收藏
下载资源 加入会员免费下载

恶意代码的检测方法及装置.pdf

上传人:le****a 文档编号:6178051 上传时间:2019-05-17 格式:PDF 页数:14 大小:1.27MB
返回 下载 相关 举报
摘要
申请专利号:

CN201410040500.8

 申请日:

2014.01.27
公开号:

CN103761483A

 公开日:

2014.04.30
当前法律状态:

驳回

 有效性:

无权
法律详情:

发明专利申请公布后的驳回IPC(主分类):G06F 21/56申请公布日:20140430|||实质审查的生效IPC(主分类):G06F 21/56申请日:20140127|||公开
IPC分类号:

G06F21/56(2013.01)I

 主分类号:

G06F21/56
申请人:

百度在线网络技术(北京)有限公司
发明人:

邹荣新; 徐超; 谢小军; 张科
地址:

100085 北京市海淀区上地十街10号百度大厦三层
优先权:

专利代理机构:

北京清亦华知识产权代理事务所(普通合伙) 11201

 代理人:

宋合成
PDF下载: PDF下载
内容摘要

本发明提出一种恶意代码的检测方法及装置。其中该方法包括:获取待检测代码的至少一个图标文件;获取至少一个图标文件的第一摘要信息;以及根据至少一个图标文件的第一摘要信息判断待检测代码是否为恶意代码。本发明实施例的恶意代码的检测方法,得到待检测代码的图标文件,并根据图标文件的第一摘要信息检测待检测代码是否为恶意代码,能够识别出传统检测方法所无法识别的家族恶意代码或变种恶意代码,提高了恶意代码的检出率和准确率。

权利要求书

权利要求书
1.  一种恶意代码的检测方法,其特征在于,包括:
获取待检测代码的至少一个图标文件;
获取所述至少一个图标文件的第一摘要信息;以及
根据所述至少一个图标文件的第一摘要信息判断所述待检测代码是否为恶意代码。

2.  根据权利要求1所述的恶意代码的检测方法,其特征在于,所述根据至少一个图标文件的第一摘要信息判断所述待检测代码是否为恶意代码包括:
在第一预设样本库中查找所述至少一个图标文件的第一摘要信息;以及
如果在所述第一预设样本库中查找到所述至少一个图标文件的第一摘要信息,则判断所述待检测代码为恶意代码。

3.  根据权利要求2所述的恶意代码的检测方法,其特征在于,还包括:
如果在所述第一预设样本库中未查找到所述至少一个图标文件的第一摘要信息,则进一步获取所述至少一个图标文件的第二摘要信息,其中,所述第一摘要信息基于所述图标文件生成,所述第二摘要信息基于所述图标文件的分片内容生成;以及
根据所述至少一个图标文件的第二摘要信息判断所述待检测代码是否为恶意代码。

4.  根据权利要求3所述的恶意代码的检测方法,其特征在于,所述根据至少一个图标文件的第二摘要信息判断所述待检测代码是否为恶意代码包括:
获取第二预设样本库中预设摘要信息与所述至少一个图标文件的第二摘要信息的相似度;以及
如果存在所述相似度超过预设值的所述预设摘要信息,则判断所述待检测代码为恶意代码。

5.  根据权利要求1至4中任一项所述的恶意代码的检测方法,其特征在于,在所述获取待检测代码的至少一个图标文件之前,还包括:
获取所述待检测代码的特性内容和/或行为特性信息;
在预设的特性内容和/或行为特性信息样本库中查找所述待检测代码的特性内容和/或行为特性信息;以及
如果在所述预设的特性内容和/或行为特性信息样本库中查找到所述待检测代码的特性内容和/或行为特性信息,则判断所述待检测代码为恶意代码。

6.  一种恶意代码的检测装置,其特征在于,包括:
第一获取模块,用于获取待检测代码的至少一个图标文件;
第二获取模块,用于获取所述至少一个图标文件的第一摘要信息;以及
判断模块,用于根据所述至少一个图标文件的第一摘要信息判断所述待检测代码是否为恶意代码。

7.  根据权利要求6所述的恶意代码的检测装置,其特征在于,所述判断模块包括:
查找单元,用于在第一预设样本库中查找所述至少一个图标文件的第一摘要信息;以及
第一判断单元,用于在所述第一预设样本库中查找到所述至少一个图标文件的第一摘要信息时,判断所述待检测代码为恶意代码。

8.  根据权利要求7所述的恶意代码的检测装置,其特征在于,所述判断模块还包括:
获取单元,用于在所述第一预设样本库中未查找到所述至少一个图标文件的第一摘要信息时,进一步获取所述至少一个图标文件的第二摘要信息,其中,所述第一摘要信息基于所述图标文件生成,所述第二摘要信息基于所述图标文件的分片内容生成;以及
第二判断单元,用于根据所述至少一个图标文件的第二摘要信息判断所述待检测代码是否为恶意代码。

9.  根据权利要求8所述的恶意代码的检测装置,其特征在于,所述第二判断单元包括:
获取子单元,用于获取第二预设样本库中预设摘要信息与所述至少一个图标文件的第二摘要信息的相似度;以及
判断子单元,用于存在所述相似度超过预设值的所述预设摘要信息时,判断所述待检测代码为恶意代码。

10.  根据权利要求6至9中任一项所述的恶意代码的检测装置,其特征在于,还包括:
第三获取模块,用于获取所述待检测代码的特性内容和/或行为特性信息;
查找模块,用于在预设的特性内容和/或行为特性信息样本库中查找所述待检测代码的特性内容和/或行为特性信息;以及
所述判断模块还用于在所述预设的特性内容和/或行为特性信息样本库中查找到所述待检测代码的特性内容和/或行为特性信息,则判断所述待检测代码为恶意代码。

