[发明专利]一种变形恶意代码的检测方法及装置有效
| 申请号: | 201710037726.6 | 申请日: | 2017-01-19 |
| 公开(公告)号: | CN108334776B | 公开(公告)日: | 2020-09-04 |
| 发明(设计)人: | 杭小勇 | 申请(专利权)人: | 中国移动通信有限公司研究院;中国移动通信集团公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 北京银龙知识产权代理有限公司 11243 | 代理人: | 许静;安利霞 |
| 地址: | 100053 北*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 变形 恶意代码 检测 方法 装置 | ||
本申请公开了一种变形恶意代码的检测方法及装置,涉及网络安全领域。包括:对待检测代码进行全抽样和定位抽样,获取所述待检测代码的特征值;将所述待检测代码的特征值与预先存储的恶意代码库中的已知恶意代码的特征值进行相似度比较,获取相似度比较结果;将所述相似度比较结果与预先设置的相似度阈值进行比较,根据比较结果确定变形恶意代码;其中,特征值包括:代码长度、全抽样的特征向量、定位抽样的初始字符集、定位抽样获得的特征字符集的长度以及所述特征字符集的特征向量。根据本技术方案,解决了现有技术在检测变形恶意代码对编程语言的语法分析的依赖性。
技术领域
本发明涉及网络安全领域,尤其涉及变形恶意代码的检测方法及装置。
背景技术
随着网络技术的快速发展,恶意代码的种类、数量和传播速度都在逐渐增长,对网络安全的危害也越来越大。为了规避恶意代码的检出,在已有恶意代码的基础上,通过增减空白字符、修改关键字、调整代码顺序、等效语法替换等方式,形成变形恶意代码。在现有技术中,变形恶意代码的检测主要通过对待检测代码的编程语言进行语法分析,将语法分析的结果与已知的恶意代码的语法进行相似度比较来实现的。
在实现本发明的过程中,发明人发现,采用现有技术检测变形恶意代码需要具备对代码语言的语法分析能力,检测方法比较复杂,不易实现。
发明内容
有鉴于此,为了解决上述技术问题,本发明实施例提出了一种变形恶意代码的检测方法及装置。
第一方面,本发明提供一种变形恶意代码的检测方法,包括:
对待检测代码进行全抽样和定位抽样,获取所述待检测代码的特征值;
将所述待检测代码的特征值与预先存储的恶意代码库中的已知恶意代码的特征值进行相似度比较,获取相似度比较结果;
将所述相似度比较结果与预先设置的相似度阈值进行比较,根据比较结果确定变形恶意代码;
其中,所述特征值包括:代码长度、全抽样的特征向量、定位抽样的初始字符集、定位抽样获得的特征字符集的长度以及所述特征字符集的特征向量。
进一步地,所述对待检测代码进行定位抽样包括:
获取初始字符集;
分别以所述初始字符集中每个字符为起点,根据预先设置的抽样间隔、抽样方向和抽样字符个数对所述待检测代码进行定位抽样。
进一步地,所述获取所述待检测代码的初始字符集包括:
从所述恶意代码库中的已知恶意代码的特征值中选取已知恶意代码的初始字符集为初始字符集;
其中,所述已知恶意代码的初始字符集根据如下步骤获得:
从所述已知恶意代码中选取两个以上特征字符;
获取所述两个以上特征字符在所述已知恶意代码中出现的次数;
将所述两个以上特征字符在所述已知恶意代码中出现的次数与所述已知恶意代码的字符总数进行比较,获取第一比较结果;
将所述第一比较结果与预先设置的特征字符出现比例阈值进行比较,根据比较结果获取所述已知恶意代码的初始字符集。
进一步地,所述将所述待检测代码的特征值与预先存储的恶意代码库中的已知恶意代码的特征值进行相似度比较,获取相似度比较结果包括:
将所述待检测代码的长度和全抽样的特征向量与所述已知恶意代码的长度和全抽样的特征向量进行相似度比较,获取全抽样相似度比较结果;
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国移动通信有限公司研究院;中国移动通信集团公司,未经中国移动通信有限公司研究院;中国移动通信集团公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201710037726.6/2.html,转载请声明来源钻瓜专利网。
