专利名称:对文件行为特征进行检测的系统的制作方法
技术领域:
本发明涉及计算机安全技术领域,具体涉及对文件行为特征进行检测的系统。
背景技术:
一些黑客经常会向文件中写入恶意代码,使得文件成为恶意文件,网络用户在从网站上下载这些文件(例如游戏或其他程序等)或者从其他的移动存储设备拷贝这些文件时,就会连同恶意代码一并带入自己的电脑,从而对用户电脑造成危害或者给用户带来各种干扰。因此,有效地检测出文件中是否包为恶意文件是非常重要的。最初,一般会通过文 件的一些静态特征对文件进行检测,例如,文件的名称、MD5值等等。但是如果文件版本更新,或者恶意代码结构变化,这些静态特征就会失效,需要进行修改,因此检测的有效性不高,并且需要的维护成本也会比较高。为此,出现了基于文件的行为特征对文件进行检测的方法。在该方法中,一般是预先收集各种可能出现的恶意的行为特征,将待检测文件投入到沙箱中运行,记录运行过程中产生的行为,并与预先收集的恶意行为特征进行比对,根据出现的恶意行为特征的数量,来确定文件为恶意文件的概率。例如,恶意行为特征库中有100条恶意的行为特征(这些行为特征是从已知的各种恶意文件的行为中提取出来的,通常称为黑行为特征),有一个文件在运行过程中产生的行为命中了其中的10条,可能该文件的危险级别比较低,如果另一文件在运行过程中产生的行为命中了其中的50条,则该文件的危险级别就比较高,等等。但是,现有技术中的这种基于行为特征的检测方法,容易造成误报。例如,文件加壳的目的一般是阻止对文件的反汇编分析或者动态分析,以达到它不可告人的目的。文件加壳行为一般会被作为恶意的特征保存在沙箱中,于是只要是加壳的文件,都被认为存在一定的危险性。然而有些情况下,文件加壳却是一种正常的行为,可能是用来保护文件的版权,防止被软件破解,等等。例如,视频教程文件等,为了保密等原因,可能会对文件进行加壳,但这并不意味着该文件就是含有恶意代码的恶意文件,如果直接将其判定为恶意文件,则可能会是一种误判。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的对文件行为特征进行检测的系统。在本发明的一个方面,提供了一种对文件行为特征进行检测的系统,包括客户端及服务器端其中,所述客户端包括文件上传单元,用于将疑似恶意的文件样本上传到所述服务器端;所述服务器端包括第一待检测文件确定单元,用于将所述客户端上传的文件样本确定为待检测样本;以及检测恶意文件的装置。任选地,所述检测恶意文件的装置包括文件类别确定单元,用于确定待检测文件所属的类别;行为收集单元,用于将所述待检测文件投入到该类别对应的沙箱中运行,收集所述待检测文件在运行过程中产生的行为;特征比对单元,用于将所述待检测文件在运行过程中产生的行为与该类别对应的非恶意行为特征库中的行为特征进行比对,所述该类别对应的非恶意行为特征库中的行为特征为该类别的非恶意文件所具有的行为特征;以及
检测结果确定单元,用于如果存在所述非恶意行为特征库之外的行为,则将该待检测文件确定为恶意文件。任选地,所述文件类别确定单元包括静态分析子单元,用于根据待检测文件的文件静态特征,确定待检测文件所属的类别。任选地,所述文件静态特征包括文件的图标、大小和/或代码的循环冗余校验码CRC。任选地,所述文件类别确定单元包括网站分析子单元,用于如果所述待检测文件来源于网站,则根据网站所属的类别确定待检测文件所属的类别。任选地,所述待检测文件所属的类别包括私服类,所述该类别对应的非恶意行为特征库中的行为特征包括遍历目录查找游戏、查找游戏程序窗口和/或加载具有特定路径及文件名的动态链接库文件。任选地,所述待检测文件所属的类别包括外挂类,所述该类别对应的非恶意行为特征库中的行为特征包括创建非恶意文件、遍历目录查找游戏、加载具有特定路径及文件名的动态链接库文件、对游戏进程的操作和/或非恶意的网络操作。任选地,该系统还包括第一文件确定单元,用于接收客户端上传的新的文件样本,将新上传的文件样本确定为所述待检测文件;或者,第二文件确定单元,用于从互联网上收集新的文件样本,将新收集到的新的文件样本确定为所述待检测文件。在本发明的另一方面,提供了一种对文件行为特征进行检测的系统,包括样本收集单元,用于从互联网上收集文件样本;第二待检测文件确定单元,用于将收集到的文件样本确定为待检测文件;以及检测恶意文件的装置。任选地,所述检测恶意文件的装置包括文件类别确定单元,用于确定待检测文件所属的类别;
