一种记录样本行为及制定病毒规则的系统的制作方法

本发明属于计算机安全领域，具体涉及一种记录样本行为及制定病毒规则的系统。

背景技术：

一个文件是否包含有病毒，通常情况下都是由专业的杀毒软件检查并进行判断；而文件安全与否的判断条件都是由专业开发人员提前预编写的规则进行判定。现目前，网络上的文件五花八门、病毒的行为也随时在更新，对系统的配置文件、注册表等随意修改，专业的杀毒软件也无法做到面面俱到，导致电脑文件被恶意篡改之后，出现意想不到的问题；当出现以上问题时，传统的解决方案都是通过网上搜索，找到有类似经历的帖子进行解决、修复，但由于杀毒软件并没有提供相关的接口对已知的危险行为进行设置，因此，用户的电脑可能会遭受到由于杀毒软件误报、错报而造成的中毒风险。

为了能够及时的更新病毒行为库，同时降低用户对安全行业的门槛，这样可以推出一种在现有的系统病毒行为库的基础上增加一种用户自定义病毒行为的装置，再通过简单、方便的语句，对病毒行为进行描述，在以后的样本分析过程中一旦触发了该规则，就可以对其进行告警。

各系统中的注册表、系统文件、配置文件等量太大，专业安全人员不可能做到对所有的文件在系统中所发挥的功能全部了解，对病毒私自篡改之后所带来的危害也不能做到面面俱到，现有的安全软件，病毒行为的制定都是由专业的开发人员进行制定，没有为用户提供相关的编写装置或相关接口。

技术实现要素：

针对上述现有技术中的不足，本发明提供了一种记录样本行为及制定病毒规则的系统。

一种记录样本行为及制定病毒规则的系统，其特征在于工作流程包括以下步骤：

步骤1.使用关键字behaviorscript对行为进行描述，主要对行为命名、描述、等级和id进行描述，所述id包括fileoperator、regoperator、networkoperator、processoperator和staticanalyse；

步骤2.使用关键字behavior对需要处理的具体行为进行操作，再将层级关系将其进行罗列；对注册表操作的设置键值进行解析；

步骤3.步骤2中解析得到的对需要关注的参数进行获取，并设置其判定条件；获取到修改注册表中的路径、键和值，若上述匹配的路径、键和值受到修改，则匹配到了病毒行为；

步骤4.对匹配到的病毒行为进行简单的阐述，使用matchbehavior进行描述；

步骤5.对病毒特征进行特征的编写以确定病毒规则。

所述步骤5的详细步骤为：

a.使用关键字featurescript对行为进行描述，主要对行为命名、描述、等级和id进行描述；

b.对某个函数行为进行记录，使用behavior关键字，对具体的某个行为进行层级的调用，如果需要在长期的对某些操作进行记录，则使用globalinit的方式定义全局变量；

c.对样本的行为进行记录、存储，使用关键字dealfinish对一系列操作完成后的结果进行判断，并将匹配到的行为进行描述。

所述fileoperator包括的行为类别：拷贝文件、创建目录、访问文件、释放文件、修改文件、创建文件、删除文件或重命名文件。

所述regoperator包括的行为类别：访问键数据、写入键数据、修改键数据、创建键、删除键、重命名键、扫描键或还原键。

所述networkoperator包括的行为类别：访问ip地址、访问服务器、下载文件、请求域名所述processoperator包括的行为类别：读取内存、写入内存或修改内存。

所述staticanalyse包括的行为类别：进程位数、签名、类型、图标、导出函数、导入函数、导出表或导入表。

本发明的有益效果：

本发明为用户提供了易上手的病毒规则编写装置，用户只需要对行为中包含的敏感词汇或者操作进行预设，在以后的样本分析过程中一旦触发了这些敏感内容，就可以对其进行告警，从而降低了同类病毒的误报率。

附图说明

图1为本发明行为编程示例图；

图2为本发明行为参数详情示例图；

图3为本发明特征编程示例图。

具体实施方式：

如图1-3

实施例1：

一种记录样本行为及制定病毒规则的系统，其特征在于工作流程包括以下步骤：

步骤1.使用关键字behaviorscript对行为进行描述，主要对行为命名、描述、等级和id进行描述，所述id包括fileoperator、regoperator、networkoperator、processoperator和staticanalyse；

步骤2.使用关键字behavior对需要处理的具体行为进行操作，再将层级关系将其进行罗列；对注册表操作的设置键值进行解析；

步骤3.步骤2中解析得到的对需要关注的参数进行获取，并设置其判定条件；获取到修改注册表中的路径、键和值，若上述匹配的路径、键和值受到修改，则匹配到了病毒行为；

步骤4.对匹配到的病毒行为进行简单的阐述，使用matchbehavior进行描述；

步骤5.对病毒特征进行特征的编写以确定病毒规则。

实施例2：

一种记录样本行为及制定病毒规则的系统，其特征在于工作流程包括以下步骤：

步骤1.使用关键字behaviorscript对行为进行描述，主要对行为命名、描述、等级和id进行描述，所述id包括fileoperator、regoperator、networkoperator、processoperator和staticanalyse；

