[发明专利]恶意程序检测方法及装置

权利要求书

1.一种恶意程序检测方法，其特征在于，包括：

获取待检测程序，提取所述待检测程序的特征；

根据所述待检测程序的特征和预先获得的特征库，确定所述待检测程序对应的特征向量；

利用训练好的分类器对所述特征向量进行检测，以确定所述待检测程序是否为恶意程序。

2.根据权利要求1所述的方法，其特征在于，提取所述待检测程序的特征，包括：

提取所述待检测程序的操作码，根据所述操作码确定所述待检测程序的特征。

3.根据权利要求1所述的方法，其特征在于，根据所述待检测程序的特征和预先获得的特征库，确定所述待检测程序对应的特征向量，包括：

在所述待检测程序的多个特征中，逐一查找所述特征库中的每个特征；

当查找到所述特征库中的特征时，将所述特征库中被查找到的特征标记为第一预设值，否则，将所述特征库中未被查找到的特征标记为第二预设值；

根据所述特征库中各个特征的标记结果和各个特征的排列顺序，确定所述待检测程序对应的特征向量。

4.根据权利要求1至3中任一项所述的方法，其特征在于，所述特征库通过以下方法获得：

获取满足预设样本要求的程序样本，提取所述程序样本的特征，其中，所述程序样本包括正常样本和恶意样本；

对所述程序样本的特征进行筛选，得到分类效果满足预设分类要求的特征；

将所述分类效果满足预设分类要求的特征进行组合，得到所述特征库。

5.根据权利要求4所述的方法，其特征在于，所述分类器通过以下方式训练：

根据所述程序样本的特征和所述特征库，确定所述程序样本对应的特征向量；

根据所述程序样本对应的特征向量对所述分类器进行训练。

6.一种恶意程序检测装置，其特征在于，包括：

特征提取模块，用于获取待检测程序，提取所述待检测程序的特征；

特征向量确定模块，用于根据所述待检测程序的特征和预先获得的特征库，确定所述待检测程序对应的特征向量；

检测模块，用于利用训练好的分类器对所述特征向量进行检测，以确定所述待检测程序是否为恶意程序。

7.根据权利要求6所述的装置，其特征在于，所述特征提取模块具体用于：

提取所述待检测程序的操作码，根据所述操作码确定所述待检测程序的特征。

8.根据权利要求6所述的装置，其特征在于，所述特征向量确定模块包括：

特征查找单元，用于在所述待检测程序的多个特征中，逐一查找所述特征库中的每个特征；

标记单元，用于当所述特征查找单元查找到所述特征库中的特征时，将所述特征库中被查找到的特征标记为第一预设值，否则，将所述特征库中未被查找到的特征标记为第二预设值；

第一确定单元，用于根据所述特征库中各个特征的标记结果和各个特征的排列顺序，确定所述待检测程序对应的特征向量。

9.根据权利要求6至8中任一项所述的装置，其特征在于，所述装置还包括特征库建立模块，所述特征库建立模块包括：

特征提取单元，用于获取满足预设样本要求的程序样本，提取所述程序样本的特征，其中，所述程序样本包括正常样本和恶意样本；

特征筛选单元，用于对所述程序样本的特征进行筛选，得到分类效果满足预设分类要求的特征；

特征库建立单元，用于将所述分类效果满足预设分类要求的特征进行组合，得到所述特征库。

10.根据权利要求9所述的装置，其特征在于，所述装置还包括训练模块，所述训练模块包括：

第二确定单元，用于根据所述程序样本的特征和所述特征库，确定所述程序样本对应的特征向量；

训练单元，用于根据所述程序样本对应的特征向量对所述分类器进行训练。