CN103761483A - 恶意代码的检测方法及装置 - Google Patents
恶意代码的检测方法及装置 Download PDFInfo
- Publication number
- CN103761483A CN103761483A CN201410040500.8A CN201410040500A CN103761483A CN 103761483 A CN103761483 A CN 103761483A CN 201410040500 A CN201410040500 A CN 201410040500A CN 103761483 A CN103761483 A CN 103761483A
- Authority
- CN
- China
- Prior art keywords
- code
- summary info
- detected
- malicious code
- icon file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- User Interface Of Digital Computer (AREA)
Abstract
本发明提出一种恶意代码的检测方法及装置。其中该方法包括:获取待检测代码的至少一个图标文件;获取至少一个图标文件的第一摘要信息;以及根据至少一个图标文件的第一摘要信息判断待检测代码是否为恶意代码。本发明实施例的恶意代码的检测方法,得到待检测代码的图标文件,并根据图标文件的第一摘要信息检测待检测代码是否为恶意代码,能够识别出传统检测方法所无法识别的家族恶意代码或变种恶意代码,提高了恶意代码的检出率和准确率。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种恶意代码的检测方法及装置。
背景技术
随着互联网技术的快速发展,恶意代码的黑色利益链已经形成,且发展快速。因此恶意代码的制作逐步走向产业化,恶意代码的制作者会对恶意代码不断地维护,从而形成基于同一个基础恶意代码版本的一组不同版本的恶意代码,也可以称为家族恶意代码或变种恶意代码。
对于此类恶意代码,相关技术可采用以下两种方式进行检测:一种方法是静态的特征内容匹配:扫描恶意代码从而获取恶意代码的特征内容,并与预设特征内容进行匹配,如果匹配成功,则确定为恶意代码;另一种方法是行为特征匹配:分析恶意代码的动态行为,并与预设动态行为进行匹配,如果匹配成功,则确定为恶意代码。
但是,相关技术存在以下问题:恶意代码的制作者在对恶意代码的不断维护过程中,使用了更多的加密、混淆等对抗处理手段,上述两种方法都受到限制,甚至有些恶意代码根本无法检测出来。
发明内容
本发明旨在至少在一定程度上解决相关技术中的技术问题之一。
为此,本发明的一个目的在于提出一种恶意代码的检测方法。该方法能够提高恶意代码的检出率和准确率,保障信息安全。
本发明的第二个目的在于提出一种恶意代码的检测装置。
为了实现上述目的,本发明第一方面实施例的恶意代码的检测方法,包括:获取待检测代码的至少一个图标文件;获取所述至少一个图标文件的第一摘要信息;以及根据所述至少一个图标文件的第一摘要信息判断所述待检测代码是否为恶意代码。
本发明实施例的恶意代码的检测方法,根据待检测代码的图标文件得到图标文件的第一摘要信息,并根据图标文件的第一摘要信息检测待检测代码是否为恶意代码,能够识别出传统检测方法所无法识别的家族恶意代码或变种恶意代码,提高了恶意代码的检出率和准确率,保障了信息安全,提升了用户体验。
为了实现上述目的,本发明第二方面实施例的恶意代码的检测装置,包括:第一获取模块,用于获取待检测代码的至少一个图标文件;第二获取模块,用于获取所述至少一个图标文件的第一摘要信息;以及判断模块,用于根据所述至少一个图标文件的第一摘要信息判断所述待检测代码是否为恶意代码。
本发明实施例的恶意代码的检测装置,根据待检测代码的图标文件得到图标文件的第一摘要信息,并根据图标文件的第一摘要信息检测待检测代码是否为恶意代码,能够识别出传统检测方法所无法识别的家族恶意代码或变种恶意代码,提高了恶意代码的检出率和准确率,保障了信息安全,提升了用户体验。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中,
图1是根据本发明一个实施例的恶意代码的检测方法的流程图;
图2是根据本发明又一个实施例的恶意代码的检测方法的流程图;
图3是根据本发明另一个实施例的恶意代码的检测方法的流程图;
图4是根据本发明一个实施例的恶意代码的检测装置的结构框图;以及
图5是根据本发明又一个实施例的恶意代码的检测装置的结构框图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。相反,本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。
