[发明专利]一种僵尸程序的检测方法

说明书

技术领域

本发明涉及信息系统安全领域，尤其是一种基于免疫的僵尸程序的检测方法。 

背景技术

传统的计算机病毒检测主要是基于特征码技术，仅当其特征库中事先保存有病毒的特征码的情况下才能检测到，否则病毒将会逃过检测。僵尸程序是在传统计算机病毒、木马和蠕虫基础上发展而成的一种新型计算机恶意代码程序，在僵尸程序中融合了加密、变异、防查杀等多种防护机制，尤其是僵尸程序采用变异多态技术，在每次感染过程中均生成一个新样本，给传统计算机病毒检测技术带来了很大挑战。 

公开号为 CN101404658的中国专利申请案，公开了一种检测僵尸网络的方法，其方法可以对整个僵尸网络进行整体的分析和防御。其检测僵尸网络的方法为：首先从网络数据包中提取出IRC协议数据；然后将协议数据与数据特征库中的特征码进行匹配，获取僵尸网络数据包；最后在确定同一僵尸网络中的控制服务器、僵尸计算机、僵尸网络控制计算机。该方法存在以下缺陷：①仅能检测基于IRC协议的僵尸网络，通用性差；②仅能检测未加密的僵尸网络，对于加密命令和控制通道的僵尸网络无能为力；③基于特征码技术检测，不能检测已知僵尸网络的变种或新的僵尸网络，适应性差。 

发明内容

本发明的目的是针对现有技术在僵尸程序的检测上存在的缺点，提出一种基于免疫的僵尸程序检测方法，该方法不仅能识别已知的僵尸程序，而且通过自我学习与进化，能在实时变化的计算机环境中发现新的僵尸程序或已知僵尸程序的变种，有效地解决了传统计算机病毒特征码库无法与多态僵尸程序同步的突出矛盾。 

本发明为基于自然界生物体的免疫功能提出的发明，其原理如下：自然界生物在与外界细菌、病毒等病原体长期斗争的过程中，进化出了一套独特的保护机制——免疫保护机制，它能有效地保护生物机体免遭外界病原体的侵害，并具有耐受性、自学习、分布式并行处理、多样性、自组织、鲁棒性、自适应和免疫记忆等优良特性。生物免疫系统能记住以前的病原体，当这些病原体进入生物体内，免疫细胞迅速克隆扩增，释放出大量的抗体来捕获抗原。当新的病原体进入生物体内时，免疫系统迅速通过高频变异的自学习机制，进化出高亲和力的免疫细胞，高和力的免疫细胞迅速克隆扩增以消灭抗原，高新和力的免疫细胞进化成为记忆细胞，在下一次遭遇同样抗原时迅速做出反应。同时，生物免疫采用否定选择机制巧妙地解决了免疫系统攻击自身的问题，即误杀的问题。 

为了更好的说明本发明所述的技术方案，须按如下方式定义系统中使用的一些名词、符号以及一些公式： 

程序集合：设字符串集合： ，有程序集合。定义正常程序，僵尸程序，有。正常程序B的状态向量集合，僵尸等恶意程序M的状态向量集合，有。

抗体基因：抗体基因为从正常程序中提取的二进制字符串，定义长度为l的抗体基因集合Agd_l为，其中l为抗体基因长度(单位为字节)，N为自然数，集合D_l为从正常程序中提取的二进制字符串。 

抗体基因库：由不同抗体基因长度的抗体基因集合组成了抗体基因库，其中为抗体基因长度，N为自然数。抗体基因库用于提取程序的特征，包括正常程序和僵尸程序的程序特征。 

  自体：定义自体集合S为，其中为从正常程序中提取的状态向量集合，rd为自体元素自体半径。 

检测器：定义检测器集合为，其中rd为检测器检测半径。 

本发明的目的是基于上述的原理，提出一种僵尸程序检测方法，包括以下步骤： 

一种僵尸程序的检测方法，包括：提取正常程序集合B的抗体基因构建抗体基因集合Agd_l，并由不同抗体基因长度的抗体基因集合Agd_l组成抗体基因库Agd的步骤；用抗体基因集合Agd_l对正常程序集合B’进行特征提取构建正常程序状态模型的步骤；由正常程序状态集合C_b生成检测器，并由检测器生成检测器集合；由检测器集合检测僵尸程序的步骤。