蠕虫病毒的识别方法及装置制造方法
【专利摘要】本发明提供了一种蠕虫病毒的识别方法及装置,其中,上述方法包括:获取待识别文件在运行过程中的行为特征信息;根据所述行为特征信息判断所述待识别文件是否为蠕虫病毒;在所述行为特征信息表示的行为符合蠕虫病毒的行为特征时,确定所述待识别文件为蠕虫病毒。采用本发明提供的上述技术方案,解决了相关技术中,蠕虫病毒的识别方法识别准确性低等技术问题,从而提高了对蠕虫病毒识别的准确性,有效地阻止了蠕虫病毒的传播和破坏行为。
【专利说明】蠕虫病毒的识别方法及装置
【技术领域】
[0001]本发明涉及网络通信领域,具体而言,涉及一种蠕虫病毒的识别方法及装置。
【背景技术】
[0002]目前,在网络间传播并自动扩散繁殖的蠕虫病毒类型层出不穷,并且,其传播方式、传播条件也多种多样,相应地,各种查杀方式也多种多样。
[0003]相关技术中的蠕虫识别方式,一般均是人工鉴定文件确认否为蠕虫,然后提取特征,通过文件特征码识别蠕虫,这种识别方式存在以下缺陷:首先,人工鉴定效率缓慢,其次,由于是基于已有静态特征的识别,因而具有滞后性;其次,由于特征码提取的方式一般是取某几处偏移的代码段特征,容易造成识别错误,而且如果对这几处的代码经过加壳、力口花或者混淆处理,会给蠕虫文件的识别带来非常大的困难,因而,通过文件特征码识别蠕虫的方式几乎无法识别蠕虫变种。其中,加壳是指:对可执行文件代码或者资源进行压缩,运行时自动解压缩运行。加花是指:在正常程序指令中间插入用于干扰反汇编器但是不影响程序运行的指令,可能是一些跳转或者一些无效代码。
[0004]针对相关技术中的上述问题,目前尚未提出有效的解决方案。
【发明内容】
[0005]针对相关技术中,蠕虫病毒的识别方法识别准确性低、效率低、投入人力大等技术问题,本发明提供了一种蠕虫病毒的识别方法及装置,以至少解决上述技术问题。
[0006]根据本发明的一个方面,提供了一种蠕虫病毒的识别方法,包括:获取待识别文件在运行过程中的行为特征信息;根据所述行为特征信息判断所述待识别文件是否为蠕虫病毒;在所述行为特征信息表示的行为符合蠕虫病毒的行为特征时,确定所述待识别文件为螺虫病毒。
[0007]优选地,获取待识别文件在运行过程中的行为特征信息,包括以下至少之一处理过程:获取所述待识别文件的网络操作信息;获取所述待识别文件对系统注册表的操作信肩、O
[0008]优选地,在所述行为特性信息包括所述系统注册表的操作信息的情况下,获取待识别文件在运行过程中的行为特征信息,包括:在确定所述待识别文件为所述蠕虫病毒后,重复多次运行所述待识别文件;在重复运行所述待识别文件的过程中,监控所述待识别文件对运行过程中的注册表进行的操作;以及根据进行操作后的注册表信息与初始注册表信息之间的变化确定所述蠕虫病毒的感染标记;根据所述感染标记所标记的注息册表操作信息提取所述行为特征信息。
[0009]优选地,在所述行为特征信息表示的行为符合蠕虫病毒的行为特征时,确定所述待识别文件为螺虫病毒,包括:在所述行为特征信息表示的行为具有传播行为和破坏行为时,确定所述待识别文件为所述蠕虫病毒。
[0010]优选地,在确定所述待识别文件为蠕虫病毒之后,包括:输出与识别出的所述蠕虫病毒对应的行为特征信息。
[0011]优选地,输出与识别出的所述蠕虫病毒对应的行为特征信息之后,包括:根据所述蠕虫病毒所对应的行为特征信息,对识别出的所述蠕虫病毒的操作行为进行拦截。
[0012]根据本发明的另一个方面,提供了一种蠕虫病毒的识别装置,包括:获取模块,用于获取待识别文件在运行过程中的行为特征信息;判断模块,用于根据所述行为特征信息判断所述待识别文件是否为蠕虫病毒;确定模块,用于在所述行为特征信息表示的行为符合蠕虫病毒的行为特征时,确定所述待识别文件为蠕虫病毒。
