[发明专利]恶意软件检测装置和方法

说明书

本发明涉及一种恶意软件检测装置和方法。所述恶意软件检测方法包括：从文件生成图像；生成所述图像的签名，其中，所述图像的所述签名指示所述图像的局部特征描述符；将所述图像的所述签名与恶意软件签名存储库中的至少一个预定签名进行比较；根据比较结果确定所述文件是否为恶意文件。在本发明实施例中用作检测文件中恶意软件的签名的局部特征描述符，在检测所述图像中的相同特征方面更鲁棒，而不依赖于缩放、移位和噪音，具有高精度和可重复性。从而提高了恶意软件检测方法的鲁棒性。

技术领域

本发明涉及一种恶意软件检测装置和方法。此外，本发明还涉及生成恶意软件签名存储库的装置和方法，以及其对应的计算机程序和计算机可读存储介质。

背景技术

恶意软件是恶意的软件统称，用于指设计为在未经所有者知情同意的情况下渗透或损坏计算机系统或计算机网络的任何软件。恶意软件可以包括计算机病毒、蠕虫、特洛伊木马、rootkit和间谍软件。为了防止与恶意软件感染相关的问题，许多最终用户利用端点保护软件来检测并尽可能删除恶意软件。

端点保护是一种解决方案，其部署在端点设备(例如服务器)和个人设备(包括个人计算机、笔记本电脑、平板电脑和其它设备)上，以防止恶意软件攻击或进行其它恶意活动。端点安全试图确保此类设备遵循一定级别的标准符合性。在此领域中，端点保护工具通常使用基于签名的技术来检测已知恶意软件的攻击。根据统计分析，假设存在针对该威胁的签名，在执行前扫描文件可防止感染。这种方式速度快，误报率(false-positive rate，FPR)低。

最常见的签名生成方法对恶意文件(例如，恶意的软件或恶意软件)的字节序列应用不同函数(例如，校验和、加密哈希函数、模糊哈希函数等)。问题是，这些方法对恶意软件二进制文件中的轻微更改都很敏感。这为攻击者提供了一个通过创建恶意软件突变并在生成新签名之前造成响应延迟来逃避基于签名的检测的机会。

需要构建更鲁棒的恶意软件签名，以便即使至今未知的恶意软件突变的部分内容与已知恶意软件突变不同，也能快速、准确地识别至今未知的恶意软件突变。此外，为了最大限度地减少检测时间和存储空间，最好最大限度地减少端点保护工具扫描新文件时使用的恶意软件签名的数量。

发明内容

本发明实施例的目的是提供一种解决方案，用来减少或解决传统方案的缺点和问题。

上述和其它目的是通过独立权利要求的主题来实现的。在从属权利要求中可以找到其它有利实施例。

本发明旨在提供一种解决方案，使恶意软件检测具有鲁棒性，以便即使未知恶意软件突变的部分内容与已知恶意软件突变不同，也能快速、准确地识别该未知恶意软件突变。

根据本发明的第一方面，上述和其它目的是通过恶意软件检测方法实现的。所述方法包括以下步骤：从文件生成图像；生成所述图像的签名，其中，所述图像的所述签名指示所述图像的局部特征描述符；将所述图像的所述签名与恶意软件签名存储库中的至少一个预定签名进行比较；根据比较结果确定所述文件是否为恶意文件。

需要说明的是，上述公开内容集中在检测输入文件的二进制内容中的恶意软件的场景上。在将输入文件的二进制内容转换为图像后，可以生成图像的签名。图像的此签名指示图像的局部特征描述符。在图像的签名与恶意软件签名存储库中的预定签名之间执行比较。根据比较结果，输入文件被确定为恶意文件。

在本发明中，术语“文件”可以解释为疑似包含一个或多个恶意软件突变的文件的二进制内容。

在本发明中，术语“图像是从文件生成的”可以解释为从输入文件的二进制内容转换的图像。从文件的二进制内容生成图像的方法有多种，例如，读取文件的二进制内容的字节流，并将每个字节值(0-255)转换为对应灰度级的像素。根据文件的二进制内容的大小设置图像的宽度，然后根据二进制内容填入图像的高度。