在本发明的描述中,需要理解的是,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。此外,在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
下面参考附图描述根据本发明实施例的恶意代码的检测方法和装置。
由于恶意代码的制作者在对恶意代码的不断维护过程中,使用了越来越多的加密、混淆等对抗处理手段,从而产生大量的家族恶意代码或变种恶意代码,如果通过特征内容匹配和行为特征匹配的检测方法进行检测,则会受到限制,甚至很多家族恶意代码或变种恶意代码都无法检测出来,难以保证安全。
为了确保能检测到家族恶意代码或变种恶意代码,本发明提出了一种恶意代码的检测方法,包括以下步骤:获取待检测代码的至少一个图标文件;获取至少一个图标文件的第一摘要信息;以及根据至少一个图标文件的第一摘要信息判断待检测代码是否为恶意代码。
图1是根据本发明一个实施例的恶意代码的检测方法。
如图1所示,恶意代码的检测方法包括:
S101,获取待检测代码的至少一个图标文件。
其中,待检测代码可为PE(Portable Execute,可执行文件)文件。具体地,在本发明的一个实施例中,首先,需要对待检测代码进行预处理,如解压、识别等,例如,如果出现新的PE文件,先将该PE文件进行解压,并识别文件类型。预处理后再获取该PE文件的至少一个图标文件,例如,找到该PE文件对应的资源文件夹,并从资源文件夹中读取相应的至少一个图标文件。
S102,获取至少一个图标文件的第一摘要信息。
在本发明的一个实施例中,第一摘要信息基于图标文件生成,例如第一摘要信息为MD5(Message-Digest Algorithm5,信息摘要算法第五版)值、SHA-1(Secure Hash Algorithm,安全散列算法)值、RIPEMD(RACE Integrity Primitives Evaluation Message Digest,RACE原始完整性校验消息摘要)值等中的一种或多种。应理解的是,第一摘要信息是一段数据唯一且极其紧凑的数值,任何能实现该数值的算法都可以用来获取至少一个图标文件的第一摘要信息,在此不再一一赘述。
在具体的获取过程中,首先提取该至少一个图标文件的二进制内容,并根据提取的二进制内容计算出第一摘要信息。
S103,根据至少一个图标文件的第一摘要信息判断待检测代码是否为恶意代码。
本发明实施例的恶意代码的检测方法,根据待检测代码的图标文件得到图标文件的第一摘要信息,并根据图标文件的第一摘要信息检测待检测代码是否为恶意代码,能够识别出传统检测方法所无法识别的家族恶意代码或变种恶意代码,提高了恶意代码的检出率和准确率,保障了信息安全,提升了用户体验。
下面介绍根据至少一个图标文件的第一摘要信息判断待检测代码是否为恶意代码的具体实施过程。
图2是根据本发明又一个实施例的恶意代码的检测方法的流程图。
如图2所示,恶意代码的检测方法包括:
S201,获取待检测代码的至少一个图标文件。
S202,获取至少一个图标文件的第一摘要信息。
S203,在第一预设样本库中查找至少一个图标文件的第一摘要信息。
S204,如果在第一预设样本库中查找到至少一个图标文件的第一摘要信息,则判断待检测代码为恶意代码。
其中,第一预设样本库中包括恶意代码样本的图标文件及其对应的第一摘要信息,这些恶意代码样本可以是提前根据现有的检测方法检测出来的,也可以是专业人员收集来的,本发明对此不进行限定。从这些恶意代码样本中获取相应的图标文件,并获取图标文件的第一摘要信息,从而建立第一预设样本库。应当理解的是,第一预设样本库中可不断增加、更新,从而使得能够识别的恶意代码也能相应的增多。
在本发明的一个实施例中,恶意代码的检测方法还包括:
S205,如果在第一预设样本库中未查找到至少一个图标文件的第一摘要信息,则进一步获取至少一个图标文件的第二摘要信息。
在本发明的一个实施例中,第二摘要信息基于图标文件的分片内容生成。例如,第二摘要信息为模糊哈希值。具体地,模糊哈希值通过模糊哈希算法计算获得,模糊哈希算法的基本原理是基于内容分割对图标文件进行分片,分别计算每个分片的哈希值,再将每个分片的哈希值进行组合以获取模糊哈希值,模糊哈希算法目前也有许多的分支算法,在此不再详细赘述。
根据模糊哈希算法获得的模糊哈希值对细节变化不敏感,在原始数据上***、删除、修改少量字节后,对模糊哈希值的影响不大,因此模糊哈希值主要用来进行相似性检测。在本发明的一个实施例中,可通过SSdeep(应用模糊哈希算法检测文件相似性的软件)计算至少一个图标文件的模糊哈希值,应当理解的是,还可以采用其他软件或者程序进行计算,本发明对此不进行限定。
S206,根据至少一个图标文件的第二摘要信息判断待检测代码是否为恶意代码。
本发明实施例的恶意代码的检测方法,如果在第一预设样本库中查找到第一摘要信息,则可以确定待检测代码为恶意代码,由于第一摘要信息的唯一性,可以很快确定待检测代码是否为现有的家族恶意代码或变种恶意代码;另外,如果在第一预设样本库中没有查找到第一摘要信息,则进一步根据第二摘要信息确定待检测代码是否为恶意代码,由于图标文件细节的改变对第二摘要信息的影响小,可以根据第二摘要信息进一步确定待检测代码是否为现有的家族恶意代码或变种恶意代码相关的恶意代码,从而进一步提高了恶意代码的检出率和准确率。
