[发明专利]一种针对社交欺骗的恶意代码的检测方法及系统

说明书

本发明公开了一种针对社交欺骗的恶意代码的检测方法及系统，首先对样本文件的文件类型进行识别，提取其中的非安全格式的样本文件，然后根据文件的各种属性进行社交欺骗可疑程度分析，包括对文件名、后缀名、文件类型、文件图标、文件属性等进行分析，根据文件名是否超长、文件名字符集类型、是否采用了不常见的后缀名、文件类型是否与后缀名一致、文件是否为快捷方式等特殊类型、文件图标是否与已知合法软件相似、文件签名是否合法等检测手段，对文件进行分析和检测并进行打分，最后根据各项目的检测结果综合分析评估文件是否为恶意代码。

技术领域

本发明属于恶意代码检测技术领域，具体涉及一种针对利用社交欺骗手段开展攻击的恶意代码的检测方法及系统。

背景技术

随着社会的不断发展和信息化的不断深入，计算机和互联网在社会各个领域的应用越来越广泛。与此同时，针对信息系统的攻击也越来越多，计算机病毒、木马等恶意代码攻击造成的威胁也日益严重，随着杀毒软件、反病毒网关等安全措施的不断部署，传统的计算机病毒传播方式逐渐失效，恶意代码编写者越来越多地采用电子邮件、即时通讯、网络论坛等社交媒体，通过社交欺骗的方式进行恶意代码传播，通过社交欺骗和技术手段相结合的方式，绕过安全软件的保护，欺骗用户打开、执行恶意代码，从而向受害者系统中植入木马，进行窃密、勒索等破坏活动。当前，这种基于社交的恶意代码攻击越演越烈，已经成为攻击活动的主流手段，对国家安全、社会稳定和广大网民的信息保密和财产安全造成了严重影响。因此，针对社交欺骗的恶意代码的检测方法显得十分必要。

当前的恶意代码检测技术主要包括以下几种：

1.对文件进行静态二进制扫描，通过将文件内容与恶意代码特征库中的已有恶意代码特征进行比对，发现已知的恶意代码。由于该方法只能针对已知恶意代码进行检测，而攻击者通常会对恶意代码进行加密、加壳、变形等，导致静态扫描难以发现未知恶意代码、变形恶意代码、特种恶意代码。

2.对文件进行模拟执行，通过对疑似可执行代码的片段进行模拟执行，分析该过程中产生的行为和异常，实现恶意代码检测。由于该方法不容易界定异常行为，同时还需应对可执行代码中可能包含的反调试、反分析技术，因此实际应用中难以对大规模的代码进行分析，准确度较低。

3.将文件置入沙箱运行，观察其动态运行过程，提取行为特征并与行为白名单对比，实现恶意代码检测。由于动态分析的系统资源消耗较大，并且分析过程较为耗时，难以在客户端部署，也难以对海量样本进行实时检测。

综上所述，目前恶意代码的检测方法主要关注代码本身，其主要缺陷在于忽视了恶意代码的外在形态相关信息，导致在针对恶意代码本身的检测失效时，用户容易被社交欺骗迷惑，从而执行恶意代码，造成攻击和破坏。

发明内容

针对现有技术中存在的技术问题，本发明的目的在于提供一种针对网络攻击中通过社交欺骗的方式投递、发送的恶意代码的检测方法及系统。

为实现上述目的，本发明采用如下技术方案：

一种针对社交欺骗的恶意代码的检测方法，步骤包括：

1)根据样本文件头部内容特征、魔数信息和格式特征，识别样本文件的实际文件类型，得到非安全格式的样本文件；

2)提取上述非安全格式样本文件的文件名，根据文件名所含字符个数、不可打印字符个数、字符所属字符集以及字符是否含特殊字符的其中一项或多项得到恶意度值和可疑度值；

3)根据非安全格式样本文件的文件名所包含的后缀名个数以及标识的后缀名与文件类型是否一致的其中一项或两项得到恶意度值和可疑度值；

4)根据非安全格式样本文件是否为合法的软件开发商发布、开发者信息是否与数字签名中开发者信息一致以及数字签名证书是否合法有效的其中一项或多项得到恶意度值和可疑度值；