一种基于文件指纹对恶意代码统一命名的方法及其系统的制作方法
【技术领域】
[0001]本发明涉及信息安全技术领域,具体涉及一种基于文件指纹对恶意代码统一命名的方法及其系统。
【背景技术】
[0002]现有技术中,恶意代码的命名是一项较为成熟的技术,目前市场上较通用的命名规则为:〈前缀 >.〈名称 >.〈后缀〉,其中:前缀,一般表示恶意代码发作的操作平台或类型,操作平台一般有:DOS、Win32、Win64、MacOS, Linux等,类型一般有:感染型、宏病毒、木马、后门程序、蠕虫、广告软件等;名称,一般表示恶意代码的家族特征,如著名的CIH病毒的家族名都是统一的“CIH” ;后缀,一般指一个恶意代码的变种特征,用来区别具体某个家族某个变种的。具体来说,各个杀毒软件厂商对检测出的恶意代码均有各自的命名方法。以灰鸽子病毒为例,以下是主流厂家对这种木马病毒的命名:
[0003]杀毒软件厂商:灰鸽子的病毒名称
[0004]360 Win32.Trojan.GrayPeg1n
[0005]金山Hack.Huigezi
[0006]赛门铁克Backdoor.GrayBird
[0007]以上命名方法的局限性在于只能在其所属厂商的产品内被识别,而不能跨厂商使用,从而无法对恶意代码的疫情态势进行全局统计和深入分析。随着软件自由化的发展,企业内网中部署的杀毒软件难以维持品牌和厂商的唯一性,终端用户往往挑选适合自己使用的杀毒软件进行部署。这种情况下,如果各厂商都采用传统的命名方法,可能会出现同一个恶意代码但标识出多个名称的情况,此时,管理员既无法辨别出该恶意代码的扩散程度,也无法快速处置病毒情况。
[0008]中国专利CN104102878A提供的一种Linux平台下的恶意代码分析方法及系统,利用LKM技术可实现动态加载,截获系统调用的位置位于VFS层和具体文件系统之间,以获取更多与文件操作相关的信息,提供更加准确有用的监控信息;系统调用的截获不需要修改系统调用表,以避免传统修改系统调用表方法所带来的安全隐患;采用共享内存机制以提高内核模块和用户进程的通信速度,以及通信传输的数据量;由用户选定需要监控的关键文件以及进程,以提高系统的易用性、灵活性和高效性,更好的满足用户对恶意代码分析的要求;选取恶意代码进程和多个重要的关键文件进行监控,以避免系统较大的性能损失,提高分析系统运行的速度。该专利也未解决,以命名方法的局限性在于只能在其所属厂商的产品内被识别,而不能跨厂商使用的问题,从而无法对恶意代码的疫情态势进行全局统计和深入分析的问题。
【发明内容】
[0009]为了克服现有技术中的缺陷,本发明提供了一种在各厂商之间能够通用的恶意代码命名方法及其系统,利用该方法及其系统,在不影响各厂商内部命名规则的前提下,能够解决恶意代码名称的统一性问题,从而首先在从全局上统计病毒疫情情况下,客观上分析总体态势;其次为管理员工作提供指导,提高通报率和处置效率。
[0010]本发明是通过如下技术方案实现的:一种基于文件指纹对恶意代码统一命名的方法,包括:
[0011]步骤1:对杀毒软件进行文件指纹采集,在所述杀毒软件查、杀到恶意代码时调用,向所述杀毒软件提供返回恶意代码的特征值;
[0012]步骤2:接收步骤I提供的带有特征值的恶意代码,对所述恶意代码进行命名,产生一个对所述恶意代码按照约定规则命名的恶意代码统一命名:
[0013]步骤3:对步骤2中所述恶意代码统一命名与原厂自主命名之间建立映射关系,接收所述恶意代码的预先设定参数,所述映射关系作为数据行存储在实现映射器的数据库上,向界面提供查看统一命名与原厂命名之间对应关系,返回厂家的原厂命名作为结果输出。
