国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種檢測惡意代碼的方法和裝置的制造方法

      文檔序號:9261541閱讀:452來源:國知局
      一種檢測惡意代碼的方法和裝置的制造方法
      【技術(shù)領(lǐng)域】
      [0001] 本發(fā)明涉及計算機安全技術(shù)和圖像處理技術(shù),尤指一種檢測惡意代碼的方法和裝 置。
      【背景技術(shù)】
      [0002] 互聯(lián)網(wǎng)技術(shù)的蓬勃發(fā)展使人們的生活和工作方式發(fā)生了巨大變革,人們在享受著 因特網(wǎng)提供便利的同時,也遭受著惡意程序帶來的安全威脅,在數(shù)字化時代的今天,與惡意 代碼的對抗已成為信息領(lǐng)域的焦點。
      [0003] 傳統(tǒng)的惡意代碼檢測技術(shù)是基于靜態(tài)特征碼的檢測,而惡意程序采用的混淆、加 密、加殼等技術(shù),使得基于靜態(tài)特征碼的檢測技術(shù)變得無能為力。惡意程序的動態(tài)分析技術(shù) 解決了混淆、加密、加殼等技術(shù)問題,但惡意程序的變種及多態(tài)性卻是動態(tài)分析無法解決的 問題。
      [0004] 現(xiàn)有的惡意代碼變種在實現(xiàn)上可大致分為兩類;一類是基于基礎(chǔ)技術(shù)的共用,惡 意代碼開發(fā)人員通過重用基礎(chǔ)代碼實現(xiàn)變種;一類是惡意代碼??卺槍ΜF(xiàn)有防范技術(shù)而設(shè) 計開發(fā)的混淆技術(shù)。混淆技術(shù)按實現(xiàn)機理可分為兩類:一類是干擾反匯編的混淆,使反匯 編無法得到正確結(jié)果,從而阻礙進(jìn)一步分析;另一類是指令/控制流混淆,此類混淆技術(shù)通 常采用垃圾代碼插入、寄存器重分配、等價指令替換及代碼變化等方式,改變代碼的語法特 征,隱藏其內(nèi)部邏輯關(guān)系。目前已提出檢測惡意代碼變種的不同檢測方法,當(dāng)更復(fù)雜的惡意 代碼仍然層出不窮。
      [0005] 惡意代碼變種的檢測通常是基于一個特征向量,該向量標(biāo)識了惡意代碼的內(nèi)在特 征,良好的特征抽取算法是變種檢測的關(guān)鍵環(huán)節(jié)。目前,主流的檢測惡意代碼的方法主要分 為兩類:基于惡意代碼二進(jìn)制的靜態(tài)特征檢測方法和基于惡意代碼運行行為的動態(tài)檢測方 法。
      [0006] 基于靜態(tài)特征的檢測方法首先將可移植的執(zhí)行體(?6,化的油1eExecute)文件轉(zhuǎn) 變?yōu)閰R編文件,再通過分析惡意代碼的靜態(tài)文件結(jié)構(gòu)、二進(jìn)制字節(jié)碼、反匯編后的代碼、反 匯編后的靜態(tài)系統(tǒng)調(diào)用等獲取惡意代碼的靜態(tài)特征,利用分類算法區(qū)分正常代碼與惡意代 碼,實現(xiàn)已知和未知惡意代碼的檢測。基于靜態(tài)特征的惡意代碼檢測通常容易受代碼混淆 技術(shù)幼日加殼、變形、多態(tài)技術(shù)等)的影響,提高逆向(即將PE文件轉(zhuǎn)變?yōu)閰R編文件)的難度, 使其幾乎很難逆向或是不可能,而且靜態(tài)檢測方法沒有真實地運行軟件,判斷是否為惡意 代碼的行為沒有展現(xiàn),誤報和漏報的情況比較明顯。
      [0007] 基于動態(tài)特征的檢測方法是將待檢測目標(biāo)程序放置在一個沙箱環(huán)境巧日虛擬機) 中,通過監(jiān)控目標(biāo)程序運行過程的行為來判斷是否為惡意程序。動態(tài)檢測方法又分為粗粒 度方法和細(xì)粒度方法。粗粒度方法通過運行惡意代碼分析其行為所對應(yīng)的應(yīng)用程序接口 (API,ApplicationProgramInte;rface)調(diào)用序列來進(jìn)行惡意代碼檢測,細(xì)粒度方法通過 惡意代碼的運行動態(tài)指令序列來進(jìn)行檢測。然而,動態(tài)檢測方法是時間密集型和資源消耗 型的方法,虛擬機執(zhí)行包括2、執(zhí)行、全路徑探索來捕捉調(diào)用序列、退出等過程,動態(tài)檢測方 法的平均分析時間為3-5分鐘。因此,動態(tài)檢測方法可擴展性不足。而且,由于激發(fā)條件不 能滿足,一些惡意代碼的行為不能表現(xiàn)出來。