下面介绍根据至少一个图标文件的第二摘要信息判断待检测代码是否为恶意代码的具体实施过程。
图3是根据本发明另一个实施例的恶意代码的检测方法的流程图。
如图3所示,恶意代码的检测方法包括:
S301,获取待检测代码的至少一个图标文件。
S302,获取至少一个图标文件的第一摘要信息。
S303,在第一预设样本库中查找至少一个图标文件的第一摘要信息。
S304,如果在第一预设样本库中查找到至少一个图标文件的第一摘要信息,则判断待检测代码为恶意代码。
S305,如果在第一预设样本库中未查找到至少一个图标文件的第一摘要信息,则进一步获取至少一个图标文件的第二摘要信息。
S306,获取第二预设样本库中预设摘要信息与至少一个图标文件的第二摘要信息的相似度。
其中,第二预设样本库中包括恶意代码样本的图标文件及其对应的第二摘要信息,这些恶意代码样本可以是提前根据现有的检测方法检测出来的,也可以是专业人员收集来的,本发明对此不进行限定。从这些恶意代码样本中获取相应的图标文件,并获取图标文件的第二摘要信息,从而建立第二预设样本库。应当理解的是,第二预设样本库中可不断增加、更新,从而使得能够识别的恶意代码也能相应的增多。
S307,如果存在相似度超过预设值的预设摘要信息,则判断待检测代码为恶意代码。
其中,预设值为代表相似度的百分比值,可以默认设定,也可以手动更改。例如,预设值为90%,当第二预设样本库中存在于待检测代码的第二摘要信息相似度超过90%的预设摘要信息时,则判断待检测代码为恶意代码。
另外,如果不存在相似度超过预设值的预设摘要信息,则判断待检测代码为正常代码。
本发明实施例的恶意代码的检测方法,由于图标文件细节的改变对第二摘要信息的影响小,因此如果在现有的家族恶意代码或变种恶意代码的基础上稍加修改的恶意代码,通过第二摘要信息可以检测出来,从而进一步提高了恶意代码的检出率和准确率。
在本发明的另一个实施例中,在S101、S201或S301之前恶意代码的检测方法还包括(图中未示出):首先,获取待检测代码的特性内容和/或行为特性信息,具体地,对待检测代码进行预处理后,获取待检测代码的特性内容(如特征码等)和/或行为特性信息(如修改关键文件、控制进程等);之后,在预设的特性内容和/或行为特性信息样本库中查找待检测代码的特性内容和/或行为特性信息,具体地,特性信息样本库包含恶意代码样本及恶意代码样本的特性内容和/或行为特性信息;然后,如果在预设的特性内容和/或行为特性信息样本库中没有查找到待检测代码的特性内容和/或行为特性信息,则获取待检测代码的至少一个图标文件,以进一步判断当前文件是否为已知同类家族的恶意代码或其更新文件,即继续执行步骤S101、S201或S301。由此,通过先根据待检测代码的特性内容和/或行为特性信息进行检测,再将无法识别的待检测代码根据第一摘要信息和第二摘要信息以进一步检测,提高了检测效率,利用模糊哈希值检测的优势,提高识别效率。
为了实现上述实施例,本发明的实施例还提出一种恶意代码的检测装置。
一种恶意代码的检测装置,包括:第一获取模块,用于获取待检测代码的至少一个图标文件;第二获取模块,用于获取至少一个图标文件的第一摘要信息;以及判断模块,用于根据至少一个图标文件的第一摘要信息判断待检测代码是否为恶意代码。
图4是根据本发明一个实施例的恶意代码的检测装置的结构框图。
如图4所示,恶意代码的检测装置包括:第一获取模块100、第二获取模块200和判断模块300。
具体地,第一获取模块100用于获取待检测代码的至少一个图标文件。其中,待检测代码可为PE(Portable Execute,可执行文件)文件。更具体地,在本发明的一个实施例中,首先,需要对待检测代码进行预处理,如解压、识别等,例如,如果出现新的PE文件,先将该PE文件进行解压,并识别文件类型。预处理后,第一获取模块100获取该PE文件的至少一个图标文件,例如,找到该PE文件对应的资源文件夹,并从资源文件夹中读取相应的至少一个图标文件。
第二获取模块200用于获取至少一个图标文件的第一摘要信息。在本发明的一个实施例中,第一摘要信息基于图标文件生成,例如第一摘要信息为MD5(Message-DigestAlgorithm5,信息摘要算法第五版)值、SHA-1(Secure Hash Algorithm,安全散列算法)值、RIPEMD(RACE Integrity Primitives Evaluation Message Digest,RACE原始完整性校验消息摘要)值等中的一种或多种。应理解的是,第一摘要信息是一段数据唯一且极其紧凑的数值,任何能实现该数值的算法都可以用来获取至少一个图标文件的第一摘要信息,在此不再一一赘述。在具体的获取过程中,第二获取模块200可先提取该至少一个图标文件的二进制内容,并根据提取的二进制内容计算出第一摘要信息。
判断模块300用于根据至少一个图标文件的第一摘要信息判断待检测代码是否为恶意代码。
