一种基于特征行为分析的木马病检测方法.pdf

本发明涉及一种基于特征行为分析的木马病检测方法，建立木马病毒规则库，对应用程序进程进行监视，通过相似度主动对比法确定应用程序的性质。本发明所述的方法针对木马病毒特性，深入分析特征码技术和行为分析技术，对木马特征及恶意行为建立关联性，利用余弦相似度进行关联性分析，提出一个基于行为分析的木马监测模型，构建木马病毒规则库，通过相似度判别算法，梳理木马恶意行为，实现木马病毒的有效检测。通过安全分析及实验检测验证本发明具有自主学习及主动防御特征，很好地平衡了静态测试技术和动态测试技术的优缺点。

权利要求书
1.  一种基于特征行为分析的木马病检测方法，其特征在于，建立木马病毒规则库，对应 用程序进程进行监视，通过相似度主动对比法确定应用程序的性质。

2.  根据权利要求1所述的基于特征行为分析的木马病检测方法，其特征在于，木马病毒 规则库包括关键字特征码、行为字特征码，分别依据木马病毒特征码及特征行为，进行特征 的规则化，得到初始木马病毒规则库。

3.  根据权利要求1所述的基于特征行为分析的木马病检测方法，其特征在于，对应用程 序进程进行监视时，采集被监视的应用程序的行为特征，具体为：采用数据挖掘及分类算法， 针对被监视的应用程序发生的可疑行为进行捕捉，并建立行为特征规则。

4.  根据权利要求3所述的基于特征行为分析的木马病检测方法，其特征在于，获取被监 视的应用程序的行为，并进行行为过滤，具体为：对当前捕捉的行为进行分析，如果与木马 病毒规则库存在的规则匹配，则直接确定为木马；否则，依据数据挖掘与分类算法进一步判 定被监视的应用程序当前的行为是否为木马病毒的特征行为。

5.  根据权利要求4所述的基于特征行为分析的木马病检测方法，其特征在于，对被监视 的应用程序发生的可疑行为进行行为特征规则化后，将其补充至木马病毒规则库。

6.  根据权利要求5所述的基于特征行为分析的木马病检测方法，其特征在于，补充木马 病毒规则库前，先对被监视的应用程序发生的被判定为木马病毒的特征行为进行行为分类后， 再补充至木马病毒规则库。

