[发明专利]基于文件静态结构属性的恶意软件检测新方法

权利要求书

1.一种基于文件静态结构属性的恶意软件检测方法，其特征是：

检测模型分为2个阶段：训练阶段和检测阶段；训练阶段用于完成分类器的 构建；而检测阶段用于完成恶意软件的检测；

在训练阶段，首先提取文件样本静态结构属性；接着进行数据预处理工作， 使用数据挖掘的属性选择过滤算法对属性进行选择过滤，剩下具有很好区分度的 属性，然后使用这些数据来训练分类器，训练好的分类器用作区分恶意软件和正 常文件；所述文件是PE文件或ELF文件；

在检测阶段，根据训练阶段数据预处理过滤得到的静态结构属性，提取待检 测文件的相应结构属性，使用训练阶段训练好的分类器，对待检测文件进行分类， 得到是恶意软件或是正常文件的结果；

所述文件为PE文件；所述PE文件样本静态结构属性，选定为182个，具体 如下：

引用的动态链接库73个：具体是：ADVAP132.DLL,AWFAXP32.DLL, AWFXAB32.DLL,AWPWD32.DLL,AWRESX32.DLL,AWUTIL32.DLL,BHNETB.DLL, BHSUPP.DLL,CCAPI.DLL,CCEI.DLL,CCPSH.DLL,CCTN20.DLL,CMC.DLL, COMCTL32.DLL,COMDLG32.DLL,CRTDLL.DLL,DCIMAN.DLL,DCIMAN32.DLL, DSKMAINT.DLL,GDI32.DLL,GROUPPOL.DLL,HYPERTERM.DLL,KERNL32.DLL, LZ32.DLL,MAPI.DLL,MAPI32.DLL,MFC30.DLL,MPR.DLL,MSPST32.DLL, MSFS32.DLL,MSNDUI.DLL,MSNET32.DLL,MSSHRUI.DLL,MSVIEWUT.DLL, NAL.DLL,NDIS30.DLL,NETAPI.DLL,NETAPI32.DLL,NETBIOS.DLL, NETDI.DLL,NETSETUP.DLL,NWAB32.DLL,NWNET32.DLL,NWNP32.DLL, OLEDLG.DLL,POWERCFG.DLL,RASPI.DLL,RASAPI16.DLL,RASAPI32.DLL, RPCRT4.DLL,RPCLTC1.DLL,RPCTLC3.DLL,RPCTLC5.DLL,RPCTLC6.DLL, RPCTLS3.DLL,RPCTLS5.DLL,RPCTLS6.DLL,RPCNS4.DLL,RSRC32.DLL, SAPNSP.DLL,SECUR32.DLL,SHELL32.DLL,SLENH.DLL,SHLWAPI.DLL, UMDM32.DLL,USER32.DLL,VERSION.DLL,WININET.DLL,WINMM.DLL, WINREG.DLL,WINSOCK.DLL,WS2_32.DLL,WSOCK32.DLL；

Dos部首一个：即e_lfanew；

IMAGE_FILE_HEADER：选择了该部分的所有7个属性；

IMAGE_OPTIONAL_HEADER32：选择了该部分的所有30个属性；

数据目录表：选择了所有八个目录表中每个目录表的虚拟地址和大小两个属 性，共16个属性；

.text头部：选择了该部分的所有11个属性；

.data头部：选择了该部分的所有11个属性；

.rsrc头部：选择了该部分的所有11个属性；

资源目录表：选择了该部分的所有22个属性；

在训练阶段：

a）获取训练样本：应获取足够多的训练样本，训练样本分为恶意软件样本和 正常文件样本；

b）从训练样本文件中提取每个文件的182个静态结构属性，得到训练样本集；

c）使用WEAK数据挖掘软件的有监督属性属性过滤方法CfsSubsetEval对182 个静态结构属性过滤，过滤后得到的静态结构属性为：SECUR32.DLL， SHLWAPI.DLL，ImageBase，CheckSum，SizeOfStackReserve， IMAGE_DIRECTORY_ENTRY_SECURITY.Size,IMAGE_DIRECTORY_ENTRY_DEBUG.Size, text.PointerToRelocations,rsrc.Characteristics,RT_MESSAGETABLE, RT_GROUP_ICON,RT_VERSION共12个；

d）、使用WEAK数据挖掘软件的四种分类算法J48，BFTree，IBk，AdboostM1 来训练四种分类器；

在检测阶段：

e）对待检测的PE文件，按训练阶段c)中过滤选择后的12个静态结构属性提 取特征；

f）使用训练阶段d)中训练好的任一分类器，根据e）中的12个属性进行分 类，分类结果即为恶意软件或正常文件；

所述文件为ELF文件；所述ELF文件样本的静态结构属性选定为8个，具体 如下：

ELF header20个：选取除四个魔数即Magic Number以外的所有20个属性；

text.header8个：选取该部分头部的所有8个属性；

data.header8个：选取该部分头部的所有8个属性；

bss.header8个：选取该部分头部的所有8个属性；

SHT_DYNSYM.header9个：选取该部分头部的所有8个属性和所包括的子项的 个数共9个属性；

PT_LOAD1.header7个：选取头部的所有7个属性；

PT_LOAD2.header7个：选取头部的所有7个属性；

PT_INTERP.header7个：选取头部的所有7个属性；

PT_SHLIB.header7个：选取头部的所有7个属性；

在训练阶段：

a）获取训练样本：应获取足够多的训练样本，训练样本分为恶意软件样本和 正常文件样本；

b）从训练样本文件中提取每个文件的81个静态结构属性，得到训练样本集；

c）使用WEAK数据挖掘软件的有监督属性过滤方法CfsSubsetEval对81个静 态结构属性选择过滤，选择过滤后得到的静态结构属性为：header.e_phnum, header.e_shnum,SHT_DYNSYM.header.sh_link,PT_LOAD1.header.p_vaddr, PT_LOAD2.header.p_offset共5个；

d）使用WEAK数据挖掘软件的四种分类算法J48，BFTree，IBk，AdboostM1 来训练四种分类器；

在检测阶段：

e）对待检测的ELF文件，按训练阶段c)中过滤选择后的5个静态结构属性提 取特征；

f）使用训练阶段d)中训练好的任一分类器，根据检测阶段e）中的5个属性 进行分类，分类结果即为恶意软件或正常文件。