步骤2.使用关键字behavior对需要处理的具体行为进行操作，再将层级关系将其进行罗列；对注册表操作的设置键值进行解析；

步骤3.步骤2中解析得到的对需要关注的参数进行获取，并设置其判定条件；获取到修改注册表中的路径、键和值，若上述匹配的路径、键和值受到修改，则匹配到了病毒行为；

步骤4.对匹配到的病毒行为进行简单的阐述，使用matchbehavior进行描述；

步骤5.对病毒特征进行特征的编写以确定病毒规则。

所述步骤5的详细步骤为：

a.使用关键字featurescript对行为进行描述，主要对行为命名、描述、等级和id进行描述；

b.对某个函数行为进行记录，使用behavior关键字，对具体的某个行为进行层级的调用，如果需要在长期的对某些操作进行记录，则使用globalinit的方式定义全局变量；

c.对样本的行为进行记录、存储，使用关键字dealfinish对一系列操作完成后的结果进行判断，并将匹配到的行为进行描述。

实施例3：

一种记录样本行为及制定病毒规则的系统，其特征在于工作流程包括以下步骤：

步骤1.使用关键字behaviorscript对行为进行描述，主要对行为命名、描述、等级和id进行描述，所述id包括fileoperator、regoperator、networkoperator、processoperator和staticanalyse；

步骤2.使用关键字behavior对需要处理的具体行为进行操作，再将层级关系将其进行罗列；对注册表操作的设置键值进行解析；

步骤3.步骤2中解析得到的对需要关注的参数进行获取，并设置其判定条件；获取到修改注册表中的路径、键和值，若上述匹配的路径、键和值受到修改，则匹配到了病毒行为；

步骤4.对匹配到的病毒行为进行简单的阐述，使用matchbehavior进行描述；

步骤5.对病毒特征进行特征的编写以确定病毒规则。

所述步骤5的详细步骤为：

a.使用关键字featurescript对行为进行描述，主要对行为命名、描述、等级和id进行描述；

b.对某个函数行为进行记录，使用behavior关键字，对具体的某个行为进行层级的调用，如果需要在长期的对某些操作进行记录，则使用globalinit的方式定义全局变量；

c.对样本的行为进行记录、存储，使用关键字dealfinish对一系列操作完成后的结果进行判断，并将匹配到的行为进行描述。

所述regoperator包括的行为类别：访问键数据、写入键数据、修改键数据、创建键、删除键、重命名键、扫描键或还原键。

所述networkoperator包括的行为类别：访问ip地址、访问服务器、下载文件、请求域名所述processoperator包括的行为类别：读取内存、写入内存或修改内存。

所述staticanalyse包括的行为类别：进程位数、签名、类型、图标、导出函数、导入函数、导出表或导入表。

实施例4：

一种记录样本行为及制定病毒规则的系统，其特征在于工作流程包括以下步骤：

步骤1.使用关键字behaviorscript对行为进行描述，主要对行为命名、描述、等级和id进行描述，所述id包括fileoperator、regoperator、networkoperator、processoperator和staticanalyse；

步骤2.使用关键字behavior对需要处理的具体行为进行操作，再将层级关系将其进行罗列；对注册表操作的设置键值进行解析；

步骤3.步骤2中解析得到的对需要关注的参数进行获取，并设置其判定条件；获取到修改注册表中的路径、键和值，若上述匹配的路径、键和值受到修改，则匹配到了病毒行为；

步骤4.对匹配到的病毒行为进行简单的阐述，使用matchbehavior进行描述；

步骤5.对病毒特征进行特征的编写以确定病毒规则。

所述步骤5的详细步骤为：

a.使用关键字featurescript对行为进行描述，主要对行为命名、描述、等级和id进行描述；

b.对某个函数行为进行记录，使用behavior关键字，对具体的某个行为进行层级的调用，如果需要在长期的对某些操作进行记录，则使用globalinit的方式定义全局变量；

c.对样本的行为进行记录、存储，使用关键字dealfinish对一系列操作完成后的结果进行判断，并将匹配到的行为进行描述。

所述fileoperator包括的行为类别：拷贝文件、创建目录、访问文件、释放文件、修改文件、创建文件、删除文件或重命名文件。

所述networkoperator包括的行为类别：访问ip地址、访问服务器、下载文件、请求域名所述processoperator包括的行为类别：读取内存、写入内存或修改内存。

所述staticanalyse包括的行为类别：进程位数、签名、类型、图标、导出函数、导入函数、导出表或导入表。

实施例5：

一种记录样本行为及制定病毒规则的系统，其特征在于工作流程包括以下步骤：

步骤1.使用关键字behaviorscript对行为进行描述，主要对行为命名、描述、等级和id进行描述，所述id包括fileoperator、regoperator、networkoperator、processoperator和staticanalyse；

