Nothing Special   »   [go: up one dir, main page]

CN103294950B - 一种基于反向追踪的高威窃密恶意代码检测方法及系统 - Google Patents

一种基于反向追踪的高威窃密恶意代码检测方法及系统 Download PDF

Info

Publication number
CN103294950B
CN103294950B CN201210497639.6A CN201210497639A CN103294950B CN 103294950 B CN103294950 B CN 103294950B CN 201210497639 A CN201210497639 A CN 201210497639A CN 103294950 B CN103294950 B CN 103294950B
Authority
CN
China
Prior art keywords
file
contrast
malicious code
secret information
sensitive
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201210497639.6A
Other languages
English (en)
Other versions
CN103294950A (zh
Inventor
刘佳男
布宁
宋兵
李柏松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing ahtech network Safe Technology Ltd
Original Assignee
Beijing Antiy Electronic Equipment Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Antiy Electronic Equipment Co Ltd filed Critical Beijing Antiy Electronic Equipment Co Ltd
Priority to CN201210497639.6A priority Critical patent/CN103294950B/zh
Publication of CN103294950A publication Critical patent/CN103294950A/zh
Application granted granted Critical
Publication of CN103294950B publication Critical patent/CN103294950B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于反向追踪的高威窃密恶意代码检测方法及系统,首先,在系统中预置诱饵文件和关键词库;监控诱饵文件,若存在进程和/或线程对所述诱饵文件进行非法操作,或者监控系统文件,若存在进程和/或线程对系统文件进行非法操作,则对所述系统文件进行关键词库匹配,若发现所述系统文件中存在关键词库中的敏感词汇,则定位所述进程和/或线程,并定位与所述进程和/或线程相关的可执行文件,并进行白名单匹配,匹配失败的为高威窃密恶意代码文件,并在此基础上进行关联对比,获取其他的相关联的高威窃密恶意代码文件。从而,克服了现有的恶意代码检测方法无法检测高威窃密恶意代码的缺点,并且该方法检测及时,不存在滞后性。

