一种人工智能同源可疑代码安全性分析系统技术方案

本发明专利技术公开了一种人工智能同源可疑代码安全性分析系统，涉及网络安全技术领域，包括扫描模块、人工智能模块、代码分析模块、辅助编码模块，人工智能模块包括大数据单元、程序授权单元、智能判定单元、智能运行单元；大数据单元包括代码分析数据库，代码分析数据库有分析用的代码，程序授权单元在授权状态后，自动运行分析技术输入分析步骤；代码分析模块以静态分析的方式对代码分析，包括PE exlporer分析单元、PEiD分析单元、Wireshark分析单元、Dependency Walker分析单元、Process Monito分析单元。本发明专利技术通过病毒扫描的方式发现可疑代码，并对该代码进行深层次分析判断其是否为恶意代码，准确度高，通过人工智能的辅助在授权的状态下自主完成检测，操作方便，安全性能高，适合推广。适合推广。适合推广。

【技术实现步骤摘要】
一种人工智能同源可疑代码安全性分析系统


[0001]本专利技术属于网络安全
，具体涉及一种人工智能同源可疑代码安全性分析系统。

技术介绍

[0002]代码就是程序员用开发工具所支持的语言写出来的源文件，是一组由字符、符号或信号码元以离散形式表示信息的明确的规则体系。在代码开发应用的过程中，会遇到恶意代码，即计算机病毒，一个最安全的定义是把所有不必要的代码都看作是恶意的，不必要代码比恶意代码具有更宽泛的含义，包括所有可能与某个组织安全策略相冲突的软件。
[0003]人工智能是研究、开发用于模拟、延伸和扩展人的智能的理论、方法、技术及应用系统的一门新的技术科学，被广泛运用到人们的生活中，例如手机上的智能语音，在授权后可以通过人机交互自主打开软件、搜索等功能。
[0004]在计算机的使用中，对恶意代码的防范尤为重要，用户可以通过杀毒软件对计算机进行杀毒处理，但该方法无法深层次的对恶意代码进行清理，对于一些可疑代码无法准确判断，而现有的对可疑代码进行分析的工具操作过于复杂，非专业人员操作不便，故此，本专利技术提出一种对可疑代码进行深层次分析判断其是否为恶意代码，准确度高，通过人工智能的辅助在授权的状态下自主完成检测，操作方便的人工智能同源可疑代码安全性分析系统。

