本發明提供了用于導出和驗證惡意代碼的網絡行為特征的方法和裝置。用于導出惡意代碼的網絡行為特征的方法可以包括：獲取由惡意代碼引起的系統行為參數；基于所述系統行為參數生成系統行為特征；以及基于所述系統行為特征導出惡意代碼的網絡行為特征。用于驗證惡意代碼的網絡行為特征的方法可以包括：確定與所要驗證的網絡行為特征相對應的網絡行為參數；獲取與所述網絡行為參數相對應的系統行為參數；基于所述系統行為參數生成系統行為特征；以及將所述系統行為特征與所述網絡行為特征進行比較，以確定所述網絡行為特征的有效性。

技術領域

本發明一般涉及惡意代碼檢測，具體涉及用于導出和驗證惡意代碼的網絡行為特征的方法和裝置。

背景技術

目前，惡意代碼（例如，病毒、木馬等）已經廣泛采用了如多態、變形等更為高級的策略。通過這些策略，每當惡意代碼進行復制時，其一部分或其結構就可能以隨機和不可預測的方式發生改變。因此，如何檢測和抑制惡意代碼已經成為了人們所面臨的巨大挑戰。

傳統的惡意代碼檢測軟件是基于特征碼的，其可以通過特征碼匹配的方式來檢測惡意代碼。例如，這類軟件可以將從惡意代碼中提取的特定特征存儲在特征數據庫中以用于隨后檢測相關的惡意代碼實例，該特征數據庫可以持續更新以便能夠檢測到與最近更新的特征相對應的惡意代碼。然而，盡管使用特征數據庫的這種檢測方式可以獲得對已知惡意代碼的出色的檢測率，這種方式卻無法檢測出新的未知惡意代碼。尤其是多態和變形的出現，使得基于特征碼的惡意代碼檢測方式的有效性大大降低。此外，惡意代碼在互聯網上的快速傳播也會導致特征數據庫無法及時跟進更新。例如，一些移動電話病毒安全系統或惡意信息過濾器可以檢測出已知惡意病毒所涉及的統一資源定位符（URL）并且進而阻止相應的web站點，但是，這些系統或過濾器僅能夠阻止已知的移動病毒服務器，卻不能阻止新的未知移動病毒服務器。此外，移動病毒也可能通過改變病毒服務器的地址來避開這些系統或過濾器的檢測。

此外，存在基于系統行為的惡意代碼檢測方式。這種惡意代碼檢測方式可以包括基于啟發式特征的檢測、基于靜態特征的檢測和基于動態特征的檢測等三種類型。

基于啟發式特征的檢測可以利用啟發式特征。啟發式特征可以指例如從Win32可移植執行體（PE：Portable Execute）頭或可執行體內的字符串中提取的特征集。

基于靜態特征的檢測可以利用通過靜態分析而導出的特征。例如，該檢測方式可以基于通過對可執行二進制碼的反匯編而導出的匯編碼、基于例如控制流圖（CFG）的匯編碼等。然而，對二進制碼進行反匯編本身就是一個比較難解決的問題，并且尚未發現較為通用的方案。

基于動態特征的檢測是一種可以在惡意代碼執行過程中基于系統行為所執行的檢測方式。這種檢測方式可以通過監視當前執行進程的例如嘗試復制等操作來在運行時完成檢測。例如，可以基于病毒對復制的嘗試來檢測已知的和未知的病毒。例如，可以利用通過系統調用掛鉤技術而獲得的木馬的規則的可執行路徑以及所獲知的木馬的行為特性（例如，修改注冊表、注冊系統服務、修改系統文件等）來檢測和阻截木馬。

此外，在入侵檢測領域存在基于網絡行為的檢測方式。在KDD CUP1999（http://www.sigkdd.org/kddcup/index.php?section=1999&method=info）文檔中對網絡行為特征做出了描述。該文檔提供的網絡入侵檢測數據集（KDD99數據集）被用于測試所開發的算法以及預定義行為特征。每個數據項包含指示網絡行為特征的41個字段和指示攻擊類型的1個字段。對于數據分析工具而言，處理所有這些字段的開銷是很昂貴的。更為重要的是，這種網絡行為特征的描述僅僅用于入侵檢測，而并非針對惡意代碼。