[发明专利]恶意程序检测方法及扫描引擎

说明书

技术领域

本申请涉及网络病毒查杀技术领域，特别是涉及一种恶意程序检测方法及扫描引擎。

背景技术

恶意程序通常是指带有攻击意图的一段程序，属于病毒的一种，是编制者在计算机程序中插入破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

目前，对恶意程序的识别方法，通常有以下几种：

（一）根据文件本身代码或数据段的特征，采用特征码的方式

这是传统杀毒引擎的常用方式，根据已经发现的病毒的样本，如果有壳，需要先脱壳，然后有专业人员抽取特征码，并入病毒特征库。杀毒时，用病毒库中的标本去对照机器中的所有程序或文件，看是不是符合这些标本，是则是病毒，否则就不一定是病毒。这是传统杀毒软件的技术机制，比如卡巴斯基，NOD32，小红伞，瑞星，360的AVE引擎等等。

（二）机器学习的方式

先准备病毒样本和正常程序样本，然后利用人工智能的方法，通过学习病毒样本和正常程序样本，产生一个模型，然后利用模型去判断未知程序是否为恶意程序。这是一种比较新颖的杀毒机制，目前已被应用的有360的QVM引擎。

（三）采用其他复杂规则

根据病毒木马的行为特点，比如写启动项，往系统文件目录下写文件等等，总结出一些规律，然后判断用户的机器上哪些程序符合这些规律，然后报毒。比如360的木马云查杀引擎。

（四）根据程序的行为规则

根据恶意程序的行为规则，先总结规律。然后实时监控待运行程序的行为，一旦符合预设规则，则立即停止其运行。比如360的实时云防御系统。

然而，上述恶意程序识别方法中，方法一和方法二不能解决未知木马病毒的问题，并且，对于已知的木马病毒，需要具备相关专业技能专业人员才能分析和提取特征码；而方法三和方法四也需要具备相关专业技能专业人员总结规则，并且，在总结出一个规则后，要先小范围的用户试用，否则容易产生大面积的误报。

可见，现有方法要么无法查杀未知恶意程序，要么查杀实现复杂、实现效率低，不管哪种方法，均无法实现恶意程序的有效查杀。

发明内容

本申请提供了一种恶意程序检测方法及扫描引擎，以解决现有恶意程序查杀方案或者无法查杀未知恶意程序，或者查杀实现复杂、实现效率低，均无法实现恶意程序有效查杀的问题。

为了解决上述问题，本申请公开了一种恶意程序检测方法，包括：从恶意程序样本和正常程序样本中获取文件信息，其中，所述文件信息包括文件名和文件路径；使用特征选择算法对获取的所述文件信息进行特征提取；根据所述特征提取所提取的特征数据，使用机器学习算法生成特征模型；使用所述特征模型检测恶意程序，对检测到的所述恶意程序进行处理。

优选地，所述文件信息还包括以下至少之一：文件资源段信息、文件版权信息、文件时间戳信息、文件长度信息。

优选地，所述使用特征选择算法对获取的所述文件信息进行特征提取的步骤包括：使用卡方检验或信息增益法，对获取的所述文件信息进行特征提取。

优选地，所述根据所述特征提取所提取的特征数据，使用机器学习算法生成特征模型的步骤包括：根据所述特征提取所提取的特征数据，使用支持向量机SVM算法或逻辑回归法生成特征模型。

优选地，在所述使用所述特征模型检测恶意程序的步骤之前，还包括：使用查杀引擎进行恶意程序检测；所述使用所述特征模型检测恶意程序，对检测到的所述恶意程序进行处理的步骤包括：对所述查杀引擎检测出的恶意程序，使用所述特征模型进行恶意程序检测，并对检测到的所述恶意程序进行处理。

为了解决上述问题，本申请还公开了一种扫描引擎，包括：获取模块，用于从恶意程序样本和正常程序样本中获取文件信息，其中，所述文件信息包括文件名和文件路径；特征提取模块，用于使用特征选择算法对获取的所述文件信息进行特征提取；特征模型建立模块，用于根据所述特征提取所提取的特征数据，使用机器学习算法生成特征模型；检测模块，用于使用所述特征模型检测恶意程序，对检测到的所述恶意程序进行处理。

优选地，所述文件信息还包括以下至少之一：文件资源段信息、文件版权信息、文件时间戳信息、文件长度信息。

优选地，所述特征提取模块，用于使用卡方检验或信息增益法，对获取的所述文件信息进行特征提取。

优选地，特征模型建立模块，用于根据所述特征提取模块提取的特征数据，使用支持向量机SVM算法或逻辑回归法生成特征模型。