[发明专利]一种基于内部蜜罐的恶意程序探测方法

摘要

本发明公开了一种基于内部蜜罐的恶意程序探测方法，本方法通过设置一蜜罐，蜜罐记录了内部的文档访问位置，打开文件速度，网络发起速度和应用程序监控等四个特征，以此来对恶意程序进行检测。本发明从恶意程序的使用行为习惯的角度来设计该蜜罐，对已经进入系统内部的恶意程序检测能力上，优于传统的蜜罐探测方法。

主权项

1.一种基于内部蜜罐的恶意程序探测方法，其特征在于，该方法包括以下步骤：(1)记日常经常访问的文件集合为S_File，若检测到产生了位于位置L的访问，且则文件威胁值Threat_File＝Threat_File+1，若发现L∈S_sensitive，则文件威胁值Threat_File＝Threat_File+N_File，其中，S_sensitive表示标记的敏感文件集合，N_File为预设值；(2)记打开文件速度为Speedopen，若检测到Speedopen>Thresholdopen，则文件打开速度威胁值Threatopen＝Threatopen+1；其中，Thresholdopen表示打开速度预设值；(3)记网络发起速度为Speedconnect，若检测到Speedconnect>Thresholdconnect，则网络发起速度威胁值Threatconnect＝Threatconnect+1；Thresholdconnect为网络发起速度预设值；(4)记日常常用的应用程序集合为S_app，若检测到启动了位于位置A的应用程序，且则应用程序威胁值Threat_app＝Threat_app+1，若发现A∈S_Blacklist，则应用程序威胁值Threat_app＝Threat_app+N_app，其中，S_Blacklist表示应用程序黑名单集合，N_app为预设值；(5)对所有特征集和S_feature＝{File,Open,Connect,app}特征的威胁值Threat_File，Threat_open，Threat_connect，Threat_app分配各自权重：W_File、W_Open、W_Connect、W_app，并且计算总威胁值若Threat>Threshold_Threat，则认为系统已经被恶意程序入侵。