[发明专利]一种恶意程序的检测方法、装置

权利要求书

1.一种恶意程序的检测方法，其特征在于，包括：

获取待检测程序预设位置的至少一个字符串；

按预定义规则对所述字符串进行随机性计算，生成待检测程序的随机值；所述按预定义规则对所述字符串进行随机性计算的方法包括：N-Gram算法；其中，N-Gram算法包括下述步骤：

对所述字符串进行分词，得到所述字符串对应的所有N个字符分词；所述N为正整数；

在预设的特征数组中匹配字符串的所有N个字符分词出现的频次，得到字符串对应的频次数组，所述频次数组包括所述字符串的所有N个字符分词分别对应的频次；

计算所述频次数组的平均值，使用所述频次数组的平均值对常数e求指数，得到字符串对应的随机值；

当待检测程序的随机值大于预设阈值时，判断待检测程序为恶意程序；

所述预设阈值的方法包括：预定义两个字符串集合，包括非随机字符串集合、恶意随机字符串集合，按照预定义规则分别对所述两个字符串集合中的所有字符串进行随机性计算，其中，非随机字符串集合中的最小随机值为第一随机值、恶意随机字符串集合中的最大随机值为第二随机值；当第一随机值小于第二随机值时所述阈值为：第二随机值；或者，第一随机值与第二随机值的平均值；预设阈值的方法还包括：还预定义一正常随机字符串集合，按照所述预定义规则对该字符串集合中的所有字符串进行随机性计算，其中最大随机值为第三随机值，当第三随机值大于第一随机值且小于第二随机值时，所述阈值为第三随机值；

当判断待检测程序为恶意程序时，将获取的待检测程序预设位置的至少一个字符串加入到恶意随机字符串集合。

2.如权利要求1所述的方法，其特征在于，所述获取待检测程序预设位置的至少一个字符串的方法包括：在所述待检测程序的包名、签名、程序名称、版本号、文件名称、文件内容中的至少一种中提取字符串。

3.如权利要求1所述的方法，其特征在于，获取待检测程序预设位置的至少一个字符串的方法包括：以换行符为标识，一行字符为一个字符串。

4.如权利要求1所述的方法，其特征在于，所述字符为英文、数字、符号中的至少一种或者它们的混合。

5.一种恶意程序的检测装置，其特征在于，包括：获取模块，用于获取待检测程序预设位置的至少一个字符串；

随机值计算模块，用于按预定义规则对所述字符串进行随机性计算，生成待检测程序的随机值；所述随机值计算模块和阈值计算模块按预定义规则对所述字符串进行随机性计算的方法包括：N-Gram算法；其中，N-Gram算法包括下述步骤：

对所述字符串进行分词，得到所述字符串对应的所有N个字符分词；所述N为正整数；

在预设的特征数组中匹配字符串的所有N个字符分词出现的频次，得到字符串对应的频次数组，所述频次数组包括所述字符串的所有N个字符分词分别对应的频次；

计算所述频次数组的平均值，使用所述频次数组的平均值对常数e求指数，得到字符串对应的随机值；

比较判断模块，用于当待检测程序的随机值大于预设阈值时，判断待检测程序为恶意程序；

所述装置还包括阈值计算模块，用于预定义两个字符串集合，包括非随机字符串集合、恶意随机字符串集合，按照预定义规则分别对所述两个字符串集合中的所有字符串进行随机性计算，其中，非随机字符串集合中的最小随机值为第一随机值、恶意随机字符串集合中的最大随机值为第二随机值；当第一随机值小于第二随机值时所述阈值为：第二随机值；或者，第一随机值与第二随机值的平均值；所述阈值计算模块，还用于预定义一正常随机字符串集合，按照所述预定义规则对该字符串集合中的所有字符串进行随机性计算，其中最大随机值为第三随机值；所述阈值为：第三随机值；

当比较判断模块判断待检测程序为恶意程序时，将获取模块获取的待检测程序预设位置的至少一个字符串加入到阈值计算模块的恶意随机字符串集合。

6.如权利要求5所述的装置，其特征在于，所述获取模块获取待检测程序预设位置的至少一个字符串的方法包括：在所述待检测程序的包名、签名、程序名称、版本号、文件名称、文件内容中的至少一种中提取字符串。