一种基于字符串调整权值的恶意代码检测方法及系统的制作方法

一种基于字符串调整权值的恶意代码检测方法及系统的制作方法
【专利摘要】本发明提供了一种基于字符串调整权值的恶意代码检测方法及系统，所述方法包括：建立字符串库，设定字符串权值；并利用字符串库对可疑程序进行匹配检测，如果可疑程序为恶意，则将可疑程序中的其他字符串添加到字符串库中；根据预设时间间隔，将字符串库中的字符串与黑、白名单匹配，如果所述字符串与白名单匹配，则将相应字符串权值减1，如果所述字符串与黑名单匹配，则将相应字符串权值加1。通过本发明的方法及系统，能够使字符串库进行自学习，并且根据黑白名单匹配，随时自动调整字符串权值，从而提高可疑程序的检测精度，降低误报率。
【专利说明】一种基于字符串调整权值的恶意代码检测方法及系统
【技术领域】
[0001]本发明涉及恶意代码检测技术，特别涉及一种基于字符串调整权值的恶意代码检测方法。
【背景技术】
[0002]随着近些年“震网蠕虫”、“dequ” “红色十月”等网络安全事件的爆发，高级可持续攻击引起了世界范围的关注。传统恶意代码检测、识别手段通常是通过静态特征码扫描方式来识别病毒，该方法由于计算机病毒技术成熟，且恶意代码片段普遍流传及恶意代码的可配置性较强、复制率高等特点，让传统的恶意代码识别技术检测率相对较高。但由于高级可持续攻击大多经过组织周密编写，且不采取互联网普遍流传的恶意代码片段特征，因此导致其使用传统静态特征码检测方法难以识别。

【发明内容】

[0003]本发明提供了一种基于字符串调整权值的恶意代码检测方法及系统，通过本发明的方法，解决了静态特征码检测方式字符串固定，无法应对高级可持续攻击的问题，使字符串能够根据黑白名单随时调整，形成高准确度的字符串库。
[0004]一种基于字符串调整权值的恶意代码检测方法，包括:可疑程序检测及字符串库更新；
所述可疑程序检测包括:
建立字符串库，并设定每个字符串的权值；所述字符串可以为恶意代码路径、访问网络域名、网络IP或互斥量等；
检测可疑程序，将所述可疑程序与字符串库中的字符串比对，并累计字符串匹配数
量;
判断字符串匹配数量是否超过预设值，如果是，则认为所述可疑程序为恶意，向用户报警，并将所述可疑程序的其他字符串添加到字符串库中，设定字符串权值；否则继续等待检测可疑程序；
字符串库更新，主要是通过将字符串库中的字符串，定期与白名单和黑名单中的字符串对比，调整每个字符串所对应权值，来保证字符串库的准确度，提高检测精度。所述字符串库更新包括:
根据预设时间间隔，将已知白名单中的字符串与字符串库中的字符串比对，将字符串库中与白名单相同字符串的权值减I ;
判断所述字符串权值是否低于预设值，如果是，则认为所述字符串可信，将所述字符串从字符串库中清除，否则进行黑名单比对；
根据预设时间间隔，将已知黑名单中的字符串与字符串库中的字符串比对，将字符串库中与黑名单相同字符串的权值加I ;
判断黑名单中是否有新增字符串，如果是，则将所述字符串增加到字符串库中，并设定字符串权值，否则继续等待下一次比对。
[0005]所述的方法中，所述设定每个字符串的权值根据字符串的威胁程度任意设定。
[0006]所述的方法中，所述可疑程序的其他字符串为:可疑程序中除字符串库中已知字符串外的字符串。
[0007]一种基于字符串调整权值的恶意代码检测系统，包括:可疑程序检测模块及字符串库更新模块；
所述可疑程序检测模块包括:
字符串库模块，用于建立存储字符串库，并设定每个字符串的权值；
检测模块，用于检测可疑程序，将所述可疑程序与字符串库中的字符串比对，并累计字符串匹配数量；
判断模块，用于判断字符串匹配数量是否超过预设值，如果是，则认为所述可疑程序为恶意，向用户报警，并将所述可疑程序的其他字符串添加到字符串库模块的字符串库中，设定字符串权值；否则继续等待检测可疑程序；
所述字符串库更新模块包括:
白名单模块，用于根据预设时间间隔，将已知白名单中的字符串与字符串库中的字符串比对，将字符串库中与白名单相同字符串的权值减I ;
判断所述字符串权值是否低于预设值，如果是，则将所述字符串从字符串库中清除，否则进行黑名单比对；
黑名单模块，用于根据预设时间间隔，将已知黑名单中的字符串与字符串库中的字符串比对，将字符串库中与黑名单相同字符串的权值加I ;
判断黑名单中是否有新增字符串，如果是，则将所述字符串增加到字符串库中，并设定字符串权值，否则继续等待下一次比对。
[0008]所述的系统中，所述设定每个字符串的权值根据字符串的威胁程度任意设定。
[0009]所述的系统中，所述可疑程序的其他字符串为:可疑程序中除字符串库中已知字符串外的字符串。
[0010]本发明的方法及系统优势在于，能够在对可疑程序检测过程中，自动向字符串库中添加字符串，并且通过设置权值，通过白名单及黑名单自动调节权值，使恶意代码误报率降低。同时自动添加字符串及自动调节权值的方式，也解决了以往手动更新的耗时耗力。
