恶意文件的检测方法、装置、设备和存储介质制造方法及图纸

本申请提供了一种恶意文件的检测方法、装置、计算设备和存储介质，属于网络安全技术领域。在该方法中，获取待检测的样本文件，从该样本文件的多个子文件中提取多段关键内容，多段关键内容中的每段关键内容是多个子文件中目标子文件的内容，或者目标子文件中的指定部分的内容。然后使用多段关键内容获得检测对象，检测对象是多段关键内容的拼接结果，检测对象的数据量小于样本文件的数据量。将检测对象与签名库中的签名特征进行匹配，根据匹配结果确定样本文件是否是恶意文件。该方法能够简化恶意文件的检测过程，从而提升恶意文件的检测效率。率。率。

【技术实现步骤摘要】
恶意文件的检测方法、装置、设备和存储介质


[0001]本申请涉及网络安全
，特别涉及一种恶意文件的检测方法、装置、设备和存储介质。

技术介绍

[0002]随着移动互联网的飞速发展，恶意文件越来越多，通过配置安全防护产品(如防火墙、安全网关、安全沙箱等)对网络中传输的文件进行检测成为一种普遍应用的技术。在安全防护产品对文件进行检测时，对于有些文件，可以直接从文件中提取特征，基于提取的特征判断该文件是否是恶意文件。而对于有些文件，恶意特征往往位于文件的子文件中，并不能直接通过提取文件的特征，判断文件是否是恶意文件。例如，安卓应用程序包(android application package，apk)文件是恶意文件时，恶意特征往往位于apk文件的子文件中。
[0003]相关技术中，在对包含多个子文件的这类文件进行检测时，是依次分别对其中包含的每个子文件执行固有的检测流程得到检测结果。基于每个子文件的检测结果，判断文件是否是恶意文件。这样，当文件中包含的子文件数目比较多时，使得对文件的检测过程较为复杂，检测效率低。

