一种未知病毒检索方法

摘要

一种未知病毒检索方法，包括；配置对比库、行为提取、行为分析；所述行为分析包括木马识别、可疑行为识别，所述预先设置对比库将基本行为按照危险等级分为至少木马行为、可疑行为、可校正行为三级，所述行为分析包括木马识别和可疑行为识别，所述行为分析还包括：可疑行为校正步骤和过滤步骤；所述可疑行为校正为：从识别的可疑行为中根据预先设置的对比库中的可校正对比文件，将可疑行为识别出并归类为可校正行为。采用本发明所述的未知病毒检索方法及装置，用户可以自行配置各个危险等级对应的行为，满足不同用户的不同需求，通过减少可疑行为或木马行为配置，减少无谓分析过程，提高了查毒效率。

说明书

技术领域

本发明属于计算机应用领域，涉及计算机病毒的识别和预防，特别是涉及一种未知病毒检索方法及装置。

背景技术

计算机病毒指编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自 我复制的一组计算机指令或者程序代码。计算机病毒通过某种途径潜伏在计算机的存储介质（或程序）里，当达到某种条件时即被激活，通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中。从而感染其他程序。

计算机病毒是计算机安全的主要威胁，计算机病毒变种能力日益增强，新病毒产生的速度加快。而目前大多数反病毒软件仍然使用病毒特征值检测方法，这种方法对已知病毒的检测效率较高，但是对于未知的新病毒却无能为力。随着安全领域的发展，又提出了基于程序文件的执行操作行为的检测来发现未知病毒，计算机病毒的操作行为通常包括修改注册表、调用内存、自行改变操作层级、堆栈溢出等，通过提取计算机病毒通常表现出的操作行为，与监控文件的行为进行对比来找到可疑的未知病毒。

目前虽然有不少基于行为的未知病毒的检测手段，但是由于病毒表现行为方式的多样性，容易误报，特别是对所有操作行为的逐一对比分析，占用计算机操作资源，查毒和杀毒时间增加，同时用户依赖于杀毒软件开发商提供的在线升级包对病毒库进行被动更新，用户不能根据自身需求对病毒库进行调整，造成对一些包含类似病毒操作行为的用户自己的非恶意操作也当成病毒误报误杀。

发明内容

为克服现有技术的查毒杀毒方法行为分析过程冗长，增加查毒杀毒时间，同时容易对非恶意操作行为误查误杀的技术缺陷，本发明公开了一种未知病毒检索方法及装置。

本发明所述的一种未知病毒检索方法，包括配置对比库、行为提取、行为分析；所述行为分析包括木马识别、可疑行为识别，所述配置对比库将基本行为按照危险等级分为至少木马行为、可疑行为、可校正行为三级，所述行为分析包括木马识别和可疑行为识别，所述行为分析还包括：可疑行为校正步骤；

所述可疑行为校正为：从识别的可疑行为中根据预先设置的对比库中的可校正对比文件，将可疑行为识别出并归类为可校正行为。 

采用本发明所述的未知病毒检索方法，将操作行为分为木马行为、可疑行为和可校正行为，用户可以自行配置各个危险等级对应的行为，满足不同用户的不同需求，通过减少可疑行为或木马行为配置，减少无谓分析过程，提高了查毒效率。

优选的，所述配置对比库将基本行为按照危险等级分为木马行为、可疑行为、可校正行为、过滤行为四级，所述过滤行为包括本发明所述行为提取和/或行为分析步骤中产生的行为操作；所述行为分析还包括位于木马识别、可疑行为识别之前的过滤步骤。

过滤行为和过滤步骤的设定进一步缩短了文件分析的时间。

优选的，所述行为分析中的行为识别步骤为：将待识别行为的全部操作与对比库中对应危险等级的所有行为的全部操作进行对比，若与某一行为的全部操作吻合，则识别成功，否则失败。

