一種基于內部蜜罐的惡意程序探測方法
【專利摘要】本發(fā)明公開了一種基于內部蜜罐的惡意程序探測方法,本方法通過設置一蜜罐��,蜜罐記錄了內部的文檔訪問位置�,打開文件速度����,網(wǎng)絡發(fā)起速度和應用程序監(jiān)控等四個特征�,以此來對惡意程序進行檢測。本發(fā)明從惡意程序的使用行為習慣的角度來設計該蜜罐��,對已經(jīng)進入系統(tǒng)內部的惡意程序檢測能力上���,優(yōu)于傳統(tǒng)的蜜罐探測方法�。
【專利說明】
一種基于內部蜜罐的惡意程序探測方法
技術領域
[0001] 本發(fā)明涉及計算機網(wǎng)絡安全技術領域���,尤其涉及一種基于內部蜜罐的惡意程序探 測方法�����。
【背景技術】
[0002] 內部威脅在當今計算機網(wǎng)絡技術高速發(fā)展的今天�����,依然是許多人眼中的嚴重隱患 之一�。隨著現(xiàn)代信息電子技術的發(fā)展�,惡意程序隨之在技術上也快速更新,惡意程序作者編 寫的水平也越來越高����。我國每年都會發(fā)生大量的網(wǎng)絡盜竊和破壞案件��,其中許多案件涉及 軍政等重要部門�����,這些案件大多通過惡意程序進行攻擊���,因此研究惡意程序檢測技術有著 至關重要的意義。而隨著惡意程序隱藏技術和操作人員水平的不斷提升���,惡意程序在網(wǎng)絡 中變得越來越難以發(fā)現(xiàn),很多常規(guī)手段都難以發(fā)現(xiàn)其蹤跡��。因此����,需要一些新的惡意程序檢 測技術來解決這些問題。
[0003] 傳統(tǒng)的惡意程序檢測技術一般都有滯后��,即惡意程序已經(jīng)做出入侵行為���,并且?guī)?走一些重要數(shù)據(jù)或者已經(jīng)造成破壞后�����,才能夠通過系統(tǒng)行為或者網(wǎng)絡數(shù)據(jù)的手段來發(fā)現(xiàn)��。 通過蜜罐技術則既可以保證敏感信息的安全���,也可以獲取惡意程序樣本�,是一種很好的防 御手段��。
【發(fā)明內容】
[0004] 本發(fā)明的目的在于針對現(xiàn)有技術的不足����,提供一種基于內部蜜罐的惡意程序探測 方法。
[0005] 本發(fā)明的目的是通過以下技術方案來實現(xiàn)的:一種基于內部蜜罐的惡意程序探測 方法�����,其特征在于����,該方法包括以下步驟:
[0006] (1)記日常經(jīng)常訪問的文件集合SSFlle,若檢測到產(chǎn)生了位于位置L的訪問����,且 Z多&辦����,則文件威脅值ThreatFiie = ThreatFiie+1�,若發(fā)現(xiàn)L e Ssensitive,則文件威脅值 ThreatFiie = ThreatFile+NFile���,其中���,Ssensitive表示標記的敏感文件集合,NFile為預設值���。
[0007] (2)記打開文件速度為Speedopen��,若檢測到Speed〇pen>Thre sho Idopen��,則文件打開速 度威脅值Threatopen=Threato pen+]^;其中,Thresholdopen表示打開速度預設值����。
[0008] (3)記網(wǎng)絡發(fā)起速度為 Speedconnect,若檢測到Speedc_ect>Threshold c〇nnect��,則網(wǎng)絡 發(fā)起速度威脅值Threat connect = Threat connec t+1; Thre sholdc_ect為網(wǎng)絡發(fā)起速度預設值��。
[0009] (4)記日常常用的應用程序集合為Sapp,若檢測到啟動了位于位置A的應用程序��,且 J ����,則應用程序威脅值Threatapp = Threatapp+1,若發(fā)現(xiàn)A e SBiackIist����,則應用程序威脅值 Threatapp = Threatapp+Napp,其中���,SBiackiist表示應用程序黑名單集合��,N app為預設值���。