技术实现思路

[0004]本申请提供了一种恶意文件的检测方法、装置、设备和存储介质，能够提升恶意文件的检测效率。
[0005]第一方面，本申请提供了一种恶意文件的检测方法，恶意文件的检测方法由安全防护设备执行，该方法包括：
[0006]获取待检测的样本文件，所述样本文件为包括多个子文件的文件包。从所述多个子文件中提取多段关键内容，所述多段关键内容中的每段关键内容是所述多个子文件中目标子文件的内容，或者目标子文件中的指定部分的内容。获得检测对象，所述检测对象是所述多段关键内容的拼接结果，所述检测对象的数据量小于所述样本文件的数据量。将所述检测对象与签名库中的签名特征进行匹配，根据匹配结果确定所述样本文件是否是恶意文件。
[0007]本申请所示的方案，安全防护设备在进行恶意文件检测时，确定待检测的样本文件的多个子文件中的目标子文件。在目标子文件中提取多段关键内容，将多段关键内容的拼接结果作为检测对象。然后将检测对象与签名库中的签名特征进行匹配，获得匹配结果。安全防护设备根据匹配结果确定样本文件是否是恶意文件。这样，由于安全防护设备只需要对检测对象执行申请存储空间等预处理步骤、以及执行加载特征库进行签名特征匹配步骤，换句话说，减少了固有检测流程的执行次数，因此提升了恶意文件的检测效率。
[0008]可选地，所述获得检测对象，包括：将第一关键内容保存在存储空间中，所述第一关键内容是从所述多个子文件中的第一子文件中提取的；将第二关键内容保存在所述存储空间中，其中，所述第二关键内容是从所述多个子文件中的第二子文件中提取的，所述第二
关键内容在所述存储空间中的起始位置是根据所述第一关键内容在所述存储空间中的偏移量确定的，所述第一关键内容和所述第二关键内容在所述存储空间中互不重叠。
[0009]本申请所示的方案，样本文件包括多个子文件，第一子文件和第二子文件属于多个子文件。在第一子文件中提取的关键内容为第一关键内容，在第二子文件中提取的关键内容为第二关键内容。安全防护设备将第一关键内容保存在存储空间中，使用第一关键内容在存储空间中的偏移量，确定第二关键内容在存储空间中的起始位置。该起始位置使得第二关键内容保存在存储空间时，不会覆盖第一关键内容，即第一关键内容和第二关键内容均保存在存储空间时，第一关键内容和第二关键内容在存储空间中互不重叠。然后安全防护设备按照起始位置，将第二关键内容保存在存储空间中。这样，多段关键内容在存储空间互相不会覆盖，实现拼接，形成检测对象。由于多个子文件的多段关键内容变为检测对象，所以仅为检测对象申请一次存储空间即可，无需为每个子文件申请存储空间，从而减少了申请存储空间的次数。
[0010]可选地，所述样本文件为apk文件或者办公(office)文件。
[0011]可选地，所述从所述多个子文件中提取多段关键内容，包括：针对所述多个子文件中的目标子文件，根据所述目标子文件的文件类型确定对应的提取方式，根据所述提取方式从所述目标子文件中提取关键内容，所述目标子文件是所述多个子文件中的至少一个子文件，所述提取方式用于指示关键内容在文件中所处的位置。
[0012]本申请所示的方案，在提取子文件的关键内容时，由于是根据子文件的文件类型对应的提取方式进行提取的，所以能够准确地提取到子文件的关键内容。
[0013]可选地，所述样本文件为apk文件。目标子文件为apk文件中指定文件类型的子文件，例如可扩展标记语言(extensible markup language，xml)文件、达尔维克可执行文件(Dalvik executable file，dex)文件或者可执行与可链接格式(executable and linkable format，ELF)文件以及其他类型子文件中的一个或者多个子文件。
[0014]若所述目标子文件的文件类型为xml文件，则所述xml文件对应的提取方式指示关键内容为所述xml文件中指定标签的全部字段或者部分字段，所述指定标签包括包名称、接收器列表、服务列表、权限列表、主活动(activity)名称或activity列表中的一种或多种。
[0015]本申请所示的方案中，xml文件中指定标签的全部字段或者部分字段中存在恶意特征的概率高，所以在xml文件中提取指定标签的全部字段或者部分字段作为关键内容，能够更准确地进行检测。
[0016]可选地，所述样本文件为apk文件；若所述目标子文件的文件类型为dex文件，则所述dex文件对应的提取方式指示关键内容为所述dex文件中的数据区的内容。
[0017]本申请所示的方案中，dex文件中数据区的内容存在恶意特征的概率高，所以在dex文件中提取数据区的内容作为关键内容，能够更准确地进行检测。
[0018]可选地，所述样本文件为apk文件；若所述目标子文件的文件类型为ELF文件，则所述ELF文件对应的提取方式指示关键内容为所述ELF文件的节区或段内容。