说明书

说明书恶意代码的检测方法及装置
技术领域
本发明涉及计算机技术领域,尤其涉及一种恶意代码的检测方法及装置。
背景技术
随着互联网技术的快速发展,恶意代码的黑色利益链已经形成,且发展快速。因此恶意代码的制作逐步走向产业化,恶意代码的制作者会对恶意代码不断地维护,从而形成基于同一个基础恶意代码版本的一组不同版本的恶意代码,也可以称为家族恶意代码或变种恶意代码。
对于此类恶意代码,相关技术可采用以下两种方式进行检测:一种方法是静态的特征内容匹配:扫描恶意代码从而获取恶意代码的特征内容,并与预设特征内容进行匹配,如果匹配成功,则确定为恶意代码;另一种方法是行为特征匹配:分析恶意代码的动态行为,并与预设动态行为进行匹配,如果匹配成功,则确定为恶意代码。
但是,相关技术存在以下问题:恶意代码的制作者在对恶意代码的不断维护过程中,使用了更多的加密、混淆等对抗处理手段,上述两种方法都受到限制,甚至有些恶意代码根本无法检测出来。
发明内容
本发明旨在至少在一定程度上解决相关技术中的技术问题之一。
为此,本发明的一个目的在于提出一种恶意代码的检测方法。该方法能够提高恶意代码的检出率和准确率,保障信息安全。
本发明的第二个目的在于提出一种恶意代码的检测装置。
为了实现上述目的,本发明第一方面实施例的恶意代码的检测方法,包括:获取待检测代码的至少一个图标文件;获取所述至少一个图标文件的第一摘要信息;以及根据所述至少一个图标文件的第一摘要信息判断所述待检测代码是否为恶意代码。
本发明实施例的恶意代码的检测方法,根据待检测代码的图标文件得到图标文件的第一摘要信息,并根据图标文件的第一摘要信息检测待检测代码是否为恶意代码,能够识别出传统检测方法所无法识别的家族恶意代码或变种恶意代码,提高了恶意代码的检出率和 准确率,保障了信息安全,提升了用户体验。
为了实现上述目的,本发明第二方面实施例的恶意代码的检测装置,包括:第一获取模块,用于获取待检测代码的至少一个图标文件;第二获取模块,用于获取所述至少一个图标文件的第一摘要信息;以及判断模块,用于根据所述至少一个图标文件的第一摘要信息判断所述待检测代码是否为恶意代码。
本发明实施例的恶意代码的检测装置,根据待检测代码的图标文件得到图标文件的第一摘要信息,并根据图标文件的第一摘要信息检测待检测代码是否为恶意代码,能够识别出传统检测方法所无法识别的家族恶意代码或变种恶意代码,提高了恶意代码的检出率和准确率,保障了信息安全,提升了用户体验。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中,
图1是根据本发明一个实施例的恶意代码的检测方法的流程图;
图2是根据本发明又一个实施例的恶意代码的检测方法的流程图;
图3是根据本发明另一个实施例的恶意代码的检测方法的流程图;
图4是根据本发明一个实施例的恶意代码的检测装置的结构框图;以及
图5是根据本发明又一个实施例的恶意代码的检测装置的结构框图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。相反,本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。
在本发明的描述中,需要理解的是,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。此外,在本发明的描述中,除非另有说明,“多个” 的含义是两个或两个以上。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
下面参考附图描述根据本发明实施例的恶意代码的检测方法和装置。
由于恶意代码的制作者在对恶意代码的不断维护过程中,使用了越来越多的加密、混淆等对抗处理手段,从而产生大量的家族恶意代码或变种恶意代码,如果通过特征内容匹配和行为特征匹配的检测方法进行检测,则会受到限制,甚至很多家族恶意代码或变种恶意代码都无法检测出来,难以保证安全。
为了确保能检测到家族恶意代码或变种恶意代码,本发明提出了一种恶意代码的检测方法,包括以下步骤:获取待检测代码的至少一个图标文件;获取至少一个图标文件的第一摘要信息;以及根据至少一个图标文件的第一摘要信息判断待检测代码是否为恶意代码。
图1是根据本发明一个实施例的恶意代码的检测方法。
如图1所示,恶意代码的检测方法包括:
S101,获取待检测代码的至少一个图标文件。
其中,待检测代码可为PE(Portable Execute,可执行文件)文件。具体地,在本发明的一个实施例中,首先,需要对待检测代码进行预处理,如解压、识别等,例如,如果出现新的PE文件,先将该PE文件进行解压,并识别文件类型。预处理后再获取该PE文件的至少一个图标文件,例如,找到该PE文件对应的资源文件夹,并从资源文件夹中读取相应的至少一个图标文件。
S102,获取至少一个图标文件的第一摘要信息。
在本发明的一个实施例中,第一摘要信息基于图标文件生成,例如第一摘要信息为MD5(Message-Digest Algorithm5,信息摘要算法第五版)值、SHA-1(Secure Hash Algorithm,安全散列算法)值、RIPEMD(RACE Integrity Primitives Evaluation Message Digest,RACE原始完整性校验消息摘要)值等中的一种或多种。应理解的是,第一摘要信息是一段数据唯一且极其紧凑的数值,任何能实现该数值的算法都可以用来获取至少一个图标文件的第一摘要信息,在此不再一一赘述。
在具体的获取过程中,首先提取该至少一个图标文件的二进制内容,并根据提取的二进制内容计算出第一摘要信息。
S103,根据至少一个图标文件的第一摘要信息判断待检测代码是否为恶意代码。
本发明实施例的恶意代码的检测方法,根据待检测代码的图标文件得到图标文件的第一摘要信息,并根据图标文件的第一摘要信息检测待检测代码是否为恶意代码,能够识别出传统检测方法所无法识别的家族恶意代码或变种恶意代码,提高了恶意代码的检出率和准确率,保障了信息安全,提升了用户体验。
下面介绍根据至少一个图标文件的第一摘要信息判断待检测代码是否为恶意代码的具体实施过程。
图2是根据本发明又一个实施例的恶意代码的检测方法的流程图。
如图2所示,恶意代码的检测方法包括:
S201,获取待检测代码的至少一个图标文件。
S202,获取至少一个图标文件的第一摘要信息。
S203,在第一预设样本库中查找至少一个图标文件的第一摘要信息。
S204,如果在第一预设样本库中查找到至少一个图标文件的第一摘要信息,则判断待检测代码为恶意代码。
其中,第一预设样本库中包括恶意代码样本的图标文件及其对应的第一摘要信息,这些恶意代码样本可以是提前根据现有的检测方法检测出来的,也可以是专业人员收集来的,本发明对此不进行限定。从这些恶意代码样本中获取相应的图标文件,并获取图标文件的第一摘要信息,从而建立第一预设样本库。应当理解的是,第一预设样本库中可不断增加、更新,从而使得能够识别的恶意代码也能相应的增多。
在本发明的一个实施例中,恶意代码的检测方法还包括:
S205,如果在第一预设样本库中未查找到至少一个图标文件的第一摘要信息,则进一步获取至少一个图标文件的第二摘要信息。
在本发明的一个实施例中,第二摘要信息基于图标文件的分片内容生成。例如,第二摘要信息为模糊哈希值。具体地,模糊哈希值通过模糊哈希算法计算获得,模糊哈希算法的基本原理是基于内容分割对图标文件进行分片,分别计算每个分片的哈希值,再将每个分片的哈希值进行组合以获取模糊哈希值,模糊哈希算法目前也有许多的分支算法,在此不再详细赘述。
根据模糊哈希算法获得的模糊哈希值对细节变化不敏感,在原始数据上插入、删除、修改少量字节后,对模糊哈希值的影响不大,因此模糊哈希值主要用来进行相似性检测。在本发明的一个实施例中,可通过SSdeep(应用模糊哈希算法检测文件相似性的软件)计算至少一个图标文件的模糊哈希值,应当理解的是,还可以采用其他软件或者程序进行计算,本发明对此不进行限定。
S206,根据至少一个图标文件的第二摘要信息判断待检测代码是否为恶意代码。
本发明实施例的恶意代码的检测方法,如果在第一预设样本库中查找到第一摘要信息,则可以确定待检测代码为恶意代码,由于第一摘要信息的唯一性,可以很快确定待检测代码是否为现有的家族恶意代码或变种恶意代码;另外,如果在第一预设样本库中没有查找到第一摘要信息,则进一步根据第二摘要信息确定待检测代码是否为恶意代码,由于图标文件细节的改变对第二摘要信息的影响小,可以根据第二摘要信息进一步确定待检测代码是否为现有的家族恶意代码或变种恶意代码相关的恶意代码,从而进一步提高了恶意代码的检出率和准确率。
下面介绍根据至少一个图标文件的第二摘要信息判断待检测代码是否为恶意代码的具体实施过程。
图3是根据本发明另一个实施例的恶意代码的检测方法的流程图。
如图3所示,恶意代码的检测方法包括:
S301,获取待检测代码的至少一个图标文件。
S302,获取至少一个图标文件的第一摘要信息。
S303,在第一预设样本库中查找至少一个图标文件的第一摘要信息。
S304,如果在第一预设样本库中查找到至少一个图标文件的第一摘要信息,则判断待检测代码为恶意代码。
S305,如果在第一预设样本库中未查找到至少一个图标文件的第一摘要信息,则进一步获取至少一个图标文件的第二摘要信息。
S306,获取第二预设样本库中预设摘要信息与至少一个图标文件的第二摘要信息的相似度。
其中,第二预设样本库中包括恶意代码样本的图标文件及其对应的第二摘要信息,这些恶意代码样本可以是提前根据现有的检测方法检测出来的,也可以是专业人员收集来的,本发明对此不进行限定。从这些恶意代码样本中获取相应的图标文件,并获取图标文件的第二摘要信息,从而建立第二预设样本库。应当理解的是,第二预设样本库中可不断增加、更新,从而使得能够识别的恶意代码也能相应的增多。
S307,如果存在相似度超过预设值的预设摘要信息,则判断待检测代码为恶意代码。
其中,预设值为代表相似度的百分比值,可以默认设定,也可以手动更改。例如,预设值为90%,当第二预设样本库中存在于待检测代码的第二摘要信息相似度超过90%的预设摘要信息时,则判断待检测代码为恶意代码。
另外,如果不存在相似度超过预设值的预设摘要信息,则判断待检测代码为正常代码。
本发明实施例的恶意代码的检测方法,由于图标文件细节的改变对第二摘要信息的影响小,因此如果在现有的家族恶意代码或变种恶意代码的基础上稍加修改的恶意代码,通 过第二摘要信息可以检测出来,从而进一步提高了恶意代码的检出率和准确率。
