• 四川郎酒股份有限公司获第十二届人民企业社会责任奖年度环保奖 2019-05-13
  • 银保监会新规剑指大企业多头融资和过度融资 2019-05-12
  • 韩国再提4国联合申办世界杯 中国网友无视:我们自己来 2019-05-11
  • 中国人为什么一定要买房? 2019-05-11
  • 十九大精神进校园:风正扬帆当有为 勇做时代弄潮儿 2019-05-10
  • 粽叶飘香幸福邻里——廊坊市举办“我们的节日·端午”主题活动 2019-05-09
  • 太原设禁鸣路段 设备在测试中 2019-05-09
  • 拜耳医药保健有限公司获第十二届人民企业社会责任奖年度企业奖 2019-05-08
  • “港独”没出路!“梁天琦们”该醒醒了 2019-05-07
  • 陈卫平:中国文化内涵包含三方面 文化复兴表现在其中 2019-05-06
  • 人民日报客户端辟谣:“合成军装照”产品请放心使用 2019-05-05
  • 【十九大·理论新视野】为什么要“建设现代化经济体系”?   2019-05-04
  • 聚焦2017年乌鲁木齐市老城区改造提升工程 2019-05-04
  • 【专家谈】上合组织——构建区域命运共同体的有力实践者 2019-05-03
  • 【华商侃车NO.192】 亲!楼市火爆,别忘了买车位啊! 2019-05-03
    • / 7
    • 下载费用:30 金币  

    重庆时时彩豆豆软件: 一种基于终端自启动项的静态木马检测方法.pdf

    摘要
    申请专利号:

    重庆时时彩单双窍门 www.4mum.com.cn CN201410171414.0

    申请日:

    2014.04.25

    公开号:

    CN103955644A

    公开日:

    2014.07.30

    当前法律状态:

    授权

    有效性:

    有权

    法律详情: 授权|||著录事项变更IPC(主分类):G06F 21/56变更事项:申请人变更前:国家电网公司变更后:国家电网公司变更事项:地址变更前:100031 北京市西城区西长安街86号变更后:100031 北京市西城区西长安街86号变更事项:申请人变更前:中国电力科学研究院 国网智能电网研究院变更后:中国电力科学研究院 全球能源互联网研究院|||专利申请权的转移IPC(主分类):G06F 21/56登记生效日:20160511变更事项:申请人变更前权利人:国家电网公司变更后权利人:国家电网公司变更事项:地址变更前权利人:100031 北京市西城区西长安街86号变更后权利人:100031 北京市西城区西长安街86号变更事项:申请人变更前权利人:中国电力科学研究院变更后权利人:中国电力科学研究院 国网智能电网研究院|||实质审查的生效IPC(主分类):G06F 21/56申请日:20140425|||公开
    IPC分类号: G06F21/56(2013.01)I 主分类号: G06F21/56
    申请人: 国家电网公司; 中国电力科学研究院
    发明人: 高昆仑; 杨成明; 魏桂臣; 郝增帅; 李凌
    地址: 100031 北京市西城区西长安街86号
    优先权:
    专利代理机构: 北京安博达知识产权代理有限公司 11271 代理人: 徐国文
    PDF完整版下载: PDF下载
    法律状态
    申请(专利)号:

    CN201410171414.0

    授权公告号:

    103955644B||||||||||||

    法律状态公告日:

    2017.06.06|||2016.08.10|||2016.06.01|||2014.08.27|||2014.07.30

    法律状态类型:

    授权|||著录事项变更|||专利申请权、专利权的转移|||实质审查的生效|||公开

    摘要

    本发明一种基于终端自启动项的静态木马检测方法,所述方法包括以下步骤:构建系统启动项的引擎分析模型,并进行全周期启动项变化监测;对经过系统启动项的引擎分析模型过滤后的数据进行灰名单智能分析;记录数据存入各自数据库;数据库静态扫描检测与数据库智能分析对比。本发明提供的基于终端自启动项的静态木马检测方法改变了传统基于启动项木马查杀模式,传统启动项木马检测都是基于已知木马行为进行查杀,对未知木马或基于应用启动的木马没有检测手段,通过对系统启动项引擎分析静态检测和全周期检测,能快速判定未知木马和检测到木马基于哪个启动项或什么动作启动,检测出的木马可以定位木马存储位置及其关联文件,即可直接手动查杀。