      【發(fā)明內(nèi)容】

      [0008] 為了解決上述問題,本發(fā)明提出了一種檢測惡意代碼的方法和裝置,能夠彌補靜 態(tài)檢測方法無法檢測未知的惡意代碼及其變種的問題。
      [0009] 為了達(dá)到上述目的,本發(fā)明提出了一種檢測惡意代碼的方法,預(yù)先建立惡意代碼 樣本數(shù)據(jù)庫,所述惡意代碼樣本數(shù)據(jù)庫包括已知惡意代碼的可移植的執(zhí)行體PE文件的信 息摘要;預(yù)先建立布隆過濾器Bloom-Filter索引結(jié)構(gòu);
      [0010] 該方法包括:
      [0011] 獲取待測代碼的PE文件的信息摘要;
      [0012] 當(dāng)判斷出獲得的信息摘要和惡意代碼樣本數(shù)據(jù)庫中的已知惡意代碼的PE文 件的信息摘要不匹配時,獲取所述待測代碼的PE文件的紋理指紋;根據(jù)預(yù)先建立的 Bloom-Filter索引結(jié)構(gòu)對獲得的紋理指紋進(jìn)行檢測,并返回第一檢測報告,所述第一檢測 報告至少包括所述待測代碼是否為惡意代碼的檢測結(jié)果。
      [0013] 優(yōu)選地,當(dāng)判斷出獲得的信息摘要和惡意代碼樣本數(shù)據(jù)庫中的已知惡意代碼的PE 文件的信息摘要相匹配時,該方法還包括:
      [0014] 返回第二檢測報告,所述第二檢測報告包括確認(rèn)所述待測代碼為惡意代碼的檢測 結(jié)果。
      [0015] 優(yōu)選地,所述預(yù)先建立Bloom-Filter索引結(jié)構(gòu)包括:
      [0016] 接收來自用戶的已確認(rèn)為惡意代碼的PE文件;
      [0017] 獲取接收到的惡意代碼的PE文件的信息摘要,當(dāng)判斷出所述獲得的信息摘要和 所述惡意代碼樣本數(shù)據(jù)庫中的已知惡意代碼的PE文件的信息摘要不匹配時,將所述接收 到的惡意代碼的PE文件保存到所述惡意代碼樣本數(shù)據(jù)庫中,并對所述接收到的惡意代碼 的PE文件進(jìn)行標(biāo)注;獲取所述接收到的惡意代碼的PE文件的紋理指紋;根據(jù)獲得的惡意 代碼的PE文件的紋理指紋建立Bloom-Filter索引結(jié)構(gòu)。
      [0018] 優(yōu)選地,當(dāng)判斷出獲得的信息摘要和所述惡意代碼樣本數(shù)據(jù)庫中的已知惡意代碼 的PE文件的信息摘要相匹配時,該方法還包括:
      [0019] 丟棄所述接收到的惡意代碼的陽文件。
      [0020] 優(yōu)選地,所述獲取所述待測代碼的PE文件的紋理指紋包括:
      [0021] 將所述待測代碼的PE文件映射為灰度紋理圖像;
      [0022] 采用紋理分割算法對所述灰度紋理圖像進(jìn)行分塊;
      [0023] 提取各分塊的紋理特征。
      [0024] 優(yōu)選地,所述采用紋理分割算法對所述灰度紋理圖像進(jìn)行分塊包括:
      [00巧]對所述灰度紋理圖像按紋理段順序掃描,找到第一個還沒有歸屬的紋理段,標(biāo)記 該紋理段為當(dāng)前紋理段;
      [0026] 當(dāng)判斷出所述當(dāng)前紋理段滿足退化準(zhǔn)則時,將所述當(dāng)前紋理段所在分塊的所有紋 理段劃分為一個分塊;
      [0027] 當(dāng)判斷出所述當(dāng)前紋理段不滿足退化準(zhǔn)則,且所述當(dāng)前紋理段與下一紋理段滿足 生長準(zhǔn)則時,將所述當(dāng)前紋理段和所述下一紋理段合并為一個分塊,并將所述下一紋理段 標(biāo)記為當(dāng)前紋理段,繼續(xù)執(zhí)行判斷所述當(dāng)前紋理段是否滿足退化準(zhǔn)則的步驟;