优选的，所述行为分析还包括特征码对比步骤和特征码提取步骤，

所述特征码提取步骤为：对已完成识别的行为提取特征码，并存储到对比库的历史文件子库中；

所述特征码对比步骤为：识别之前，将待识别行为的特征码与历史文件子库中已存储的特征码对比，若对比成功则根据对比结果作出识别，否则继续后续识别。

通过文件特征码对比快速判断出该文件是否是已知的木马文件或安全文件，有效提高文件分析效率。

进一步的，所述特征码由md5值和文件后缀名组成。

本发明还公开了一种未知病毒检索装置，包括对比库、行为提取模块、行为分析模块，所述对比库与行为提取模块、行为分析模块连接，所述行为提取模块和行为分析模块连接，其特征在于，所述对比库包括至少如下子库：木马行为库、可疑行为库和可校正行为库，还包括与对比库连接的用户配置模块。

优选的，所述行为分析模块还包括特征码对比模块和特征码提取模块，所述对比库还包括与所述特征码对比模块和特征码提取模块连接的历史文件子库。

采用本发明所述的未知病毒检索装置，可以实现本发明所述未知病毒检索方法。

附图说明

图1为本发明所述木马行为识别过程的一种具体实施方式结构示意图；

图2为本发明所述可疑行为识别过程的一种具体实施方式结构示意图；

图3为本发明所述未知病毒检索装置的一种具体实施方式结构示意图。

具体实施方式

下面结合附图，对本发明的具体实施方式作进一步的详细说明。

本发明所述的一种未知病毒检索方法，包括配置对比库、行为提取、行为分析，所述行为分析包括木马识别、可疑行为识别，其特征在于，所述配置对比库将基本行为按照危险等级分为至少木马行为、可疑行为、可校正行为三级，所述行为分析包括木马识别和可疑行为识别，所述行为分析还包括：可疑行为校正步骤；所述可疑行为校正为：从识别的可疑行为中根据预先设置的对比库中的可校正对比文件，将可疑行为识别出并归类为可校正行为。 

用户根据历史查杀记录对对比库进行配置，按照危险等级将各种操作行为分为木马行为，可疑行为和可校正行为，用户配置模块可以对对比库中的各个不同等级的行为进行选择，不同的文件操作在不同的用户中可能配置在不同的危险等级。其中木马行为和可疑行为通常根据历史杀毒记录选择定义，木马行为是根据历史记录得到的各种木马病毒表现的典型行为，可疑行为是根据历史记录总结出的一般木马程序通常会产生的行为，可校正行为是用户根据自身需求配置的子行为库，可校正行为是用户根据自身应用需求设定，将用户自身使用的各种正常操作行为归于可校正行为，在进行行为分析时，待识别的可疑行为如果与可校正行为符合，则将可疑行为归类为可校正行为，而不再将其识别为可疑行为或进一步判断为木马行为，避免误杀。

本发明的上述方法对应采用的未知病毒检索装置，包括对比库、行为提取模块、行为分析模块，所述对比库与行为提取模块、行为分析模块连接，所述行为提取模块和行为分析模块连接，其特征在于，所述对比库包括至少如下子库：木马行为库、可疑行为库和可校正行为库，还包括与对比库连接的用户配置模块。

采用上述的未知病毒检索方法及装置，将操作行为分为木马行为、可疑行为和可校正行为，用户可以自行配置各个危险等级对应的行为，满足不同用户的不同需求，通过减少可疑行为或木马行为配置，减少无谓分析过程，提高了查毒效率。

一种优选的实施方式为对不需要识别分析的行为进行过滤以提高效率，在配置对比库时将基本行为按照危险等级分为木马行为、可疑行为、可校正行为、过滤行为四级，所述行为分析还包括位于木马识别、可疑行为识别之前的过滤步骤，过滤行为通常包括计算机开机运行时的各种正常操作行为，在本发明中，过滤行为还包括在行为提取、行为分析过程中，所产生的系统自身的行为操作，这些行为操作不需要关心，在行为分析过程中可以不做分析。

对木马行为识别的一种具体实施方式如图1所示，

（1）文件行为提取后，根据行为提取模块根据提取结果得到的文件基本行为报告，与对比库对比，根据对比库中过滤文件列表过滤掉不需要后续分析的行为操作；

（2）将行为与对比库中的全部木马行为文件进行对比，具体为：对每个木马的所有操作行为一一对比，如果该木马行为的所有操作行为均能够在文件的基本行为报告中找到，则表示该木马行为匹配成功，则可以说明该文件是一个已知的木马病毒文件，否则匹配不成功，继续进行下一木马行为文件的对比，若遍历全部木马行为文件均匹配不成功，则认为该文件不是对比库中已知的木马文件。

