一种基于内部蜜罐的恶意程序探测方法
【专利摘要】本发明公开了一种基于内部蜜罐的恶意程序探测方法,本方法通过设置一蜜罐,蜜罐记录了内部的文档访问位置,打开文件速度,网络发起速度和应用程序监控等四个特征,以此来对恶意程序进行检测。本发明从恶意程序的使用行为习惯的角度来设计该蜜罐,对已经进入系统内部的恶意程序检测能力上,优于传统的蜜罐探测方法。
【专利说明】
一种基于内部蜜罐的恶意程序探测方法
技术领域
[0001] 本发明涉及计算机网络安全技术领域,尤其涉及一种基于内部蜜罐的恶意程序探 测方法。
【背景技术】
[0002] 内部威胁在当今计算机网络技术高速发展的今天,依然是许多人眼中的严重隐患 之一。随着现代信息电子技术的发展,恶意程序随之在技术上也快速更新,恶意程序作者编 写的水平也越来越高。我国每年都会发生大量的网络盗窃和破坏案件,其中许多案件涉及 军政等重要部门,这些案件大多通过恶意程序进行攻击,因此研究恶意程序检测技术有着 至关重要的意义。而随着恶意程序隐藏技术和操作人员水平的不断提升,恶意程序在网络 中变得越来越难以发现,很多常规手段都难以发现其踪迹。因此,需要一些新的恶意程序检 测技术来解决这些问题。
[0003] 传统的恶意程序检测技术一般都有滞后,即恶意程序已经做出入侵行为,并且带 走一些重要数据或者已经造成破坏后,才能够通过系统行为或者网络数据的手段来发现。 通过蜜罐技术则既可以保证敏感信息的安全,也可以获取恶意程序样本,是一种很好的防 御手段。
【发明内容】
[0004] 本发明的目的在于针对现有技术的不足,提供一种基于内部蜜罐的恶意程序探测 方法。
[0005] 本发明的目的是通过以下技术方案来实现的:一种基于内部蜜罐的恶意程序探测 方法,其特征在于,该方法包括以下步骤:
[0006] (1)记日常经常访问的文件集合SSFlle,若检测到产生了位于位置L的访问,且 Z多&办,则文件威胁值ThreatFiie = ThreatFiie+1,若发现L e Ssensitive,则文件威胁值 ThreatFiie = ThreatFile+NFile,其中,Ssensitive表示标记的敏感文件集合,NFile为预设值。
[0007] (2)记打开文件速度为Speedopen,若检测到Speed〇pen>Thre sho Idopen,则文件打开速 度威胁值Threatopen=Threato pen+]^;其中,Thresholdopen表示打开速度预设值。
[0008] (3)记网络发起速度为 Speedconnect,若检测到Speedc_ect>Threshold c〇nnect,则网络 发起速度威胁值Threat connect = Threat connec t+1; Thre sholdc_ect为网络发起速度预设值。
[0009] (4)记日常常用的应用程序集合为Sapp,若检测到启动了位于位置A的应用程序,且 J ,则应用程序威胁值Threatapp = Threatapp+1,若发现A e SBiackIist,则应用程序威胁值 Threatapp = Threatapp+Napp,其中,SBiackiist表示应用程序黑名单集合,N app为预设值。
[0010] (5)对所有特征集和Sfeature = {File ,Open ,Connect,app}特征的威胁值 ThreatFiie, Threatcjpen,Threatrannect,Threatapp 分配各自权重:WFiie、Wcipen、Wc_ec;t、Wapp,并且计算总威胁 值Tkn'uf = LxR,若Threat>ThresholdThreat,则认为系统已经被恶意程序入 侵。
[0011] 若根据步骤5认定系统已经被恶意程序入侵,且某程序一段时间内访问了他个隐 藏的、人为操作无法访问的文件夹或者文件,可认为为该程序为恶意程序,其中,Ni为阈值; 若恶意程序在执行过程中发起了至少1次网络请求,那么可以认定该程序为木马程序。
[0012] 本发明的有益效果是,本发明通过设置一蜜罐,蜜罐记录了内部的文档访问位置, 打开文件速度,网络发起速度和应用程序监控等四个特征,以此来对恶意程序进行检测。本 发明从恶意程序的使用行为习惯的角度来设计该蜜罐,对已经进入系统内部的恶意程序检 测能力上,优于传统的蜜罐探测方法。
【具体实施方式】
[0013] 本发明提供一种基于内部蜜罐行为分析,通过监控对文件、网络等系统操作,来确 认恶意程序入侵的方法。恶意程序检测技术主要用于泄密检测,服务器防护,个人电脑安全 等,是计算机安全领域的一个重要内容。该方法包括以下步骤:
[0014] 1、记日常经常访问的文件集合为SFlle,若检测到产生了位于位置L的访问,且 Z芒Sm,则文件威胁值ThreatFiie = ThreatFiie+1,若发现Le Ssensitive,则文件威胁值 ThreatFiie = ThreatFile+NFile,其中,Ssensitive表示标记的敏感文件集合,NFile为一个预设的 数字,例如可取10-1000中任一自然数。
