[发明专利]一种基于文件指纹对恶意代码统一命名的方法及其系统

说明书

技术领域

本发明涉及信息安全技术领域，具体涉及一种基于文件指纹对恶意代码统一命名的方法及其系统。

背景技术

现有技术中，恶意代码的命名是一项较为成熟的技术，目前市场上较通用的命名规则为：<前缀>.<名称>.<后缀>，其中：前缀，一般表示恶意代码发作的操作平台或类型，操作平台一般有：DOS、Win32、Win64、MacOS、Linux等，类型一般有：感染型、宏病毒、木马、后门程序、蠕虫、广告软件等；名称，一般表示恶意代码的家族特征，如著名的CIH病毒的家族名都是统一的“CIH”；后缀，一般指一个恶意代码的变种特征，用来区别具体某个家族某个变种的。具体来说，各个杀毒软件厂商对检测出的恶意代码均有各自的命名方法。以灰鸽子病毒为例，以下是主流厂家对这种木马病毒的命名：

杀毒软件厂商：灰鸽子的病毒名称

360 Win32.Trojan.GrayPegion

金山 Hack.Huigezi

赛门铁克 Backdoor.GrayBird

以上命名方法的局限性在于只能在其所属厂商的产品内被识别，而不能跨厂商使用，从而无法对恶意代码的疫情态势进行全局统计和深入分析。随着软件自由化的发展，企业内网中部署的杀毒软件难以维持品牌和厂商的唯一性，终端用户往往挑选适合自己使用的杀毒软件进行部署。这种情况下，如果各厂商都采用传统的命名方法，可能会出现同一个恶意代码但标识出多个名称的情况，此时，管理员既无法辨别出该恶意代码的扩散程度，也无法快速处置病毒情况。

中国专利CN104102878A提供的一种Linux平台下的恶意代码分析方法及系统，利用LKM技术可实现动态加载，截获系统调用的位置位于VFS层和具体文件系统之间，以获取更多与文件操作相关的信息，提供更加准确有用的监控信息；系统调用的截获不需要修改系统调用表，以避免传统修改系统调用表方法所带来的安全隐患；采用共享内存机制以提高内核模块和用户进程的通信速度，以及通信传输的数据量；由用户选定需要监控的关键文件以及进程，以提高系统的易用性、灵活性和高效性，更好的满足用户对恶意代码分析的要求；选取恶意代码进程和多个重要的关键文件进行监控，以避免系统较大的性能损失，提高分析系统运行的速度。该专利也未解决，以命名方法的局限性在于只能在其所属厂商的产品内被识别，而不能跨厂商使用的问题，从而无法对恶意代码的疫情态势进行全局统计和深入分析的问题。

发明内容

为了克服现有技术中的缺陷，本发明提供了一种在各厂商之间能够通用的恶意代码命名方法及其系统，利用该方法及其系统，在不影响各厂商内部命名规则的前提下，能够解决恶意代码名称的统一性问题，从而首先在从全局上统计病毒疫情情况下，客观上分析总体态势；其次为管理员工作提供指导，提高通报率和处置效率。

本发明是通过如下技术方案实现的：一种基于文件指纹对恶意代码统一命名的方法，包括:

步骤1：对杀毒软件进行文件指纹采集，在所述杀毒软件查、杀到恶意代码时调用，向所述杀毒软件提供返回恶意代码的特征值；

步骤2：接收步骤1提供的带有特征值的恶意代码，对所述恶意代码进行命名，产生一个对所述恶意代码按照约定规则命名的恶意代码统一命名：

步骤3：对步骤2中所述恶意代码统一命名与原厂自主命名之间建立映射关系，接收所述恶意代码的预先设定参数，所述映射关系作为数据行存储在实现映射器的数据库上，向界面提供查看统一命名与原厂命名之间对应关系，返回厂家的原厂命名作为结果输出。

进一步地，步骤1所述恶意代码的特征值包括：对少于20MB的文件，返回的特征值是文件全文的MD5-32字符串；对20MB以上的文件，返回的特征值是：跳过PE头部的首部5MB，文件中间点前后5MB的数据，文件结尾为5MB，三部分数据进行拼接后计算的MD5-32字符串。

进一步地，步骤2中所述约定规则包括恶意代码平台、恶意代码的名称、恶意代码的类型和步骤1中所述恶意代码特征值。

进一步地，所述恶意代码平台为Win32，Win64，Mac32和Mac64，类型为字符串；所述恶意代码的名称为恶意代码在杀毒软件中原始的命名，类型为字符串；所述恶意代码的类型为宏病毒、CAD病毒、蠕虫病毒、感染型病毒、木马病毒、后门程序病毒和其它病毒，类型为字符串；所述恶意代码的特征值为由所述文件指纹采集计算出的恶意代码特征值。