一种基于终端自启动项的静态木马检测方法

一种基于终端自启动项的静态木马检测方法
【专利摘要】本发明一种基于终端自启动项的静态木马检测方法，所述方法包括以下步骤：构建系统启动项的引擎分析模型，并进行全周期启动项变化监测；对经过系统启动项的引擎分析模型过滤后的数据进行灰名单智能分析；记录数据存入各自数据库；数据库静态扫描检测与数据库智能分析对比。本发明提供的基于终端自启动项的静态木马检测方法改变了传统基于启动项木马查杀模式，传统启动项木马检测都是基于已知木马行为进行查杀，对未知木马或基于应用启动的木马没有检测手段，通过对系统启动项引擎分析静态检测和全周期检测，能快速判定未知木马和检测到木马基于哪个启动项或什么动作启动，检测出的木马可以定位木马存储位置及其关联文件，即可直接手动查杀。
【专利说明】—种基于终端自启动项的静态木马检测方法
【技术领域】
[0001]本发明属于信息安全【技术领域】，具体涉及一种基于终端自启动项的静态木马检测方法。
【背景技术】
[0002]木马作为黑客常用攻击工具的一种，木马对网络安全造成了严重威胁，也是网络攻击中获取信息系的重要途径，随着互联网飞速发展，不法分子们将木马植入用户计算机，以窃取有价值的信息，如:银行账号、密码和商业信息等，木马技术已深入操作系统的内部，植入操作系统内部很难被发现。
[0003]传统木马检测方法的漏报率较高，对已知的木马有很好的方法去防御，对于特种、未知、变种等木马的检测仍然是网络安全方面面临的主要任务，特种、未知、变种木马通过自身免杀、修改绕过杀毒软件制定的特征码检测、样本检测或修改网络通信规则，很容易达到绕过安全产品的防护。

【发明内容】

[0004]为了克服上述现有技术的不足，本发明提供一种基于终端自启动项的静态木马检测方法，可以有效提高检测特种、未知、变种木马的准确率，降低检测误报率和漏报率。
[0005]为了实现上述发明目的，本发明采取如下技术方案:
[0006]本发明提供一种基于终端自启动项的静态木马检测方法，所述方法包括以下步骤:
[0007]步骤1:构建系统启动项的引擎分析模型，并进行全周期启动项变化监测；
[0008]步骤2:对经过系统启动项的引擎分析模型过滤后的数据进行灰名单智能分析；
[0009]步骤3:记录数据存入各自数据库；
[0010]步骤4:数据库静态扫描检测与数据库智能分析对比。
[0011]所述步骤I包括以下步骤:
[0012]步骤1-1:构建系统启动项的引擎分析模型；系统启动项的引擎分析模型包括启动菜单、以前系统遗留文件、注册表、计划任务、启动项、组策略和自动启动服务；
[0013]步骤1-2:对与系统相关启动关联项进行分析记录；
[0014]步骤1-3:通过对启动项文件证书签名进行过滤，过滤正常文件的证书签名文件，全周期记录已构建的系统启动项的引擎分析模型中产生变化的检测数据，并对应用软件或后续关于启动项启动程序进行监控记录。
[0015]所述步骤2包括以下步骤:
[0016]步骤2-1:依据木马关联启动项、启动方式、文件类型特征、文件的证书及签名创建灰名单；所述灰名单主要介于白名单与黑名单之间；
[0017]步骤2-2:对经过系统启动项的引擎分析模型过滤后的数据与全周期记录的变化监测数据进行灰名单过滤分析；[0018]步骤2-3:采用的灰名单采用黑名单加灰名单检测机制，通过灰名单判定已知木马、过滤正常程序，对于介于之间的启动项数据继进行下一步分析。
[0019]所述步骤3包括以下步骤:
[0020]步骤3-1:对灰名单过滤后的系统启动项的引擎分析模型数据与全周期记录变化检测数据进行记录；
[0021]步骤3-2:记录的数据采用智能处理依托启动项主文件的所有附属文件处理机制，对于整个记录的启动项文件以及依托文件做去重过滤；
