本發明公開了一種針對社交欺騙的惡意代碼的檢測方法及系統，首先對樣本文件的文件類型進行識別，提取其中的非安全格式的樣本文件，然后根據文件的各種屬性進行社交欺騙可疑程度分析，包括對文件名、后綴名、文件類型、文件圖標、文件屬性等進行分析，根據文件名是否超長、文件名字符集類型、是否采用了不常見的后綴名、文件類型是否與后綴名一致、文件是否為快捷方式等特殊類型、文件圖標是否與已知合法軟件相似、文件簽名是否合法等檢測手段，對文件進行分析和檢測并進行打分，最后根據各項目的檢測結果綜合分析評估文件是否為惡意代碼。

技術領域

本發明屬于惡意代碼檢測技術領域，具體涉及一種針對利用社交欺騙手段開展攻擊的惡意代碼的檢測方法及系統。

背景技術

隨著社會的不斷發展和信息化的不斷深入，計算機和互聯網在社會各個領域的應用越來越廣泛。與此同時，針對信息系統的攻擊也越來越多，計算機病毒、木馬等惡意代碼攻擊造成的威脅也日益嚴重，隨著殺毒軟件、反病毒網關等安全措施的不斷部署，傳統的計算機病毒傳播方式逐漸失效，惡意代碼編寫者越來越多地采用電子郵件、即時通訊、網絡論壇等社交媒體，通過社交欺騙的方式進行惡意代碼傳播，通過社交欺騙和技術手段相結合的方式，繞過安全軟件的保護，欺騙用戶打開、執行惡意代碼，從而向受害者系統中植入木馬，進行竊密、勒索等破壞活動。當前，這種基于社交的惡意代碼攻擊越演越烈，已經成為攻擊活動的主流手段，對國家安全、社會穩定和廣大網民的信息保密和財產安全造成了嚴重影響。因此，針對社交欺騙的惡意代碼的檢測方法顯得十分必要。

當前的惡意代碼檢測技術主要包括以下幾種：

1.對文件進行靜態二進制掃描，通過將文件內容與惡意代碼特征庫中的已有惡意代碼特征進行比對，發現已知的惡意代碼。由于該方法只能針對已知惡意代碼進行檢測，而攻擊者通常會對惡意代碼進行加密、加殼、變形等，導致靜態掃描難以發現未知惡意代碼、變形惡意代碼、特種惡意代碼。

2.對文件進行模擬執行，通過對疑似可執行代碼的片段進行模擬執行，分析該過程中產生的行為和異常，實現惡意代碼檢測。由于該方法不容易界定異常行為，同時還需應對可執行代碼中可能包含的反調試、反分析技術，因此實際應用中難以對大規模的代碼進行分析，準確度較低。

3.將文件置入沙箱運行，觀察其動態運行過程，提取行為特征并與行為白名單對比，實現惡意代碼檢測。由于動態分析的系統資源消耗較大，并且分析過程較為耗時，難以在客戶端部署，也難以對海量樣本進行實時檢測。

綜上所述，目前惡意代碼的檢測方法主要關注代碼本身，其主要缺陷在于忽視了惡意代碼的外在形態相關信息，導致在針對惡意代碼本身的檢測失效時，用戶容易被社交欺騙迷惑，從而執行惡意代碼，造成攻擊和破壞。

發明內容

針對現有技術中存在的技術問題，本發明的目的在于提供一種針對網絡攻擊中通過社交欺騙的方式投遞、發送的惡意代碼的檢測方法及系統。

為實現上述目的，本發明采用如下技術方案：

一種針對社交欺騙的惡意代碼的檢測方法，步驟包括：

1)根據樣本文件頭部內容特征、魔數信息和格式特征，識別樣本文件的實際文件類型，得到非安全格式的樣本文件；

2)提取上述非安全格式樣本文件的文件名，根據文件名所含字符個數、不可打印字符個數、字符所屬字符集以及字符是否含特殊字符的其中一項或多項得到惡意度值和可疑度值；

3)根據非安全格式樣本文件的文件名所包含的后綴名個數以及標識的后綴名與文件類型是否一致的其中一項或兩項得到惡意度值和可疑度值；

4)根據非安全格式樣本文件是否為合法的軟件開發商發布、開發者信息是否與數字簽名中開發者信息一致以及數字簽名證書是否合法有效的其中一項或多項得到惡意度值和可疑度值；