[0014]进一步地,步骤I所述恶意代码的特征值包括:对少于20MB的文件,返回的特征值是文件全文的MD5-32字符串;对201?以上的文件,返回的特征值是:跳过PE头部的首部5MB,文件中间点前后5MB的数据,文件结尾为5MB,三部分数据进行拼接后计算的MD5-32字符串。
[0015]进一步地,步骤2中所述约定规则包括恶意代码平台、恶意代码的名称、恶意代码的类型和步骤I中所述恶意代码特征值。
[0016]进一步地,所述恶意代码平台为Win32,Win64,Mac32和Mac64,类型为字符串;所述恶意代码的名称为恶意代码在杀毒软件中原始的命名,类型为字符串;所述恶意代码的类型为宏病毒、CAD病毒、婦虫病毒、感染型病毒、木马病毒、后门程序病毒和其它病毒,类型为字符串;所述恶意代码的特征值为由所述文件指纹采集计算出的恶意代码特征值。
[0017]进一步地,步骤3中所述映射关系包括恶意代码特征值、厂家名称、原厂命名和统一命名之间的映射关系。
[0018]进一步地,所述映射关系为No SQL的键值型或分布式数据库。
[0019]进一步地,所述数据库为HBASE数据库。
[0020]本发明还提供了一种基于文件指纹对恶意代码统一命名的系统,所述系统包括对杀毒软件进行文件指纹采集的文件指纹采集器,在所述杀毒软件查杀到恶意代码时,向所述杀毒软件提供返回恶意代码的特征值;
[0021]包括接收所述恶意代码的特征值的恶意代码统一命名器,所述恶意代码统一命名器按照约定规则对所述恶意代码进行命名;
[0022]还包括恶意代码统一命名映射器,所述恶意代码统一命名映射器统一命名与原厂自主命名之间的映射关系,接收所述恶意代码的预先设定参数,将所述映射关系作为数据行存储在实现映射器的数据库上,向界面提供查看统一命名与原厂命名之间对应关系,将返回厂家的原厂命名作为结果输出。
[0023]进一步地,所述恶意代码统一命名映射器包括映射关系存储接口和映射关系检索接口,所述映射关系存储接口用于接收恶意代码的原厂名称、厂家名称,特征值和统一名称参数,并将所述参数作为数据行存储在实现映射器的数据库上;所述映射关系检索接口用于接收特征值、统一命名和厂家名称参数,并返回厂家的原厂命名作为结果输出。
[0024]进一步地,所述数据库为No SQL的键值型、分布式数据库或HBASE数据库。
[0025]与现有技术相比,优越效果在于:本发明提供的一种在各厂商之间能够通用的恶意代码命名方法及系统,利用该方法,在不影响各厂商内部命名规则的前提下,能够解决恶意代码名称的统一性问题,从而从全局上统计疫情情况,客观上分析总体态势,为管理员工作提供指导,提高通报和处置效率。
【附图说明】
[0026]图1为本发明所述基于文件指纹对恶意代码统一命名的方法流程示意图;
[0027]图2为本发明所述基于文件指纹对恶意代码统一命名的系统结构框图。
[0028]附图标记如下:
[0029]1-文件指纹采集器,2-恶意代码统一命名器,3-恶意代码统一命名映射器。
[0030]图中箭头方向为信号传输方向。
【具体实施方式】
[0031]下面结合附图对本发明【具体实施方式】作进一步详细说明。
[0032]实施例1
[0033]本发明提供了一种基于文件指纹对恶意代码统一命名的方法,包括:
[0034]步骤1:对杀毒软件进行文件指纹采集,在所述杀毒软件查、杀到恶意代码时调用,向所述杀毒软件提供返回恶意代码的特征值;
[0035]步骤2:对所述恶意代码进行命名,接收步骤I提供的带有特征值的恶意代码,产生一个对所述恶意代码按照约定规则命名的恶意代码统一命名:
[0036]步骤3