Description

一种基于反向追踪的高威窃密恶意代码检测方法及系统
技术领域
本发明涉及信息安全技术领域,尤其涉及一种基于反向追踪的高威窃密恶意代码检测方法及系统。
背景技术
高威窃密恶意代码的攻击行为具有极强的隐蔽能力,通常是利用企业或机构网络中受信的应用程序漏洞来形成攻击者所需网络环境;其还具有很强的针对性,攻击触发之前通常需要熟悉用户网络坏境,收集大量关于用户业务流程和目标系统使用情况的精确信息,定位关键信息的存储位置与通信方式,特别针对被攻击环境的各类0day收集更是其中重要的环节。
高威窃密恶意代码利用各类0day漏洞、免杀技术、绕过技术、防调试技术、驱动保护、加密技术、社会工程学等,使得传统的基于通用检测的反病毒技术、传统网络环境中的IPS/IDS、防火墙安全网关等信息安全防御失去了应有的应对能力。而且这些基于特征库或规则库的被动防御体系存在着滞后性,往往是先有特征才能查杀,不能够进行无特征的扫描,所以都无法抵御高威窃密恶意代码定向攻击的入侵。
当前反病毒界针对高威窃密恶意代码检测也提出了多个主流方案:第一是沙箱方案,但其不足在于模拟的客户端类型不够全面,如果缺乏合适的运行环境,会导致流量中的恶意代码在检测环境中无法触发,造成漏报,更大的不足是不能将用户环境中的所有软件都进行沙箱处置,因为这样在时间和空间开销上占用太大;第二是异常检测方案,但检测效率依赖于其异常的业务模式构建,如果业务模式发生偏差,则会导致较高的漏报与误报;第三是全流量审计方案,但其需要强大的后端计算能力、存储能力、大数据分析能力等,并且搭建困难、造价高昂,且不能捕捉到用户系统本地行为异常,只能进行单一的网络行为分析,并且高威窃密恶意代码的网络传输都为高强加密的,在分析中想获取有利信息更是难上加难。
发明内容
针对上述技术问题,本发明提供了一种基于反向追踪的高威窃密恶意代码检测方法及系统,该方法通过预置诱饵文件,并对诱饵文件或者系统文件进行监控的方法检测高威窃密恶意代码,并且利用关联对比技术检测相关联的高威窃密恶意代码,所述方法克服了传统恶意代码检测方法无法检测高威窃密恶意代码和检测存在滞后性的缺点。
本发明采用如下方法来实现:一种基于反向追踪的高威窃密恶意代码检测方法,其特征在于,包括:
步骤1、在系统中预置文件名或者文件内容中包含敏感词汇的诱饵文件,并创建由敏感词汇构成的关键词库;
步骤2、监控诱饵文件,若存在进程和/或线程对所述诱饵文件进行非法操作,则执行步骤3;
监控系统文件,若存在进程和/或线程对系统文件进行非法操作,则对所述系统文件进行关键词库匹配,若发现所述系统文件的文件名或者文件内容中存在关键词库中的敏感词汇,则执行步骤3;所述非法操作可以包括:打开或者复制等;
步骤3、定位所述进程和/或线程,并反向定位与所述进程和/或线程相关的可执行文件;
步骤4、针对所述可执行文件进行白名单匹配,如果匹配成功则所述可执行文件不是高威窃密恶意代码文件,否则所述可执行文件为高威窃密恶意代码文件,并执行步骤5;
步骤5、提取系统中所述进程和/或线程以外的其他进程和/或线程相关的文件,并提取敏感目录文件;所述敏感目录包括:所述可执行文件所在目录、系统用户目录或者system32目录;
步骤6、针对步骤5提取的文件进行白名单匹配,如果全部匹配成功则不存在相关联的高威窃密恶意代码文件,否则,执行步骤7;所述提取的文件包括:其他进程和/或线程相关的文件和所述敏感目录文件;
步骤7、将没有匹配成功的文件与步骤4所述的高威窃密恶意代码文件进行关联对比,对比成功的文件为相关联的高威窃密恶意代码文件。所述的相关联的高威窃密恶意代码文件可能是与高威窃密恶意代码文件相关的DLL文件、下载文件或者启动文件等;
方法中步骤1所述的敏感词汇可以包括:国家政治机密、国家军事机密、国家经济机密或者企业技术机密中经常用到的关键词。
方法中在执行步骤2时,可以同时监控系统的网络行为,如果存在异常网络行为则记录,当存在两次相同形式的异常网络行为时,则执行步骤3定位与所述异常网络行为相关的进程和/或线程。
方法中所述的异常网络行为可以包括以下形式:
敏感IP行为,建立敏感IP库,记录各个敏感IP段,当出现敏感IP库中的IP行为时,则认为是异常网络行为;
