The invention relates to a software detection method based on document damage degree. The steps of the invention are: extracting the features of tag files before sample execution; extracting the features of tag files after sample execution; calculating the damage degree of single tag files; calculating the system damage degree; selecting Trojan horse dynamic detection engine as detection platform, selecting 10 tag files, and uniformly adjusting the execution time of samples. Random method is adopted to write file name, file content and file type randomly, which achieves different effects of different samples on the damage degree of tagged files. The invention uses the defective sample of document encryption with degree of damage to carry out dynamic detection, carries out dynamic execution on a large number of defective samples and normal samples, calculates the degree of file damage and system damage, improves the usability of documents, and reduces the frequency of system damage.
【技术实现步骤摘要】
一种基于文件损坏度的软件检测方法
本专利技术涉及一种软件检测方法,更具体地说,涉及一种基于文件损坏度的软件检测方法。
技术介绍
随着互联网的快速发展,存在损坏度的软件数量剧增。当前检测软件损坏度常用的方法主要为设置陷进文件并检测其指纹变化或监控系统操作。而这两种方法都不能准确的区分软件损坏度和其他类型的恶意代码。在恶意代码动态分析技术中,针对自动化检测软件是否存在损坏度方面,较为常用的方法有以下三种:1.利用文件指纹技术;2.利用APIHOOK技术;3.动态检测过程中对进程行为进行监控。以上方法都能比较直观地提现文件是否在样本运行中存在损坏度。同时方法易懂,且易操作,应用程度较广。但由于这些方法过于粗粒度,通过一个陷阱文件的状态变化或操作行为,不能武断的判断该文件就存在损坏度。同时在样本运行过程中也可能会出现一定的误报率,这样对其他类型的恶意样本无法作出判断。
技术实现思路
本专利技术要解决的技术问题在于,针对现有技术中的缺陷,提供一种基于文件损坏度的软件检测方法,减少文件损坏度,并保护系统,减少因文件损坏度造成的系统问题。本专利技术解决其技术问题所采用的技术方案是:构造一种基于文件损坏度的软件检测方法,提出文件损坏度概念对文件变化进行多维度检测。在动态基础上通过模糊哈希等算法对文件变化进行多维度检测,定量计算出当前文件损坏度,并通过文件损坏度反映出当前系统所受到的威胁程度,从而确定该样本是否为存在损坏度的文件。在本专利技术所述的基于文件损坏度的软件检测方法中,所述基于文件损坏度的软件检测方法步骤为:S1获取软件的代码文本;S2分析代码文本,根据预定的语法规则 ...
【技术保护点】
1.一种基于文件损坏度的软件检测方法,其特征在于,所述基于文件损坏度的软件检测方法步骤为:S1样本执行前标记文件特征提取;S2样本执行后标记文件特征提取;S3单个标记文件损坏度计算;S4系统损坏度计算;S5选取木马动态检测引擎作为检测平台,选取10个标记文件,并将样本执行时间统一调整;S6采取随机的方法,对文件名、文件内容、文件类型随机写入,达到不同的样本对于标记文件损坏程度不同的效果。
【技术特征摘要】
1.一种基于文件损坏度的软件检测方法,其特征在于,所述基于文件损坏度的软件检测方法步骤为:S1样本执行前标记文件特征提取;S2样本执行后标记文件特征提取;S3单个标记文件损坏度计算;S4系统损坏度计算;S5选取木马动态检测引擎作为检测平台,选取10个标记文件,并将样本执行时间统一调整;S6采取随机的方法,对文件名、文件内容、文件类型随机写入,达到不同的样本对于标记文件损坏程度不同的效果。2.根据权利要求1所述的基于文件损坏度的软件检测方法,其特征在于,所述文件损坏度通过3个指标定量检测,从而准确判断样本执行中对文件修改程度;所述3个指标定量为完整性校验、文件类型改变和相似度检测。3.根据权利要求2所述的基于文件损坏度的软件检测方法,其...
【专利技术属性】
技术研发人员:史晓婧,陶雯,
申请(专利权)人:深圳竹云科技有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。