一种恶意软件检测方法及装置制造方法及图纸

本发明专利技术公开了一种恶意软件检测方法及装置，所述方法包括：根据预设的每项行为，将模拟运行待检测的软件时存在的预设的行为作为目标行为；根据预先确定的预设的每项行为对应恶意软件的概率，确定软件存在的目标行为的目标概率，根据软件存在的目标行为的目标概率及预设的复合概率公式，确定软件的复合概率，其中针对预设的每项行为，根据恶意软件在模拟运行时存在该行为的第一概率，以及非恶意软件在模拟运行时存在该行为的第二概率确定该行为对应恶意软件的概率；判断复合概率是否大于预设的概率阈值；如果是，确定软件为恶意软件。由于在本发明专利技术实施例中，保证了预设的每项行为对应恶意软件的概率的准确性，进而提高了恶意软件检测的准确性。

【技术实现步骤摘要】
一种恶意软件检测方法及装置
本专利技术涉及信息安全
，尤其涉及一种恶意软件检测方法及装置。
技术介绍
随着计算机技术和网络技术的快速发展，信息安全变得愈发重要，信息安全也成为一个备受关注的研究领域。面对层出不穷的安全问题和爆炸式增长的恶意软件及其变种，需要不断完善和提高检测技术，做到对恶意软件及时准确的检测。恶意软件是一段程序，由攻击者通过系统安全漏洞或其它方法植入被攻击者的设备中，使得被攻击者的设备按照攻击者的意愿执行任务，任何能对信息安全造成威胁的程序都可以归属于恶意软件。常见的恶意软件有：漏洞攻击程序、计算机病毒、蠕虫、恶意移动脚本、后门、木马、间谍软件等，当然还包括以上类型恶意软件组合成的恶意软件。现有技术中，通常是将待检测的软件在沙箱中模拟运行，通过识别待检测的软件在运行中存在的行为，并根据预先针对每项行为设置的权重值，将该软件在运行中存在的行为对应的权重值进行累加，确定该软件对应的威胁分数，如果威胁分数大于设定阈值，则确定该软件为恶意软件。然而这种方法，是人为依靠经验进行权重值的设置，设置的权重值的准确性难以保证，很容易造成误判，恶意软件检测的精度不高。
技术实现思路
本专利技术提供一种恶意软件检测方法及装置，用以解决现有技术中存在对恶意软件检测精度不高的问题。本专利技术公开了一种恶意软件检测方法，所述方法包括：根据预设的每项行为，将模拟运行待检测的软件时所述软件存在的预设的行为作为目标行为；根据预先确定的预设的每项行为对应恶意软件的概率，确定所述软件存在的目标行为的目标概率，并根据所述软件存在的目标行为的目标概率及预设的复合概率公式，确定所述软件的复合概率，其中针对预设的每项行为，根据恶意软件在模拟运行时存在该行为的第一概率，以及非恶意软件在模拟运行时存在该行为的第二概率确定该行为对应恶意软件的概率；判断所述复合概率是否大于预设的概率阈值；如果是，确定所述软件为恶意软件。进一步地，针对预设的每项行为，根据恶意软件在模拟运行时存在该行为的第一概率，以及非恶意软件在模拟运行时存在该行为的第二概率，确定该行为对应恶意软件的概率包括：针对预设的每项行为，根据所述第一概率与所述第二概率的和确定第三概率，并根据所述第一概率与所述第三概率的比值，确定该行为对应恶意软件的概率，其中所述第一概率为在模拟运行时，恶意软件集合中存在该行为的恶意软件的第一数量，与所述恶意软件集合中恶意软件总数量的第一比值；所述第二概率为在模拟运行时，非恶意软件集合中存在该行为的非恶意软件的第二数量，与所述非恶意软件集合中非恶意软件总数量的第二比值。进一步地，确定该行为对应恶意软件的概率之后，所述方法还包括：根据该行为对应恶意软件的概率与针对该行为预设的概率修正值的和，对该行为对应恶意软件的概率进行更新。进一步地，所述根据预设的每项行为，将模拟运行待检测的软件时所述软件存在的预设的行为作为目标行为包括：根据预设的每项行为，识别模拟运行待检测的软件时所述软件存在的预设的行为的第三数量，及所述软件存在的预设的行为中预设的白行为的第四数量；判断所述第四数量与所述第三数量的比值是否大于设定的比例阈值、及所述第三数量是否大于预设的数量阈值；如果至少一项为否，将所述软件存在的预设的行为作为目标行为，否则，根据预设的比例系数及所述第三数量，确定第五数量，在所述软件存在的预设的行为中删除第五数量的白行为，将删除第五数量的白行为后剩余的行为作为目标行为，其中所述比例系数小于所述比例阈值。