行为收集单元,用于将所述待检测文件投入到该类别对应的沙箱中运行,收集所述待检测文件在运行过程中产生的行为;特征比对单元,用于将所述待检测文件在运行过程中产生的行为与该类别对应的非恶意行为特征库中的行为特征进行比对,所述该类别对应的非恶意行为特征库中的行为特征为该类别的非恶意文件所具有的行为特征;以及检测结果确定单元,用于如果存在所述非恶意行为特征库之外的行为,则将该待检测文件确定为恶意文件。任选地,所述文件类别确定单元包括静态分析子单元,用于根据待检测文件的文件静态特征,确定待检测文件所属的类别。
任选地,所述文件静态特征包括文件的图标、大小和/或代码的循环冗余校验码CRC。任选地,所述文件类别确定单元包括网站分析子单元,用于如果所述待检测文件来源于网站,则根据网站所属的类别确定待检测文件所属的类别。任选地,所述待检测文件所属的类别包括私服类,所述该类别对应的非恶意行为特征库中的行为特征包括遍历目录查找游戏、查找游戏程序窗口和/或加载具有特定路径及文件名的动态链接库文件。任选地,所述待检测文件所属的类别包括外挂类,所述该类别对应的非恶意行为特征库中的行为特征包括创建非恶意文件、遍历目录查找游戏、加载具有特定路径及文件名的动态链接库文件、对游戏进程的操作和/或非恶意的网络操作。任选地,该系统还包括第一文件确定单元,用于接收客户端上传的新的文件样本,将新上传的文件样本确定为所述待检测文件;或者,第二文件确定单元,用于从互联网上收集新的文件样本,将新收集到的新的文件样本确定为所述待检测文件。根据本发明的对文件行为特征进行检测的系统,可以根据同类的无恶意文件所表现出来的共有的行为特征建立各类文件的无恶意行为特征库,这样,在进行检测时,可以首先确定出待检测文件所属的类别,并将待检测文件投入到该类文件对应的沙箱中运行,记录待检测文件在运行过程中发生的所有行为,并将这些行为与该类文件对应的无恶意行为特征库中的各个行为进行比对,如果出现了无恶意行为特征库之外的行为,则可以将待检测文件确定为恶意文件。通过该方法,由于可以对不同的文件按照类别进行检测,因此,可以大大降低误判率,提高检测结果的准确度。上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式
。
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中图I示出了根据本发明一个实施例的方法的流程图;图2示出了根据本发明一个实施例的装置的示意图;图3示出了根据本发明一个实施例的系统的示意图;以及图4示出了根据本发明另一个实施例的系统的示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。在本发明实施例中,并不是将待检测文件在运行过程中发生的行为与黑行为特征进行对比,而是与白行为特征进行对比,所谓白行为特征就是指无恶意文件在运行过程中一般都会出现的行为,这样,如果待检测文件在运行过程中出现这些白行为特征之外的特征,则就可能是由于包含恶意代码导致的。但是在具体实现时,本发明实施例并不是像黑特征行为对比时一样,将众多文件的黑行为特征混在一起进行观察,而是将文件进行分类,每类文件对应的各自的沙箱,并且从同类的无恶意文件中提取出白行为特征;在对待检测文件进行检测之前,首先确定待检测文件所属的类别,然后将该待检测文件投入到该类别的沙箱中,记录待检测文件运行过程中出现的行为,并与该类别文件的白行为特征进行对比,如果存在这些白行为特征之外的行为,则该待检测文件就可能是恶意文件。之所以这样进行检测,是因为,在使用白行为特征进行检测时,如果将各类无恶意文件的白行为特征全部混合在一起,则会比较不容易区分,在使用这种白行为特征进行检测时,仍然会存在较高的误判率。但是对于同类的文件而言,即时文件的开发者、版本不同,但也通常会表现出相似的行为,因此,将文件进行分类,然后在使用同类文件的白行为特征进行检测,会大大降低检测的误判率。也即,在本发明实施例中,首先,要找到同类的文件,然后要收集整理该类无恶意文件的共有行为特征,建立一个无恶意行为库,用以对该类别的待检测文件进行安全性检测。