[0013]优选地,上述获取模块,还用于执行以下至少之一处理过程:获取所述待识别文件的网络操作信息;获取所述待识别文件对系统注册表的操作信息。
[0014]优选地,上述获取模块,包括:运行单元,用于在确定所述待识别文件为所述蠕虫病毒后,重复多次运行所述待识别文件;监控单元,用于在重复运行所述待识别文件的过程中,监控所述待识别文件对运行过程中的注册表进行的操作;以及确定单元,用于根据进行操作后的注册表信息与初始注册表信息之间的变化确定所述蠕虫病毒的感染标记;提取单元,用于根据所述感染标记所标记的注息册表操作信息提取所述行为特征信息。
[0015]优选地,上述装置还包括:输出模块,用于输出与识别出的所述蠕虫病毒对应的行为特征信息。
[0016]优选地,上述装置还包括:拦截模块,用于根据所述蠕虫病毒所对应的行为特征信息,对识别出的所述蠕虫病毒的操作行为进行拦截。
[0017]通过本发明,采用根据待识别文件在运行过程中的行为特征信息来判断该待识别文件是否为蠕虫病毒的技术手段,解决了相关技术中,蠕虫病毒的识别方法识别准确性低等技术问题,从而提高了对蠕虫病毒识别的准确性;并且可以通过增加识别装置同时识别多个待识别文件,有效及时地识别了蠕虫病毒的传播和破坏行为,本装置的识别结果可以转换给杀毒软件与防火墙,进而间接的及时阻止了新蠕虫病毒的传播和破坏。
【专利附图】
【附图说明】
[0018]此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
[0019]图1为根据本发明实施例的蠕虫病毒的识别方法的流程图;
[0020]图2为根据本发明实施例的蠕虫病毒的识别装置的结构框图;
[0021]图3为根据本发明实施例的蠕虫病毒的识别装置的另一结构框图;
[0022]图4为根据本发明优选实施例的蠕虫病毒的识别方法的流程图。
【具体实施方式】
[0023]下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
[0024]以下实施例可以应用到计算机中,例如应用到个人电脑(personalcomputer,简称为PC)中。也可以应用到目前采用了智能操作系统中的移动终端中,并且并不限于此。对于计算机或移动终端的操作系统并没有特殊要求,只要支持应用程序的运行即可。例如,以下实施例可以应用到Windows操作系统中。
[0025]在本实施例中,提供了一种蠕虫病毒的识别方法,图1为根据本发明实施例的蠕虫病毒的识别方法的流程图。如图1所示,该方法包括:
[0026]步骤S102,获取待识别文件在运行过程中的行为特征信息。
[0027]在本实施例中,步骤S102的实现方式有多种,例如可以通过以下两种方式实现:
[0028]第一种实现方式
[0029]在待识别文件运行过程中,获取待识别文件的网络操作信息(即网络行为)。例如,可以通过网卡监听,获取通讯或者传播的协议、端口、数据内容等,并且可以对所有通信信息抓取数据包。
[0030]优选地,获取的网络操作信息可以包括:通信数据:待识别文件运行时的网络操作行为;待识别文件运行时的通信地址,例如网络协议(Internet Protocol,简称为IP)地址、端口号、域名、统一资源定位符(Uniform Resource Locator,简称为URL)、主机名等地址信息;待识别文件运行时的网络协议,例如数据链路层协议:如无线保真(WirelessFidelity,简称为 WiFi)、地址解析协议(AddressResolut1nProtocol,简称为 ARP)、第二层隧道协议(Layer2Tunneling Protocol,简称为L2TP)、点到点隧道协议(Point toPoint Tunneling