Linux下基于特征码的恶意代码取证方法及系统的制作方法
【专利说明】L i nux下基于特征码的恶意代码取证方法及系统
[0001]
技术领域
[0002]本发明涉及网络安全领域,特别涉及一种Linux下基于特征码的恶意代码取证方法及系统。
【背景技术】
[0003]随着网络和计算机技术的快速发展,Linux系统逐渐被越来越多的网络用户所使用。与此同时,针对Linux环境下恶意代码的发展亦是越来越广泛和多样化。而相应的检测方法和检测工具却无法像Windows系统环境下的,那么发展迅速,其依旧大多是依靠恶意代码特征码来进行检测的。
[0004]恶意代码的特征码就是从恶意代码的样本中提取不超过64Byte且能准确无误的代表某一类恶意代码的一系列字节。基于特征码的检测就是先将众多的特征码集合到一个数据库中,再利用这些特征码与未知文件进行对比匹配,从而判断某个未知文件是否是恶意代码、是哪一类恶意代码。
[0005]面对越加乏力的Linux恶意代码检测方法和检测工具,必须有一些新的检测方法、机制和相关工具,去为广大Linux系统用户提供网络保障。
[0006]通常情况下,恶意代码的特征库较大,仅仅是对一个几兆大小的恶意代码进行特征码匹配就需要花费掉较长的扫描时间。白名单特征库一般都比较大,而相对于一个取证工具来说,考虑其效率的问题,其库不宜过大。
【发明内容】
[0007]基于上述问题,本发明提出了一种Linux下基于特征码的恶意代码取证方法及系统,解决了 Linux下恶意代码取证,同时解决了特征库过大,检测效率低的问题。
[0008]一种Linux下基于特征码的恶意代码取证方法,包括:
a.获取Linux系统下正在运行的文件的属性特征和内存中的字符串信息;如果为属性特征,则执行步骤b,如果为字符串信息则执行步骤e ;
b.判断所述文件的属性特征是否在白名单中,如果是,则所述文件非恶意;否则所述文件为未知文件,并执行步骤c和/或执行步骤d ;
c.判断所述文件的属性特征是否在黑名单中,如果是,则所述文件为恶意文件,否则所述文件为未知文件;
d.提取所述文件的字符串信息;
e.将提取的文件的字符串信息进行WM多模匹配,若与WM特征规则库中的特征规则匹配,则所述文件为恶意,否则所述文件非恶意;
f.根据上述检测结果,提取未知文件及恶意文件的相关信息,并生成取证报告。
[0009]所述的方法中,所述文件的属性特征包括,系统正在运行的文件名、进程名、启动项及指定路径的文件信息。
[0010]所述的方法中,所述WM特征规则库为通过已知恶意文件及非恶意文件进行特征提取及训练组成。
[0011]所述的方法中,所述已知恶意文件及非恶意文件进行特征提取及训练具体为: 获取已知恶意文件及非恶意代码文件的文件特征及行为特征,形成黑特征库及白特征库;
利用白特征库对黑特征库进行过滤,判断黑特征库中的特征是否也存在于白特征库中,如果是,则从黑特征库中删除对应特征,否则保留;
计算黑特征库中的特征在已知恶意文件中出现的概率,如果大于预设阀值,则将所述特征保留在黑特征库中,否则从黑特征库中删除对应特征;
分析获取黑特征库中相同病毒家族的家族特征,添加到黑特征库中。
[0012]一种Linux下基于特征码的恶意代码取证系统,包括:
特征获取模块,用于获取Linux系统下正在运行的文件的属性特征和内存中的字符串信息;如果为属性特征,则进入白名单匹配模块,如果为字符串信息则进入多模匹配模块;白名单匹配模块,用于判断所述文件的属性特征是否在白名单中,如果是,则所述文件非恶意;否则所述文件为未知文件,并进入黑名单匹配模块和/或字符串提取模块;
黑名单匹配模块,用于判断所述文件的属性特征是否在黑名单中,如果是,则所述文件为恶意文件,否则所述文件为未知文件;
字符串提取模块,用于提取所述文件的字符串信息;