[0022]步骤3-3:将系统启动项的引擎分析模型记录及过滤后的启动项文件以及依托文件记录数据存入B数据库中，全周期记录变化检测数据记录及全周期的启动项文件以及依托文件记录数据存入A数据库中。
[0023]所述步骤4包括以下步骤:
[0024]步骤4-1:对B数据库进行静态扫描检测；
[0025]先进行静态的特征扫描，过滤一次签名文件和已知恶意特征文件；之后进行可执行文件pe节区解析，包括敏感字符串解析、敏感函数名解析、壳文件特征判断、oep函数入口异常判断、Pe节区是否感染规则分析；
[0026]步骤4-2:对各种手段分别设定权重值，根据权重值判定木马程序，将A数据库与B数据库进行智能分析比对，对于无异常记录进行标记放过，若存在差异记录，对差异记录数据在进行静态扫描检测，由权重值判定木马程序，根据数据库记录信息可以查找木马所在位置及依托的启动项或其他文件，即可直接手动查杀。
[0027]与现有技术相比，本发明的有益效果在于:
[0028]本发明提供的基于终端自启动项的静态木马检测方法改变了传统基于启动项木马查杀模式，传统启动项木马检测都是基于已知木马行为进行查杀，对未知木马或基于应用启动的木马没有检测手段，通过对系统启动项引擎分析静态检测和全周期检测，能快速判定未知木马和检测到木马基于哪个启动项或什么动作启动，检测出的木马可以定位木马存储位置及其关联文件，即可直接手动查杀。
【专利附图】

【附图说明】
[0029]图1是基于终端自启动项的静态木马检测方法流程图。
【具体实施方式】
[0030]下面结合附图对本发明作进一步详细说明。
[0031 ] 如图1，本发明提供一种基于终端自启动项的静态木马检测方法，所述方法包括以下步骤:
[0032]步骤1:构建系统启动项的引擎分析模型，并进行全周期启动项变化监测；
[0033]步骤2:对经过系统启动项的引擎分析模型过滤后的数据进行灰名单智能分析；
[0034]步骤3:记录数据存入各自数据库；
[0035]步骤4:数据库静态扫描检测与数据库智能分析对比。
[0036]所述步骤I包括以下步骤:
[0037]步骤1-1:构建系统启动项的引擎分析模型；系统启动项的引擎分析模型包括启动菜单、以前系统遗留文件、注册表、计划任务、启动项、组策略和自动启动服务；
[0038]步骤1-2:对与系统相关启动关联项进行分析记录；
[0039]步骤1-3:通过对启动项文件证书签名进行过滤，过滤正常文件的证书签名文件，全周期记录已构建的系统启动项的引擎分析模型中产生变化的检测数据，并对应用软件或后续关于启动项启动程序进行监控记录。
[0040]所述步骤2包括以下步骤:
[0041]步骤2-1:依据木马关联启动项、启动方式、文件类型特征、文件的证书及签名创建灰名单；所述灰名单主要介于白名单与黑名单之间；
[0042]步骤2-2:对经过系统启动项的引擎分析模型过滤后的数据与全周期记录的变化监测数据进行灰名单过滤分析；
[0043]步骤2-3:采用的灰名单采用黑名单加灰名单检测机制，通过灰名单判定已知木马、过滤正常程序，对于介于之间的启动项数据继进行下一步分析。
[0044]所述步骤3包括以下步骤:
[0045]步骤3-1:对灰名单过滤后的系统启动项的引擎分析模型数据与全周期记录变化检测数据进行记录；
[0046]步骤3-2:记录的数据采用智能处理依托启动项主文件的所有附属文件处理机制，对于整个记录的启动项文件以及依托文件做去重过滤；
[0047]步骤3-3:将系统启动项的引擎分析模型记录及过滤后的启动项文件以及依托文件记录数据存入B数据库中，全周期记录变化检测数据记录及全周期的启动项文件以及依托文件记录数据存入A数据库中。
[0048]所述步骤4包括以下步骤:
[0049]步骤4-1:对B数据库进行静态扫描检测；
[0050]先进行静态的特征扫描，过滤一次签名文件和已知恶意特征文件；之后进行可执行文件pe节区解析，包括敏感字符串解析、敏感函数名解析、壳文件特征判断、oep函数入口异常判断、Pe节区是否感染规则分析；
