0089] 优选地,所述静态对比包括:文件格式对比、文件位置对比、文件大小对比、版本信息对比、有无加壳对比、资源大小对比、节数和节的大小对比、区段对齐对比、文件对齐对比、入口点对比、导入导出表的函数个数对比、数字签名对比、内部字符串对比或者文件切分对比。
[0090] 优选地,所述动态对比包括:函数调用方法对比,文件功能对比、内部结构对比、文件运行环境对比、代码编写风格对比、加密解密调用的key对比、网络通信方式对比、代码中系统函数调用地址对比、文件行为对比、代码相似性对比。
[0091] 如上所述,本发明给出了一种基于反向追踪的高威窃密恶意代码检测方法及系统,其利用反向定位的方法,定位出与非法操作相关的进程和/或线程,并在此基础上继续定位相关的可执行文件,最后通过白名单过滤判断是否为高威窃密恶意代码文件,其与传统的检测方法的区别是,不需要依赖已知特征,使得对于高威窃密恶意代码的检测更加及时,并且检出率远高于传统方法。
[0092] 以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。
