[发明专利]一种恶意程序识别系统

说明书

技术领域

本发明属于计算机安全检测技术领域，具体涉及一种基于时态性质检测的自进化恶意程序识别系统。

背景技术

随着信息技术的日益发展与计算机的普及，从个人计算机、智能手机，到各种智能家居产品，越来越多的计算设备出现在人们的身旁。计算机在为人类提供了诸多便利，极大提高社会运转效率的同时，也带来了许多的安全性问题。其中绝大部分的问题源自于的恶意程序的传播与执行。常见的恶意程序有病毒、蠕虫、木马、后台程序，它们能够对计算机系统进行控制、信息窃取乃至破坏，并能进行自动复制传播，这极大地危害了广大计算机用户的隐私安全，财产安全，乃至影响到社会、国家的安全。

传统的恶意程序检测主要通过对恶意程序进行扫描，识别其中所包含的特定二进制特征序列，从而判断程序是否为恶意程序。例如，中国专利申请号为201610134408.7的发明专利申请，公开了一种嵌入式处理器的未知恶意代码检测方法，包括创建嵌入式系统自体集、生成检测器集、检测未知恶意代码的步骤；在处理器指令级对系统内正常程序的指令序列信息进行采集编码生成二进制串集合作为自体集，随机生成二进制串作为候选检测器，并将其与自体集中的元素进行否定选择生成检测器集；利用检测器集里的二进制串与从指令级收集到的待检测代码的行为信息二进制串进行匹配；采用双阈值的海民规则进行自体集的二进制串、检测器二进制串以及待检测二进制串之间的模糊匹配，以提高对未知恶意代码的检测率，降低检测系统的资源消耗。

这种检测方法，虽然具有检测速度快的特点，但需要不断更新特征数据库来维持对恶意程序的识别能力，具有滞后性。

另外，随着恶意程序种自修改、死代码插入等各种混淆技术的采用，这种传统检测方法常常会失效。面对恶意程序不断变异的形势，传统恶意程序检测程序常处于被动防御的地位。

模型检测技术的提出，起初用于检查软件模型是否满足需求文档中所描述的性质，若以恶意行为特征作为待验证的性质，自然也可以将模型检测应用于恶意程序的检测。例如，中国专利申请号为200810089576.4的发明专利申请，公开了一种基于语义的恶意代码检测方法，该发明方法包含a)获得已知恶意代码的有穷状态自动机；b)获得待检测的二进制可疑程序的下推自动机；c)使用模型检验方法检测所述的下推自动机和所述有穷状态自动机之间是否存在可以同时被两者接收的输入字符串，若是，则判定上述待检测的可疑程序为恶意程序。

时态性质检测是模型检测技术的一个分支，其主要关注于模型中是否具备时间相关的性质，可以描述一定的时序关系，而通常在恶意程序中，为了完成某类恶意行为，必定具备按照某种顺序执行指令操作的性质，因而，可以引入时态逻辑进行描述，自然，就可以进行性质的验证。目前，随着研究领域的发展，需要研究更多的自动时态性质挖掘方法。

发明内容

针对传统的恶意程序特征序列检测方法，结合模型检测技术，本发明提出了一种基于时态性质检测的自进化恶意程序识别系统。通过二进制分析工具，对程序样本进行递归下降法的反汇编，破除指令重叠、自修改等混淆技术的影响，并生成相应的程序模型，在此基础上，进行时态性质挖掘、筛选与采集，构建出初始的恶意程序时态性质数据库，在之后的恶意程序识别过程中，只需对待识别程序进行性质验证，从而判断程序是否具备恶意性质。并能够以之作为新样本进行性质采集，以扩充恶意程序时态性质数据库，自动地完成系统恶意程序检测能力的增强。

具体的，本发明提供了一种恶意程序识别系统，所述系统包括以下模块：

训练模块：用于根据样本程序，构建恶意程序性质数据库；

识别模块：用于采用模型检测方法对待识别程序进行性质验证，判断是否为恶意程序。

优选的，所述训练模块通过对所述样本程序进行自动的时态性质挖掘，并通过对比正常程序样本与恶意程序样本的性质，筛选出恶意程序所特有的部分，从而建立所述恶意程序性质数据库。

优选的，所述识别模块在所述恶意程序性质数据库的基础上，对待识别的目标程序进行性质验证，根据目标程序是否具备恶意程序性质来判断目标程序是否为恶意程序。

优选的，所述系统具备以下两个数据库：正常程序时态性质数据库，存储正常程序样本挖掘所得的性质；恶意程序时态性质数据库，存储恶意程序样本挖掘所得的性质。

优选的，所述恶意程序识别系统具备自进化能力，在使用过程中，根据判断结果，将已测试程序进行标注，放入训练模块中处理，以进行时态性质数据库的扩充。

更优选的，所述训练模块包括如下组成单元：