进一步地，所述根据所述软件存在的目标行为的目标概率及预设的复合概率公式，确定所述软件的复合概率包括：根据P(A|t1、t2...tn)＝(P1*P2*...PN)/[P1*P2*...PN+(1-P1)*(1-P2)*...(1-PN)]，确定所述软件的复合概率，其中P(A|t1、t2…tn)为复合概率、P1、P2…PN为软件中存在的每项目标行为分别对应的目标概率、N为目标行为的数量。本专利技术公开了一种恶意软件检测装置，所述装置包括：第一确定模块，用于根据预设的每项行为，将模拟运行待检测的软件时所述软件存在的预设的行为作为目标行为；第二确定模块，用于根据预先确定的预设的每项行为对应恶意软件的概率，确定所述软件存在的目标行为的目标概率，并根据所述软件存在的目标行为的目标概率及预设的复合概率公式，确定所述软件的复合概率，其中针对预设的每项行为，根据恶意软件在模拟运行时存在该行为的第一概率，以及非恶意软件在模拟运行时存在该行为的第二概率确定该行为对应恶意软件的概率；判断模块，用于判断所述复合概率是否大于预设的概率阈值，如果判断结果为是，触发第三确定模块；第三确定模块，用于确定所述软件为恶意软件。进一步地，所述装置还包括：第四确定模块，用于针对预设的每项行为，根据所述第一概率与所述第二概率的和确定第三概率，并根据所述第一概率与所述第三概率的比值，确定该行为对应恶意软件的概率，其中所述第一概率为在模拟运行时，恶意软件集合中存在该行为的恶意软件的第一数量，与所述恶意软件集合中恶意软件总数量的第一比值；所述第二概率为在模拟运行时，非恶意软件集合中存在该行为的非恶意软件的第二数量，与所述非恶意软件集合中非恶意软件总数量的第二比值。进一步地，所述装置还包括：更新模块，用于确定该行为对应恶意软件的概率之后，根据该行为对应恶意软件的概率与针对该行为预设的概率修正值的和，对该行为对应恶意软件的概率进行更新。进一步地，所述第一确定模块，具体用于根据预设的每项行为，识别模拟运行待检测的软件时所述软件存在的预设的行为的第三数量，及所述软件存在的预设的行为中预设的白行为的第四数量；判断所述第四数量与所述第三数量的比值是否大于设定的比例阈值、及所述第三数量是否大于预设的数量阈值；如果至少一项为否，将所述软件存在的预设的行为作为目标行为，否则，根据预设的比例系数及所述第三数量，确定第五数量，在所述软件存在的预设的行为中删除第五数量的白行为，将删除第五数量的白行为后剩余的行为作为目标行为，其中所述比例系数小于所述比例阈值。进一步地，所述第二确定模块，具体用于根据P(A|t1、t2...tn)＝(P1*P2*...PN)/[P1*P2*...PN+(1-P1)*(1-P2)*...(1-PN)]，确定所述软件的复合概率，其中P(A|t1、t2…tn)为复合概率、P1、P2…PN为软件中存在的每项目标行为分别对应的目标概率、N为目标行为的数量。本专利技术公开了一种恶意软件检测方法及装置，所述方法包括：根据预设的每项行为，将模拟运行待检测的软件时所述软件存在的预设的行为作为目标行为；根据预先确定的预设的每项行为对应恶意软件的概率，确定所述软件存在的目标行为的目标概率，并根据所述软件存在的目标行为的目标概率及预设的复合概率公式，确定所述软件的复合概率，其中针对预设的每项行为，根据恶意软件在模拟运行时存在该行为的第一概率，以及非恶意软件在模拟运行时存在该行为的第二概率确定该行为对应恶意软件的概率；判断所述复合概率是否大于预设的概率阈值；如果是，确定所述软件为恶意软件。由于在本专利技术实施例中，根据软件模拟运行时存在的目标行为、及预先确定的预设的每项行为对应恶意软件的概率、及预设的复合概率公式，确定软件的复合概率，并且本文档来自技高网...

