[发明专利]一种检测恶意软件的实现系统及方法

说明书

本发明公开了一种检测恶意软件的实现系统，其特征在于，所述系统，包括URL和恶意软件样本模块、内存分析模块和Web页面差异分析模块；所述内存分析模块，包括如下步骤：Ⅰ、内存指纹；Ⅱ、内存调查；Ⅲ、匹配正则表达式；所述Web页面差异分析模块，包括如下步骤：Ⅰ、DOM采集；Ⅱ、比较DOM；Ⅲ、差异过滤；所述内存指纹，为了发现恶意软件、目标URL和调试器，通过访问正在运行的进程的内存区域来识别和检测相关的工件，并采用相应的规避技术以防止恶意软件自身被调试器检测出来。一种检测恶意软件的实现方法，其特征在于，所述方法，包括如下步骤：Ⅰ、数据采集；Ⅱ、数据处理；Ⅲ、签名生成。通过本申请，能够根据注入行为实现恶意软件的识别和检测，且不依赖于恶意软件的版本。

技术领域

本发明涉及计算机、信息安全、注入和木马的技术领域，尤其涉及到一种检测恶意软件的实现系统及方法。

背景技术

恶意软件仍然是一个日益增长的安全威胁，特洛伊木马是最常见和最危险的恶意软件类型之一。一种特定类型的特洛伊木马，称为信息窃取者或银行特洛伊木马，允许恶意软件运营商拦截凭据(例如用户名、密码)和信用卡信息等敏感数据。这种恶意软件使用浏览器中的MitB(Man-in-the-Browser)攻击技术，通过挂接库中的某些函数和修改网页来感染web浏览器。

更准确地说，他们使用两种主要的攻击技术：(1)修改网络Windows API(2)和修改web客户端为特定网站(如银行)请求的网页。第一种技术在网络API级别拦截浏览器处理的任何敏感数据，即使连接已加密。第二种技术通常会在网页中添加新的表单字段，以窃取一次性密码等目标信息。每个攻击都依赖于一个加密的配置文件，该文件包含一个以正则表达式形式列出的目标URL(例如，知名银行URL)列表，以及应注入特定网站的HTML/JavaScript代码。鉴于其灵活性，基于Web注入的恶意软件已成为当今流行的信息窃取或泄密机制。

已有技术做了许多的工作，然而，其中的大多均依赖于特定的恶意软件或版本，需要付出相当大的努力才能不断适应新出现的技术。因此，需要一种新的恶意软件的识别和检测的系统及方法，其不依赖于恶意软件的实现细节，而是主要依赖其自身的注入行为。

发明内容

对于上述工业控制系统的网络安全的缺陷和不足，提供了一种检测恶意软件的实现系统及方法，能够分析基于DOM修改的木马攻击技术的自动系统和能够识别恶意软件执行的注入操作，并根据注入行为生成签名，此外，它还可以使用内存取证技术提取Web注入目标。

一种检测恶意软件的实现系统，其特征在于，所述系统，包括URL和恶意软件样本模块、内存分析模块和Web页面差异分析模块；

所述内存分析模块，包括如下步骤：

Ⅰ、内存指纹；

Ⅱ、内存调查；

Ⅲ、匹配正则表达式；

所述Web页面差异分析模块，包括如下步骤：

Ⅰ、DOM采集；

Ⅱ、比较DOM；

Ⅲ、差异过滤；

所述内存指纹，为了发现恶意软件、目标URL和调试器，通过访问正在运行的进程的内存区域来识别和检测相关的工件，并采用相应的规避技术以防止恶意软件自身被调试器检测出来。

一种检测恶意软件的实现方法，其特征在于，所述方法，包括如下步骤：

Ⅰ、数据采集；

Ⅱ、数据处理；

Ⅲ、签名生成。

本发明的技术效果在于：