[发明专利]检测恶意软件的方法、装置、电子设备及存储介质

说明书

本申请提供了一种检测恶意软件的方法、装置、电子设备及存储介质，包括：获取目标软件的代码文件；根据代码文件的文件模糊哈希与已知恶意代码文件的文件模糊哈希，计算代码文件与已知恶意代码文件之间的第一相似度；根据代码文件中各函数的模糊哈希与已知恶意代码文件中各函数的模糊哈希确定代码文件与已知恶意代码文件之间的第二相似度；根据第一相似度和第二相似度确定代码文件与已知恶意代码文件之间的综合相似度；将代码文件的动态行为特征与已知恶意动态行为特征进行匹配，得到代码文件的动态行为特征匹配结果；根据综合相似度和代码文件的动态行为特征匹配结果，确定目标软件的恶意软件检测结果。本申请可提高恶意软件的检测准确度。

技术领域

本申请涉及信息安全技术领域，更具体地，涉及一种检测恶意软件的方法、装置、电子设备及存储介质。

背景技术

随着互联网通信技术的快速发展，恶意软件也逐渐威胁到网络信息安全。相关技术中，利用一些杀毒引擎或杀毒软件来检测软件的静态特征，并通过静态特征匹配来判断该软件是否为恶意软件，该种检测恶意软件的方法发生漏报误报的情况较多，检测准确度低。因此，如何提高恶意软件的检测准确度是相关技术中亟待解决的技术问题。

发明内容

鉴于上述问题，本申请实施例提出了一种检测恶意软件的方法、装置、电子设备及存储介质，以改善上述问题。

根据本申请实施例的一个方面，提供了一种检测恶意软件的方法，包括：获取目标软件的代码文件；根据所述代码文件的文件模糊哈希与已知恶意代码文件的文件模糊哈希，计算所述代码文件与所述已知恶意代码文件之间的第一相似度；根据所述代码文件中各函数的模糊哈希与所述已知恶意代码文件中各函数的模糊哈希，确定所述代码文件与所述已知恶意代码文件之间的第二相似度；根据所述第一相似度和所述第二相似度，确定所述代码文件与所述已知恶意代码文件之间的综合相似度；将所述代码文件的动态行为特征与已知恶意动态行为特征进行匹配，得到所述代码文件的动态行为特征匹配结果；所述代码文件的动态行为特征是在沙箱中运行所述代码文件中的代码的过程中采集到的；根据所述代码文件与所述已知恶意代码文件之间的综合相似度，和所述代码文件的动态行为特征匹配结果，确定目标软件的恶意软件检测结果。

在一些实施例中，所述根据所述代码文件中各函数的模糊哈希与所述已知恶意代码文件中各函数的模糊哈希，确定所述代码文件与所述已知恶意代码文件之间的第二相似度，包括：根据所述代码文件中各函数的模糊哈希与所述已知恶意代码文件中各函数的模糊哈希，计算所述代码文件中各函数与所述已知恶意代码文件中各函数之间的函数相似度；根据所述代码文件中各函数与所述已知恶意代码文件中各函数之间的函数相似度，确定所述代码文件中函数相似度超过函数相似度阈值的目标函数；根据所述目标函数的数量、所述代码文件中函数的数量和所述已知恶意代码文件中函数的数量，确定所述代码文件与所述已知恶意代码文件之间的第二相似度。

在一些实施例中，所述根据所述代码文件中各函数的模糊哈希与所述已知恶意代码文件中各函数的模糊哈希，确定所述代码文件与所述已知恶意代码文件之间的第二相似度之前，所述方法还包括：对所述代码文件进行反汇编处理，得到反汇编代码；将所述反汇编代码中各函数中的操作数移除；计算移除操作数后所述反汇编代码中各函数的模糊哈希，得到所述代码文件中各函数的模糊哈希。

在一些实施例中，所述根据所述代码文件的文件模糊哈希与已知恶意代码文件的文件模糊哈希，计算所述代码文件与所述已知恶意代码文件之间的第一相似度之前，所述方法还包括：确定所述代码文件的文件类型；若所述代码文件的文件类型为文档类型，则移除所述代码文件中的宏代码。

在一些实施例中，所述确定所述待检测文件的类型之后，所述方法还包括：若所述代码文件的文件类型为脚本语言类型，则判断所述代码文件中是否存在被混淆的代码；若所述代码文件中存在被混淆的代码，则对所述代码文件中被混淆的代码进行解混淆。