在本发明的另一个实施例中,在S101、S201或S301之前恶意代码的检测方法还包括(图中未示出):首先,获取待检测代码的特性内容和/或行为特性信息,具体地,对待检测代码进行预处理后,获取待检测代码的特性内容(如特征码等)和/或行为特性信息(如修改关键文件、控制进程等);之后,在预设的特性内容和/或行为特性信息样本库中查找待检测代码的特性内容和/或行为特性信息,具体地,特性信息样本库包含恶意代码样本及恶意代码样本的特性内容和/或行为特性信息;然后,如果在预设的特性内容和/或行为特性信息样本库中没有查找到待检测代码的特性内容和/或行为特性信息,则获取待检测代码的至少一个图标文件,以进一步判断当前文件是否为已知同类家族的恶意代码或其更新文件,即继续执行步骤S101、S201或S301。由此,通过先根据待检测代码的特性内容和/或行为特性信息进行检测,再将无法识别的待检测代码根据第一摘要信息和第二摘要信息以进一步检测,提高了检测效率,利用模糊哈希值检测的优势,提高识别效率。
为了实现上述实施例,本发明的实施例还提出一种恶意代码的检测装置。
一种恶意代码的检测装置,包括:第一获取模块,用于获取待检测代码的至少一个图标文件;第二获取模块,用于获取至少一个图标文件的第一摘要信息;以及判断模块,用于根据至少一个图标文件的第一摘要信息判断待检测代码是否为恶意代码。
图4是根据本发明一个实施例的恶意代码的检测装置的结构框图。
如图4所示,恶意代码的检测装置包括:第一获取模块100、第二获取模块200和判断模块300。
具体地,第一获取模块100用于获取待检测代码的至少一个图标文件。其中,待检测代码可为PE(Portable Execute,可执行文件)文件。更具体地,在本发明的一个实施例中,首先,需要对待检测代码进行预处理,如解压、识别等,例如,如果出现新的PE文件,先将该PE文件进行解压,并识别文件类型。预处理后,第一获取模块100获取该PE文件的至少一个图标文件,例如,找到该PE文件对应的资源文件夹,并从资源文件夹中读取相应的至少一个图标文件。
第二获取模块200用于获取至少一个图标文件的第一摘要信息。在本发明的一个实施例中,第一摘要信息基于图标文件生成,例如第一摘要信息为MD5(Message-Digest Algorithm5,信息摘要算法第五版)值、SHA-1(Secure Hash Algorithm,安全散列算法)值、RIPEMD(RACE Integrity Primitives Evaluation Message Digest,RACE原始完整性校验消息摘要)值等中的一种或多种。应理解的是,第一摘要信息是一段数据唯一且极其紧凑的数值,任何能实现该数值的算法都可以用来获取至少一个图标文件的第一摘要信息,在此不再一一赘述。在具体的获取过程中,第二获取模块200可先提取 该至少一个图标文件的二进制内容,并根据提取的二进制内容计算出第一摘要信息。
判断模块300用于根据至少一个图标文件的第一摘要信息判断待检测代码是否为恶意代码。
本发明实施例的恶意代码的检测装置,能够根据待检测代码的图标文件得到图标文件的第一摘要信息,并根据图标文件的第一摘要信息检测待检测代码是否为恶意代码,能够识别出传统检测方法所无法识别的家族恶意代码或变种恶意代码,提高了恶意代码的检出率和准确率,保障了信息安全,提升了用户体验。
图5是根据本发明又一个实施例的恶意代码的检测装置的结构框图。
如图5所示,恶意代码的检测装置包括:第一获取模块100、第二获取模块200、判断模块300、查找单元310、第一判断单元320、获取单元330、第二判断单元340、获取子单元341、判断子单元342、第三获取模块400和查找模块500。其中,判断模块300包括查找单元310、第一判断单元320、获取单元330和第二判断单元340,第二判断单元340包括获取子单元341和判断子单元342。
具体地,查找单元310用于在第一预设样本库中查找至少一个图标文件的第一摘要信息。
第一判断单元320用于在第一预设样本库中查找到至少一个图标文件的第一摘要信息时,判断待检测代码为恶意代码。
其中,第一预设样本库中包括恶意代码样本的图标文件及其对应的第一摘要信息,这些恶意代码样本可以是提前根据现有的检测方法检测出来的,也可以是专业人员收集来的,本发明对此不进行限定。从这些恶意代码样本中获取相应的图标文件,并获取图标文件的第一摘要信息,从而建立第一预设样本库。应当理解的是,第一预设样本库中可不断增加、更新,从而使得能够识别的恶意代码也能相应的增多。
获取单元330用于在第一预设样本库中未查找到至少一个图标文件的第一摘要信息时,进一步获取至少一个图标文件的第二摘要信息。在本发明的一个实施例中,第二摘要信息基于图标文件的分片内容生成。例如,第二摘要信息为模糊哈希值。更具体地,获取单元330可通过模糊哈希算法计算获得模糊哈希值。模糊哈希算法的基本原理是基于内容分割对图标文件进行分片,分别计算每个分片的哈希值,再将每个分片的哈希值进行组合以获取模糊哈希值,模糊哈希算法目前也有许多的分支算法,在此不再详细赘述。
根据模糊哈希算法获得的模糊哈希值对细节变化不敏感,在原始数据上插入、删除、修改少量字节后,对模糊哈希值的影响不大,因此模糊哈希值主要用来进行相似性检测。在本发明的一个实施例中,可通过SSdeep(应用模糊哈希算法检测文件相似 性的软件)计算至少一个图标文件的模糊哈希值,应当理解的是,还可以采用其他软件或者程序进行计算,本发明对此不进行限定。
第二判断单元340用于根据至少一个图标文件的第二摘要信息判断待检测代码是否为恶意代码。
本发明实施例的恶意代码的检测装置,如果查找单元在第一预设样本库中查找到第一摘要信息,则第一判断单元即可确定待检测代码为恶意代码,由于第一摘要信息的唯一性,可以很快确定待检测代码是否为现有的家族恶意代码或变种恶意代码;另外,如果查找单元在第一预设样本库中没有查找到第一摘要信息,则获取单元进一步获取第二摘要信息,第二判断单元根据第二摘要信息确定待检测代码是否为恶意代码,由于图标文件细节的改变对第二摘要信息的影响小,可以根据第二摘要信息进一步确定待检测代码是否为现有的家族恶意代码或变种恶意代码相关的恶意代码,从而进一步提高了恶意代码的检出率和准确率。
更进一步地,在本发明的一个实施例中,第二判断单元340具体包括:
获取子单元341用于获取第二预设样本库中预设摘要信息与至少一个图标文件的第二摘要信息的相似度。其中,第二预设样本库中包括恶意代码样本的图标文件及其对应的第二摘要信息,这些恶意代码样本可以是提前根据现有的检测方法检测出来的,也可以是专业人员收集来的,本发明对此不进行限定。从这些恶意代码样本中获取相应的图标文件,并获取图标文件的第二摘要信息,从而建立第二预设样本库。应当理解的是,第二预设样本库中可不断增加、更新,从而使得能够识别的恶意代码也能相应的增多。
判断子单元342用于存在相似度超过预设值的预设摘要信息时,判断待检测代码为恶意代码。其中,预设值为代表相似度的百分比值,可以默认设定,也可以手动更改。例如,预设值为90%,当第二预设样本库中存在于待检测代码的第二摘要信息相似度超过90%的预设摘要信息时,判断子单元342判断待检测代码为恶意代码。相反,如果不存在相似度超过预设值的预设摘要信息,判断子单元342则判断待检测代码为正常代码。
本发明实施例的恶意代码的检测装置,由于图标文件细节的改变对第二摘要信息的影响小,因此即使是在现有的家族恶意代码或变种恶意代码的基础上稍加修改的恶意代码,通过第二摘要信息可以检测出来,从而进一步提高了恶意代码的检出率和准确率。
在本发明的另一个实施例中,恶意代码的检测装置还包括:
第三获取模块400用于获取待检测代码的特性内容和/或行为特性信息。更具体地, 对待检测代码进行预处理后,在第一获取模块100获取待检测代码的至少一个图标文件之前,可先由第三获取模块400获取待检测代码的特性内容(如特征码等)和/或行为特性信息(如修改关键文件、控制进程等)。
查找模块500用于在预设的特性内容和/或行为特性信息样本库中查找待检测代码的特性内容和/或行为特性信息。其中,特性信息样本库包含恶意代码样本及恶意代码样本的特性内容和/或行为特性信息。
判断模块300还用于在预设的特性内容和/或行为特性信息样本库中查找到待检测代码的特性内容和/或行为特性信息,则判断待检测代码为恶意代码。更具体地,如果查找模块500在预设的特性内容和/或行为特性信息样本库中查找到待检测代码的特性内容和/或行为特性信息,则判断模块300判断待检测代码为恶意代码,反之,如果查找模块500在预设的特性内容和/或行为特性信息样本库中没有查找到待检测代码的特性内容和/或行为特性信息,则第一获取模块100获取待检测代码的至少一个图标文件,以进一步判断当前文件是否为已知同类家族的恶意代码或其更新文件。由此,本发明实施例的恶意代码的检测装置,通过先根据待检测代码的特性内容和/或行为特性信息进行检测,再将无法识别的代码根据第一摘要信息和第二摘要信息以进一步检测,提高了检测效率,利用模糊哈希值检测的优势,提高识别效率。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”、“顺时针”、“逆时针”、“轴向”、“径向”、“周向”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
在本发明中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或成一体;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通或两个元件的相互作用关系。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
在本发明中,除非另有明确的规定和限定,第一特征在第二特征“上”或“下”可以是第一和第二特征直接接触,或第一和第二特征通过中间媒介间接接触。而且,第一特 征在第二特征“之上”、“上方”和“上面”可是第一特征在第二特征正上方或斜上方,或仅仅表示第一特征水平高度高于第二特征。第一特征在第二特征“之下”、“下方”和“下面”可以是第一特征在第二特征正下方或斜下方,或仅仅表示第一特征水平高度小于第二特征。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

