[发明专利]一种基于反向追踪的高威窃密恶意代码检测方法及系统

权利要求书

1.一种基于反向追踪的高威窃密恶意代码检测方法，其特征在于，包括：

步骤1、在系统中预置文件名或者文件内容中包含敏感词汇的诱饵文件，并创建由敏感词汇构成的关键词库；

步骤2、监控诱饵文件，若存在进程和/或线程对所述诱饵文件进行非法操作，则执行步骤3；

监控系统文件，若存在进程和/或线程对系统文件进行非法操作，则对所述系统文件进行关键词库匹配，若发现所述系统文件的文件名或者文件内容中存在关键词库中的敏感词汇，则执行步骤3；

步骤3、定位所述进程和/或线程，并反向定位与所述进程和/或线程相关的可执行文件；

步骤4、针对所述可执行文件进行白名单匹配，如果匹配成功则所述可执行文件不是高威窃密恶意代码文件，否则所述可执行文件为高威窃密恶意代码文件，并执行步骤5；

步骤5、提取系统中所述进程和/或线程以外的其他进程和/或线程相关的文件，并提取敏感目录文件；所述敏感目录包括：所述可执行文件所在目录、系统用户目录或者system32目录；

步骤6、针对步骤5提取的文件进行白名单匹配，如果全部匹配成功则不存在相关联的高威窃密恶意代码文件，否则，执行步骤7；

步骤7、将没有匹配成功的文件与步骤4所述的高威窃密恶意代码文件进行关联对比，对比成功的文件为相关联的高威窃密恶意代码文件。

2.如权利要求1所述的方法，其特征在于，步骤1所述的敏感词汇包括：国家政治机密、国家军事机密、国家经济机密或者企业技术机密中经常用到的关键词。

3.如权利要求1所述的方法，其特征在于，在执行步骤2时，同时监控系统的网络行为，如果存在异常网络行为则记录，当存在两次相同形式的异常网络行为时，则执行步骤3定位与所述异常网络行为相关的进程和/或线程。

4.如权利要求3所述的方法，其特征在于，所述的异常网络行为包括以下形式：

敏感IP行为，建立敏感IP库，记录各个敏感IP段，当出现敏感IP库中的IP行为时，则认为是异常网络行为；

异常传输行为，当监控中发现存在突然的大量网络占用或者间断性的流量升高情况，则认为是异常网络行为；

异常协议行为，解析网络协议，当存在不是常用的网络协议进行数据传输时，则认为是异常网络行为；

异常加密行为，当检测到不可识别的加密方法时，则认为是异常网络行为。

5.如权利要求1所述的方法，其特征在于，步骤7中所述的关联对比包括：静态对比或者动态对比，当存在对比成功的文件，则记录所述文件，并将所述文件与剩余的没有匹配成功的文件进行关联对比。

6.如权利要求5所述的方法，其特征在于，所述静态对比包括：文件格式对比、文件位置对比、文件大小对比、版本信息对比、有无加壳对比或者资源大小对比。

7.如权利要求5所述的方法，其特征在于，所述动态对比包括：函数调用方法对比，文件功能对比、内部结构对比、文件运行环境对比或者代码编写风格对比。