【技术实现步骤摘要】
一种基于AI技术的恶意代码被动检测方法及系统
[0001]本专利技术涉及信息安全
,具体涉及一种基于AI技术的恶意代码被动检测方法及系统。
技术介绍
[0002]恶意代码的威胁极大,能够快速进行自我复制,并对计算机进行攻击。常见的恶意代码包括计算机病毒、特洛伊木马、计算机蠕虫、后门、逻辑炸弹等。由于恶意代码本身即为一段程序代码,可以在很隐蔽的情况下嵌入到正常合法的程序中,通过运行合法的程序而自动运行,从而达到破坏被感染计算机的数据、程序以及对被感染计算机进行信息窃取等目的。恶意代码经过多年的发展,破坏性、种类和感染性都得到极大的增强。而且,随着计算机网络化程度的不断普及,网络传播的恶意代码造成的影响和危害越来越大。目前,恶意代码的检测是安全领域研究的热点之一。早期的恶意软件往往实现的恶意目标比较单一,容易被检测到。但是随着黑客技术的不断提高,恶意代码的隐蔽性越来越强,破坏性大而且难以检测。一个恶意软件往往会呈现多个类别的特征,从而绕过运行在内核模式下的防火墙、防病毒等恶意代码防护软件。
[0003]针对上述问题...
【技术保护点】
【技术特征摘要】
1.一种基于AI技术的恶意代码被动检测方法,其特征在于,包括:步骤S1:计算待测程序的Hash值,将其与黑白名单数据库中已知程序的Hash值进行对比,若所述待测程序不是所述已知程序,则转至步骤S2;其中,所述已知程序包括:正常程序和恶意程序;步骤S2:对所述待测程序进行加壳检验,按照其加壳方式对所述待测程序调用脱壳脚本,进行自动化脱壳处理;步骤S3:提取所述待测程序的静态特征,结合训练好的静态分类器进行恶意软件检测与分类,如果判定所述待测程序类别为恶意程序,则输出其类别,并将其加入所述黑白名单数据库,否则转入步骤S4;步骤S4:提取所述待测程序的动态特征,结合训练好的动态分类器进行恶意软件检测与分类,输出所述待测程序的类别,并将其加入所述黑白名单数据库。2.根据权利要求1所述的基于AI技术的恶意代码被动检测方法,其特征在于,所述步骤S1:计算待测程序的Hash值,将其与黑白名单数据库中已知程序的Hash值进行对比,若所述待测程序不是所述已知程序,则转至步骤S2;其中,所述已知程序包括:正常程序和恶意程序,具体包括:步骤S11:利用MD5
‑
Hash函数将所述待测程序映射到有限长度的域上,将计算得到的Hash值作为所述待测程序的唯一身份标识;步骤S12:通过字符串匹配的方式,将所述Hash值与黑白名单数据库中已知程序的Hash值进行快速匹配,若所述待测程序不是所述已知程序,则转至步骤S2;其中,所述黑白名单数据库是指存放已检测过的所有程序Hash值的数据库,所述白名单指的是正常程序的Hash值集合,所述黑名单指的是恶意程序的Hash值集合。3.根据权利要求1所述的基于AI技术的恶意代码被动检测方法,其特征在于,所述步骤S2:对所述待测程序进行加壳检验,按照其加壳方式对所述待测程序调用脱壳脚本,进行自动化脱壳处理,具体包括:步骤S21:对加壳特征进行分析,确定所述待测程序是否加壳,若判定所述待测程序已加壳,则确定其加壳方式及版本,则转至步骤S22,否则转至步骤S3;步骤S22:基于所述加壳方式及版本,调用对应的脱壳脚本进行脱壳,若脱壳成功,则得到脱壳程序并转至步骤S3,若脱壳失败,则将所述待测程序存档保存。4.根据权利要求1所述的基于AI技术的恶意代码被动检测方法,其特征在于,所述步骤S3:提取所述待测程序的静态特...
【专利技术属性】
技术研发人员:门嘉平,于春华,
申请(专利权)人:北京国联天成信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。