The executable can be determined to be malicious based at least in part on a computer generated text string that exists as a function name, method name, or variable name. You can determine the properties of the function name, method name, and variable name in the executable. Property can include the ratio of consonants to vowels of at least one text string in the executable. Property can also include the number of consonants in a sequence that is not interfered with by the vowels of at least one text string in the executable. If a property indicates that a function name, method name, or variable name has been generated by a computer, the executable can be marked as potentially malicious.
【技术实现步骤摘要】
【国外来华专利技术】基于存在的计算机生成的字符串的应用中的恶意软件检测相关申请的交叉引用本申请要求2017年3月30日提交的题为“基于存在的计算机生成的字符串的应用中的恶意软件检测”、申请序列号为62/479,153的美国临时专利的优先权,该专利目前正在申请中,其全部公开通过引用并入本文。
本专利技术通常涉及恶意软件检测,更具体地,涉及基于存在的计算机生成的字符串的应用中的恶意软件检测。
技术介绍
Malware是“恶意软件(malicioussoftware)”的缩写,是可用于在用户不知情或未经用户同意的情况下破坏计算机操作、毁坏数据、收集敏感信息或访问私人计算机系统的软件。此类恶意软件的示例包括软件病毒、特洛伊木马、根程序病毒包(rootkits)、勒索软件等。恶意软件开发人员使用的一种常见机制是将恶意软件嵌入到文件中,该文件对用户来说是合乎需要的,或者在用户访问网站时下载并执行。例如,恶意软件可以嵌入到看似合法且有用的可执行文件或软件应用中。用户下载文件,当文件打开时,文件中的恶意软件被执行。包含恶意软件的文件可称为恶意文件。为了保护计算设备的恶意软件检测是主要关注的问题。正确识别哪些文件包含恶意软件以及哪些文件是良性的可能是一项艰巨的任务,因为恶意软件开发人员经常混淆恶意软件的各种属性以试图避免被反恶意软件软件检测到。例如,恶意软件创建者通常通过使用计算机随机生成的名称命名函数、方法和/或变量名称来尝试隐藏恶意属性。因此,需要能够基于可执行文件或应用中存在的计算机生成的函数名称、变量名称和/或方法 ...
【技术保护点】
1.一种确定文件中恶意软件存在的方法,所述方法包括:/n接收可执行文件;/n确定所述可执行文件中的文本字符串集,所述文本字符串包括具有函数名称、变量名称或方法名称的组中的至少一个成员;以及/n响应于确定所述文本字符串集中的至少一个文本字符串是计算机生成的文本字符串,确定所述可执行文件可能包含恶意软件。/n
【技术特征摘要】
【国外来华专利技术】20170330 US 62/479,1531.一种确定文件中恶意软件存在的方法,所述方法包括:
接收可执行文件;
确定所述可执行文件中的文本字符串集,所述文本字符串包括具有函数名称、变量名称或方法名称的组中的至少一个成员;以及
响应于确定所述文本字符串集中的至少一个文本字符串是计算机生成的文本字符串,确定所述可执行文件可能包含恶意软件。
2.如权利要求1所述的方法,其中,所述确定所述文本字符串集中的至少一个文本字符串是计算机生成的文本字符串包括:确定所述至少一个文本字符串中的辅音相对于元音的比率大于预定或可配置的阈值。
3.如权利要求2所述的方法,其中,所述确定所述至少一个文本字符串中的辅音相对于元音的比率大于预定或可配置的阈值包括:
确定所述至少一个文本字符串中的辅音数量;
确定所述至少一个文本字符串中的元音数量;以及
将所述辅音数量除以所述元音数量,以确定辅音相对于元音的比率。
4.如权利要求2或3所述的方法,其中,辅音相对于元音的比率的所述预定或可配置阈值是3.0。
5.如前述权利要求中任一项所述的方法,其中,所述确定所述文本字符串集中的至少一个文本字符串是计算机生成的文本字符串包括:确定所述至少一个文本字符串中的不被元音中断的序列中的辅音数量大于预定或可配置的阈值。
6.如权利要求5所述的方法,其中,不被元音中断的序列中的辅音数量的所述预定或可配置阈值是3.0。
7.如前述权利要求中任一项所述的方法,其中,所述确定所述文本字符串集中的至少一个文本字符串是计算机生成的文本字符串包括对所述文本字符串集执行迭代,所述迭代包括:
确定所述至少一个文本字符串的辅音相对于元音的比率大于预定或可配置的第一阈值;
确定所述至少一个文本字符串中的不被元音中断的序列中的辅音数量是否大于预定或可配置的第二阈值;以及
如果超过第一阈值或第二阈值,则指示所述至少一个文本字符串可能是计算机生成的字符串。
8.一种非暂时性机器可读介质,其上存储有指令,所述指令包括计算机可执行指令,所述计算机可执行指令在被执行时使一个或多个处理器:
接收可执行文件;
确定所述可执行文件中的文本字符串集,所述文本字符串包括具有函数名称、变量名称或方法名称的组中的至少一个成员;以及
响应于确定所述文本字符串集中的至少一个文本字符串是计算机生成的文本字符串,确定所述可执行文件可能包含恶意软件。
9.如权利要求8所述的非暂时性机器可读介质,其中,所述确定所述文本字符串集中的至少一个文本字符串是计算机生成的文本字符串包括:确定所述至少一个文本字符串中的辅音相对于元音的比率大于预定或可配置的阈值。
10.如权利要求8或9所述的非暂时性机器可读介质,其中,所述计算机可执行指令还包括计算机可执行指令,用以:
确定所述至少一个文本字符串中的辅音数量;
确定所述至少一个文本字符串中的元音数量;
将所述辅音数量除以所述元音数量,以确定辅音相对于元音的比率;以及
确定所述辅音相对于元音的比率大于预定或可配置的阈值。
11.如权利要求10所述的非暂时性机器可读介质,其中,辅音相对于元音的比率的所述预定或可配...
【专利技术属性】
技术研发人员:D科诺皮斯基,
申请(专利权)人:爱维士软件有限责任公司,
类型:发明
国别省市:捷克;CZ
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。