[发明专利]一种融合多检测结果的恶意程序检测方法

摘要

本发明公开了一种融合多检测结果的恶意程序检测方法，包括建立字符串集合、建立基因库、构建特征向量、生成恶意程序检测器、判定待检程序是否为恶意程序、根据多个检测结果综合评判待检程序是否为恶意程序，本发明通过构建基因库，然后生成正常程序的特征空间，进而产生覆盖恶意程序空间的检测器来实现对恶意程序的检测，有效避免了恶意程序特征码的提取和庞大特征库的维护,同时，通过融合多个恶意程序的检测结果，再次进行综合评判，进一步提高恶意程序检测的准确率。本发明对未知恶意程序及已知恶意程序具有良好的检测效果，为恶意程序的检测及与现有检测方法的融合提供了一种有益的方法。

主权项

一种融合多检测结果的恶意程序检测方法，其特征在于，包括以下步骤:步骤S1、建立字符串集合：所述建立字符串集合包括在计算机系统中收集正常程序，构成正常程序集合Bp，收集一部分有代表性的恶意程序构成恶意程序集Mp；在正常程序集合Bp中选取一部分常见的程序构成正常程序子集Bp1，在恶意程序集合Bp中选取一部分常见的程序构成恶意程序子集Mp1；在正常程序子集Bp1和恶意程序子集Mp1中提取长度为len的、不重复的十六进制字符串，并将其添加到字符串集合中，len的取值范围为2‑20字节；步骤S2、计算每个字符串的信息增益，选取特定数量的字符串构成基因库：具体为计算字符串集合中的每个十六进制字符串的信息增益值，然后按信息增益从大到小按降序进行排序，选取信息增益量较大的N个十六进制字符串构成基因库，N大于或等于100小于或等于2000；步骤S3、提取正常程序的特征向量，形成正常程序向量空间：具体为基于步骤S2建立的基因库，对计算机系统中的正常程序建立特征向量，并进一步构建在当前基因库下的正常程序的向量空间；步骤S4、生成恶意程序检测器：即基于步骤S3建立的正常程序向量空间，进一步生成覆盖恶意程序特征向量空间的恶意程序检测器；步骤S5、初步判定待检程序是否为恶意程序：即对每一个待检测程序进行特征提取,生成待检测程序的特征向量,计算待检测程序的特征向量与检测器之间的r连续位距离,若所述r连续位距离大于或等于设定的阈值,判定待检测程序为恶意程序,否则为正常程序；步骤S6、根据融合规则判断待检程序是否为恶意程序：具体为在步骤S1采用不同的len值，通过步骤S2得到不同长度的基因库，重复步骤S3至步骤S5，对待检测程序再次进行检测,得到新的检测结果，并至少重复一次，再次得到新的检测结果，由多个检测结果，运用融合规则，计算其为正常程序或者是恶意程序的基本信任分配，最终判定待检测程序是恶意程序或者是正常程序。