[发明专利]一种基于行为分析的未知恶意代码识别与分析方法

说明书

技术领域

本发明涉及计算机网络完全技术领域，尤其涉及一种基于行为分析的未知恶意代码识别与分析方法。

背景技术

目前随着恶意代码数量急剧上涨，恶意代码种类不断增加，采用特征库匹配的方式发现恶意代码的正确率已经逐步下降，如何准确的识别并分析未知恶意代码是目前的重要研究方向。

现在的恶意软件会使用一些技巧，例如插入垃圾代码，代码位置互换，寄存器重新分配、等价代码替换等方式来躲避传统的基于签名的反恶意软件的检测，为了解决这类问题，众多厂商采用沙箱的方式来增强对恶意代码攻击行为的检测能力。

在使用沙箱进行恶意代码检测的过程中，恶意行为的判断基本上都是基于特征匹配的，例如在中国专利，一种恶意代码样本自动处理的方法及装置，CN201410032004.8的专利申请中，提出了采用提取静态特征匹配的方法，同时采用动态特征匹配作为补充。虽然很多沙箱也采用动态分析的方法，但在动态分析过程中存在沙箱环境下无法真实还原被检测文件运行轨迹的问题。

发明内容

针对现有技术存在的不足之处，本发明的目的在于提供一种基于行为分析的未知恶意代码识别与分析方法，可以实现分析文件系统的变化、系统注册表的变化、网络信息的变化、进程信息的变化、动态链接库的变化、虚拟内存区域的使用情况等，可以从多维度描述未知恶意代码运行时的整个行为过程。

本发明的目的通过下述技术方案实现：

一种基于行为分析的未知恶意代码识别与分析方法，包括主机，所述主机具有应用程序接口，所述主机内部设有响应中心、控制中心、分析中心；其方法如下：

A、所述响应中心包括如下方法：

A1、监视主机被调用的API序列，并记录；

A2、监视主机输入样本调用的应用程序接口，并记录；

A3、监视主机运行状态、网络信息，并记录；

A4、将记录的信息统一发送至控制中心；

B、所述控制中心包括如下方法：

B1、接收由分析中心下发的指令并进行处理；

B2、将步骤B1处理好的指令下发至响应中心；

B3、接收由响应中心发送的数据并进行分类处理；

B4、将步骤B3分类处理好的数据分别发送至分析中心；

C、所述分析中心包括如下方法：

C1、向控制中心下发模块调用指令；

C2、比对主机输入样本所调用的API序列与可信合法程序调用的API序列；

C3、比对主机输入样本所调用的应用程序接口与可信合法程序调用的应用程序接口；

C4、生成样本操作足迹信息；

C5、根据步骤C4样本足迹信息，绘制出样本操作足迹图；

C6、对步骤C4的样本足迹信息分别打上威胁级别标签，勾勒出样本威胁足迹图；

C7、生成详细行为的分析报告模型。

本发明较现有技术相比，具有以下优点及有益效果：

本发明可以实现分析文件系统的变化、系统注册表的变化、网络信息的变化、进程信息的变化、动态链接库的变化、虚拟内存区域的使用情况等，可以从多维度描述未知恶意代码运行时的整个行为过程。

附图说明

图1为本发明的流程示意图；

图2为本发明实施例中的样本操作足迹图示例；

图3为本发明实施例中的样本威胁足迹图示例。

具体实施方式

下面结合实施例对本发明作进一步地详细说明：

实施例

如图1～图3所示，一种基于行为分析的未知恶意代码识别与分析方法，包括主机，所述主机具有应用程序接口，所述主机内部设有响应中心、控制中心、分析中心；主机中的响应中心、控制中心、分析中心三种程序模块的工作与作用分别如下：

响应中心的功能及作用：(1)行为日志：在未知恶意代码运行时，监视主机被调用的API序列以及系统中的应用程序接口，根据未知恶意代码调用的API序列以及应用程序接口与合法程序调用的API序列以及应用程序接口情况观察，捕获恶意代码的动态行为，上报日志。(2)响应控制：根据控制中心下发的控制信息采取相应行为(如启动、停止等)，将收集到的数据转发给控制中心。

控制中心的功能及作用：是响应中心和分析中心的接口，接收响应中心发送的数据，并进行初步处理，然后转发至分析中心。当控制中心接收到由分析中心发送的控制命令时，控制中心将命令发送至响应中心。