一种基于文件静态结构属性的恶意软件检测方法,特别是针对PE文件和ELF文件的检测方法。在训练阶段,首先提取文件样本静态结构属性;接着进行数据预处理工作,选择过滤算法进行选择过滤,然后使用这些数据来训练分类器;在检测阶段,根据处理过滤得到的静态结构属性,使用训练好的分类器,对检测文件进行分类,得到是恶意软件或是正常文件的结果。本发明专利技术以99%以上的准确率检测已知和未知的恶意软件,检测时间短,占用系统资源少,可实际部署于反病毒软件中使用。本方法不受加壳、混淆、变形、多态等技术影响,目前可应用于Windwos和Linux平台,同时还可以用于各种手机、掌上电脑等嵌入式平台。
【技术实现步骤摘要】
本专利技术涉及信息安全中的恶意软件检测方法,特别是针对PE文件和ELF文件的新 颖而实用的恶意软件检测方法,它能够在经过有限训练集训练以后,检测已知的和未知的 恶意软件,因它只需提取少数的文件静态结构属性,单个文件的检测时间是0. 25秒左右, 且检测正确率在99%以上,已达到了可实际部署应用的检测软件的要求。
技术介绍
据国内外各大反病毒公司统计,2008年截获的各类新病毒样本数已经超过1000 万,日均截获病毒样本数万。计算机病毒的数量急剧增加,其传播途径多样化,且抗反病毒 软件能力强,计算机病毒已经成为互联网以及广大计算机用户的最大安全威胁。反病毒技术现状1、特征值扫描传统病毒扫描是利用恶意软件留在被感染文件中的病毒特征值(即每种病毒所 独有的十六进制代码串)进行检测。它的流程如下1、一种恶意软件出现和长生了破坏,引 起了反病毒公司分析专家的注意;2、分析专家找到该恶意软件的样本并进行分析,提取出 了该恶意软件的特征值;3、把提取出的特征值加入到反病毒软件的服务器特征库中;4、用 户被提示更新本地反病毒软件的特征库;5、用户更新后可以检测和查杀该恶意软件。其缺 点是它几乎不能检测新的恶意软件种类,能检测的恶意软件经过简单加壳后又不能检测, 特定恶意软件在被反病毒软件查杀之后很容易进行免杀处理。同时随着恶意软件种类的指 数级增长,分析人员手动提取每个恶意软件的特征值变得枯燥而繁重,病毒特征库的体积 越来越大,致使检测工具的检测时间不断增加,相对于目前计算机恶意软件数量的增长速 度来说,反病毒厂商的响应速度已经严重滞后,且存在真空期——即从恶意软件出现到反 病毒软件能查杀该恶意软件,在真空期恶意软件可能已经长生了严重的破坏。这给计算机 恶意软件的防护工作带来了严峻挑战。2、使用数据挖掘技术的检测方法在传统的特征码扫描手段不能更好的满足需求的情况下,发展了一些使用数据挖 掘技术来检测恶意软件的方法,这些方法主要分为两类静态恶意软件检测方法和动态恶 意软件检测方法。静态恶意软件检测方法通过分析恶意软件的二进制代码、反汇编后的代 码、反汇编后的静态调用等获取恶意软件的特征,利用分类算法在正常软件与恶意代码之 间建立较好的分割线,实验结果表明其检测未知计算机病毒的能力较强,换言之,这些特征 部分反映了两类软件之间的差异。动态恶意软件检测方法通常分析恶意软件运行时的API 调用系列,提取出在恶意软件和正常文件频繁出现且在两类软件中具有较好区分度的子系 列,然后使用分类算法对两类软件进行分类。上述方法主要面临三方面的问题第一、无论是静态的分析方法还是动态的分析方法提取特征方法复杂,提取的特 征较多,导致检测每个文件的时间比较长,很难在实际部署的反病毒软件中使用;4第二、以上的静态检测方法很容易受加壳和混淆技术的影响,加壳后完全改变了 恶意软件的二进制代码和反汇编后的代码,使得检测的准确率下降,如果在脱壳后再进行 检测,每个文件的检测时间就会加长,且通用的脱壳软件在反脱壳技术的影响下并不能自 动的脱去所有恶意软件的壳;第三、如果是通过动态分析来检测恶意软件,我们通常只能分析恶意软件的单条 执行路径,并不能遍历恶意软件的所有执行路径,同时,很多恶意软件已具备了反虚拟、反 调试、反跟踪、抗反汇编的能力,这些都使得动态检测恶意软件的准确率不高和花费时间比 较长,且执行恶意;第四、软件有可能对系统产生破坏。
技术实现思路
