[发明专利]Internet信息系统恶意代码的检测方法和系统

说明书

技术领域

本发明涉及恶意代码检测技术领域，尤其涉及一种Internet信息系统恶意代码的检测方法和系统。  

背景技术

恶意代码（Unwanted Code）是指没有作用却会带来危险的代码，一个最安全的定义是把所有不必要的代码都看作是恶意的。 

恶意代码的分析方法有多种类型，一般传统恶意代码分析方法分为基于代码特征的分析方法、基于语义的分析方法、基于代码行为的分析方法三种，这些方法都具有一定的局限性： 

人工检测：打开网页，点击右键查看源文件，根据网页恶意代码的种类也可以查看是否包含恶意代码，但这种方法局限性很大。

基于特征码的检测法：这是使用最广泛最古老的方法，通过提取恶意代码的样本分析采集他们的独有的特征指令序列，当检测软件扫描文件时，将当前的文件与特征码库进行对比，判断是否有文件片段与已知特征码是否匹配，这是将网页挂马的脚本按脚本病毒处理进行检测，但是网页脚本变形方式、加密方式比起传统的PE格式病毒更为多样，检测起来也更加困难。 

启发式检测法：这种方法的思想是为恶意代码的特征设定一个阈值，扫描器分析，当文件的特征值类似恶意代码的特征程度，就将其看作是恶意代码。例如对于某种恶意代码，一般都会固定的调用特定的一些内核函数（尤其是那些与进程列表、注册表和系统服务列表相关的函数），通常这些函数在代码中出现的顺序也有一定的规律，因此通过对某种恶意代码调用内核函数的名称和次数进行分析。 

基于行为的检测法：包括基于行为的精确匹配和模糊匹配。精确匹配主要针对一些比较直接的恶意行为，如在注册表启动项里添加项目，修改系统文件夹下的内容等。模糊匹配为主要的判别方法，大部分恶意程序在运行时调用到的API函数都是一些普通程序所用到的，但是对比一下就能发现恶意程序会以异常的频率调用某些特殊的或平时较少见得API函数，或者以某种特定组合调用相关函数，模糊匹配就是基于此点来进行判断，这种方法可与启发式检测法结合使用。 

针对上述技术的不足之处，现有技术采用一些新的基于统计与特征分析并采用虚拟机技术，主要的新技术有： 

客户端蜜罐技术

网页恶意代码隐藏在正常的WEB通信中，传统的基于端口的防火墙(Firewall)难以阻止它的传播，基于内容（Payload）的防火墙或入侵检测系统（IDS）可以检测已知的网页恶意代码，但网页恶意代码更新很快，混淆或加密技术应用普遍，这就使传统的安全设备不能有效地检测。为了收集潜在威胁的信息，发现新的工具，确定攻击特征，以及研究攻击者的动机，出现了蜜罐技术（honeypot），就是通过精心布置网络陷阱来吸引黑客入侵。传统的蜜罐主要指的是服务器端蜜罐，但网页恶意代码是在客户机端运行，因此，Lance Spitzner首先提出了客户端蜜罐（client-side honeypot或honeyclient）这个概念。

与传统的蜜罐不同，客户端蜜罐针对客户端软件可能存在的安全薄弱性，通过主动地开启客户端软件来访问服务器，监控有无异常行为出现，对未知恶意程序进行跟踪分析，进而达到研究学习并保障安全的目的。客户端蜜罐主要针对的是Web浏览器和E-mail客户端，因此它需要数据源，面临着如何达到大的网络覆盖面的挑战。为了解决这一点，客户端蜜罐将蜜罐和爬虫( spider)结合在一起，用爬虫爬取网络url来寻找可能存在的通过客户端软件执行的恶意软件。基本上所有种类的客户端都包含有三个连续的处理步骤：首先，将所有的待处理对象放入一个队列中，接着，客户端来请求队列中的对象，最后通过分析来确定队列中的对象是否含有恶意成分。在请求与处理对象的同时，对象队列可以被扩展。 

沙盒过滤技术 

网关级安全产品阻断恶意网页在技术上的一个主要问题就是如何判断一个网页是否是恶意网页。现在大多数恶意网页中的恶意代码是用JavaScript编写的，这些JavaScript通过HeapSpray技术触发本地ActiveX控件的漏洞而进行木马下载并运行，而这些恶意的JavaScript代码为了躲避检测一般都进行了混淆加密处理，如下是一段真实的恶意网页中的JavaScript代码：