    权利要求书

    权利要求书
    1.  一种基于终端自启动项的静态木马检测方法,其特征在于:所述方法包括以下步骤:
    步骤1:构建系统启动项的引擎分析模型,并进行全周期启动项变化监测;
    步骤2:对经过系统启动项的引擎分析模型过滤后的数据进行灰名单智能分析;
    步骤3:记录数据存入各自数据库;
    步骤4:数据库静态扫描检测与数据库智能分析对比。

    2.  根据权利要求1所述的基于终端自启动项的静态木马检测方法,其特征在于:所述步骤1包括以下步骤:
    步骤1-1:构建系统启动项的引擎分析模型;系统启动项的引擎分析模型包括启动菜单、以前系统遗留文件、注册表、计划任务、启动项、组策略和自动启动服务;
    步骤1-2:对与系统相关启动关联项进行分析记录;
    步骤1-3:通过对启动项文件证书签名进行过滤,过滤正常文件的证书签名文件,全周期记录已构建的系统启动项的引擎分析模型中产生变化的检测数据,并对应用软件或后续关于启动项启动程序进行监控记录。

    3.  根据权利要求1所述的基于终端自启动项的静态木马检测方法,其特征在于:所述步骤2包括以下步骤:
    步骤2-1:依据木马关联启动项、启动方式、文件类型特征、文件的证书及签名创建灰名单;所述灰名单主要介于白名单与黑名单之间;
    步骤2-2:对经过系统启动项的引擎分析模型过滤后的数据与全周期记录的变化监测数据进行灰名单过滤分析;
    步骤2-3:采用的灰名单采用黑名单加灰名单检测机制,通过灰名单判定已知木马、过滤正常程序,对于介于之间的启动项数据继进行下一步分析。

    4.  根据权利要求1所述的基于终端自启动项的静态木马检测方法,其特征在于:所述步骤3包括以下步骤:
    步骤3-1:对灰名单过滤后的系统启动项的引擎分析模型数据与全周期记录变化检测数据进行记录;
    步骤3-2:记录的数据采用智能处理依托启动项主文件的所有附属文件处理机制,对于整个记录的启动项文件以及依托文件做去重过滤;
    步骤3-3:将系统启动项的引擎分析模型记录及过滤后的启动项文件以及依托文件记录数据存入B数据库中,全周期记录变化检测数据记录及全周期的启动项文件以及依托文件记录 数据存入A数据库中。

    5.  根据权利要求4所述的基于终端自启动项的静态木马检测方法,其特征在于:所述步骤4包括以下步骤:
    步骤4-1:对B数据库进行静态扫描检测;
    先进行静态的特征扫描,过滤一次签名文件和已知恶意特征文件;之后进行可执行文件pe节区解析,包括敏感字符串解析、敏感函数名解析、壳文件特征判断、oep函数入口异常判断、pe节区是否感染规则分析;
    步骤4-2:对各种手段分别设定权重值,根据权重值判定木马程序,将A数据库与B数据库进行智能分析比对,对于无异常记录进行标记放过,若存在差异记录,对差异记录数据在进行静态扫描检测,由权重值判定木马程序,根据数据库记录信息可以查找木马所在位置及依托的启动项或其他文件,即可直接手动查杀。

