[发明专利]一种基于图像纹理和BP神经网络的恶意文件检测方法

说明书

本发明公开了一种基于图像纹理和BP神经网络的恶意文件检测方法，结合图像分析技术和恶意文件检测技术，将恶意文件转换成灰阶图，使用GLCM算法和GIST算法提取纹理特征，并基于BP神经网络进行学习训练，从而快速地识别出不同平台的恶意文件。本发明能解决动态分析中虚拟机可能被感染的问题，也能很好地解决多平台下病毒的检测问题。

技术领域

本发明涉及一种基于图像纹理和BP神经网络的恶意文件检测方法。

背景技术

云存储技术的极大普及，在为人们带来方便的同时，也带来了一定的安全隐患。由于云存储环境下，用户上传的文件类型复杂多样且数量庞大。如何快速有效的检测用户上传的各种文件是否安全从而避免恶意文件在云盘上传播分享成为一个巨大挑战。

如今，随着互联网的快速发展，恶意文件的发展成指数级增长，已经成为威胁互联网安全的关键因素之一。根据赛门铁克发布的2015年《互联网安全威胁报告》[1]显示，在2014年，总共创建了超过3.17亿新的恶意代码片段，恶意软件总数已达到17亿，这意味着世界上每天增加将近100万新的威胁。同时，报告也显示，手机已成为了合适的攻击目标，在所有Android应用程序中有17％(总数近100万)实际上是伪装的恶意软件。相比去年增长了近30％。而在鱼叉钓鱼攻击中，”.doc”和”.exe”类型的恶意附件类型占到了60.3％，其他的还包括jpg、pdf、txt等常见的文件类型，恶意文件类型更趋多样化，这对检测手段提出了很大的挑战。

在报告中还指出，越来越多的恶意软件可以检测是否运行在虚拟机上，而且其行为不是放弃，而是改变以减少被检测到的风险。在所有恶意软件中，有高达28％具备了”虚拟机识别”能力，比以往增长了6％。甚至有些特定恶意软件在检测到虚拟机的同时，可以跳转到相同硬件上的其他虚拟机或者感染管理程序。这意味着传统采用基于沙盒技术的病毒检测技术有效性将会逐渐降低，同时还会带来一定的安全隐患。这给对于依赖虚拟沙盒观察和检测恶意软件的安全研究人员敲醒了警钟。

可见，病毒技术的发展更先进且更趋多样化。传统的恶意文件检测方法略显有点不足。目前主流的传统恶意文件检测方法包括：静态检测技术和动态检测技术两大类。

静态检测技术有：签名扫描检测技术、启发式扫描技术和完整性检测技术。签名扫描检测技术是通过从恶意代码中抽取不同于其他程序的字符串，称为签名，组成签名数据库。然后对目标程序进行扫描，如果程序中发现有匹配的签名值，则判定为恶意代码，签名扫描检测技术精度高，可识别恶意代码名称、误报率低，但是该方法也存在速度慢、不能检查未知和多态性的恶意代码；启发式扫描技术是基于给定的判定规则和定义的扫描技术，检测程序中是否存在可疑的程序功能指令，并做出预警或判断的恶意代码检测方法。启发式扫描技术能够很好的发现已知或未知的恶意代码，但是它对特定类型的文件的检测实现需要提取该类型病毒文件的各种可疑程序指令并制定判断规则，由于存储文件类型多，要对每一种类型的恶意文件提取可疑程序指令并制定判断规则工作量极大；完整性检测技术是通过检测散列值的变化作为判定恶意代码感染的依据，容易实现切保护能力较强，能发现已知或未知的病毒，但对隐蔽性恶意代码无效。

动态检测技术有:行为监控检测技术和代码仿真检测技术。行为监控检测技术是通过hook系统的敏感函数来监控、记录程序的函数调用记录，从而记录各种类型的行为，根据其对系统产生的负面影响的程度来判定其是否为恶意代码。按照其行为类型可分为网络行为分析和主机行为分析，网络行为分析是通过分析目标程序在网络中的通信行为来判定其恶意性。主机行为分析是依据恶意程序的恶意行为，如API调用序列、参数的依赖轮廓等，来对目标程序进行判定；代码仿真检测技术是在代码运行时追踪恶意代码的行为，能高效的捕捉到异常行为,如TTAnalyze仿真器。由于动态检测技术速度慢，且现在带有识别虚拟机功能的恶意文件逐渐增多，动态监测技术的有效性将面临巨大挑战。

发明内容