异常传输行为,当监控中发现存在突然的大量网络占用或者间断性的流量升高情况,则认为是异常网络行为;
异常协议行为,解析网络协议,当存在不是常用的网络协议进行数据传输时,则认为是异常网络行为;
异常加密行为,当检测到不可识别的加密方法时,则认为是异常网络行为。
方法中步骤7中所述的关联对比包括:静态对比或者动态对比,当存在对比成功的文件,则记录所述文件,并将所述文件与剩余的没有匹配成功的文件进行关联对比。
以上所述的方法中所述静态对比包括:文件格式对比、文件位置对比、文件大小对比、版本信息对比、有无加壳对比、资源大小对比、节数和节的大小对比、区段对齐对比、文件对齐对比、入口点对比、导入导出表的函数个数对比、数字签名对比、内部字符串对比或者文件切分对比。
以上所述的方法中所述动态对比包括:函数调用方法对比,文件功能对比、内部结构对比、文件运行环境对比、代码编写风格对比、加密解密调用的key对比、网络通信方式对比、代码中系统函数调用地址对比、文件行为对比、代码相似性对比。
以上所述的方法中提到的两次白名单匹配操作中使用的白名单可以为:对于用户系统进行遍历后过滤所得,另一部分为常用系统与常用软件的海量收集与过滤所得;在使用过程中要注意白名单的及时更新。
方法中所述的诱饵文件的类型包括:文本文件、微软OFFICE系列文件、图片类文件、声音类文件、视频类文件、各编程语言源码类文件、网页类文件、数据库与表、包裹类文件、加密类文件、程序源码各种管理器及构造的上传源码、工业控制类文件等。
一种基于反向追踪的高威窃密恶意代码检测系统,包括:
预置模块,用于在系统中预置文件名或者文件内容中包含敏感词汇的诱饵文件,并创建由敏感词汇构成的关键词库;
监控模块,用于监控诱饵文件,若存在进程和/或线程对所述诱饵文件进行非法操作,则由定位模块完成定位操作;
监控系统文件,若存在进程和/或线程对系统文件进行非法操作,则对所述系统文件进行关键词库匹配,若发现所述系统文件的文件名或者文件内容中存在关键词库中的敏感词汇,则由定位模块完成定位操作;所述非法操作可以包括:打开或者复制等;
定位模块,用于定位所述进程和/或线程,并反向定位与所述进程和/或线程相关的可执行文件,并将所述可执行文件发送至第一匹配模块;
第一匹配模块,接收发送来的可执行文件,并针对所述可执行文件进行白名单匹配,如果匹配成功则所述可执行文件不是高威窃密恶意代码文件,否则所述可执行文件为高威窃密恶意代码文件,并将所述高威窃密恶意代码文件发送至关联对比模块;
提取模块,提取系统中所述进程和/或线程以外的其他进程和/或线程相关的文件,并提取敏感目录文件,并将提取的文件发送至第二匹配模块;所述敏感目录可以包括:所述可执行文件所在目录、系统用户目录或者system32目录等;
第二匹配模块,接收发送来的文件,并将提取的文件进行白名单匹配,如果全部匹配成功则不存在相关联的高威窃密恶意代码文件,否则,将没有匹配成功的文件发送至关联对比模块;所述提取的文件包括:其他进程和/或线程相关的文件和所述敏感目录文件;
关联对比模块,将第二匹配模块发送来的没有匹配成功的文件与第一匹配模块发送来的高威窃密恶意代码文件进行关联对比,对比成功的文件为相关联的高威窃密恶意代码文件。
所述的相关联的高威窃密恶意代码文件可能是与高威窃密恶意代码文件相关的DLL文件、下载文件或者启动文件等;
系统的预置模块中所述的敏感词汇可以包括:国家政治机密、国家军事机密、国家经济机密或者企业技术机密中经常用到的关键词。
在监控模块中,可以同时监控系统的网络行为,如果存在异常网络行为则记录,当存在两次相同形式的异常网络行为时,则由定位模块定位与所述异常网络行为相关的进程和/或线程。
系统中所述的异常网络行为包括以下形式:
敏感IP行为,建立敏感IP库,记录各个敏感IP段,当出现敏感IP库中的IP行为时,则认为是异常网络行为;
异常传输行为,当监控中发现存在突然的大量网络占用或者间断性的流量升高情况,则认为是异常网络行为;
异常协议行为,解析网络协议,当存在不是常用的网络协议进行数据传输时,则认为是异常网络行为;
异常加密行为,当检测到不可识别的加密方法时,则认为是异常网络行为。
