本發明專利申請是申請日為2010年8月18日、申請號為201010256973.3、名稱為“一種依據白名單進行惡意程序檢測的方法”的中國發明專利申請的分案申請。

技術領域

本發明屬于網絡安全領域，具體地說，涉及一種依據白名單進行惡意程序檢測的方法。

背景技術

傳統的惡意程序防殺主要依賴于特征庫模式。特征庫是由廠商收集到的惡意程序樣本的特征碼組成，而特征碼則是分析工程師從惡意程序中找到和正當軟件的不同之處，截取一段類似于“搜索關鍵詞”的程序代碼。當查殺過程中，引擎會讀取文件并與特征庫中的所有特征碼“關鍵詞”進行匹配，如果發現文件程序代碼被命中，就可以判定該文件程序為惡意程序。

之后又衍生出了在本地啟發式殺毒的方式，是以特定方式實現的動態高度器或反編譯器，通過對有關指令序列的反編譯逐步理解和確定其蘊藏的真正動機。惡意程序和正常程序的區別可以體現在許多方面，比如：通常一個應用程序在最初的指令，是檢查命令行輸入有無參數項、清屏和保存原來屏幕顯示等，而惡意程序通常最初的指令則是直接寫盤操作、解碼指令，或搜索某路徑下的可執行程序等相關操作指令序列。這些顯著的不同之處，一個熟練的程序員在調試狀態下只需一瞥便可一目了然。啟發式代碼掃描技術實際上就是把這種經驗和知識移植到一個查殺病毒軟件中的具體程序體現。

但是上述查殺惡意軟件的方法都是基于惡意行為和/或惡意特征，先對一個程序判定其是否為惡意程序，然后再決定是否進行查殺或者清理。這就不可避免導致出現了如下弊端。

據統計，現今全球惡意程序數量呈幾何級增長，基于這種爆發式的增速，特征庫的生成與更新往往是滯后的，特征庫中惡意程序的特征碼的補充跟不上層出不窮的未知惡意程序。

另外，近年來，隨著惡意程序制作者對免殺技術的應用，通過對惡意程序加殼或修改該惡意程序的特征碼的手法越來越多的出現；以及許多木馬程序采用了更多更頻繁快速的自動變形，這些都導致通過惡意行為和/或惡意特征對惡意程序進行判定的難度越來越大，從而引起對惡意程序的查殺或清理的困難。

發明內容

有鑒于此，本發明所要解決的技術問題是提供了一種依據白名單進行惡意程序檢測的方法，不依賴于本地數據庫，并且基于對合法程序的認定來反向判定惡意程序。

為了解決上述技術問題，本發明公開了一種依據白名單進行惡意程序檢測的方法，包括：服務器端的數據庫建立合法程序的白名單并進行收集更新；客戶端對一程序的程序特征和/或程序行為進行收集并發送到服務器端進行查詢，服務器端根據所述程序特征和/或程序行為在所述白名單中進行分析比對，根據比對結果對所述程序的合法性或信任值進行判定并反饋給所述客戶端。

進一步地，所述服務器端根據所述程序特征和/或程序行為，與所述白名單中保存的合法程序特征和/或合法程序行為進行比對，如果命中，則判定所述程序為合法程序，并反饋給所述客戶端；如果沒有命中，則判定所述程序為惡意程序，并反饋給所述客戶端。

進一步地，所述服務器端根據程序的一組程序特征和/或一組程序行為，與所述白名單中保存的合法程序特征和/或合法程序行為進行比對，根據命中的程度，對所述程序賦予一信任值，并將所述信任值反饋給所述客戶端；所述客戶端預設一閾值，根據所述信任值與所述閾值進行比對，如果所述信任值不小于所述閾值，則判定所述所述程序為合法程序，如果所述信任值小于所述閾值，則判定所述程序為惡意程序。

進一步地，如果所述一組程序特征和/或一組程序行為在所述白名單中全部命中，則所述服務器端對所述程序賦予一最高信任值；如果所述一組程序特征和/或一組程序行為在所述白名單中全部未命中，則所述服務器端對所述程序賦予一最低信任值。

進一步地，還包括：所述客戶端根據所述判定結果決定對惡意程序行為進行攔截、終止執行該惡意程序和/或清理該惡意程序，恢復系統環境。

進一步地，還包括：所述客戶端根據所述判定結果并結合所述惡意程序的屬性，決定是否對該惡意程序行為進行攔截、終止執行該惡意程序和/或清理該惡意程序。

進一步地，所述屬性，包括：所述惡意程序是否為自啟動程序和/或所述惡意程序是否存在于系統目錄內。

進一步地，所述服務器端的數據庫對合法程序的白名單進行收集更新的步驟，包括：周期性通過手工、利用蜘蛛或網絡爬蟲和/或用戶上傳對合法程序進行收集；通過手工或通過工具自動甄別所述合法程序的程序特征和或程序行為并保存在所述白名單中。