下面就对本发明实施例提供的对文件行为特征进行检测的方法进行详细地介绍。参见图1,本发明实施例提供的对文件行为特征进行检测的方法可以包括以下步骤SlOl :确定待检测文件所属的类别;在本发明实施例中,待检测文件可能是客户端上传的文件,也可能是从互联网中收集到的文件。也就是说,在客户端侧,可以为用户提供上传文件的入口,当用户发现疑似恶意的文件时,就可以通过该入口上传到服务器端,在服务器端将客户端上传的文件作为待检测文件进行检测。或者,在客户端对用户的文件进行安全检测时,如果发现某文件既没有出现在白名单中,也没有出现在黑名单中,则不能确定该文件到底是否为恶意文件,因此,可以将其作为疑似恶意的文件自动上传给服务器,通过服务器进行进一步地检测,等等。或者,也可以在服务器端在整个互联网范围内收集可疑的文件,例如,从一些已知是私服或外挂类的网站中收集可以下载的文件,将这些文件作为待检测文件进行检测。当然,当接收客户端上传的可疑文件,以及从互联网中收集可疑文件的过程都可以是一直在进行的,并且每当发现新上传的可疑文件,或者从互联网中收集到新的可疑文件,都可以立即将其作为待检测文件进行检测,以保证收集到最新的文件样本时,尽快进行检测,给出结论,避免恶意程序的传播。针对待检测文件,首先需要确定出其所属的类别。具体实现时,根据待检测文件的来源不同,也可以使用不同的确定文件类别的方法。例如,在一种方式下,待检测文件可能是用户上传到服务器的可疑文件,针对这种待检测文件,可以根据文件的静态特征来确定文件所属的类别,其中,文件的静态特征可以包括文件的图标、文件名、文件说明信息中的关键字、大小和/或代码的循环冗余校验码CRC等等。文件的这些静态特征可以通过查询文件的属性等方式来获取到。另外,在具体实现时,除了用户上传可疑文件之外,本发明实施例还可以到指定的网站中收集待检测文件,这样,可以直接根据网站的类别来确定待检·测文件所属的类别。其中,这种服务器主动到网站中收集的方式,收集的对象可以是一些经常容易被加入恶意代码的文件。例如,私服类文件、外挂类文件等等,如果是从指定的私服类网站中收集到的待检测文件,可以直接确定为私服类文件,如果是从指定的外挂类网站中收集到的待检测文件,可以直接确定为外挂类文件,等等。其中,所谓私服是指没有得到网络游戏的制作商法定许可而私自存在并运营的服务器,它在技术和服务实力上都和正式的官方服务器(简称“官服”)不存在可比性。但是出于费用较低等原因,一些游戏玩家还是会具有使用私服的需求。为了使用私服,需要将私服文件下载到用户的计算机本地,并将私服文件安装到原有的官服所在的文件夹中,并建立自己的登录器,用户下次登录时,就会登录到私服类的网站。而私服类的网站就是为用户提供私服文件下载的网站,在这类网站中存在私服文件的下载链接,但是由于私服类文件本身就是由一些非法定许可的制作者制作的,因此私服类文件属于容易被写入恶意代码的高危文件。私服类网站在提供私服文件下载时,可能并未对私服文件的安全性进行验证。因此,用户在下载使用私服文件时,一旦用户将包含有恶意代码的私服文件下载到计算机本地,可能会对其计算机的安全性构成威胁,本发明实施例中,可以对这种私服类的文件进行检测。具体的,就可以从一些已知是私服类的网站中,将其提供的私服文件下载链接对应的文件下载下来,并将下载到的文件作为私服类的待检测文件进行检测。外挂是指某些人利用自己的电脑技术专门针对一个或多个网络游戏,通过改变网络游戏软件的部分程序,制作而成的作弊程序。现在随着游戏官方对外挂的抵制,游戏本身也有了超强的自动检测外挂的功能,但制作外挂的技术也不断提高着,现在最流行的就是在游戏中用封包和抓包工具等对游戏服务器提交假的数据从而改变游戏人物能力,等等。与私服类文件类似,这些外挂文件同样是由一些没有得到特殊授权的人制作的,因此,也是一类经常被写入恶意代码的高危文件。并且同样存在一些网站提供外挂类文件的下载,而且同样可能并未对外挂文件的安全性进行验证。对于用户而言,一旦下载到包含有恶意代码的外挂文件,则可能会使得其计算机受到恶意代码的攻击。因此,在本发明实施例中,就可以对这种外挂类的文件进行检测。具体的,就可以从一些已知是外挂类的网站中,将其提供的外挂文件下载链接对应的文件下载下来,并将下载到的文件作为外挂类的待检测文件进行检测。