本申请提供了一种flash恶意文件检测方法,包括以下步骤:对flash文件进行解析,提取其中的虚拟机字节码;将所述虚拟机字节码与特征字节码进行匹配,若能够匹配,则统计所述虚拟机字节码出现的次数,若次数超过阈值,则确定所述flash文件为恶意文件。本申请还提供了一种实现前述方法的flash恶意文件检测装置。本申请的一种flash恶意文件检测方法及装置,具有较高的检测效率和精度。
【技术实现步骤摘要】
本申请涉及数据安全
,特别是涉及一种flash恶意文件检测方法及装置。
技术介绍
Adobe flash player能够播放简短快速的多媒体动画、交互式动画以及飞行标志等各类图像文件,广泛应用于操作系统中的浏览器和一些移动设备上。因此,Adobe flash player也被一些恶意程序发布者利用其本身的漏洞,在flash文件中添加恶意文件,当用户播放这些flash文件时,就会自动下载可执行的恶意文件,随后会主动连接互联网络中指定的服务器,下载其他病毒、木马等恶意程序,最终造成计算机系统被完全控制,严重威胁到计算机用户的系统和信息安全。目前,针对flash文件常见的一种杀毒方法为计算flash文件唯一的MD5哈希值, 然后与预先收集的包含恶意文件的flash文件的MD5哈希值进行比较,如果能够匹配上,则说明该flash文件为恶意文件,不能匹配,则说明该flash文件为正常文件。当flash文件代码出现一点差异,也会导致MD5哈希值变化。那么,对于同一恶意文件,其发布者只要在其中添加一些无意义且不相同的代码,则可能导致MD5哈希值不同。那么在统计时无法对所有恶意文件的变种进行穷举,这就可以出现无法准确识别恶意flash文件的情况。或者即使能够穷举,也需要计算出大量的MD5哈希值,这无疑会增加工作量,降低了识别检测的效率。
技术实现思路
本申请所要解决的技术问题是提供一种flash恶意文件检测方法及装置,能够解决flash文件检测效率和精度低的问题。为了解决上述问题,本申请公开了一种flash恶意文件检测方法,包括以下步骤对flash文件进行解析,提取其中的虚拟机字节码;将所述虚拟机字节码与特征字节码进行匹配,若能够匹配,则统计所述虚拟机字节码出现的次数,若次数超过阈值,则确定所述flash文件为恶意文件。进一步地,对flash文件进行解析,提取其中的虚拟机字节码包括解析flash文件中的ActionScript相关的关键标签段;分析关键标签段的数据结构,逆向提取出其中的虚拟机字节码。进一步地,所述方法还包括确定特征字节码,具体过程包括基于flash文件的数据结构对恶意flash文件和正常flash文件进行逆向解析, 提取其中的虚拟机字节码;统计在恶意flash文件中出现概率大于或者等于正常值,但正常flash文件中不存在或出现概率小于正常值的虚拟机字节码;将所述统计的虚拟机字节码确定为特征字节码。进一步地,所述将所述虚拟机字节码与特征字节码进行匹配,若能够匹配,则统计所述虚拟机字节码出现的次数包括若虚拟机字节码与其中一个特征字节码匹配,且出现的次数超过阈值,则停止后续与其他特征字节码的匹配;或若虚拟机字节码与其中一个特征字节码匹配,且出现的次数超过阈值,仍将虚拟机字节码与其余特征字节码继续匹配。进一步地,所述将flash文件确定为恶意文件之后还包括返回检测结果和/或对所述flash文件进行处理。进一步地,所述对所述flash文件进行处理包括以下一种或几种删除所述flash文件; 隔离所述flash文件;将所述flash文件标注为可疑文件;为所述flash文件设定安全等级。进一步地,所述将虚拟机字节码与特征字节码进行匹配以及统计虚拟机字节码出现的次通过判断函数实现,所述判断函数的参数为特征字节码,所述判断过程为将所述虚拟机字节码代入不同的判断函数,并与各判断函数中的参数进行匹配以及出现次数的统计。