本發明專利技術公開了對文件行為特征進行檢測的系統,包括客戶端及服務器端:其中,所述客戶端包括:文件上傳單元,用于將疑似惡意的文件樣本上傳到所述服務器端;所述服務器端包括:第一待檢測文件確定單元;文件類別確定單元;行為收集單元;特征比對單元,用于將所述待檢測文件在運行過程中產生的行為與該類別對應的非惡意行為特征庫中的行為特征進行比對,所述該類別對應的非惡意行為特征庫中的行為特征為該類別的非惡意文件所具有的行為特征;以及檢測結果確定單元,用于如果存在所述非惡意行為特征庫之外的行為,則將該待檢測文件確定為惡意文件。能夠降低誤判率,提高檢測結果的準確度。
【技術實現步驟摘要】
本專利技術涉及計算機安全
,具體涉及對文件行為特征進行檢測的系統。
技術介紹
一些黑客經常會向文件中寫入惡意代碼,使得文件成為惡意文件,網絡用戶在從網站上下載這些文件(例如游戲或其他程序等)或者從其他的移動存儲設備拷貝這些文件時,就會連同惡意代碼一并帶入自己的電腦,從而對用戶電腦造成危害或者給用戶帶來各種干擾。因此,有效地檢測出文件中是否包為惡意文件是非常重要的。最初,一般會通過文 件的一些靜態特征對文件進行檢測,例如,文件的名稱、MD5值等等。但是如果文件版本更新,或者惡意代碼結構變化,這些靜態特征就會失效,需要進行修改,因此檢測的有效性不高,并且需要的維護成本也會比較高。為此,出現了基于文件的行為特征對文件進行檢測的方法。在該方法中,一般是預先收集各種可能出現的惡意的行為特征,將待檢測文件投入到沙箱中運行,記錄運行過程中產生的行為,并與預先收集的惡意行為特征進行比對,根據出現的惡意行為特征的數量,來確定文件為惡意文件的概率。例如,惡意行為特征庫中有100條惡意的行為特征(這些行為特征是從已知的各種惡意文件的行為中提取出來的,通常稱為黑行為特征),有一個文件在運行過程中產生的行為命中了其中的10條,可能該文件的危險級別比較低,如果另一文件在運行過程中產生的行為命中了其中的50條,則該文件的危險級別就比較高,等等。但是,現有技術中的這種基于行為特征的檢測方法,容易造成誤報。例如,文件加殼的目的一般是阻止對文件的反匯編分析或者動態分析,以達到它不可告人的目的。文件加殼行為一般會被作為惡意的特征保存在沙箱中,于是只要是加殼的文件,都被認為存在一定的危險性。然而有些情況下,文件加殼卻是一種正常的行為,可能是用來保護文件的版權,防止被軟件破解,等等。例如,視頻教程文件等,為了保密等原因,可能會對文件進行加殼,但這并不意味著該文件就是含有惡意代碼的惡意文件,如果直接將其判定為惡意文件,則可能會是一種誤判。
技術實現思路
鑒于上述問題,提出了本專利技術以便提供一種克服上述問題或者至少部分地解決上述問題的對文件行為特征進行檢測的系統。在本專利技術的一個方面,提供了一種對文件行為特征進行檢測的系統,包括客戶端及服務器端其中,所述客戶端包括文件上傳單元,用于將疑似惡意的文件樣本上傳到所述服務器端;所述服務器端包括第一待檢測文件確定單元,用于將所述客戶端上傳的文件樣本確定為待檢測樣本;以及檢測惡意文件的裝置。任選地,所述檢測惡意文件的裝置包括文件類別確定單元,用于確定待檢測文件所屬的類別;行為收集單元,用于將所述待檢測文件投入到該類別對應的沙箱中運行,收集所述待檢測文件在運行過程中產生的行為;特征比對單元,用于將所述待檢測文件在運行過程中產生的行為與該類別對應的非惡意行為特征庫中的行為特征進行比對,所述該類別對應的非惡意行為特征庫中的行為特征為該類別的非惡意文件所具有的行為特征;以及 檢測結果確定單元,用于如果存在所述非惡意行為特征庫之外的行為,則將該待檢測文件確定為惡意文件。任選地,所述文件類別確定單元包括靜態分析子單元,用于根據待檢測文件的文件靜態特征,確定待檢測文件所屬的類別。任選地,所述文件靜態特征包括文件的圖標、大小和/或代碼的循環冗余校驗碼CRC。