[發明專利]一種變形惡意代碼的檢測方法及裝置有效
| 申請號: | 201710037726.6 | 申請日: | 2017-01-19 |
| 公開(公告)號: | CN108334776B | 公開(公告)日: | 2020-09-04 |
| 發明(設計)人: | 杭小勇 | 申請(專利權)人: | 中國移動通信有限公司研究院;中國移動通信集團公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56 |
| 代理公司: | 北京銀龍知識產權代理有限公司 11243 | 代理人: | 許靜;安利霞 |
| 地址: | 100053 北*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 變形 惡意代碼 檢測 方法 裝置 | ||
1.一種變形惡意代碼的檢測方法,其特征在于,包括:
對待檢測代碼進行全抽樣和定位抽樣,獲取所述待檢測代碼的特征值;
將所述待檢測代碼的特征值與預先存儲的惡意代碼庫中的已知惡意代碼的特征值進行相似度比較,獲取相似度比較結果;
將所述相似度比較結果與預先設置的相似度閾值進行比較,根據比較結果確定變形惡意代碼;
其中,所述特征值包括:代碼長度、全抽樣的特征向量、定位抽樣的初始字符集、定位抽樣獲得的特征字符集的長度以及所述特征字符集的特征向量,其中,從所述惡意代碼庫中的已知惡意代碼的特征值中選取已知惡意代碼的定位抽樣的初始字符集,包括:已知惡意代碼的定位抽樣的初始字符集根據如下步驟獲得:從所述已知惡意代碼中選取兩個以上特征字符;獲取所述兩個以上特征字符在所述已知惡意代碼中出現的次數;將所述兩個以上特征字符在所述已知惡意代碼中出現的次數與所述已知惡意代碼的字符總數進行比較,獲取第一比較結果;將所述第一比較結果與預先設置的特征字符出現比例閾值進行比較,根據比較結果獲取所述已知惡意代碼的初始字符集。
2.根據權利要求1所述的檢測方法,其特征在于,所述對待檢測代碼進行定位抽樣包括:
獲取初始字符集;
分別以所述初始字符集中每個字符為起點,根據預先設置的抽樣間隔、抽樣方向和抽樣字符個數對所述待檢測代碼進行定位抽樣,得到待檢測代碼的特征字符集。
3.根據權利要求1所述的檢測方法,其特征在于,所述將所述待檢測代碼的特征值與預先存儲的惡意代碼庫中的已知惡意代碼的特征值進行相似度比較,獲取相似度比較結果包括:
將所述待檢測代碼的長度和全抽樣的特征向量與所述已知惡意代碼的長度和全抽樣的特征向量進行相似度比較,獲取全抽樣相似度比較結果;
將所述待檢測代碼的定位抽樣獲得的特征字符集的長度以及所述特征字符集的特征向量,與所述已知惡意代碼的定位抽樣獲得的特征字符集的長度以及所述特征字符集的特征向量進行相似度比較,獲取定位抽樣相似度比較結果;
根據所述全抽樣相似度比較結果和定位抽樣相似度比較結果,獲取所述待檢測代碼與所述已知惡意代碼的相似度比較結果。
4.根據權利要求3所述的檢測方法,其特征在于,如果所述待檢測代碼的特征值和/或所述已知惡意代碼的特征值中定位抽樣的初始字符集、定位抽樣獲得的特征字符集的長度以及所述特征字符集的特征向量的數量為兩個以上;
所述根據所述全抽樣相似度比較結果和定位抽樣相似度比較結果,獲取所述待檢測代碼與所述已知惡意代碼的相似度比較結果之后,還包括:
根據預先設置的選取策略,從所述相似度比較結果中選取目標相似度比較結果;
則所述將所述相似度比較結果與預先設置的相似度閾值進行比較,根據比較結果確定變形惡意代碼替換為:
將所述目標相似度比較結果與預先設置的相似度閾值進行比較,根據比較結果確定變形惡意代碼。
5.根據權利要求1-權利要求4中任意一項所述的檢測方法,其特征在于,所述對待檢測代碼進行全抽樣和定位抽樣,獲取所述待檢測代碼的特征值之前,還包括:
對所述待檢測代碼進行預處理,刪除所述待檢測代碼中字母以外的字符。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中國移動通信有限公司研究院;中國移動通信集團公司,未經中國移動通信有限公司研究院;中國移動通信集團公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201710037726.6/1.html,轉載請聲明來源鉆瓜專利網。