【技术保护点】
1.一种恶意软件检测方法，其特征在于，所述方法包括：根据预设的每项行为，将模拟运行待检测的软件时所述软件存在的预设的行为作为目标行为；根据预先确定的预设的每项行为对应恶意软件的概率，确定所述软件存在的目标行为的目标概率，并根据所述软件存在的目标行为的目标概率及预设的复合概率公式，确定所述软件的复合概率，其中针对预设的每项行为，根据恶意软件在模拟运行时存在该行为的第一概率，以及非恶意软件在模拟运行时存在该行为的第二概率确定该行为对应恶意软件的概率；判断所述复合概率是否大于预设的概率阈值；如果是，确定所述软件为恶意软件。

【技术特征摘要】
1.一种恶意软件检测方法，其特征在于，所述方法包括：根据预设的每项行为，将模拟运行待检测的软件时所述软件存在的预设的行为作为目标行为；根据预先确定的预设的每项行为对应恶意软件的概率，确定所述软件存在的目标行为的目标概率，并根据所述软件存在的目标行为的目标概率及预设的复合概率公式，确定所述软件的复合概率，其中针对预设的每项行为，根据恶意软件在模拟运行时存在该行为的第一概率，以及非恶意软件在模拟运行时存在该行为的第二概率确定该行为对应恶意软件的概率；判断所述复合概率是否大于预设的概率阈值；如果是，确定所述软件为恶意软件。2.如权利要求1所述的方法，其特征在于，针对预设的每项行为，根据恶意软件在模拟运行时存在该行为的第一概率，以及非恶意软件在模拟运行时存在该行为的第二概率，确定该行为对应恶意软件的概率包括：针对预设的每项行为，根据所述第一概率与所述第二概率的和确定第三概率，并根据所述第一概率与所述第三概率的比值，确定该行为对应恶意软件的概率，其中所述第一概率为在模拟运行时，恶意软件集合中存在该行为的恶意软件的第一数量，与所述恶意软件集合中恶意软件总数量的第一比值；所述第二概率为在模拟运行时，非恶意软件集合中存在该行为的非恶意软件的第二数量，与所述非恶意软件集合中非恶意软件总数量的第二比值。3.如权利要求2所述的方法，其特征在于，确定该行为对应恶意软件的概率之后，所述方法还包括：根据该行为对应恶意软件的概率与针对该行为预设的概率修正值的和，对该行为对应恶意软件的概率进行更新。4.如权利要求1所述的方法，其特征在于，所述根据预设的每项行为，将模拟运行待检测的软件时所述软件存在的预设的行为作为目标行为包括：根据预设的每项行为，识别模拟运行待检测的软件时所述软件存在的预设的行为的第三数量，及所述软件存在的预设的行为中预设的白行为的第四数量；判断所述第四数量与所述第三数量的比值是否大于设定的比例阈值、及所述第三数量是否大于预设的数量阈值；如果至少一项为否，将所述软件存在的预设的行为作为目标行为，否则，根据预设的比例系数及所述第三数量，确定第五数量，在所述软件存在的预设的行为中删除第五数量的白行为，将删除第五数量的白行为后剩余的行为作为目标行为，其中所述比例系数小于所述比例阈值。5.如权利要求1所述的方法，其特征在于，所述根据所述软件存在的目标行为的目标概率及预设的复合概率公式，确定所述软件的复合概率包括：根据P(A|t1、t2...tn)＝(P1*P2*...PN)/[P1*P2*...PN+(1-P1)*(1-P2)*…(1-PN)]，确定所述软件的复合概率，其中P(A|t1、t2…tn)为复合概率、P1、P2…PN为...

【专利技术属性】
技术研发人员：田永，白波，张江伟，
申请(专利权)人：北京神州绿盟信息安全科技股份有限公司，北京神州绿盟科技有限公司，
类型：发明
国别省市：北京,11