本发明专利技术涉及计算机反病毒领域,提供了一种恶意代码检测方法和系统。本发明专利技术结合了二进制特征码和启发式检测,将未知病毒检测的方法作为特征点,加载病毒特征库和检测点以及检测标识;分析检测目标,若检测点出现,则记录对应检测点标识;判断是否需要对标识进行转化处理和缩短处理;将处理后的结果作为特征与加载的病毒特征库中的特征匹配;判断是否需要进行二次检测,若需要则使用下一病毒特征库进行检测,否则报告结果。通过本发明专利技术,解决了启发式检测速度慢的问题,同时由于特征获取与检测方法分离,提高了跨平台检测能力。
【技术实现步骤摘要】
本专利技术涉及计算机反病毒领域,特别涉及一种恶意代码检测方法及系统。
技术介绍
随着计算机的普及和网络技术的发展,计算机病毒也日益泛滥,恶意代码的检测方法也在不断提高,现在对于恶意代码的检测可通过基于二进制特征码和行为启发式进行检测。基于二进制特征码的检测方式速度快,但是对于未知病毒没有检测能力;行为启发式检测能够检测未知病毒,但是性能没有二进制特征码检测方式速度快、利用沙箱等进行动态行为分析还存在漏沙的可能、跨平台检测能力不好和可维护性差等缺点。
技术实现思路
本专利技术提供了一种恶意代码检测方法及系统,解决了基于二进制特征码对未知病毒没有检测能力及启发式检测速度慢的问题,并提高了跨平台检测能力。一种恶意代码检测方法,包括a.加载至少一个病毒特征库,所述的病毒特征库中包含检测点、与检测点对应的标识、 特征及检测结果;b.分析检测目标文件中是否包含有所述病毒特征库中的检测点,若对应检测点出现, 则记录与检测点对应的所有标识;c.根据病毒特征库的匹配方式,判断是否需要对标识进行转化处理,若需要,则将标识进行转化,否则直接执行步骤d ;d.判断是否需要进行缩短处理,若所有标识或转化后的标识的长度超出预设值,则对所有标识或转化后的标识进行一次或多次散列计算,否则直接执行步骤e ;e.将所有标识、转化后的标识或缩短处理后的标识作为特征与加载的指定病毒特征库中的特征进行匹配检测,获取检测结果;f.判断是否需要二次检测,若病毒特征库中的特征预设需要进行二次检测,则使用下一病毒特征库从步骤a开始重新检测,否则报告检测结果。所述的方法中,在执行步骤a之前还包括,建立病毒特征库 确定检测点,根据检测点检测样本集中的文件;将文件中检测出的检测点组合,确定为病毒特征库中的特征; 所述的方法中,所述的检测点至少包括指定或不指定偏移的二进制串、文件属性信息、文件结构信息、文件所属环境信息和已知检测方法的检测结果。所述的方法中,所述的步骤c中将标识进行转化包括以下方法中的一种或几种的组合将标识的全部字节或部分字节连接为特征串;将每一个标识转化为一个二进制位,检测点出现的标识位为1,检测点未出现的标识位为0。4若使用数据库进行匹配,则可将标识连接为特征串;若使用传统特征库进行匹配, 则可将每个标识转化为一个二进制位;或将两种方法结合使用。所述的方法中,步骤e中将所有标识、转化后的标识或缩短处理后的标识作为特征与加载的指定病毒特征库中的特征进行匹配检测的方法包括使用本地病毒特征库匹配或将所有标识、转化后的标识或缩短处理后的标识发送到服务器端的病毒特征库进行匹配,若匹配成功则确定为病毒文件,否则为非病毒文件。所述的方法中,可以通过增加新的病毒特征库来增加检测点和特征数量。一种恶意代码检测系统,包括病毒特征库加载单元,用于加载至少一个病毒特征库,所述的病毒特征库中包含检测点、与检测点对应的标识、特征及检测结果;文件分析单元,用于分析检测目标文件中是否包含有病毒特征库加载单元所加载的病毒特征库中的检测点,若对应检测点出现,则记录与检测点对应的所有标识;转化处理单元,用于根据病毒特征库的匹配方式,判断是否需要对文件分析单元检测出的标识进行转化处理,若需要,则将所有标识进行转化,否则进入缩短处理单元;缩短处理单元,用于判断是否需要进行缩短处理,若文件分析单元所检测出的所有标识或转化处理单元转化后的标识的长度超出预设值,则对所有标识或转化后的标识进行一次或多次散列计算,否则进入特征匹配单元;特征匹配单元,用于将文件分析单元检测出的所有标识、转化处理单元转化后的标识或缩短处理单元缩短处理后的标识与病毒特征库加载单元加载的指定病毒特征库中的特征进行匹配检测,获取检测结果;二次检测判断单元,判断特征匹配单元的检测结果是否需要二次检测,若病毒特征库中的特征预设需要进行二次检测,则使用下一病毒特征库检测重新检测,否则报告检测结^ ο所述的系统中,在病毒特征库加载单元加载病毒特征库之前还包括,建立病毒特征库单元,包括确定检测点,根据检测点检测样本集中的文件; 将文件中检测出的检测点组合,确定为病毒特征库中的特征; 所述的系统中,所述病毒特征库加载单元加载的病毒特征库中的检测点至少包括指定或不指定偏移的二进制串、文件属性信息、文件结构信息、文件所属环境信息和已知检测方法的检测结果。