計算機病毒的判別方法及系統的製作方法
2023-05-03 23:33:41
計算機病毒的判別方法及系統的製作方法
【專利摘要】本發明實施例公開了一種計算機病毒的判別方法及系統,涉及計算機【技術領域】,解決了現有技術中的判別未知的樣本是否為病毒樣本的方式效率較低,處理未知樣本的響應速度較慢的問題。所述方法包括:調度伺服器將未知樣本發送給宿主機,所述未知樣本為與病毒庫已有樣本不匹配的樣本。所述宿主機執行所述未知樣本,將所述未知樣本的動態執行過程記錄生成為動態行為日誌,並將所述動態行為日誌發送給所述調度伺服器。所述調度伺服器根據惡意規則庫確定所述動態行為日誌是否為惡意行為記錄。若所述動態行為日誌是惡意行為記錄,則所述調度伺服器標記所述未知樣本為病毒樣本。本發明適用於計算機安全技術中。
【專利說明】計算機病毒的判別方法及系統【技術領域】
[0001]本發明涉及計算機【技術領域】,尤其涉及一種計算機病毒的判別方法及系統。【背景技術】
[0002]目前,隨著計算機技術與信息安全技術的發展,殺毒軟體的應用已經十分普遍。殺毒軟體是用於消除計算機病毒、惡意程序等的一類軟體,在當前計算機病毒泛濫的情況下,很大程度上保護了計算機的安全。隨著各種殺毒軟體紛紛引入雲查殺技術,殺毒軟體對抗計算機病毒的速度越來越快,導致了計算機病毒的生存期縮短。但是,當前的計算機病毒樣本數量越來越大,新變種層出不窮,計算機病毒對計算機領域的危害依然很大,因此如何快速從大量未知的新樣本中識別出病毒十分重要。
[0003]當前判別未知的樣本是否為病毒樣本的方式為:在一存儲有計算機病毒信息的特徵庫中進行掃描,以確認所述特徵庫中是否有待檢測的樣本;若掃描不到所述待檢測的樣本,一般情況下需要在調試工具中運行待檢測的樣本,通過人為分析判斷所述待檢測的樣本的運行情況,確定所述待檢測的樣本是否為病毒樣本。而上述判別未知的樣本是否為病毒樣本的方式主要是病毒分析人員人為分析判斷的,判別的效率較低,處理未知樣本的響應速度較慢。
【發明內容】
[0004]本發明提供一種計算機病毒的判別方法,能夠解決現有技術中的判別未知的樣本是否為病毒樣本的方式效率較低,處理未知樣本的響應速度較慢的問題。
[0005]為達到上述目的,本發明採用如下技術方案:
[0006]一種計算機病毒的判別方法,包括:
[0007]調度伺服器將未知樣本發送給宿主機,所述未知樣本為與病毒庫已有樣本不匹配的樣本。
[0008]所述宿主機執行所述未知樣本,將所述未知樣本的動態執行過程記錄生成為動態行為日誌,並將所述動態行為日誌發送給所述調度伺服器。
[0009]所述調度伺服器根據惡意規則庫確定所述動態行為日誌是否為惡意行為記錄。
[0010]若所述動態行為日誌是惡意行為記錄,則所述調度伺服器標記所述未知樣本為病毒樣本。
[0011]一種計算機病毒的判別系統,包括調度伺服器及一個或多個宿主機;
[0012]所述調度伺服器,用於將未知樣本發送給宿主機,所述未知樣本為與病毒庫已有樣本不匹配的樣本。
[0013]所述宿主機,用於執行所述未知樣本,將所述未知樣本的動態執行過程記錄生成為動態行為日誌,並將所述動態行為日誌發送給所述調度伺服器。
[0014]所述調度伺服器,還用於根據惡意規則庫確定所述動態行為日誌是否為惡意行為記錄;若所述動態行為日誌是惡意行為記錄,則標記所述未知樣本為病毒樣本。
[0015]本發明提供的計算機病毒的判別方法及系統,由於調度伺服器將未知樣本發送給宿主機,所述未知樣本為與病毒庫已有樣本不匹配的樣本;由所述宿主機執行所述未知樣本,並將所述未知樣本的動態執行過程記錄生成為動態行為日誌,並將所述動態行為日誌發送給所述調度伺服器;所述調度伺服器根據惡意規則庫確定所述動態行為日誌是否為惡意行為記錄;若所述動態行為日誌是惡意行為記錄,則所述調度伺服器標記所述未知樣本為病毒樣本。具體的判定未知樣本是否為病毒樣本的過程由調度伺服器完成,而現有技術需要人為分析判斷,判別的效率較低,處理未知樣本的響應速度較慢。因此,本發明判別未知樣本是否為病毒樣本的過程效率較高,處理未知樣本的響應速度較快。