系统的关联对比模块中所述的关联对比可以包括:静态对比或者动态对比,当存在对比成功的文件,则记录所述文件,并将所述文件与剩余的没有匹配成功的文件进行关联对比。
以上所述的系统中所述静态对比包括:文件格式对比、文件位置对比、文件大小对比、版本信息对比、有无加壳对比、资源大小对比、节数和节的大小对比、区段对齐对比、文件对齐对比、入口点对比、导入导出表的函数个数对比、数字签名对比、内部字符串对比或者文件切分对比。
以上所述的系统中所述动态对比包括:函数调用方法对比,文件功能对比、内部结构对比、文件运行环境对比、代码编写风格对比、加密解密调用的key对比、网络通信方式对比、代码中系统函数调用地址对比、文件行为对比、代码相似性对比。
以上所述的系统中提到的两次白名单匹配操作中使用的白名单可以为:对于用户系统进行遍历后过滤所得,另一部分为常用系统与常用软件的海量收集与过滤所得;在使用过程中要注意白名单的及时更新。
综上所述,本发明提供了一种基于反向追踪的高威窃密恶意代码检测方法及系统,首先,在系统中预置诱饵文件,并对诱饵文件和系统文件进行监控,当发现存在非法操作时,则反向定位相关的进程和/或线程,并依据定位到的进程和/或线程定位到相应的可执行文件,经白名单过滤之后确定高威窃密恶意代码文件,最后利用关联对比技术,检测出相关联的高威窃密恶意代码文件。以上所述方案解决了高威窃密恶意代码不易检测的问题,并且可以做到快速发现,定位和分析。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的基于反向追踪的高威窃密恶意代码检测方法流程图;
图2为本发明提供的基于反向追踪的高威窃密恶意代码检测系统结构图。
具体实施方式
本发明给出了一种基于反向追踪的高威窃密恶意代码检测方法及系统,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种基于反向追踪的高威窃密恶意代码检测方法,如图1所示,包括:
S101在系统中预置文件名或者文件内容中包含敏感词汇的诱饵文件,并创建由敏感词汇构成的关键词库;
S102监控诱饵文件,判断是否存在进程和/或线程对所述诱饵文件进行非法操作,若是,则执行S104,否则执行S103;
S103监控系统文件,若存在进程和/或线程对系统文件进行非法操作,则对所述系统文件进行关键词库匹配,并判断所述系统文件的文件名或者文件内容中是否存在关键词库中的敏感词汇,若是则执行S104,否则返回S102继续执行;
S104定位所述进程和/或线程,并继续定位与所述进程和/或线程相关的可执行文件;
S105针对所述可执行文件进行白名单匹配,并判断是否匹配成功,若是,则所述可执行文件不是高威窃密恶意代码文件,否则,则所述可执行文件为高威窃密恶意代码文件,并执行S106;
S106提取系统中所述进程和/或线程以外的其他进程和/或线程相关的文件,并提取敏感目录文件;
S107针对S106提取的文件进行白名单匹配,并判断是否全部匹配成功,若是,则不存在相关联的高威窃密恶意代码文件,否则执行S108;
S108将没有匹配成功的文件与S105所述的高威窃密恶意代码文件进行关联对比,对比成功的文件为相关联的高威窃密恶意代码文件。
优选地,方法中所述的敏感词汇包括:国家政治机密、国家军事机密、国家经济机密或者企业技术机密中经常用到的关键词。
优选地,同时监控系统的网络行为,如果存在异常网络行为则记录,当存在两次相同形式的异常网络行为时,则执行S104。
优选地,所述的异常网络行为包括以下形式:
敏感IP行为,建立敏感IP库,记录各个敏感IP段,当出现敏感IP库中的IP行为时,则认为是异常网络行为;
异常传输行为,当监控中发现存在突然的大量网络占用或者间断性的流量升高情况,则认为是异常网络行为;
异常协议行为,解析网络协议,当存在不是常用的网络协议进行数据传输时,则认为是异常网络行为;
异常加密行为,当检测到不可识别的加密方法时,则认为是异常网络行为。
优选地,方法中所述的关联对比包括:静态对比或者动态对比,当存在对比成功的文件,则记录所述文件,并将所述文件与剩余的没有匹配成功的文件进行关联对比。
