[发明专利]一种分层协同的网络病毒和恶意代码识别方法

摘要

本发明分层协同的网络病毒和恶意代码识别方法，特征是借鉴生物免疫强大的自我保护机制，将网络病毒和恶意代码识别技术和生物免疫系统的多层保护机制对应起来，通过统计分析关键词词频判断待检测脚本的危险度，基于注册表操作“自我集”的角度来分析判断注册表写入表项路径的异常行为，以及对应用程序编程接口执行序列进行非我识别，最终将全部异常行为信息通过网络发送到网络控制台，较好地解决了未知网络病毒和恶意代码的异常行为识别问题，对未知网络病毒和恶意代码的具较好的识别能力，实现了对单个系统及整个子网中的网络病毒和恶意代码异常行为的监控和管理。

主权项

1、一种分层协同的网络病毒和恶意代码识别方法，包括：从脚本文件中分离出关键词，通过注入动态链接库(简称DLL)的方法获得应用程序编程接口(简称API)执行序列和注册表写入表项路径，将注册表写入表项路径和API序列保存在硬盘或内存中；其特征在于：对脚本的关键词词频统计分析并作出异常判断；对注册表写入表项路径进行自我识别并作出异常判断；对API序列进行非我识别并作出异常判断；将异常行为信息发送到网络控制台；所述脚本文件是指用Javascript语言写的脚本文件、用VBScript语言写的脚本文件以及嵌入了Javascript或VBScript代码的脚本文件；所述注入DLL获得API执行序列和注册表写入表项路径是指，通过将DLL作为远程线程注入到目标程序中，然后采用替换输入地址表(简称IAT)的方法截取目标程序的API执行序列，并从注册表API函数的参数获得注册表写入表项路径；所述对脚本的关键词统计分析并作出异常判断是指从脚本文件中分离出29个关键词copyfile、Createobject、Delete、FolderDelete、RegWrite、Virus、.Write、GetSpecialFolder、keys、opentextfile、readall、.save、startup、execute、.add、buildpath、copyfolder、createfolder、createtextfile、deletefile、fileexists、folderexists、getfile、getfolder、getparentfolder、format、.run、do copy、document.write，并进行如下步骤：(1)将29个关键词分为三组，第一组为创建对象关键词：Createobject；第二组为本身无危险操作关键词：Virus、.Write、GetSpecialFolder、keys、opentextfile、readall、startup、execute、.add、buildpath、fileexists、folderexists、getfile、getfolder、getparentfolder、.run、document.write；第三组为具有可能进行破坏操作的关键词：copyfile、Delete、FolderDelete、RegWrite、.save、copyfolder、createfolder、createtextfile、deletefile、format、do copy；(2)统计正常脚本中这29个关键词出现的词频的期望值f_i，1≤i≤29，统计异常脚本中这29个关键词出现的词频的期望值f_i′，1≤i≤29，计算29个关键词在正常和异常脚本中的归一化词频差ei=(fi-fi′)/Σi=129(fi-fi′),]]>1≤i≤29：(3)统计在当前待检测脚本中关键词出现的词频m_i，1≤i≤29，计算待检测脚本的危险度Risk，Risk=GΣi=129P(i)F(i)]]>其中P(i)、F(i)和G分别为：(4)将危险度阈值TH定义为：TH=Σi=029P(i)/29]]>当危险度Risk超过阈值TH时，发送预警信息至网络控制台；所述对注册表写入表项路径进行自我识别并作出异常判断采取如下步骤：(1)收集正常状态下目标程序的正常注册表写入表项路径，并存入数据库中，每个正常注册表写入表项路径称为“自我”，其集合称为“自我集”；(2)读取当前注册表写入表项路径，与数据库中原有的“自我”操作相比较，如果不在“自我集”中，则发送异常行为信息至网络控制台；所述对API序列进行非我识别并作出异常判断采取如下步骤：(1)API选取操作：(a)截取正常状态下目标程序的API序列，并以滑动步长为W₀的方式将之截成长度为L₀的串集S₀；(b)截取带毒运行状态下目标程序的API序列，并以滑动步长为W₀的方式将之截成长度为L₀的串集R₀；(c)比较串集S₀和R₀中不同的序列，抽取出构成这些序列的API函数，将这些API函数作为待监视的API函数集；(2)根据选定的API函数，截取正常状态下目标程序的API序列，并以滑动步长为W将之截成长度为L的串，生成自我集S；(3)获取目标程序的当前API执行序列，并以滑动步长为W将之截成长度为L的串，每次读取N个API序列进行如下检测过程：(a)产生初始检测器集D₀：根据选定的API函数随机产生预检测器，过滤自我，进而获得初始检测器集；这里的匹配策略是部分匹配策略，即两个序列匹配当且仅当这两个字符串在连续r个位置一致；(b)比较当前AP执行序列和检测器集中的任一检测器：如果发现匹配则标记该序列并将总匹配数目加1，当实时获取的待检测API序列总匹配数目达到阈值G_n时，向网络控制台发异常行为信息；(c)如果进化代数t超过阈值G_e或全部API序列已被标记，继续读取下一批API序列并进行检测；否则，对于不匹配的API序列，则依据亲合度变异、基因库进化、随机产生的三个子集D_A、D_G、D_R和记忆集D_M共同组成下一代检测器集D_i＝D_A+D_G+D_R+D_M，且D_A、D_G、D_R子集满足DA1≈DG2≈DM1;]]>通过亲合度变异产生检测器子集D_A，亲合度变异是指当API序列与检测器集中的任一检测器的匹配程度超过亲合度阈值G_f时，通过变异产生N_c(N_c≥1)个子代个体；通过基因库进化产生检测器子集D_G，基因库进化是指提高组成有效检测器的API的选择概率，即P_api＝P_api+ΔP；并在实际生成检测器时，依据API选择概率通过赌轮法生成预检测器，最后过滤自我生成检测器子集D_G；通过随机产生检测器子集D_R；将已有的能够匹配异常序列的检测器组成记忆集D_M；所述网络控制台是指用来接收对脚本、注册表写入表项路径以及API序列进行分析处理所获得的异常信息的网络程序。