本發(fā)明公開(kāi)了一種基于時(shí)間序列化差異檢測(cè)惡意代碼的方法及系統(tǒng)，其中，所述方法包括：獲取人工從創(chuàng)建到執(zhí)行一個(gè)文件所需時(shí)間的最小值t_min；獲取待檢測(cè)文件從創(chuàng)建到執(zhí)行所使用的時(shí)間t_文件；判斷t_文件是否大于等于t_min，若是則判定待檢測(cè)文件為低可疑文件，否則判定待檢測(cè)文件為高可疑文件。對(duì)于所述低可疑文件和所述高可疑文件還可以進(jìn)行進(jìn)一步檢測(cè)，最終判定是白文件、灰文件還是黑文件。本發(fā)明避免了對(duì)所有的樣本都進(jìn)行惡意行為的檢測(cè)，提高了檢測(cè)效率。

技術(shù)領(lǐng)域

本發(fā)明涉及信息安全技術(shù)領(lǐng)域，尤其涉及一種基于時(shí)間序列化差異檢測(cè)惡意代碼的方法及系統(tǒng)。

背景技術(shù)

傳統(tǒng)的惡意樣本檢測(cè)方法包括靜態(tài)檢測(cè)和動(dòng)態(tài)檢測(cè)兩種。其中，靜態(tài)檢測(cè)是依靠從已知惡意樣本中提出的特征碼進(jìn)行檢測(cè)，因此對(duì)于未知惡意代碼沒(méi)有檢出能力；動(dòng)態(tài)檢測(cè)是通過(guò)構(gòu)建環(huán)境使得惡意樣本運(yùn)行，進(jìn)而對(duì)惡意樣本進(jìn)行檢出。目前，存在一些專(zhuān)利文獻(xiàn)公開(kāi)為所有需要檢測(cè)的文件構(gòu)建專(zhuān)屬的運(yùn)行環(huán)境，根據(jù)目標(biāo)文件在各個(gè)運(yùn)行環(huán)境中的運(yùn)行行為，確定目標(biāo)文件是否為惡意樣本。而動(dòng)態(tài)檢測(cè)方法的缺點(diǎn)在于過(guò)于依賴(lài)于環(huán)境的構(gòu)建，可能會(huì)存在無(wú)法有效觸發(fā)等情況。

發(fā)明內(nèi)容

針對(duì)上述技術(shù)問(wèn)題，本發(fā)明基于樣本從創(chuàng)建到執(zhí)行的時(shí)間序列化差異進(jìn)行了樣本的分揀，避免了對(duì)所有的樣本都進(jìn)行惡意行為匹配等操作，提高了檢測(cè)效率。

發(fā)明人通過(guò)研究發(fā)現(xiàn)惡意樣本傳播到計(jì)算機(jī)后，從創(chuàng)建文件到文件執(zhí)行所使用的時(shí)間要比人為操作下載文件或拷貝文件到執(zhí)行的時(shí)間少的多，因此可以利用這種時(shí)間差異來(lái)進(jìn)行惡意樣本的分揀，提高惡意樣本檢測(cè)的效率。

本發(fā)明采用如下方法來(lái)實(shí)現(xiàn)：一種基于時(shí)間序列化差異檢測(cè)惡意代碼的方法，包括：

獲取人工從創(chuàng)建到執(zhí)行一個(gè)文件所需時(shí)間的最小值t_min；

獲取待檢測(cè)文件從創(chuàng)建到執(zhí)行所使用的時(shí)間t_文件；

判斷t_文件是否大于等于t_min，若是則判定待檢測(cè)文件為低可疑文件，否則判定待檢測(cè)文件為高可疑文件。

進(jìn)一步地，所述判定待檢測(cè)文件為低可疑文件之后，還包括：判斷待檢測(cè)文件是否具備數(shù)字簽名，若具備則判定為白文件，若不具備則進(jìn)行進(jìn)一步檢測(cè)。

更進(jìn)一步地，所述進(jìn)行進(jìn)一步檢測(cè)，包括：判斷待檢測(cè)文件是否創(chuàng)建了啟動(dòng)項(xiàng)或者服務(wù)，若否則判定為灰文件，否則對(duì)待檢測(cè)文件進(jìn)行惡意行為庫(kù)的匹配，若匹配成功則判定為黑文件，否則判定為灰文件。

其中，所述判定待檢測(cè)文件為高可疑文件之后，還包括：判斷待檢測(cè)文件是否創(chuàng)建了啟動(dòng)項(xiàng)或者服務(wù)，若否則判定為灰文件，否則對(duì)待檢測(cè)文件進(jìn)行惡意行為庫(kù)的匹配，若匹配成功則判定為黑文件，若匹配失敗則判定為灰文件。

本發(fā)明可以采用如下系統(tǒng)來(lái)實(shí)現(xiàn)：一種基于時(shí)間序列化差異檢測(cè)惡意代碼的系統(tǒng)，包括：

人工時(shí)間分析模塊，用于獲取人工從創(chuàng)建到執(zhí)行一個(gè)文件所需時(shí)間的最小值t_min；

實(shí)際時(shí)間獲取模塊，用于獲取待檢測(cè)文件從創(chuàng)建到執(zhí)行所使用的時(shí)間t_文件；

可疑文件判定模塊，用于判斷t_文件是否大于等于t_min，若是則判定待檢測(cè)文件為低可疑文件，否則判定待檢測(cè)文件為高可疑文件。

進(jìn)一步地，所述判定待檢測(cè)文件為低可疑文件之后，還包括：判斷待檢測(cè)文件是否具備數(shù)字簽名，若具備則判定為白文件，若不具備則進(jìn)行進(jìn)一步檢測(cè)。