[发明专利]恶意程序控制指令识别方法及装置

说明书

一种恶意程序控制指令识别方法，包括：监控恶意程序的注入过程，获取注入进程和注入地址；监控与所述注入进程对应的输入数据，获取与所述输入数据对应的执行轨迹；对所述执行轨迹进行筛选，筛选得到与所述注入地址对应的执行轨迹；根据筛选得到的执行轨迹计算代码覆盖率，根据所述代码覆盖率定位对应控制指令判断逻辑的覆盖单元；根据所述对应控制指令判断逻辑的覆盖单元获取标准控制指令集。此外，还提供了一种恶意程序控制指令识别装置。上述恶意程序控制指令识别方法及装置能够提高控制指令识别的准确率。

技术领域

本发明涉及计算机技术领域，特别是涉及一种恶意程序控制指令识别方法及装置。

背景技术

伴随着计算机技术的发展，恶意程序越来越多的出现在日常生活中，对企业的信息安全以及人们的正常生活产生不良影响。例如，现有的僵尸网络恶意程序即通过感染传播的手段，将大量恶意程序客户端植入到多个主机之中，然后不法分子可通过僵尸网络服务器发送控制指令操纵被控制的多个主机发起DDOS（拒绝服务攻击）攻击。例如，不法分子可操纵被控制的多个主机同时向某个网站发起大量请求，使该网站的服务器负载增加，从而影响用户正常的浏览服务。

因此，为遏制恶意程序造成的危害，通常需要先对恶意程序的控制指令进行识别，然后再通过数据包分析将附带有恶意程序控制指令的数据包截获，从而在全局控制恶意程序的危害。

然而，现有技术中对恶意程序控制指令的识别方法，通常通过人工的方式静态的分析恶意程序的代码，或者动态的分析数据包的统计特征，其识别准确度均较低。

发明内容

基于此，有必要提供一种能提高识别准确率的恶意程序控制指令识别方法。

一种恶意程序控制指令识别方法，包括：

监控恶意程序的注入过程，获取注入进程和注入地址；

监控与所述注入进程对应的输入数据，获取与所述输入数据对应的执行轨迹；

对所述执行轨迹进行筛选，筛选得到与所述注入地址对应的执行轨迹；

根据筛选得到的执行轨迹计算代码覆盖率，根据所述代码覆盖率定位对应控制指令判断逻辑的覆盖单元；

根据所述对应控制指令判断逻辑的覆盖单元获取标准控制指令集。

此外，还有必要提供一种能提高识别准确率的恶意程序控制指令识别装置。

一种恶意程序控制指令识别装置，包括：

进程监控模块，用于监控恶意程序的注入过程，获取注入进程和注入地址；

执行轨迹获取模块，用于监控与所述注入进程对应的输入数据，获取与所述输入数据对应的执行轨迹；

执行轨迹筛选模块，用于对所述执行轨迹进行筛选，筛选得到与所述注入地址对应的执行轨迹；

覆盖单元定位模块，用于根据筛选得到的执行轨迹计算代码覆盖率，根据所述代码覆盖率定位对应控制指令判断逻辑的覆盖单元；

指令获取模块，用于根据所述对应控制指令判断逻辑的覆盖单元获取标准控制指令集。

上述恶意程序控制指令识别方法及装置，通过监控恶意程序对系统进程的注入过程获取与输入数据对应的执行轨迹，在对执行轨迹进行筛选后得到与注入地址即恶意程序加载在内存中的区域对应的执行轨迹，然后通过分析各个执行轨迹中包含的覆盖单元的代码覆盖率来定位与控制指令判断逻辑对应的覆盖单元。由于与控制指令判断逻辑对应的覆盖单元中必然包含用于校验输入数据中包含的控制指令是否正确的标准控制指令集，因此，根据该与控制指令判断逻辑对应的覆盖单元即可获取恶意程序控制指令。和现有技术相比，上述恶意程序控制指令识别方法及装置由于通过监控准确定位到了与控制指令判断逻辑对应的覆盖单元，使得识别的准确度得到了提高。