【技术实现步骤摘要】
本专利技术涉及恶意文件检测,尤其涉及一种基于函数特征的恶意文件检测方法及装置。
技术介绍
1、黑客在开展攻击时,恶意文件是其中重要一环。恶意文件包括木马、后门、蠕虫病毒、勒索病毒、内核劫持等。因此,需要对恶意文件进行检测,为了识别出恶意文件进行处理,保护网络安全。
2、目前,采用一种基于api的恶意文件检测方法和系统,该方法需要将恶意文件运行在沙箱,监控恶意文件运行过程中调用的api以及线程id,通过api和线程id构建特征,训练分类模型,判断文件是否属于恶意文件。
3、但是,上述处理方法依赖沙箱,检测速度慢;并且该方法需要监控所有api函数,而操作系统(尤其是windows操作系统)存在诸多未公开函数,而恶意文件中有很大一部分会调用未公开函数,因此,该方法在检测利用未公开函数的恶意文件时的准确性有待验证。
技术实现思路
1、鉴于上述问题,本专利技术提供一种基于函数特征的恶意文件检测方法及装置,主要目的是为了实现提高检测速度,同时提高在检测利用未公开函数的恶意文件时
<本文档来自技高网...【技术保护点】
1.一种基于函数特征的恶意文件检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,在所述获取待检测PE文件之前,所述方法还包括:
3.根据权利要求2所述的方法,其特征在于,所述PE文件格式至少包括DOS头和PE头;
4.根据权利要求1-3任一项所述的方法,其特征在于,所述将所述待检测PE文件根据预设反汇编规则进行反汇编,得到所述待检测PE文件对应的反汇编代码,包括:
5.根据权利要求4所述的方法,其特征在于,所述基于所述待检测PE文件对应的反汇编代码,利用预设生成规则生成表征文件函数特征的一维
...【技术特征摘要】
1.一种基于函数特征的恶意文件检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,在所述获取待检测pe文件之前,所述方法还包括:
3.根据权利要求2所述的方法,其特征在于,所述pe文件格式至少包括dos头和pe头;
4.根据权利要求1-3任一项所述的方法,其特征在于,所述将所述待检测pe文件根据预设反汇编规则进行反汇编,得到所述待检测pe文件对应的反汇编代码,包括:
5.根据权利要求4所述的方法,其特征在于,所述基于所述待检测pe文件对应的反汇编代码,利用预设生成规则生成表征文件函数特征的一维向量,包括:
6.根据权利要求5所述的方法,其特征在于,所述从所述待检测pe文件对应的反汇编代码中识别windows api函数...
【专利技术属性】
技术研发人员:童陈敏,
申请(专利权)人:北京国双科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。