技术实现思路

[0005]本专利技术的目的是提供一种人工智能同源可疑代码安全性分析系统，通过病毒扫描的方式发现可疑代码，并对该代码进行深层次分析判断其是否为恶意代码，准确度高，通过人工智能的辅助在授权的状态下自主完成检测，操作方便，安全性能高，适合推广。
[0006]本专利技术提供了如下的技术方案：一种人工智能同源可疑代码安全性分析系统，包括扫描模块、人工智能模块、代码分析模块、辅助编码模块，所述人工智能模块包括大数据单元、程序授权单元、智能判定单元、智能运行单元；
[0007]所述大数据单元包括代码分析数据库，在代码分析数据库中包括有分析用的代码，所述程序授权单元在授权状态后，对计算机内的文件自动打开，且自动运行分析技术输入分析步骤；
[0008]所述代码分析模块以静态分析的方式对代码分析，包括PE exlporer分析单元、PEiD分析单元、Wireshark分析单元、Dependency Walker分析单元、Process Monito分析单元；
[0009]所述PE exlporer分析单元在运行时，包括以下步骤：
[0010]步骤1、人工智能模块打开PE exlporer资源编辑器，将扫描出的可疑文件导入到PE exlporer资源编辑器中，人工智能模块通过PE exlporer资源编辑器的import功能图标，出现五个动态链接库；
[0011]步骤2、人工智能模块通过msvcrt.dll动态链接库提供的C语言运行库执行文件(Microsoft C Runtime Library)，其中提供printf,malloc,strcpy等C语言库函数的具体运行实现，人工智能模块代替人工步骤使用C/C++(Vc)编绎的程序提供了初始化；
[0012]步骤3、人工智能模块通过kernel32.dll动态链接库控制系统的内存管理、数据的输入输出操作和中断处理，划定内存中特定保护区域，使别的程序无法占用这个内存区域；
[0013]步骤4、人工智能模块查询文件头信息，贴上使用图；
[0014]步骤5、通过返汇编指令去返汇编程序，得到一个大致的程序汇编语言；
[0015]所述PEiD分析单元在运行时，包括以下步骤：
[0016]步骤1、人工智能模块打开PEiD查壳工具，将可疑文件拉动到PEiD查壳工具中；
[0017]步骤2、人工智能模块根据查询结果，若出现如果出现:tElock0.98b1
‑
>tE！证明就是tElock 0.98b1
‑
>tE！的壳，若出现:Microsoft Visual C++7.0[Debug]证明就是无壳vc7.0写的软件，若出现Nothing found*证明就是壳特征码里没有，则需要对比大数据进行判断；
[0018]所述Wireshark分析单元在运行中，包括以下步骤：
[0019]步骤1、人工智能模块打开Wireshark分析界面，通过Wireshark捕获机器上的网络数据包，人工智能模块自动选择网卡，Wireshark进行抓包；
[0020]步骤2、Wireshark进行过滤后，封包列表的面板中显示，编号，时间戳，源地址，目标地址，协议，长度，以及封包信息，人工智能模块通过大数据对比进行查看分析字段；
[0021]步骤3、人工智能模拟进行三次握手，建立连接；
[0022]所述Dependency Walker分析单元在运行中，包括以下步骤：
[0023]步骤1、人工智能模块打开Dependency Walker分析工具，将可疑文件拉动到Dependency Walker分析工具中；
[0024]步骤2、人工智能模块将选定的dll导出信息，从导出结果中得出从哪些其他文件中调用了函数、提供了哪些接口，让其他的程序调用；
[0025]步骤3、人工智能模块将得到的导入结果与大数据进行对比，判定该文件是否为存在恶意代码；
[0026]所述Process Monito分析单元在运行中，包括以下步骤：
[0027]步骤1、人工智能模块打开Process Monito，进行捕获；
[0028]步骤2、回连成功后，停止捕获，人工智能模块根据提前添加的信息，将无用信息过滤；
[0029]步骤3，人工智能模块控制机输入截屏指令，再次暂停捕获，过滤，查看进程，输入提权指令，再次暂停捕获，过滤，查看进程，往复运作；
[0030]步骤4，人工智能模块控制Process Monito界面把左上角的“Architecture”选择改为“Process Name”，“is”不变，输入栏里填“black.exe”“add”，然后“ok”启动监视。
[0031]优选地，人工智能模块的智能判定单元与大数据单元相连，大数据单元连接有代码分析对比的数据库，智能判定单元对分析对比结果进行判定，程序授权单元的授权内容包括对计算机内的文件预览、使用计算机内的应用、对应用界面进行操作的权限，智能运行单元包括对PE exlporer分析单元、PEiD分析单元、Wireshark分析单元、Dependency Walker分析单元、Process Monito分析单元的操作。
[0032]优选地，辅助编码模块具有输入单元，在分析界面打开后，辅助编码模块将人工所需的输出内容复制到分析界面上，并进行确认。
[0033]优选地，扫描模块对计算机中的文件进行扫描，并将可疑文件信息送至人工智能模块中，人工智能模块运作代码分析模块，代码分析模块的各个单元依次连贯运行，辅助编码模块在代码分析模块运转时进行辅助输入相关字符。
本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种人工智能同源可疑代码安全性分析系统，包括扫描模块、人工智能模块、代码分析模块、辅助编码模块，其特征在于，所述人工智能模块包括大数据单元、程序授权单元、智能判定单元、智能运行单元；所述大数据单元包括代码分析数据库，在代码分析数据库中包括有分析用的代码，所述程序授权单元在授权状态后，对计算机内的文件自动打开，且自动运行分析技术输入分析步骤；所述代码分析模块以静态分析的方式对代码分析，包括PE exlporer分析单元、PEiD分析单元、Wireshark分析单元、Dependency Walker分析单元、Process Monito分析单元；所述PE exlporer分析单元在运行时，包括以下步骤：步骤1、人工智能模块打开PE exlporer资源编辑器，将扫描出的可疑文件导入到PE exlporer资源编辑器中，人工智能模块通过PE exlporer资源编辑器的import功能图标，出现五个动态链接库；步骤2、人工智能模块通过msvcrt.dll动态链接库提供的C语言运行库执行文件(Microsoft C Runtime Library)，其中提供printf,malloc,strcpy等C语言库函数的具体运行实现，人工智能模块代替人工步骤使用C/C++(Vc)编绎的程序提供了初始化；步骤3、人工智能模块通过kernel32.dll动态链接库控制系统的内存管理、数据的输入输出操作和中断处理，划定内存中特定保护区域，使别的程序无法占用这个内存区域；步骤4、人工智能模块查询文件头信息，贴上使用图；步骤5、通过返汇编指令去返汇编程序，得到一个大致的程序汇编语言；所述PEiD分析单元在运行时，包括以下步骤：步骤1、人工智能模块打开PEiD查壳工具，将可疑文件拉动到PEiD查壳工具中；步骤2、人工智能模块根据查询结果，若出现如果出现:tElock0.98b1
‑
>tE！证明就是tElock 0.98b1
‑
>tE！的壳，若出现:Microsoft Visual C++7.0[Debug]证明就是无壳vc7.0写的软件，若出现Nothing found*证明就是壳特征码里没有，则需要对比大数据进行判断；所述Wireshark分析单元在运行中，包括以下步骤：步骤1、人工智能模块打开Wireshark分析界面，通过Wireshark捕获机器上的网络数据包，人工智能模块自动选择网卡，Wireshark进行抓包；步骤2、Wireshark进行过滤后，封包列表的面板中显示，编号，时间戳，源地址，目标地址，协议，长度，以及封包信息，人工智能模块通过大数据对比进行查看分析字段；步骤3、人工智能模拟进行三次握手，建立连接；所述Dependency Walker分析单元在运行中，包括以下步骤...

【专利技术属性】
技术研发人员：门嘉平，于春华，
申请(专利权)人：南京天规信息技术有限公司，
类型：发明
国别省市：