当然,在实际应用中,待检测文件的类别也不限于上述私服和外挂这两类,对于其他类别的文件而言,如果同样属于容易被写入代码的高危文件,并且同类的无恶意文件同样能够表现出一些相似的白行为特征,也是可以用本发明实施例提供的方法进行检测的。另外,对于从特定类别的网站中下载得到的待检测文件而言,在确定其所属的类别时,除了直接将网站所属的类别确定为文件类别之外,还可以在下载到文件之后,根据文件的静态特征对待检测文件所属的类别进行进一步验证,等等。S102 :将所述待检测文件投入到该类别对应的沙箱中运行,收集所述待检测文件在运行过程中产生的行为;在确定出待检测文件所属的类别之后,就可以将待检测文件投入到该类别对应的沙箱中,在沙箱中运行待检测文件,并对运行过程中的全部行为进行记录,以作为比对的基 础。S103:将所述待检测文件在运行过程中产生的行为与该类别对应的无恶意行为特征库中的行为特征进行比对,所述该类别对应的无恶意行为特征库中的行为特征为该类别的无恶意文件所具有的行为特征;在记录下待检测文件在运行过程中产生的所有行为之后,就可以将这些行为与该文件所属类别对应的白行为特征进行比对,其中,该文件所属类别对应的白行为特征,也就是对该文件所属类别的无恶意文件在运行过程中所可能会产生的行为进行统计,得到的特征行为集合。例如,在对私服文件的分析研究过程中发现,对于正常的无恶意私服程序而言,一般是有着一些共有的特性的,固定的一类程序,特征行为本身是在一定范围内的,即便是版本更新,特征行为改动也很少。例如视频播放器软件,一般就是遍历文件目录查找视频、音频文件,调用设备驱动、读取视频、音频文件,特征行为范围相对比较固定,一般不会去修改注册表、注入其他进程、写启动服务等等。正常的私服文件和外挂文件也一样,私服软件一般只是替换了官服的主程序,其实行为上只比官服的多了遍历目录。其他行为与正常的官服游戏行为是一样的。外挂一般也只是遍历进程,查找游戏进程完后注入游戏进程,修改游戏进程内存达到作弊的效果。一旦有恶意程序伪装了某种软件,就会触发原本这类软件行为范围之外的行为。首先,从静态特征来看,他们的程序图标、大小、代码CRC等都具有共性,并且在一段时间内,静态特征都不会产生变化,可以根据这些特性来进行初期判断,进行分类筛选;然后,从动态的行为特征来看,对于同一类私服文件而言,他们运行之后表现出来的行为非常的相似,例如QueryDirectory :遍历目录查找游戏目录;FindWindow :查找游戏程序窗口;MapView和LoadImage :加载和执行动态链接库文件。因此,可以根据这些共性建立私服类文件的无恶意行为特征库,根据这些无恶意的行为特征,来对文件行为特征进行检测。其中,对于加载和执行动态链接库文件的行为而言,并不是加载和执行所有动态链接库文件的行为都是正常的,允许私服类文件加载的动态链接库文件在路径和文件名上一般具有共同点,因此,在记录私服类无恶意文件的白行为特征时,需要制定加载和执行具有怎样文件名及路径的动态链接库文件,如果发现待检测文件在运行中发生加载及执行这些动态链接库文件以外的动态链接库文件,也可以将待检测文件确定为恶意文件。例如,在无恶意行为特征库中记录加载及执行动态链接库行为的同时,还需要建立一个允许加载的动态链接库文件的名单,例如
WhiteDllName =[
'C :\\ WIN DO W SWsy stem32\\M SIN ET. OC X',
'C :\\W IN DO WSWsy stem3 2 WMSCOMCTL.OCX',
V:\\W IN DOWSWsystemS 2\\ulib.dir,
'C :\\ WIN DO WS\\system3 2 Wgdi 32.dll',
'C :\\W IN DO W SWsy stem 3 2\\rasinan .dll',iH:\TDDOWNLOAD\ok.exe',
'^WSkinHEL.dir,
^WBinWPathLib.dll',
,H5\\Bin\LuaPlus.dir,
'^Wkrnln.fnr',
'^Wshell.fiie',
'^WeAPI.fne',
'*\\.ly3mir2.dat,,
'^W ok.exe',
'*\\T empWSEl .tmp',
