一种针对社交欺骗的恶意代码的检测方法及系统技术方案

本发明专利技术公开了一种针对社交欺骗的恶意代码的检测方法及系统，首先对样本文件的文件类型进行识别，提取其中的非安全格式的样本文件，然后根据文件的各种属性进行社交欺骗可疑程度分析，包括对文件名、后缀名、文件类型、文件图标、文件属性等进行分析，根据文件名是否超长、文件名字符集类型、是否采用了不常见的后缀名、文件类型是否与后缀名一致、文件是否为快捷方式等特殊类型、文件图标是否与已知合法软件相似、文件签名是否合法等检测手段，对文件进行分析和检测并进行打分，最后根据各项目的检测结果综合分析评估文件是否为恶意代码。 1

A malicious code detection method and system for social deception

The invention discloses a detection method and system of malicious code for social deception. First, it identifies the file type of the sample file, extracts the unsafe format of the sample file, and then analyzes the suspicious degree of social deception based on the various properties of the file, including the file name, the suffix name, and the file class. Type, file icon, file attribute and so on, according to whether the file name is too long, the file name character set type, whether the uncommon suffix name is used, whether the file type is consistent with the suffix name, whether the file is a shortcut, whether the file icon is similar to the known legal software, and whether the document signature is Legal and other detection methods, analysis and detection of documents and score, and finally, according to the results of the detection of each item to comprehensively analyze whether the document is malicious code. One