进一步地,所述虚拟机字节码包括字符串或整形串,所述特征字节码包括字符串或整形串,在提取所述虚拟机字节码后,将其中所有的字符串组成为一个数组,所有的整形串组成一个数组,将所述两个数组分别采用将字符串作为参数的判断函数以及采用整形串作为参数的判断函数进行判断。为了解决上述问题,本申请还公开了一种flash恶意文件检测装置,包括虚拟机字节码提取模块,用于对flash文件进行解析,提取其中的虚拟机字节码;判断模块,用于将所述虚拟机字节码与特征字节码进行匹配,若能够匹配,则统计所述虚拟机字节码出现的次数,若次数超过阈值,则确定所述flash文件为恶意文件。进一步地,所述虚拟机字节码提取模块包括解析单元,用于解析flash文件中的ActionScript相关的关键标签段;分析单元,用于分析关键标签段的数据结构,逆向提取出其中的虚拟机字节码。进一步地,所述装置还包括特征字节码确定模块,用于确定特征字节码,所述特征字节码确定模块包括解析单元,用于基于flash文件的数据结构对恶意flash文件和正常flash文件进行逆向解析,提取其中的虚拟机字节码;统计单元,用于统计在恶意flash文件中出现概率大于或者等于正常值,但正常 flash文件中不存在或出现概率小于正常值的虚拟机字节码,并将所述统计的虚拟机字节码确定为特征字节码。进一步地,所述装置还包括结果处理模块,用于将flash文件确定为恶意文件之后还包括返回检测结果和/ 或对所述flash文件进行处理。进一步地,所述结果处理模块对所述flash文件进行处理包括以下一种或几种删除所述flash文件;隔离所述flash文件;将所述flash文件标注为可疑文件;为所述flash文件设定安全等级。进一步地,所述判断模块包括判断函数单元,采用判断函数进行判断,所述判断函数的参数为特征字节码,所述判断过程为将所述虚拟机字节码代入不同的判断函数,并与各判断函数中的参数进行匹配以及出现次数的统计。与现有技术相比,本申请具有以下优点本申请的flash恶意文件检测方法通过对于flash文件进行逆向解析,获取其中相对稳定的虚拟机字节码,并与恶意文件中提取出得虚拟机字节码进行比较来识别检测 flash文件。虚拟机字节码本身具有一定的意义,是flash文件的特征码,即使恶意文件中添加了其他无意义的代码,也不会影响其中的虚拟机字节码,因此通过大量搜集恶意文件, 提取出其中的虚拟机字节码后,即使这些恶意文件出现变种,也仍然能够准确识别检测,无需额外对恶意文件的变种进行穷举,提高了识别检测的精确度和效率。另外,即使有些恶意文件中的恶意代码为未知的,只要其包含有预先统计的恶意文件所包含的虚拟机字节码,就可以通过本申请的方法检测出,因此,本申请的flash恶意文件检测出了可以检测出已知的恶意文件,还可以在一定程度上检测出未知的恶意文件。进一步地,当虚拟机字节码为字符串或整形串时,通过预先分析恶意文件可能使用的加密方法,再将加密方法引入检测过程中,可以实时的对检测参数进行加密,从而保证即使从待检测的flash文件中提取的虚拟机字节码为加密后的数据,也可以精确的匹配上,提闻了检测的精准度。附图说明图I是本申请的flash恶意文件检测方法实施例一的流程图;图2是本申请的flash恶意文件检测装置实施例一的结构示意图。具体实施例方式为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本申请作进一步详细的说明。参照图1,示出本申请的flash恶意文件检测方法实施例一,包括以下步骤步骤101,对flash文件进行解析,提取其中的虚拟机字节码。flash文件是按照标签(Tag)结构组成,flash里面的一巾贞是由一些包含图形数据的标签和一些包含音频数据的标签构成的,同时也有包含Ac本文档来自技高网...
【技术保护点】
【技术特征摘要】
【专利技术属性】
技术研发人员:宋申雷,张聪,
申请(专利权)人:北京奇虎科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。