Protocol,简称为PPTP)等,网络层协议:如IPV4、IPV6、网络控制报文协议(Internet Control Message Protocol,简称为ICMP)等,传输层协议:如传输控制协议/网络协议(Transmiss1n Control Protocol,简称为TCP)、用户数据协议(UserDatagram Protocol,简称为UDP)等,应用层协议:如超文本传输协议(Hypertext TransferProtocol,简称为 HTTP)、简单邮件传输协议(Simple Mail Transfer Protocol,简称为SMTP)、文件传输协议(File Transfer Protocol,简称为FTP)、远程过程调用协议(RemoteProcedure Call Protocol,简称为 RPC)、SMB (Server Message Block)、安全外壳(SecureShell,简称为SSH)协议、远程桌面协议(Remote Desktop Protocol,简称为RDP)等;待识别文件运行时的通信数据等。
[0031]第二种实现方式
[0032]获取所述待识别文件对系统注册表的操作信息。即根据待识别文件在运行过程中对注册表的操作行为,获取上述行为特征信息。此时,可以根据操作后的注册表和初始注册表的变化来确定上述行为特征信息。例如,可以采用注册表监控技术,获取样本对注册表的每一条操作。
[0033]优选地,为了便于下次对上述病毒进行识别,可以通过确定感染标记的方式实现快速识别,一种优选的实现方式如下:在确定待识别文件为病毒后,重复多次运行待识别文件;在重复运行待识别文件的过程中,监控待识别文件对运行过程中的注册表进行的操作;以及根据进行操作后的注册表信息与初始注册表信息之间的变化确定病毒的感染标记,例如:对比进行操作后的注册表信息和初始注册表信息如果第二次再次运行待识别文件时,待识别文件读取某些注册表项后的行为与第一次运行时待识别文件读取该注册表项后的行为不同,则认为此注册表项为病毒的感染标记。这样,便可以根据上述感染标记所标记的注息册表操作信息提取上述行为特征信息。
[0034]其中,初始注册表信息可以为以下之一:在首次运行待识别文件之前注册表的初始状态、在首次运行待识别文件之后注册表的最终状态、在首次运行待识别文件过程中,待识别文件对运行环境的注册表进行的操作和各操作的先后顺序。
[0035]上述过程中,进行操作后的注册表可以为以下之一:在同一运行环境中再次运行上述待识别文件,包括在运行待识别文件之后注册表的最终状态、在第N (N为不小于2的自然数)次运行待识别文件过程中,待识别文件对模拟环境的注册表进行的操作和各操作的先后顺序。
[0036]待识别文件对注册表进行的操作包括如下内容:读取、修改或删除模拟环境的注册表项;列举、修改或删除模拟环境的注册表项的子项;列举、修改或删除模拟环境的注册表项的键值;列举、修改或删除模拟环境的注册表项子项的键值;读取、修改或删除模拟环境的注册表项的数据;列举、修改或删除模拟环境的注册表项的子项的数据。
[0037]通过上述方式得到的感染标记实现了:将感染标记作为确定出的蠕虫病毒的特征,来生成普通杀毒软件可以使用的病毒库;或者将感染标记作为标记特征,来对确定出的蠕虫病毒进行归类命名;又由于蠕虫病毒不会重复感染,所以感染标记还可以作为已经具有该感染标记的文件的免疫信号,避免具有该感染标记的文件再次受到蠕虫病毒的感染。
[0038]步骤S104,根据上述行为特征信息判断待识别文件是否为蠕虫病毒;
[0039]步骤S106,在上述行为特征信息表示的行为符合蠕虫病毒的行为特征时,确定所述待识别文件为螺虫病毒。
[0040]在采用上述两种实现方式时,可以通过以下方式实现:在上述网络操作信息或注册表操作信息所表示的行为具有传播行为和破坏行为时,确定所述待识别文件为所述蠕虫病毒。
