本发明专利技术公开了一种恶意文件的检测方法及系统,该方法包括步骤:获取待检测文件的二进制代码;对所述待检测文件的二进制代码进行机器学习,获取到待检测文件的特征图谱;将所述待检测文件的特征图谱与威胁模型库中的模型进行匹配,获取到匹配值;将所述匹配值与预设的匹配阈值进行比较,根据比较结果判断待检测文件是否为恶意文件。本发明专利技术公开的恶意文件的检测方法及系统,不需要人工检查代替、不需要行为分析、也不需要人工创建特征码,大多数威胁感染可在入侵用户和系统之前被阻止,从而避免了耗时耗力的补救和清除。
【技术实现步骤摘要】
一种恶意文件的检测方法及系统
本专利技术涉及网络安全
,尤其涉及一种恶意文件的检测方法及系统。
技术介绍
所谓特征码,就是防毒软件从病毒样本中提取的不超过64字节且能独一无二地代表病毒特征的十六进制代码。主要有单一特征码、多重特征码和复合特征码这三种类型。特征码提取的思路是:首先获取一个病毒程序的长度,根据样本长度可将文件分为若干份(分段的方法在很大程度上避免了采用单一特征码误报病毒现象的发生,也可以避免特征码过于集中造成的误报),每份选取16B或32B的特征串,若该信息是通用信息或者全零字节则舍弃,认为或随机调整偏移量后重新选取。最后,将选取出来的几段特征码及它们的偏移量存入病毒库,标示出病毒的名称即可。根据这个思路可编写出特征码提取程序实现自动提取,并保存病毒记录。在扫描病毒时,防毒软件将目标文件通过模式匹配算法与病毒库中的特征码进行比对,以确定是否染毒。基于特征码的防御是一个与时间晒跑的终端保护方法。当发现某个位置文件是具有威胁的,创建针对该威胁的特征码,然后将文件分发给终端以拦截该威胁,但是整个过程需要耗费较长时间。恶意软件的制作者只需要更改恶意代码的微小部分,就可以轻松逃避特征码的防御;而且在创建和更新特征码的时间内,制作者可以发动多次攻击。
技术实现思路
本专利技术的主要目的在于提出一种恶意文件的检测方法及系统,旨在解决基于特征码的防御存在的问题。为实现上述目的,本专利技术实施例第一方面提供一种恶意文件的检测方法,所述方法包括步骤:获取待检测文件的二进制代码;对所述待检测文件的二进制代码进行机器学习,获取到待检测文件的特征图谱;将所述待检测文件的特征图谱与威胁模型库中的模型进行匹配,获取到匹配值;将所述匹配值与预设的匹配阈值进行比较,根据比较结果判断待检测文件是否为恶意文件。进一步地,所述机器学习包括机械学习、类比学习或归纳学习。进一步地,所述匹配包括图匹配或图转换匹配。进一步地,所述威胁模型库为已知恶意文件的特征图谱。进一步地,所述威胁模型库为云端服务器创建的已知恶意文件的特征图谱。此外,为实现上述目的,本专利技术实施例第二方面提供一种恶意文件的检测系统,所述系统包括:获取模块、机器学习模块、匹配模块及比较判断模块;所述获取模块,用于获取待检测文件的二进制代码;所述机器学习模块,用于对所述获取模块获取的待检测文件的二进制代码进行机器学习,获取到待检测文件的特征图谱;所述匹配模块,用于将所述待检测文件的特征图谱与威胁模型库中的模型进行匹配,获取到匹配值;所述比较判断模块,用于将所述匹配值与预设的匹配阈值进行比较,根据比较结果判断待检测文件是否为恶意文件。进一步地,所述机器学习包括机械学习、类比学习或归纳学习。进一步地,所述匹配包括图匹配或图转换匹配。进一步地,所述威胁模型库为已知恶意文件的特征图谱。进一步地,所述威胁模型库为云端服务器创建的已知恶意文件的特征图谱。本专利技术实施例提供的恶意文件的检测方法及系统,不需要人工检查代替、不需要行为分析、也不需要人工创建特征码,大多数威胁感染可在入侵用户和系统之前被阻止,从而避免了耗时耗力的补救和清除。附图说明图1为实现本专利技术各个实施例的移动终端的硬件结构示意图;图2为如图1所示的移动终端的无线通信系统示意图;图3为本专利技术实施例提供的恶意文件的检测方法流程示意图;图4为本专利技术实施例提供的恶意文件的检测系统结构示意图。本专利技术目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。具体实施方式应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。现在将参考附图描述实现本专利技术各个实施例的移动终端。在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本专利技术的说明,其本身并没有特定的意义。因此,"模块"与"部件"可以混合地使用。移动终端可以以各种形式来实施。例如,本专利技术中描述的终端可以包括诸如移动电话、智能电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、导航装置等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。