[0010] (5)對所有特征集和Sfeature = {File ,Open ,Connect,app}特征的威脅值 ThreatFiie���, Threatcjpen�,Threatrannect��,Threatapp 分配各自權重:WFiie、Wcipen���、Wc_ec�����;t��、Wapp�����,并且計算總威脅 值Tkn'uf = LxR�����,若Threat>ThresholdThreat����,則認為系統(tǒng)已經(jīng)被惡意程序入 侵����。
[0011] 若根據(jù)步驟5認定系統(tǒng)已經(jīng)被惡意程序入侵���,且某程序一段時間內訪問了他個隱 藏的����、人為操作無法訪問的文件夾或者文件,可認為為該程序為惡意程序���,其中�����,Ni為閾值���; 若惡意程序在執(zhí)行過程中發(fā)起了至少1次網(wǎng)絡請求,那么可以認定該程序為木馬程序�����。
[0012] 本發(fā)明的有益效果是���,本發(fā)明通過設置一蜜罐����,蜜罐記錄了內部的文檔訪問位置��, 打開文件速度,網(wǎng)絡發(fā)起速度和應用程序監(jiān)控等四個特征�����,以此來對惡意程序進行檢測���。本 發(fā)明從惡意程序的使用行為習慣的角度來設計該蜜罐�,對已經(jīng)進入系統(tǒng)內部的惡意程序檢 測能力上����,優(yōu)于傳統(tǒng)的蜜罐探測方法。
【具體實施方式】
[0013] 本發(fā)明提供一種基于內部蜜罐行為分析���,通過監(jiān)控對文件���、網(wǎng)絡等系統(tǒng)操作,來確 認惡意程序入侵的方法����。惡意程序檢測技術主要用于泄密檢測,服務器防護���,個人電腦安全 等��,是計算機安全領域的一個重要內容�����。該方法包括以下步驟:
[0014] 1�、記日常經(jīng)常訪問的文件集合為SFlle�,若檢測到產(chǎn)生了位于位置L的訪問,且 Z芒Sm�����,則文件威脅值ThreatFiie = ThreatFiie+1����,若發(fā)現(xiàn)Le Ssensitive,則文件威脅值 ThreatFiie = ThreatFile+NFile�����,其中���,Ssensitive表示標記的敏感文件集合���,NFile為一個預設的 數(shù)字��,例如可取10-1000中任一自然數(shù)�����。
[0015] 2�、記打開文件速度為Speedopen���,若檢測到Speed〇pen>Thresho Idopen���,則文件打開速 度威脅值Threat〇pen = Threat〇pen+l。其中���,Thresho Idcjpen表示打開速度預設值�,例如可取1-50ms中任一值�。
[0016] 3、記網(wǎng)絡發(fā)起速度為Speedcomiect��,若檢測到 Speedc〇nnect>Thre sho I d_nect�����,則 網(wǎng)絡 發(fā)起速度威脅值1'11代31:�����。。1^��。( = 11^631:�。�����。1111(^+1���。11^6811〇1(1�����。�。1111(3�����。1�;為網(wǎng)絡發(fā)起速度預設值,例 如可取l-50ms中任一值�。
[0017] 4�、記日常常用的應用程序集合為Sapp���,若檢測到啟動了位于位置A的應用程序����,且 5^�,則應用程序威脅值Threat app = Threatapp+1,若發(fā)現(xiàn)AeSBiackIist�����,則應用程序威脅 值Threatapp = Threatapp+Napp����,其中,SBiackiist表示應用程序黑名單集合���,N app為一個預設的數(shù) 字�����,例如可取10-1000中任一自然數(shù)�。
[0018] 5、對所有特征集和Sfeature= {File ,Open,Connect���,app}特征的威脅值ThreatFiIe�����, Threat〇Den��,Threatconnect���,Threatapp 分配各自權重:WFiie�����、Wopen lonnect���、Wapp�,并且計算總威脅 值