[0041]通过上述各个步骤,由于采用了根据待检测软件在运行过程中的行为特征信息对其进行识别,因此,实现了根据该待检测软件的动态行为特征进行识别,避免了根据已有静态特征进行蠕虫病毒识别所导致的识别规则滞后的缺陷;并且,由于直接根据待识别文件的行为进行识别,因此,从根本上避免了由于对蠕虫病毒文件进行加壳或加花处理导致的无法识别的问题。从而实现了对蠕虫病毒类型的准确快速识别,有效地阻止了蠕虫病毒的传播和破坏行为。并且,由于上述识别方案可以独立地运行于多个服务器中,因此,可以实现同时对多个待识别文件的识别,识别过程完全自动无需人工干预,并且识别迅速,而且多个服务器之间互不干扰,可以通过增加服务器数量,处理大量的互联网内出现的新文件。
[0042]在本实施例中,在根据行为特征信息对待识别文件是否为蠕虫进行识别之后,为了进一步地对该蠕虫进行处理,需要输出与识别出的蠕虫对应的行为特征信息。这样,便可以根据该行为特征信息有针对性地对识别出的蠕虫病毒的操作行为进行拦截或查杀等处理。此时,对上述操作行为的拦截可以表现为防火墙的形式,以下以蠕虫病毒的拦截为例进行说明:
[0043]首先对对蠕虫病毒的传播行为和破坏行为进行说明:
[0044]判断待识别文件是否连接多个目标地址传输相似网络数据,所谓相似网络数据是指包含相同网络协议的数据,具体可以是漏洞利用数据、密码猜解数据、自身代码段数据等,判断待识别文件是否连接多个目标地址传输相似网络数据具体为:判断待识别文件发送给每个目标地址的数据是否都包括漏洞利用数据,或判断待识别文件发送给每个目标地址的数据是否都包括密码猜解数据、或判断待识别文件发送给每个目标地址的数据是否都包括自身代码段数据,其中,当待识别文件连接多个目标地址传输相似数据时,待识别文件具有传播行为。
[0045]例如,根据网络信息获知,待识别文件向多个目标地址发起TCP协议、目标端口号为3389的连接,并解析到网络数据含有猜测弱口令、自身程序以及恶意指令等,则判定待识别文件具有传播行为,并且是通过3389弱口令实现传播的传播行为。
[0046]又如,根据网络信息得到向多个目标地址发起TCP协议、目标端口号为445的连接,并解析到网络数据含有使用已知漏洞、恶意指令以及自身程序等,则判定待识别文件具有传播行为,并且是通过RPC协议漏洞实现传播的传播行为。
[0047]判断待识别文件连续连接相同目标地址的次数是否大于预设次数,其中,当待识别文件连续连接相同目标地址的次数大于预设次数时,则确定待识别文件具有攻击行为。
[0048]例如,根据网络信息得到待识别文件向同一目标地址发送数据,并且解析到发送的数据是短时间内发送的大量HTTP协议请求,如果待识别文件连接该目标地址的次数超过设定的预设次数,则判定待识别文件具有攻击行为,并且是对WEB服务器造成拒绝服务攻击的攻击行为。
[0049]又如,根据网络信息得到待识别文件向同一目标地址发送数据,并且解析到发送的数据是短时间内发送的大量SMTP协议请求,并且解析网络协议后为大量发送邮件行为,如果待识别文件连接该目标地址的次数超过设定的预设次数,也即发送邮件的次数超过设定阈值,则判定待识别文件具有攻击行为,并且是发送垃圾邮件攻击的攻击行为。
[0050]此外,还可根据网络信息判定蠕虫病毒的其他行为。例如,根据网络信息判断待识别文件是否通过网络操作下载文件,当待识别文件通过网络操作下载文件并执行时,确定待识别文件具有更新行为;根据网络信息判断待识别文件是否主动获取到或者接收到网络数据之后行为改变,当待识别文件获取或者接收到网络数据后行为改变时,确定待识别文件具有接收控制指令的行为。
