提供一种检测软件的方法和装置,涉及信息安全领域。该方法包括:对待检测软件的二进制序列进行分段,得到多个子序列;基于多个子序列中每个子序列中的二进制代码,得到每个子序列的统计值;对多个子序列中每个子序列的统计值进行分析,得到待检测软件的特征;基于待检测软件的特征和预先获取到的目标软件的特征库,对待检测软件进行检测,目标软件的特征库包括至少一个目标软件中每个目标软件的特征。通过引入统计方法,基于待检测软件的全部子序列中每个子序列的统计值来提取待测软件的特征,以预先构建的目标软件的特征库中的目标软件的特征为依据来判断待检测软件是否为目标软件,可以降低加壳或变种对检测产生的干扰,提高检测准确率。提高检测准确率。提高检测准确率。
【技术实现步骤摘要】
一种检测软件的方法和装置
[0001]本申请涉及信息安全领域,尤其涉及一种检测软件的方法和装置。
技术介绍
[0002]随着互联网技术的发展,在数据交换效率迎来巨大提升的同时,大量恶意软件的肆意传播也使得信息安全问题更加突出,对恶意软件的检测日益迫切。
[0003]目前,对恶意软件的检测方法包括静态检测方法,静态检测方法通常通过特征码匹配等方式实现,技术实现上较为简单,但是对于使用了加壳或变种等手段的恶意软件会干扰静态检测方法的检测和分析,在这种情况下使用传统的静态检测方法的准确率不高。
技术实现思路
[0004]本申请提供了一种检测软件的方法和装置,通过引入统计方法来提取待测软件和目标软件的特征,以降低加壳或变种对检测产生的干扰,提高检测准确率。
[0005]第一方面,本申请提供一种检测软件的方法,该方法包括:对待检测软件的二进制序列进行分段,得到多个子序列;基于所述多个子序列中每个子序列中的二进制代码,得到每个子序列的统计值;对所述多个子序列中每个子序列的统计值进行分析,得到所述待检测软件的特征;基于所述待检测软件的特征和预先获取到的目标软件的特征库,对所述待检测软件进行检测,所述目标软件的特征库包括至少一个目标软件中每个目标软件的特征。
[0006]基于上述方案,对待检测软件的二进制序列进行分段得到多个子序列,并通过引入统计方法,基于待检测软件的全部子序列中每个子序列的统计值来提取待检测软件的特征,以预先构建的目标软件的特征库中的目标软件的特征为依据,来判断待检测软件是否为目标软件,由此可以降低加壳或变种对检测产生的干扰,进而提高检测准确率。
[0007]可选地,所述对待检测软件的二进制序列进行分段,得到多个子序列,包括:以n个字节为固定长度,对所述待检测软件的二进制序列进行分段,得到所述多个子序列,n正为整数。
[0008]可选地,所述统计值包括第一统计值和/或第二统计值;其中,所述第一统计值为一个子序列中有效值的个数;第二统计值为一个子序列中前一位为无效值的有效值的个数,其中,所述有效值和所述无效值为预定义的值。
[0009]可选地,所述统计值包括所述第一统计值和所述第二统计值,所述对所述多个子序列中每个子序列的统计值进行分析,得到所述待检测软件的特征,包括:基于所述待检测软件的每个子序列的第一统计值和第二统计值,得到与每个子序列的统计值对应的坐标点;对所述多个子序列中每个子序列的统计值所对应的坐标点进行聚类分析,得到所述待检测软件的特征。
[0010]可选地,所述基于所述待检测软件的每个子序列的第一统计值和第二统计值,得到与每个子序列的统计值对应的坐标点,包括:将所述多个子序列中每个子序列的所述第
一统计值和所述第二统计值分别进行归一化处理,得到归一化后的第一统计值和归一化后的第二统计值;将所述多个子序列中每个子序列所对应的所述归一化后的第一统计值和所述归一化后的第二统计值转换为坐标点。
[0011]可选地,所述基于所述待检测软件的特征和预先获取到的目标软件的特征库,对所述待检测软件进行检测,包括:基于所述待检测软件的特征和所述目标软件的特征库,确定所述待检测软件的特征与所述目标软件的特征库中的所述至少一个目标软件中的每个目标软件的特征的相似度;在所述待检测软件的特征与所述目标软件的特征库中一个或多个目标软件的特征的相似度大于或等于预设阈值的情况下,确定所述待检测软件为所述目标软件。
[0012]可选地,所述目标软件的特征库还包括所述至少一个目标软件中每个目标软件所对应的目标软件类型;以及所述方法还包括:在确定所述待检测软件为所述目标软件的情况下,输出与所述待检测软件的特征的相似度最高的目标软件所对应的目标软件类型。
[0013]可选地,所述目标软件类型包括:广告软件、间谍软件、勒索软件、浏览器劫持软件、行为记录软件和强制安装软件。