xR���,若Threat>ThresholdThreat�����,則認為系統(tǒng)已經(jīng)被惡意程序入 侵����,ThresholdThreat為綜合威脅預設值,例如可取10-1000中任一自然數(shù)�。
[0019] 權重WFile、Wcipen���、Wc〇nnect�、Wapp可以任意分配��,也可以等值分配�。
[0020]若某程序一段時間內訪問了他個隱藏的、人為操作無法訪問的文件夾或者文件���, 可認為為該程序為惡意程序��,其中,N1為閾值�����,例如可取10個���,所述一段時間可以任意設置, 比如一天。若惡意程序在執(zhí)行過程中發(fā)起了至少1次網(wǎng)絡請求�,那么可以認定該程序為木馬 程序。
[0021 ]本發(fā)明基于內部蜜罐�,通過監(jiān)控對文件、網(wǎng)絡等系統(tǒng)操作�����,來確認惡意程序入侵��, 能夠廣泛應用政府��、國防���、商業(yè)公司等部門��。
【主權項】
1. 一種基于內部蜜罐的惡意程序探測方法,其特征在于����,該方法包括W下步驟: (1 )記日常經(jīng)常訪問的文件集合為SFile,若檢ii到產(chǎn)生了位于位置L的訪問�,且怎€ &?沁, 則文件威脅值化'日日1���。心=1'11'日日1��。心+1��,若發(fā)現(xiàn)1£536����。3:11^巾6,則文件威脅值化'日日1���。山= Τ'虹eatFile+Npile����,其中�����,Ssensitive表不標記的敏感文件集合����,Npile為預設值。 (2) 記打開文件速度為5966(1�����。。6��。�����,若檢測到5966(1���。��。6��。>化'6311〇1(1���。。6���。�����,貝11文件打開速度 威脅值化reatDpen=ThreatDpen+l;其中,T虹esholdopen表示打開速度預設值���。 (3) 記網(wǎng)絡發(fā)起速度為5口66山����。咖山若檢測到5口66(1����。?���?А?;>化'6311〇1山���?��?截?1網(wǎng)絡發(fā) 起速度威脅值Τ'虹eatG。nneGt = ThreatG�。nneGt+l;T虹esholdG。nneGt為網(wǎng)絡發(fā)起速度預設值�����。 (4) 記日常常用的應用程序集合為Sapp,若檢測到啟動了位于位置A的應用程序���,且 ^ g &W�,則應用程序威脅值Τ'虹eatapp = Threatapp+l,若發(fā)現(xiàn)AeSBiackiist��,則應用程序威脅值 Tlireatapp二Tlireatapp+Napp,其中��,SBlacklist表不應用程序黑名單集合�����,Napp為預設值����。 (5) 對所有特征集和Sfeature= {File ,Open,Connect ,日郵}特征的威脅值ThreatFile, Tlireatopen , Tlireatconnect, Tlireatapp分配各自權重:Wpile����、Wopen、Wconnect����、Wapp ,并且計算總威脅 值'若Thr eat > Thr e sho 1 dThreat,則認為系統(tǒng)已經(jīng)被惡意程序入 侵���。2. 根據(jù)權利要求1所述基于內部蜜罐的惡意程序探測方法���,其特征在于,若根據(jù)步驟5 認定系統(tǒng)已經(jīng)被惡意程序入侵�,且某程序一段時間內訪問了化個隱藏的、人為操作無法訪 問的文件夾或者文件����,可認為為該程序為惡意程序,其中�,化為闊值;若惡意程序在執(zhí)行過 程中發(fā)起了至少1次網(wǎng)絡請求,那么可W認定該程序為木馬程序�����。
【文檔編號】G06F21/56GK105844154SQ201610165172
【公開日】2016年8月10日
【申請日】2016年3月19日
【發(fā)明人】吳春明, 陳雙喜
【申請人】浙江大學