任選地,所述文件類別確定單元包括網站分析子單元,用于如果所述待檢測文件來源于網站,則根據網站所屬的類別確定待檢測文件所屬的類別。任選地,所述待檢測文件所屬的類別包括私服類,所述該類別對應的非惡意行為特征庫中的行為特征包括遍歷目錄查找游戲、查找游戲程序窗口和/或加載具有特定路徑及文件名的動態鏈接庫文件。任選地,所述待檢測文件所屬的類別包括外掛類,所述該類別對應的非惡意行為特征庫中的行為特征包括創建非惡意文件、遍歷目錄查找游戲、加載具有特定路徑及文件名的動態鏈接庫文件、對游戲進程的操作和/或非惡意的網絡操作。任選地,該系統還包括第一文件確定單元,用于接收客戶端上傳的新的文件樣本,將新上傳的文件樣本確定為所述待檢測文件;或者,第二文件確定單元,用于從互聯網上收集新的文件樣本,將新收集到的新的文件樣本確定為所述待檢測文件。在本專利技術的另一方面,提供了一種對文件行為特征進行檢測的系統,包括樣本收集單元,用于從互聯網上收集文件樣本;第二待檢測文件確定單元,用于將收集到的文件樣本確定為待檢測文件;以及檢測惡意文件的裝置。任選地,所述檢測惡意文件的裝置包括文件類別確定單元,用于確定待檢測文件所屬的類別;行為收集單元,用于將所述待檢測文件投入到該類別對應的沙箱中運行,收集所述待檢測文件在運行過程中產生的行為;特征比對單元,用于將所述待檢測文件在運行過程中產生的行為與該類別對應的非惡意行為特征庫中的行為特征進行比對,所述該類別對應的非惡意行為特征庫中的行為特征為該類別的非惡意文件所具有的行為特征;以及檢測結果確定單元,用于如果存在所述非惡意行為特征庫之外的行為,則將該待檢測文件確定為惡意文件。任選地,所述文件類別確定單元包括靜態分析子單元,用于根據待檢測文件的文件靜態特征,確定待檢測文件所屬的類別。 任選地,所述文件靜態特征包括文件的圖標、大小和/或代碼的循環冗余校驗碼CRC。任選地,所述文件類別確定單元包括網站分析子單元,用于如果所述待檢測文件來源于網站,則根據網站所屬的類別確定待檢測文件所屬的類別。任選地,所述待檢測文件所屬的類別包括私服類,所述該類別對應的非惡意行為特征庫中的行為特征包括遍歷目錄查找游戲、查找游戲程序窗口和/或加載具有特定路徑及文件名的動態鏈接庫文件。任選地,所述待檢測文件所屬的類別包括外掛類,所述該類別對應的非惡意行為特征庫中的行為特征包括創建非惡意文件、遍歷目錄查找游戲、加載具有特定路徑及文件名的動態鏈接庫文件、對游戲進程的操作和/或非惡意的網絡操作。任選地,該系統還包括第一文件確定單元,用于接收客戶端上傳的新的文件樣本,將新上傳的文件樣本確定為所述待檢測文件;或者,第二文件確定單元,用于從互聯網上收集新的文件樣本,將新收集到的新的文件樣本確定為所述待檢測文件。根據本專利技術的對文件行為特征進行檢測的系統,可以根據同類的無惡意文件所表現出來的共有的行為特征建立各類文件的無惡意行為特征庫,這樣,在進行檢測時,可以首先確定出待檢測文件所屬的類別,并將待檢測文件投入到該類文件對應的沙箱中運行,記錄待檢測文件在運行過程中發生的所有行為,并將這些行為與該類文件對應的無惡意行為特征庫中的各個行為進行比對,如果出現了無惡意行為特征庫之外的行為,則可以將待檢測文件確定為惡意文件。通過該方法,由于可以對不同的文件按照類別進行檢測,因此,可以大大降低誤判率,提高檢測結果的準確度。上述說明僅是本專利技術技術方案的概述,為了能夠更清楚了解本專利技術的技術手段,而可依照說明書的內容予以實施,并且為了讓本專利技術的上述和其它目的、特征和優點能夠更明顯易懂,以下特舉本專利技術的具體實施方式。附圖說明通過閱讀下文優選實施方式的詳細描述,各種其他的優點和益處對于本領域普通技術人員將變得清楚明了。附圖僅用于示出優選實施方式的目的,而并不認為是對本專利技術的限制。而且在整個附圖中,用相同的參考符號表示相同的部件。在附圖中圖I示出了根據本專利技術一個實施例的方法的流程圖;圖2示出了根據本專利技術一個實施例的裝置的示意圖;圖3示出了根據本文檔來自技高網...
