[发明专利]基于网络行为的病毒检测系统和方法

说明书

技术领域

本发明涉及信息安全领域，尤其涉及一种病毒检测系统和病毒检测方法。

背景技术

移动病毒(mobile virus)是指攻击目标为例如移动电话或具有无线网络功能的PDA等无线移动设备的病毒。由于无线移动设备和支持这些设备的无线网络越来越多，而且越来越复杂，因而保护它们从而使它们不受到各种病毒和其它恶意软件的电子攻击的难度也越来越大。

下面，首先介绍几种现有技术中用于进行病毒检测的常用方法。

基于特征码的病毒检测方法

在现有技术中，病毒和恶意软件对于计算机研究人员造成了极大挑战。传统的一种病毒检测方法是基于特征码(signatures-based)的，其利用从特定实例的已有病毒中所抽取出的特征码来检测今后实例中出现的相同病毒。这种主流的病毒检测方法基于特征码匹配，相应的防毒软件提供病毒特征库，随着病毒特征库的不断更新，防毒软件得以检测新的病毒。

这种方式在以前还是有效的，但是现代病毒采用例如多形性或变态机制等先进策略，使得部分病毒或其结构在每次复制时会产生随机的、不可预测的变化，因而在很多新情况下，例如面对病毒出现的多形性或变态机制时，基于特征码的病毒检测方法变得不再有效。这是因为，虽然这种基于特征码的病毒检测方法在检测现有的或先前遇到过的病毒方面具有较高的检出比率，但是在有效检测新的、未知的病毒变种方面却存在缺陷。而且，互联网时代的高速发展使得病毒的繁殖速度越来越快，这导致病毒特征库的更新速度无法跟上病毒的更新速度。

一些移动电话病毒安全系统或恶意信息过滤器检测恶意病毒的URL，然后阻止对这些网址的访问。但是和基于特征码的病毒检测方法类似，这种方法只能阻止已知的移动病毒服务器，而不能阻止对新的移动病毒服务器的访问。此外，移动病毒可以通过改变病毒服务器的地址来躲避这种检测机制。

由此可见，使用上述这种基于特征码的病毒检测方法只能用来检测先前发现的病毒，而不能检测新出现的未知病毒。

基于代码特征的病毒检测方法

现在也提出了一些使用N-Gram的病毒检测方法。此处的N-Gram是指二进制代码中固定大小的连续二进制序列。这种方法从同时包含在良性软件和恶意软件中的训练数据集中抽取最频繁出现的N-Gram，并使用最多出现的N-Gram的并发率作为特征。

基于系统行为的病毒检测方法

基于系统行为的病毒检测方法主要可以分为以下三类：启发式特征方法、静态特征方法和动态特征方法。

简单的启发式特征可以指从Win32 PE(可移植可执行文件格式)头中或可执行代码的字串中提取出的特征集。例如，入口位于最后一节、可疑的节名、可疑的节特征以及不一致的长度计算等。

静态指令序列方法基于由静态分析所得到的特征检测是否含有病毒特有的指令序列，其中一些方法基于对可执行二进制代码做反汇编而得到的汇编代码，其它方法则基于汇编代码的更高层结构如如控制流图(control flow graph，CFG)。但是，对二进制代码进行反汇编本身就是一项难题，至今也没有通用的解决方案。

2008年佛罗里达国际大学(Florida International University)的Jose Andre Morales在论文“基于行为的病毒检测方法”中提出了一种动态特征方法，基于病毒程序的复制企图来检测已知和未知的病毒，通过监测当前正在执行的进程是否有复制企图来完成病毒检测。

还有一种基于行为分析的特洛伊木马检测技术，其基于“钩子(hook)”技术。为了成功地自我隐藏，木马程序必须更改操作系统执行路径或直接更改用于存储有关处理、驱动、网络连接的操作系统信息。通过使用叫做钩子技术的系统，目的是得到木马程序的规则可执行路径，然后系统执行预定的功能，这样就可以将木马程序“钩”住。可见，基于行为的木马程序检测技术调查木马程序的行为特征，例如改变注册、注册系统服务、更改系统文件等，从而判断该程序是否可疑。但是，这种方法很难检测那些直接更改系统内核的木马程序。

虽然存在上述各种基于系统行为的病毒检测方法，但是针对移动病毒而言，由于用于无线移动设备的操作系统和应用程序具有多样性，所以针对它们对应的各类系统行为进行全面研究代价很高。

发明内容