所述的系统中,所述转化处理单元将文件分析单元检测出的所有标识进行转化, 包括以下方法中的一种或几种的组合将标识的全部字节或部分字节连接为特征串;将每一个标识转化为一个二进制位,检测点出现的标识位为1,检测点未出现的标识位为0。所述的系统中,缩短处理单元将文件分析单元检测出的所有标识、转化处理单元转化后的标识或缩短处理单元缩短处理后的标识与病毒特征库加载单元加载的指定病毒特征库中的特征进行匹配检测的方法包括使用本地病毒特征库进行匹配或将所有标识、转化后的标识或缩短处理后的标识发送到服务器端的病毒特征库进行匹配,若匹配成功则确定为病毒文件,否则为非病毒文件。所述的系统中,可以通过增加新的病毒特征库来增加检测点和特征数量。本发涉及计算机反病毒领域,提供了一种恶意代码检测方法和系统。本专利技术结合了二进制特征码和启发式检测,将未知病毒检测的方法作为特征点,加载病毒特征库和检测点以及检测标识;分析检测目标,若检测点出现,则记录对应检测点标识;判断是否需要对标识进行转化处理和缩短处理;将处理后的结果作为特征与加载的病毒特征库中的特征匹配;判断是否需要进行二次检测,若需要则使用下一病毒特征库进行检测,否则报告结果。通过本专利技术,将未知检测的方法作为特征点,用传统的特征匹配来提高未知检测速度, 解决了未知检测速度慢的问题,同时由于特征获取与检测方法分离,提高了跨平台检测能力。本专利技术还可以通过增加特征数量和新的检测点增强检测能力,增加新的检测点可以通过增加新的病毒特征库来实现,不改变原有的检测模型,增强了检测模型的可维护性。附图说明为了更清楚地说明本专利技术或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术提供的一种恶意代码检测方法流程图; 图2为本专利技术提供的一种恶意代码检测系统示意图。具体实施例方式为了使本
的人员更好地理解本专利技术实施例中的技术方案,并使本专利技术的上述目的、特征和优点能够更加明显易懂,下面结合附图对本专利技术中技术方案作进一步详细的说明。本专利技术提供了一种恶意代码检测方法及系统,解决了基于二进制特征码对未知病毒没有检测能力及启发式检测速度慢的问题,并提高了跨平台检测能力。一种恶意代码检测方法,如图1所示,包括SlOl 加载至少一个病毒特征库,所述的病毒特征库中包含检测点、与检测点对应的标识、特征及检测结果;S102:分析检测目标文件中是否包含有所述病毒特征库中的检测点,若对应检测点出现,则记录与检测点对应的所有标识;5103根据病毒特征库的匹配方式,判断是否需要对标识进行转化处理,若需要,则执行S104,否则直接执行S105 ;5104将所有标识进行转化;5105判断是否需要进行缩短处理,若所有本文档来自技高网...
【技术保护点】
1.一种恶意代码检测方法,其特征在于,检测目标文件时包括:a.加载至少一个病毒特征库,所述的病毒特征库中包含检测点、与检测点对应的标识、特征及检测结果;b.分析检测目标文件中是否包含有所述病毒特征库中的检测点,若对应检测点出现,则记录与检测点对应的所有标识;c.根据病毒特征库的匹配方式,判断是否需要对所有标识进行转化处理,若需要,则将所有标识进行转化,否则直接执行步骤d;d.判断是否需要进行缩短处理,若所有标识或转化后的标识的长度超出预设值,则对所有标识或转化后的标识进行一次或多次散列计算,否则直接执行步骤e;e.将所有标识、转化后的标识或缩短处理后的标识作为特征与加载的指定病毒特征库中的特征进行匹配检测,获取检测结果;f.判断是否需要二次检测,若病毒特征库中的特征预设需要进行二次检测,则使用下一病毒特征库从步骤a开始重新检测,否则报告检测结果。
【技术特征摘要】
【专利技术属性】
技术研发人员:关墨辰,肖新光,
申请(专利权)人:深圳市安之天信息技术有限公司,
类型:发明
国别省市:94
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。