'*\\client.exe'
'*unrar.dH'
]也即,私服文件只允许加载以上的动态链接库文件,如果有这个列表之外的动态链接库文件被加载,则会被判定为恶意的私服文件。外挂文件与私服文件在检测流程上是相同的,只是具体的特征会有所不同。其中,首先同样对于静态特征,同样可以根据文件的图标、大小、代码CRC、加壳信息等静态特征对待检测文件进行初期的分类和筛选。然后对于外挂类文件的动态行为特征,同样建立一个无恶意行为库,例如CreateFile :创建文件的行为,并且创建的文件是无恶意的文件,这里可以根据预先建立的病毒库来判断创建的文件是否为恶意文件;Findffindow :遍历目录查找游戏;MapView和LoadImage :加载动态链接库,与私服文件类似,这里加载文件的文件名和路径都应该在预先收集的无恶意信息库中;OpenProcess、AdjustPrivileges :对游戏进程的一些操作;LPC_QueryDns, TCP_Connect :对网络的操作,这里需要根据预先建立的网络信息库判断网络操作必须是无恶意的。也就是说,外挂文件可能会有一些访问网络的行为,但是需要在一定的范围内,超出该范围以外的网络行为,则被认为是恶意文件的行为。也就是说,在无恶意行为库中不仅需要包括网络行为本身,还需要指定哪些网络操作行为是允许 的,以此作为白行为特征的一部分。同样的,通过对以上及其他信息的整理可以发现,所收集的这些行为操作不会对系统产生危害,因此可以作为外挂类无恶意文件的白行为特征,以此来检测外挂类的恶意文件。S104:如果存在所述无恶意行为特征库之外的行为,则将该待检测文件确定为恶意文件。如前文所述,在获取到待检测文件在运行过程中产生的所有行为之后,可以将这些行为与该文件所属类别的无恶意行为特征库中的各个行为进行比对,如果出现了无恶意行为特征库之外的行为,则可以将待检测文件确定为恶意文件。可见,在本发明实施例中,可以根据同类的无恶意文件所表现出来的共有的行为特征建立各类文件的无恶意行为特征库,这样,在进行检测时,可以首先确定出待检测文件所属的类别,并将待检测文件投入到该类文件对应的沙箱中(该沙箱可以部署在用户的客户端设备上,也可以是在服务器中)运行,记录待检测文件在运行过程中发生的所有行为,并将这些行为与该类文件对应的无恶意行为特征库中的各个行为进行比对,如果出现了无恶意行为特征库之外的行为,则可以将待检测文件确定为恶意文件。通过该方法,由于可以对不同的文件按照类别进行检测,因此,可以大大降低误判率,提高检测结果的准确度。与本发明实施例提供的对文件行为特征进行检测的方法相对应,本发明实施例还提供了一种对文件行为特征进行检测的装置,参见图2,该装置可以包括文件类别确定单元201,用于确定待检测文件所属的类别;行为收集单元202,用于将所述待检测文件投入到该类别对应的沙箱中运行,收集所述待检测文件在运行过程中产生的行为;特征比对单元203,用于将所述待检测文件在运行过程中产生的行为与该类别对应的无恶意行为特征库中的行为特征进行比对,所述该类别对应的无恶意行为特征库中的行为特征为该类别的无恶意文件所具有的行为特征;检测结果确定单元204,用于如果存在所述无恶意行为特征库之外的行为,则将该待检测文件确定为恶意文件。具体实现时,文件类别确定单元201可以包括静态分析子单元,用于根据待检测文件的文件静态特征,确定待检测文件所属的类别。其中,所述文件静态特征可以包括文件的图标、文件名、文件说明信息中的关键字、大小和/或代码的循环冗余校验码CRC。或者,在另一种实现方式下,文件类别确定单元201可以包括网站分析子单元,用于如果所述待检测文件来源于网站,则根据网站所属的类别确定待检测文件所属的类别。其中,所述待检测文件所属的类别包括私服类,所述该类别对应的无恶意行为特征库中的行为特征包括遍历目录查找游戏、查找游戏程序窗口和/或加载具有特定路径及文件名的动态链接库文件。 所述待检测文件所属的类别也可以包括外挂类,所述该类别对应的无恶意行为特征库中的行为特征包括创建无恶意文件、遍历目录查找游戏、加载具有特定路径及文件名的动态链接库文件、对游戏进程的操作和/或无恶意的网络操作。