[发明专利]判断程序是否恶意的方法

说明书

本发明专利申请是申请日为2010年8月18日、申请号为201010256973.3、名称为“一种依据白名单进行恶意程序检测的方法”的中国发明专利申请的分案申请。

技术领域

本发明属于网络安全领域，具体地说，涉及一种判断程序是否恶意的方法。

背景技术

传统的恶意程序防杀主要依赖于特征库模式。特征库是由厂商收集到的恶意程序样本的特征码组成，而特征码则是分析工程师从恶意程序中找到和正当软件的不同之处，截取一段类似于“搜索关键词”的程序代码。当查杀过程中，引擎会读取文件并与特征库中的所有特征码“关键词”进行匹配，如果发现文件程序代码被命中，就可以判定该文件程序为恶意程序。

之后又衍生出了在本地启发式杀毒的方式，是以特定方式实现的动态高度器或反编译器，通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。恶意程序和正常程序的区别可以体现在许多方面，比如：通常一个应用程序在最初的指令，是检查命令行输入有无参数项、清屏和保存原来屏幕显示等，而恶意程序通常最初的指令则是直接写盘操作、解码指令，或搜索某路径下的可执行程序等相关操作指令序列。这些显著的不同之处，一个熟练的程序员在调试状态下只需一瞥便可一目了然。启发式代码扫描技术实际上就是把这种经验和知识移植到一个查杀病毒软件中的具体程序体现。

但是上述查杀恶意软件的方法都是基于恶意行为和/或恶意特征，先对一个程序判定其是否为恶意程序，然后再决定是否进行查杀或者清理。这就不可避免导致出现了如下弊端。

据统计，现今全球恶意程序数量呈几何级增长，基于这种爆发式的增速，特征库的生成与更新往往是滞后的，特征库中恶意程序的特征码的补充跟不上层出不穷的未知恶意程序。

另外，近年来，随着恶意程序制作者对免杀技术的应用，通过对恶意程序加壳或修改该恶意程序的特征码的手法越来越多的出现；以及许多木马程序采用了更多更频繁快速的自动变形，这些都导致通过恶意行为和/或恶意特征对恶意程序进行判定的难度越来越大，从而引起对恶意程序的查杀或清理的困难。

发明内容

有鉴于此，本发明所要解决的技术问题是提供了一种依据白名单进行恶意程序检测的方法，不依赖于本地数据库，并且基于对合法程序的认定来反向判定恶意程序。

为了解决上述技术问题，本发明公开了一种依据白名单进行恶意程序检测的方法，包括：服务器端的数据库建立合法程序的白名单并进行收集更新；客户端对一程序的程序特征和/或程序行为进行收集并发送到服务器端进行查询，服务器端根据所述程序特征和/或程序行为在所述白名单中进行分析比对，根据比对结果对所述程序的合法性或信任值进行判定并反馈给所述客户端。

进一步地，所述服务器端根据所述程序特征和/或程序行为，与所述白名单中保存的合法程序特征和/或合法程序行为进行比对，如果命中，则判定所述程序为合法程序，并反馈给所述客户端；如果没有命中，则判定所述程序为恶意程序，并反馈给所述客户端。

进一步地，所述服务器端根据程序的一组程序特征和/或一组程序行为，与所述白名单中保存的合法程序特征和/或合法程序行为进行比对，根据命中的程度，对所述程序赋予一信任值，并将所述信任值反馈给所述客户端；所述客户端预设一阈值，根据所述信任值与所述阈值进行比对，如果所述信任值不小于所述阈值，则判定所述所述程序为合法程序，如果所述信任值小于所述阈值，则判定所述程序为恶意程序。

进一步地，如果所述一组程序特征和/或一组程序行为在所述白名单中全部命中，则所述服务器端对所述程序赋予一最高信任值；如果所述一组程序特征和/或一组程序行为在所述白名单中全部未命中，则所述服务器端对所述程序赋予一最低信任值。

进一步地，还包括：所述客户端根据所述判定结果决定对恶意程序行为进行拦截、终止执行该恶意程序和/或清理该恶意程序，恢复系统环境。

进一步地，还包括：所述客户端根据所述判定结果并结合所述恶意程序的属性，决定是否对该恶意程序行为进行拦截、终止执行该恶意程序和/或清理该恶意程序。

进一步地，所述属性，包括：所述恶意程序是否为自启动程序和/或所述恶意程序是否存在于系统目录内。

进一步地，所述服务器端的数据库对合法程序的白名单进行收集更新的步骤，包括：周期性通过手工、利用蜘蛛或网络爬虫和/或用户上传对合法程序进行收集；通过手工或通过工具自动甄别所述合法程序的程序特征和或程序行为并保存在所述白名单中。