本申請公開了一種變形惡意代碼的檢測方法及裝置，涉及網絡安全領域。包括：對待檢測代碼進行全抽樣和定位抽樣，獲取所述待檢測代碼的特征值；將所述待檢測代碼的特征值與預先存儲的惡意代碼庫中的已知惡意代碼的特征值進行相似度比較，獲取相似度比較結果；將所述相似度比較結果與預先設置的相似度閾值進行比較，根據比較結果確定變形惡意代碼；其中，特征值包括：代碼長度、全抽樣的特征向量、定位抽樣的初始字符集、定位抽樣獲得的特征字符集的長度以及所述特征字符集的特征向量。根據本技術方案，解決了現有技術在檢測變形惡意代碼對編程語言的語法分析的依賴性。

技術領域

本發明涉及網絡安全領域，尤其涉及變形惡意代碼的檢測方法及裝置。

背景技術

隨著網絡技術的快速發展，惡意代碼的種類、數量和傳播速度都在逐漸增長，對網絡安全的危害也越來越大。為了規避惡意代碼的檢出，在已有惡意代碼的基礎上，通過增減空白字符、修改關鍵字、調整代碼順序、等效語法替換等方式，形成變形惡意代碼。在現有技術中，變形惡意代碼的檢測主要通過對待檢測代碼的編程語言進行語法分析，將語法分析的結果與已知的惡意代碼的語法進行相似度比較來實現的。

在實現本發明的過程中，發明人發現，采用現有技術檢測變形惡意代碼需要具備對代碼語言的語法分析能力，檢測方法比較復雜，不易實現。

發明內容

有鑒于此，為了解決上述技術問題，本發明實施例提出了一種變形惡意代碼的檢測方法及裝置。

第一方面，本發明提供一種變形惡意代碼的檢測方法，包括：

對待檢測代碼進行全抽樣和定位抽樣，獲取所述待檢測代碼的特征值；

將所述待檢測代碼的特征值與預先存儲的惡意代碼庫中的已知惡意代碼的特征值進行相似度比較，獲取相似度比較結果；

將所述相似度比較結果與預先設置的相似度閾值進行比較，根據比較結果確定變形惡意代碼；

其中，所述特征值包括：代碼長度、全抽樣的特征向量、定位抽樣的初始字符集、定位抽樣獲得的特征字符集的長度以及所述特征字符集的特征向量。

進一步地，所述對待檢測代碼進行定位抽樣包括：

獲取初始字符集；

分別以所述初始字符集中每個字符為起點，根據預先設置的抽樣間隔、抽樣方向和抽樣字符個數對所述待檢測代碼進行定位抽樣。

進一步地，所述獲取所述待檢測代碼的初始字符集包括：

從所述惡意代碼庫中的已知惡意代碼的特征值中選取已知惡意代碼的初始字符集為初始字符集；

其中，所述已知惡意代碼的初始字符集根據如下步驟獲得：

從所述已知惡意代碼中選取兩個以上特征字符；

獲取所述兩個以上特征字符在所述已知惡意代碼中出現的次數；

將所述兩個以上特征字符在所述已知惡意代碼中出現的次數與所述已知惡意代碼的字符總數進行比較，獲取第一比較結果；

將所述第一比較結果與預先設置的特征字符出現比例閾值進行比較，根據比較結果獲取所述已知惡意代碼的初始字符集。

進一步地，所述將所述待檢測代碼的特征值與預先存儲的惡意代碼庫中的已知惡意代碼的特征值進行相似度比較，獲取相似度比較結果包括：

將所述待檢測代碼的長度和全抽樣的特征向量與所述已知惡意代碼的長度和全抽樣的特征向量進行相似度比較，獲取全抽樣相似度比較結果；