国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種互聯(lián)網(wǎng)惡意代碼處置方法

      文檔序號(hào):6525722閱讀:172來(lái)源:國(guó)知局
      一種互聯(lián)網(wǎng)惡意代碼處置方法
      【專利摘要】本發(fā)明公開了一種互聯(lián)網(wǎng)惡意代碼處置方法,包括:步驟S101,匹配可疑樣本,計(jì)算可疑樣本文件的哈希值,與已分析樣本進(jìn)行對(duì)比,判斷是否已經(jīng)分析過,如果是,則直接返回該可疑樣本的已有分析結(jié)果;如果否,則轉(zhuǎn)步驟S102;步驟S102,對(duì)于未分析過的可疑樣本,調(diào)用殺毒引擎進(jìn)行病毒掃描,判斷該可疑樣本是否屬于已知惡意代碼,如果是,則獲得該惡意代碼的信息;如果否,則轉(zhuǎn)步驟S103;步驟S103,當(dāng)可疑樣本屬于未知惡意代碼時(shí),進(jìn)行全面的動(dòng)態(tài)分析,得到惡意代碼分析報(bào)告。本發(fā)明能自動(dòng)快速分析各種惡意代碼,生成惡意代碼分析報(bào)告,為研究惡意代碼防御和清除方法提供依據(jù)。
      【專利說明】—種互聯(lián)網(wǎng)惡意代碼處置方法【技術(shù)領(lǐng)域】
      [0001]本發(fā)明涉及互聯(lián)網(wǎng)【技術(shù)領(lǐng)域】,特別是涉及一種互聯(lián)網(wǎng)惡意代碼處置方法。
      【背景技術(shù)】
      [0002]網(wǎng)絡(luò)在提供便利的信息與資源共享的同時(shí),由于其多樣化的傳播途徑和復(fù)雜的應(yīng)用環(huán)境,給用戶帶來(lái)了各種各樣的安全風(fēng)險(xiǎn)。惡意代碼的入侵則成為近年來(lái)廣大個(gè)人用戶使用計(jì)算機(jī)和智能手機(jī)過程中需要面對(duì)的首要安全問題。惡意代碼入侵輕則浪費(fèi)系統(tǒng)資源、篡改用戶的瀏覽器或者彈出廣告頁(yè)面,重則盜取用戶資料、機(jī)密文件,甚至通過毀壞系統(tǒng)文件、格式化硬盤等方式破壞系統(tǒng),給用戶造成巨大的經(jīng)濟(jì)損失。對(duì)于企業(yè)來(lái)說,一旦內(nèi)部敏感信息泄露,或者內(nèi)部網(wǎng)絡(luò)遭到破壞,造成的損失都是十分致命的。
      [0003]在這種背景下,快速的惡意代碼分析系統(tǒng),能夠?qū)阂獯a危害行為進(jìn)行快速有效的識(shí)別,并對(duì)惡意代碼的阻斷和清除提供有利依據(jù)。惡意代碼分析技術(shù)主要包含兩種:靜態(tài)分析技術(shù)和動(dòng)態(tài)分析技術(shù)。
      [0004]靜態(tài)分析技術(shù)是指在不運(yùn)行惡意代碼的情況下,利用分析工具對(duì)惡意代碼的靜態(tài)特征和功能模塊進(jìn)行分析的方法,利用靜態(tài)分析方法,可以找到惡意代碼的特征字符串、特征代碼段等,還可以得到惡意代碼的功能模塊和各個(gè)功能模塊的流程圖。靜態(tài)分析的好處是可以避免惡意代碼執(zhí)行過程對(duì)分析系統(tǒng)的破壞。惡意代碼從本質(zhì)上是由計(jì)算機(jī)指令構(gòu)成的,根據(jù)分析過程是否考慮構(gòu)成惡意代碼的計(jì)算機(jī)指令的語(yǔ)義,可以把靜態(tài)分析方法分成基于代碼特征的分析方法和基于代碼語(yǔ)義的分析方法兩種類型。傳統(tǒng)的靜態(tài)分析,基于代碼特征檢測(cè)的方法已經(jīng)不能阻止越來(lái)越多的未知惡意代碼的攻擊。現(xiàn)在的惡意代碼已經(jīng)采用了變形、模糊變換、多態(tài)等技術(shù),基于特征碼的分析方法并不能對(duì)惡意代碼進(jìn)行準(zhǔn)確的分析,且漏報(bào)誤報(bào)率高。目前,病毒、木馬等非法程序的種類迅速增加、變化不斷加快,帶來(lái)的危害日益嚴(yán)重,而特征碼的提取又必然滯后于非法程序的出現(xiàn)。