优选地,所述静态对比包括:文件格式对比、文件位置对比、文件大小对比、版本信息对比、有无加壳对比、资源大小对比、节数和节的大小对比、区段对齐对比、文件对齐对比、入口点对比、导入导出表的函数个数对比、数字签名对比、内部字符串对比或者文件切分对比。
优选地,所述动态对比包括:函数调用方法对比,文件功能对比、内部结构对比、文件运行环境对比、代码编写风格对比、加密解密调用的key对比、网络通信方式对比、代码中系统函数调用地址对比、文件行为对比、代码相似性对比。
一种基于反向追踪的高威窃密恶意代码检测系统,如图2所示,包括:
预置模块201,用于在系统中预置文件名或者文件内容中包含敏感词汇的诱饵文件,并创建由敏感词汇构成的关键词库;
监控模块202,用于监控诱饵文件,若存在进程和/或线程对所述诱饵文件进行非法操作,则由定位模块203完成定位操作;
监控系统文件,若存在进程和/或线程对系统文件进行非法操作,则对所述系统文件进行关键词库匹配,若发现所述系统文件的文件名或者文件内容中存在关键词库中的敏感词汇,则由定位模块203完成定位操作;
定位模块203,用于定位所述进程和/或线程,并反向定位与所述进程和/或线程相关的可执行文件,并将所述可执行文件发送至第一匹配模块204;
第一匹配模块204,接收发送来的可执行文件,并针对所述可执行文件进行白名单匹配,如果匹配成功则所述可执行文件不是高威窃密恶意代码文件,否则所述可执行文件为高威窃密恶意代码文件,并将所述高威窃密恶意代码文件发送至关联对比模块207;
提取模块205,提取系统中所述进程和/或线程以外的其他进程和/或线程相关的文件,并提取敏感目录文件,并将提取的文件发送至第二匹配模块206;所述敏感目录包括:所述可执行文件所在目录、系统用户目录或者system32目录;
第二匹配模块206,接收发送来的文件,并将提取的文件进行白名单匹配,如果全部匹配成功则不存在相关联的高威窃密恶意代码文件,否则,将没有匹配成功的文件发送至关联对比模块207;
关联对比模块207,将第二匹配模块206发送来的没有匹配成功的文件与第一匹配模块204发送来的高威窃密恶意代码文件进行关联对比,对比成功的文件为相关联的高威窃密恶意代码文件。
优选地,预置模块中所述的敏感词汇包括:国家政治机密、国家军事机密、国家经济机密或者企业技术机密中经常用到的关键词。
优选地,在监控模块中,同时监控系统的网络行为,如果存在异常网络行为则记录,当存在两次相同形式的异常网络行为时,则由定位模块完成定位操作。
优选地,所述的异常网络行为包括以下形式:
敏感IP行为,建立敏感IP库,记录各个敏感IP段,当出现敏感IP库中的IP行为时,则认为是异常网络行为;
异常传输行为,当监控中发现存在突然的大量网络占用或者间断性的流量升高情况,则认为是异常网络行为;
异常协议行为,解析网络协议,当存在不是常用的网络协议进行数据传输时,则认为是异常网络行为;
异常加密行为,当检测到不可识别的加密方法时,则认为是异常网络行为。
优选地,关联对比模块中所述的关联对比包括:静态对比或者动态对比,当存在对比成功的文件,则记录所述文件,并将所述文件与剩余的没有匹配成功的文件进行关联对比。
优选地,所述静态对比包括:文件格式对比、文件位置对比、文件大小对比、版本信息对比、有无加壳对比、资源大小对比、节数和节的大小对比、区段对齐对比、文件对齐对比、入口点对比、导入导出表的函数个数对比、数字签名对比、内部字符串对比或者文件切分对比。
优选地,所述动态对比包括:函数调用方法对比,文件功能对比、内部结构对比、文件运行环境对比、代码编写风格对比、加密解密调用的key对比、网络通信方式对比、代码中系统函数调用地址对比、文件行为对比、代码相似性对比。
如上所述,本发明给出了一种基于反向追踪的高威窃密恶意代码检测方法及系统,其利用反向定位的方法,定位出与非法操作相关的进程和/或线程,并在此基础上继续定位相关的可执行文件,最后通过白名单过滤判断是否为高威窃密恶意代码文件,其与传统的检测方法的区别是,不需要依赖已知特征,使得对于高威窃密恶意代码的检测更加及时,并且检出率远高于传统方法。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。

