技術領域

本發明屬于信息安全領域，具體涉及一種融合多檢測結果的惡意程序檢測方法。

背景技術

隨著互聯網應用的不斷普及和發展，涌現了大量基于網絡的服務，使網絡空間成為繼陸、海、空、天后的第五疆域。網絡空間安全也成為了全球共同關注的熱點話題，受到廣泛關注。在各類網絡安全事件中，以計算機病毒為代表的惡意程序已經成為威脅網絡和信息安全的主要因素之一。惡意程序通常是指帶有攻擊意圖所編寫的一段程序，主要包括：計算機病毒、陷門、邏輯炸彈、特洛伊木馬、蠕蟲等。從某種意義上說，21世紀是計算機病毒與反病毒激烈角逐的時代，而智能化、人性化、隱蔽化、多樣化也在逐漸成為新世紀計算機病毒的發展趨勢。

一般來講，惡意代碼檢測方法可以分為兩種：一種是靜態檢測方法，另一種是動態檢測方法。

靜態檢測方法主要包括：基于特征碼的檢測法和啟發式掃描方法等。

動態分析方法主要包括：系統監控法和動態跟蹤法等。

基于特征碼的檢測法是現有的商業反病毒軟件中廣泛應用的一種方法，幾乎現有的所有反病毒軟件都具有這一功能。首先，采集已知病毒樣本，抽取其特征碼并將其納入病毒數據庫。檢測時，打開被檢測文件，在文件中搜索，檢查文件中是否含有病毒數據庫中的病毒特征代碼。如果發現病毒特征碼，由于特征碼與病毒一一對應，便可以斷定，被查文件中患有何種病毒。但這種方法不能檢測未知病毒；搜集已知病毒的特征代碼，費用開銷大；惡意代碼的種類、數量越來越多，特征庫的維護也變得越來越困難，并且過多的特征碼會影響檢測效率。啟發式掃描技術其實就是對基于特征碼檢測方法的一種改進，這種方法不僅能檢測出己知的惡意代碼，還能識別出一些變種、變形和未知的惡意代碼。但是該方法仍然離不開特征碼的提取。

系統監控法—般是將惡意代碼運行在一個可控的環境中，通過對比系統某些標志性的狀態信息在執行惡意代碼前后發生的變化來確定惡意代碼的功能和目的。系統監控方法可以監控程序對系統資源的一切操作，實時檢測出狀態變化，所以能夠快速的發現已知和未知的惡意代碼。動態跟蹤法是指實時監控惡意代碼運行時的動態行為，從而分析惡意代碼的功能和目的。這種檢測方法能有效地分析出惡意代碼的行為，但是其實現的技術難度比較大。此外，動態分析方法的高度敏感性可能產生誤報警、不能識別病毒名稱，不利于感染文件病毒的清除。現有的殺毒軟件大多都具有行為監測的功能，但往往由于配置不當而形同虛設。

網絡時代的惡意程序更隱秘，潛伏程度更高，傳播范圍更廣，帶來的損失更為嚴重。加上代碼混淆技術的流行，惡意程序自動生成引擎的廣泛傳播，造成惡意程序數目不斷增長，對網絡空間安全造成了嚴重的威脅。因此，研制新型惡意程序檢測技術對確保網絡空間安全具有重要意義。

發明內容

本發明的目的是針對基于特征碼的檢測方法不能檢測出未知惡意程序和已知惡意程序變種的問題，提供一種融合多種檢測結果的惡意程序檢測方法。對未知惡意程序及已知惡意程序具有良好的檢測效果，為惡意程序的檢測及與現有檢測方法的融合提供了一種有益的方法。

為實現本發明目的，本發明的技術方案如下：一種融合多檢測結果的惡意程序檢測方法，包括以下步驟:

步驟S1、建立字符串集合：所述建立字符串集合包括在計算機系統中收集正常程序，構成正常程序集合Bp，收集一部分有代表性的惡意程序構成惡意程序集Mp；在正常程序集合Bp中選取一部分常見的程序構成正常程序子集Bp1，在惡意程序集合Bp中選取一部分常見的程序構成惡意程序子集Mp1；在正常程序子集Bp1和惡意程序子集Mp1中提取長度為len的、不重復的十六進制字符串，并將其添加到字符串集合中，len的取值范圍為2-20字節。

步驟S2、計算每個字符串的信息增益，選取特定數量的字符串構成基因庫：即計算字符串集合中的每個十六進制字符串的信息增益值，然后按信息增益從大到小按降序進行排序，選取信息增益量較大的N個十六進制字符串構成基因庫，N大于或等于100小于或等于2000。

步驟S3、提取正常程序的特征向量，形成正常程序向量空間：具體為基于步驟S2建立的基因庫，對計算機系統中的正常程序建立特征向量，并進一步構建在當前基因庫下的正常程序的向量空間。

步驟S4、生成惡意程序檢測器：即基于步驟S3建立的正常程序向量空間，進一步生成覆蓋惡意程序特征向量空間的惡意程序檢測器。