7.  根据权利要求3所述的基于特征行为分析的木马病检测方法，其特征在于，被监视的 应用程序进程包括：访问注册表、自启动项、系统关键项、系统权限、重要文献。

说明书一种基于特征行为分析的木马病检测方法
技术领域
本发明涉及木马病毒防护技术，更具体地说，涉及一种基于特征行为分析的木马病检测 方法。
背景技术
木马病毒通常具有很强的隐秘性，同时绑定网络、操作系统或一些应用而启动，通过欺 骗伪装手段诱导用户激活，向攻击者提供未授权的计算机或网络等资源，使攻击者可以非法 获取有关资源。木马病毒属于非复制病毒，一般采用C/S(client/server，即客户/服务器)模 式实现攻击。其客户端部署在实施攻击的机器上(常称为控制端)，负责管理和控制受控端； 而服务端以隐藏的方式运行在俘获的计算机上(常称为受控端)，接收控制端控制命令实施攻 击操作。随着软硬件技术及网络技术的发展，木马病毒的生成、传播和攻击方式都发生很多 变化。
由于木马病毒采用多种隐藏技术并利用系统漏洞，因此可以轻易获取系统控制权限，并 躲过用户及一般工具的常规检查。木马监测技术主要深度分析各种木马病毒攻击机制，提出 检测方案及解决办法，通常包括：
(1)网络监测技术，即通过对通信端口、网络连接等进行监测检查木马攻击行为，包括 防火墙、入侵检测等技术；
(2)完整性检测技术，即通过检查系统文件或目录的内容或属性等是否与可信版本一致， 以发现是否存在木马攻击；
(3)特征码扫描技术是将木马病毒的特征代码或特征值(通常为一串二进制字符串)作 为扫描依据，因为特征码是木马存在的唯一标识，因此对于已存在的木马效果很好，很多实 时扫描工具如360、瑞星等采用此种技术进行病毒防御，但属于被动防毒，有一定的滞后性；
(4)虚拟机技术通过软件虚拟化建立独立的运行环境，对运行任务进行测试与检测，以 期检测木马病毒存在性。
上述的木马检测技术归纳起来可分为静态检测和动态监测两类：
静态检测提取出木马程序运行时的二进制特征字，通过对比特征字检测木马文件。但是 由于木马很容易变化，经常有大量的未知新木马出现，而这种方法不能及时发现并提取未知 木马的特征信息，所以只适宜已知木马的监测。
动态检测通过监视系统端口、网络连接、注册表等等，发现有异常文件运行说明可能受 到木马攻击。但对于某些潜伏的木马来说就无效了。
两类木马检测方法共同特点是：都根据文件的动态执行状态、特征信息来监测木马，不 仅对木马监测有“事后”性，而且对木马的检测效果不好。
发明内容
本发明的目的在于克服现有技术的不足，提供一种自主学习及主动防御的基于特征行为 分析的木马病检测方法。
本发明的技术方案如下：
一种基于特征行为分析的木马病检测方法，建立木马病毒规则库，对应用程序进程进行 监视，通过相似度主动对比法确定应用程序的性质。
作为优选，木马病毒规则库包括关键字特征码、行为字特征码，分别依据木马病毒特征 码及特征行为，进行特征的规则化，得到初始木马病毒规则库。
作为优选，对应用程序进程进行监视时，采集被监视的应用程序的行为特征，具体为： 采用数据挖掘及分类算法，针对被监视的应用程序发生的可疑行为进行捕捉，并建立行为特 征规则。
作为优选，获取被监视的应用程序的行为，并进行行为过滤，具体为：对当前捕捉的行 为进行分析，如果与木马病毒规则库存在的规则匹配，则直接确定为木马；否则，依据数据 挖掘与分类算法进一步判定被监视的应用程序当前的行为是否为木马病毒的特征行为。
作为优选，对被监视的应用程序发生的可疑行为进行行为特征规则化后，将其补充至木 马病毒规则库。
作为优选，补充木马病毒规则库前，先对被监视的应用程序发生的被判定为木马病毒的 特征行为进行行为分类后，再补充至木马病毒规则库。
作为优选，被监视的应用程序进程包括：访问注册表、自启动项、系统关键项、系统权 限、重要文献。
本发明的有益效果如下：
本发明所述的方法针对木马病毒特性，深入分析特征码技术和行为分析技术，对木马特 征及恶意行为建立关联性，利用余弦相似度进行关联性分析，提出一个基于行为分析的木马 监测模型，构建木马病毒规则库，通过相似度判别算法，梳理木马恶意行为，实现木马病毒 的有效检测。
通过安全分析及实验检测验证本发明具有自主学习及主动防御特征，很好地平衡了静态 测试技术和动态测试技术的优缺点。
附图说明
图1是基于行为分析的木马监测模型；
图2是特征行为监视及采集流程图。
具体实施方式
以下结合附图及实施例对本发明进行进一步的详细说明。
一种基于特征行为分析的木马病检测方法，建立木马病毒规则库，对应用程序进程进行 监视，通过相似度主动对比法确定应用程序的性质。
本发明首先构建基于行为分析的木马监测模型，如图1所示，包括木马病毒规则库、行 为特征采集、行为过滤。
木马病毒规则库包括关键字特征码、行为字特征码，分别依据已知的木马病毒特征码及 特征行为，进行特征的规则化，得到初始木马病毒规则库，以备参考，以及进一步学习添加 新的规则。
对应用程序进程进行监视时，采集被监视的应用程序的行为特征，具体为：采用数据挖 掘及分类算法，针对被监视的应用程序发生的可疑行为进行捕捉，并建立行为特征规则。
依据木马病毒的特征，通过监护进程对应用程序进程进行监视(尤其是木马病毒常用API 进程的挂钩)，针对热点信息访问部署监测点，如访问注册表、自启动项、系统关键项、系统 权限、重要文献等动作进行进程动作采集。依据挖掘和分类技术，记录并积累可疑动作的系 列程序，通过关联算法进行识别及动作规则化。监控采集过程如图2所示，当可疑行为发生 时，判定共行为特征是否为木马病毒规则库已存在的行为，如果是，则进行木马报警，并结 束动作。如果不是，则进一步确认其是否为异常行为，如果是，则按时间序列监控可疑进程， 并返回监控可疑行为发生，否则判定为正常行为，结束动作。
对被监视的应用程序发生的可疑行为进行行为特征规则化后，将其补充至木马病毒规则 库。补充木马病毒规则库前，先对被监视的应用程序发生的被判定为木马病毒的特征行为进 行行为分类后，再补充至木马病毒规则库。
获取被监视的应用程序的行为，并进行行为过滤，包括两个方面：首先依据当前木马病 毒规则库进行评测，如果与木马病毒规则库存在规则匹配，则可以直接确定为木马。否则， 依据挖掘及分类技术算法进行进一步判定，依据判定结果进行相关处理。具体为：对当前捕 捉的行为进行分析，如果与木马病毒规则库存在的规则匹配，则直接确定为木马；否则，依 据数据挖掘与分类算法进一步判定被监视的应用程序当前的行为是否为木马病毒的特征行 为。
上述实施例仅是用来说明本发明，而并非用作对本发明的限定。只要是依据本发明的技 术实质，对上述实施例进行变化、变型等都将落在本发明的权利要求的范围内。