本发明专利技术提供一种基于复合特征码的恶意文件检测方法,该方法首先预先设置主特征码集合,并为每个主特征码设置与其对应的非特征码;随后采用所述主特征码集合扫描匹配待检测文件,当且仅当待检测文件中能够匹配到所述主特征码集合的任意一个主特征码且待检测文件中不能匹配到该主特征码所对应任意一个非特征码时,才判断待检测文件是恶意文件。本发明专利技术提供的方法在保证匹配效率的前提下有效的实现了对漏报、误报情况的控制,并增加了特征码定位软件逆向的难度,实用性强。
【技术实现步骤摘要】
本专利技术涉及计算机领域,尤其涉及一种基于复合特征码的恶意文件检测方法。
技术介绍
从1986年第一个计算机木马PC-Write开始,恶意文件的检测与反检测技术在竞争中不断得到发展。传统的恶意文件检测主要使用特征码技术,特征码提取是这种检测方法的核心,特征码是通过对已知的恶意文件进行逆向分析,提取具有恶意文件特征的代码段的方法获得。特征码检测方法的检测效率高,能精确地检测出恶意文件的类型甚至是恶意文件的具体名称。在2004年以前,使用成熟的特征码杀毒技术仍然可以取得不错 的查杀效果,但误报一直是一个令人头疼的问题。例如假设特征码为“马”,现在待检测的文件有文件A和文件B,文件A的内容为“木马”,文件B的内容为“马克思”,显然,采用传统的特征码检测技术对文件A和文件B进行检测时,件A和文件B都将被识别为恶意文件,事实上,文件B的内容是正常的而非恶意文件。可见,现有的特征码检测方法存在误报的问题,恶意文件检测的准确率不够高。
技术实现思路
本专利技术提供一种基于复合特征码的恶意文件检测方法,用于解决现有的特征码检测方法存在误报而导致检测准确率不高的问题,本专利技术提供的基于复合特征码的恶意文件检测方法能够有效控制恶意文件检测时的误报现象,检测准确率高,且检测效率不低于现有的特征码检测方法。本专利技术提供的一种基于复合特征码的恶意文件检测方法,该方法包括步骤I :预先设置主特征码集合,并为所述主特征码集合中的每个主特征码设置与其对应的非特征码;步骤2 :采用所述主特征码集合扫描待检测文件,当且仅当所述待检测文件中能匹配到所述主特征码集合中的任意一个主特征码且不能匹配到该主特征码所对应任意一个非特征码时,所述待检测文件为恶意文件。上述基于复合特征码的恶意文件检测方法中,所述步骤2包括S21 :采用所述主特征码集合扫描待检测文件开头的预定长度的代码段;S22:判断当前扫描的待检测文件的代码段是否能够与所述主特征码集合中的任意一个主特征码相匹配?若是,则继续S23 ;否则,执行S27 ;S23 :判断在所述待检测文件中是否能匹配到当前匹配到的主特征码所对应的任意一个非特征码?若是,则继续执行S24 ;否则,输出待检测文件为恶意文件的检测结果,结束检测流程;S24 :判断是否已经采用所述主特征码集合扫描到所述待检测文件的结尾?若是,则认为待检测文件为非恶意文件;否则,继续执行S25 ;S25 :将当前匹配到的主特征码从所述主特征码集合中删除;S26 :采用主特征码集合扫描待检测文件的下一个预定长度的代码段,并返回执行S22 ;S27 :判断是否已经采用所述主特征码集合扫描到待检测文件的结尾?若是,则认为待检测文件为非恶意文件,否则,跳至执行S26。优选地,上述基于复合特征码的恶意文件检测方法中,所述步骤I包括预先设置并在数据库中存储由η个主特征码组成的主特征码集合;其中,η为大于等于O的整数;预先为所述主特征码集合中的每个主特征码设置与其对应的若干个非特征码,得到对应于每个主特征码的非特征码集合并将所述非特征码集合存储于所述数据库中;将所述数据库中的所有数据读入内存,并将所述主特征码集合中的每个主特征码在所述内存中的地址与该主特征码所对应的非特征码集合在所述内存中的地址之间建立映射关系。 优选地,步骤S23所述判断在所述待检测文件中是否能匹配到当前匹配到的主特征码所对应的任意一个非特征码,包括获取所述当前匹配到的主特征码在内存中的地址;根据预先配置的每个主特征码在所述内存中的地址与该主特征码所对应的非特征码集合在所述内存中的地址之间的映射关系,获取所述当前匹配到的主特征码所对应的非特征码集合;判断所述待检测文件中是否能匹配到当前获取的非特征码集合中的任意一个非特征码?优选地,上述基于复合特征码的恶意文件检测方法中,步骤I中所述将所述数据库中的所有数据读入内存之前,还包括预先为所述主特征码集合中的每个主特征码设置与其对应的若干个从特征码,得到对应于每个主特征码的从特征码集合并将所述从特征码集合存储于所述数据库中;步骤I中所述将所述数据库中的所有数据读入内存之后,还包括将所述主特征码集合中的每个主特征码在所述内存中的地址与该主特征码所对应的从特征码集合在所述内存中的地址之间建立映射关系。优选地,上述步骤S22和S23之间还包括步骤判断在所述待检测文件中是否能匹配到当前匹配到的主特征码所对应的全部从特征码?若是,则继续执行S23,否则,跳至执行 S24。优选地,上述基于复合特征码的恶意文件检测方法中,当所述步骤S23的判断结果为否时,所述步骤S23之后还包括步骤判断在待检测文件中是否能匹配到当前匹配到的主特征码所对应的全部从特征码?若否,则继续执行步骤5 ;若是,则输出待检测文件为恶意文件的检测结果,结束检测流程。