【技术实现步骤摘要】
一种针对社交欺骗的恶意代码的检测方法及系统
本专利技术属于恶意代码检测
，具体涉及一种针对利用社交欺骗手段开展攻击的恶意代码的检测方法及系统。
技术介绍
随着社会的不断发展和信息化的不断深入，计算机和互联网在社会各个领域的应用越来越广泛。与此同时，针对信息系统的攻击也越来越多，计算机病毒、木马等恶意代码攻击造成的威胁也日益严重，随着杀毒软件、反病毒网关等安全措施的不断部署，传统的计算机病毒传播方式逐渐失效，恶意代码编写者越来越多地采用电子邮件、即时通讯、网络论坛等社交媒体，通过社交欺骗的方式进行恶意代码传播，通过社交欺骗和技术手段相结合的方式，绕过安全软件的保护，欺骗用户打开、执行恶意代码，从而向受害者系统中植入木马，进行窃密、勒索等破坏活动。当前，这种基于社交的恶意代码攻击越演越烈，已经成为攻击活动的主流手段，对国家安全、社会稳定和广大网民的信息保密和财产安全造成了严重影响。因此，针对社交欺骗的恶意代码的检测方法显得十分必要。当前的恶意代码检测技术主要包括以下几种：1.对文件进行静态二进制扫描，通过将文件内容与恶意代码特征库中的已有恶意代码特征进行比对，发现已知的恶意代码。由于该方法只能针对已知恶意代码进行检测，而攻击者通常会对恶意代码进行加密、加壳、变形等，导致静态扫描难以发现未知恶意代码、变形恶意代码、特种恶意代码。2.对文件进行模拟执行，通过对疑似可执行代码的片段进行模拟执行，分析该过程中产生的行为和异常，实现恶意代码检测。由于该方法不容易界定异常行为，同时还需应对可执行代码中可能包含的反调试、反分析技术，因此实际应用中难以对大规模的代码进行分析，准确度较低。3.将文件置入沙箱运行，观察其动态运行过程，提取行为特征并与行为白名单对比，实现恶意代码检测。由于动态分析的系统资源消耗较大，并且分析过程较为耗时，难以在客户端部署，也难以对海量样本进行实时检测。综上所述，目前恶意代码的检测方法主要关注代码本身，其主要缺陷在于忽视了恶意代码的外在形态相关信息，导致在针对恶意代码本身的检测失效时，用户容易被社交欺骗迷惑，从而执行恶意代码，造成攻击和破坏。
技术实现思路
针对现有技术中存在的技术问题，本专利技术的目的在于提供一种针对网络攻击中通过社交欺骗的方式投递、发送的恶意代码的检测方法及系统。为实现上述目的，本专利技术采用如下技术方案：一种针对社交欺骗的恶意代码的检测方法，步骤包括：1)根据样本文件头部内容特征、魔数信息和格式特征，识别样本文件的实际文件类型，得到非安全格式的样本文件；2)提取上述非安全格式样本文件的文件名，根据文件名所含字符个数、不可打印字符个数、字符所属字符集以及字符是否含特殊字符的其中一项或多项得到恶意度值和可疑度值；3)根据非安全格式样本文件的文件名所包含的后缀名个数以及标识的后缀名与文件类型是否一致的其中一项或两项得到恶意度值和可疑度值；4)根据非安全格式样本文件是否为合法的软件开发商发布、开发者信息是否与数字签名中开发者信息一致以及数字签名证书是否合法有效的其中一项或多项得到恶意度值和可疑度值；5)根据非安全格式样本文件图标是否与已知合法软件的图标相似以及图标相似的已知合法软件的开发者是否与样本文件的开发者一致得到恶意度值和可疑度值；6)将上述步骤各分析项目的恶意度值和可疑度值的总恶意度值和总可疑度值与设定的检测阈值进行比较，据以判断样本文件是否为恶意代码。进一步地，所述安全格式为指定无需分析的文件格式，包括文本文件、图片。进一步地，所述特殊字符包括Unicode控制字符0x202E(RLO)。进一步地，步骤4)中根据数字签名信息判断样本文件是否为合法的软件开发商发布。进一步地，步骤5)中利用感知哈希算法(PerceptualHashAlgorithm)查找与样本文件图标相似的已知合法软件的图标。进一步地，所述恶意度为{0,1}二元取值，所述可疑度为在[0,1]区间中任意取值。进一步地，所述检测阈值包括恶意度阈值和可疑度阈值。进一步地，首先判断样本文件的恶意度，若总恶意度值大于等于恶意度阈值，则视样本文件为恶意代码；否则进一步判断样本文件的可疑度，若总可疑度值与分析项目数的比值大于等于可疑度阈值，则视样本文件为恶意代码。一种针对社交欺骗的恶意代码的检测系统，包括：一文件类型分析模块，根据样本文件头部内容特征、魔数信息和格式特征，识别样本文件的实际文件类型，得到非安全格式的样本文件；一文件名分析模块，提取上述非安全格式样本文件的文件名，根据文件名所含字符个数、不可打印字符个数、字符所属字符集以及字符是否含特殊字符的其中一项或多项得到恶意度值和可疑度值；一文件后缀名分析模块，根据非安全格式样本文件的文件名所包含的后缀名个数以及标识的后缀名与文件类型是否一致的其中一项或两项得到恶意度值和可疑度值；一文件属性分析模块，提取样本文件的图标、开发者、发布时间及数字签名等信息，并根据非安全格式样本文件是否为合法的软件开发商发布、开发者信息是否与数字签名中开发者信息一致以及数字签名证书是否合法有效的其中一项或多项得到恶意度值和可疑度值；一文件图标分析模块，查找与样本文件图标相似的已知合法软件的图标，并根据非安全格式样本文件图标是否与已知合法软件的图标相似以及图标相似的已知合法软件的开发者是否与样本文件的开发者一致得到恶意度值和可疑度值；一文件恶意判断模块，将各分析项目的恶意度值和可疑度值加和获得总恶意度值和总可疑度值，进而与设定的检测阈值进行比较，据以判断样本文件是否为恶意代码。进一步地，所述文件类型分析模块、文件名分析模块、文件后缀名分析模块、文件属性分析模块及文件图标分析模块均采用扩展插件的形式。本专利技术提供的检测方法首先对样本文件的文件类型进行识别，提取其中的非安全格式的样本文件，然后根据文件的各种属性进行社交欺骗可疑程度分析，包括对文件名、后缀名、文件类型、文件图标、文件属性等进行分析，根据文件名是否超长(字符个数)、文件名字符集类型、是否采用了不常见的后缀名、文件类型是否与后缀名一致、文件是否为快捷方式等特殊类型、文件图标是否与已知合法软件相似、文件签名是否合法等检测手段，对文件进行分析和检测并进行打分，最后根据各项目的检测结果综合分析评估文件是否为恶意代码。本检测方法与现有其他检测方法的不同在于，本方法只需要提取和分析文件的属性信息，不需要对文件内容和指令代码进行格式解析、模拟执行、特征匹配等复杂的操作，可以快速地检测电子邮件、即时通讯等社交应用中传递的可疑代码，对于需要进一步分析和检测的可疑代码，可以在此基础上应用其他已有的公知检测方法进行分析，从而大大提高分析效率，降低安全检测带来的社交应用消息时延。本专利技术取得的有益效果如下：1.本专利技术只需要对样本文件的属性信息进行分析，不需要对文件内容进行特征匹配，因此检测过程具有很高的效率。2.本专利技术对文件名、后缀名、文件图标等容易造成视觉欺骗的攻击手段进行了分析，可以识别超长文件名、包含特殊字符的文件名、采用相似字符代替的文件名等文件名欺骗技术，多重后缀名、等价后缀名等后缀名欺骗技术，以及相似图标欺骗技术，因此能有效检测利用社交欺骗技术传播的恶意代码。3.本专利技术基于静态分析方法，不需要模拟或实际执行被分析样本文件的代码，具有较高的检测性本文档来自技高网...

