一种未知病毒检索方法,包括;配置对比库、行为提取、行为分析;所述行为分析包括木马识别、可疑行为识别,所述预先设置对比库将基本行为按照危险等级分为至少木马行为、可疑行为、可校正行为三级,所述行为分析包括木马识别和可疑行为识别,所述行为分析还包括:可疑行为校正步骤和过滤步骤;所述可疑行为校正为:从识别的可疑行为中根据预先设置的对比库中的可校正对比文件,将可疑行为识别出并归类为可校正行为。采用本发明专利技术所述的未知病毒检索方法及装置,用户可以自行配置各个危险等级对应的行为,满足不同用户的不同需求,通过减少可疑行为或木马行为配置,减少无谓分析过程,提高了查毒效率。
【技术实现步骤摘要】
一种未知病毒检索方法
本专利技术属于计算机应用领域,涉及计算机病毒的识别和预防,特别是涉及一种未知病毒检索方法及装置。
技术介绍
计算机病毒指编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。计算机病毒通过某种途径潜伏在计算机的存储介质(或程序)里,当达到某种条件时即被激活,通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中。从而感染其他程序。计算机病毒是计算机安全的主要威胁,计算机病毒变种能力日益增强,新病毒产生的速度加快。而目前大多数反病毒软件仍然使用病毒特征值检测方法,这种方法对已知病毒的检测效率较高,但是对于未知的新病毒却无能为力。随着安全领域的发展,又提出了基于程序文件的执行操作行为的检测来发现未知病毒,计算机病毒的操作行为通常包括修改注册表、调用内存、自行改变操作层级、堆栈溢出等,通过提取计算机病毒通常表现出的操作行为,与监控文件的行为进行对比来找到可疑的未知病毒。目前虽然有不少基于行为的未知病毒的检测手段,但是由于病毒表现行为方式的多样性,容易误报,特别是对所有操作行为的逐一对比分析,占用计算机操作资源,查毒和杀毒时间增加,同时用户依赖于杀毒软件开发商提供的在线升级包对病毒库进行被动更新,用户不能根据自身需求对病毒库进行调整,造成对一些包含类似病毒操作行为的用户自己的非恶意操作也当成病毒误报误杀。
技术实现思路
为克服现有技术的查毒杀毒方法行为分析过程冗长,增加查毒杀毒时间,同时容易对非恶意操作行为误查误杀的技术缺陷,本专利技术公开了一种未知病毒检索方法及装置。本专利技术所述的一种未知病毒检索方法,包括配置对比库、行为提取、行为分析;所述行为分析包括木马识别、可疑行为识别,所述配置对比库将基本行为按照危险等级分为至少木马行为、可疑行为、可校正行为三级,所述行为分析包括木马识别和可疑行为识别,所述行为分析还包括:可疑行为校正步骤;所述可疑行为校正为:从识别的可疑行为中根据预先设置的对比库中的可校正对比文件,将可疑行为识别出并归类为可校正行为。采用本专利技术所述的未知病毒检索方法,将操作行为分为木马行为、可疑行为和可校正行为,用户可以自行配置各个危险等级对应的行为,满足不同用户的不同需求,通过减少可疑行为或木马行为配置,减少无谓分析过程,提高了查毒效率。优选的,所述配置对比库将基本行为按照危险等级分为木马行为、可疑行为、可校正行为、过滤行为四级,所述过滤行为包括本专利技术所述行为提取和/或行为分析步骤中产生的行为操作;所述行为分析还包括位于木马识别、可疑行为识别之前的过滤步骤。过滤行为和过滤步骤的设定进一步缩短了文件分析的时间。优选的,所述行为分析中的行为识别步骤为:将待识别行为的全部操作与对比库中对应危险等级的所有行为的全部操作进行对比,若与某一行为的全部操作吻合,则识别成功,否则失败。优选的,所述行为分析还包括特征码对比步骤和特征码提取步骤,所述特征码提取步骤为:对已完成识别的行为提取特征码,并存储到对比库的历史文件子库中;所述特征码对比步骤为:识别之前,将待识别行为的特征码与历史文件子库中已存储的特征码对比,若对比成功则根据对比结果作出识别,否则继续后续识别。通过文件特征码对比快速判断出该文件是否是已知的木马文件或安全文件,有效提高文件分析效率。进一步的,所述特征码由md5值和文件后缀名组成。本专利技术还公开了一种未知病毒检索装置,包括对比库、行为提取模块、行为分析模块,所述对比库与行为提取模块、行为分析模块连接,所述行为提取模块和行为分析模块连接,其特征在于,所述对比库包括至少如下子库:木马行为库、可疑行为库和可校正行为库,还包括与对比库连接的用户配置模块。优选的,所述行为分析模块还包括特征码对比模块和特征码提取模块,所述对比库还包括与所述特征码对比模块和特征码提取模块连接的历史文件子库。采用本专利技术所述的未知病毒检索装置,可以实现本专利技术所述未知病毒检索方法。