[发明专利]一种基于反向追踪的高威窃密恶意代码检测方法及系统

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及一种基于反向追踪的高威窃密恶意代码检测方法及系统。 

背景技术

高威窃密恶意代码的攻击行为具有极强的隐蔽能力，通常是利用企业或机构网络中受信的应用程序漏洞来形成攻击者所需网络环境；其还具有很强的针对性，攻击触发之前通常需要熟悉用户网络坏境，收集大量关于用户业务流程和目标系统使用情况的精确信息，定位关键信息的存储位置与通信方式，特别针对被攻击环境的各类0day收集更是其中重要的环节。

高威窃密恶意代码利用各类0day漏洞、免杀技术、绕过技术、防调试技术、驱动保护、加密技术、社会工程学等，使得传统的基于通用检测的反病毒技术、传统网络环境中的IPS/IDS、防火墙安全网关等信息安全防御失去了应有的应对能力。而且这些基于特征库或规则库的被动防御体系存在着滞后性，往往是先有特征才能查杀，不能够进行无特征的扫描，所以都无法抵御高威窃密恶意代码定向攻击的入侵。

当前反病毒界针对高威窃密恶意代码检测也提出了多个主流方案：第一是沙箱方案，但其不足在于模拟的客户端类型不够全面，如果缺乏合适的运行环境，会导致流量中的恶意代码在检测环境中无法触发，造成漏报，更大的不足是不能将用户环境中的所有软件都进行沙箱处置，因为这样在时间和空间开销上占用太大；第二是异常检测方案，但检测效率依赖于其异常的业务模式构建，如果业务模式发生偏差，则会导致较高的漏报与误报；第三是全流量审计方案，但其需要强大的后端计算能力、存储能力、大数据分析能力等，并且搭建困难、造价高昂，且不能捕捉到用户系统本地行为异常，只能进行单一的网络行为分析，并且高威窃密恶意代码的网络传输都为高强加密的，在分析中想获取有利信息更是难上加难。

发明内容

针对上述技术问题，本发明提供了一种基于反向追踪的高威窃密恶意代码检测方法及系统，该方法通过预置诱饵文件，并对诱饵文件或者系统文件进行监控的方法检测高威窃密恶意代码，并且利用关联对比技术检测相关联的高威窃密恶意代码，所述方法克服了传统恶意代码检测方法无法检测高威窃密恶意代码和检测存在滞后性的缺点。 

本发明采用如下方法来实现：一种基于反向追踪的高威窃密恶意代码检测方法，其特征在于，包括：

步骤1、在系统中预置文件名或者文件内容中包含敏感词汇的诱饵文件，并创建由敏感词汇构成的关键词库；

步骤2、监控诱饵文件，若存在进程和/或线程对所述诱饵文件进行非法操作，则执行步骤3； 

监控系统文件，若存在进程和/或线程对系统文件进行非法操作，则对所述系统文件进行关键词库匹配，若发现所述系统文件的文件名或者文件内容中存在关键词库中的敏感词汇，则执行步骤3；所述非法操作可以包括：打开或者复制等；

步骤3、定位所述进程和/或线程，并反向定位与所述进程和/或线程相关的可执行文件；

步骤4、针对所述可执行文件进行白名单匹配，如果匹配成功则所述可执行文件不是高威窃密恶意代码文件，否则所述可执行文件为高威窃密恶意代码文件，并执行步骤5；

步骤5、提取系统中所述进程和/或线程以外的其他进程和/或线程相关的文件，并提取敏感目录文件；所述敏感目录包括：所述可执行文件所在目录、系统用户目录或者system32目录；

步骤6、针对步骤5提取的文件进行白名单匹配，如果全部匹配成功则不存在相关联的高威窃密恶意代码文件，否则，执行步骤7；

步骤7、将没有匹配成功的文件与步骤4所述的高威窃密恶意代码文件进行关联对比，对比成功的文件为相关联的高威窃密恶意代码文件。所述的相关联的高威窃密恶意代码文件可能是与高威窃密恶意代码文件相关的DLL文件、下载文件或者启动文件等；

方法中步骤1所述的敏感词汇可以包括：国家政治机密、国家军事机密、国家经济机密或者企业技术机密中经常用到的关键词。

方法中在执行步骤2时，可以同时监控系统的网络行为，如果存在异常网络行为则记录，当存在两次相同形式的异常网络行为时，则执行步骤3定位与所述异常网络行为相关的进程和/或线程。

方法中所述的异常网络行为可以包括以下形式：

敏感IP行为，建立敏感IP库，记录各个敏感IP段，当出现敏感IP库中的IP行为时，则认为是异常网络行为；

异常传输行为，当监控中发现存在突然的大量网络占用或者间断性的流量升高情况，则认为是异常网络行为；

异常协议行为，解析网络协议，当存在不是常用的网络协议进行数据传输时，则认为是异常网络行为；