技術領域

本發明涉及信息安全領域中，尤其涉及識別惡意程序的方法及系統。

背景技術

隨著計算機及互聯網的快速發展，病毒、木馬、蠕蟲等具有惡意行為的軟件(以下統稱為惡意軟件)層出不窮，幾乎每天都有新的病毒產生，大肆傳播破壞，給廣大互聯網用戶造成了極大的危害，對系統安全造成了嚴重的威脅。因此計算機與網絡的安全性日益引起人們的普遍關注，目前為止相對應的防治策略的應用程序包括，殺毒軟件、入侵檢測系統、防火墻、物理網閘等等。由于惡意軟件的技術隨著計算機技術的發展而不斷更新，因此呈現出數數量的與日俱增和特征的多化，并且由于不斷加入了針對反惡意軟件的技術的使用，惡意軟件與反惡意軟件的技術進入“矛與盾”的僵持階段，因此傳統的基于特征值掃描的反惡意軟件(也叫靜態程序分析)(目前惡意軟件的檢測率在30％左右)，已經不能滿足人們對安全性的需求了，其有限的資源消耗隨著惡意軟件特征庫規模的不斷擴大而輕易占滿，使得反惡意軟件系統難以進行高效，準確的運行。因此當前的防治策略轉而選擇動態分析技術，以期得到較高的查殺準確度(90％以上的準確度)。

相較于靜態程序分析技術，動態分析技術擁有查殺準確度高、易于使用的優點。以基于API鉤子的動態分析為例來說，不論惡意軟件怎么加密，加殼，最后都要進行相應的自解密，自加殼，如果用靜態分析技術，要研究相應的解密密鑰，算法，或相應的解殼算法。軟件的分析復雜度都很高。與此同時，如果惡意軟件進行二進制代碼變形使之不在反惡意軟件的特征庫中，那么基于靜態分析的二進制就束手無策了。而與此相反，基于API鉤子的動態分析技術，首先等待病毒程序的自解密，自加殼。然后利用API?hook原理得到系統調用的API函數序列。無論惡意軟件如何的進行二進制變形，它的API函數序列是不會變的。此時根據此序列判斷是否是惡意就顯得非常的高效，而且準確度很高。實際上對于有更高要求的用戶，還可以加入API函數參數來進行惡意軟件行為檢測，從而得到理論上更高的查殺準確度。

進程關聯歧義的定義：進程關聯歧義是指一個進程產生兩個或兩個以上的子進程時，由于進行的子進程具有繼承父進程信息的特點，因此這兩個子進程繼承父進程信息時會導致的無法確定獲取父進程信息中屬于自己那一部分的信息。從而產生進程的歧義性。

雖然動態分析技術的理念已經廣泛應用與各種反惡意軟件系統中，但是在實現細節方面，仍然有很多值得深入探討和研究的問題：

第一，動態分析技術可以分為“coarse-grained”(粗粒度)與“fine-grained”(細粒度)兩種策略。粗粒度是指捕獲系統調用函數序列層次的動態分析技術。細粒度是指捕獲指令級序列的動態分析技術。細粒度動態分析技術由于捕獲的數據量大，有NP問題從而導致查殺準確度并不比基于粗粒度的動態分析技術來得高，甚至更低。因此人們往往使用粗粒度的動態分析技術。但是粗粒度的動態分析技術由于僅僅是捕獲系統調用，而系統調用本身不具有惡意與否的性質，而判斷的條件僅僅是基于統計學的方法，比如某一系統調用太頻繁就被判斷為是惡意行為。這種惡意行為表示方法無法給人帶來主觀上(語義層面)的理解。造成對惡意行為的誤判斷(誤報率很高)。如何使用語義層面的惡意行為表示方法，并降低語義層面的表示方法的歧義性，當前還沒有明確的方案。

第二，動態分析技術又可以分為“in-the-box”(系統內)與“out-of-the-box”(系統外)兩種策略。系統內策略是指反惡意軟件系統與惡意程序在同一系統環境中，即同一系統中。而系統外的策略指是指反惡意軟件系統與惡意程序不在同一系統環境中，如沙盒方法，惡意程序在反惡意程序的系統中運行。因此系統內的策略容易受到惡意程序的干擾，從而得到不準確的結果。而系統外程序雖然沒有這種缺陷，但是由于惡意程序能很容易的檢測出是否在反惡意程序的系統中運行(真實環境與反惡意軟件構造的環境差別很大)，從而導致動態分析的失敗。

發明內容

為解決上述問題，本發明提供了自動實現地圖注記的方法及其系統，本發明的實現復雜度相對于現有技術較低，能夠提高效率。

本發明公開了一種識別惡意程序的方法，包括：

步驟1，獲取計算機系統中所有進程的信息和進程行為，根據進程之間的父子關系建立進程關系樹，對應每個進程保存進程的信息和進程行為的列表；

步驟2，將父進程的進程行為列表中的進程行為分類，按進程關系樹從上到下的順序，依據分類將父進程信息分配到子進程；