[发明专利]一种针对社交欺骗的恶意代码的检测方法及系统

权利要求书

1.一种针对社交欺骗的恶意代码的检测方法，步骤包括：

1)根据样本文件头部内容特征、魔数信息和格式特征，识别样本文件的实际文件类型，得到非安全格式的样本文件；

2)提取上述非安全格式样本文件的文件名，根据文件名所含字符个数、不可打印字符个数、字符所属字符集以及字符是否含特殊字符的其中一项或多项得到恶意度值和可疑度值；

3)根据非安全格式样本文件的文件名所包含的后缀名个数以及标识的后缀名与文件类型是否一致的其中一项或两项得到恶意度值和可疑度值；

4)根据非安全格式样本文件是否为合法的软件开发商发布、开发者信息是否与数字签名中开发者信息一致以及数字签名证书是否合法有效的其中一项或多项得到恶意度值和可疑度值；

5)根据非安全格式样本文件图标是否与已知合法软件的图标相似以及图标相似的已知合法软件的开发者是否与样本文件的开发者一致得到恶意度值和可疑度值；

6)将上述步骤各分析项目的恶意度值和可疑度值的总恶意度值和总可疑度值与设定的检测阈值进行比较，据以判断样本文件是否为恶意代码。

2.根据权利要求1所述的方法，其特征在于，所述安全格式为指定无需分析的文件格式，包括文本文件、图片。

3.根据权利要求1所述的方法，其特征在于，所述特殊字符包括Unicode控制字符0x202E(RLO)。

4.根据权利要求1所述的方法，其特征在于，步骤4)中根据数字签名信息判断样本文件是否为合法的软件开发商发布。

5.根据权利要求1所述的方法，其特征在于，步骤5)中利用感知哈希算法查找与样本文件图标相似的已知合法软件的图标。

6.根据权利要求1所述的方法，其特征在于，所述恶意度为{0,1}二元取值，所述可疑度为在[0,1]区间中任意取值。

7.根据权利要求1所述的方法，其特征在于，所述检测阈值包括恶意度阈值和可疑度阈值。

8.根据权利要求7所述的方法，其特征在于，首先判断样本文件的恶意度，若总恶意度值大于等于恶意度阈值，则视样本文件为恶意代码；否则进一步判断样本文件的可疑度，若总可疑度值与分析项目数的比值大于等于可疑度阈值，则视样本文件为恶意代码。

9.一种针对社交欺骗的恶意代码的检测系统，包括：

一文件类型分析模块，根据样本文件头部内容特征、魔数信息和格式特征，识别样本文件的实际文件类型，得到非安全格式的样本文件；

一文件名分析模块，提取上述非安全格式样本文件的文件名，根据文件名所含字符个数、不可打印字符个数、字符所属字符集以及字符是否含特殊字符的其中一项或多项得到恶意度值和可疑度值；

一文件后缀名分析模块，根据非安全格式样本文件的文件名所包含的后缀名个数以及标识的后缀名与文件类型是否一致的其中一项或两项得到恶意度值和可疑度值；

一文件属性分析模块，提取样本文件的图标、开发者、发布时间及数字签名等信息，并根据非安全格式样本文件是否为合法的软件开发商发布、开发者信息是否与数字签名中开发者信息一致以及数字签名证书是否合法有效的其中一项或多项得到恶意度值和可疑度值；

一文件图标分析模块，查找与样本文件图标相似的已知合法软件的图标，并根据非安全格式样本文件图标是否与已知合法软件的图标相似以及图标相似的已知合法软件的开发者是否与样本文件的开发者一致得到恶意度值和可疑度值；

一文件恶意判断模块，将各分析项目的恶意度值和可疑度值加和获得总恶意度值和总可疑度值，进而与设定的检测阈值进行比较，据以判断样本文件是否为恶意代码。

10.根据权利要求9所述的系统，其特征在于，所述文件类型分析模块、文件名分析模块、文件后缀名分析模块、文件属性分析模块及文件图标分析模块均采用扩展插件的形式。