[发明专利]恶意代码的检测方法及装置

说明书

技术领域

本发明涉及计算机技术领域，尤其涉及一种恶意代码的检测方法及装置。

背景技术

随着互联网技术的快速发展，恶意代码的黑色利益链已经形成，且发展快速。因此恶意代码的制作逐步走向产业化，恶意代码的制作者会对恶意代码不断地维护，从而形成基于同一个基础恶意代码版本的一组不同版本的恶意代码，也可以称为家族恶意代码或变种恶意代码。

对于此类恶意代码，相关技术可采用以下两种方式进行检测：一种方法是静态的特征内容匹配：扫描恶意代码从而获取恶意代码的特征内容，并与预设特征内容进行匹配，如果匹配成功，则确定为恶意代码；另一种方法是行为特征匹配：分析恶意代码的动态行为，并与预设动态行为进行匹配，如果匹配成功，则确定为恶意代码。

但是，相关技术存在以下问题：恶意代码的制作者在对恶意代码的不断维护过程中，使用了更多的加密、混淆等对抗处理手段，上述两种方法都受到限制，甚至有些恶意代码根本无法检测出来。

发明内容

本发明旨在至少在一定程度上解决相关技术中的技术问题之一。

为此，本发明的一个目的在于提出一种恶意代码的检测方法。该方法能够提高恶意代码的检出率和准确率，保障信息安全。

本发明的第二个目的在于提出一种恶意代码的检测装置。

为了实现上述目的，本发明第一方面实施例的恶意代码的检测方法，包括：获取待检测代码的至少一个图标文件；获取所述至少一个图标文件的第一摘要信息；以及根据所述至少一个图标文件的第一摘要信息判断所述待检测代码是否为恶意代码。

本发明实施例的恶意代码的检测方法，根据待检测代码的图标文件得到图标文件的第一摘要信息，并根据图标文件的第一摘要信息检测待检测代码是否为恶意代码，能够识别出传统检测方法所无法识别的家族恶意代码或变种恶意代码，提高了恶意代码的检出率和准确率，保障了信息安全，提升了用户体验。

为了实现上述目的，本发明第二方面实施例的恶意代码的检测装置，包括：第一获取模块，用于获取待检测代码的至少一个图标文件；第二获取模块，用于获取所述至少一个图标文件的第一摘要信息；以及判断模块，用于根据所述至少一个图标文件的第一摘要信息判断所述待检测代码是否为恶意代码。

本发明实施例的恶意代码的检测装置，根据待检测代码的图标文件得到图标文件的第一摘要信息，并根据图标文件的第一摘要信息检测待检测代码是否为恶意代码，能够识别出传统检测方法所无法识别的家族恶意代码或变种恶意代码，提高了恶意代码的检出率和准确率，保障了信息安全，提升了用户体验。

本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中，

图1是根据本发明一个实施例的恶意代码的检测方法的流程图；

图2是根据本发明又一个实施例的恶意代码的检测方法的流程图；

图3是根据本发明另一个实施例的恶意代码的检测方法的流程图；

图4是根据本发明一个实施例的恶意代码的检测装置的结构框图；以及

图5是根据本发明又一个实施例的恶意代码的检测装置的结构框图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。相反，本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。

在本发明的描述中，需要理解的是，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性。在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。此外，在本发明的描述中，除非另有说明，“多个”的含义是两个或两个以上。