[0015] 2、记打开文件速度为Speedopen,若检测到Speed〇pen>Thresho Idopen,则文件打开速 度威胁值Threat〇pen = Threat〇pen+l。其中,Thresho Idcjpen表示打开速度预设值,例如可取1-50ms中任一值。
[0016] 3、记网络发起速度为Speedcomiect,若检测到 Speedc〇nnect>Thre sho I d_nect,则 网络 发起速度威胁值1'11代31:。。1^。( = 11^631:。。1111(^+1。11^6811〇1(1。。1111(3。1;为网络发起速度预设值,例 如可取l-50ms中任一值。
[0017] 4、记日常常用的应用程序集合为Sapp,若检测到启动了位于位置A的应用程序,且 5^,则应用程序威胁值Threat app = Threatapp+1,若发现AeSBiackIist,则应用程序威胁 值Threatapp = Threatapp+Napp,其中,SBiackiist表示应用程序黑名单集合,N app为一个预设的数 字,例如可取10-1000中任一自然数。
[0018] 5、对所有特征集和Sfeature= {File ,Open,Connect,app}特征的威胁值ThreatFiIe, Threat〇Den,Threatconnect,Threatapp 分配各自权重:WFiie、Wopen lonnect、Wapp,并且计算总威胁 值
xR,若Threat>ThresholdThreat,则认为系统已经被恶意程序入 侵,ThresholdThreat为综合威胁预设值,例如可取10-1000中任一自然数。
[0019] 权重WFile、Wcipen、Wc〇nnect、Wapp可以任意分配,也可以等值分配。
[0020]若某程序一段时间内访问了他个隐藏的、人为操作无法访问的文件夹或者文件, 可认为为该程序为恶意程序,其中,N1为阈值,例如可取10个,所述一段时间可以任意设置, 比如一天。若恶意程序在执行过程中发起了至少1次网络请求,那么可以认定该程序为木马 程序。
[0021 ]本发明基于内部蜜罐,通过监控对文件、网络等系统操作,来确认恶意程序入侵, 能够广泛应用政府、国防、商业公司等部门。
【主权项】
1. 一种基于内部蜜罐的恶意程序探测方法,其特征在于,该方法包括W下步骤: (1 )记日常经常访问的文件集合为SFile,若检ii到产生了位于位置L的访问,且怎€ &?沁, 则文件威胁值化'日日1。心=1'11'日日1。心+1,若发现1£536。3:11^巾6,则文件威胁值化'日日1。山= Τ'虹eatFile+Npile,其中,Ssensitive表不标记的敏感文件集合,Npile为预设值。 (2) 记打开文件速度为5966(1。。6。,若检测到5966(1。。6。>化'6311〇1(1。。6。,贝11文件打开速度 威胁值化reatDpen=ThreatDpen+l;其中,T虹esholdopen表示打开速度预设值。 (3) 记网络发起速度为5口66山。咖山若检测到5口66(1。。咖。1;>化'6311〇1山。咖山贝11网络发 起速度威胁值Τ'虹eatG。nneGt = ThreatG。nneGt+l;T虹esholdG。nneGt为网络发起速度预设值。 (4) 记日常常用的应用程序集合为Sapp,若检测到启动了位于位置A的应用程序,且 ^ g &W,则应用程序威胁值Τ'虹eatapp = Threatapp+l,若发现AeSBiackiist,则应用程序威胁值 Tlireatapp二Tlireatapp+Napp,其中,SBlacklist表不应用程序黑名单集合,Napp为预设值。 (5) 对所有特征集和Sfeature= {File ,Open,Connect ,日邮}特征的威胁值ThreatFile, Tlireatopen , Tlireatconnect, Tlireatapp分配各自权重:Wpile、Wopen、Wconnect、Wapp ,并且计算总威胁 值'若Thr eat > Thr e sho 1 dThreat,则认为系统已经被恶意程序入 侵。2. 根据权利要求1所述基于内部蜜罐的恶意程序探测方法,其特征在于,若根据步骤5 认定系统已经被恶意程序入侵,且某程序一段时间内访问了化个隐藏的、人为操作无法访 问的文件夹或者文件,可认为为该程序为恶意程序,其中,化为阔值;若恶意程序在执行过 程中发起了至少1次网络请求,那么可W认定该程序为木马程序。
【文档编号】G06F21/56GK105844154SQ201610165172
【公开日】2016年8月10日
【申请日】2016年3月19日
【发明人】吴春明, 陈双喜
【申请人】浙江大学