The invention discloses a detection method and system of malicious code for social deception. First, it identifies the file type of the sample file, extracts the unsafe format of the sample file, and then analyzes the suspicious degree of social deception based on the various properties of the file, including the file name, the suffix name, and the file class. Type, file icon, file attribute and so on, according to whether the file name is too long, the file name character set type, whether the uncommon suffix name is used, whether the file type is consistent with the suffix name, whether the file is a shortcut, whether the file icon is similar to the known legal software, and whether the document signature is Legal and other detection methods, analysis and detection of documents and score, and finally, according to the results of the detection of each item to comprehensively analyze whether the document is malicious code. One
【技术实现步骤摘要】
一种针对社交欺骗的恶意代码的检测方法及系统
本专利技术属于恶意代码检测
,具体涉及一种针对利用社交欺骗手段开展攻击的恶意代码的检测方法及系统。
技术介绍
随着社会的不断发展和信息化的不断深入,计算机和互联网在社会各个领域的应用越来越广泛。与此同时,针对信息系统的攻击也越来越多,计算机病毒、木马等恶意代码攻击造成的威胁也日益严重,随着杀毒软件、反病毒网关等安全措施的不断部署,传统的计算机病毒传播方式逐渐失效,恶意代码编写者越来越多地采用电子邮件、即时通讯、网络论坛等社交媒体,通过社交欺骗的方式进行恶意代码传播,通过社交欺骗和技术手段相结合的方式,绕过安全软件的保护,欺骗用户打开、执行恶意代码,从而向受害者系统中植入木马,进行窃密、勒索等破坏活动。当前,这种基于社交的恶意代码攻击越演越烈,已经成为攻击活动的主流手段,对国家安全、社会稳定和广大网民的信息保密和财产安全造成了严重影响。因此,针对社交欺骗的恶意代码的检测方法显得十分必要。当前的恶意代码检测技术主要包括以下几种:1.对文件进行静态二进制扫描,通过将文件内容与恶意代码特征库中的已有恶意代码特征进行比对,发现已知的恶意代码。由于该方法只能针对已知恶意代码进行检测,而攻击者通常会对恶意代码进行加密、加壳、变形等,导致静态扫描难以发现未知恶意代码、变形恶意代码、特种恶意代码。2.对文件进行模拟执行,通过对疑似可执行代码的片段进行模拟执行,分析该过程中产生的行为和异常,实现恶意代码检测。由于该方法不容易界定异常行为,同时还需应对可执行代码中可能包含的反调试、反分析技术,因此实际应用中难以对大规模的代码进行 ...
【技术保护点】
1.一种针对社交欺骗的恶意代码的检测方法,步骤包括:
【技术特征摘要】
1.一种针对社交欺骗的恶意代码的检测方法,步骤包括:1)根据样本文件头部内容特征、魔数信息和格式特征,识别样本文件的实际文件类型,得到非安全格式的样本文件;2)提取上述非安全格式样本文件的文件名,根据文件名所含字符个数、不可打印字符个数、字符所属字符集以及字符是否含特殊字符的其中一项或多项得到恶意度值和可疑度值;3)根据非安全格式样本文件的文件名所包含的后缀名个数以及标识的后缀名与文件类型是否一致的其中一项或两项得到恶意度值和可疑度值;4)根据非安全格式样本文件是否为合法的软件开发商发布、开发者信息是否与数字签名中开发者信息一致以及数字签名证书是否合法有效的其中一项或多项得到恶意度值和可疑度值;5)根据非安全格式样本文件图标是否与已知合法软件的图标相似以及图标相似的已知合法软件的开发者是否与样本文件的开发者一致得到恶意度值和可疑度值;6)将上述步骤各分析项目的恶意度值和可疑度值的总恶意度值和总可疑度值与设定的检测阈值进行比较,据以判断样本文件是否为恶意代码。2.根据权利要求1所述的方法,其特征在于,所述安全格式为指定无需分析的文件格式,包括文本文件、图片。3.根据权利要求1所述的方法,其特征在于,所述特殊字符包括Unicode控制字符0x202E(RLO)。4.根据权利要求1所述的方法,其特征在于,步骤4)中根据数字签名信息判断样本文件是否为合法的软件开发商发布。5.根据权利要求1所述的方法,其特征在于,步骤5)中利用感知哈希算法查找与样本文件图标相似的已知合法软件的图标。6.根据权利要求1所述的方法,其特征在于,所述恶意度为{0,1}二元取值,所述可疑度为在[0,1]区间中任意取值。7.根据权利要求1所述的方法,其特征在于,所述检测阈值包括恶意度...
【专利技术属性】
技术研发人员:应凌云,聂眉宁,苏璞睿,
申请(专利权)人:中国科学院软件研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。