[发明专利]一种检测恶意软件的方法及装置

说明书

本发明公开一种检测恶意软件的方法及装置，涉及通信网络技术领域，以解决因样本特征库的更新滞后性，导致无法对勒索软件进行有效检测的问题。所述方法包括：计算目标目录下每个被目标软件操作后的诱饵文件的特征值，诱饵文件为用于检测恶意软件的文件；将每个被目标软件操作后的诱饵文件的特征值组成目标特征值序列；将目标特征值序列与原始特征值序列进行比较，原始特征值序列为每个未被操作的诱饵文件的特征值所组成的特征值序列；若确定目标特征值序列与原始特征值序列一致，则确定目标软件为恶意软件。本发明提供的方案适于检测恶意软件时采用。

技术领域

本发明涉及通信网络技术领域，尤其涉及一种检测恶意软件的方法及装置。

背景技术

在开放式网络环境下，恶意软件越来越盛行，其中，在各种恶意软件中，勒索软件占据了很大比例。当终端感染勒索软件之后，勒索软件会加密终端中文件，从而导致用户无法使用被加密的文件。

目前，典型的检测和阻止勒索软件的方案是基于勒索软件的样本库。在这种方案中，杀毒软件厂商需对大量的勒索软件和其变种软件进行分析，并提取这些软件的样本特征，建立样本特征库。在勒索软件或其变种软件对用户的文件进行加密操作时，终端会将勒索软件或其变种软件的加密操作特征与样本特征库中的特征进行比对，若勒索软件或其变种软件的加密操作特征与样本特征库中的某一特征匹配，则终端能够确定进行加密操作的软件为勒索软件。

但是，一旦出现更新的勒索软件或者已有勒索软件发生变种，则由于样本特征库的更新滞后性(来不及将更新后的样本特征添加进内存中)，导致勒索软件或其变种软件的加密操作特征在样本特征库中没有匹配的项，因此，终端无法确定进行加密操作的软件为勒索软件，进而无法对勒索软件进行有效的检测。

发明内容

本发明实施例提供一种检测恶意软件的方法及装置，用于解决因样本特征库的更新滞后性，导致无法对勒索软件进行有效检测的问题。

为达到上述目的，本发明采用如下技术方案：

一种检测恶意软件的方法，包括：

计算目标目录下每个被目标软件操作后的诱饵文件的特征值，所述诱饵文件为用于检测恶意软件的文件；

将每个被所述目标软件操作后的诱饵文件的特征值组成目标特征值序列；

将所述目标特征值序列与原始特征值序列进行比较，所述原始特征值序列为每个未被操作的诱饵文件的特征值所组成的特征值序列；

若确定所述目标特征值序列与所述原始特征值序列一致，则确定所述目标软件为恶意软件。

一种检测恶意软件的装置，包括：

计算单元，用于计算目标目录下每个被目标软件操作后的诱饵文件的特征值，所述诱饵文件为用于检测恶意软件的文件；

组成单元，用于将每个被所述目标软件操作后的诱饵文件的特征值组成目标特征值序列；

比较单元，用于将所述目标特征值序列与原始特征值序列进行比较，所述原始特征值序列为每个未被操作的诱饵文件的特征值所组成的特征值序列；

确定单元，用于若确定所述目标特征值序列与所述原始特征值序列一致，则确定所述目标软件为恶意软件。