[发明专利]基于密码算法分析的计算机病毒检测方法及系统

说明书

本发明提供了一种基于密码算法分析的计算机病毒检测方法及系统，包括以下模块：加壳状态判断模块：用于对病毒文件进行处理，判断病毒文件的加壳状态，所述加壳状态包括存在已知壳、存在未知壳或不存在壳中的任意一种；静态分析模块：用于对病毒文件进行静态分析，获得病毒文件的静态数据信息；动态分析模块：用于对病毒文件进行动态分析，获得病毒文件的动态数据信息。采用静态分析和动态分析相结合的技术，对密码算法在计算机病毒的加壳、网络通信加密和数据文件加密等过程中的应用方法进行分析，为计算机病毒的加密算法识别和检测防御提供依据。

技术领域

本发明涉及网络安全技术领域，特别涉及一种基于密码算法分析的计算机病毒检测方法及系统。

背景技术

目前，密码是网络信息安全的核心技术和基础理论支撑，是数据保护和认证的最重要手段之一。但是，密码算法的发展是一把双刃剑，密码也为黑客和犯罪分子躲避检测和追查提供了技术支撑，他们逐渐地掌握和运用密码加密技术，用于保护病毒样本不被检测、隐藏通信特征、躲避网络防护设备和加密用户文件等。密码加密手段被攻击者的广泛应用，加大了安全企业和政府对病毒检测和分析的工作量和难度，给用户带来巨大的经济损失。同时，随着计算机病毒文件中密码应用攻击方式的迅速发展，计算机病毒的密码检测分析能力越来越成为一个必须给予重视的安全性检测内容。

目前计算机病毒分析方法主要分为静态分析和动态分析两类。静态分析通过逆向工程抽取病毒样本静态特征，分析PE文件格式、API函数调用和汇编指令等序列。但是计算机病毒会使用代码混淆、加密加壳等手段对抗静态分析，造成静态分析结果不准确。动态检测是使用沙箱或虚拟机模拟运行病毒程序，通过API拦截或行为监控的方式分析程序运行时的动态行为特征，分析计算机病毒执行过程中的文件操作、网络操作、注册表操作、进程操作等，识别恶意行为进行病毒检测。

病毒加壳技术的相关研究。壳是一种专门负责保护病毒不被修改或反编译的一段程序，它一般是先于病毒运行，在执行过程中才会将病毒实体释放，可有效躲避基于静态特征码的查杀。加密壳侧重是软件程序的保密不易被破解，加密壳种类比较多。计算机病毒加壳特征分析和检测方面，很多安全产业界及学术界人员都进行了研究。四川大学王俊峰等人发明的“基于静态特征的PE文件加壳检测方法”首先对其进行静态文件分析，提取出该PE文件的9个特征值，然后使用PE文件分类器来进行加壳检测。北京瑞星国际软件有限公司发明的“一种用于对文件进行脱壳的模块和方法”包括：虚拟机，用于模拟真实计算机；控制器，用于检测所述文件的壳类型；以及脱壳模块，用于基于所述检测的壳类型，确定所述文件的脱壳程序中需要在所述真实计算机中执行的代码。

病毒加密网络通信的相关研究。计算机病毒一般都具有网络通信的功能，方便接收黑客的指令和传递窃取的数据。木马病毒是一类典型的计算机病毒程序，用户的肉鸡电脑和远程控制端需要隐蔽通信，往往采用AES等对称加密算法，或者使用HTTPS协议加密传输数据。对网络病毒程序的加密通信分析的重点包括加密算法和通信过程的逆向分析两个方面。加密算法的分析确保能够正确解密截获的数据包，通信过程的分析确保能够解析解密后的数据包。通过对病毒程序的网络通信过程的加密算法的逆向分析，完成加密过程的还原、验证与甚至破解。潘吴斌等人发表的“网络加密流量识别研究综述及展望”中指出，木马和僵尸网络等通过加密和隧道技术绕过防火墙及入侵检测系统，将机密信息发送到外网，并对现有的加密流量识别技术进行了概述和对比。Blake Anderson等人发表的“Deciphering Malware’s use of TLS(without Decryption)”文章中提出一种识别恶意代码使用的TLS协议流量的方法，并且通过分析流量的特征可以将恶意代码的家族区分开。