本专利技术的目的在于提出并设计一种虚警率较低,且具有较高的检测准确率的基于 文件静态结构属性的恶意软件检测新方法。本专利技术的目的是这样实现的一种基于文件静态结构属性的恶意软件检测方法, 其特征是检测模型分为2个阶段训练阶段和检测阶段;训练阶段用于完成分类器的构建; 而检测阶段用于完成恶意软件的检测;在训练阶段,首先提取文件样本静态结构属性;接着进行数据预处理工作,使用数 据挖掘的属性选择过滤算法对属性进行选择过滤,剩下具有很好区分度的属性,然后使用 这些数据来训练分类器,训练好的分类器用作区分恶意软件和正常文件;在检测阶段,根据训练阶段数据预处理过滤得到的静态结构属性,提取待检测文 件的相应结构属性,使用训练阶段训练好的分类器,对待检测文件进行分类,得到是恶意软 件或是正常文件的结果。下述以Windows平台下的PE格式和Linux下的ELF格式进行说明下述文件为PE文件的检测方法;所述PE文件样本静态结构属性,选定为182个, 具体如下引用的动态链接库 73 个具体是ADVAP132. DLL, AWFAXP32. DLL, AWFXAB32. DLL, AWPWD32. DLL, AWRESX32. DLL, AWUTIL32. DLL, BHNETB. DLL, BHSUPP. DLL, CCAPI. DLL, CCEI. DLL, CCPSH. DLL, CCTN20. DLL, CMC. DLL,C0MCTL32. DLL,C0MDLG32. DLL,CRTDLL. DLL,DCIMAN. DLL, DCIMAN32. DLL, DSKMAINT. DLL, GDI32. DLL, GR0UPP0L. DLL, HYPERTERM. DLL, KERNL32. DLL, LZ32. DLL, MAPI. DLL, MAPI32. DLL, MFC30. DLL, MPR. DLL, MSPST32. DLL, MSFS32. DLL, MSNDUI. DLL, MSNET32. DLL, MSSHRUI. DLL, MSVIEWUT. DLL, NAL. DLL, NDIS30. DLL, NETAPI. DLL, NETAPI32.DLL,NETBIOS. DLL, NETDI.DLL,NETSETUP.DLL,NWAB32.DLL,NWNET32. DLL, NWNP32. DLL, OLEDLG.DLL, POWERCFG. DLL, RASPI. DLL, RASAPI16.DLL, RASAPI32. DLL, RPCRT4. DLL, RPCLTC1. DLL, RPCTLC3. DLL, RPCTLC5. DLL, RPCTLC6. DLL, RPCTLS3. DLL, RPCTLS5. DLL, RPCTLS6. DLL, RPCNS4. DLL,RSRC32. DLL,SAPNSP. DLL,SECUR32. DLL,SHELL32. DLL, SLENH.DLL,SHLffAPI. DLL, UMDM32.DLL,USER32.DLL,VERSION. DLL, WININET. DLL, WINMM. DLL, WINREG. DLL, WINSOCK. DLL, WS2_32. DLL, WS0CK32. DLL ; Dos 部首一个即 e_lfanew ;IMAGE_FILE_HEADER 选择了该部分的所有7个属性;IMAGE_0PT10NAL_HEADER32 选择了该部分的所有 30 个属性;数据目录表选择了所有八个目录表中每个目录表的虚拟地址和大小两个属性, 共16个属性;. text头部选择了该部分的所有11个属性;. data头部选择了该部分的所有11本文档来自技高网...
【技术保护点】
一种基于文件静态结构属性的恶意软件检测方法,其特征是:检测模型分为2个阶段:训练阶段和检测阶段;训练阶段用于完成分类器的构建;而检测阶段用于完成恶意软件的检测;在训练阶段,首先提取文件样本静态结构属性;接着进行数据预处理工作,使用数据挖掘的属性选择过滤算法对属性进行选择过滤,剩下具有很好区分度的属性,然后使用这些数据来训练分类器,训练好的分类器用作区分恶意软件和正常文件;在检测阶段,根据训练阶段数据预处理过滤得到的静态结构属性,提取待检测文件的相应结构属性,使用训练阶段训练好的分类器,对待检测文件进行分类,得到是恶意软件或是正常文件的结果。
【技术特征摘要】
【专利技术属性】
技术研发人员:王俊峰,白金荣,赵宗渠,刘达富,佘春东,
申请(专利权)人:四川大学,
类型:发明
国别省市:90[中国|成都]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。