[发明专利]一种基于频谱分析的复合文档恶意代码检测技术与系统

说明书

技术领域

本发明涉及计算机恶意代码检测技术领域和频谱分析技术领域，尤其涉及一种基于频谱分析的复合文档恶意代码检测技术与系统。

背景技术

随着电子办公的不断发展，以复合文档为代表的电子文档使用越来越普遍，于此同时复合文档也成为了恶意代码的攻击目标，通过将自身绑定到复合文档，恶意代码能够 方便的实现启动和隐藏自身。每年检测到的恶意文件中涉及复合文档的占到5%左右，用户在使用浏览器和即时聊天软件下载或者接受文件时文件携带恶意代码的比例在6%-10%之间，这里又有很大的比例关系到复合文档。复合文档的安全性受到了严重的威胁，对复合文档恶意代码进行有针对性的检测已经刻不容缓。

传统的针对恶意代码的检测，主要分为特征码检测技术以及非特征码检测技术。特征码检测技术是一种静态检测方法，通过提取恶意代码特征码的方法对其进行检测。非特征码技术也称为动态检测技术，现有的技术主要有基于行为分析的恶意代码检测技术、启发式分析的检测技术、沙盒技术等等。传统的恶意代码检测技术在检测复合文档型的恶意代码方面存在以下的这些问题。

一、静态检测技术无法检测未知的恶意代码。

二、动态检测技术检测效率低、代价大，且准确度偏低。

三、没有一种专门的针对复合文档恶意代码的检测方法，对于复合文档恶意代码的检测还是采用传统的技术，没有充分利用复合文档的结构特点。

同时，因为复合文档恶意代码迷惑性高，实现起来较为简单，所以通过复合文档进行传播的恶意代码数量会越来越多。因此，针对复合文档恶意代码检测成为了一个迫切需要研究的问题，需要研究一种新的方法，能够针对复合文档的特点，克服以上的三个问题，提出一种不同于传统恶意代码检测方法的检测技术，对复合文档恶意代码进行有效检测。

发明内容

“一种基于频谱分析的复合文档恶意代码检测技术与系统”是在恶意代码检测技术的研究过程中针对存在的现有技术问题所提出的发明。本发明的一个目标是改善现有检测方法针对性差的弱点，提供一种基于频谱分析的复合文档恶意代码检测技术，有针对性的对绑定了恶意代码的复合文档进行检测。复合文档的二进制数据从某种程度上来说也可以看作是一种信号，作为一种信号就会在频域上表现出一定的特性，通过对复合文档的数据进行时域到频域的变换，就可以得到其在频域上的特性。本发明中的检测方法提供了一种全新的检测思路，不依赖于恶意代码传统的静态特征和行为特征，不需要打开复合文档，不需要监测系统的各方面状态变化，而是根据复合文档的相位谱特征进行检测。该方法在检测过程中能够有效的保护系统和用户数据安全，并且该检测方案针对性强，因此其检测的准确率也较传统的检测技术高。

为了实现上述目标，本发明提供了一种基于频谱分析的复合文档恶意代码检测系统，该系统能够从复合文档的二进制数据中提取出实数序列，然后采用相关算法进行变换得到文档的相位谱，进而根据相位谱特征进行判断。该系统包含了：管理端，对检测过程和检测结果进行管理，并维护一个特征数据库；数据提取器，用于从复合文档的二进制数据中剥离出固定部分的数据，并将二进制数据转换成实数序列，然后根据抽样率对实数序列进行抽样；相位谱生成器，接收来自数据提取模块的数据，采用相应的变换算法，生成文档的相位谱；频谱分析器，用于对生成的文档相位谱进行特征分析，给出判定结果。

附图说明

从下面结合附图的详细描述中，将会更清楚的理解本发明的目标、实现方法、优点和特性，其中。

图1是一个展示本发明的基于频谱分析的复合文档恶意代码检测系统的架构图。

图2是一个展示本发明的检测系统管理端内部组成单元的方框图。

图3是一个说明本发明的检测系统数据提取器从复合文档提取数据的示意图。

图4是一个说明本发明的检测系统相位谱生成器生成相位谱过程的示意图。

图5是一个展示本发明的检测系统频谱分析器内部组成单元的方框图。

图6是一个说明本发明的检测系统完整工作流程的流程图。

具体实施方式

本发明中判定准则制定过程中用于绑定样本的恶意代码有很多类型，利用绑定工具可以把这些代码绑定到正常的复合文档中，这些恶意代码主要有以下一些类型。

1)下载器代码。

2)键盘记录代码。

3)修改注册表项代码。

4)密码发送代码。

5)上传资料代码。

6)弹出窗口代码。