优选地,上述基于复合特征码的恶意文件检测方法中,所述判断在待检测文件中是否能匹配到当前匹配到的主特征码所对应的全部从特征码,包括获取所述当前匹配到的主特征码在内存中的地址;根据预先配置的每个主特征码在所述内存中的地址与该主特征码所对应的从特征码集合在所述内存中的地址之间的映射关系,获取所述当前匹配到的主特征码所对应的从特征码集合;判断所述待检测文件中是否能匹配到当前获取的从特征码集合中的全部特征码?本专利技术提供的基于复合特征码的恶意文件检测方法通过将特征码分解为主、从、非三个部分,可以将误报的范围控制在一个很小的范围以内,有效解决了传统复合特征码难以控制误报率的缺陷。此外,该方法的计算机匹配算法的时间复杂度能达到ο (N)的水平(N为目标文件的长度),与传统的复合特征码匹配算法相同,后续特征码的添加并不会减慢检测的效率,因此本专利技术提供的方法在保证特征码匹配效率的前提下有效的实现了对漏报、误报情况的控制,并增加了特征码定位软件OnMYCCL)逆向的难度。该方法广泛适用于关键字过滤,网页木马查杀等需要精确匹配的场合,具有很大的应用价值。附图说明图I是本专利技术实施例提供的第一种基于复合特征码的恶意文件检测方法流程图;图2是图I中S 11的详细流程图;图3是图I中S 14的详细流程图;图4是预先设置主、从、非特征码的详细流程图;图5是本专利技术实施例提供的第二种基于复合特征码的恶意文件检测方法流程图;图6是本专利技术实施例提供的第三种基于复合特征码的恶意文件检测方法流程图。具体实施例方式本专利技术实施例提供一种基于复合特征码的恶意文件检测方法,该方法包括步骤I :预先设置主特征码集合,并为主特征码集合中的每个主特征码设置与其对应的非特征码;步骤2 :采用所述主特征码集合扫描待检测文件,当且仅当待检测文件中能匹配到所述主特征码集合中的任意一个主特征码且不能匹配到该主特征码所对应任意一个非特征码时,待检测文件才被判断为恶意文件。以下结合附图,具体说明本专利技术实施例。图I为本专利技术实施例提供的第一种基于复合特征码的恶意文件检测方法流程图,该方法包括以下步骤Sll :预先设置主特征码集合M,并为主特征码集合M中的每个主特征码设置与其对应的非特征码。其中,所述主特征码为恶意文件所具有的主要特征码,用于在检测时首先去掉那些明显不是恶意文件的检测对象,以进一步缩小恶意文件的排查范围。S12 :采用主特征码集合M扫描待检测文件开头的预定长度的代码段。S13 :判断当本文档来自技高网...
【技术保护点】
一种基于复合特征码的恶意文件检测方法,其特征在于,包括:步骤1:预先设置主特征码集合,并为所述主特征码集合中的每个主特征码设置与其对应的非特征码;步骤2:采用所述主特征码集合扫描待检测文件,当且仅当所述待检测文件中能匹配到所述主特征码集合中的任意一个主特征码且不能匹配到该主特征码所对应任意一个非特征码时,所述待检测文件为恶意文件。
【技术特征摘要】
1.一种基于复合特征码的恶意文件检测方法,其特征在于,包括 步骤I:预先设置主特征码集合,并为所述主特征码集合中的每个主特征码设置与其对应的非特征码; 步骤2 :采用所述主特征码集合扫描待检测文件,当且仅当所述待检测文件中能匹配到所述主特征码集合中的任意一个主特征码且不能匹配到该主特征码所对应任意一个非特征码时,所述待检测文件为恶意文件。2.如权利要求I所述的一种基于复合特征码的恶意文件检测方法,其特征在于,所述步骤2包括 S21 :采用所述主特征码集合扫描待检测文件开头的预定长度的代码段; S22:判断当前扫描的待检测文件的代码段是否能够与所述主特征码集合中的任意一个主特征码相匹配?若是,则继续S23 ;否则,执行S27 ; S23:判断在所述待检测文件中是否能匹配到当前匹配到的主特征码所对应的任意一个非特征码?若是,则继续执行S24;否则,输出待检测文件为恶意文件的检测结果,结束检测流程; 524:判断是否已经采用所述主特征码集合扫描到所述待检测文件的结尾?若是,则认为待检测文件为非恶意文件;否则,继续执行S25 ; 525:将当前匹配到的主特征码从所述主特征码集合中删除; 526:采用主特征码集合扫描待检测文件的下一个预定长度的代码段,并返回执行S22 ; 527:判断是否已经采用所述主特征码集合扫描到待检测文件的结尾?若是,则认为待检测文件为非恶意文件,否则,跳至执行S26。3.如权利要求2所述的一种基于复合特征码的恶意文件检测方法,其特征在于,所述步骤I包括 预先设置并在数据库中存储由η个主特征码组成的主特征码集合;其中,η为大于等于O的整数; 预先为所述主特征码集合中的每个主特征码设置与其对应的若干个非特征码,得到对应于每个主特征码的非特征码集合并将所述非特征码集合存储于所述数据库中; 将所述数据库中的所有数据读入内存,并将所述主特征码集合中的每个主特征码在所述内存中的地址与该主特征码所对应的非特征码集合在所述内存中的地址之间建立映射关系。4.如权利要求3所述的一种基于复合特征码的恶意文件检测方法,其特征在于,步骤S23所述判...
【专利技术属性】
技术研发人员:黄腾,
申请(专利权)人:厦门市美亚柏科信息股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。