在实际应用中,该装置还可以包括第一文件确定单元,用于接收客户端上传的新的文件样本,将新上传的文件样本确定为所述待检测文件;或者,第二文件确定单元,用于从互联网上收集新的文件样本,将新收集到的新的文件样本确定为所述待检测文件。与本发明实施例提供的对文件行为特征进行检测的方法相对应,本发明实施例还提供了一种对文件行为特征进行检测的系统,参见图3,该系统可以包括客户端301及服务器端302 其中,所述客户端301可以包括文件上传单元3011,用于将疑似恶意的文件样本上传到所述服务器端;所述服务器端包括第一待检测文件确定单元3021,用于将所述客户端上传的文件样本确定为待检测样本;以及前文所述的对文件行为特征进行检测的装置3022。另外,本发明实施例还提供了另一种对文件行为特征进行检测的系统,参见图4,该系统可以包括样本收集单元401,用于从互联网上收集文件样本;第二待检测文件确定单元402,用于将收集到的文件样本确定为待检测文件;以及前文所述的对文件行为特征进行检测的装置403。总之,在本发明实施例提供的恶意文件检测装置及系统中,可以根据同类的无恶意文件所表现出来的共有的行为特征建立各类文件的无恶意行为特征库,这样,在进行检测时,可以首先确定出待检测文件所属的类别,并将待检测文件投入到该类文件对应的沙箱(该沙箱可以部署在用户的客户端设备上,也可以是在服务器中)中运行,记录待检测文件在运行过程中发生的所有行为,并将这些行为与该类文件对应的无恶意行为特征库中的各个行为进行比对,如果出现了无恶意行为特征库之外的行为,则可以将待检测文件确定为恶意文件。通过该方法,由于可以对不同的文件按照类别进行检测,因此,可以大大降低误判率,提高检测结果的准确度。在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的 一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式
的权利要求书由此明确地并入该具体实施方式
,其中每个权利要求本身都作为本发明的单独实施例。本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的对文件行为特征进行检测的设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。本申请可以应用于计算机系统/服务器,其可与众多其它通用或专用计算系统环境或配置一起操作。适于与计算机系统/服务器一起使用的众所周知的计算系统、环境和/或配置的例子包括但不限于个人计算机系统、服务器计算机系统、瘦客户机、厚客户机、手持或膝上设备、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机系统、大型计算机系统和包括上述任何系统的分布式云计算技术环境,等等。计算机系统/服务器可以在由计算机系统执行的计算机系统可执行指令(诸如程序模块)的一般语境下描述。通常,程序模块可以包括例程、程序、目标程序、组件、逻辑、数据结构等等,它·们执行特定的任务或者实现特定的抽象数据类型。计算机系统/服务器可以在分布式云计算环境中实施,分布式云计算环境中,任务是由通过通信网络链接的远程处理设备执行的。在分布式云计算环境中,程序模块可以位于包括存储设备的本地或远程计算系统存储介质上。
权利要求
1.一种对文件行为特征进行检测的系统,包括客户端及服务器端 其中,所述客户端包括 文件上传单元,用于将疑似恶意的文件样本上传到所述服务器端; 所述服务器端包括 第一待检测文件确定单元,用于将所述客户端上传的文件样本确定为待检测样本;和 检测恶意文件的装置。
2.如权利要求I所述的系统,其中,所述检测恶意文件的装置包括 文件类别确定单元,用于确定待检测文件所属的类别; 行为收集单元,用于将所述待检测文件投入到该类别对应的沙箱中运行,收集所述待检测文件在运行过程中产生的行为; 特征比对单元,用于将所述待检测文件在运行过程中产生的行为与该类别对应的非恶意行为特征库中的行为特征进行比对,所述该类别对应的非恶意行为特征库中的行为特征为该类别的非恶意文件所具有的行为特征;以及 检测结果确定单元,用于如果存在所述非恶意行为特征库之外的行为,则将该待检测文件确定为恶意文件。