[0051]步骤4-2:对各种手段分别设定权重值，根据权重值判定木马程序，将A数据库与B数据库进行智能分析比对，对于无异常记录进行标记放过，若存在差异记录，对差异记录数据在进行静态扫描检测，由权重值判定木马程序，根据数据库记录信息可以查找木马所在位置及依托的启动项或其他文件，即可直接手动查杀。
[0052]最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解:依然可以对本发明的【具体实施方式】进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求范围当中。
【权利要求】
1.一种基于终端自启动项的静态木马检测方法，其特征在于:所述方法包括以下步骤: 步骤1:构建系统启动项的引擎分析模型，并进行全周期启动项变化监测； 步骤2:对经过系统启动项的引擎分析模型过滤后的数据进行灰名单智能分析； 步骤3:记录数据存入各自数据库； 步骤4:数据库静态扫描检测与数据库智能分析对比。
2.根据权利要求1所述的基于终端自启动项的静态木马检测方法，其特征在于:所述步骤I包括以下步骤: 步骤1-1:构建系统启动项的引擎分析模型；系统启动项的引擎分析模型包括启动菜单、以前系统遗留文件、注册表、计划任务、启动项、组策略和自动启动服务； 步骤1-2:对与系统相关启动关联项进行分析记录； 步骤1-3:通过对启动项文件证书签名进行过滤，过滤正常文件的证书签名文件，全周期记录已构建的系统启动项的引擎分析模型中产生变化的检测数据，并对应用软件或后续关于启动项启动程序进行监控记录。
3.根据权利要求1所述的基于终端自启动项的静态木马检测方法，其特征在于:所述步骤2包括以下步骤: 步骤2-1:依据木马关联启动项、启动方式、文件类型特征、文件的证书及签名创建灰名单；所述灰名单主要介于白名单与黑名单之间； 步骤2-2:对经过系统启动项的引擎分析模型过滤后的数据与全周期记录的变化监测数据进行灰名单过滤分析； 步骤2-3:采用的灰名单采用黑名单加灰名单检测机制，通过灰名单判定已知木马、过滤正常程序，对于介于之间的启动项数据继进行下一步分析。
4.根据权利要求1所述的基于终端自启动项的静态木马检测方法，其特征在于:所述步骤3包括以下步骤: 步骤3-1:对灰名单过滤后的系统启动项的引擎分析模型数据与全周期记录变化检测数据进行记录； 步骤3-2:记录的数据采用智能处理依托启动项主文件的所有附属文件处理机制，对于整个记录的启动项文件以及依托文件做去重过滤； 步骤3-3:将系统启动项的引擎分析模型记录及过滤后的启动项文件以及依托文件记录数据存入B数据库中，全周期记录变化检测数据记录及全周期的启动项文件以及依托文件记录数据存入A数据库中。
5.根据权利要求4所述的基于终端自启动项的静态木马检测方法，其特征在于:所述步骤4包括以下步骤: 步骤4-1:对B数据库进行静态扫描检测； 先进行静态的特征扫描，过滤一次签名文件和已知恶意特征文件；之后进行可执行文件pe节区解析,包括敏感字符串解析、敏感函数名解析、壳文件特征判断、oep函数入口异常判断、pe节区是否感染规则分析； 步骤4-2:对各种手段分别设定权重值，根据权重值判定木马程序，将A数据库与B数据库进行智能分析比对，对于无异常记录进行标记放过，若存在差异记录，对差异记录数据在进行静态扫描检测，由权重值判定木马程序，根据数据库记录信息可以查找木马所在位置及依托的启动项或其他文件，即可直接手动查杀。
【文档编号】G06F21/56GK103955644SQ201410171414
【公开日】2014年7月30日 申请日期:2014年4月25日 优先权日:2014年4月25日
【发明者】高昆仑, 杨成明, 魏桂臣, 郝增帅, 李凌 申请人:国家电网公司, 中国电力科学研究院