下面,假设终端是移动终端。然而,本领域技术人员将理解的是,除了特别用于移动目的的元件之外,根据本专利技术的实施方式的构造也能够应用于固定类型的终端。图1为实现本专利技术各个实施例的移动终端的硬件结构示意。移动终端100可以包括无线通信单元110、A/V(音频/视频)输入单元120、用户输入单元130、感测单元140、输出单元150、存储器160、接口单元170、控制器180和电源单元190等等。图1示出了具有各种组件的移动终端,但是应理解的是,并不要求实施所有示出的组件。可以替代地实施更多或更少的组件。将在下面详细描述移动终端的元件。无线通信单元110通常包括一个或多个组件,其允许移动终端100与无线通信系统或网络之间的无线电通信。例如,无线通信单元可以包括广播接收模块111、移动通信模块112、无线互联网模块113、短程通信模块114和位置信息模块115中的至少一个。广播接收模块111经由广播信道从外部广播管理服务器接收广播信号和/或广播相关信息。广播信道可以包括卫星信道和/或地面信道。广播管理服务器可以是生成并发送广播信号和/或广播相关信息的服务器或者接收之前生成的广播信号和/或广播相关信息并且将其发送给终端的服务器。广播信号可以包括TV广播信号、无线电广播信号、数据广播信号等等。而且,广播信号可以进一步包括与TV或无线电广播信号组合的广播信号。广播相关信息也可以经由移动通信网络提供,并且在该情况下,广播相关信息可以由移动通信模块112来接收。广播信号可以以各种形式存在,例如,其可以以数字多媒体广播(DMB)的电子节目指南(EPG)、数字视频广播手持(DVB-H)的电子服务指南(ESG)等等的形式而存在。广播接收模块111可以通过使用各种类型的广播系统接收信号广播。特别地,广播接收模块111可以通过使用诸如多媒体广播-地面(DMB-T)、数字多媒体广播-卫星(DMB-S)、数字视频广播-手持(DVB-H),前向链路媒体(MediaFLO@)的数据广播系统、地面数字广播综合服务(ISDB-T)等等的数字广播系统接收数字广播。广播接收模块111可以被构造为适合提供广播信号的各种广播系统以及上述数字广播系统。经由广播接收模块111接收的广播信号和/或广播相关信息可以存储在存储器160(或者其它类型的存储介质)中。移动通信模块112将无线电信号发送到基站(例如,接入点、节点B等等)、外部终端以及服务器中的至少一个和/或从其接收无线电信号。这样的无线电信号可以包括语音通话信号、视频通话信号、或者根据文本和/或多媒体消息发送和/或接收的各种类型的数据。无线互联网模块113支持移动终端的无线互联网接入。该模块可以内部或外部地耦接到终端。该模块所涉及的无线互联网接入技术可以包括WLAN(无线LAN)(Wi-Fi)、Wibro(无线宽带)、Wimax(全球微波互联接入)、HSDPA(高速下行链路分组接入)等等。短程通信模块114是用于支持短程通信的模块。短程通信技术的一些示例包括蓝牙TM、射频识别(RFID)、红外数据协会(IrDA)、超宽带(UWB)、紫本文档来自技高网...
【技术保护点】
一种恶意文件的检测方法,所述方法包括步骤:获取待检测文件的二进制代码;对所述待检测文件的二进制代码进行机器学习,获取到待检测文件的特征图谱;将所述待检测文件的特征图谱与威胁模型库中的模型进行匹配,获取到匹配值;将所述匹配值与预设的匹配阈值进行比较,根据比较结果判断待检测文件是否为恶意文件。
【技术特征摘要】
1.一种恶意文件的检测方法,所述方法包括步骤:获取待检测文件的二进制代码;对所述待检测文件的二进制代码进行机器学习,获取到待检测文件的特征图谱;将所述待检测文件的特征图谱与威胁模型库中的模型进行匹配,获取到匹配值;将所述匹配值与预设的匹配阈值进行比较,根据比较结果判断待检测文件是否为恶意文件。2.根据权利要求1所述的一种恶意文件的检测方法,其特征在于,所述机器学习包括机械学习、类比学习或归纳学习。3.根据权利要求1所述的一种恶意文件的检测方法,其特征在于,所述匹配包括图匹配或图转换匹配。4.根据权利要求1所述的一种恶意文件的检测方法,其特征在于,所述威胁模型库为已知恶意文件的特征图谱。5.根据权利要求4所述的一种恶意文件的检测方法,其特征在于,所述威胁模型库为云端服务器创建的已知恶意文件的特征图谱。6.一种恶意文件的检测系统,所述系统包括:获取模块、机器学习模块、匹配...
【专利技术属性】
技术研发人员:杨文峰,
申请(专利权)人:努比亚技术有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。