恶意代码的检测方法及装置.pdf_第1页
第1页 / 共14页
恶意代码的检测方法及装置.pdf_第2页
第2页 / 共14页
恶意代码的检测方法及装置.pdf_第3页
第3页 / 共14页
点击查看更多>>
资源描述

《恶意代码的检测方法及装置.pdf》由会员分享,可在线阅读,更多相关《恶意代码的检测方法及装置.pdf(14页珍藏版)》请在专利查询网上搜索。

1、(10)申请公布号 CN 103761483 A (43)申请公布日 2014.04.30 CN 103761483 A (21)申请号 201410040500.8 (22)申请日 2014.01.27 G06F 21/56(2013.01) (71)申请人 百度在线网络技术 (北京) 有限公司 地址 100085 北京市海淀区上地十街 10 号 百度大厦三层 (72)发明人 邹荣新 徐超 谢小军 张科 (74)专利代理机构 北京清亦华知识产权代理事 务所 ( 普通合伙 ) 11201 代理人 宋合成 (54) 发明名称 恶意代码的检测方法及装置 (57) 摘要 本发明提出一种恶意代码的检测。

2、方法及装 置。其中该方法包括 : 获取待检测代码的至少一 个图标文件 ; 获取至少一个图标文件的第一摘要 信息 ; 以及根据至少一个图标文件的第一摘要信 息判断待检测代码是否为恶意代码。本发明实 施例的恶意代码的检测方法, 得到待检测代码的 图标文件, 并根据图标文件的第一摘要信息检测 待检测代码是否为恶意代码, 能够识别出传统检 测方法所无法识别的家族恶意代码或变种恶意代 码, 提高了恶意代码的检出率和准确率。 (51)Int.Cl. 权利要求书 2 页 说明书 8 页 附图 3 页 (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求书2页 说明书8页 附图3页 (10)申。

3、请公布号 CN 103761483 A CN 103761483 A 1/2 页 2 1. 一种恶意代码的检测方法, 其特征在于, 包括 : 获取待检测代码的至少一个图标文件 ; 获取所述至少一个图标文件的第一摘要信息 ; 以及 根据所述至少一个图标文件的第一摘要信息判断所述待检测代码是否为恶意代码。 2. 根据权利要求 1 所述的恶意代码的检测方法, 其特征在于, 所述根据至少一个图标 文件的第一摘要信息判断所述待检测代码是否为恶意代码包括 : 在第一预设样本库中查找所述至少一个图标文件的第一摘要信息 ; 以及 如果在所述第一预设样本库中查找到所述至少一个图标文件的第一摘要信息, 则判断 所。

4、述待检测代码为恶意代码。 3. 根据权利要求 2 所述的恶意代码的检测方法, 其特征在于, 还包括 : 如果在所述第一预设样本库中未查找到所述至少一个图标文件的第一摘要信息, 则进 一步获取所述至少一个图标文件的第二摘要信息, 其中, 所述第一摘要信息基于所述图标 文件生成, 所述第二摘要信息基于所述图标文件的分片内容生成 ; 以及 根据所述至少一个图标文件的第二摘要信息判断所述待检测代码是否为恶意代码。 4. 根据权利要求 3 所述的恶意代码的检测方法, 其特征在于, 所述根据至少一个图标 文件的第二摘要信息判断所述待检测代码是否为恶意代码包括 : 获取第二预设样本库中预设摘要信息与所述至少。

5、一个图标文件的第二摘要信息的相 似度 ; 以及 如果存在所述相似度超过预设值的所述预设摘要信息, 则判断所述待检测代码为恶意 代码。 5.根据权利要求1至4中任一项所述的恶意代码的检测方法, 其特征在于, 在所述获取 待检测代码的至少一个图标文件之前, 还包括 : 获取所述待检测代码的特性内容和 / 或行为特性信息 ; 在预设的特性内容和 / 或行为特性信息样本库中查找所述待检测代码的特性内容和 / 或行为特性信息 ; 以及 如果在所述预设的特性内容和 / 或行为特性信息样本库中查找到所述待检测代码的 特性内容和 / 或行为特性信息, 则判断所述待检测代码为恶意代码。 6. 一种恶意代码的检测。