本发明实施例的恶意代码的检测装置,能够根据待检测代码的图标文件得到图标文件的第一摘要信息,并根据图标文件的第一摘要信息检测待检测代码是否为恶意代码,能够识别出传统检测方法所无法识别的家族恶意代码或变种恶意代码,提高了恶意代码的检出率和准确率,保障了信息安全,提升了用户体验。
图5是根据本发明又一个实施例的恶意代码的检测装置的结构框图。
如图5所示,恶意代码的检测装置包括:第一获取模块100、第二获取模块200、判断模块300、查找单元310、第一判断单元320、获取单元330、第二判断单元340、获取子单元341、判断子单元342、第三获取模块400和查找模块500。其中,判断模块300包括查找单元310、第一判断单元320、获取单元330和第二判断单元340,第二判断单元340包括获取子单元341和判断子单元342。
具体地,查找单元310用于在第一预设样本库中查找至少一个图标文件的第一摘要信息。
第一判断单元320用于在第一预设样本库中查找到至少一个图标文件的第一摘要信息时,判断待检测代码为恶意代码。
其中,第一预设样本库中包括恶意代码样本的图标文件及其对应的第一摘要信息,这些恶意代码样本可以是提前根据现有的检测方法检测出来的,也可以是专业人员收集来的,本发明对此不进行限定。从这些恶意代码样本中获取相应的图标文件,并获取图标文件的第一摘要信息,从而建立第一预设样本库。应当理解的是,第一预设样本库中可不断增加、更新,从而使得能够识别的恶意代码也能相应的增多。
获取单元330用于在第一预设样本库中未查找到至少一个图标文件的第一摘要信息时,进一步获取至少一个图标文件的第二摘要信息。在本发明的一个实施例中,第二摘要信息基于图标文件的分片内容生成。例如,第二摘要信息为模糊哈希值。更具体地,获取单元330可通过模糊哈希算法计算获得模糊哈希值。模糊哈希算法的基本原理是基于内容分割对图标文件进行分片,分别计算每个分片的哈希值,再将每个分片的哈希值进行组合以获取模糊哈希值,模糊哈希算法目前也有许多的分支算法,在此不再详细赘述。
根据模糊哈希算法获得的模糊哈希值对细节变化不敏感,在原始数据上***、删除、修改少量字节后,对模糊哈希值的影响不大,因此模糊哈希值主要用来进行相似性检测。在本发明的一个实施例中,可通过SSdeep(应用模糊哈希算法检测文件相似性的软件)计算至少一个图标文件的模糊哈希值,应当理解的是,还可以采用其他软件或者程序进行计算,本发明对此不进行限定。
第二判断单元340用于根据至少一个图标文件的第二摘要信息判断待检测代码是否为恶意代码。
本发明实施例的恶意代码的检测装置,如果查找单元在第一预设样本库中查找到第一摘要信息,则第一判断单元即可确定待检测代码为恶意代码,由于第一摘要信息的唯一性,可以很快确定待检测代码是否为现有的家族恶意代码或变种恶意代码;另外,如果查找单元在第一预设样本库中没有查找到第一摘要信息,则获取单元进一步获取第二摘要信息,第二判断单元根据第二摘要信息确定待检测代码是否为恶意代码,由于图标文件细节的改变对第二摘要信息的影响小,可以根据第二摘要信息进一步确定待检测代码是否为现有的家族恶意代码或变种恶意代码相关的恶意代码,从而进一步提高了恶意代码的检出率和准确率。
更进一步地,在本发明的一个实施例中,第二判断单元340具体包括:
获取子单元341用于获取第二预设样本库中预设摘要信息与至少一个图标文件的第二摘要信息的相似度。其中,第二预设样本库中包括恶意代码样本的图标文件及其对应的第二摘要信息,这些恶意代码样本可以是提前根据现有的检测方法检测出来的,也可以是专业人员收集来的,本发明对此不进行限定。从这些恶意代码样本中获取相应的图标文件,并获取图标文件的第二摘要信息,从而建立第二预设样本库。应当理解的是,第二预设样本库中可不断增加、更新,从而使得能够识别的恶意代码也能相应的增多。
判断子单元342用于存在相似度超过预设值的预设摘要信息时,判断待检测代码为恶意代码。其中,预设值为代表相似度的百分比值,可以默认设定,也可以手动更改。例如,预设值为90%,当第二预设样本库中存在于待检测代码的第二摘要信息相似度超过90%的预设摘要信息时,判断子单元342判断待检测代码为恶意代码。相反,如果不存在相似度超过预设值的预设摘要信息,判断子单元342则判断待检测代码为正常代码。
本发明实施例的恶意代码的检测装置,由于图标文件细节的改变对第二摘要信息的影响小,因此即使是在现有的家族恶意代码或变种恶意代码的基础上稍加修改的恶意代码,通过第二摘要信息可以检测出来,从而进一步提高了恶意代码的检出率和准确率。
在本发明的另一个实施例中,恶意代码的检测装置还包括:
第三获取模块400用于获取待检测代码的特性内容和/或行为特性信息。更具体地,对待检测代码进行预处理后,在第一获取模块100获取待检测代码的至少一个图标文件之前,可先由第三获取模块400获取待检测代码的特性内容(如特征码等)和/或行为特性信息(如修改关键文件、控制进程等)。
查找模块500用于在预设的特性内容和/或行为特性信息样本库中查找待检测代码的特性内容和/或行为特性信息。其中,特性信息样本库包含恶意代码样本及恶意代码样本的特性内容和/或行为特性信息。