      [0005]動(dòng)態(tài)分析技術(shù),就是根據(jù)程序的動(dòng)態(tài)行為特征(如在注冊(cè)表設(shè)置自啟動(dòng)項(xiàng)等)判斷其是否可疑。惡意代碼要達(dá)到一定的目的,必須會(huì)對(duì)系統(tǒng)進(jìn)行某些操作,比如添加啟動(dòng)項(xiàng)、網(wǎng)絡(luò)連接、創(chuàng)建進(jìn)程、注冊(cè)表操作、文件操作等。通過在虛擬環(huán)境中執(zhí)行惡意代碼,并記錄其運(yùn)行過程中的各種行為,就可以比較真實(shí)的得到有關(guān)惡意代碼的信息。動(dòng)態(tài)行為分析具有可檢測(cè)特征碼未知的惡意程序的特點(diǎn),所以成為目前國(guó)內(nèi)外反病毒、反木馬等領(lǐng)域研究的執(zhí)占。

      【發(fā)明內(nèi)容】

      [0006]本發(fā)明要解決的技術(shù)問題是提供一種互聯(lián)網(wǎng)惡意代碼處置方法,用以解決現(xiàn)有技術(shù)中的對(duì)惡意代碼漏報(bào)誤報(bào)率高的問題。
      [0007]為解決上述技術(shù)問題,本發(fā)明提供一種互聯(lián)網(wǎng)惡意代碼處置方法,包括:
      [0008] 步驟S101,匹配可疑樣本,計(jì)算可疑樣本文件的哈希值,與已分析樣本進(jìn)行對(duì)比,判斷是否已經(jīng)分析過,如果是,則直接返回該可疑樣本的已有分析結(jié)果;如果否,則轉(zhuǎn)步驟S102 ;
      [0009]步驟S102,對(duì)于未分析過的可疑樣本,調(diào)用殺毒引擎進(jìn)行病毒掃描,判斷該可疑樣本是否屬于已知惡意代碼,如果是,則獲得該惡意代碼的信息;如果否,則轉(zhuǎn)步驟S103 ;
      [0010]步驟S103,當(dāng)可疑樣本屬于未知惡意代碼時(shí),進(jìn)行全面的動(dòng)態(tài)分析,得到惡意代碼分析報(bào)告。
      [0011]進(jìn)一步,當(dāng)可疑樣本的惡意代碼為計(jì)算機(jī)惡意代碼時(shí),采用虛擬機(jī)技術(shù)進(jìn)行動(dòng)態(tài)分析。
      [0012]進(jìn)一步,當(dāng)可疑樣本的惡意代碼運(yùn)行平臺(tái)為手機(jī)惡意代碼時(shí),在模擬器或真實(shí)手機(jī)中運(yùn)行惡意代碼程序,記錄下惡意代碼運(yùn)行過程中的動(dòng)態(tài)行為,利用手機(jī)的恢復(fù)出廠設(shè)置功能還原分析環(huán)境。
      [0013]進(jìn)一步,通過客戶端將可疑樣本上傳到服務(wù)器端。
      [0014]進(jìn)一步,接收客戶端上傳的可疑樣本后,對(duì)可疑樣本進(jìn)行保存,并將可疑樣本信息及待處理的分析任務(wù)存入客戶信息數(shù)據(jù)庫(kù)中。
      [0015]進(jìn)一步,將可疑樣本在虛擬機(jī)環(huán)境中動(dòng)態(tài)啟動(dòng),監(jiān)控其行為活動(dòng),分析結(jié)束后,將分析結(jié)果存入客戶信息數(shù)據(jù)庫(kù)中。
      [0016]本發(fā)明有益效果如下:
      [0017]本發(fā)明采用靜態(tài)分析和動(dòng)態(tài)分析相結(jié)合的方法,自動(dòng)化快速的分析計(jì)算機(jī)系統(tǒng)和智能手機(jī)系統(tǒng)的各種惡意代碼,生成惡意代碼分析報(bào)告。報(bào)告中給出已知惡意代碼的名稱、危害等級(jí)等信息,對(duì)于未知惡意代碼能夠準(zhǔn)確、全面的描述其特征和行為,為研究惡意代碼防御和清除方法提供依據(jù)。
      【專利附圖】

      【附圖說明】
      [0018]圖1是本發(fā)明實(shí)施例中一種互聯(lián)網(wǎng)惡意代碼處置方法的流程圖。
      【具體實(shí)施方式】
      [0019]以下結(jié)合附圖以及實(shí)施例,對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明。應(yīng)當(dāng)理解,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明,并不限定本發(fā)明。
      [0020]如圖1所示,本發(fā)明實(shí)施例涉及一種互聯(lián)網(wǎng)惡意代碼處置方法,包括:
      [0021]步驟SlOl,匹配可疑樣本,計(jì)算可疑樣本文件的哈希(HASH)值,與已經(jīng)分析過的樣本進(jìn)行對(duì)比,判斷是否已經(jīng)分析過,如果是,則直接返回該可疑樣本的已有分析結(jié)果,縮短分析時(shí)間;如果否,則轉(zhuǎn)步驟S102。
      [0022]步驟S102,對(duì)于未分析過的可疑樣本,調(diào)用殺毒引擎進(jìn)行病毒掃描,判斷該可疑樣本是否屬于已知惡意代碼,如果是,則獲得該惡意代碼的信息,例如獲取該惡意代碼名稱、種類、危害等級(jí)等信息;如果否,則轉(zhuǎn)步驟S103。
      [0023]步驟S103,當(dāng)可疑樣本屬于未知惡意代碼時(shí),進(jìn)行全面的動(dòng)態(tài)分析,得到惡意代碼分析報(bào)告。
      [0024]本步驟中,根據(jù)可疑樣本的惡意代碼運(yùn)行平臺(tái)不同,分為計(jì)算機(jī)惡意代碼和手機(jī)惡意代碼。對(duì)于計(jì)算機(jī)惡意代碼,采用虛擬機(jī)技術(shù)進(jìn)行動(dòng)態(tài)分析;在虛擬機(jī)中惡意代碼的動(dòng)態(tài)行為可以完整的展現(xiàn),并且便于實(shí)現(xiàn)分析環(huán)境的恢復(fù)。對(duì)于手機(jī)惡意代碼,在模擬器或真實(shí)手機(jī)中運(yùn)行惡意代碼程序,記錄下惡意代碼運(yùn)行過程中的動(dòng)態(tài)行為,利用手機(jī)的恢復(fù)出廠設(shè)置功能還原分析環(huán)境。
      [0025]上述方法采用分布式系統(tǒng)以全局方式管理系統(tǒng)資源,它可以為用戶任意調(diào)度網(wǎng)絡(luò)資源,并且調(diào)度過程是“透明的”。當(dāng)用戶提交一個(gè)任務(wù)時(shí),分布式系統(tǒng)包括多臺(tái)分布式服務(wù)器,能夠在系統(tǒng)中選擇最合適的服務(wù)器,將用戶的任務(wù)提交給該服務(wù)器進(jìn)行處理。在這個(gè)過程中,用戶并不會(huì)意識(shí)到有多個(gè)服務(wù)器的存在,整個(gè)系統(tǒng)就好像一個(gè)服務(wù)器一樣。本系統(tǒng)為了適應(yīng)多任務(wù)的同時(shí)執(zhí)行,采用了同一功能對(duì)應(yīng)多個(gè)服務(wù)器的方法。