[0014]第二方面,本申请提供了一种检测软件的装置,该装置包括:分段模块、统计模块、分析模块和检测模块,所述分段模块用于对待检测软件的二进制序列进行分段,得到多个子序列;所述统计模块用于基于所述多个子序列中每个子序列中的二进制代码,得到每个子序列的统计值;所述分析模块用于对所述多个子序列中每个子序列的统计值进行分析,得到所述待检测软件的特征;所述检测模块用于基于所述待检测软件的特征和预先获取到的目标软件的特征库,对所述待检测软件进行检测,所述目标软件的特征库包括至少一个目标软件中每个目标软件的特征。
[0015]第三方面,本申请提供了一种检测软件的装置,该装置包括处理器。该处理器与存储器耦合,可用于执行存储器中的计算机程序,以实现第一方面以及第一方面中任一种可能实现方式中的方法。
[0016]可选地,所述检测软件的装置还可以包括存储器,用于存储计算机可读指令,所述处理器读取所述计算机可读指令使得所述检测软件的装置可以实现上述第一方面以及第一方面任一种可能实现方式中所述的方法。
[0017]可选地,所述检测软件的装置还可以包括通信接口,所述通信接口用于该装置与其它设备进行通信,示例性地,通信接口可以是收发器、电路、总线、模块或其它类型的通信接口。
[0018]第四方面,本申请提供了一种芯片系统,该芯片系统包括至少一个处理器,用于支持实现上述第一方面以及第一方面任一种可能实现方式中所涉及的功能,例如,例如处理上述方法中所涉及的数据。
[0019]在一种可能的设计中,所述芯片系统还包括存储器,所述存储器用于保存程序指令和数据,存储器位于处理器之内或处理器之外。
[0020]该芯片系统可以由芯片构成,也可以包含芯片和其它分立器件。
[0021]第五方面,本申请提供了一种计算机可读存储介质,所述存储介质中存储有计算机可读指令,当所述计算机可读指令被计算机执行时,使得计算机实现第一方面以及第一方面任一种可能实现方式中的方法。
[0022]第六方面,本申请提供了一种计算机程序产品,所述计算机程序产品包括:计算机程序(也可以称为代码,或指令),当所述计算机程序被运行时,使得上述第一方面以及第一方面中任一种可能实现方式中的方法被执行。
[0023]应当理解的是,本申请的第二方面至第六方面与本申请的第一方面的技术方案相对应,各方面及对应的可行实施方式所取得的有益效果相似,不再赘述。
附图说明
[0024]图1为适用于本申请实施例提供的检测软件的方法的应用场景示意图;
[0025]图2为本申请实施例提供的一种检测软件的方法的示意性流程图;
[0026]图3为本申请实施例提供的一种检测软件的装置的示意性框图;
[0027]图4为本申请实施例提供的另一种检测软件的装置的示意性框图。
具体实施方式
[0028]下面将结合附图,对本申请中的技术方案进行描述。
[0029]这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种检测软件的方法,其特征在于,所述方法包括:对待检测软件的二进制序列进行分段,得到多个子序列;基于所述多个子序列中每个子序列中的二进制代码,得到每个子序列的统计值;对所述多个子序列中每个子序列的统计值进行分析,得到所述待检测软件的特征;基于所述待检测软件的特征和预先获取到的目标软件的特征库,对所述待检测软件进行检测,所述目标软件的特征库包括至少一个目标软件中每个目标软件的特征。2.如权利要求1所述的方法,其特征在于,所述对待检测软件的二进制序列进行分段,得到多个子序列,包括:以n个字节为固定长度,对所述待检测软件的二进制序列进行分段,得到所述多个子序列,n为正整数。3.如权利要求1或2所述的方法,其特征在于,所述统计值包括第一统计值和/或第二统计值;其中,所述第一统计值为一个子序列中有效值的个数;第二统计值为一个子序列中前一位为无效值的有效值的个数,其中,所述有效值和所述无效值为预定义的值。4.如权利要求3所述的方法,其特征在于,所述统计值包括所述第一统计值和所述第二统计值,所述对所述多个子序列中每个子序列的统计值进行分析,得到所述待检测软件的特征,包括:基于所述待检测软件的每个子序列的第一统计值和第二统计值,得到与每个子序列的统计值对应的坐标点;对所述多个子序列中每个子序列的统计值所对应的坐标点进行聚类分析,得到所述待检测软件的特征。5.如权利要求4所述的方法,其特征在于,所述基于所述待检测软件的每个子序列的第一统计值和第二统计值,得到与每个子序列的统计值对应的坐标点,包括:将所述多个子序列中每个子序列的所述第一统计值和所述第二统计值分别进行归一化处理,得到归一化后的第一统计值和归一化后的第二统计值;将所述多个子序列中每个子序列所对应的所述归一化后的第一统计值和所述归一化后的第二统计值转换为坐标点。6.如权利要求1所述的方法,其特征在于,所述基于所述待检测软件的...
【专利技术属性】
技术研发人员:罗亚明,杨洁琼,张楚熠,陈堃,
申请(专利权)人:中国工商银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。