技術領域

本發明涉及信息安全中的惡意軟件檢測方法，特別是針對PE文件和ELF文 件的新穎而實用的惡意軟件檢測方法，它能夠在經過有限訓練集訓練以后，檢測 已知的和未知的惡意軟件，因它只需提取少數的文件靜態結構屬性，單個文件的 檢測時間是0.25秒左右，且檢測正確率在99％以上，已達到了可實際部署應用 的檢測軟件的要求。

背景技術

據國內外各大反病毒公司統計，2008年截獲的各類新病毒樣本數已經超過 1000萬，日均截獲病毒樣本數萬。計算機病毒的數量急劇增加，其傳播途徑多 樣化，且抗反病毒軟件能力強，計算機病毒已經成為互聯網以及廣大計算機用 戶的最大安全威脅。

反病毒技術現狀：

1、特征值掃描

傳統病毒掃描是利用惡意軟件留在被感染文件中的病毒特征值(即每種病 毒所獨有的十六進制代碼串)進行檢測。它的流程如下：1、一種惡意軟件出現 和長生了破壞，引起了反病毒公司分析專家的注意；2、分析專家找到該惡意軟 件的樣本并進行分析，提取出了該惡意軟件的特征值；3、把提取出的特征值加 入到反病毒軟件的服務器特征庫中；4、用戶被提示更新本地反病毒軟件的特征 庫；5、用戶更新后可以檢測和查殺該惡意軟件。其缺點是：它幾乎不能檢測新 的惡意軟件種類，能檢測的惡意軟件經過簡單加殼后又不能檢測，特定惡意軟件 在被反病毒軟件查殺之后很容易進行免殺處理。同時隨著惡意軟件種類的指數級 增長，分析人員手動提取每個惡意軟件的特征值變得枯燥而繁重，病毒特征庫的 體積越來越大，致使檢測工具的檢測時間不斷增加，相對于目前計算機惡意軟件 數量的增長速度來說，反病毒廠商的響應速度已經嚴重滯后，且存在真空期—— 即從惡意軟件出現到反病毒軟件能查殺該惡意軟件，在真空期惡意軟件可能已經 長生了嚴重的破壞。這給計算機惡意軟件的防護工作帶來了嚴峻挑戰。

2、使用數據挖掘技術的檢測方法：

在傳統的特征碼掃描手段不能更好的滿足需求的情況下，發展了一些使用數 據挖掘技術來檢測惡意軟件的方法，這些方法主要分為兩類：靜態惡意軟件檢測 方法和動態惡意軟件檢測方法。靜態惡意軟件檢測方法通過分析惡意軟件的二進 制代碼、反匯編后的代碼、反匯編后的靜態調用等獲取惡意軟件的特征，利用分 類算法在正常軟件與惡意代碼之間建立較好的分割線，實驗結果表明其檢測未知 計算機病毒的能力較強，換言之，這些特征部分反映了兩類軟件之間的差異。動 態惡意軟件檢測方法通常分析惡意軟件運行時的API調用系列，提取出在惡意軟 件和正常文件頻繁出現且在兩類軟件中具有較好區分度的子系列，然后使用分類 算法對兩類軟件進行分類。

上述方法主要面臨三方面的問題：

第一、無論是靜態的分析方法還是動態的分析方法提取特征方法復雜，提取 的特征較多，導致檢測每個文件的時間比較長，很難在實際部署的反病毒軟件中 使用；

第二、以上的靜態檢測方法很容易受加殼和混淆技術的影響，加殼后完全改 變了惡意軟件的二進制代碼和反匯編后的代碼，使得檢測的準確率下降，如果在 脫殼后再進行檢測，每個文件的檢測時間就會加長，且通用的脫殼軟件在反脫殼 技術的影響下并不能自動的脫去所有惡意軟件的殼；

第三、如果是通過動態分析來檢測惡意軟件，我們通常只能分析惡意軟件的 單條執行路徑，并不能遍歷惡意軟件的所有執行路徑，同時，很多惡意軟件已具 備了反虛擬、反調試、反跟蹤、抗反匯編的能力，這些都使得動態檢測惡意軟件 的準確率不高和花費時間比較長，且執行惡意；

第四、軟件有可能對系統產生破壞。

發明內容

本發明的目的在于提出并設計一種虛警率較低，且具有較高的檢測準確率的 基于文件靜態結構屬性的惡意軟件檢測新方法。

本發明的目的是這樣實現的：一種基于文件靜態結構屬性的惡意軟件檢測方 法，其特征是：

檢測模型分為2個階段：訓練階段和檢測階段；訓練階段用于完成分類器的 構建；而檢測階段用于完成惡意軟件的檢測；

在訓練階段，首先提取文件樣本靜態結構屬性；接著進行數據預處理工作， 使用數據挖掘的屬性選擇過濾算法對屬性進行選擇過濾，剩下具有很好區分度的 屬性，然后使用這些數據來訓練分類器，訓練好的分類器用作區分惡意軟件和正 常文件；