本发明专利技术提供了一种恶意程序检测方法及扫描引擎,其中,恶意程序检测方法包括:从恶意程序样本和正常程序样本中获取文件信息,其中,所述文件信息包括文件名和文件路径;使用特征选择算法对获取的所述文件信息进行特征提取;根据所述特征提取所提取的特征数据,使用机器学习算法生成特征模型;使用所述特征模型检测恶意程序,对检测到的所述恶意程序进行处理。通过本发明专利技术,实现了恶意程序的有效查杀。
【技术实现步骤摘要】
本申请涉及网络病毒查杀
,特别是涉及一种恶意程序检测方法及扫描引擎。
技术介绍
恶意程序通常是指带有攻击意图的一段程序,属于病毒的一种,是编制者在计算机程序中插入破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。目前,对恶意程序的识别方法,通常有以下几种 (一)根据文件本身代码或数据段的特征,采用特征码的方式这是传统杀毒引擎的常用方式,根据已经发现的病毒的样本,如果有壳,需要先脱壳,然后有专业人员抽取特征码,并入病毒特征库。杀毒时,用病毒库中的标本去对照机器中的所有程序或文件,看是不是符合这些标本,是则是病毒,否则就不一定是病毒。这是传统杀毒软件的技术机制,比如卡巴斯基,N0D32,小红伞,瑞星,360的AVE引擎等等。(二)机器学习的方式先准备病毒样本和正常程序样本,然后利用人工智能的方法,通过学习病毒样本和正常程序样本,产生一个模型,然后利用模型去判断未知程序是否为恶意程序。这是一种比较新颖的杀毒机制,目前已被应用的有360的QVM引擎。(三)采用其他复杂规则根据病毒木马的行为特点,比如写启动项,往系统文件目录下写文件等等,总结出一些规律,然后判断用户的机器上哪些程序符合这些规律,然后报毒。比如360的木马云查杀引擎。(四)根据程序的行为规则根据恶意程序的行为规则,先总结规律。然后实时监控待运行程序的行为,一旦符合预设规则,则立即停止其运行。比如360的实时云防御系统。然而,上述恶意程序识别方法中,方法一和方法二不能解决未知木马病毒的问题,并且,对于已知的木马病毒,需要具备相关专业技能专业人员才能分析和提取特征码;而方法三和方法四也需要具备相关专业技能专业人员总结规则,并且,在总结出一个规则后,要先小范围的用户试用,否则容易产生大面积的误报。可见,现有方法要么无法查杀未知恶意程序,要么查杀实现复杂、实现效率低,不管哪种方法,均无法实现恶意程序的有效查杀。
技术实现思路
本申请提供了一种恶意程序检测方法及扫描引擎,以解决现有恶意程序查杀方案或者无法查杀未知恶意程序,或者查杀实现复杂、实现效率低,均无法实现恶意程序有效查杀的问题。为了解决上述问题,本申请公开了一种恶意程序检测方法,包括从恶意程序样本和正常程序样本中获取文件信息,其中,所述文件信息包括文件名和文件路径;使用特征选择算法对获取的所述文件信息进行特征提取;根据所述特征提取所提取的特征数据,使用机器学习算法生成特征模型;使用所述特征模型检测恶意程序,对检测到的所述恶意程序进行处理。优选地,所述文件信息还包括以下至少之一文件资源段信息、文件版权信息、文件时间戳信息、文件长度信息。优选地,所述使用特征选择算法对获取的所述文件信息进行特征提取的步骤包括使用卡方检验或信息增益法,对获取的所述文件信息进行特征提取。优选地,所述根据所述特征提取所提取的特征数据,使用机器学习算法生成特征模型的步骤包括根据所述特征提取所提取的特征数据,使用支持向量机SVM算法或逻辑回归法生成特征模型。优选地,在所述使用所述特征模型检测恶意程序的步骤之前,还包括使用查杀引 擎进行恶意程序检测;所述使用所述特征模型检测恶意程序,对检测到的所述恶意程序进行处理的步骤包括对所述查杀引擎检测出的恶意程序,使用所述特征模型进行恶意程序检测,并对检测到的所述恶意程序进行处理。为了解决上述问题,本申请还公开了一种扫描引擎,包括获取模块,用于从恶意程序样本和正常程序样本中获取文件信息,其中,所述文件信息包括文件名和文件路径;特征提取模块,用于使用特征选择算法对获取的所述文件信息进行特征提取;特征模型建立模块,用于根据所述特征提取所提取的特征数据,使用机器学习算法生成特征模型;检测模块,用于使用所述特征模型检测恶意程序,对检测到的所述恶意程序进行处理。优选地,所述文件信息还包括以下至少之一文件资源段信息、文件版权信息、文件时间戳信息、文件长度信息。优选地,所述特征提取模块,用于使用卡方检验或信息增益法,对获取的所述文件信息进行特征提取。优选地,特征模型建立模块,用于根据所述特征提取模块提取的特征数据,使用支持向量机SVM算法或逻辑回归法生成特征模型。优选地,所述扫描引擎还包括基础查杀模块,用于在所述检测模块使用所述特征模型检测恶意程序之前,使用查杀引擎进行恶意程序检测;所述检测模块,用于对所述查杀引擎检测出的恶意程序,使用所述特征模型进行恶意程序检测,并对检测到的所述恶意程序进行处理。