3.根据权利要求2所述的系统,所述文件类别确定单元包括 静态分析子单元,用于根据待检测文件的文件静态特征,确定待检测文件所属的类别。
4.根据权利要求3所述的系统,所述文件静态特征包括文件的图标、大小和/或代码的循环冗余校验码CRC。
5.根据权利要求2所述的系统,所述文件类别确定单元包括 网站分析子单元,用于如果所述待检测文件来源于网站,则根据网站所属的类别确定待检测文件所属的类别。
6.根据权利要求2所述的系统,所述待检测文件所属的类别包括私服类,所述该类别对应的非恶意行为特征库中的行为特征包括 遍历目录查找游戏、查找游戏程序窗口和/或加载具有特定路径及文件名的动态链接库文件。
7.根据权利要求2所述的系统,所述待检测文件所属的类别包括外挂类,所述该类别对应的非恶意行为特征库中的行为特征包括 创建非恶意文件、遍历目录查找游戏、加载具有特定路径及文件名的动态链接库文件、对游戏进程的操作和/或非恶意的网络操作。
8.根据权利要求I至7任一项所述的系统,还包括 第一文件确定单元,用于接收客户端上传的新的文件样本,将新上传的文件样本确定为所述待检测文件; 或者, 第二文件确定单元,用于从互联网上收集新的文件样本,将新收集到的新的文件样本确定为所述待检测文件。
9.一种对文件行为特征进行检测的系统,包括 样本收集单元,用于从互联网上收集文件样本; 第二待检测文件确定单元,用于将收集到的文件样本确定为待检测文件;和检测恶意文件的装置。
10.如权利要求9所述的系统,其中,所述检测恶意文件的装置包括 文件类别确定单元,用于确定待检测文件所属的类别; 行为收集单元,用于将所述待检测文件投入到该类别对应的沙箱中运行,收集所述待检测文件在运行过程中产生的行为; 特征比对单元,用于将所述待检测文件在运行过程中产生的行为与该类别对应的非恶意行为特征库中的行为特征进行比对,所述该类别对应的非恶意行为特征库中的行为特征为该类别的非恶意文件所具有的行为特征;以及 检测结果确定单元,用于如果存在所述非恶意行为特征库之外的行为,则将该待检测文件确定为恶意文件。
11.根据权利要求10所述的系统,所述文件类别确定单元包括 静态分析子单元,用于根据待检测文件的文件静态特征,确定待检测文件所属的类别。
12.根据权利要求11所述的系统,所述文件静态特征包括文件的图标、大小和/或代码的循环冗余校验码CRC。
13.根据权利要求10所述的系统,所述文件类别确定单元包括 网站分析子单元,用于如果所述待检测文件来源于网站,则根据网站所属的类别确定待检测文件所属的类别。
14.根据权利要求10所述的系统,所述待检测文件所属的类别包括私服类,所述该类别对应的非恶意行为特征库中的行为特征包括 遍历目录查找游戏、查找游戏程序窗口和/或加载具有特定路径及文件名的动态链接库文件。
15.根据权利要求10所述的系统,所述待检测文件所属的类别包括外挂类,所述该类别对应的非恶意行为特征库中的行为特征包括 创建非恶意文件、遍历目录查找游戏、加载具有特定路径及文件名的动态链接库文件、对游戏进程的操作和/或非恶意的网络操作。
16.根据权利要求10至15任一项所述的系统,还包括 第一文件确定单元,用于接收客户端上传的新的文件样本,将新上传的文件样本确定为所述待检测文件; 或者, 第二文件确定单元,用于从互联网上收集新的文件样本,将新收集到的新的文件样本确定为所述待检测文件。
全文摘要
本发明公开了对文件行为特征进行检测的系统,包括客户端及服务器端其中,所述客户端包括文件上传单元,用于将疑似恶意的文件样本上传到所述服务器端;所述服务器端包括第一待检测文件确定单元;文件类别确定单元;行为收集单元;特征比对单元,用于将所述待检测文件在运行过程中产生的行为与该类别对应的非恶意行为特征库中的行为特征进行比对,所述该类别对应的非恶意行为特征库中的行为特征为该类别的非恶意文件所具有的行为特征;以及检测结果确定单元,用于如果存在所述非恶意行为特征库之外的行为,则将该待检测文件确定为恶意文件。能够降低误判率,提高检测结果的准确度。
文档编号G06F21/53GK102902915SQ20121038037
公开日2013年1月30日 申请日期2012年9月29日 优先权日2012年9月29日
发明者梁志文, 张海, 林岳川, 徐立业 申请人:北京奇虎科技有限公司, 奇智软件(北京)有限公司