Claims (14)

1.一种基于反向追踪的高威窃密恶意代码检测方法,其特征在于,包括:
步骤1、在系统中预置文件名或者文件内容中包含敏感词汇的诱饵文件,并创建由敏感词汇构成的关键词库;
步骤2、监控诱饵文件,若存在进程和/或线程对所述诱饵文件进行非法操作,则执行步骤3;
监控系统文件,若存在进程和/或线程对系统文件进行非法操作,则对所述系统文件进行关键词库匹配,若发现所述系统文件的文件名或者文件内容中存在关键词库中的敏感词汇,则执行步骤3;
步骤3、定位所述进程和/或线程,并反向定位与所述进程和/或线程相关的可执行文件;
步骤4、针对所述可执行文件进行白名单匹配,如果匹配成功则所述可执行文件不是高威窃密恶意代码文件,否则所述可执行文件为高威窃密恶意代码文件,并执行步骤5;
步骤5、提取系统中所述进程和/或线程以外的其他进程和/或线程相关的文件,并提取敏感目录文件;所述敏感目录包括:所述可执行文件所在目录、系统用户目录或者system32目录;
步骤6、针对步骤5提取的文件进行白名单匹配,如果全部匹配成功则不存在相关联的高威窃密恶意代码文件,否则,执行步骤7;所述提取的文件包括:其他进程和/或线程相关的文件和所述敏感目录文件;
步骤7、将没有匹配成功的文件与步骤4所述的高威窃密恶意代码文件进行关联对比,对比成功的文件为相关联的高威窃密恶意代码文件;
所述相关联的高威窃密恶意代码文件为与高威窃密恶意代码文件相关的DLL文件、下载文件或者启动文件。
2.如权利要求1所述的方法,其特征在于,步骤1所述的敏感词汇包括:国家政治机密、国家军事机密、国家经济机密或者企业技术机密中经常用到的关键词。
3.如权利要求1所述的方法,其特征在于,在执行步骤2时,同时监控系统的网络行为,如果存在异常网络行为则记录,当存在两次相同形式的异常网络行为时,则执行步骤3定位与所述异常网络行为相关的进程和/或线程。
4.如权利要求3所述的方法,其特征在于,所述的异常网络行为包括以下形式:
敏感IP行为,建立敏感IP库,记录各个敏感IP段,当出现敏感IP库中的IP行为时,则认为是异常网络行为;
异常传输行为,当监控中发现存在突然的大量网络占用或者间断性的流量升高情况,则认为是异常网络行为;
异常协议行为,解析网络协议,当存在不是常用的网络协议进行数据传输时,则认为是异常网络行为;
异常加密行为,当检测到不可识别的加密方法时,则认为是异常网络行为。
5.如权利要求1所述的方法,其特征在于,步骤7中所述的关联对比包括:静态对比或者动态对比,当存在对比成功的文件,则记录所述文件,并将所述文件与剩余的没有匹配成功的文件进行关联对比。
6.如权利要求5所述的方法,其特征在于,所述静态对比包括:文件格式对比、文件位置对比、文件大小对比、版本信息对比、有无加壳对比或者资源大小对比。
7.如权利要求5所述的方法,其特征在于,所述动态对比包括:函数调用方法对比,文件功能对比、内部结构对比、文件运行环境对比或者代码编写风格对比。
8.一种基于反向追踪的高威窃密恶意代码检测系统,其特征在于,包括:
预置模块,用于在系统中预置文件名或者文件内容中包含敏感词汇的诱饵文件,并创建由敏感词汇构成的关键词库;
监控模块,用于监控诱饵文件,若存在进程和/或线程对所述诱饵文件进行非法操作,则由定位模块完成定位操作;
监控系统文件,若存在进程和/或线程对系统文件进行非法操作,则对所述系统文件进行关键词库匹配,若发现所述系统文件的文件名或者文件内容中存在关键词库中的敏感词汇,则由定位模块完成定位操作;
定位模块,用于定位所述进程和/或线程,并反向定位与所述进程和/或线程相关的可执行文件,并将所述可执行文件发送至第一匹配模块;
第一匹配模块,接收发送来的可执行文件,并针对所述可执行文件进行白名单匹配,如果匹配成功则所述可执行文件不是高威窃密恶意代码文件,否则所述可执行文件为高威窃密恶意代码文件,并将所述高威窃密恶意代码文件发送至关联对比模块;
提取模块,提取系统中所述进程和/或线程以外的其他进程和/或线程相关的文件,并提取敏感目录文件,并将提取的文件发送至第二匹配模块;所述敏感目录包括:所述可执行文件所在目录、系统用户目录或者system32目录;
第二匹配模块,接收发送来的文件,并将提取的文件进行白名单匹配,如果全部匹配成功则不存在相关联的高威窃密恶意代码文件,否则,将没有匹配成功的文件发送至关联对比模块;所述提取的文件包括:其他进程和/或线程相关的文件和所述敏感目录文件;
关联对比模块,将第二匹配模块发送来的没有匹配成功的文件与第一匹配模块发送来的高威窃密恶意代码文件进行关联对比,对比成功的文件为相关联的高威窃密恶意代码文件;
所述相关联的高威窃密恶意代码文件为与高威窃密恶意代码文件相关的DLL文件、下载文件或者启动文件。
9.如权利要求8所述的系统,其特征在于,预置模块中所述的敏感词汇包括:国家政治机密、国家军事机密、国家经济机密或者企业技术机密中经常用到的关键词。
10.如权利要求8所述的系统,其特征在于,在监控模块中,同时监控系统的网络行为,如果存在异常网络行为则记录,当存在两次相同形式的异常网络行为时,则由定位模块定位与所述异常网络行为相关的进程和/或线程。
11.如权利要求10所述的系统,其特征在于,所述的异常网络行为包括以下形式:
敏感IP行为,建立敏感IP库,记录各个敏感IP段,当出现敏感IP库中的IP行为时,则认为是异常网络行为;
异常传输行为,当监控中发现存在突然的大量网络占用或者间断性的流量升高情况,则认为是异常网络行为;
异常协议行为,解析网络协议,当存在不是常用的网络协议进行数据传输时,则认为是异常网络行为;
异常加密行为,当检测到不可识别的加密方法时,则认为是异常网络行为。
12.如权利要求8所述的系统,其特征在于,关联对比模块中所述的关联对比包括:静态对比或者动态对比,当存在对比成功的文件,则记录所述文件,并将所述文件与剩余的没有匹配成功的文件进行关联对比。
13.如权利要求12所述的系统,其特征在于,所述静态对比包括:文件格式对比、文件位置对比、文件大小对比、版本信息对比、有无加壳对比或者资源大小对比。
14.如权利要求12所述的系统,其特征在于,所述动态对比包括:函数调用方法对比,文件功能对比、内部结构对比、文件运行环境对比或者代码编写风格对比。
CN201210497639.6A 2012-11-29 2012-11-29 一种基于反向追踪的高威窃密恶意代码检测方法及系统 Active CN103294950B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210497639.6A CN103294950B (zh) 2012-11-29 2012-11-29 一种基于反向追踪的高威窃密恶意代码检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210497639.6A CN103294950B (zh) 2012-11-29 2012-11-29 一种基于反向追踪的高威窃密恶意代码检测方法及系统