【技術保護點】
一種對文件行為特征進行檢測的系統,包括客戶端及服務器端:其中,所述客戶端包括:文件上傳單元,用于將疑似惡意的文件樣本上傳到所述服務器端;所述服務器端包括:第一待檢測文件確定單元,用于將所述客戶端上傳的文件樣本確定為待檢測樣本;和檢測惡意文件的裝置。
【技術特征摘要】
1.一種對文件行為特征進行檢測的系統,包括客戶端及服務器端 其中,所述客戶端包括 文件上傳單元,用于將疑似惡意的文件樣本上傳到所述服務器端; 所述服務器端包括 第一待檢測文件確定單元,用于將所述客戶端上傳的文件樣本確定為待檢測樣本;和 檢測惡意文件的裝置。2.如權利要求I所述的系統,其中,所述檢測惡意文件的裝置包括 文件類別確定單元,用于確定待檢測文件所屬的類別; 行為收集單元,用于將所述待檢測文件投入到該類別對應的沙箱中運行,收集所述待檢測文件在運行過程中產生的行為; 特征比對單元,用于將所述待檢測文件在運行過程中產生的行為與該類別對應的非惡意行為特征庫中的行為特征進行比對,所述該類別對應的非惡意行為特征庫中的行為特征為該類別的非惡意文件所具有的行為特征;以及 檢測結果確定單元,用于如果存在所述非惡意行為特征庫之外的行為,則將該待檢測文件確定為惡意文件。3.根據權利要求2所述的系統,所述文件類別確定單元包括 靜態分析子單元,用于根據待檢測文件的文件靜態特征,確定待檢測文件所屬的類別。4.根據權利要求3所述的系統,所述文件靜態特征包括文件的圖標、大小和/或代碼的循環冗余校驗碼CRC。5.根據權利要求2所述的系統,所述文件類別確定單元包括 網站分析子單元,用于如果所述待檢測文件來源于網站,則根據網站所屬的類別確定待檢測文件所屬的類別。6.根據權利要求2所述的系統,所述待檢測文件所屬的類別包括私服類,所述該類別對應的非惡意行為特征庫中的行為特征包括 遍歷目錄查找游戲、查找游戲程序窗口和/或加載具有特定路徑及文件名的動態鏈接庫文件。7.根據權利要求2所述的系統,所述待檢測文件所屬的類別包括外掛類,所述該類別對應的非惡意行為特征庫中的行為特征包括 創建非惡意文件、遍歷目錄查找游戲、加載具有特定路徑及文件名的動態鏈接庫文件、對游戲進程的操作和/或非惡意的網絡操作。8.根據權利要求I至7任一項所述的系統,還包括 第一文件確定單元,用于接收客戶端上傳的新的文件樣本,將新上傳的文件樣本確定為所述待檢測文件; 或者, 第二文件確定單元,用于從互聯網上收集新的文件樣本,將新收集到的新的...
【專利技術屬性】
技術研發人員:梁志文,張海,林岳川,徐立業,
申請(專利權)人:北京奇虎科技有限公司,奇智軟件北京有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。