判断模块300还用于在预设的特性内容和/或行为特性信息样本库中查找到待检测代码的特性内容和/或行为特性信息,则判断待检测代码为恶意代码。更具体地,如果查找模块500在预设的特性内容和/或行为特性信息样本库中查找到待检测代码的特性内容和/或行为特性信息,则判断模块300判断待检测代码为恶意代码,反之,如果查找模块500在预设的特性内容和/或行为特性信息样本库中没有查找到待检测代码的特性内容和/或行为特性信息,则第一获取模块100获取待检测代码的至少一个图标文件,以进一步判断当前文件是否为已知同类家族的恶意代码或其更新文件。由此,本发明实施例的恶意代码的检测装置,通过先根据待检测代码的特性内容和/或行为特性信息进行检测,再将无法识别的代码根据第一摘要信息和第二摘要信息以进一步检测,提高了检测效率,利用模糊哈希值检测的优势,提高识别效率。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”、“顺时针”、“逆时针”、“轴向”、“径向”、“周向”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
在本发明中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或成一体;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通或两个元件的相互作用关系。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
在本发明中,除非另有明确的规定和限定,第一特征在第二特征“上”或“下”可以是第一和第二特征直接接触,或第一和第二特征通过中间媒介间接接触。而且,第一特征在第二特征“之上”、“上方”和“上面”可是第一特征在第二特征正上方或斜上方,或仅仅表示第一特征水平高度高于第二特征。第一特征在第二特征“之下”、“下方”和“下面”可以是第一特征在第二特征正下方或斜下方,或仅仅表示第一特征水平高度小于第二特征。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (10)
1.一种恶意代码的检测方法,其特征在于,包括:
获取待检测代码的至少一个图标文件;
获取所述至少一个图标文件的第一摘要信息;以及
根据所述至少一个图标文件的第一摘要信息判断所述待检测代码是否为恶意代码。
2.根据权利要求1所述的恶意代码的检测方法,其特征在于,所述根据至少一个图标文件的第一摘要信息判断所述待检测代码是否为恶意代码包括:
在第一预设样本库中查找所述至少一个图标文件的第一摘要信息;以及
如果在所述第一预设样本库中查找到所述至少一个图标文件的第一摘要信息,则判断所述待检测代码为恶意代码。
3.根据权利要求2所述的恶意代码的检测方法,其特征在于,还包括:
如果在所述第一预设样本库中未查找到所述至少一个图标文件的第一摘要信息,则进一步获取所述至少一个图标文件的第二摘要信息,其中,所述第一摘要信息基于所述图标文件生成,所述第二摘要信息基于所述图标文件的分片内容生成;以及
根据所述至少一个图标文件的第二摘要信息判断所述待检测代码是否为恶意代码。
4.根据权利要求3所述的恶意代码的检测方法,其特征在于,所述根据至少一个图标文件的第二摘要信息判断所述待检测代码是否为恶意代码包括:
获取第二预设样本库中预设摘要信息与所述至少一个图标文件的第二摘要信息的相似度;以及
如果存在所述相似度超过预设值的所述预设摘要信息,则判断所述待检测代码为恶意代码。
5.根据权利要求1至4中任一项所述的恶意代码的检测方法,其特征在于,在所述获取待检测代码的至少一个图标文件之前,还包括:
获取所述待检测代码的特性内容和/或行为特性信息;
在预设的特性内容和/或行为特性信息样本库中查找所述待检测代码的特性内容和/或行为特性信息;以及
如果在所述预设的特性内容和/或行为特性信息样本库中查找到所述待检测代码的特性内容和/或行为特性信息,则判断所述待检测代码为恶意代码。
6.一种恶意代码的检测装置,其特征在于,包括:
第一获取模块,用于获取待检测代码的至少一个图标文件;
第二获取模块,用于获取所述至少一个图标文件的第一摘要信息;以及
判断模块,用于根据所述至少一个图标文件的第一摘要信息判断所述待检测代码是否为恶意代码。
7.根据权利要求6所述的恶意代码的检测装置,其特征在于,所述判断模块包括:
查找单元,用于在第一预设样本库中查找所述至少一个图标文件的第一摘要信息;以及
第一判断单元,用于在所述第一预设样本库中查找到所述至少一个图标文件的第一摘要信息时,判断所述待检测代码为恶意代码。
8.根据权利要求7所述的恶意代码的检测装置,其特征在于,所述判断模块还包括:
获取单元,用于在所述第一预设样本库中未查找到所述至少一个图标文件的第一摘要信息时,进一步获取所述至少一个图标文件的第二摘要信息,其中,所述第一摘要信息基于所述图标文件生成,所述第二摘要信息基于所述图标文件的分片内容生成;以及