    说明书

    说明书一种基于终端自启动项的静态木马检测方法
    技术领域
    本发明属于信息安全技术领域,具体涉及一种基于终端自启动项的静态木马检测方法。
    背景技术
    木马作为黑客常用攻击工具的一种,木马对网络安全造成了严重威胁,也是网络攻击中获取信息系的重要途径,随着互联网飞速发展,不法分子们将木马植入用户计算机,以窃取有价值的信息,如:银行账号、密码和商业信息等,木马技术已深入操作系统的内部,植入操作系统内部很难被发现。
    传统木马检测方法的漏报率较高,对已知的木马有很好的方法去防御,对于特种、未知、变种等木马的检测仍然是网络安全方面面临的主要任务,特种、未知、变种木马通过自身免杀、修改绕过杀毒软件制定的特征码检测、样本检测或修改网络通信规则,很容易达到绕过安全产品的防护。
    发明内容
    为了克服上述现有技术的不足,本发明提供一种基于终端自启动项的静态木马检测方法,可以有效提高检测特种、未知、变种木马的准确率,降低检测误报率和漏报率。
    为了实现上述发明目的,本发明采取如下技术方案:
    本发明提供一种基于终端自启动项的静态木马检测方法,所述方法包括以下步骤:
    步骤1:构建系统启动项的引擎分析模型,并进行全周期启动项变化监测;
    步骤2:对经过系统启动项的引擎分析模型过滤后的数据进行灰名单智能分析;
    步骤3:记录数据存入各自数据库;
    步骤4:数据库静态扫描检测与数据库智能分析对比。
    所述步骤1包括以下步骤:
    步骤1-1:构建系统启动项的引擎分析模型;系统启动项的引擎分析模型包括启动菜单、以前系统遗留文件、注册表、计划任务、启动项、组策略和自动启动服务;
    步骤1-2:对与系统相关启动关联项进行分析记录;
    步骤1-3:通过对启动项文件证书签名进行过滤,过滤正常文件的证书签名文件,全周期 记录已构建的系统启动项的引擎分析模型中产生变化的检测数据,并对应用软件或后续关于启动项启动程序进行监控记录。
    所述步骤2包括以下步骤:
    步骤2-1:依据木马关联启动项、启动方式、文件类型特征、文件的证书及签名创建灰名单;所述灰名单主要介于白名单与黑名单之间;
    步骤2-2:对经过系统启动项的引擎分析模型过滤后的数据与全周期记录的变化监测数据进行灰名单过滤分析;
    步骤2-3:采用的灰名单采用黑名单加灰名单检测机制,通过灰名单判定已知木马、过滤正常程序,对于介于之间的启动项数据继进行下一步分析。
    所述步骤3包括以下步骤:
    步骤3-1:对灰名单过滤后的系统启动项的引擎分析模型数据与全周期记录变化检测数据进行记录;
    步骤3-2:记录的数据采用智能处理依托启动项主文件的所有附属文件处理机制,对于整个记录的启动项文件以及依托文件做去重过滤;
    步骤3-3:将系统启动项的引擎分析模型记录及过滤后的启动项文件以及依托文件记录数据存入B数据库中,全周期记录变化检测数据记录及全周期的启动项文件以及依托文件记录数据存入A数据库中。
    所述步骤4包括以下步骤:
    步骤4-1:对B数据库进行静态扫描检测;
    先进行静态的特征扫描,过滤一次签名文件和已知恶意特征文件;之后进行可执行文件pe节区解析,包括敏感字符串解析、敏感函数名解析、壳文件特征判断、oep函数入口异常判断、pe节区是否感染规则分析;
    步骤4-2:对各种手段分别设定权重值,根据权重值判定木马程序,将A数据库与B数据库进行智能分析比对,对于无异常记录进行标记放过,若存在差异记录,对差异记录数据在进行静态扫描检测,由权重值判定木马程序,根据数据库记录信息可以查找木马所在位置及依托的启动项或其他文件,即可直接手动查杀。
    与现有技术相比,本发明的有益效果在于:
    本发明提供的基于终端自启动项的静态木马检测方法改变了传统基于启动项木马查杀模式,传统启动项木马检测都是基于已知木马行为进行查杀,对未知木马或基于应用启动的木马没有检测手段,通过对系统启动项引擎分析静态检测和全周期检测,能快速判定未知木马 和检测到木马基于哪个启动项或什么动作启动,检测出的木马可以定位木马存储位置及其关联文件,即可直接手动查杀。
    附图说明
    图1是基于终端自启动项的静态木马检测方法流程图。
    具体实施方式
    下面结合附图对本发明作进一步详细说明。
    如图1,本发明提供一种基于终端自启动项的静态木马检测方法,所述方法包括以下步骤:
    步骤1:构建系统启动项的引擎分析模型,并进行全周期启动项变化监测;
    步骤2:对经过系统启动项的引擎分析模型过滤后的数据进行灰名单智能分析;
    步骤3:记录数据存入各自数据库;
    步骤4:数据库静态扫描检测与数据库智能分析对比。
    所述步骤1包括以下步骤:
    步骤1-1:构建系统启动项的引擎分析模型;系统启动项的引擎分析模型包括启动菜单、以前系统遗留文件、注册表、计划任务、启动项、组策略和自动启动服务;
    步骤1-2:对与系统相关启动关联项进行分析记录;
    步骤1-3:通过对启动项文件证书签名进行过滤,过滤正常文件的证书签名文件,全周期记录已构建的系统启动项的引擎分析模型中产生变化的检测数据,并对应用软件或后续关于启动项启动程序进行监控记录。
    所述步骤2包括以下步骤:
    步骤2-1:依据木马关联启动项、启动方式、文件类型特征、文件的证书及签名创建灰名单;所述灰名单主要介于白名单与黑名单之间;
    步骤2-2:对经过系统启动项的引擎分析模型过滤后的数据与全周期记录的变化监测数据进行灰名单过滤分析;
    步骤2-3:采用的灰名单采用黑名单加灰名单检测机制,通过灰名单判定已知木马、过滤正常程序,对于介于之间的启动项数据继进行下一步分析。
    所述步骤3包括以下步骤:
    步骤3-1:对灰名单过滤后的系统启动项的引擎分析模型数据与全周期记录变化检测数据 进行记录;
    步骤3-2:记录的数据采用智能处理依托启动项主文件的所有附属文件处理机制,对于整个记录的启动项文件以及依托文件做去重过滤;
    步骤3-3:将系统启动项的引擎分析模型记录及过滤后的启动项文件以及依托文件记录数据存入B数据库中,全周期记录变化检测数据记录及全周期的启动项文件以及依托文件记录数据存入A数据库中。
    所述步骤4包括以下步骤:
    步骤4-1:对B数据库进行静态扫描检测;
    先进行静态的特征扫描,过滤一次签名文件和已知恶意特征文件;之后进行可执行文件pe节区解析,包括敏感字符串解析、敏感函数名解析、壳文件特征判断、oep函数入口异常判断、pe节区是否感染规则分析;
    步骤4-2:对各种手段分别设定权重值,根据权重值判定木马程序,将A数据库与B数据库进行智能分析比对,对于无异常记录进行标记放过,若存在差异记录,对差异记录数据在进行静态扫描检测,由权重值判定木马程序,根据数据库记录信息可以查找木马所在位置及依托的启动项或其他文件,即可直接手动查杀。
    最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求范围当中。