【技术保护点】
1.一种针对社交欺骗的恶意代码的检测方法，步骤包括：

【技术特征摘要】
1.一种针对社交欺骗的恶意代码的检测方法，步骤包括：1)根据样本文件头部内容特征、魔数信息和格式特征，识别样本文件的实际文件类型，得到非安全格式的样本文件；2)提取上述非安全格式样本文件的文件名，根据文件名所含字符个数、不可打印字符个数、字符所属字符集以及字符是否含特殊字符的其中一项或多项得到恶意度值和可疑度值；3)根据非安全格式样本文件的文件名所包含的后缀名个数以及标识的后缀名与文件类型是否一致的其中一项或两项得到恶意度值和可疑度值；4)根据非安全格式样本文件是否为合法的软件开发商发布、开发者信息是否与数字签名中开发者信息一致以及数字签名证书是否合法有效的其中一项或多项得到恶意度值和可疑度值；5)根据非安全格式样本文件图标是否与已知合法软件的图标相似以及图标相似的已知合法软件的开发者是否与样本文件的开发者一致得到恶意度值和可疑度值；6)将上述步骤各分析项目的恶意度值和可疑度值的总恶意度值和总可疑度值与设定的检测阈值进行比较，据以判断样本文件是否为恶意代码。2.根据权利要求1所述的方法，其特征在于，所述安全格式为指定无需分析的文件格式，包括文本文件、图片。3.根据权利要求1所述的方法，其特征在于，所述特殊字符包括Unicode控制字符0x202E(RLO)。4.根据权利要求1所述的方法，其特征在于，步骤4)中根据数字签名信息判断样本文件是否为合法的软件开发商发布。5.根据权利要求1所述的方法，其特征在于，步骤5)中利用感知哈希算法查找与样本文件图标相似的已知合法软件的图标。6.根据权利要求1所述的方法，其特征在于，所述恶意度为{0,1}二元取值，所述可疑度为在[0,1]区间中任意取值。7.根据权利要求1所述的方法，其特征在于，所述检测阈值包括恶意度...

【专利技术属性】
技术研发人员：应凌云，聂眉宁，苏璞睿，
申请(专利权)人：中国科学院软件研究所，
类型：发明
国别省市：北京,11