[0051]在根据蠕虫病毒的上述行为对待识别文件进行识别之后,将经过防火墙的行为特征信息(例如通信数据)与本地存储的蠕虫特征信息进行比对,当经过防火墙的行为特征信息与蠕虫特征信息相同时,将该经过防火墙的行为特征信息进行拦截。例如,经过防火墙的通信数据特征与传播行为的通信数据特征、更新行为的通信数据特征、破坏或者阻塞网络等恶意行为的通信数据特征相同时,进行拦截。采用上述方案,可以对经过防火墙的蠕虫的行为进行过滤,例如可以从封锁蠕虫传播途径入手,通过软件或者网络硬件对个人电脑或者网关设备的通信数据进行过滤,从而阻止蠕虫病毒的传播。
[0052]在本实施例中,由于需要对各种真实环境下蠕虫进行识别,为了节省人力和时间成本,可以在一个模拟运行环境中运行上述待识别文件,这样,根据不同的真实环境对上述模拟运行环境进行相应改变便可以实现对上述蠕虫病毒的识别。
[0053]在本实施例中提供了一种蠕虫病毒的识别装置,用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述,下面对该装置中涉及到的模块进行说明。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。图2为根据本发明实施例的蠕虫病毒的识别装置的结构框图。如图2所示,该装置包括:
[0054]获取模块20,连接至识别模块22,用于获取待识别文件在运行过程中的行为特征信息;
[0055]判断模块22,连接至确定模块24,用于根据上述行为特征信息判断所述待识别文件是否为蠕虫病毒;
[0056]确定模块24,用于在上述行为特征信息表示的行为符合蠕虫病毒的行为特征时,确定待识别文件为螺虫病毒。
[0057]通过上述各个模块实现的功能,同样避免根据已有静态特征进行蠕虫识别所导致的识别规则滞后的缺陷;并且,从根本上避免由于对蠕虫文件进行加壳或加花处理导致的无法识别的问题,从而实现了对蠕虫类型的准确快速识别,有效地阻止了蠕虫的传播和破坏行为。
[0058]在本实施例中,上述获取模块,用于在所述行为特征信息包括以下之一信息时,获取所述行为特征信息:待识别文件的网络操作信息;待识别文件对系统注册表的操作信息。为了实现上述功能,如图3所示,上述获取模块20,还可以用于执行以下至少之一处理过程:获取所述待识别文件的网络操作信息;获取所述待识别文件对系统注册表的操作信肩、O
[0059]在本实施例的一个优选实施方式中,为了便于下次对上述病毒进行识别,可以通过确定感染标记的方式实现快速识别,为实现该目的,如图3所示,上述获取模块20还可以包括以下处理单元:
[0060]运行单元200,连接至监控单元202,用于在确定所述待识别文件为所述蠕虫病毒后,重复多次运行所述待识别文件;
[0061]监控单元202,用于在重复运行所述待识别文件的过程中,监控所述待识别文件对运行过程中的注册表进行的操作;以及
[0062]确定单元204,用于根据进行操作后的注册表信息与初始注册表信息之间的变化确定所述蠕虫病毒的感染标记;
[0063]提取单元206,用于根据所述感染标记所标记的注息册表操作信息提取所述行为特征信息。
[0064]优选地,在本实施例中,如图3所示,上述装置可以包括但不限于以下处理模块:输出模块26,连接至拦截模块28,用于输出与识别出的蠕虫病毒对应的行为特征信息,这样,便可以针对蠕虫病毒的行为进行拦截,为了实现该功能,上述装置还可以包括以下处理模块:拦截模块28,用于根据蠕虫病毒所对应的行为特征信息,对识别出的蠕虫病毒的操作行为进行拦截。
[0065]正如上面所述,本实施例中涉及到的上述各个模块既可以通过软件来实现,也可以通过相应地硬件来实现。例如,上述各个模块均可以处在处理器中,例如:上述各个模块均处于一个处理器中:一种处理器,包括:上述获取模块20、判断模块22,以及确定模块24 ;上述各个模块分别处于一个对应的处理器中:上述获取模块20,位于第一处理器中;上述判断模块22位于第二处理器中;上述确定模块24位于第三处理器中。当然也可以其中的至少两个处理模块位于同一处理器中。