6、装置, 其特征在于, 包括 : 第一获取模块, 用于获取待检测代码的至少一个图标文件 ; 第二获取模块, 用于获取所述至少一个图标文件的第一摘要信息 ; 以及 判断模块, 用于根据所述至少一个图标文件的第一摘要信息判断所述待检测代码是否 为恶意代码。 7. 根据权利要求 6 所述的恶意代码的检测装置, 其特征在于, 所述判断模块包括 : 查找单元, 用于在第一预设样本库中查找所述至少一个图标文件的第一摘要信息 ; 以 及 第一判断单元, 用于在所述第一预设样本库中查找到所述至少一个图标文件的第一摘 要信息时, 判断所述待检测代码为恶意代码。 8. 根据权利要求 7 所述的恶意代码的检测装置, 。

7、其特征在于, 所述判断模块还包括 : 获取单元, 用于在所述第一预设样本库中未查找到所述至少一个图标文件的第一摘要 权 利 要 求 书 CN 103761483 A 2 2/2 页 3 信息时, 进一步获取所述至少一个图标文件的第二摘要信息, 其中, 所述第一摘要信息基于 所述图标文件生成, 所述第二摘要信息基于所述图标文件的分片内容生成 ; 以及 第二判断单元, 用于根据所述至少一个图标文件的第二摘要信息判断所述待检测代码 是否为恶意代码。 9. 根据权利要求 8 所述的恶意代码的检测装置, 其特征在于, 所述第二判断单元包括 : 获取子单元, 用于获取第二预设样本库中预设摘要信息与所述至少。

8、一个图标文件的第 二摘要信息的相似度 ; 以及 判断子单元, 用于存在所述相似度超过预设值的所述预设摘要信息时, 判断所述待检 测代码为恶意代码。 10. 根据权利要求 6 至 9 中任一项所述的恶意代码的检测装置, 其特征在于, 还包括 : 第三获取模块, 用于获取所述待检测代码的特性内容和 / 或行为特性信息 ; 查找模块, 用于在预设的特性内容和 / 或行为特性信息样本库中查找所述待检测代码 的特性内容和 / 或行为特性信息 ; 以及 所述判断模块还用于在所述预设的特性内容和 / 或行为特性信息样本库中查找到所 述待检测代码的特性内容和 / 或行为特性信息, 则判断所述待检测代码为恶意代。

9、码。 权 利 要 求 书 CN 103761483 A 3 1/8 页 4 恶意代码的检测方法及装置 技术领域 0001 本发明涉及计算机技术领域, 尤其涉及一种恶意代码的检测方法及装置。 背景技术 0002 随着互联网技术的快速发展, 恶意代码的黑色利益链已经形成, 且发展快速。 因此 恶意代码的制作逐步走向产业化, 恶意代码的制作者会对恶意代码不断地维护, 从而形成 基于同一个基础恶意代码版本的一组不同版本的恶意代码, 也可以称为家族恶意代码或变 种恶意代码。 0003 对于此类恶意代码, 相关技术可采用以下两种方式进行检测 : 一种方法是静态的 特征内容匹配 : 扫描恶意代码从而获取恶意。

10、代码的特征内容, 并与预设特征内容进行匹配, 如果匹配成功, 则确定为恶意代码 ; 另一种方法是行为特征匹配 : 分析恶意代码的动态行 为, 并与预设动态行为进行匹配, 如果匹配成功, 则确定为恶意代码。 0004 但是, 相关技术存在以下问题 : 恶意代码的制作者在对恶意代码的不断维护过程 中, 使用了更多的加密、 混淆等对抗处理手段, 上述两种方法都受到限制, 甚至有些恶意代 码根本无法检测出来。 发明内容 0005 本发明旨在至少在一定程度上解决相关技术中的技术问题之一。 0006 为此, 本发明的一个目的在于提出一种恶意代码的检测方法。该方法能够提高恶 意代码的检出率和准确率, 保障信。

11、息安全。 0007 本发明的第二个目的在于提出一种恶意代码的检测装置。 0008 为了实现上述目的, 本发明第一方面实施例的恶意代码的检测方法, 包括 : 获取待 检测代码的至少一个图标文件 ; 获取所述至少一个图标文件的第一摘要信息 ; 以及根据所 述至少一个图标文件的第一摘要信息判断所述待检测代码是否为恶意代码。 0009 本发明实施例的恶意代码的检测方法, 根据待检测代码的图标文件得到图标文件 的第一摘要信息, 并根据图标文件的第一摘要信息检测待检测代码是否为恶意代码, 能够 识别出传统检测方法所无法识别的家族恶意代码或变种恶意代码, 提高了恶意代码的检出 率和准确率, 保障了信息安全,。

12、 提升了用户体验。 0010 为了实现上述目的, 本发明第二方面实施例的恶意代码的检测装置, 包括 : 第一获 取模块, 用于获取待检测代码的至少一个图标文件 ; 第二获取模块, 用于获取所述至少一个 图标文件的第一摘要信息 ; 以及判断模块, 用于根据所述至少一个图标文件的第一摘要信 息判断所述待检测代码是否为恶意代码。 0011 本发明实施例的恶意代码的检测装置, 根据待检测代码的图标文件得到图标文件 的第一摘要信息, 并根据图标文件的第一摘要信息检测待检测代码是否为恶意代码, 能够 识别出传统检测方法所无法识别的家族恶意代码或变种恶意代码, 提高了恶意代码的检出 率和准确率, 保障了信息。

13、安全, 提升了用户体验。 说 明 书 CN 103761483 A 4 2/8 页 5 0012 本发明附加的方面和优点将在下面的描述中部分给出, 部分将从下面的描述中变 得明显, 或通过本发明的实践了解到。 附图说明 0013 本发明上述的和 / 或附加的方面和优点从下面结合附图对实施例的描述中将变 得明显和容易理解, 其中, 0014 图 1 是根据本发明一个实施例的恶意代码的检测方法的流程图 ; 0015 图 2 是根据本发明又一个实施例的恶意代码的检测方法的流程图 ; 0016 图 3 是根据本发明另一个实施例的恶意代码的检测方法的流程图 ; 0017 图 4 是根据本发明一个实施例的。

14、恶意代码的检测装置的结构框图 ; 以及 0018 图 5 是根据本发明又一个实施例的恶意代码的检测装置的结构框图。 具体实施方式 0019 下面详细描述本发明的实施例, 所述实施例的示例在附图中示出, 其中自始至终 相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。 下面通过参考附 图描述的实施例是示例性的, 旨在用于解释本发明, 而不能理解为对本发明的限制。相反, 本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、 修改和等同 物。 0020 在本发明的描述中, 需要理解的是, 术语 “第一” 、“第二” 等仅用于描述目的, 而不 能理解为指示或暗示相对重要性。

15、。 在本发明的描述中, 需要说明的是, 除非另有明确的规定 和限定, 术语 “相连” 、“连接” 应做广义理解, 例如, 可以是固定连接, 也可以是可拆卸连接, 或一体地连接 ; 可以是机械连接, 也可以是电连接 ; 可以是直接相连, 也可以通过中间媒介 间接相连。对于本领域的普通技术人员而言, 可以具体情况理解上述术语在本发明中的具 体含义。此外, 在本发明的描述中, 除非另有说明,“多个” 的含义是两个或两个以上。 0021 流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为, 表示包括 一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、 片段或部 分, 并且。

