[发明专利]使用静态分析元素检测恶意文件的系统和方法

说明书

本发明涉及使用静态分析元素检测恶意文件的系统和方法。具体提供了一种用于确定电子文件是否是恶意的系统和方法。示例性的方法包括：从电子文件提取资源；形成第一规则，该第一规则在提取的多个资源之间建立函数相关性；在恶意文件资源的数据库中识别第二规则，该第二规则与提取的多个资源中的一个或多个相关联，将形成的所述第一规则与识别的所述第二规则进行比较，以计算第一规则与第二规则之间的相似度；以及当所计算的相似度超过预定的阈值时，确定电子文件为恶意文件。

技术领域

本发明总体涉及防病毒技术，并且更具体地，涉及使用静态分析元素检测恶意文件的系统和方法。

背景技术

计算机技术近十年来的快速发展以及各种计算设备(个人计算机、笔记本电脑、平板电脑、智能手机等)的广泛使用已经成为在各种活动领域中使用这些设备并解决大量问题(从因特网冲浪到银行转账和电子档案)的强大动力。与在这些设备上运行的计算设备和软件的数量增长并行，恶意程序的数量也已以快节奏增长。

目前，存在巨大量的种类的恶意程序。一些恶意程序从用户设备窃取个人机信息和机密信息(诸如登录名和密码、银行信息、电子文件)。其它恶意程序将用户设备转变成所谓的僵尸网络进行攻击(诸如分布式拒绝服务(DDOS)攻击)，或者在其它计算机或计算机网络上通过穷举法挑选出密码。另外的恶意程序通过侵入性广告、付费订阅、向长途号码发送SMS等提供付费内容。

专用程序或者防病毒的程序用于处理恶意程序，其包括检测恶意程序，预防感染并修复被恶意程序感染的计算机系统。

防病毒程序使用不同的技术来检测一系列的恶意程序，诸如：

·静态分析——分析有害程序，包括基于组成被分析的程序的文件中包含的数据，启动或仿真被分析的程序的工作，在此期间，可以采用统计分析；

·签名分析——搜索被分析的程序的特定的代码段与来自恶意程序的签名数据库的已知代码(签名)的对应性；

·白名单和黑名单——在恶意程序的校验和的数据库(黑名单)中或在安全程序的校验和的数据库(白名单)中搜索被分析的程序(或者其一部分)的计算的校验和；

·动态分析——基于在执行或仿真被分析的程序的工作的过程中获得的数据，分析有害程序，在此期间，可以采用动态分析；

·启发式分析—仿真被分析的程序的工作，创建仿真日志(包含关于API函数调用的数据、发送的参数、被分析的程序的代码段等等)，以及搜索来自创建的日志的数据与来自恶意程序的仿真签名的数据库的数据的对应性；

·主动防御——拦截被分析的已启动的程序的API函数调用，创建关于被分析的程序的工作的日志(包含关于API函数调用的数据、发送的参数、被分析的程序的代码段等等)，以及搜索来自创建的日志的数据与来自恶意程序的调用数据库的数据的对应性。

静态分析和动态分析均具有其优点和缺点。例如，静态分析对在其上正进行分析的计算机系统的资源的要求较低，并且由于静态分析不需要执行或仿真被分析的程序，所以统计分析更快，但效果较差，即静态分析具有较低的恶意程序检测百分比，较高的虚假警报(即，被防病毒程序分析的文件判断为有害的，然而，该文件是安全的)百分比。因为动态分析使用在执行或仿真被分析的程序的工作期间获得的数据，所以动态分析更慢，并且对在其上正进行分析的计算机系统的资源的要求较高，但其也更有效。现代的防病毒程序采用包括静态分析元素和动态分析元素二者的复杂的分析。

虽然已知的技术擅长于检测恶意文件以及构成潜在威胁的文件(在所述文件包含与先前已经检测的恶意文件中使用的数据类似的数据的情况下)，但是它们通常在检测使用如下数据的新的恶意文件时具有较差的效果：该数据先前并未在其它的恶意文件中使用，或者已经被修改。

发明内容

本公开能够解决使用静态分析元素检测恶意文件的问题。