[发明专利]一种用于木马检测的方法及系统

说明书

本发明涉及一种用于木马检测的方法及系统，该方法将待判断代码解析为抽象语法树，并将抽象语法树构建控制流图，通过遍历控制流图，根据控制流图中各基本块中指令特点将指令中信息组成常量集合、外部世界数据集合、外部世界函数集合、清洗函数集合或函数集合，根据清洗函数集合基本块获得状态单元集合，并将状态单元集合转换为kripke结构状态迁移系统，进而将kripke结构状态迁移系统生成SMV代码，并通过模型检测器对SMV代码进行检测，使待判断代码对于是否为木马是可判定的，提高了木马检测效率。

技术领域

本发明涉及信息安全技术领域，特别是涉及一种用于木马检测的方法及系统。

背景技术

网站木马(webshell)是一种基于Web服务的后门程序。攻击者通过网站木马获得Web服务的管理权限，从而达到对Web应用的渗透和控制。由于网站木马和普通Web页面特征几乎一致，所以可逃避传统防火墙和杀毒软件的检测。而且随着各种用于反检测特征混淆隐藏技术应用到网站木马上，使得传统基于特征码匹配的检测方式很难及时检测出新的变种。

发明内容

本发明的目的是提供一种用于木马检测的方法及系统，提高了木马检测效率。

为实现上述目的，本发明提供了如下方案：

一种用于木马检测的方法，包括：

将待判断代码解析为抽象语法树；

遍历所述抽象语法树，判断每个节点是否包含在改变控制流的代码中，若包含在改变控制流的代码中，则将所述改变控制流的代码改写为goto指令，并将goto指令转换为静态单赋值形式，得到静态单赋值的中间表示；

根据所述静态单赋值的中间表示，构建控制流图；

遍历所述控制流图中除第一个基本块以外的基本块构成的基本块集合，将所述基本块集合中无前驱的基本块删除，并更新各基本块的前驱后继列表，获得更新后的控制流图；所述前驱后继列表用于记录基本块对应的前驱基本块和后继基本块；

采用深度优先策略遍历所述更新后的控制流图，将各基本块对应的指令分别组成常量集合、外部世界数据集合、外部世界函数集合、清洗函数集合或函数集合；所述常量集合中包括指令中存在常数的指令，所述函数集合包括指令中存在函数的指令，所述外部世界函数集合包括指令中存在外部输入函数的指令，所述清洗函数集合包括存在函数且函数不是外部输入函数且函数的返回值是常量的指令，所述外部世界数据集合包括指令中存在变量的指令；所述外部输入函数为参数中包括外部输入量的函数；

采用迭代近似算法遍历所述更新后的控制流图，若当前指令为存在外部输入函数的指令，则将当前指令中的函数名加入所述外部世界函数集合，将当前指令中函数的返回值加入所述外部世界数据集合，若当前指令中函数不是外部输入函数且函数的返回值是常量的指令，则将当前指令中的函数名加入所述常量集合，若当前指令函数中至少有一个参数为变量，则将当前指令中函数的返回值加入所述外部世界数据集合，若当前指令函数中参数均不是变量，将当前指令中函数的返回值加入所述常量集合，若当前指令为运算指令且运算指令中至少一个操作中包括变量，则将当前指令的运算结果加入所述外部世界数据集合，若当前指令为运算指令且运算指令中操作中不包括变量，则将当前指令的运算结果加入所述常量集合，直到所述常量集合、所述外部世界数据集合、所述外部世界函数集合和所述清洗函数集合中元素数量不变时退出遍历；

将所述清洗函数集合中每一个基本块中的指令按照一个状态单元包括一个函数调用指令进行拆分，将拆分出的多个状态单元按照前驱后继关系组合状态单元集合；各所述状态单元包括标号、函数调用指令和前驱后继列表；