[发明专利]可执行和可链接格式文件的检验方法、装置及存储介质

说明书

本发明公开了一种可执行和可链接格式文件的检验方法，包括以下步骤：根据可执行和可链接格式ELF文件的文件属性，识别所述ELF文件所属的类别，其中，所述文件属性包括文件类型和/或所述ELF文件对应的来源平台类型，所述文件类型包括可重定位文件、可执行文件和可被共享文件；提取所述ELF文件的文件特征，所述文件特征包括静态特征、动态特征和证书信息特征中的至少一个；根据所述类别和所述文件特征，对所述ELF文件进行检验，得到检验结果，所述检验结果为所述ELF文件属于恶意ELF文件或正常ELF文件。本发明还公开了一种可执行和可链接格式文件的检验装置以及计算机可读存储介质。本发明提高了对ELF文件进行检验的准确率。

技术领域

本发明涉及计算机安全技术领域，尤其涉及一种可执行和可链接格式文件的检验方法、可执行和可链接格式文件的检验装置以及计算机可读存储介质。

背景技术

在计算机科学中，ELF(Executable and Linking Format，可执行和可链接格式)文件是一种用于二进制文件、可执行文件、目标代码、共享库和核心转储格式文件。由于ELF文件是Linux操作系统中最主要的可执行文件格式，因此不少恶意软件会采用恶意ELF文件攻击Linux操作系统，故在检测恶意软件的过程中，实质上是对软件下的ELF文件进行识别，以判断其是属于恶意ELF文件，还是属于正常ELF文件。

目前的ELF文件检测技术，对于不同平台类型的ELF文件检测能力有巨大差异，未针对不同类型细分下的ELF文件进行检测，对所有类型的ELF文件采取同样的检测手段，这样往往容易造成对部分客户系统内正常ELF文件造成误报，而对恶意ELF文件造成漏报，从而导致对ELF文件进行检验的准确率低下。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

发明内容

本发明的主要目的在于提供一种可执行和可链接格式文件的检验方法、可执行和可链接格式文件的检验装置以及计算机可读存储介质，提高了对ELF文件进行检验的准确率。

为实现上述目的，本发明提供一种可执行和可链接格式文件的检验方法，所述可执行和可链接格式文件的检验方法包括以下步骤：

根据可执行和可链接格式ELF文件的文件属性，识别所述ELF文件所属的类别，其中，所述文件属性包括文件类型和/或所述ELF文件对应的来源平台类型，所述文件类型包括可重定位文件、可执行文件和可被共享文件；

提取所述ELF文件的文件特征，所述文件特征包括静态特征、动态特征和证书信息特征中的至少一个；

根据所述类别和所述文件特征，对所述ELF文件进行检验，得到检验结果，所述检验结果为所述ELF文件属于恶意ELF文件或正常ELF文件。

可选地，所述根据所述类别和所述文件特征，对所述ELF文件进行检验，得到检验结果的步骤包括：

将所述文件特征输入至所述类别对应的训练模型中得到检验结果；

其中，所述训练模型为根据所述类别对应的多组恶意ELF文件的文件特征，以及根据所述类别对应的多组正常ELF文件的文件特征训练得到。

可选地，所述恶意ELF文件包括所述类别下的所有种类的恶意ELF文件，其中，所述恶意ELF文件的活跃数大于对应的所述种类中其他恶意ELF文件的活跃数。

可选地，所述提取所述ELF文件的文件特征的步骤之后，还包括：

当所述ELF文件存在多个文件特征时，根据所述ELF文件的类别对应的特征融合算法，对所述ELF文件对应的多个文件特征进行特征融合；

将特征融合后的文件特征作为对所述ELF文件进行检验的文件特征。