[发明专利]基于存在的计算机生成的字符串的应用中的恶意软件检测

说明书

可执行文件可以至少部分地基于存在的计算机生成的文本字符串(作为函数名称、方法名称或变量名称)而被确定为恶意的。可以确定可执行文件中的函数名称、方法名称和变量名称的属性。属性可以包括可执行文件中至少一个文本字符串的辅音相对于元音的比率。属性还可以包括序列中的辅音的数量，该序列不受可执行文件中的至少一个文本字符串的元音的干扰。如果属性指示函数名称、方法名称或变量名称已由计算机生成，则可执行文件可被标记为可能是恶意的。

相关申请的交叉引用

本申请要求2017年3月30日提交的题为“基于存在的计算机生成的字符串的应用中的恶意软件检测”、申请序列号为62/479,153的美国临时专利的优先权，该专利目前正在申请中，其全部公开通过引用并入本文。

技术领域

本发明通常涉及恶意软件检测，更具体地，涉及基于存在的计算机生成的字符串的应用中的恶意软件检测。

背景技术

Malware是“恶意软件(malicious software)”的缩写，是可用于在用户不知情或未经用户同意的情况下破坏计算机操作、毁坏数据、收集敏感信息或访问私人计算机系统的软件。此类恶意软件的示例包括软件病毒、特洛伊木马、根程序病毒包(rootkits)、勒索软件等。恶意软件开发人员使用的一种常见机制是将恶意软件嵌入到文件中，该文件对用户来说是合乎需要的，或者在用户访问网站时下载并执行。例如，恶意软件可以嵌入到看似合法且有用的可执行文件或软件应用中。用户下载文件，当文件打开时，文件中的恶意软件被执行。包含恶意软件的文件可称为恶意文件。

为了保护计算设备的恶意软件检测是主要关注的问题。正确识别哪些文件包含恶意软件以及哪些文件是良性的可能是一项艰巨的任务，因为恶意软件开发人员经常混淆恶意软件的各种属性以试图避免被反恶意软件软件检测到。例如，恶意软件创建者通常通过使用计算机随机生成的名称命名函数、方法和/或变量名称来尝试隐藏恶意属性。

因此，需要能够基于可执行文件或应用中存在的计算机生成的函数名称、变量名称和/或方法名称来检测恶意软件的系统和方法。还需要适于确定可执行文件或应用中的文本字符串是否是计算机生成的文本字符串的系统和方法。

发明内容

本发明通常涉及用于检测文件中的恶意软件的系统和方法。本发明的一个实施例指向一种接收可执行文件并确定可执行文件中的文本字符串集方法。文本字符串可以至少包括函数名称、变量名称或方法名称。对一个或多个文本字符串的各个方面进行分析以确定文本字符串中的至少一个是否是计算机生成的文本字符串。可以在评估文本字符串时采用迭代循环。

可以确定至少一个文本字符串中的辅音相对于元音的比率是否大于预定或可配置的阈值。在这样做时，确定文本字符串中的辅音数量和元音数量。辅音数量可以除以元音数量，以确定文本字符串中辅音相对于元音的比率。如果文本字符串中的辅音相对于元音的比率大于预定或可配置的阈值，则可以将文本字符串指示为可能是计算机生成的字符串。在一个实施例中，辅音相对于元音的比率的阈值例如是3.0。

还可以确定在文本字符串中不被元音中断的序列中的辅音数量是否大于预定或可配置的阈值。如果在文本字符串中不被元音中断的序列中的辅音数量大于预定或可配置的阈值，则可以将文本字符串指示为可能是计算机生成的字符串。在一个实施例中，不被元音中断的序列中的辅音数量的阈值例如是3.0。

本发明的另一个实施例涉及一种非暂时性机器可读介质，其上存储有指令，该指令包括计算机可执行指令，该计算机可执行指令在被执行时被配置用于基于计算机生成的文本字符串的存在来检测文件中的恶意软件。在一个实施例中，计算机可执行指令使一个或多个处理器进行上面概述的方法的一个或多个步骤。

本发明的另一方面涉及一种系统，该系统包括一个或多个处理器和非暂时性机器可读介质，其上存储有计算机可执行指令，该指令适于基于计算机生成的文本字符串的存在来检测文件中的恶意软件，如上所概述。

附图说明