完成木马识别后，对未识别出的文件，继续进行可疑行为识别，如图2所示给出可疑行为识别的一种具体实施方式：

（1）读取行为提取模块所提取的文件基本行为报告，根据过滤操作配置，过滤掉不需要分析的行为操作；

（2）从对比库的可疑行为列表中读取一个可疑行为配置，从文件基本行为操作报告中查找该可疑行为的所有操作，如果该可疑行为的所有操作都能在对比库中该可疑行为配置的相关操作行为中找到，则进行第（3）步，若该可疑行为的基本操作行为中有一项不能找到，则匹配该可疑行为失败。

（3）可疑行为匹配成功后，将该行为继续进行可校正行为匹配，判断该可疑操作列表中的所有操作行为是否在可校正行为列表中，如果所有的可疑操作均在可校正行为列表中，则表示该可疑行为为可校正行为，而不再认为是可疑行为，遍历全部可校正行为，若均不能匹配，则认为该可疑行为不是可校正行为，表示该可疑行为匹配成功。

 各个行为分析中的行为识别步骤均可以表示为：将待识别行为的全部操作与对比库中对应危险等级的所有行为的全部操作进行对比，若与某一行为的全部操作吻合，则识别成功，否则失败。操作行为是细化后的具体操作，例如创建进程、创建线程、文件操作、网络操作、修改帐号、调用API、堆栈溢出等，正常的程序软件完全可能用到上述操作中的一种或几种，任意单一操作并非判断程序是否有害的标准，对操作行为逐一对比是对木马行为或其他行为进行甄别的必要步骤，否则不能得到正确结果。

另一种优选的实施方式为，所述行为分析还包括特征码对比步骤和特征码提取步骤，所述特征码提取步骤为：对已完成识别的行为提取特征码，并存储到对比库的历史文件子库中；所述特征码对比步骤为：识别之前，将待识别行为的特征码与历史文件子库中已存储的特征码对比，若对比成功则根据对比结果作出识别，否则继续后续识别。所述特征码可以由md5值和文件后缀名组成，MD5是message-digest algorithm 5（信息-摘要算法）的缩写，任何一个文件，都有且只有一个独一无二的MD5信息值，采用md5值和文件后缀名组合可以对一个文件进行唯一性标记，且包含的数据量很小。

如图3所示，通过在行为分析模块中增加特征码对比模块和特征码提取模块，对比库中增加与所述特征码对比模块和特征码提取模块连接的历史文件子库实现上述过程。

对已分析过的文件，特征码提取模块提取该文件的特征码，并与该文件所标记的类型，例如是木马文件还是可疑文件，打包关联存储到历史文件子库中，在下次进行文件分析时，特征码对比模块通过查询历史文件子库判断该文件是否需要进行分析，通过文件特征码对比快速判断出该文件是否是已知的木马文件或安全文件，有效提高文件分析效率。

特征码提取模块通过计算文件的特征码，对文件是否需要交由文件行为提取模块进行管理，如果某个文件已经分析过，该模块通过查询文件特征码库可以。同时对比库还具有历史文件子库，对一个文件是否是木马病毒，可以先通过黑白名单中的文件特征码进行事先查询，可以快速判断文件是否是已知的木马病毒文件或是安全文件，有效的提高文件分析效率。

本发明中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器（RAM）、内存、只读存储器（ROM）、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

    前文所述的为本发明的各个优选实施例，各个优选实施例中的优选实施方式如果不是明显自相矛盾或以某一优选实施方式为前提，各个优选实施方式都可以任意叠加组合使用，所述实施例以及实施例中的具体参数仅是为了清楚表述发明人的发明验证过程，并非用以限制本发明的专利保护范围，本发明的专利保护范围仍然以其权利要求书为准，凡是运用本发明的说明书及附图内容所作的等同结构变化，同理均应包含在本发明的保护范围内。