    关 键 词:
    一种 基于 终端 启动 静态 木马 检测 方法
      专利查询网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    关于本文
    本文标题:一种基于终端自启动项的静态木马检测方法.pdf
    链接地址://www.4mum.com.cn/p-6143092.html
    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服客服 - 联系我们

    [email protected] 2017-2018 www.4mum.com.cn网站版权所有
    经营许可证编号:粤ICP备17046363号-1 
     


    收起
    展开
  • 四川郎酒股份有限公司获第十二届人民企业社会责任奖年度环保奖 2019-05-13
  • 银保监会新规剑指大企业多头融资和过度融资 2019-05-12
  • 韩国再提4国联合申办世界杯 中国网友无视:我们自己来 2019-05-11
  • 中国人为什么一定要买房? 2019-05-11
  • 十九大精神进校园:风正扬帆当有为 勇做时代弄潮儿 2019-05-10
  • 粽叶飘香幸福邻里——廊坊市举办“我们的节日·端午”主题活动 2019-05-09
  • 太原设禁鸣路段 设备在测试中 2019-05-09
  • 拜耳医药保健有限公司获第十二届人民企业社会责任奖年度企业奖 2019-05-08
  • “港独”没出路!“梁天琦们”该醒醒了 2019-05-07
  • 陈卫平:中国文化内涵包含三方面 文化复兴表现在其中 2019-05-06
  • 人民日报客户端辟谣:“合成军装照”产品请放心使用 2019-05-05
  • 【十九大·理论新视野】为什么要“建设现代化经济体系”?   2019-05-04
  • 聚焦2017年乌鲁木齐市老城区改造提升工程 2019-05-04
  • 【专家谈】上合组织——构建区域命运共同体的有力实践者 2019-05-03
  • 【华商侃车NO.192】 亲!楼市火爆,别忘了买车位啊! 2019-05-03