系統(tǒng)實(shí)際運(yùn)行過程中將由多個(gè)分布式服務(wù)器同時(shí)執(zhí)行接收到的不同任務(wù),任務(wù)的分發(fā)由控制中心負(fù)責(zé),達(dá)到任務(wù)并行處理的效果,加快系統(tǒng)處理任務(wù)的速度。分布式服務(wù)器有三類,分別是MD5匹配服務(wù)器、掃描服務(wù)器、分析服務(wù)器。同一類服務(wù)器可以有多個(gè),總控中心進(jìn)行任務(wù)分配時(shí)會(huì)根據(jù)任務(wù)的種類先找到對(duì)應(yīng)類型的服務(wù)器,將新任務(wù)分配給待處理任務(wù)數(shù)目最小的服務(wù)器,從而更好地利用分布式計(jì)算機(jī)資源。
      [0026]分布式系統(tǒng)中包括惡意代碼自動(dòng)分析子系統(tǒng),該子系統(tǒng)包括:
      [0027]1、客戶端
      [0028]用戶通過客戶端登錄到惡意代碼分析系統(tǒng)網(wǎng)站,將可疑樣本通過HTTP上傳到服務(wù)器端;接收服務(wù)器端返回的惡意代碼分析報(bào)告,報(bào)告以網(wǎng)頁(yè)形式展現(xiàn)。
      [0029]2、控制中心
      [0030]負(fù)責(zé)協(xié)調(diào)各個(gè)模塊處理流程;包括對(duì)各個(gè)模塊下達(dá)處理命令以及接收命令完成結(jié)果。是分布式系統(tǒng)進(jìn)行任務(wù)調(diào)度的管理模塊。
      [0031]3、樣本接收和登記
      [0032]接收客戶端上傳的可疑樣本信息,將可疑樣本文件保存到本地磁盤,并將可疑樣本信息及待處理的分析任務(wù)存入數(shù)據(jù)庫(kù)中。
      [0033]4、樣本處理模塊
      [0034]樣本處理模塊包括樣本掃描子模塊和樣本分析子模塊。
      [0035]a、樣本掃描子模塊:
      [0036]樣本特征匹配:負(fù)責(zé)將用戶新上傳的可疑樣本和以前分析過的樣本進(jìn)行匹配,匹配算法采用MD5。如果匹配成功則直接返回以前的分析結(jié)果。這里運(yùn)用了文件特征匹配技術(shù),可以將該模塊做成分布式的系統(tǒng)。
      [0037]殺毒引擎樣本查毒:將匹配未成功的可疑樣本通過殺毒引擎掃描,判斷是否是已知惡意代碼。如果是則返回惡意代碼的名稱等信息。這里運(yùn)用了病毒掃描技術(shù),可以將該模塊做成分布式的系統(tǒng)。
      [0038]b、樣本分析子模塊
      [0039]樣本特征分析在虛擬機(jī)等環(huán)境中,將可疑樣本動(dòng)態(tài)啟動(dòng),監(jiān)控其行為活動(dòng),主要包括文件、進(jìn)程、注冊(cè)表、網(wǎng)絡(luò)連接、啟動(dòng)項(xiàng)等方面;分析結(jié)束后,將分析結(jié)果存入客戶信息數(shù)據(jù)庫(kù)中。這里運(yùn)用了行為分析技術(shù)和虛擬機(jī)技術(shù),將該模塊做成分布式的系統(tǒng)。
      [0040]5、報(bào)告生成模塊
      [0041]該模塊在收到控制中心下達(dá)的報(bào)告生成命令后,從客戶信息數(shù)據(jù)庫(kù)中讀出相關(guān)信息,生成惡意代碼分析報(bào)告,并將惡意代碼分析報(bào)告返回到客戶端。
      [0042]6、客戶信息數(shù)據(jù)庫(kù)[0043]保存客戶上傳的樣本信息,可疑樣本的分析結(jié)果也存入客戶信息數(shù)據(jù)庫(kù)中,惡意代碼分析報(bào)告最終也是根據(jù)該數(shù)據(jù)庫(kù)的相關(guān)內(nèi)容生成的。
