[发明专利]一种嵌套类文件的启发式检测方法、系统及存储介质有效
| 申请号: | 201711489577.3 | 申请日: | 2017-12-29 |
| 公开(公告)号: | CN108229168B | 公开(公告)日: | 2021-07-20 |
| 发明(设计)人: | 李增光;童志明;何公道;肖新光 | 申请(专利权)人: | 哈尔滨安天科技集团股份有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56;G06F16/2458 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 150028 黑龙江省哈尔滨高新技术产业*** | 国省代码: | 黑龙江;23 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 嵌套 文件 启发式 检测 方法 系统 存储 介质 | ||
本发明提出一种嵌套类文件的启发式检测方法、系统及存储介质,所述方法包括:对获取的嵌套类文件进行文件拆分;获取拆分出的文件类型,并对文件类型进行规则化处理,整理为知识数据;将所述知识数据与知识库进行匹配;若匹配成功,则所述嵌套类文件存在恶意,输出检测结果,结束检测;否则对未匹配成功的嵌套类文件进行恶意性分析。本发明不需要进行复杂的逻辑分析,也不需要虚拟环境来动态执行脚本,而是基于嵌套类文件基于异常环境下将会产生威胁行为这一性质来进行启发式检测,可以有效的提高检测的速度、准确度等。
技术领域
本发明涉及网络安全技术领域,特别涉及一种嵌套类文件的启发式检测方法、系统及存储介质。
背景技术
随着计算机的更新换代及互联网的普及,恶意代码也相应的发生着演变,无论是从数量上还是总类上都呈现出较高的增长趋势。
传统的启发式检测技术针对样本实体来进行分析,例如分析逻辑结构、虚拟环境中动态执行等等,从而进行启发式检测,但是需要耗费大量的资源和时间,不够快捷,一定程度上比较浪费资源。
发明内容
基于上述问题,本发明提出一种嵌套类文件的启发式检测方法、系统及存储介质,根据嵌套的文件类型,进行启发式检测,有效提高检测的速度。
本发明通过如下方法实现:
一种嵌套类文件的启发式检测方法,包括:
对获取的嵌套类文件进行文件拆分;
获取拆分出的文件类型,并对文件类型进行规则化处理,整理为知识数据;
将所述知识数据与知识库进行匹配;若匹配成功,则所述嵌套类文件存在恶意,输出检测结果,结束检测;否则对未匹配成功的嵌套类文件进行恶意性分析;
所述对未匹配成功的嵌套类文件进行恶意性分析,具体为:
获取大量已知检测结果的同类型嵌套类文件,进行概率学统计,若统计结果中恶意概率大于非恶意概率,则所述未匹配成功的嵌套类文件为恶意,否则所述未匹配成功的嵌套类文件为非恶意。
所述的方法中,所对文件类型进行述规则化处理,整理为知识数据,具体为:将拆分出的全部文件类型进行整合,合并相同的文件类型,并记录相同文件类型的文件数量。
所述的方法中,所述知识库为,通过对已知具有威胁性的嵌套类文件进行概率学统计,将嵌套类文件进行规则化处理后的知识数据存入知识库。
所述的方法中,对未匹配成功的嵌套类文件进行恶意性分析后,还包括:若恶意性分析结果为恶意文件,则提取嵌套类文件的知识数据;并将所述嵌套类文件的知识数据及对应检测结果录入知识库。
本发明还提出一种嵌套类文件的启发式检测系统,包括:
拆分模块,对获取的嵌套类文件进行文件拆分;
数据处理模块,获取拆分出的文件类型,并对文件类型进行规则化处理,整理为知识数据;
匹配模块,将所述知识数据与知识库进行匹配;若匹配成功,则所述嵌套类文件存在恶意,输出检测结果,结束检测;否则进入恶意性分析模块;
恶意性分析模块,对未匹配成功的嵌套类文件进行恶意性分析;
所述对未匹配成功的嵌套类文件进行恶意性分析,具体为:
获取大量已知检测结果的同类型嵌套类文件,进行概率学统计,若统计结果中恶意概率大于非恶意概率,则所述未匹配成功的嵌套类文件为恶意,否则所述未匹配成功的嵌套类文件为非恶意。
所述的系统中,所对文件类型进行述规则化处理,整理为知识数据,具体为:将拆分出的全部文件类型进行整合,合并相同的文件类型,并记录相同文件类型的文件数量。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于哈尔滨安天科技集团股份有限公司,未经哈尔滨安天科技集团股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201711489577.3/2.html,转载请声明来源钻瓜专利网。
