一种恶意文件的检测方法及系统技术方案

本发明专利技术公开了一种恶意文件的检测方法及系统，该方法包括步骤：获取待检测文件的二进制代码；对所述待检测文件的二进制代码进行机器学习，获取到待检测文件的特征图谱；将所述待检测文件的特征图谱与威胁模型库中的模型进行匹配，获取到匹配值；将所述匹配值与预设的匹配阈值进行比较，根据比较结果判断待检测文件是否为恶意文件。本发明专利技术公开的恶意文件的检测方法及系统，不需要人工检查代替、不需要行为分析、也不需要人工创建特征码，大多数威胁感染可在入侵用户和系统之前被阻止，从而避免了耗时耗力的补救和清除。

【技术实现步骤摘要】
一种恶意文件的检测方法及系统
本专利技术涉及网络安全
，尤其涉及一种恶意文件的检测方法及系统。
技术介绍
所谓特征码，就是防毒软件从病毒样本中提取的不超过64字节且能独一无二地代表病毒特征的十六进制代码。主要有单一特征码、多重特征码和复合特征码这三种类型。特征码提取的思路是：首先获取一个病毒程序的长度，根据样本长度可将文件分为若干份(分段的方法在很大程度上避免了采用单一特征码误报病毒现象的发生，也可以避免特征码过于集中造成的误报)，每份选取16B或32B的特征串，若该信息是通用信息或者全零字节则舍弃，认为或随机调整偏移量后重新选取。最后，将选取出来的几段特征码及它们的偏移量存入病毒库，标示出病毒的名称即可。根据这个思路可编写出特征码提取程序实现自动提取，并保存病毒记录。在扫描病毒时，防毒软件将目标文件通过模式匹配算法与病毒库中的特征码进行比对，以确定是否染毒。基于特征码的防御是一个与时间晒跑的终端保护方法。当发现某个位置文件是具有威胁的，创建针对该威胁的特征码，然后将文件分发给终端以拦截该威胁，但是整个过程需要耗费较长时间。恶意软件的制作者只需要更改恶意代码的微小部分，就可以轻本文档来自技高网...

【技术保护点】
一种恶意文件的检测方法，所述方法包括步骤：获取待检测文件的二进制代码；对所述待检测文件的二进制代码进行机器学习，获取到待检测文件的特征图谱；将所述待检测文件的特征图谱与威胁模型库中的模型进行匹配，获取到匹配值；将所述匹配值与预设的匹配阈值进行比较，根据比较结果判断待检测文件是否为恶意文件。

【技术特征摘要】
1.一种恶意文件的检测方法，所述方法包括步骤：获取待检测文件的二进制代码；对所述待检测文件的二进制代码进行机器学习，获取到待检测文件的特征图谱；将所述待检测文件的特征图谱与威胁模型库中的模型进行匹配，获取到匹配值；将所述匹配值与预设的匹配阈值进行比较，根据比较结果判断待检测文件是否为恶意文件。2.根据权利要求1所述的一种恶意文件的检测方法，其特征在于，所述机器学习包括机械学习、类比学习或归纳学习。3.根据权利要求1所述的一种恶意文件的检测方法，其特征在于，所述匹配包括图匹配或图转换匹配。4.根据权利要求1所述的一种恶意文件的检测方法，其特征在于，所述威胁模型库为已知恶意文件的特征图谱。5.根据权利要求4所述的一种恶意文件的检测方法，其特征在于，所述威胁模型库为云端服务器创建的已知恶意文件的特征图谱。6.一种恶意文件的检测系统，所述系统包括：获取模块、机器学习模块、匹配...

【专利技术属性】
技术研发人员：杨文峰，
申请(专利权)人：努比亚技术有限公司，
类型：发明
国别省市：广东,44