与现有技术相比,本申请具有以下优点本申请使用文件信息(包括文件名和文件路径)建立恶意程序特征模型,进而利用该特征模型检测恶意程序。恶意程序的文件信息有很多特征,比如包含该恶意程序功能的描述,包含恶意程序作者特定的工作目录等,当该程序被杀毒软件识别后,作者会做程序代码的调整,以避免各种靠特征码查杀的引擎,但上面所述的文件信息,作者基本不会去调整。因此,在对文件信息进行了特征提取后,采用人工智能学习算法(也即机器学习算法),对已知的恶意程序的文件名、文件路径等各种字符串信息进行学习,然后利用生成的模型去对未知程序进行预测,实现简单,对于修改了代码而保持原文件信息的未知恶意程序也能够有效查杀。进一步地,将本申请的方案与现有查杀引擎或软件相结合时,本申请的恶意程序检测结果能够作为传统查杀结果的有益的补充,提高恶意程序查杀准确度和效率。附图说明图I是根据本申请实施例一的一种恶意程序检测方法的步骤流程图;图2是根据本申请实施例二的一种恶意程序检测方法的步骤流程图;图3是根据本申请实施例三的一种恶意程序检测方法的步骤流程图;图4是根据本申请实施例四的一种扫描引擎的结构框图。 具体实施例方式为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本申请作进一步详细的说明。实施例一参照图1,示出了根据本申请实施例一的一种恶意程序检测方法的步骤流程图。本实施例的恶意程序检测方法包括以下步骤步骤S102 :从恶意程序样本和正常程序样本中获取文件信息。其中,文件信息包括文件名和文件路径。恶意程序样本和正常程序样本可以是现有样本,也可以既包括现有样本也包括实时收集到的样本,恶意程序检测工具可以通过数据接口、或导入工具、或其它适当方式获取恶意程序样本和正常程序样本。文件信息的获取可以采用常用方式,如从文件的文件属性中获取等,本领域技术人员可以根据实际情况采用适当方式,本申请对此不作限制。步骤S104 :使用特征选择算法对获取的文件信息进行特征提取。特征选择是指从一组给定的特征集中,按照某一准则选择出一组具有良好区分特性的特征子集。在进行特征选择时一般都是利用某种评价函数独立地对每个原始特征项进行评分,然后将它们按分值的高低排序,从中选取若干个分值最高的特征项。本实施例中,给定的特征集是从恶意程序样本和正常程序样本中获取的文件信息,然后使用特征选择算法,如卡方检验、信息增益法、分支定界算法、指数算法、序列算法、随机算法等,进行特征选择和提取,最终实现文件信息的特征提取。步骤S106 :根据特征提取所提取的特征数据,使用机器学习算法生成特征模型。机器学习算法是一类从数据中自动分析获得规律,并利用规律对未知数据进行预测的算法。其通过从数据里提取规则或模式,把数据转换成信本文档来自技高网...
【技术保护点】
一种恶意程序检测方法,其特征在于,包括:从恶意程序样本和正常程序样本中获取文件信息,其中,所述文件信息包括文件名和文件路径;使用特征选择算法对获取的所述文件信息进行特征提取;根据所述特征提取所提取的特征数据,使用机器学习算法生成特征模型;使用所述特征模型检测恶意程序,对检测到的所述恶意程序进行处理。
【技术特征摘要】
1.一种恶意程序检测方法,其特征在于,包括 从恶意程序样本和正常程序样本中获取文件信息,其中,所述文件信息包括文件名和文件路径; 使用特征选择算法对获取的所述文件信息进行特征提取; 根据所述特征提取所提取的特征数据,使用机器学习算法生成特征模型; 使用所述特征模型检测恶意程序,对检测到的所述恶意程序进行处理。2.根据权利要求I所述的方法,其特征在于,所述文件信息还包括以下至少之一文件资源段信息、文件版权信息、文件时间戳信息、文件长度信息。3.根据权利要求I或2所述的方法,其特征在于,所述使用特征选择算法对获取的所述文件信息进行特征提取的步骤包括 使用卡方检验或信息增益法,对获取的所述文件信息进行特征提取。4.根据权利要求I或2所述的方法,其特征在于,所述根据所述特征提取所提取的特征数据,使用机器学习算法生成特征模型的步骤包括 根据所述特征提取所提取的特征数据,使用支持向量机SVM算法或逻辑回归法生成特征模型。5.根据权利要求I或2所述的方法,其特征在于, 在所述使用所述特征模型检测恶意程序的步骤之前,还包括使用查杀引擎进行恶意程序检测; 所述使用所述特征模型检测恶意程序,对检测到的所述恶意程序进行处理的步骤包括对所述查杀引擎检测出的恶意程序,使用所述特征模型进行恶意程序检测,并对...
【专利技术属性】
技术研发人员:董毅,刘绪平,唐杰,谢军样,韩洪伟,
申请(专利权)人:奇智软件北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。