[0066]以下结合一个优选实施例和相关附图详细说明。
[0067]图4是根据本发明第二实施例的蠕虫病毒的识别方法的流程图,如图4所示,该方法包括:
[0068]步骤S402:获取待识别文件。
[0069]步骤S404:在预设的模拟环境中运行待识别文件。
[0070]步骤S406:在运行待识别文件的过程中,监控待识别文件的网络行为以得到网络信息,监控待识别文件对模拟环境的注册表进行的操作以得到第一注册表信息。其中,第一注册表信息包括模拟环境在首次运行待识别文件之前注册表的初始状态、模拟环境在首次运行待识别文件之后注册表的最终状态、模拟环境在首次运行待识别文件过程中,待识别文件对模拟环境的注册表进行的操作和各操作的先后顺序。
[0071]步骤S408:根据网络信息判断待识别文件是否具有传播行为和破坏行为。
[0072]在判断待识别文件是否具有传播行为时,可通过判断待识别文件是否连接多个目标地址传输相似网络数据进行判断,其中,当待识别文件连接多个目标地址传输相似网络数据时,确定待识别文件具有传播行为;在判断待识别文件是否具有攻击行为时,可通过判断待识别文件是否连续连接相同目标地址的次数大于预设次数进行判断,其中,当待识别文件连续连接相同目标地址的次数大于预设次数时,确定待识别文件具有攻击行为。
[0073]步骤S410:若待识别文件具有传播行为和破坏行为,则确定待识别文件为蠕虫病毒。
[0074]步骤S412:当确定待识别文件为蠕虫时,在模拟环境中再次运行待识别文件,也即在运行过待识别文件的模拟环境中再次运行该待识别文件。
[0075]步骤S414:在再次运行待识别文件的过程中,监控待识别文件对模拟环境的注册表进行的操作以得到第二注册表信息,其中,第二注册表信息包括模拟环境在第二次运行待识别文件之后注册表的最终状态、模拟环境在第二次运行待识别文件过程中,待识别文件对模拟环境的注册表进行的操作和各操作的先后顺序。
[0076]上述第一注册表信息和第二注册表信息中,待识别文件对模拟环境的注册表进行的操作包括如下内容:读取、修改或删除模拟环境的注册表项;列举、修改或删除模拟环境的注册表项的子项;列举、修改或删除模拟环境的注册表项的键值;列举、修改或删除模拟环境的注册表项子项的键值;读取、修改或删除模拟环境的注册表项的数据;列举、修改或删除模拟环境的注册表项的子项的数据。
[0077]步骤S416:根据第一注册表信息和第二注册表信息确定蠕虫病毒的感染标记。具体地,对比第一注册表信息与第二注册表信息,如果二者存在不同的信息,则可确定该不同的信息对应的注册表项、注册表子项、注册表项的键值、注册表子项的键值、注册表项的数据或注册表项的子项的数据为蠕虫标记,例如,对比第一注册表信息和第二注册表信息,如果第二次再次运行待识别文件时,待识别文件读取某些注册表项后的行为与第一次运行时待识别文件读取该注册表项后的行为不同,则认为此注册表项为蠕虫病毒的感染标记。
[0078]综上所述,本发明实施例实现了以下有益效果:实现了根据该待检测软件的动态行为特征进行识别,避免了根据已有静态特征进行蠕虫识别所导致的识别规则滞后的缺陷;并且,由于直接根据待识别文件的行为进行识别,因此,从根本上避免了由于对蠕虫文件进行加壳或加花处理导致的无法识别的问题。从而实现了对蠕虫类型的准确快速识别,有效地阻止了蠕虫的传播和破坏行为。
[0079]在另外一个实施例中,还提供了一种软件,该软件用于执行上述实施例及优选实施方式中描述的技术方案。
[0080]在另外一个实施例中,还提供了一种存储介质,该存储介质中存储有上述软件,该存储介质包括但不限于:光盘、软盘、硬盘、可擦写存储器等。