步骤2.使用关键字behavior对需要处理的具体行为进行操作，再将层级关系将其进行罗列；对注册表操作的设置键值进行解析；

步骤3.步骤2中解析得到的对需要关注的参数进行获取，并设置其判定条件；获取到修改注册表中的路径、键和值，若上述匹配的路径、键和值受到修改，则匹配到了病毒行为；

步骤4.对匹配到的病毒行为进行简单的阐述，使用matchbehavior进行描述；

步骤5.对病毒特征进行特征的编写以确定病毒规则。

所述步骤5的详细步骤为：

a.使用关键字featurescript对行为进行描述，主要对行为命名、描述、等级和id进行描述；

b.对某个函数行为进行记录，使用behavior关键字，对具体的某个行为进行层级的调用，如果需要在长期的对某些操作进行记录，则使用globalinit的方式定义全局变量；

c.对样本的行为进行记录、存储，使用关键字dealfinish对一系列操作完成后的结果进行判断，并将匹配到的行为进行描述。

所述fileoperator包括的行为类别：拷贝文件、创建目录、访问文件、释放文件、修改文件、创建文件、删除文件或重命名文件。

所述regoperator包括的行为类别：访问键数据、写入键数据、修改键数据、创建键、删除键、重命名键、扫描键或还原键。

所述staticanalyse包括的行为类别：进程位数、签名、类型、图标、导出函数、导入函数、导出表或导入表。

实施例6：

一种记录样本行为及制定病毒规则的系统，其特征在于工作流程包括以下步骤：

步骤1.使用关键字behaviorscript对行为进行描述，主要对行为命名、描述、等级和id进行描述，所述id包括fileoperator、regoperator、networkoperator、processoperator和staticanalyse；

步骤2.使用关键字behavior对需要处理的具体行为进行操作，再将层级关系将其进行罗列；对注册表操作的设置键值进行解析；

步骤3.步骤2中解析得到的对需要关注的参数进行获取，并设置其判定条件；获取到修改注册表中的路径、键和值，若上述匹配的路径、键和值受到修改，则匹配到了病毒行为；

步骤4.对匹配到的病毒行为进行简单的阐述，使用matchbehavior进行描述；

步骤5.对病毒特征进行特征的编写以确定病毒规则。

所述步骤5的详细步骤为：

a.使用关键字featurescript对行为进行描述，主要对行为命名、描述、等级和id进行描述；

b.对某个函数行为进行记录，使用behavior关键字，对具体的某个行为进行层级的调用，如果需要在长期的对某些操作进行记录，则使用globalinit的方式定义全局变量；

c.对样本的行为进行记录、存储，使用关键字dealfinish对一系列操作完成后的结果进行判断，并将匹配到的行为进行描述。

所述fileoperator包括的行为类别：拷贝文件、创建目录、访问文件、释放文件、修改文件、创建文件、删除文件或重命名文件。

所述regoperator包括的行为类别：访问键数据、写入键数据、修改键数据、创建键、删除键、重命名键、扫描键或还原键。

所述networkoperator包括的行为类别：访问ip地址、访问服务器、下载文件、请求域名所述processoperator包括的行为类别：读取内存、写入内存或修改内存。

实施例7：

一种记录样本行为及制定病毒规则的系统，其特征在于工作流程包括以下步骤：

步骤1.使用关键字behaviorscript对行为进行描述，主要对行为命名、描述、等级和id进行描述，所述id包括fileoperator、regoperator、networkoperator、processoperator和staticanalyse；

步骤2.使用关键字behavior对需要处理的具体行为进行操作，再将层级关系将其进行罗列；对注册表操作的设置键值进行解析；

步骤3.步骤2中解析得到的对需要关注的参数进行获取，并设置其判定条件；获取到修改注册表中的路径、键和值，若上述匹配的路径、键和值受到修改，则匹配到了病毒行为；

步骤4.对匹配到的病毒行为进行简单的阐述，使用matchbehavior进行描述；

步骤5.对病毒特征进行特征的编写以确定病毒规则。

所述步骤5的详细步骤为：

a.使用关键字featurescript对行为进行描述，主要对行为命名、描述、等级和id进行描述；

b.对某个函数行为进行记录，使用behavior关键字，对具体的某个行为进行层级的调用，如果需要在长期的对某些操作进行记录，则使用globalinit的方式定义全局变量；

c.对样本的行为进行记录、存储，使用关键字dealfinish对一系列操作完成后的结果进行判断，并将匹配到的行为进行描述。

所述fileoperator包括的行为类别：拷贝文件、创建目录、访问文件、释放文件、修改文件、创建文件、删除文件或重命名文件。

所述regoperator包括的行为类别：访问键数据、写入键数据、修改键数据、创建键、删除键、重命名键、扫描键或还原键。

所述networkoperator包括的行为类别：访问ip地址、访问服务器、下载文件、请求域名所述processoperator包括的行为类别：读取内存、写入内存或修改内存。

所述staticanalyse包括的行为类别：进程位数、签名、类型、图标、导出函数、导入函数、导出表或导入表。