[0011]本发明提供了一种基于字符串调整权值的恶意代码检测方法及系统，所述方法包括:建立字符串库，设定字符串权值；并利用字符串库对可疑程序进行匹配检测，如果可疑程序为恶意，则将可疑程序中的其他字符串添加到字符串库中；根据预设时间间隔，将字符串库中的字符串与黑、白名单匹配，如果所述字符串与白名单匹配，则将相应字符串权值减1，如果所述字符串与黑名单匹配，则将相应字符串权值加I。通过本发明的方法及系统，能够使字符串库进行自学习，并且根据黑白名单匹配，随时自动调整字符串权值，，从而提高可疑程序的检测精度，降低误报率。
【专利附图】

【附图说明】
[0012]为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0013]图1为本发明可疑程序检测流程图；
图2为本发明字符串库更新流程图；
图3为本发明基于字符串调整权值的恶意代码检测系统结构示意图。
【具体实施方式】
[0014]为了使本【技术领域】的人员更好地理解本发明实施例中的技术方案，并使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术方案作进一步详细的说明。
[0015]本发明提供了一种基于字符串调整权值的恶意代码检测方法及系统，通过本发明的方法，解决了静态特征码检测方式字符串固定，无法应对高级可持续攻击的问题，使字符串能够根据黑白名单随时调整，形成高准确度的字符串库。
[0016]本发明提供了一种基于字符串调整权值的恶意代码检测方法，包括:可疑程序检测及字符串库更新；
所述可疑程序检测过称如图1所示，包括:
5101:建立字符串库，并设定每个字符串的权值；所述字符串可以为恶意代码路径、访问网络域名、网络IP或互斥量等；
5102:检测可疑程序，将所述可疑程序与字符串库中的字符串比对，并累计字符串匹配
数量；
5103:判断字符串匹配数量是否超过预设值，如果是，则认为所述可疑程序为恶意，向用户报警，并将所述可疑程序的其他字符串添加到字符串库中，设定字符串权值；否则返回S101，继续等待检测可疑程序；
字符串库更新，主要是通过将字符串库中的字符串，定期与白名单和黑名单中的字符串对比，调整每个字符串所对应权值，来保证字符串库的准确度，提高检测精度。所述字符串库更新如图2所示,包括:
5201:根据预设时间间隔，将已知白名单中的字符串与字符串库中的字符串比对，将字符串库中与白名单相同字符串的权值减I ;
5202:判断所述字符串权值是否低于预设值，如果是，则认为所述字符串可信，执行S203，否则执行S204 ；
5203:将所述字符串从字符串库中清除；
5204:根据预设时间间隔，将已知黑名单中的字符串与字符串库中的字符串比对，将字符串库中与黑名单相同字符串的权值加I ;
5205:判断黑名单中是否有新增字符串，如果是，则将所述字符串增加到字符串库中，并设定字符串权值，否则继续等待下一次比对。
[0017]在整个发明方法中，每一个过程都可以形成记录，以便让维护人员进行查看与管理。
[0018]所述的方法中，所述设定每个字符串的权值根据字符串的威胁程度任意设定。
[0019]所述的方法中，所述可疑程序的其他字符串为:可疑程序中除字符串库中已知字符串外的字符串。如字符串库中有字符串A和字符串B，所述可疑程序中包括字符串A、字符串B及字符串C，经过对比后确认可疑程序为恶意，则将字符串C添加到字符串库中。
[0020]本发明还提供一种基于字符串调整权值的恶意代码检测系统，如图3所示，包括:可疑程序检测模块301及字符串库更新模块302 ；
所述可疑程序检测模块301还包括:
字符串库模块301-1，用于建立存储字符串库，并设定每个字符串的权值；
检测模块301-2，用于检测可疑程序，将所述可疑程序与字符串库中的字符串比对，并累计字符串匹配数量；
判断模块301-3，用于判断字符串匹配数量是否超过预设值，如果是，则认为所述可疑程序为恶意，向用户报警，并将所述可疑程序的其他字符串添加到字符串库模块的字符串库中，设定字符串权值；否则继续等待检测可疑程序；
所述字符串库更新模块302还包括:
白名单模块302-1，用于根据预设时间间隔，将已知白名单中的字符串与字符串库中的字符串比对，将字符串库中与白名单相同字符串的权值减I ;
判断所述字符串权值是否低于预设值，如果是，则将所述字符串从字符串库中清除，否则进行黑名单比对；
黑名单模块302-2，用于根据预设时间间隔，将已知黑名单中的字符串与字符串库中的字符串比对，将字符串库中与黑名单相同字符串的权值加I ;
判断黑名单中是否有新增字符串，如果是，则将所述字符串增加到字符串库中，并设定字符串权值，否则继续等待下一次比对。
[0021]所述的系统中，所述设定每个字符串的权值根据字符串的威胁程度任意设定。