16、本发明的优选实施方式的范围包括另外的实现, 其中可以不按所示出或讨论的顺 序, 包括根据所涉及的功能按基本同时的方式或按相反的顺序, 来执行功能, 这应被本发明 的实施例所属技术领域的技术人员所理解。 0022 下面参考附图描述根据本发明实施例的恶意代码的检测方法和装置。 0023 由于恶意代码的制作者在对恶意代码的不断维护过程中, 使用了越来越多的加 密、 混淆等对抗处理手段, 从而产生大量的家族恶意代码或变种恶意代码, 如果通过特征内 容匹配和行为特征匹配的检测方法进行检测, 则会受到限制, 甚至很多家族恶意代码或变 种恶意代码都无法检测出来, 难以保证安全。 0024 为了确保能检测到家。

17、族恶意代码或变种恶意代码, 本发明提出了一种恶意代码的 检测方法, 包括以下步骤 : 获取待检测代码的至少一个图标文件 ; 获取至少一个图标文件 的第一摘要信息 ; 以及根据至少一个图标文件的第一摘要信息判断待检测代码是否为恶意 代码。 0025 图 1 是根据本发明一个实施例的恶意代码的检测方法。 说 明 书 CN 103761483 A 5 3/8 页 6 0026 如图 1 所示, 恶意代码的检测方法包括 : 0027 S101, 获取待检测代码的至少一个图标文件。 0028 其中, 待检测代码可为 PE(Portable Execute, 可执行文件) 文件。具体地, 在本 发明的一个。

18、实施例中, 首先, 需要对待检测代码进行预处理, 如解压、 识别等, 例如, 如果出 现新的 PE 文件, 先将该 PE 文件进行解压, 并识别文件类型。预处理后再获取该 PE 文件的 至少一个图标文件, 例如, 找到该 PE 文件对应的资源文件夹, 并从资源文件夹中读取相应 的至少一个图标文件。 0029 S102, 获取至少一个图标文件的第一摘要信息。 0030 在本发明的一个实施例中, 第一摘要信息基于图标文件生成, 例如第一摘要信息 为 MD5(Message-Digest Algorithm5, 信息摘要算法第五版)值、 SHA-1(Secure Hash Algorithm, 安全。

19、散列算法) 值、 RIPEMD(RACE Integrity Primitives Evaluation Message Digest, RACE 原始完整性校验消息摘要) 值等中的一种或多种。应理解的是, 第一摘要信息 是一段数据唯一且极其紧凑的数值, 任何能实现该数值的算法都可以用来获取至少一个图 标文件的第一摘要信息, 在此不再一一赘述。 0031 在具体的获取过程中, 首先提取该至少一个图标文件的二进制内容, 并根据提取 的二进制内容计算出第一摘要信息。 0032 S103, 根据至少一个图标文件的第一摘要信息判断待检测代码是否为恶意代码。 0033 本发明实施例的恶意代码的检测方法,。

20、 根据待检测代码的图标文件得到图标文件 的第一摘要信息, 并根据图标文件的第一摘要信息检测待检测代码是否为恶意代码, 能够 识别出传统检测方法所无法识别的家族恶意代码或变种恶意代码, 提高了恶意代码的检出 率和准确率, 保障了信息安全, 提升了用户体验。 0034 下面介绍根据至少一个图标文件的第一摘要信息判断待检测代码是否为恶意代 码的具体实施过程。 0035 图 2 是根据本发明又一个实施例的恶意代码的检测方法的流程图。 0036 如图 2 所示, 恶意代码的检测方法包括 : 0037 S201, 获取待检测代码的至少一个图标文件。 0038 S202, 获取至少一个图标文件的第一摘要信息。

21、。 0039 S203, 在第一预设样本库中查找至少一个图标文件的第一摘要信息。 0040 S204, 如果在第一预设样本库中查找到至少一个图标文件的第一摘要信息, 则判 断待检测代码为恶意代码。 0041 其中, 第一预设样本库中包括恶意代码样本的图标文件及其对应的第一摘要信 息, 这些恶意代码样本可以是提前根据现有的检测方法检测出来的, 也可以是专业人员收 集来的, 本发明对此不进行限定。 从这些恶意代码样本中获取相应的图标文件, 并获取图标 文件的第一摘要信息, 从而建立第一预设样本库。 应当理解的是, 第一预设样本库中可不断 增加、 更新, 从而使得能够识别的恶意代码也能相应的增多。 。

22、0042 在本发明的一个实施例中, 恶意代码的检测方法还包括 : 0043 S205, 如果在第一预设样本库中未查找到至少一个图标文件的第一摘要信息, 则 进一步获取至少一个图标文件的第二摘要信息。 0044 在本发明的一个实施例中, 第二摘要信息基于图标文件的分片内容生成。 例如, 第 说 明 书 CN 103761483 A 6 4/8 页 7 二摘要信息为模糊哈希值。 具体地, 模糊哈希值通过模糊哈希算法计算获得, 模糊哈希算法 的基本原理是基于内容分割对图标文件进行分片, 分别计算每个分片的哈希值, 再将每个 分片的哈希值进行组合以获取模糊哈希值, 模糊哈希算法目前也有许多的分支算法,。

23、 在此 不再详细赘述。 0045 根据模糊哈希算法获得的模糊哈希值对细节变化不敏感, 在原始数据上插入、 删 除、 修改少量字节后, 对模糊哈希值的影响不大, 因此模糊哈希值主要用来进行相似性检 测。在本发明的一个实施例中, 可通过 SSdeep (应用模糊哈希算法检测文件相似性的软件) 计算至少一个图标文件的模糊哈希值, 应当理解的是, 还可以采用其他软件或者程序进行 计算, 本发明对此不进行限定。 0046 S206, 根据至少一个图标文件的第二摘要信息判断待检测代码是否为恶意代码。 0047 本发明实施例的恶意代码的检测方法, 如果在第一预设样本库中查找到第一摘要 信息, 则可以确定待检。

24、测代码为恶意代码, 由于第一摘要信息的唯一性, 可以很快确定待检 测代码是否为现有的家族恶意代码或变种恶意代码 ; 另外, 如果在第一预设样本库中没有 查找到第一摘要信息, 则进一步根据第二摘要信息确定待检测代码是否为恶意代码, 由于 图标文件细节的改变对第二摘要信息的影响小, 可以根据第二摘要信息进一步确定待检测 代码是否为现有的家族恶意代码或变种恶意代码相关的恶意代码, 从而进一步提高了恶意 代码的检出率和准确率。 0048 下面介绍根据至少一个图标文件的第二摘要信息判断待检测代码是否为恶意代 码的具体实施过程。 0049 图 3 是根据本发明另一个实施例的恶意代码的检测方法的流程图。 0。

25、050 如图 3 所示, 恶意代码的检测方法包括 : 0051 S301, 获取待检测代码的至少一个图标文件。 0052 S302, 获取至少一个图标文件的第一摘要信息。 0053 S303, 在第一预设样本库中查找至少一个图标文件的第一摘要信息。 0054 S304, 如果在第一预设样本库中查找到至少一个图标文件的第一摘要信息, 则判 断待检测代码为恶意代码。 0055 S305, 如果在第一预设样本库中未查找到至少一个图标文件的第一摘要信息, 则 进一步获取至少一个图标文件的第二摘要信息。 0056 S306, 获取第二预设样本库中预设摘要信息与至少一个图标文件的第二摘要信息 的相似度。 。

26、0057 其中, 第二预设样本库中包括恶意代码样本的图标文件及其对应的第二摘要信 息, 这些恶意代码样本可以是提前根据现有的检测方法检测出来的, 也可以是专业人员收 集来的, 本发明对此不进行限定。 从这些恶意代码样本中获取相应的图标文件, 并获取图标 文件的第二摘要信息, 从而建立第二预设样本库。 应当理解的是, 第二预设样本库中可不断 增加、 更新, 从而使得能够识别的恶意代码也能相应的增多。 0058 S307, 如果存在相似度超过预设值的预设摘要信息, 则判断待检测代码为恶意代 码。 0059 其中, 预设值为代表相似度的百分比值, 可以默认设定, 也可以手动更改。 例如, 预 设值为。