      [0028] 讀取灰度紋理圖像的下一紋理段,繼續(xù)執(zhí)行判斷所述當(dāng)前紋理段是否滿足退化準(zhǔn) 則的步驟;
      [0029]當(dāng)判斷出當(dāng)前紋理段為灰度紋理圖像的最后一紋理段時,返回圖像紋理的分塊結(jié) 果。
      [0030]優(yōu)選地,采用灰度共生矩陣、或通用搜索樹方法、或局部二值模式方法、或傅里葉 變換方法提取所述各分塊的紋理特征。
      [0031] 優(yōu)選地,所述根據(jù)預(yù)先建立的Bloom-Filter索引結(jié)構(gòu)對獲得的紋理指紋進(jìn)行檢 測包括:
      [0032] 獲取所述灰度紋理圖像各分塊在惡意代碼樣本數(shù)據(jù)庫中出現(xiàn)的次數(shù);
      [0033] 根據(jù)獲得的次數(shù)獲取所述待測代碼的總體匹配度;
      [0034] 根據(jù)獲得的總體匹配度判斷所述待測代碼是否為惡意代碼。
      [0035] 優(yōu)選地,根據(jù)公式
      計算所述待測代碼的總體匹配度;其中,Md為所 述待測代碼的總體匹配度,Wi為塊權(quán)重指標(biāo),化i為可信度評分,i為分塊數(shù),n為總分塊數(shù); 所述化i根據(jù)所述次數(shù)確定。
      [0036] 優(yōu)選地,所述根據(jù)預(yù)先建立的Bloom-Filter索引結(jié)構(gòu)對獲得的紋理指紋進(jìn)行檢 測還包括:
      [0037] 對所述待測代碼所屬惡意代碼家族進(jìn)行評估。
      [0038] 優(yōu)選地,所述對所述待測代碼所屬惡意代碼家族進(jìn)行評估包括:
      [0039] 根據(jù)公式My=n;L,冷確定所述待測代碼所屬惡意代碼家族;其中,Mp為所述待測 代碼所屬惡意代碼家族,Si為BgMp個惡意代碼的名稱集合,B。為所述Bloom-Filter索引結(jié) 構(gòu)中與分塊町匹配的分塊個數(shù),Mp為每個所述與分塊町匹配的數(shù)據(jù)塊對應(yīng)的惡意代碼數(shù)。
      [0040] 本發(fā)明還提出一種檢測惡意代碼的裝置,至少包括:
      [0041] 惡意樣本存儲模塊,用于保存預(yù)先建立惡意代碼樣本數(shù)據(jù)庫,所述惡意代碼樣本 數(shù)據(jù)庫包括已知惡意代碼的可移植的執(zhí)行體PE文件的信息摘要;
      [0042] 索引模塊,用于保存預(yù)先建立布隆過濾器Bloom-Filter索引結(jié)構(gòu);
      [0043] 獲取模塊,用于獲取待測代碼的PE文件的信息摘要;判斷出獲得的信息摘要和惡 意代碼樣本數(shù)據(jù)庫中的已知惡意代碼的PE文件的信息摘要不匹配,獲取所述待測代碼的 PE文件的紋理指紋;
      [0044] 計算模塊,用于根據(jù)預(yù)先建立的Bloom-Filter索引結(jié)構(gòu)對獲得的紋理指紋進(jìn)行 檢測,并返回第一檢測報告,所述第一檢測報告至少包括所述待測代碼是否為惡意代碼的 檢測結(jié)果。
      [0045] 優(yōu)選地,所述獲取模塊,還用于:
      [0046] 判斷出獲得的信息摘要和惡意代碼樣本數(shù)據(jù)庫中的已知惡意代碼的PE文件的信 息摘要相匹配,返回第二檢測報告,所述第二檢測報告包括確認(rèn)所述待測代碼為惡意代碼 的檢測結(jié)果。
      [0047] 優(yōu)選地,所述獲取模塊,還用于:
      [004引接收來自用戶的已確認(rèn)
      當(dāng)前第1頁1 2 3 4 5 
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1