[发明专利]基于存在的计算机生成的字符串的应用中的恶意软件检测

权利要求书

1.一种确定文件中恶意软件存在的方法，所述方法包括：

接收可执行文件；

确定所述可执行文件中的文本字符串集，所述文本字符串包括具有函数名称、变量名称或方法名称的组中的至少一个成员；以及

响应于确定所述文本字符串集中的至少一个文本字符串是计算机生成的文本字符串，确定所述可执行文件可能包含恶意软件。

2.如权利要求1所述的方法，其中，所述确定所述文本字符串集中的至少一个文本字符串是计算机生成的文本字符串包括：确定所述至少一个文本字符串中的辅音相对于元音的比率大于预定或可配置的阈值。

3.如权利要求2所述的方法，其中，所述确定所述至少一个文本字符串中的辅音相对于元音的比率大于预定或可配置的阈值包括：

确定所述至少一个文本字符串中的辅音数量；

确定所述至少一个文本字符串中的元音数量；以及

将所述辅音数量除以所述元音数量，以确定辅音相对于元音的比率。

4.如权利要求2或3所述的方法，其中，辅音相对于元音的比率的所述预定或可配置阈值是3.0。

5.如前述权利要求中任一项所述的方法，其中，所述确定所述文本字符串集中的至少一个文本字符串是计算机生成的文本字符串包括：确定所述至少一个文本字符串中的不被元音中断的序列中的辅音数量大于预定或可配置的阈值。

6.如权利要求5所述的方法，其中，不被元音中断的序列中的辅音数量的所述预定或可配置阈值是3.0。

7.如前述权利要求中任一项所述的方法，其中，所述确定所述文本字符串集中的至少一个文本字符串是计算机生成的文本字符串包括对所述文本字符串集执行迭代，所述迭代包括：

确定所述至少一个文本字符串的辅音相对于元音的比率大于预定或可配置的第一阈值；

确定所述至少一个文本字符串中的不被元音中断的序列中的辅音数量是否大于预定或可配置的第二阈值；以及

如果超过第一阈值或第二阈值，则指示所述至少一个文本字符串可能是计算机生成的字符串。

8.一种非暂时性机器可读介质，其上存储有指令，所述指令包括计算机可执行指令，所述计算机可执行指令在被执行时使一个或多个处理器：

接收可执行文件；

确定所述可执行文件中的文本字符串集，所述文本字符串包括具有函数名称、变量名称或方法名称的组中的至少一个成员；以及

响应于确定所述文本字符串集中的至少一个文本字符串是计算机生成的文本字符串，确定所述可执行文件可能包含恶意软件。

9.如权利要求8所述的非暂时性机器可读介质，其中，所述确定所述文本字符串集中的至少一个文本字符串是计算机生成的文本字符串包括：确定所述至少一个文本字符串中的辅音相对于元音的比率大于预定或可配置的阈值。

10.如权利要求8或9所述的非暂时性机器可读介质，其中，所述计算机可执行指令还包括计算机可执行指令，用以：

确定所述至少一个文本字符串中的辅音数量；

确定所述至少一个文本字符串中的元音数量；

将所述辅音数量除以所述元音数量，以确定辅音相对于元音的比率；以及

确定所述辅音相对于元音的比率大于预定或可配置的阈值。

11.如权利要求10所述的非暂时性机器可读介质，其中，辅音相对于元音的比率的所述预定或可配置阈值是3.0。

12.如权利要求8至11中的任一项所述的非暂时性机器可读介质，其中，所述计算机可执行指令还包括计算机可执行指令，用以：

确定所述文本字符串集中的至少一个文本字符串是计算机生成的文本字符串包括：确定所述至少一个文本字符串中的不被元音中断的序列中的辅音数量大于预定或可配置的阈值。