[发明专利]一种恶意程序识别系统

权利要求书

1.一种恶意程序识别系统，其特征在于：

所述系统包括以下模块：

训练模块：用于根据样本程序构建恶意程序性质数据库；

识别模块：用于采用模型检测方法对待识别程序进行性质验证，判断是否为恶意程序。

2.如权利要求1所述的一种恶意程序识别系统，其特征在于：

所述训练模块通过对所述样本程序进行时态性质挖掘，并通过对比正常程序样本与恶意程序样本的性质，筛选出恶意程序所特有的部分，从而建立所述恶意程序性质数据库。

3.如权利要求1所述的一种恶意程序识别系统，其特征在于：

所述识别模块在所述恶意程序性质数据库的基础上，对待识别的目标程序进行性质验证，根据目标程序是否具备恶意程序性质来判断目标程序是否为恶意程序。

4.如权利要求1所述的一种恶意程序识别系统，其特征在于：

所述系统具备以下两个数据库：正常程序时态性质数据库，存储正常程序样本挖掘所得的性质；恶意程序时态性质数据库，存储恶意程序样本挖掘所得的性质。

5.如权利要求1-4任意一项所述的一种恶意程序识别系统，其特征在于：

所述恶意程序识别系统具备自进化能力，在使用过程中，根据判断结果将已测试样本程序进行标注，放入训练模块中处理，以进行时态性质数据库的扩充。

6.如权利要求1-4任意一项所述的一种恶意程序识别系统，其特征在于：

所述训练模块包括如下组成单元：

控制流图生成单元，用于从样本程序库中读取一个已知恶意与否的样本程序，采用IDA Pro使用递归下降法对该样本程序的目标代码进行反汇编、库函数调用识别，相应控制流图的生成；

转换单元，用于将样本程序的控制流图转换为迁移系统模型；

时态性质挖掘单元，用于在迁移系统模型上运行时态性质挖掘算法，以常见时态性质为模板，挖掘指令路径中存在的时态性质；

时态性质存储单元，用于根据所述样本程序是否为恶意程序，将挖掘到的时态性质分别存入正常程序时态性质数据库或恶意程序时态性质数据库；

判断单元，用于判断样本程序库中是否还有程序样本；

筛选及更新单元，用于对比正常程序性质数据库与恶意程序性质数据库中的性质，筛选出仅属于恶意程序数据的性质，更新恶意程序性质数据库。

7.如权利要求6所述的一种恶意程序识别系统，其特征在于：

所述控制流图生成单元、转换单元、时态性质挖掘单元、时态性质存储单元、判断单元依次连接，所述判断单元还连接控制流图生成单元和筛选及更新单元。

8.如权利要求1-4任意一项所述的一种恶意程序识别系统，其特征在于：

所述识别模块中包括以下组成单元：

流图构建单元,用于读取待识别程序，对待识别程序的目标代码进行反汇编、库函数识别以及控制流图的生成；

流图转换单元，用于将待识别程序的控制流图转换为迁移系统模型；

检测单元，用于使用时态逻辑模型检查器检查迁移系统模型中是否具有恶意程序性质数据库中的时态性质；

判定单元，用于判断迁移系统模型是否具备某项恶意程序性质；如果迁移系统模型具备某项恶意程序性质，就输出结果表示其具备恶意特征，否则，则认定为正常程序。

9.如权利要求8所述的一种恶意程序识别系统，其特征在于：

所述流图构建单元、流图转换单元、检测单元、判定单元依次连接。