[发明专利]一种恶意代码检测系统

说明书

本发明公开了一种恶意代码检测系统，包括：代码格式识别模块，用于进行待检测代码格式的识别和解析；静态分析模块，用于获取待检测代码的API函数调用序列、组件和资源构建待检测代码的特征向量；动态行为分析模块，用于通过建立的多态响应代码行为分析模型进行代码行为的分析；代码行为监测模块，用于通过脚本录制的方式进行代码行为数据的录制；还包括代码行为预测模块、代码识别判定模块和记录提取模块。本发明基于静态和动态进行恶意代码的检测，可以监测中新种类的恶意代码，实现了恶意代码特征数据库以及恶意行为特征数据库的自动更新。

技术领域

本发明涉及数据安全领域，具体涉及一种恶意代码检测系统。

背景技术

随着恶意代码爆炸性增长，恶意代码成为个人、企业信息泄露的最大原因，所以对恶意代码在运行之前被检测出来很有必要。目前有比较成熟的恶意代码检测技术，主要有基于签名、基于特征码、基于启发式等等方法。

基于签名的恶意检测方法，对各种恶意代码生成一个标记，并利用这些标记构建一个恶意代码数据库。这种方法能快速的检测出一段代码是否为恶意代码，对数据库中已有样本种类检验准确率很高，是很多商业杀毒软件采取的主要方式。

但是这种方法存在以下的缺点：对恶意代码的标记有些需要领域专家进行人工提取；一个新的恶意代码可能不包括任何已知的特征，只能检测已有的恶意代码，不能检测出新种类的恶意代码。

发明内容

为解决上述问题，本发明提供了一种恶意代码检测系统，基于静态和动态进行恶意代码的检测，可以监测中新种类的恶意代码，实现了恶意代码特征数据库以及恶意行为特征数据库的自动更新。

为实现上述目的，本发明采取的技术方案为：

一种恶意代码检测系统，包括：

代码格式识别模块，用于进行待检测代码格式的识别和解析；

静态分析模块，用于获取待检测代码的API函数调用序列、组件和资源构建待检测代码的特征向量；

动态行为分析模块，用于通过建立的多态响应代码行为分析模型进行代码行为的分析；

代码行为监测模块，用于通过脚本录制的方式进行代码行为数据的录制；

代码行为预测模块，基于粒子群优化支持向量机，根据静态分析模块所得的特征向量生成短期代码行为预报信息；

代码识别判定模块，用于综合静态分析模块、动态行为分析模块以及代码行为预测模块的分析结果进行代码类型的判定，若为恶意代码，则启动记录提取模块；

记录提取模块，用于将代码行为分析结果以及对应的代码特征向量、行为数据写入恶意代码特征数据库以及恶意行为特征数据库中进行记录预警。

优选地，所述代码识别判定模块通过以下步骤完成代码类别的判定：

S1、根据静态分析模块所得特征向量进行该代码类型的判定，若恶意代码特征数据库中未查见，则进入步骤S2；

S2、根据动态行为分析模块以及代码行为预测模块进行该代码类型的判定，只要其中任何一个模块所得的分析结果为恶意代码行为的都认为该代码为恶意代码。

优选地，还包括一防御决策生成模块，用于接收动态行为分析模块所发送的分析数据，并选取静态分析模块所得的特征向量与防御决策信息数据库内的数据进行相似度对比后，输出相应的防御决策。

优选地，还包括一虚拟执行模块，用于根据静态分析所得的代码特征向量进行其所对应的代码行为虚拟执行环境的构建，并进行代码的执行。