[发明专利]一种基于分布式API特征分析的恶意软件检测系统及方法

说明书

本发明提出一种基于分布式API特征分析的恶意软件检测系统及方法，打破传统基于静态、单机式恶意软件检测系统和方法的缺陷，解决传统恶意软件检测系统无法检测加壳恶意软件和单机沙箱运行效率低下的弊端，其基本思想是：将分布式沙箱和动态API特征分析优点相结合，搭建一个具有负载均衡与健康状态管理的分布式沙箱系统以高效获取多个软件样本的API执行序列；然后从提取的API执行序列提取动静态特征；最后将提取的动静态特征输入到不同感受野的卷积神经网络学习恶意函数执行的序列特征，使用循环神经网络学习恶意函数执行的时序行为模式。本发明可以动态地检测恶意的函数执行方式和行为模式，能够有效检测经加壳、混淆后的恶意程序。

技术领域

本发明涉及网络安全领域，尤其涉及一种基于分布式API(应用程序接口，Application Programming Interface)特征分析的恶意软件检测系统及方法。

背景技术

恶意软件是旨在损害计算机，服务器或计算机网络的软件。恶意软件在植入或以某种方式侵入目标计算机后会对其造成不同程度的破坏。恶意软件是未明确提示用户或未经用户许可的情况下，在计算机上安装运行，表现为强制安装、浏览器劫持、数据窃取、恶意搜集用户敏感信息、恶意捆绑软件等恶意行为。恶意软件是黑客们实施网络犯罪的工具，攻击者通过欺骗手段诱导用户下载并运行恶意软件，从而获取用户主机的控制权或者窃取隐私信息。近年来，黑客工具的开源化导致攻击门槛逐渐降低，人们可以轻易地从网络上获取到入侵工具的源码。因此，恶意软件制造者以很小的时间成本、技术成本、经济成本就可以生成新的恶意软件对个人、社会及国家造成重大经济和安全损失，因此高效地检测恶意软件对于保护网络安全、人民财产及国家稳定具有重要意义。

为了降低恶意软件对网络环境及用户影响，众多的恶意软件检测方法及专利已经被提出。

申请号为CN201610996935.9的发明专利公开了一种用于恶意软件检测的样本类别判定方法，该发明公开了一种样本类别判定方法，包括下列步骤：1)收集样本程序集，分别组成样本库；将所述样本库中的程序集提交至虚拟沙箱环境运行，后生成相应的样本分析报告；2)解析所述样本分析报告，提取特有特征组合信息，生成特征向量集；将所述特征向量集输入分类器进行训练，得到最佳模型；3)将待测程序输入所述最佳模型，得到所述待测程序是恶意程序或正常程序的判别结果。该发明提高了恶意软件检测的效率和准确率，避免了动态检测技术中繁杂的操作和较大的能耗，在保证准确率的基础上大幅提高了检测的速度。该发明只能检测常规的恶意软件样本，并不能有效检测精心伪装的恶意软件。

申请号为CN201810299726.8的发明专利公开了一种恶意软件检测方法及系统，该方法包括：1)基于待测软件的安装包确定待测软件申请的权限对应功能；2)基于所述待测软件的安装包在测试环境中安装并运行所述待测软件，实时监测所述待测软件在运行过程中实现的动作及具有的特征；3)如果监测到所述待测软件实现对应功能时获取了预设隐私信息、且具有可达到始终运行目的和/或被迫终止后自动恢复运行目的的非功能特征，则初步确定所述待测软件为恶意软件。由此，在判断待测软件是否获取预设隐私信息的同时，还监测待测软件是否具有可达到始终运行目的和/或被迫终止后自动恢复运行目的的非功能特征，从而通过上述两项判断，大大增加了恶意软件检测的准确性。该发明不能动态检测恶意软件的内部函数调用关系，致使仅仅依赖静态特征很难检测利用动态攻击策略的恶意软件。

目前，恶意软件检测方法根据是否执行恶意软件大致分为静态分析方法和动态分析方法两种。其中，静态分析方法不需要实际运行待测软件样本，而是通过解析工具从软件样本本身提取信息，例如提取函数调用名、文件结构信息、导入表、字符串、控制流等数据，依据提取的特征判断一个软件样本是否是恶意的。静态分析方法方便快捷，但难以检测到变形、多态、加壳、混淆转换后的恶意软件。动态分析方法是在沙箱或虚拟机环境中记录软件样本的实际运行流程，在此过程中监控应用程序的运行时特征，分析记录日志发现其中的恶意行为，此类方法的检测效果更好，但是检测时需要在沙箱中模拟程序的真实运行状态，其检测速率不能保证流式快速响应。总而言之，当前现存的恶意软件检测方法存在以下主要弊端：