27、 90%, 当第二预设样本库中存在于待检测代码的第二摘要信息相似度超过 90% 的预 说 明 书 CN 103761483 A 7 5/8 页 8 设摘要信息时, 则判断待检测代码为恶意代码。 0060 另外, 如果不存在相似度超过预设值的预设摘要信息, 则判断待检测代码为正常 代码。 0061 本发明实施例的恶意代码的检测方法, 由于图标文件细节的改变对第二摘要信息 的影响小, 因此如果在现有的家族恶意代码或变种恶意代码的基础上稍加修改的恶意代 码, 通过第二摘要信息可以检测出来, 从而进一步提高了恶意代码的检出率和准确率。 0062 在本发明的另一个实施例中, 在S101、 S201或S3。

28、01之前恶意代码的检测方法还包 括 (图中未示出) : 首先, 获取待检测代码的特性内容和 / 或行为特性信息, 具体地, 对待检测 代码进行预处理后, 获取待检测代码的特性内容 (如特征码等) 和 / 或行为特性信息 (如修 改关键文件、 控制进程等) ; 之后, 在预设的特性内容和 / 或行为特性信息样本库中查找待检 测代码的特性内容和 / 或行为特性信息, 具体地, 特性信息样本库包含恶意代码样本及恶 意代码样本的特性内容和/或行为特性信息 ; 然后, 如果在预设的特性内容和/或行为特性 信息样本库中没有查找到待检测代码的特性内容和 / 或行为特性信息, 则获取待检测代码 的至少一个图标。

29、文件, 以进一步判断当前文件是否为已知同类家族的恶意代码或其更新文 件, 即继续执行步骤 S101、 S201 或 S301。由此, 通过先根据待检测代码的特性内容和 / 或 行为特性信息进行检测, 再将无法识别的待检测代码根据第一摘要信息和第二摘要信息以 进一步检测, 提高了检测效率, 利用模糊哈希值检测的优势, 提高识别效率。 0063 为了实现上述实施例, 本发明的实施例还提出一种恶意代码的检测装置。 0064 一种恶意代码的检测装置, 包括 : 第一获取模块, 用于获取待检测代码的至少一个 图标文件 ; 第二获取模块, 用于获取至少一个图标文件的第一摘要信息 ; 以及判断模块, 用 于。

30、根据至少一个图标文件的第一摘要信息判断待检测代码是否为恶意代码。 0065 图 4 是根据本发明一个实施例的恶意代码的检测装置的结构框图。 0066 如图 4 所示, 恶意代码的检测装置包括 : 第一获取模块 100、 第二获取模块 200 和 判断模块 300。 0067 具体地, 第一获取模块 100 用于获取待检测代码的至少一个图标文件。其中, 待检 测代码可为 PE(Portable Execute, 可执行文件) 文件。更具体地, 在本发明的一个实施例 中, 首先, 需要对待检测代码进行预处理, 如解压、 识别等, 例如, 如果出现新的 PE 文件, 先 将该 PE 文件进行解压, 。

31、并识别文件类型。预处理后, 第一获取模块 100 获取该 PE 文件的至 少一个图标文件, 例如, 找到该 PE 文件对应的资源文件夹, 并从资源文件夹中读取相应的 至少一个图标文件。 0068 第二获取模块 200 用于获取至少一个图标文件的第一摘要信息。在本发明的一 个实施例中, 第一摘要信息基于图标文件生成, 例如第一摘要信息为 MD5(Message-Digest Algorithm5, 信息摘要算法第五版) 值、 SHA-1(Secure Hash Algorithm, 安全散列算法) 值、 RIPEMD(RACE Integrity Primitives Evaluation Me。

32、ssage Digest, RACE 原始完整性校 验消息摘要) 值等中的一种或多种。应理解的是, 第一摘要信息是一段数据唯一且极其紧凑 的数值, 任何能实现该数值的算法都可以用来获取至少一个图标文件的第一摘要信息, 在 此不再一一赘述。在具体的获取过程中, 第二获取模块 200 可先提取该至少一个图标文件 的二进制内容, 并根据提取的二进制内容计算出第一摘要信息。 0069 判断模块 300 用于根据至少一个图标文件的第一摘要信息判断待检测代码是否 说 明 书 CN 103761483 A 8 6/8 页 9 为恶意代码。 0070 本发明实施例的恶意代码的检测装置, 能够根据待检测代码的图。

33、标文件得到图标 文件的第一摘要信息, 并根据图标文件的第一摘要信息检测待检测代码是否为恶意代码, 能够识别出传统检测方法所无法识别的家族恶意代码或变种恶意代码, 提高了恶意代码的 检出率和准确率, 保障了信息安全, 提升了用户体验。 0071 图 5 是根据本发明又一个实施例的恶意代码的检测装置的结构框图。 0072 如图 5 所示, 恶意代码的检测装置包括 : 第一获取模块 100、 第二获取模块 200、 判 断模块300、 查找单元310、 第一判断单元320、 获取单元330、 第二判断单元340、 获取子单元 341、 判断子单元 342、 第三获取模块 400 和查找模块 500。。

34、其中, 判断模块 300 包括查找单 元 310、 第一判断单元 320、 获取单元 330 和第二判断单元 340, 第二判断单元 340 包括获取 子单元 341 和判断子单元 342。 0073 具体地, 查找单元 310 用于在第一预设样本库中查找至少一个图标文件的第一摘 要信息。 0074 第一判断单元 320 用于在第一预设样本库中查找到至少一个图标文件的第一摘 要信息时, 判断待检测代码为恶意代码。 0075 其中, 第一预设样本库中包括恶意代码样本的图标文件及其对应的第一摘要信 息, 这些恶意代码样本可以是提前根据现有的检测方法检测出来的, 也可以是专业人员收 集来的, 本发明。

35、对此不进行限定。 从这些恶意代码样本中获取相应的图标文件, 并获取图标 文件的第一摘要信息, 从而建立第一预设样本库。 应当理解的是, 第一预设样本库中可不断 增加、 更新, 从而使得能够识别的恶意代码也能相应的增多。 0076 获取单元 330 用于在第一预设样本库中未查找到至少一个图标文件的第一摘要 信息时, 进一步获取至少一个图标文件的第二摘要信息。 在本发明的一个实施例中, 第二摘 要信息基于图标文件的分片内容生成。例如, 第二摘要信息为模糊哈希值。更具体地, 获取 单元 330 可通过模糊哈希算法计算获得模糊哈希值。模糊哈希算法的基本原理是基于内容 分割对图标文件进行分片, 分别计算。

36、每个分片的哈希值, 再将每个分片的哈希值进行组合 以获取模糊哈希值, 模糊哈希算法目前也有许多的分支算法, 在此不再详细赘述。 0077 根据模糊哈希算法获得的模糊哈希值对细节变化不敏感, 在原始数据上插入、 删 除、 修改少量字节后, 对模糊哈希值的影响不大, 因此模糊哈希值主要用来进行相似性检 测。在本发明的一个实施例中, 可通过 SSdeep (应用模糊哈希算法检测文件相似性的软件) 计算至少一个图标文件的模糊哈希值, 应当理解的是, 还可以采用其他软件或者程序进行 计算, 本发明对此不进行限定。 0078 第二判断单元 340 用于根据至少一个图标文件的第二摘要信息判断待检测代码 是否。