Publications (2)

Publication Number Publication Date
CN103294950A CN103294950A (zh) 2013-09-11
CN103294950B true CN103294950B (zh) 2016-07-06

Family

ID=49095792

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210497639.6A Active CN103294950B (zh) 2012-11-29 2012-11-29 一种基于反向追踪的高威窃密恶意代码检测方法及系统

Country Status (1)

Country Link
CN (1) CN103294950B (zh)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103593610B (zh) * 2013-10-09 2016-08-31 中国电子科技集团公司第二十八研究所 基于计算机免疫的间谍软件自适应诱导与检测方法
CN105653947B (zh) * 2014-11-11 2019-09-13 中国移动通信集团公司 一种评估应用数据安全风险的方法及装置
CN104486320B (zh) * 2014-12-10 2018-10-26 国家电网公司 基于蜜网技术的内网敏感信息泄露取证系统及方法
CN104484605A (zh) * 2014-12-10 2015-04-01 央视国际网络无锡有限公司 云存储环境病毒源检测方法
CN105653971A (zh) * 2015-07-24 2016-06-08 哈尔滨安天科技股份有限公司 一种基于中间层的文件保护方法及装置
CN106372515A (zh) * 2016-08-22 2017-02-01 上海亿账通互联网科技有限公司 敏感代码的托管监控方法及服务器
CN106407815B (zh) * 2016-09-30 2020-02-14 北京奇虎科技有限公司 漏洞检测方法及装置
CN108090362B (zh) * 2017-02-08 2022-01-07 安天科技集团股份有限公司 一种atm程序更新的安全防护方法及系统
CN107729752B (zh) * 2017-09-13 2019-12-03 中国科学院信息工程研究所 一种勒索软件防御方法及系统
CN107733873A (zh) * 2017-09-19 2018-02-23 北京北信源软件股份有限公司 一种病毒预警系统和方法
CN108121914B (zh) * 2018-01-17 2021-04-13 四川神琥科技有限公司 一种文档泄密防护追踪系统
CN109711170A (zh) * 2018-05-04 2019-05-03 360企业安全技术(珠海)有限公司 防护pdf的异常操作行为的方法及装置
CN108830084B (zh) * 2018-06-12 2021-10-01 国网江苏省电力有限公司无锡供电分公司 实现漏洞扫描与防护加固的手持式终端及防护方法
CN109246124B (zh) * 2018-09-30 2020-05-19 华中科技大学 一种加密信息的主动防御方法
CN109583204B (zh) * 2018-11-20 2021-03-02 国网陕西省电力公司 一种混合环境下静态对象篡改的监测方法
CN109829303A (zh) * 2018-12-28 2019-05-31 北京奇安信科技有限公司 一种基于系统文件的内网云查杀方法、控制台及客户端
CN111030973B (zh) * 2019-03-29 2023-02-24 安天科技集团股份有限公司 一种基于标识文件定位攻击的方法、装置及存储设备
CN112347327B (zh) * 2020-10-22 2024-03-19 杭州安恒信息技术股份有限公司 网站检测方法、装置、可读存储介质及计算机设备
CN112560040A (zh) * 2020-12-25 2021-03-26 安芯网盾(北京)科技有限公司 一种计算机感染型病毒的通用检测的方法及装置
CN114283457A (zh) * 2021-12-27 2022-04-05 北京安天网络安全技术有限公司 一种设备检测方法、装置、电子设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101895521A (zh) * 2009-05-22 2010-11-24 中国科学院研究生院 一种网络蠕虫检测与特征自动提取方法及其系统
CN101978376A (zh) * 2008-03-19 2011-02-16 网圣公司 用于抵御信息窃取软件的方法及系统
CN101989322A (zh) * 2010-11-19 2011-03-23 北京安天电子设备有限公司 自动提取恶意代码内存特征的方法和系统
CN102254120A (zh) * 2011-08-09 2011-11-23 成都市华为赛门铁克科技有限公司 恶意代码的检测方法、系统及相关装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7089589B2 (en) * 2001-04-10 2006-08-08 Lenovo (Singapore) Pte. Ltd. Method and apparatus for the detection, notification, and elimination of certain computer viruses on a network using a promiscuous system as bait