第二判断单元,用于根据所述至少一个图标文件的第二摘要信息判断所述待检测代码是否为恶意代码。
9.根据权利要求8所述的恶意代码的检测装置,其特征在于,所述第二判断单元包括:
获取子单元,用于获取第二预设样本库中预设摘要信息与所述至少一个图标文件的第二摘要信息的相似度;以及
判断子单元,用于存在所述相似度超过预设值的所述预设摘要信息时,判断所述待检测代码为恶意代码。
10.根据权利要求6至9中任一项所述的恶意代码的检测装置,其特征在于,还包括:
第三获取模块,用于获取所述待检测代码的特性内容和/或行为特性信息;
查找模块,用于在预设的特性内容和/或行为特性信息样本库中查找所述待检测代码的特性内容和/或行为特性信息;以及
所述判断模块还用于在所述预设的特性内容和/或行为特性信息样本库中查找到所述待检测代码的特性内容和/或行为特性信息,则判断所述待检测代码为恶意代码。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410040500.8A CN103761483A (zh) | 2014-01-27 | 2014-01-27 | 恶意代码的检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410040500.8A CN103761483A (zh) | 2014-01-27 | 2014-01-27 | 恶意代码的检测方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103761483A true CN103761483A (zh) | 2014-04-30 |
Family
ID=50528719
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410040500.8A Pending CN103761483A (zh) | 2014-01-27 | 2014-01-27 | 恶意代码的检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103761483A (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104751058A (zh) * | 2015-03-16 | 2015-07-01 | 联想(北京)有限公司 | 一种文件扫描方法及电子设备 |
CN104991893A (zh) * | 2014-11-06 | 2015-10-21 | 哈尔滨安天科技股份有限公司 | 一种启发式自解压包和安装包检测方法及*** |
CN105488084A (zh) * | 2014-12-24 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 基于树同构的软件安装包分类方法及*** |
CN105488394A (zh) * | 2014-12-27 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 一种面向蜜罐***进行入侵行为识别和分类的方法及*** |
CN106453320A (zh) * | 2016-10-14 | 2017-02-22 | 北京奇虎科技有限公司 | 恶意样本的识别方法及装置 |
WO2018054217A1 (zh) * | 2016-09-21 | 2018-03-29 | 中国科学院信息工程研究所 | 一种摘要生成与网络流量检测的方法、***及设备 |
CN108073815A (zh) * | 2017-12-29 | 2018-05-25 | 哈尔滨安天科技股份有限公司 | 基于代码切片的家族判定方法、***及存储介质 |
CN108171054A (zh) * | 2016-12-05 | 2018-06-15 | 中国科学院软件研究所 | 一种针对社交欺骗的恶意代码的检测方法及*** |
CN105224870B (zh) * | 2015-09-15 | 2019-04-26 | 百度在线网络技术(北京)有限公司 | 可疑病毒应用上传的方法和装置 |
CN113032783A (zh) * | 2021-03-11 | 2021-06-25 | 北京顶象技术有限公司 | 一种基于非代码特征的病毒检测方法和*** |
CN113609246A (zh) * | 2021-08-04 | 2021-11-05 | 上海犇众信息技术有限公司 | 一种网页相似性检测方法及*** |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101887457A (zh) * | 2010-07-02 | 2010-11-17 | 杭州电子科技大学 | 基于内容的复制图像检测方法 |
CN102222199A (zh) * | 2011-06-03 | 2011-10-19 | 奇智软件(北京)有限公司 | 应用程序身份识别方法及*** |