37、为恶意代码。 0079 本发明实施例的恶意代码的检测装置, 如果查找单元在第一预设样本库中查找到 第一摘要信息, 则第一判断单元即可确定待检测代码为恶意代码, 由于第一摘要信息的唯 一性, 可以很快确定待检测代码是否为现有的家族恶意代码或变种恶意代码 ; 另外, 如果查 找单元在第一预设样本库中没有查找到第一摘要信息, 则获取单元进一步获取第二摘要信 息, 第二判断单元根据第二摘要信息确定待检测代码是否为恶意代码, 由于图标文件细节 的改变对第二摘要信息的影响小, 可以根据第二摘要信息进一步确定待检测代码是否为现 说 明 书 CN 103761483 A 9 7/8 页 10 有的家族恶意代码。

38、或变种恶意代码相关的恶意代码, 从而进一步提高了恶意代码的检出率 和准确率。 0080 更进一步地, 在本发明的一个实施例中, 第二判断单元 340 具体包括 : 0081 获取子单元 341 用于获取第二预设样本库中预设摘要信息与至少一个图标文件 的第二摘要信息的相似度。其中, 第二预设样本库中包括恶意代码样本的图标文件及其对 应的第二摘要信息, 这些恶意代码样本可以是提前根据现有的检测方法检测出来的, 也可 以是专业人员收集来的, 本发明对此不进行限定。从这些恶意代码样本中获取相应的图标 文件, 并获取图标文件的第二摘要信息, 从而建立第二预设样本库。应当理解的是, 第二预 设样本库中可不。

39、断增加、 更新, 从而使得能够识别的恶意代码也能相应的增多。 0082 判断子单元 342 用于存在相似度超过预设值的预设摘要信息时, 判断待检测代码 为恶意代码。其中, 预设值为代表相似度的百分比值, 可以默认设定, 也可以手动更改。例 如, 预设值为 90%, 当第二预设样本库中存在于待检测代码的第二摘要信息相似度超过 90% 的预设摘要信息时, 判断子单元 342 判断待检测代码为恶意代码。相反, 如果不存在相似度 超过预设值的预设摘要信息, 判断子单元 342 则判断待检测代码为正常代码。 0083 本发明实施例的恶意代码的检测装置, 由于图标文件细节的改变对第二摘要信息 的影响小, 。

40、因此即使是在现有的家族恶意代码或变种恶意代码的基础上稍加修改的恶意代 码, 通过第二摘要信息可以检测出来, 从而进一步提高了恶意代码的检出率和准确率。 0084 在本发明的另一个实施例中, 恶意代码的检测装置还包括 : 0085 第三获取模块 400 用于获取待检测代码的特性内容和 / 或行为特性信息。更具体 地, 对待检测代码进行预处理后, 在第一获取模块 100 获取待检测代码的至少一个图标文 件之前, 可先由第三获取模块 400 获取待检测代码的特性内容 (如特征码等) 和 / 或行为特 性信息 (如修改关键文件、 控制进程等) 。 0086 查找模块500用于在预设的特性内容和/或行为。

41、特性信息样本库中查找待检测代 码的特性内容和 / 或行为特性信息。其中, 特性信息样本库包含恶意代码样本及恶意代码 样本的特性内容和 / 或行为特性信息。 0087 判断模块300还用于在预设的特性内容和/或行为特性信息样本库中查找到待检 测代码的特性内容和 / 或行为特性信息, 则判断待检测代码为恶意代码。更具体地, 如果查 找模块 500 在预设的特性内容和 / 或行为特性信息样本库中查找到待检测代码的特性内 容和 / 或行为特性信息, 则判断模块 300 判断待检测代码为恶意代码, 反之, 如果查找模块 500 在预设的特性内容和 / 或行为特性信息样本库中没有查找到待检测代码的特性内容。

42、和 / 或行为特性信息, 则第一获取模块 100 获取待检测代码的至少一个图标文件, 以进一步判 断当前文件是否为已知同类家族的恶意代码或其更新文件。由此, 本发明实施例的恶意代 码的检测装置, 通过先根据待检测代码的特性内容和 / 或行为特性信息进行检测, 再将无 法识别的代码根据第一摘要信息和第二摘要信息以进一步检测, 提高了检测效率, 利用模 糊哈希值检测的优势, 提高识别效率。 0088 在本发明的描述中, 需要理解的是, 术语 “中心” 、“纵向” 、“横向” 、“长度” 、“宽度” 、 “厚度” 、“上” 、“下” 、“前” 、“后” 、“左” 、“右” 、“竖直” 、“水平” 、。

43、“顶” 、“底” “内” 、“外” 、“顺时 针” 、“逆时针” 、“轴向” 、“径向” 、“周向” 等指示的方位或位置关系为基于附图所示的方位或 位置关系, 仅是为了便于描述本发明和简化描述, 而不是指示或暗示所指的装置或元件必 说 明 书 CN 103761483 A 10 8/8 页 11 须具有特定的方位、 以特定的方位构造和操作, 因此不能理解为对本发明的限制。 0089 此外, 术语 “第一” 、“第二” 仅用于描述目的, 而不能理解为指示或暗示相对重要性 或者隐含指明所指示的技术特征的数量。由此, 限定有 “第一” 、“第二” 的特征可以明示或 者隐含地包括一个或者更多个该特征。。

44、在本发明的描述中,“多个” 的含义是两个或两个以 上, 除非另有明确具体的限定。 0090 在本发明中, 除非另有明确的规定和限定, 术语 “安装” 、“相连” 、“连接” 、“固定” 等 术语应做广义理解, 例如, 可以是固定连接, 也可以是可拆卸连接, 或成一体 ; 可以是机械连 接, 也可以是电连接 ; 可以是直接相连, 也可以通过中间媒介间接相连, 可以是两个元件内 部的连通或两个元件的相互作用关系。对于本领域的普通技术人员而言, 可以根据具体情 况理解上述术语在本发明中的具体含义。 0091 在本发明中, 除非另有明确的规定和限定, 第一特征在第二特征 “上” 或 “下” 可以 是第。

45、一和第二特征直接接触, 或第一和第二特征通过中间媒介间接接触。 而且, 第一特征在 第二特征 “之上” 、“上方” 和 “上面” 可是第一特征在第二特征正上方或斜上方, 或仅仅表示 第一特征水平高度高于第二特征。第一特征在第二特征 “之下” 、“下方” 和 “下面” 可以是 第一特征在第二特征正下方或斜下方, 或仅仅表示第一特征水平高度小于第二特征。 0092 在本说明书的描述中, 参考术语 “一个实施例” 、“一些实施例” 、“示例” 、“具体示 例” 、 或 “一些示例” 等的描述意指结合该实施例或示例描述的具体特征、 结构、 材料或者特 点包含于本发明的至少一个实施例或示例中。在本说明书。

46、中, 对上述术语的示意性表述不 必须针对的是相同的实施例或示例。而且, 描述的具体特征、 结构、 材料或者特点可以在任 一个或多个实施例或示例中以合适的方式结合。 此外, 在不相互矛盾的情况下, 本领域的技 术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结 合和组合。 0093 尽管上面已经示出和描述了本发明的实施例, 可以理解的是, 上述实施例是示例 性的, 不能理解为对本发明的限制, 本领域的普通技术人员在本发明的范围内可以对上述 实施例进行变化、 修改、 替换和变型。 说 明 书 CN 103761483 A 11 1/3 页 12 图 1 图 2 说 明 书 附 图 CN 103761483 A 12 2/3 页 13 图 3 图 4 说 明 书 附 图 CN 103761483 A 13 3/3 页 14 图 5 说 明 书 附 图 CN 103761483 A 14 。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 >


copyright@ 2017-2020 zhuanlichaxun.net网站版权所有
经营许可证编号:粤ICP备2021068784号-1