多模匹配模块,用于将提取的文件的字符串信息进行WM多模匹配,若与WM特征规则库中的特征规则匹配,则所述文件为恶意,否则所述文件非恶意;
报告生成模块,用于根据上述检测结果,提取未知文件及恶意文件的相关信息,并生成取证报告。
[0013]所述的系统中,所述文件的属性特征包括,系统正在运行的文件名、进程名、启动项及指定路径的文件信息。
[0014]所述的系统中,所述丽特征规则库为通过已知恶意文件及非恶意文件进行特征提取及训练组成。
[0015]所述的系统中,所述已知恶意文件及非恶意文件进行特征提取及训练具体为: 获取已知恶意文件及非恶意代码文件的文件特征及行为特征,形成黑特征库及白特征库;
利用白特征库对黑特征库进行过滤,判断黑特征库中的特征是否也存在于白特征库中,如果是,则从黑特征库中删除对应特征,否则保留;
计算黑特征库中的特征在已知恶意文件中出现的概率,如果大于预设阀值,则将所述特征保留在黑特征库中,否则从黑特征库中删除对应特征;
分析获取黑特征库中相同病毒家族的家族特征,添加到黑特征库中。
[0016]本发明提供了一种Linux下基于特征码的恶意代码取证方法及系统,本方法主要通过已知恶意文件及非恶意文件,提取精确的特征码,将Iinux系统下的文件的特征进行白名单检测后,将未知文件与WM特征规则库进行多模匹配,检测出更详细精确的结果,并给出检测取证报告。本发明同样利用了 Iinux中注册表和启动项等信息是以文件形式保存的特点,提取启动项信息、内存信息、进程信息等,能够对其进行检测,来检出系统中存在的恶意文件。
[0017]本发明的优势在于,利用了 Linux系统下数据皆以文件形式保存的特征,提取启动项信息、内存信息、进程信息及指定文件目录下文件信息等相关的数据,进行检测。通过白特征库对黑特征库进行过滤,从而来得到一个精准的黑名单特征库。并且通过利用WM多模匹配算法,从而实现了特征码字符串匹配过程中的跳转的幅度及频率,大大减少了无效对比的次数。
【附图说明】
[0018]为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0019]图1为一种Linux下基于特征码的恶意代码取证方法实施例流程图;
图2为一种Linux下基于特征码的恶意代码取证系统实施例结构示意图。
【具体实施方式】
[0020]为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
[0021]基于上述问题,本发明提出了一种Linux下基于特征码的恶意代码取证方法及系统,解决了 Linux下恶意代码取证,同时解决了特征库过大,检测效率低的问题。
[0022]一种Linux下基于特征码的恶意代码取证方法,如图1所示,包括:
5101:获取Linux系统下正在运行的文件的属性特征和内存中的字符串信息;如果为属性特征,则执行S102,如果为字符串信息则执行S105 ;
5102:判断所述文件的属性特征是否在白名单中,如果是,则所述文件非恶意;否则所述文件为未知文件,并执行S103和/或执行S104 ;
5103:判断所述文件的属性特征是否在黑名单中,如果是,则所述文件为恶意文件,否则所述文件为未知文件;
5104:提取所述文件的字符串信息;
5105:将提取的文件的字符串信息进行WM多模匹配,若与WM特征规则库中的特征规则匹配,则所述文件为恶意,否则所述文件非恶意;
5106:根据上述检测结果,提取未知文件及恶意文件的相关信息,并生成取证报告。
[0023]本方法中S103具有较高的检出率,而S104则检测的更为精确,所以两个检测的结果可以同时在取证报告中给出。
[0024]所述的方法中,所述文件的属性特征包括,系统正在运行的文件名、进程名、启动项及指定路径的文件信息