CN102622366A (zh) * | 2011-01-28 | 2012-08-01 | 阿里巴巴集团控股有限公司 | 相似图像的识别方法和装置 |
CN102768717A (zh) * | 2012-06-29 | 2012-11-07 | 腾讯科技(深圳)有限公司 | 恶意文件检测的方法及装置 |
CN102811213A (zh) * | 2011-11-23 | 2012-12-05 | 北京安天电子设备有限公司 | 基于模糊哈希算法的恶意代码检测***及方法 |
CN102902915A (zh) * | 2012-09-29 | 2013-01-30 | 北京奇虎科技有限公司 | 对文件行为特征进行检测的*** |
CN102930200A (zh) * | 2012-09-29 | 2013-02-13 | 北京奇虎科技有限公司 | 进程识别方法、装置和终端设备 |
CN103336890A (zh) * | 2013-06-08 | 2013-10-02 | 东南大学 | 一种快速计算软件相似度的方法 |
-
2014
- 2014-01-27 CN CN201410040500.8A patent/CN103761483A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101887457A (zh) * | 2010-07-02 | 2010-11-17 | 杭州电子科技大学 | 基于内容的复制图像检测方法 |
CN102622366A (zh) * | 2011-01-28 | 2012-08-01 | 阿里巴巴集团控股有限公司 | 相似图像的识别方法和装置 |
CN102222199A (zh) * | 2011-06-03 | 2011-10-19 | 奇智软件(北京)有限公司 | 应用程序身份识别方法及*** |
CN102811213A (zh) * | 2011-11-23 | 2012-12-05 | 北京安天电子设备有限公司 | 基于模糊哈希算法的恶意代码检测***及方法 |
CN102768717A (zh) * | 2012-06-29 | 2012-11-07 | 腾讯科技(深圳)有限公司 | 恶意文件检测的方法及装置 |
CN102902915A (zh) * | 2012-09-29 | 2013-01-30 | 北京奇虎科技有限公司 | 对文件行为特征进行检测的*** |
CN102930200A (zh) * | 2012-09-29 | 2013-02-13 | 北京奇虎科技有限公司 | 进程识别方法、装置和终端设备 |
CN103336890A (zh) * | 2013-06-08 | 2013-10-02 | 东南大学 | 一种快速计算软件相似度的方法 |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104991893A (zh) * | 2014-11-06 | 2015-10-21 | 哈尔滨安天科技股份有限公司 | 一种启发式自解压包和安装包检测方法及*** |
CN105488084A (zh) * | 2014-12-24 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 基于树同构的软件安装包分类方法及*** |
CN105488394A (zh) * | 2014-12-27 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 一种面向蜜罐***进行入侵行为识别和分类的方法及*** |
CN105488394B (zh) * | 2014-12-27 | 2018-06-12 | 哈尔滨安天科技股份有限公司 | 一种面向蜜罐***进行入侵行为识别和分类的方法及*** |
CN104751058A (zh) * | 2015-03-16 | 2015-07-01 | 联想(北京)有限公司 | 一种文件扫描方法及电子设备 |
CN104751058B (zh) * | 2015-03-16 | 2018-08-31 | 联想(北京)有限公司 | 一种文件扫描方法及电子设备 |
CN105224870B (zh) * | 2015-09-15 | 2019-04-26 | 百度在线网络技术(北京)有限公司 | 可疑病毒应用上传的方法和装置 |
WO2018054217A1 (zh) * | 2016-09-21 | 2018-03-29 | 中国科学院信息工程研究所 | 一种摘要生成与网络流量检测的方法、***及设备 |
CN106453320A (zh) * | 2016-10-14 | 2017-02-22 | 北京奇虎科技有限公司 | 恶意样本的识别方法及装置 |
CN106453320B (zh) * | 2016-10-14 | 2019-06-18 | 北京奇虎科技有限公司 | 恶意样本的识别方法及装置 |