[0019]本申请所示的方案中，ELF文件中节区或段内容存在恶意特征的概率高，所以在ELF文件中提取节区或段内容作为关键内容，能够更准确地进行检测。
[0020]可选地，所述签名库中的每条签名特征是基于恶意检测对象生成的，所述恶意检测对象是基于已知恶意样本文件生成的。这样，每条签名特征对应一个恶意样本文件，减少
了签名特征的数量。
[0021]第二方面，本申请提供了一种签名特征的生成方法，签名特征的生成方法由安全防护设备执行，该方法包括：
[0022]获取已知的恶意样本文件，所述恶意样本文件为包括多个子文件的文件包；从所述多个子文件中提取多段关键内容，所述多段关键内容中的每段关键内容是所述多个子文件中目标子文件的内容，或者目标子文件中的指定部分的内容；获得恶意检测对象，所述恶意检测对象是所述多段关键内容的拼接结果，所述恶意检测对象的数据量小于所述样本文件的数本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种恶意文件的检测方法，其特征在于，所述方法包括：获取待检测的样本文件，所述样本文件为包括多个子文件的文件包；从所述多个子文件中提取多段关键内容，所述多段关键内容中的每段关键内容是所述多个子文件中目标子文件的内容，或者目标子文件中的指定部分的内容；获得检测对象，所述检测对象是所述多段关键内容的拼接结果，所述检测对象的数据量小于所述样本文件的数据量；将所述检测对象与签名库中的签名特征进行匹配，根据匹配结果确定所述样本文件是否是恶意文件。2.根据权利要求1所述的方法，其特征在于，所述获得检测对象，包括：将第一关键内容保存在存储空间中，所述第一关键内容是从所述多个子文件中的第一子文件中提取的；将第二关键内容保存在所述存储空间中，其中，所述第二关键内容是从所述多个子文件中的第二子文件中提取的，所述第二关键内容在所述存储空间中的起始位置是根据所述第一关键内容在所述存储空间中的偏移量确定的，所述第一关键内容和所述第二关键内容在所述存储空间中互不重叠。3.根据权利要求1或2所述的方法，其特征在于，所述样本文件为安卓应用程序包apk文件或者办公office文件。4.根据权利要求1至3任一项所述的方法，其特征在于，所述从所述多个子文件中提取多段关键内容，包括：针对所述多个子文件中的目标子文件，根据所述目标子文件的文件类型确定对应的提取方式，根据所述提取方式从所述目标子文件中提取关键内容，所述目标子文件是所述多个子文件中的至少一个子文件，所述提取方式用于指示关键内容在文件中所处的位置。5.根据权利要求4所述的方法，其特征在于，所述样本文件为apk文件；若所述目标子文件的文件类型为可扩展标记语言xml文件，则所述xml文件对应的提取方式指示关键内容为所述xml文件中指定标签的全部字段或者部分字段，所述指定标签包括包名称、接收器列表、服务列表、权限列表、主活动activity名称或activity列表中的一种或多种。6.根据权利要求4或5所述的方法，其特征在于，所述样本文件为apk文件；若所述目标子文件的文件类型为dex文件，则所述dex文件对应的提取方式指示关键内容为所述dex文件中的数据区的内容。7.根据权利要求4至6任一项所述的方法，其特征在于，所述样本文件为apk文件；若所述目标子文件的文件类型为可执行与可链接格式ELF文件，则所述ELF文件对应的提取方式指示关键内容为所述ELF文件的节区或段内容。8.根据权利要求1至7任一项所述的方法，其特征在于，所述签名库中的每条签名特征是基于恶意检测对象生成的，所述恶意检测对象是基于已知恶意样本文件生成的。9.一种签名特征的生成方法，其特征在于，所述方法包括：获取已知的恶意样本文件，所述恶意样本文件为包括多个子文件的文件包；从所述多个子文件中提取多段关键内容，所述多段关键内容中的每段关键内容是所述多个子文件中目标子文件的内容，或者目标子文件中的指定部分的内容；
获得恶意检测对象，所述恶意检测对象是所述多段关键内容的拼接结果，所述恶意检测对象的数据量小于所述样本文件的数据量；输出所述恶意检测对象；接收输入的所述恶意检测对象对应的签名特征，所述签名特征是对所述恶意检测对象进行分析获得的签名特征。10.一种恶意文件的检测装置，其特征在于，所述装置包括：获取模块，用于获取待检测的样本文件，所述样本文件为包括多个子文件的文件包；提取模块，用于从所述多个子文件中提取多段关键内容，所述多段关键内容中的每段关键内容是所述多个子文件中目标子文件的内容，或者目标子文件中的指定部分的内容；拼接模块，用于获得检测对象，所述检测对象是所述多段关键内容的拼接结果，所述检测...

【专利技术属性】
技术研发人员：高建辉，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：