技術領域

本發明涉及信息安全技術領域，尤其涉及一種基于反向追蹤的高威竊密惡意代碼檢測方法及系統。?

背景技術

高威竊密惡意代碼的攻擊行為具有極強的隱蔽能力，通常是利用企業或機構網絡中受信的應用程序漏洞來形成攻擊者所需網絡環境；其還具有很強的針對性，攻擊觸發之前通常需要熟悉用戶網絡壞境，收集大量關于用戶業務流程和目標系統使用情況的精確信息，定位關鍵信息的存儲位置與通信方式，特別針對被攻擊環境的各類0day收集更是其中重要的環節。

高威竊密惡意代碼利用各類0day漏洞、免殺技術、繞過技術、防調試技術、驅動保護、加密技術、社會工程學等，使得傳統的基于通用檢測的反病毒技術、傳統網絡環境中的IPS/IDS、防火墻安全網關等信息安全防御失去了應有的應對能力。而且這些基于特征庫或規則庫的被動防御體系存在著滯后性，往往是先有特征才能查殺，不能夠進行無特征的掃描，所以都無法抵御高威竊密惡意代碼定向攻擊的入侵。

當前反病毒界針對高威竊密惡意代碼檢測也提出了多個主流方案：第一是沙箱方案，但其不足在于模擬的客戶端類型不夠全面，如果缺乏合適的運行環境，會導致流量中的惡意代碼在檢測環境中無法觸發，造成漏報，更大的不足是不能將用戶環境中的所有軟件都進行沙箱處置，因為這樣在時間和空間開銷上占用太大；第二是異常檢測方案，但檢測效率依賴于其異常的業務模式構建，如果業務模式發生偏差，則會導致較高的漏報與誤報；第三是全流量審計方案，但其需要強大的后端計算能力、存儲能力、大數據分析能力等，并且搭建困難、造價高昂，且不能捕捉到用戶系統本地行為異常，只能進行單一的網絡行為分析，并且高威竊密惡意代碼的網絡傳輸都為高強加密的，在分析中想獲取有利信息更是難上加難。

發明內容

針對上述技術問題，本發明提供了一種基于反向追蹤的高威竊密惡意代碼檢測方法及系統，該方法通過預置誘餌文件，并對誘餌文件或者系統文件進行監控的方法檢測高威竊密惡意代碼，并且利用關聯對比技術檢測相關聯的高威竊密惡意代碼，所述方法克服了傳統惡意代碼檢測方法無法檢測高威竊密惡意代碼和檢測存在滯后性的缺點。?

本發明采用如下方法來實現：一種基于反向追蹤的高威竊密惡意代碼檢測方法，其特征在于，包括：

步驟1、在系統中預置文件名或者文件內容中包含敏感詞匯的誘餌文件，并創建由敏感詞匯構成的關鍵詞庫；

步驟2、監控誘餌文件，若存在進程和/或線程對所述誘餌文件進行非法操作，則執行步驟3；?

監控系統文件，若存在進程和/或線程對系統文件進行非法操作，則對所述系統文件進行關鍵詞庫匹配，若發現所述系統文件的文件名或者文件內容中存在關鍵詞庫中的敏感詞匯，則執行步驟3；所述非法操作可以包括：打開或者復制等；

步驟3、定位所述進程和/或線程，并反向定位與所述進程和/或線程相關的可執行文件；

步驟4、針對所述可執行文件進行白名單匹配，如果匹配成功則所述可執行文件不是高威竊密惡意代碼文件，否則所述可執行文件為高威竊密惡意代碼文件，并執行步驟5；

步驟5、提取系統中所述進程和/或線程以外的其他進程和/或線程相關的文件，并提取敏感目錄文件；所述敏感目錄包括：所述可執行文件所在目錄、系統用戶目錄或者system32目錄；

步驟6、針對步驟5提取的文件進行白名單匹配，如果全部匹配成功則不存在相關聯的高威竊密惡意代碼文件，否則，執行步驟7；

步驟7、將沒有匹配成功的文件與步驟4所述的高威竊密惡意代碼文件進行關聯對比，對比成功的文件為相關聯的高威竊密惡意代碼文件。所述的相關聯的高威竊密惡意代碼文件可能是與高威竊密惡意代碼文件相關的DLL文件、下載文件或者啟動文件等；

方法中步驟1所述的敏感詞匯可以包括：國家政治機密、國家軍事機密、國家經濟機密或者企業技術機密中經常用到的關鍵詞。

方法中在執行步驟2時，可以同時監控系統的網絡行為，如果存在異常網絡行為則記錄，當存在兩次相同形式的異常網絡行為時，則執行步驟3定位與所述異常網絡行為相關的進程和/或線程。

方法中所述的異常網絡行為可以包括以下形式：

敏感IP行為，建立敏感IP庫，記錄各個敏感IP段，當出現敏感IP庫中的IP行為時，則認為是異常網絡行為；

異常傳輸行為，當監控中發現存在突然的大量網絡占用或者間斷性的流量升高情況，則認為是異常網絡行為；

異常協議行為，解析網絡協議，當存在不是常用的網絡協議進行數據傳輸時，則認為是異常網絡行為；