[0081]显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
[0082]以上仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【权利要求】
1.一种蠕虫病毒的识别方法,其特征在于,包括: 获取待识别文件在运行过程中的行为特征信息; 根据所述行为特征信息判断所述待识别文件是否为蠕虫病毒; 在所述行为特征信息表示的行为符合蠕虫病毒的行为特征时,确定所述待识别文件为螺虫病毒。
2.根据权利要求1所述的方法,其特征在于,获取待识别文件在运行过程中的行为特征信息,包括以下至少之一处理过程: 获取所述待识别文件的网络操作信息; 获取所述待识别文件对系统注册表的操作信息。
3.根据权利要求2所述的方法,其特征在于,在所述行为特性信息包括所述系统注册表的操作信息的情况下,获取待识别文件在运行过程中的行为特征信息,包括: 在确定所述待识别文件为所述蠕虫病毒后,重复多次运行所述待识别文件; 在重复运行所述待识别文件的过程中,监控所述待识别文件对运行过程中的注册表进行的操作;以及 根据进行操作后的注册表信息与初始注册表信息之间的变化确定所述蠕虫病毒的感染标记; 根据所述感染标记所标记的注息册表操作信息提取所述行为特征信息。
4.根据权利要求1所述的方法,其特征在于,在所述行为特征信息表示的行为符合蠕虫病毒的行为特征时,确定所述待识别文件为蠕虫病毒,包括: 在所述行为特征信息表示的行为具有传播行为和破坏行为时,确定所述待识别文件为所述蠕虫病毒。
5.根据权利要求1至4任一项所述的方法,其特征在于,在确定所述待识别文件为蠕虫病毒之后,包括: 输出与识别出的所述螺虫病毒对应的行为特征信息。
6.根据权利要求5所述的方法,其特征在于,输出与识别出的所述蠕虫病毒对应的行为特征信息之后,包括: 根据所述蠕虫病毒所对应的行为特征信息,对识别出的所述蠕虫病毒的操作行为进行拦截。
7.—种蠕虫病毒的识别装置,其特征在于,包括: 获取模块,用于获取待识别文件在运行过程中的行为特征信息; 判断模块,用于根据所述行为特征信息判断所述待识别文件是否为蠕虫病毒; 确定模块,用于在所述行为特征信息表示的行为符合蠕虫病毒的行为特征时,确定所述待识别文件为螺虫病毒。
8.根据权利要求7所述的装置,其特征在于,所述获取模块,还用于执行以下至少之一处理过程: 获取所述待识别文件的网络操作信息; 获取所述待识别文件对系统注册表的操作信息。
9.根据权利要求8所述的装置,其特征在于,所述获取模块,包括: 运行单元,用于在确定所述待识别文件为所述蠕虫病毒后,重复多次运行所述待识别文件; 监控单元,用于在重复运行所述待识别文件的过程中,监控所述待识别文件对运行过程中的注册表进行的操作;以及 确定单元,用于根据进行操作后的注册表信息与初始注册表信息之间的变化确定所述蠕虫病毒的感染标记; 提取单元,用于根据所述感染标记所标记的注息册表操作信息提取所述行为特征信肩、O
10.根据权利要求7至9任一项所述的装置,其特征在于,还包括: 输出模块,用于输出与识别出的所述蠕虫病毒对应的行为特征信息。
11.根据权利要求10所述的装置,其特征在于,还包括: 拦截模块,用于根据所述蠕虫病毒所对应的行为特征信息,对识别出的所述蠕虫病毒的操作行为进行拦截。
【文档编号】G06F21/56GK104253797SQ201310264357
【公开日】2014年12月31日 申请日期:2013年6月27日 优先权日:2013年6月27日
【发明者】舒鑫, 张楠, 赵闽 申请人:贝壳网际(北京)安全技术有限公司, 北京金山网络科技有限公司, 北京金山安全软件有限公司, 珠海市君天电子科技有限公司, 可牛网络技术(北京)有限公司