[发明专利]针对计算机病毒的动态行为捕获方法

说明书

技术领域：

本发明涉及计算机病毒防治和数据分析与处理领域，特别涉及一种应用于用来防治计算机病毒的自动化分析系统中的计算机病毒的动态行为捕获方法。

背景技术：

所谓计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码；计算机病毒具有以下几个基本特征：(1)潜伏在计算机存储介质及程序中；(2)当达到一定条件时被激活；(3)对计算机资源具有破坏作用的程序或者指令集合；就像生物病毒一样，计算机病毒有独特的自我复制能力，它们能把自身附着在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。

随着计算机软硬件水平的不断发展，近年来，计算机病毒技术也是突飞猛进，黑客和间谍技术也在不断更新改进，计算机病毒对人类造成的影响也越来越大；当前，计算机病毒正呈现出传播方式、传播途径以及破坏方式更加多样化的趋势。

据国家计算机病毒应急处理中心综合观察分析认为：“目前计算机病毒的网络化趋势更加明显，病毒的入侵主要来自蠕虫病毒，同时集病毒、黑客、木马等功能于一身综合型病毒不断涌现”，计算机病毒表现出以下特点：传播方式和途径多样化；病毒的欺骗性日益增强；病毒的传播速度极快；病毒的制作成本降低；病毒变种增多；病毒难以控制和根治；病毒传播更具有不确定性和跳跃性；病毒版本自动在线升级和自我保护能力；病毒编制采用了集成方式等。

综合上述分析，今后计算机病毒的发展趋势是：群发邮件病毒将大量出现；针对系统漏洞的具有远程控制功能的病毒将越发突出；病毒和垃圾邮件编写者将不断加强合作；病毒编写者更加年轻化、更有组织性。计算机病毒具有极强的繁殖感染能力，而因计算机病毒所造成的危害正在加剧，病毒危害主要包括系统崩溃、网络瘫疾、系统设置被修改、电脑使用受限、数据丢失等。

常见的病毒检测方法有以下几种：

(1)特征码技术

特征码技术是一种基于对已知病毒分析、查解的反病毒技术。它作为反病毒技术中最基本的技术被沿用至今，也是到目前为止各类反病毒软件仍普遍采用的技术。特征码是一串二进制位信息，它能唯一标识某一非法程序，研究人员通过对非法程序样本的分析，提取出“特征码”写入反病毒软件的特征码库，通过对用户指定的某个或某几个文件进行扫描，以确定是否包含非法程序的特征码。

特征码技术的优点是检测准确快速、可识别病毒的名称、误报警率低，被公认为检测已知病毒的最简单、开销较小的方法；其缺点是不能检测新病毒、捕获已知病毒的特征代码，费用开销大、在网络上效率低，因长时间检索会使整个网络性能降低。

(2)虚拟机技术

虚拟机技术是一种启发式探测未知病毒的反病毒技术。虚拟机技术的主要作用是能够运行一定规则的描述语言；由于病毒的最终判定准则是其复制传染性，而这个标准是不易被使用和实现的，如果病毒已经传染了才判定它是病毒，定会给病毒的清除带来麻烦。

虚拟机实质是在反病毒系统中设置的一种程序机制，它能在内存中模拟一个操作系统环境，待查文件在虚拟机上执行，其效果如同物理机。虚拟机实际是用软件的方法模拟地执行所有的或者设计者关心的CPU指令，营造一个虚拟的、可观察的、可控制的目标程序运行环境。

在处理加壳或变形的木马和蠕虫方面，虚拟机被作为一个比较理想的选择。虚拟机技术仍需要与传统技术相结合，其本质上的检测判断方法依然是特征码检查，对于那些经过修改而不是简单的加壳后的恶意软件效果比较有限。

(3)启发式扫描技术

启发式扫描技术是一种基于人工智能领域启发式分析手段的检测技术，启发式扫描能够发现一些应用了已有机制或行为方式的未知病毒。启发式扫描一般包括静态扫描方式和动态扫描方式两种。启发式扫描是通过分析指令出现的顺序，或特定组合情况等常见病毒的标准特征来决定是否为病毒。

静态启发式扫描技术和基于特征码的静态扫描类似，也是静态扫描待测程序的代码，但不同的是前者查找非法程序的特征码，而后者则查找非法程序的行为，而这些行为是通过某些相应的代码序列来确定的；通过扫描某个待测文件当中的可执行代码，查找与非法程序行为相对应的代码序列，扫描结束后，关联所有查找到的序列，并与非法程序的典型行为模式相对照，最终做出判断。