【技术实现步骤摘要】
一种恶意软件检测方法和装置
本专利技术实施例涉及但不限于网络安全领域,尤指一种恶意软件检测方法和装置。
技术介绍
随着计算机技术的快速发展,因特网(Internet)给我们带来了很多的便利,但与此同时,恶意程序(也称为恶意软件、恶意代码等)通过互联网肆意横行,威胁着我们的信息安全,财产安全等。恶意程序的分析方法一般分为两种,静态分析方法和动态分析方法。两种方法的区别主要在于恶意程序是否执行。其中,静态分析方法通常为提取文件特征码,分析二进制文件,反汇编,计算信息增益熵等;优点在于不需要执行恶意程序,较为安全;但恶意程序为了防止分析人员进行分析,通常都对恶意程序做了代码混淆,加壳等,使得使用静态分析方法分析恶意程序的难度很大。动态分析方法通常将恶意程序送往沙箱,在沙箱中运行,捕抓其恶意行为,例如文件的操作,网络的交互等。优点在于可以直接捕获恶意程序的恶意行为,略过代码混淆,程序脱壳困难等障碍。动态分析方法可以捕获恶意程序执行的应用程序编程接口(API,ApplicationProgrammingInte...
【技术保护点】
1.一种恶意软件检测方法,包括:/n将所述待检测软件放入沙箱中运行,获取待检测软件的应用程序编程接口API序列,所述API序列包括API名称和对对应的API参数进行分词得到的至少一个API参数词语;/n根据待检测软件的API序列确定待检测软件是否是恶意软件。/n
【技术特征摘要】
1.一种恶意软件检测方法,包括:
将所述待检测软件放入沙箱中运行,获取待检测软件的应用程序编程接口API序列,所述API序列包括API名称和对对应的API参数进行分词得到的至少一个API参数词语;
根据待检测软件的API序列确定待检测软件是否是恶意软件。
2.根据权利要求1所述的恶意软件检测方法,其特征在于,当所述API参数词语包括以下至少之一:域名、互联网协议IP地址时,所述根据待检测软件的API序列确定待检测软件是否是恶意软件之前,该方法还包括以下至少之一:
将所述API序列中的域名采用第二特殊字符串代替;
将所述API序列中的IP地址采用第三特殊字符串代替。
3.根据权利要求1或2所述的恶意软件检测方法,其特征在于,其中,所述API参数词语在所述API序列中的顺序与所述API参数词语在所述API参数中的顺序相同。
4.根据权利要求1或2所述的恶意软件检测方法,其特征在于,其中,所述获取待检测软件的API序列包括:
获取所述待检测软件的API名称和API参数;
对所述API参数进行分词得到至少一个所述API参数词语,由API名称和至少一个所述API参数词语构成所述API序列。
5.根据权利要求4所述的恶意软件检测方法,其特征在于,其中,所述对API参数进行分词得到至少一个API参数词语包括:
根据所述API名称确定分词方法;
根据确定的分词方法对所述API参数进行分词得到至少一个所述API参数词语。
6.根据权利要求5所述的恶意软件检测方法,其特征在于,其中,所述根据API名称确定分词方法包括:
在预先设置的API名称和分词方法之间的对应关系中,查找所述API名称对应的分词方法。
7.根据权利要求5所述的恶意软件检测方法,其特征在于,其中,所述根据确定的分词方法对API参数进行分词得到至少一个API参数词语包括以下至少之一:
将所述API参数与预先设置的分词词典中的词语进行匹配;当所述API参数中存在第一字符串时,将所述API参数中的所述第一字符串和第二字符串提取出来作为所述API参数词语;其中,所述第一字符串为所述API参数中与所述分词词典中的词语匹配的字符串,所述第二字符串为所述API参数中除所述第一字符串之外的字符串;当所述API参数中不存在所述第一字符串时,将所述API参数中的所述第二字符串提取出来作为所述API参数词语;
按照所述API参数的格式进行分词。
8.根据权利要求7所述的恶意软件检测方法,其特征在于,其中,所述按照API参数的格式进行分词包括以下至少之一:
当所述API参数的格式为互联网协议IP地址:端口时,以“:”为分隔符,将所述IP地址和所述端口从所述API参数中提取出来作为所述API参数词语;
当所述API参数的格式为域名时,将所述域名作为所述API参数词语;
当所述API参数的格式为API参数1:统一资源定位符URL和API参数2:本地存储路径时,将所述API参数1中的URL的协议、域名或IP地址、端口、路径+文件名提取出来,将协议、域名或IP地址、端口作为所述API参数词语;将所述路径+文件名与预先设置的分词词典中的词语进行匹配,当所述路径+文件名中存在第三字符串时,将所述路径+文件名中的第三字符串和第四字符串提取出来作为所述API参数词语;其中,所述第三字符串为所述路径+文件名中与分词词典中的词语匹配的字符串,所述第四字符串为所述路径+文件名中除所述第三字符串之外的字符串;当所述路径+文件名中不存在所述第三字符串时,将所述路径+文件名中的第四字符串提取出来作为所述API参数词语;将所述本地存储路径与预先设置的分词词典中的词语进行匹配,当所述本地存储路径中存在第五字符串时,将所述本地存储路径中的第五字符串和第六字符串提取出来作为所述API参数词语;其中,所述第五字符串为本地存储路径中与分词词典中的词语匹配的字符串,所述第六字符串为本地存储路径中除第五字符串之外的字符串;当所述本地存储路径中不存在所述第五字符串时,将所述本地存储路径中的所述第六字符串提取出来作为所述API参数词语;
当所述API参数的格式为进程路径或进程名shell命令,且所述API参数存在URL时,提取所述API参数中的URL,将URL的协议、域名或IP地址、端口、路径+文件名提取出来,将协议、域名或IP地址、端口作为API参数词语;将路径+文件名与预先设置的分词词典中的词语进行匹配,当路径+文件名中存在第三字符串时,将路径+文件名中的第三字符串和第四字符串提取出来作为API参数词语;其中,第三字符串为路径+文件名中与分词词典...
【专利技术属性】
技术研发人员:姚云国,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。