【專利附圖】
【附圖說明】
[0016]為了更清楚地說明本發明實施例或現有技術中的技術方案,下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發明的一些實施例,對於本領域普通技術人員來講,在不付出創造性勞動的前提下,還可以根據這些附圖獲得其他的附圖。
[0017]圖1為本發明實施例提供的計算機病毒的判別方法的流程圖;
[0018]圖2為本發明又一實施例提供的計算機病毒的判別方法的流程圖;
[0019]圖3為本發明實施例提供的計算機病毒的判別系統的結構示意圖一;
[0020]圖4為本發明實施例提供的計算機病毒的判別系統的結構示意圖二。
【具體實施方式】 [0021]下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發明一部分實施例,而不是全部的實施例。基於本發明中的實施例,本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例,都屬於本發明保護的範圍。
[0022]為使本發明技術方案的優點更加清楚,下面結合附圖和實施例對本發明作詳細說明。
[0023]如圖1所示,本發明實施例提供的計算機病毒的判別方法,包括:
[0024]101、調度伺服器將未知樣本發送給宿主機。
[0025]其中,所述未知樣本為與病毒庫已有樣本不匹配的樣本。
[0026]具體的,所述未知樣本是所述調度伺服器從未知樣本庫中獲取得到的。
[0027]102、所述宿主機執行所述未知樣本,將所述未知樣本的動態執行過程記錄生成為動態行為日誌,並將所述動態行為日誌發送給所述調度伺服器。
[0028]具體的,所述動態行為日誌可以包括行為描述,例如修改註冊表;行為的觸發者,例如進程的名稱;行為實施的對象,例如修改的註冊表的路徑;行為實施的結果,例如修改的註冊表的內容;但不僅局限於此。
[0029]103、所述調度伺服器根據惡意規則庫確定所述動態行為日誌是否為惡意行為記錄。
[0030]具體的,所述惡意規則庫記錄有大量惡意彳丁為記錄,所述惡意彳丁為記錄中的惡意行為是強行修改用戶軟體設置、幹擾用戶、佔用系統資源,或具有侵害用戶信息和財產安全的行為。例如:未經允許修改用戶的瀏覽器主頁;修改系統的關鍵註冊表設置,如自啟動、防火牆設置等;修改關鍵系統文件;修改安全軟體設置,導致安全軟體異常等,但不僅局限於此。此外,惡意行為還有很多,在此不再贅述。
[0031]104、若所述動態行為日誌是惡意行為記錄,則所述調度伺服器標記所述未知樣本為病毒樣本。
[0032]具體的,可以將所述動態行為日誌與所述惡意規則庫中的惡意行為記錄進行匹配,在匹配成功後,確定所述動態行為日誌為惡意行為記錄。
[0033]本發明實施例提供的計算機病毒的判別方法,由於調度伺服器將未知樣本發送給宿主機,所述未知樣本為與病毒庫已有樣本不匹配的樣本;由所述宿主機執行所述未知樣本,並將所述未知樣本的動態執行過程記錄生成為動態行為日誌,並將所述動態行為日誌發送給所述調度伺服器;所述調度伺服器根據惡意規則庫確定所述動態行為日誌是否為惡意行為記錄;若所述動態行為日誌是惡意行為記錄,則所述調度伺服器標記所述未知樣本為病毒樣本。具體的判定未知樣本是否為病毒樣本的過程由調度伺服器完成,而現有技術需要人為分析判斷,判別的效率較低,處理未知樣本的響應速度較慢。因此,本發明判別未知樣本是否為病毒樣本的過程效率較高,處理未知樣本的響應速度較快。
[0034]下面提供本發明的一種優選的實施例,如圖2所示,本發明又一實施例提供的計算機病毒的判別方法,包括:
[0035]201、調度伺服器從未知樣本庫中獲取多個未知樣本。