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101978376A (zh) * 2008-03-19 2011-02-16 网圣公司 用于抵御信息窃取软件的方法及系统
CN101895521A (zh) * 2009-05-22 2010-11-24 中国科学院研究生院 一种网络蠕虫检测与特征自动提取方法及其系统
CN101989322A (zh) * 2010-11-19 2011-03-23 北京安天电子设备有限公司 自动提取恶意代码内存特征的方法和系统
CN102254120A (zh) * 2011-08-09 2011-11-23 成都市华为赛门铁克科技有限公司 恶意代码的检测方法、系统及相关装置

Also Published As

Publication number Publication date
CN103294950A (zh) 2013-09-11

Similar Documents

Publication Publication Date Title
CN103294950B (zh) 一种基于反向追踪的高威窃密恶意代码检测方法及系统
EP3225009B1 (en) Systems and methods for malicious code detection
CA2966408C (en) A system and method for network intrusion detection of covert channels based on off-line network traffic
KR102368170B1 (ko) 멀웨어의 자동화된 런타임 검출
KR20180120157A (ko) 데이터세트 추출 기반 패턴 매칭
CN103391216A (zh) 一种违规外联报警及阻断方法
JP5144488B2 (ja) 情報処理システムおよびプログラム
WO2016186975A1 (en) Detection of sql injection attacks
Casey et al. Malware forensics field guide for Linux systems: digital forensics field guides
US20090328210A1 (en) Chain of events tracking with data tainting for automated security feedback
CN107766728A (zh) 移动应用安全管理装置、方法及移动作业安全防护系统
Grégio et al. Toward a taxonomy of malware behaviors
CN108234400B (zh) 一种攻击行为确定方法、装置及态势感知系统
TW201104489A (en) Method and system for cleaning malicious software and computer program product and storage medium
CN110138731B (zh) 一种基于大数据的网络防攻击方法
CN103428212A (zh) 一种恶意代码检测及防御的方法
Sasi et al. A comprehensive survey on IoT attacks: Taxonomy, detection mechanisms and challenges
CN110022305A (zh) 网站安全防护系统和方法
Keong Ng et al. VoterChoice: A ransomware detection honeypot with multiple voting framework
CN111800405A (zh) 检测方法及检测设备、存储介质
CN113746781A (zh) 一种网络安全检测方法、装置、设备及可读存储介质
Deng et al. Lexical analysis for the webshell attacks
Kandukuru et al. Android malicious application detection using permission vector and network traffic analysis
US10032022B1 (en) System and method for self-protecting code
CN113660222A (zh) 基于强制访问控制的态势感知防御方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: 100080 Beijing city Haidian District minzhuang Road No. 3, Tsinghua Science Park Building 1 Yuquan Huigu a

Patentee after: Beijing ahtech network Safe Technology Ltd

Address before: 100080 Haidian District City, Zhongguancun, the main street, No. 1 Hailong building, room 1415, room 14

Patentee before: Beijing Antiy Electronic Installation Co., Ltd.

PE01 Entry into force of the registration of the contract for pledge of patent right
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: High-power secret information stealing malicious code detection method and system based on backward tracing

Effective date of registration: 20190719

Granted publication date: 20160706

Pledgee: Bank of Longjiang, Limited by Share Ltd, Harbin Limin branch

Pledgor: Beijing ahtech network Safe Technology Ltd

Registration number: 2019230000008

PC01 Cancellation of the registration of the contract for pledge of patent right
PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20210810

Granted publication date: 20160706

Pledgee: Bank of Longjiang Limited by Share Ltd. Harbin Limin branch

Pledgor: BEIJING ANTIY NETWORK TECHNOLOGY Co.,Ltd.

Registration number: 2019230000008