[发明专利]使用静态分析元素检测恶意文件的系统和方法

权利要求书

1.一种用于确定电子文件是否是恶意的方法，所述方法包括：

从所述电子文件提取多个资源，提取的所述多个资源包括以下中的至少一者：图标资源、清单资源、对话框资源、游标资源、菜单资源、位图资源和字符串资源；

使用人造神经网络形成至少一个第一规则，所述至少一个第一规则在提取的所述多个资源之间建立函数相关性，其中，提取的所述多个资源是所述人造神经网络的节点，形成的所述至少一个第一规则包括在所述图标资源、所述清单资源和所述对话框资源中的至少两个资源之间建立函数相关性的规则；

在恶意文件资源的数据库中，基于形成的所述第一规则，识别至少一个第二规则；

通过计算形成的所述至少一个第一规则与识别的所述至少一个第二规则之间的相似度，将形成的所述至少一个第一规则与识别的所述至少一个第二规则进行比较；以及

当计算的所述相似度超过预定的阈值时，确定所述电子文件为恶意文件。

2.根据权利要求1所述的方法，还包括执行检测所述恶意文件以及隔离所述恶意文件中的至少一者。

3.根据权利要求1所述的方法，其中，从所述电子文件提取所述多个资源还包括提取以下的至少一者：与用于创建所述电子文件的开发环境有关的数据、与打包所述电子文件的软件应用程序有关的数据以及所述电子文件的数字签名。

4.根据权利要求1所述的方法，还包括：

计算提取的所述多个资源中的所述至少一者的散列和；以及

在所述恶意文件资源的数据库中，基于计算的所述散列和识别所述至少一个第二规则。

5.根据权利要求1所述的方法，其中，形成所述至少一个第一规则包括：创建提取的所述多个资源的人造神经网络，其中，创建的所述人造神经网络的节点表示提取的所述多个资源的分析，并且所述节点之间的链接指示提取的所述多个资源之间的所述函数相关性。

6.根据权利要求1所述的方法，还包括：在所述恶意文件资源的数据库中，基于提取的所述多个资源之间的所述函数相关性识别所述至少一个第二规则。

7.根据权利要求1所述的方法，还包括：

基于利用形成的所述至少一个第一规则的提取的所述多个资源的所述函数相关性与识别的所述至少一个第二规则的提取的所述多个资源中的所述至少一者之间的判别分析的模式识别，计算形成的所述至少一个第一规则与识别的所述至少一个第二规则之间的所述相似度。

8.一种用于确定电子文件是否是恶意的系统，所述系统包括：

至少一个数据库，所述至少一个数据库存储与多个恶意文件资源相关联的多个规则；和

至少一个处理器，所述至少一个处理器配置成：

从所述电子文件提取多个资源，提取的所述多个资源包括以下中的至少一者：图标资源、清单资源、对话框资源、游标资源、菜单资源、位图资源和字符串资源；

使用人造神经网络形成至少一个第一规则，所述至少一个第一规则在提取的所述多个资源之间建立函数相关性，其中，提取的所述多个资源是所述人造神经网络的节点，形成的所述至少一个第一规则包括在所述图标资源、所述清单资源和所述对话框资源中的至少两个资源之间建立函数相关性的规则；

在所述至少一个数据库中识别存储的所述多个规则中的至少一个第二规则，其中，识别的所述至少一个第二规则基于形成的所述第一规则；

通过计算形成的所述至少一个第一规则与识别的所述至少一个第二规则之间的相似度，将形成的所述至少一个第一规则与识别的所述至少一个第二规则进行比较；以及

当计算的所述相似度超过预定的阈值时，确定所述电子文件为恶意文件。

9.根据权利要求8所述的系统，其中，所述至少一个处理器还配置成检测所述恶意文件以及隔离所述恶意文件。