本發明公開了一種惡意代碼檢測方法以及裝置，該惡意代碼檢測方法包括：對惡意代碼不同的生命周期階段進行行為抽取，以獲得惡意代碼的多個知識元素；形成生命周期關聯分析的矩陣，其中，生命周期關聯分析的矩陣是由多個知識元素與對應的權重的乘積組成的多維向量；根據知識元素在上下文的重要程度確定權重；將待檢測代碼的生命周期關聯分析的矩陣與惡意代碼特征庫中的多個生命周期關聯分析的矩陣進行比對，根據比對結果判斷待檢測代碼是否是惡意代碼。本發明提供的基于惡意代碼生命周期關聯分析的惡意代碼檢測方法，能夠減少惡意代碼檢測的誤報率和漏報率。

技術領域

本發明涉及信息安全技術領域，具體來說，涉及一種惡意代碼檢測方法以及裝置。

背景技術

近些年來，惡意代碼數量呈現爆炸性增長趨勢，由其造成的損失也不斷增大。目前惡意代碼的檢測方法主要分為靜態檢測和動態檢測兩類。靜態檢測主要是基于靜態特征碼進行對比檢測，動態檢測主要則是將惡意代碼放入虛擬運行環境中運行，依據運行中的特征進行檢測，這兩種方法根本上還是基于惡意代碼的特征進行檢測，但是由于惡意代碼的演變、變形，例如：混淆、加密、變種等等方法，惡意代碼的特征趨于模糊，因而目前惡意代碼的檢測方法的誤報率和漏報率越來越大。

發明內容

針對相關技術中的上述問題，本發明提出一種基于惡意代碼生命周期關聯分析的惡意代碼檢測方法，能夠減少惡意代碼檢測的誤報率和漏報率。

本發明的技術方案是這樣實現的：

根據本發明的一個方面，提供了一種惡意代碼檢測方法，包括：

對惡意代碼不同的生命周期階段進行行為抽取，以獲得惡意代碼的多個知識元素；

形成生命周期關聯分析的矩陣，其中，生命周期關聯分析的矩陣是由多個知識元素與對應的權重的乘積組成的多維向量；

根據知識元素在上下文的重要程度確定權重；

將待檢測代碼的生命周期關聯分析的矩陣與惡意代碼特征庫中的多個生命周期關聯分析的矩陣進行比對，根據比對結果判斷待檢測代碼是否是惡意代碼。

根據本發明的實施例，每個知識元素包括多個子元素形成，每個知識元素是由多個子元素與對應的第二權重的乘積組成的多維縱向量；其中，根據知識元素在上下文的重要程度確定權重和第二權重。

根據本發明的實施例，知識元素包括惡意代碼的：目標對象、攜帶對象、傳輸機制、主機負載、觸發機制和自我保護方式之中的任意多種。

根據本發明的實施例，不同任務類型的惡意代碼對應的多個知識元素至少部分不相同。

根據本發明的實施例，同一知識元素在不同任務類型的惡意代碼中所對應的權重不相同。

根據本發明的另一方面，提供了一種惡意代碼檢測裝置，包括：

行為抽取模塊，用于對惡意代碼不同的生命周期階段進行行為抽取，以獲得惡意代碼的多個知識元素；

矩陣生成模塊，用于形成生命周期關聯分析的矩陣，其中，生命周期關聯分析的矩陣是由多個知識元素與對應的權重的乘積組成的多維向量；

權重確定模塊，用于根據知識元素在上下文的重要程度確定權重；

判斷模塊，用于將待檢測代碼的生命周期關聯分析的矩陣與惡意代碼特征庫中的多個生命周期關聯分析的矩陣進行比對，根據比對結果判斷待檢測代碼是否是惡意代碼。

根據本發明的實施例，每個知識元素包括多個子元素形成，每個知識元素是由多個子元素與對應的第二權重的乘積組成的多維縱向量；其中，權重確定模塊根據知識元素在上下文的重要程度確定權重和第二權重。