附图说明图1为本专利技术所述木马行为识别过程的一种具体实施方式结构示意图;图2为本专利技术所述可疑行为识别过程的一种具体实施方式结构示意图;图3为本专利技术所述未知病毒检索装置的一种具体实施方式结构示意图。具体实施方式下面结合附图,对本专利技术的具体实施方式作进一步的详细说明。本专利技术所述的一种未知病毒检索方法,包括配置对比库、行为提取、行为分析,所述行为分析包括木马识别、可疑行为识别,其特征在于,所述配置对比库将基本行为按照危险等级分为至少木马行为、可疑行为、可校正行为三级,所述行为分析包括木马识别和可疑行为识别,所述行为分析还包括:可疑行为校正步骤;所述可疑行为校正为:从识别的可疑行为中根据预先设置的对比库中的可校正对比文件,将可疑行为识别出并归类为可校正行为。用户根据历史查杀记录对对比库进行配置,按照危险等级将各种操作行为分为木马行为,可疑行为和可校正行为,用户配置模块可以对对比库中的各个不同等级的行为进行选择,不同的文件操作在不同的用户中可能配置在不同的危险等级。其中木马行为和可疑行为通常根据历史杀毒记录选择定义,木马行为是根据历史记录得到的各种木马病毒表现的典型行为,可疑行为是根据历史记录总结出的一般木马程序通常会产生的行为,可校正行为是用户根据自身需求配置的子行为库,可校正行为是用户根据自身应用需求设定,将用户自身使用的各种正常操作行为归于可校正行为,在进行行为分析时,待识别的可疑行为如果与可校正行为符合,则将可疑行为归类为可校正行为,而不再将其识别为可疑行为或进一步判断为木马行为,避免误杀。本专利技术的上述方法对应采用的未知病毒检索装置,包括对比库、行为提取模块、行为分析模块,所述对比库与行为提取模块、行为分析模块连接,所述行为提取模块和行为分析模块连接,其特征在于,所述对比库包括至少如下子库:木马行为库、可疑行为库和可校正行为库,还包括与对比库连接的用户配置模块。采用上述的未知病毒检索方法及装置,将操作行为分为木马行为、可疑行为和可校正行为,用户可以自行配置各个危险等级对应的行为,满足不同用户的不同需求,通过减少可疑行为或木马行为配置,减少无谓分析过程,提高了查毒效率。一种优选的实施方式为对不需要识别分析的行为进行过滤以提高效率,在配置对比库时将基本行为按照危险等级分为木马行为、可疑行为、可校正行为、过滤行为四级,所述行为分析还包括位于木马识别、可疑行为识别之前的过滤步骤,过滤行为通常包括计算机开机运行时的各种正常操作行为,在本专利技术中,过滤行为还包括在行为提取、行为分析过程中,所产生的系统自身的行为操作,这些行为操作不需要关心,在行为分析过程中可以不做分析。对木马行为识别的一种具体实施方式如图1所示,(1)文件行为提取后,根据行为提取模块根据提取结果得到的文件基本行为报告,与对比库对比,根据对比库中过滤文件列表过滤掉不需要后续分析的行为操作;(2)将行为与对比库中的全部木马行为文件进行对比,具体为:对每个木马的所有操作行为一一对比,如果该木马行为的所有操作行为均能够在文件的基本行为报告中找到,则表示该木马行为匹配成功,则可以说明该文件是一个已知的木马病毒文件,否则匹配不成功,继续进行下一木马行为文件的对比,若遍历全部木马行为文件均匹配不成功,则认为该文件不是对比库中已本文档来自技高网...
【技术保护点】
一种未知病毒检索方法,其特征在于,包括配置对比库、行为提取、行为分析;所述行为分析包括木马识别、可疑行为识别,所述配置对比库将基本行为按照危险等级分为至少木马行为、可疑行为、可校正行为三级,所述行为分析包括木马识别和可疑行为识别,所述行为分析还包括:可疑行为校正步骤;所述可疑行为校正为:从识别的可疑行为中根据预先设置的对比库中的可校正对比文件,将可疑行为识别出并归类为可校正行为。
【技术特征摘要】
1.一种未知病毒检索方法,其特征在于,包括配置对比库、行为提取、行为分析;所述行为分析包括木马识别、可疑行为识别,所述配置对比库将基本行为按照危险等级分为木马行为、可疑行为、可校正行为、过滤行为四级,所述行为分析包括木马识别和可疑行为识别,所述行为分析还包括:可疑行为校正步骤;所述可疑行为校正为:从识别的可疑行为中根据预先设置的对比库中的可校正对比文件,将可疑行为识别出并归类为可校正行为;所述过滤行为包括行为提取和/或行为分析步骤中产生的行为操作;所述行为分析还包括位于木马识别、可疑行为识别之前的过滤步骤。2.如权利要求1所述的一种未知病毒检索方法,其特征在于,所述行...
【专利技术属性】
技术研发人员:罗鹰,赵劲松,林康,侯勇军,伍宏宁,
申请(专利权)人:成都科来软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。