[0036]其中,所述未知樣本為與病毒庫已有樣本不匹配的樣本。
[0037]202、所述調度伺服器根據宿主機運行虛擬機的數量,向所述宿主機發送未知樣本。
[0038]具體的,所述調度伺服器向所述宿主機發送的未知樣本的數量可以與該宿主機中的虛擬機的數量相同,但不僅局限於此。
[0039]203、所述宿主機將接收到的所述未知樣本分配給各虛擬機,使得在每個虛擬機上運行不同的未知樣本。
[0040]具體的,通過在宿主機中運行多個虛擬機來運行不同的未知樣本,能夠提高未知樣本的處理效率。
[0041]204、所述宿主機對所述各虛擬機進行監控,將所述各虛擬機執行的未知樣本的動態執行過程分別記錄生成為不同的動態行為日誌。
[0042]具體的,所述動態行為日誌可以包括行為描述,例如修改註冊表;行為的觸發者,例如進程的名稱;行為實施的對象,例如修改的註冊表的路徑;行為實施的結果,例如修改的註冊表的內容;但不僅局限於此。
[0043]205、所述宿主機將所述動態行為日誌發送給所述調度伺服器。
[0044]206、所述調度伺服器將所述動態行為日誌與惡意規則庫中的惡意行為記錄進行匹配,並確定匹配是否成功。若匹配成功,執行步驟207,若匹配失敗,執行步驟210。
[0045] 具體的,所述惡意規則庫記錄有大量惡意彳丁為記錄,所述惡意彳丁為記錄中的惡意行為是強行修改用戶軟體設置、幹擾用戶、佔用系統資源,或具有侵害用戶信息和財產安全的行為。例如:未經允許修改用戶的瀏覽器主頁;修改系統的關鍵註冊表設置,如自啟動、防火牆設置等;修改關鍵系統文件;修改安全軟體設置,導致安全軟體異常等,但不僅局限於此。此外,惡意行為還有很多,在此不再贅述。[0046]207、所述調度伺服器確定所述動態行為日誌為惡意行為記錄,並標記所述未知樣本為病毒樣本。執行步驟208或者步驟209。
[0047]208、所述調度伺服器將所述病毒樣本存儲於所述調度伺服器的病毒庫中。
[0048]209、所述調度伺服器將所述病毒樣本升級到客戶端的病毒庫中。
[0049]210、所述調度伺服器標記所述未知樣本為正常樣本。
[0050]其中,所述正常樣本是由於所述惡意規則庫中查找不到與所述正常樣本匹配的惡意行為記錄,但並不是表示所述正常樣本不會對計算機安全造成危害,因此所述惡意規則庫中的惡意行為記錄還可以根據需求進行增減。
[0051]本發明又一實施例提供的計算機病毒的判別方法,由於調度伺服器將未知樣本發送給宿主機,所述未知樣本為與病毒庫已有樣本不匹配的樣本;由所述宿主機執行所述未知樣本,並將所述未知樣本的動態執行過程記錄生成為動態行為日誌,並將所述動態行為日誌發送給所述調度伺服器;所述調度伺服器根據惡意規則庫確定所述動態行為日誌是否為惡意行為記錄;若所述動態行為日誌是惡意行為記錄,則所述調度伺服器標記所述未知樣本為病毒樣本。具體的判定未知樣本是否為病毒樣本的過程由調度伺服器完成,而現有技術需要人為分析判斷,判別的效率較低,處理未知樣本的響應速度較慢。因此,本發明判別未知樣本是否為病毒樣本的過程效率較高,處理未知樣本的響應速度較快。
[0052]並且,本發明實施例中,由於宿主機中可以包含多個虛擬機,在宿主機上執行未知樣本時,可以由宿主機中的多個虛擬機一次執行多個未知樣本,從而進一步的提高了未知樣本的處理效率。
[0053]如圖3所示,本發明實施例提供的計算機病毒的判別系統,包括調度伺服器31及一個或多個宿主機32。
[0054]所述調度伺服器31,用於將未知樣本發送給宿主機32,所述未知樣本為與病毒庫已有樣本不匹配的樣本。其具體實現方式參見圖1中步驟101所示,此處不再贅述。
[0055]所述宿主機32,用於執行所述未知樣本,將所述未知樣本的動態執行過程記錄生成為動態行為日誌,並將所述動態行為日誌發送給所述調度伺服器31。其具體實現方式參見圖1中步驟102所示,此處不再贅述。