[0022]所述的系统中，所述可疑程序的其他字符串为:可疑程序中除字符串库中已知字符串外的字符串。
[0023]本发明的方法及系统优势在于，能够在对可疑程序检测过程中，自动向字符串库中添加字符串，并且通过设置权值，通过白名单及黑名单自动调节权值，保证了字符串入库后，能够及时得到调整，形成一批高风险的字符串库，使恶意代码误报率降低。同时自动添加字符串及自动调节权值的方式，也解决了以往手动更新的耗时耗力。
[0024]本发明提供了一种基于字符串调整权值的恶意代码检测方法及系统，所述方法包括:建立字符串库，设定字符串权值；并利用字符串库对可疑程序进行匹配检测，如果可疑程序为恶意，则将可疑程序中的其他字符串添加到字符串库中；根据预设时间间隔，将字符串库中的字符串与黑、白名单匹配，如果所述字符串与白名单匹配，则将相应字符串权值减1，如果所述字符串与黑名单匹配，则将相应字符串权值加I。通过本发明的方法及系统，能够使字符串库进行自学习，并且根据黑白名单匹配，随时自动调整字符串权值，，从而提高可疑程序的检测精度，降低误报率。
[0025]本发明不局限于计算机操作系统，还可以揽括所有涉及可以感染恶意代码的操作系统，但更加适合高级可持续攻击威胁。
[0026]本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
[0027]本发明可用于众多通用或专用的计算系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。
[0028]虽然通过实施例描绘了本发明，本领域普通技术人员知道，本发明有许多变形和变化而不脱离本发明的精神，希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
【权利要求】
1.一种基于字符串调整权值的恶意代码检测方法，其特征在于，包括:可疑程序检测及字符串库更新； 所述可疑程序检测包括: 建立字符串库，并设定每个字符串的权值； 检测可疑程序，将所述可疑程序与字符串库中的字符串比对，并累计字符串匹配数量; 判断字符串匹配数量是否超过预设值，如果是，则认为所述可疑程序为恶意，向用户报警，并将所述可疑程序的其他字符串添加到字符串库中，设定字符串权值；否则继续等待检测可疑程序； 所述字符串库更新包括: 根据预设时间间隔，将已知白名单中的字符串与字符串库中的字符串比对，将字符串库中与白名单相同字符串的权值减I ; 判断所述字符串权值是否低于预设值，如果是，则将所述字符串从字符串库中清除，否则进行黑名单比对； 根据预设时间间隔，将已知黑名单中的字符串与字符串库中的字符串比对，将字符串库中与黑名单相同字符串的权值加I ; 判断黑名单中是否有新增字符串，如果是，则将所述字符串增加到字符串库中，并设定字符串权值，否则继续等待下一次比对。
2.如权利要求1所述的方法，其特征在于，所述设定每个字符串的权值根据字符串的威胁程度任意设定。
3.如权利要求1所述的方法，其特征在于，所述可疑程序的其他字符串为:可疑程序中除字符串库中已知字符串外的字符串。
4.一种基于字符串调整权值的恶意代码检测系统，其特征在于，包括:可疑程序检测模块及字符串库更新模块； 所述可疑程序检测模块包括: 字符串库模块，用于建立存储字符串库，并设定每个字符串的权值； 检测模块，用于检测可疑程序，将所述可疑程序与字符串库中的字符串比对，并累计字符串匹配数量； 判断模块，用于判断字符串匹配数量是否超过预设值，如果是，则认为所述可疑程序为恶意，向用户报警，并将所述可疑程序的其他字符串添加到字符串库模块的字符串库中，设定字符串权值；否则继续等待检测可疑程序； 所述字符串库更新模块包括: 白名单模块，用于根据预设时间间隔，将已知白名单中的字符串与字符串库中的字符串比对，将字符串库中与白名单相同字符串的权值减I ; 判断所述字符串权值是否低于预设值，如果是，则将所述字符串从字符串库中清除，否则进行黑名单比对； 黑名单模块，用于根据预设时间间隔，将已知黑名单中的字符串与字符串库中的字符串比对，将字符串库中与黑名单相同字符串的权值加I ; 判断黑名单中是否有新增字符串，如果是，则将所述字符串增加到字符串库中，并设定字符串权值，否则继续等待下一次比对。
5.如权利要求4所述的系统，其特征在于，所述设定每个字符串的权值根据字符串的威胁程度任意设定。
6.如权利要求4所述的系统，其特征在于，所述可疑程序的其他字符串为:可疑程序中除字符串库中已知 字符串外的字符串。
【文档编号】G06F21/56GK103927481SQ201310690786
【公开日】2014年7月16日 申请日期:2013年12月17日 优先权日:2013年12月17日
【发明者】张慧云, 李柏松 申请人:哈尔滨安天科技股份有限公司