本申請提供了一種檢測方法和裝置，本發明中沒有像現有技術中一樣，直接查找是否具有惡意的字節，即沒有直接對二進制形式的代碼進行分析，而是將具有二進制形式的代碼的格式轉換成具有字符串形式的代碼，進而對具有字符串形式的代碼進行特征分析，由于現有技術中形式改變后的惡意的字節對應的具有字符串形式的代碼是不變的，采用本發明中的方案就能夠避免惡意的字節的形式改變后，采用特征碼和人工規則的識別方法來檢測flash文件中是否攜帶有惡意代碼時，不能判斷flash文件是否是惡意文件的問題。

技術領域

本發明涉及通信領域，更具體的說，涉及一種檢測方法和裝置。

背景技術

隨著計算機技術的快速發展和互聯網的應用范圍的不斷擴大，多媒體信息的傳播成為了文化傳播的重要形式，大量視頻、音頻、動畫等多媒體文件的編碼和播放成為了技術人員研究的熱點。由于固態存儲器與動畫編輯器flash動畫能夠實現較好的動畫效果，且其文件占用空間較小，經常使用互聯網傳播flash文件。

當flash文件通過互聯網傳播時，黑客常常將惡意代碼嵌入到flash文件中，然后通過互聯網傳播該惡意代碼，此種方法攻擊性強，已經對我國的金融行業、能源行業、政府、電力行業等造成了一定的惡劣影響，所以檢測flash文件中是否攜帶有惡意代碼就變得至關重要。

現有技術中，采用特征碼和人工規則的識別方法來檢測flash文件中是否攜帶有惡意代碼，特征碼和人工規則的識別方法是指人工規定一些特定的惡意的字節，然后在flash文件中的特定位置，查看是否包含有人工規定的那些惡意的字節，如果包含有人工規定的那些惡意的字節，就證明包含有惡意代碼，即該flash文件是惡意文件。

在計算機中存儲代碼時，存儲的是其二進制的形式，即惡意的字節是惡意代碼的二進制的形式。黑客常常在保證該惡意的字節對應的具有字符串形式的代碼不變的前提下，通過修改惡意的字節的形式，如采用加一減一法修改惡意的字節的形式，來使形式改變后的惡意的字節不被檢測到。此時，由于惡意的字節的形式已經被改變，采用特征碼和人工規則的識別方法，來檢測人工規定的那些惡意的字節時，就不會檢測到形式改變后的惡意的字節，進而就不能判斷flash文件是否是惡意文件。

因此，亟需一種能夠在惡意的字節的形式改變后，仍能夠判斷flash文件是否是惡意文件的方法。

發明內容

有鑒于此，本發明提供一種檢測方法和裝置，以解決采用特征碼和人工規則的識別方法來檢測flash文件中是否攜帶有惡意代碼時，在惡意的字節的形式改變時，不能判斷flash文件是否是惡意文件的問題。

為解決上述技術問題，本發明采用了如下技術方案：

一種檢測方法，包括：

判斷獲取的目標文件是否是固態存儲器與動畫編輯器flash文件；

當判斷出所述獲取的目標文件是flash文件，將所述目標文件中包含的具有二進制形式的代碼的格式進行轉換，轉換成具有字符串形式的代碼；

將位于所述具有字符串形式的代碼中的預設位置的代碼提取出來，得到待解析代碼；

判斷所述待解析代碼中是否包含有預設的惡意特征中的至少一個惡意特征；

當判斷出所述待解析代碼中包含有預設的惡意特征中的至少一個惡意特征，根據所述待解析代碼中包含的每一個惡意特征中的待解析字符串，得到與所述每一個惡意特征對應的、能夠表示該惡意特征的惡意程度的數值；

根據與所述每一個惡意特征對應的、能夠表示該惡意特征的惡意程度的數值，采用機器學習算法，判斷所述目標文件是否是惡意文件。

優選地，所述判斷獲取的目標文件是否是固態存儲器與動畫編輯器flash文件，包括：