[0056]所述調度伺服器31,還用於根據惡意規則庫33確定所述動態行為日誌是否為惡意行為記錄;若所述動態行為日誌是惡意行為記錄,則標記所述未知樣本為病毒樣本。其具體實現方式參見圖1中步驟103和步驟104所示,此處不再贅述。
[0057]進一步的,如圖4所不,所述惡意規則庫33用於存儲惡意彳了為記錄。
[0058]所述調度伺服器31,還用於將所述動態行為日誌與所述惡意規則庫33中的惡意行為記錄進行匹配。其具體實現方式參見圖2中步驟206所示,此處不再贅述。
[0059]若匹配成功,則所述調度伺服器31確定所述動態行為日誌為惡意行為記錄。其具體實現方式參見圖2中步驟207所示,此處不再贅述。
[0060]優選的,如圖4所示,所述宿主機32運行有多個虛擬機321,調度伺服器31接收到多個未知樣本。
[0061]所述調度伺服器31,具體用於根據所述宿主機32運行虛擬機321的數量,向所述宿主機32發送未知樣本。其具體實現方式參見圖2中步驟202所示,此處不再贅述。
[0062]所述宿主機32,具 體用於將接收到的所述未知樣本分配給各虛擬機321。其具體實現方式參見圖2中步驟203所示,此處不再贅述。
[0063]所述虛擬機321,具體用於運行所述未知樣本,其中每個虛擬機上運行不同的未知樣本。其具體實現方式參見圖2中步驟203所示,此處不再贅述。
[0064]所述宿主機32,還用於對所述各虛擬機321進行監控,將所述各虛擬機321執行的未知樣本的動態執行過程分別記錄生成為不同的動態行為日誌。其具體實現方式參見圖2中步驟204所示,此處不再贅述。
[0065]進一步的,如圖4所示,所述系統還包括客戶端的病毒庫34以及所述調度伺服器的病毒庫35:
[0066]所述調度伺服器31,還用於將所述病毒樣本存儲於所述調度伺服器的病毒庫35中。其具體實現方式參見圖2中步驟208所示,此處不再贅述。
[0067]或者用於將所述病毒樣本升級到客戶端的病毒庫34中。其具體實現方式參見圖2中步驟209所示,此處不再贅述。
[0068]具體的,如圖4所示,所述系統還包括未知樣本庫36,用於向所述調度伺服器31提供所述未知樣本。其具體實現方式參見圖2中步驟201所示,此處不再贅述。
[0069]本發明實施例提供的計算機病毒的判別系統,由於調度伺服器將未知樣本發送給宿主機,所述未知樣本為與病毒庫已有樣本不匹配的樣本;由所述宿主機執行所述未知樣本,並將所述未知樣本的動態執行過程記錄生成為動態行為日誌,並將所述動態行為日誌發送給所述調度伺服器;所述調度伺服器根據惡意規則庫確定所述動態行為日誌是否為惡意行為記錄;若所述動態行為日誌是惡意行為記錄,則所述調度伺服器標記所述未知樣本為病毒樣本。具體的判定未知樣本是否為病毒樣本的過程由調度伺服器完成,而現有技術需要人為分析判斷,判別的效率較低,處理未知樣本的響應速度較慢。因此,本發明判別未知樣本是否為病毒樣本的過程效率較高,處理未知樣本的響應速度較快。
[0070]並且,本發明實施例中,由於宿主機中可以包括多個虛擬機,在宿主機上執行未知樣本時,可以由宿主機中的多個虛擬機一次執行多個未知樣本,從而進一步的提高了未知樣本的處理效率。
[0071]通過以上的實施方式的描述,所屬領域的技術人員可以清楚地了解到本發明可藉助軟體加必需的通用硬體的方式來實現,當然也可以通過硬體,但很多情況下前者是更佳的實施方式。基於這樣的理解,本發明的技術方案本質上或者說對現有技術做出貢獻的部分可以以軟體產品的形式體現出來,該計算機軟體產品存儲在可讀取的存儲介質中,如計算機的軟盤,硬碟或光碟等,包括若干指令用以使得一臺計算機設備(可以是個人計算機,伺服器,或者網絡設備等)執行本發明各個實施例所述的方法。
[0072]以上所述,僅為本發明的【具體實施方式】,但本發明的保護範圍並不局限於此,任何熟悉本【技術領域】的技術人員在本發明揭露的技術範圍內,可輕易想到變化或替換,都應涵蓋在本發明的保護範圍之內。因此,本發明的保護範圍應所述以權利要求的保護範圍為準。