CN108171054A (zh) * | 2016-12-05 | 2018-06-15 | 中国科学院软件研究所 | 一种针对社交欺骗的恶意代码的检测方法及*** |
CN108073815A (zh) * | 2017-12-29 | 2018-05-25 | 哈尔滨安天科技股份有限公司 | 基于代码切片的家族判定方法、***及存储介质 |
CN108073815B (zh) * | 2017-12-29 | 2022-02-15 | 安天科技集团股份有限公司 | 基于代码切片的家族判定方法、***及存储介质 |
CN113032783A (zh) * | 2021-03-11 | 2021-06-25 | 北京顶象技术有限公司 | 一种基于非代码特征的病毒检测方法和*** |
CN113032783B (zh) * | 2021-03-11 | 2024-03-19 | 北京顶象技术有限公司 | 一种基于非代码特征的病毒检测方法和*** |
CN113609246A (zh) * | 2021-08-04 | 2021-11-05 | 上海犇众信息技术有限公司 | 一种网页相似性检测方法及*** |
CN113609246B (zh) * | 2021-08-04 | 2024-04-12 | 奇安盘古(上海)信息技术有限公司 | 一种网页相似性检测方法及*** |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103761483A (zh) | 恶意代码的检测方法及装置 | |
US9621571B2 (en) | Apparatus and method for searching for similar malicious code based on malicious code feature information | |
KR101337874B1 (ko) | 파일 유전자 지도를 이용하여 파일의 악성코드 포함 여부를 판단하는 방법 및 시스템 | |
KR101383010B1 (ko) | 안드로이드 운영체제에서 apk 파일의 시그니처 추출 방법, 그리고 이를 위한 컴퓨터로 판독가능한 기록매체 | |
KR101472321B1 (ko) | 이동단말의 어플리케이션 내 악성코드 탐지 방법 및 시스템 | |
US20120159625A1 (en) | Malicious code detection and classification system using string comparison and method thereof | |
CN103020521B (zh) | 木马扫描方法及*** | |
KR102317833B1 (ko) | 악성 코드 탐지 모델 학습 방법 및 이를 이용한 탐지 방법 | |
KR101138748B1 (ko) | 악성 코드 차단 장치, 시스템 및 방법 | |
CN102592080A (zh) | flash恶意文件检测方法及装置 | |
CN110071924B (zh) | 基于终端的大数据分析方法及*** | |
CN102819723A (zh) | 一种恶意二维码检测方法和*** | |
CN109543408A (zh) | 一种恶意软件识别方法和*** | |
CN105718795A (zh) | Linux下基于特征码的恶意代码取证方法及*** | |
CN106709350B (zh) | 一种病毒检测方法及装置 | |
CN105791250B (zh) | 应用程序检测方法及装置 | |
KR101605783B1 (ko) | 악성 애플리케이션 탐지 방법 및 이 방법을 실행시키는 컴퓨터프로그램 | |
JP6880891B2 (ja) | マルウェア判定方法、マルウェア判定装置及びマルウェア判定プログラム | |
CN110135326B (zh) | 一种身份认证方法、电子设备及计算机可读存储介质 | |
CN105138918A (zh) | 一种安全文件的识别方法及装置 | |
CN111488621A (zh) | 一种篡改网页检测方法、***及电子设备和存储介质 | |
KR102086749B1 (ko) | 텍스트 마이닝을 이용한 안드로이드 실행 파일의 유사도 측정 시스템 및 방법 | |
CN113901459B (zh) | 固件内部二进制程序脆弱性发现方法及装置 | |
CN109670305A (zh) | 一种病毒文件识别方法 | |
JP6591832B2 (ja) | ソフトウェア改ざん検知システム、及びネットワークセキュリティシステム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140430 |
|
RJ01 | Rejection of invention patent application after publication |