技術領域

本發明屬于信息安全技術領域，具體涉及一種基于終端自啟動項的靜態木馬檢測方法。

背景技術

木馬作為黑客常用攻擊工具的一種，木馬對網絡安全造成了嚴重威脅，也是網絡攻擊中獲取信息系的重要途徑，隨著互聯網飛速發展，不法分子們將木馬植入用戶計算機，以竊取有價值的信息，如：銀行賬號、密碼和商業信息等，木馬技術已深入操作系統的內部，植入操作系統內部很難被發現。

傳統木馬檢測方法的漏報率較高，對已知的木馬有很好的方法去防御，對于特種、未知、變種等木馬的檢測仍然是網絡安全方面面臨的主要任務，特種、未知、變種木馬通過自身免殺、修改繞過殺毒軟件制定的特征碼檢測、樣本檢測或修改網絡通信規則，很容易達到繞過安全產品的防護。

發明內容

為了克服上述現有技術的不足，本發明提供一種基于終端自啟動項的靜態木馬檢測方法，可以有效提高檢測特種、未知、變種木馬的準確率，降低檢測誤報率和漏報率。

為了實現上述發明目的，本發明采取如下技術方案：

本發明提供一種基于終端自啟動項的靜態木馬檢測方法，所述方法包括以下步驟：

步驟1：構建系統啟動項的引擎分析模型，并進行全周期啟動項變化監測；

步驟2：對經過系統啟動項的引擎分析模型過濾后的數據進行灰名單智能分析；

步驟3：記錄數據存入各自數據庫；

步驟4：數據庫靜態掃描檢測與數據庫智能分析對比。

所述步驟1包括以下步驟：

步驟1-1：構建系統啟動項的引擎分析模型；系統啟動項的引擎分析模型包括啟動菜單、以前系統遺留文件、注冊表、計劃任務、啟動項、組策略和自動啟動服務；

步驟1-2：對與系統相關啟動關聯項進行分析記錄；

步驟1-3：通過對啟動項文件證書簽名進行過濾，過濾正常文件的證書簽名文件，全周期記錄已構建的系統啟動項的引擎分析模型中產生變化的檢測數據，并對應用軟件或后續關于啟動項啟動程序進行監控記錄。

所述步驟2包括以下步驟：

步驟2-1：依據木馬關聯啟動項、啟動方式、文件類型特征、文件的證書及簽名創建灰名單；所述灰名單主要介于白名單與黑名單之間；

步驟2-2：對經過系統啟動項的引擎分析模型過濾后的數據與全周期記錄的變化監測數據進行灰名單過濾分析；

步驟2-3：采用的灰名單采用黑名單加灰名單檢測機制，通過灰名單判定已知木馬、過濾正常程序，對于介于之間的啟動項數據繼進行下一步分析。

所述步驟3包括以下步驟：

步驟3-1：對灰名單過濾后的系統啟動項的引擎分析模型數據與全周期記錄變化檢測數據進行記錄；

步驟3-2：記錄的數據采用智能處理依托啟動項主文件的所有附屬文件處理機制，對于整個記錄的啟動項文件以及依托文件做去重過濾；

步驟3-3：將系統啟動項的引擎分析模型記錄及過濾后的啟動項文件以及依托文件記錄數據存入B數據庫中，全周期記錄變化檢測數據記錄及全周期的啟動項文件以及依托文件記錄數據存入A數據庫中。

所述步驟4包括以下步驟：

步驟4-1：對B數據庫進行靜態掃描檢測；

先進行靜態的特征掃描，過濾一次簽名文件和已知惡意特征文件；之后進行可執行文件pe節區解析，包括敏感字符串解析、敏感函數名解析、殼文件特征判斷、oep函數入口異常判斷、pe節區是否感染規則分析；

步驟4-2：對各種手段分別設定權重值，根據權重值判定木馬程序，將A數據庫與B數據庫進行智能分析比對，對于無異常記錄進行標記放過，若存在差異記錄，對差異記錄數據在進行靜態掃描檢測，由權重值判定木馬程序，根據數據庫記錄信息可以查找木馬所在位置及依托的啟動項或其他文件，即可直接手動查殺。

與現有技術相比，本發明的有益效果在于：

本發明提供的基于終端自啟動項的靜態木馬檢測方法改變了傳統基于啟動項木馬查殺模式，傳統啟動項木馬檢測都是基于已知木馬行為進行查殺，對未知木馬或基于應用啟動的木馬沒有檢測手段，通過對系統啟動項引擎分析靜態檢測和全周期檢測，能快速判定未知木馬和檢測到木馬基于哪個啟動項或什么動作啟動，檢測出的木馬可以定位木馬存儲位置及其關聯文件，即可直接手動查殺。

附圖說明

圖1是基于終端自啟動項的靜態木馬檢測方法流程圖。

具體實施方式

下面結合附圖對本發明作進一步詳細說明。

如圖1，本發明提供一種基于終端自啟動項的靜態木馬檢測方法，所述方法包括以下步驟：