【權利要求】
1.一種計算機病毒的判別方法,其特徵在於,包括: 調度伺服器將未知樣本發送給宿主機,所述未知樣本為與病毒庫已有樣本不匹配的樣本; 所述宿主機執行所述未知樣本,將所述未知樣本的動態執行過程記錄生成為動態行為日誌,並將所述動態行為日誌發送給所述調度伺服器; 所述調度伺服器根據惡意規則庫確定所述動態行為日誌是否為惡意行為記錄; 若所述動態行為日誌是惡意行為記錄,則所述調度伺服器標記所述未知樣本為病毒樣本。
2.根據權利要求1所述的方法,其特徵在於,所述調度伺服器根據惡意規則庫確定所述動態行為日誌是否為惡意行為日誌,包括: 所述調度伺服器將所述動態行為日誌與惡意規則庫中的惡意行為記錄進行匹配; 若匹配成功,則所述調度伺服器確定所述動態行為日誌為惡意行為記錄。
3.根據權利要求2所述的方法,其特徵在於,當所述調度伺服器接收到多個未知樣本,並且所述宿主機中運行有多個虛擬機時; 所述調度伺服器將未知樣本發送給宿主機,包括: 所述調度伺服器根據所述宿主機運行虛擬機的數量,向所述宿主機發送未知樣本; 所述宿主機執行所述未知樣本,包括: 所述宿主機將接收到的所述未知樣本分配給各虛擬機,使得在每個虛擬機上運行不同的未知樣本; 所述宿主機將所述未知樣本的動態執行過程記錄生成為動態行為日誌,包括: 所述宿主機對所述各虛擬機進行監控,將所述各虛擬機執行的未知樣本的動態執行過程分別記錄生成為不同的動態行為日誌。
4.根據權利要求3所述的方法,其特徵在於,在所述調度伺服器標記所述未知樣本為病毒樣本之後,還包括: 所述調度伺服器將所述病毒樣本存儲於所述調度伺服器的病毒庫中; 或者所述調度伺服器將所述病毒樣本升級到客戶端的病毒庫中。
5.根據權利要求1-4任一項所述的方法,其特徵在於,在調度伺服器將未知樣本發送給宿主機之前,還包括: 所述調度伺服器從未知樣本庫中獲取所述未知樣本。
6.一種計算機病毒的判別系統,其特徵在於,包括調度伺服器及一個或多個宿主機; 所述調度伺服器,用於將未知樣本發送給宿主機,所述未知樣本為與病毒庫已有樣本不匹配的樣本; 所述宿主機,用於執行所述未知樣本,將所述未知樣本的動態執行過程記錄生成為動態行為日誌,並將所述動態行為日誌發送給所述調度伺服器; 所述調度伺服器,還用於根據惡意規則庫確定所述動態行為日誌是否為惡意行為記錄;若所述動態行為日誌是惡意行為記錄,則標記所述未知樣本為病毒樣本。
7.根據權利要求6所述的系統,其特徵在於,所述調度伺服器,還用於: 將所述動態行為日誌與所述惡意規則庫中的惡意行為記錄進行匹配; 若匹配成功,則所述調度伺服器確定所述動態行為日誌為惡意行為記錄。
8.根據權利要求7所述的系統,其特徵在於,所述宿主機運行有多個虛擬機,當調度伺服器接收到多個未知樣本時; 所述調度伺服器,具體用於根據所述宿主機運行虛擬機的數量,向所述宿主機發送未知樣本; 所述宿主機,具體用於將接收到的所述未知樣本分配給各虛擬機; 所述虛擬機,具體用於運行所述未知樣本,其中每個虛擬機上運行不同的未知樣本;所述宿主機,還用於對所述各虛擬機進行監控,將所述各虛擬機執行的未知樣本的動態執行過程分別記錄生成為不同的動態行為日誌。
9.根據權利要求8所述的系統,其特徵在於,所述系統還包括客戶端的病毒庫以及所述調度伺服器的病毒庫: 所述調度伺服器,還 用於將所述病毒樣本存儲於所述調度伺服器的病毒庫中; 或者用於將所述病毒樣本升級到客戶端的病毒庫中。
10.根據權利要求6-9任一項所述的系統,其特徵在於,所述系統還包括未知樣本庫,用於向所述調度伺服器提供所述未知樣本。
【文檔編號】G06F17/30GK103902897SQ201210576294
【公開日】2014年7月2日 申請日期:2012年12月26日 優先權日:2012年12月26日
【發明者】劉桂澤 申請人:騰訊科技(深圳)有限公司