      [0044]本發(fā)明采用靜態(tài)分析和動(dòng)態(tài)分析相結(jié)合的方法,自動(dòng)化快速的分析計(jì)算機(jī)系統(tǒng)和智能手機(jī)系統(tǒng)的各種惡意代碼,生成惡意代碼分析報(bào)告。報(bào)告中給出已知惡意代碼的名稱、危害等級(jí)等信息,對(duì)于未知惡意代碼能夠準(zhǔn)確、全面的描述其特征和行為,為研究惡意代碼防御和清除方法提供依據(jù)。
      [0045]盡管為示例目的,已經(jīng)公開了本發(fā)明的優(yōu)選實(shí)施例,本領(lǐng)域的技術(shù)人員將意識(shí)到各種改進(jìn)、增加和取代也是可能的,因此,本發(fā)明的范圍應(yīng)當(dāng)不限于上述實(shí)施例。
      【權(quán)利要求】
      1.一種互聯(lián)網(wǎng)惡意代碼處置方法,其特征在于,包括: 步驟S101,匹配可疑樣本,計(jì)算可疑樣本文件的哈希值,與已分析樣本進(jìn)行對(duì)比,判斷是否已經(jīng)分析過,如果是,則直接返回該可疑樣本的已有分析結(jié)果;如果否,則轉(zhuǎn)步驟S102 ; 步驟S102,對(duì)于未分析過的可疑樣本,調(diào)用殺毒引擎進(jìn)行病毒掃描,判斷該可疑樣本是否屬于已知惡意代碼,如果是,則獲得該惡意代碼的信息;如果否,則轉(zhuǎn)步驟S103 ; 步驟S103,當(dāng)可疑樣本屬于未知惡意代碼時(shí), 進(jìn)行全面的動(dòng)態(tài)分析,得到惡意代碼分析?艮告。
      2.如權(quán)利要求1所述的互聯(lián)網(wǎng)惡意代碼處置方法,其特征在于,當(dāng)可疑樣本的惡意代碼為計(jì)算機(jī)惡意代碼時(shí),采用虛擬機(jī)技術(shù)進(jìn)行動(dòng)態(tài)分析。
      3.如權(quán)利要求1所述的互聯(lián)網(wǎng)惡意代碼處置方法,其特征在于,當(dāng)可疑樣本的惡意代碼運(yùn)行平臺(tái)為手機(jī)惡意代碼時(shí),在模擬器或真實(shí)手機(jī)中運(yùn)行惡意代碼程序,記錄下惡意代碼運(yùn)行過程中的動(dòng)態(tài)行為,利用手機(jī)的恢復(fù)出廠設(shè)置功能還原分析環(huán)境。
      4.如權(quán)利要求2或3所述的互聯(lián)網(wǎng)惡意代碼處置方法,其特征在于,通過客戶端將可疑樣本上傳到服務(wù)器端。
      5.如權(quán)利要求4所述的互聯(lián)網(wǎng)惡意代碼處置方法,其特征在于,接收客戶端上傳的可疑樣本后,對(duì)可疑樣本進(jìn)行保存,并將可疑樣本信息及待處理的分析任務(wù)存入客戶信息數(shù)據(jù)庫(kù)中。
      6.如權(quán)利要求5所述的互聯(lián)網(wǎng)惡意代碼處置方法,其特征在于,將可疑樣本在虛擬機(jī)環(huán)境中動(dòng)態(tài)啟動(dòng),監(jiān)控其行為活動(dòng),分析結(jié)束后,將分析結(jié)果存入客戶信息數(shù)據(jù)庫(kù)中。
      【文檔編號(hào)】G06F21/56GK103942491SQ201310729190
      【公開日】2014年7月23日 申請(qǐng)日期:2013年12月25日 優(yōu)先權(quán)日:2013年12月25日
      【發(fā)明者】嚴(yán)寒冰, 李軼夫, 王永剛, 趙忠華, 姚珊, 徐劍 申請(qǐng)人:國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1