[发明专利]恶意软件检测方法、装置和计算机存储介质

说明书

本发明公开了一种恶意软件检测方法、装置和计算机存储介质，该方法包括以下步骤：收集终端运行软件时显示的用户界面的截图；提取所述截图的图像特征，生成特征向量；根据预设机器学习模型对特征向量进行推理，获得截图对应的标签；根据标签判定运行软件是否为恶意软件。解决了现有技术中存在攻击者利用恶意软件检测绕过技术导致恶意软件检出率低的问题。

技术领域

本发明涉及计算机技术领域，尤其涉及一种恶意软件检测方法、装置和计算机存储介质。

背景技术

随着智能手机和平板电脑等移动终端的广泛普及，针对终端的恶意软件数量的迅速增加，终端恶意软件数量已超过四千万。一旦感染恶意软件，用户的资产、隐私甚至人身安全将受到威胁，例如资费消耗、隐私窃取、恶意扣费和诈骗等。

当前恶意软件检测方法主要有以下五种：

(1)静态文件特征码。特征码是出现在恶意软件文件或加载了恶意软件的内存中的一个或多个特定字节序列，如十六进制表示的“89C3 B440 8A2E 2004 8A0E 2104 BA0005CD 21E8 D500 BF50 04CD”是Accom.128病毒的特征码。只要识别到文件中包含该特征码，即可认为该文件是Accom.128病毒。

(2)动态行为检测。运行可疑软件，观察运行过程对系统应用接口调用等行为，判断其是否有恶意行为，如终止杀毒软件进程、修改系统关键配置。若有，则认为该软件为恶意软件。

(3)静态启发式检测。静态启发式检测同静态文件特征码方法相似，但启发式检测是基于阈值的。静态启发式检测将可疑软件分解并将其代码与启发式数据库中的已知特征码对比，若匹配数量超过阈值，则判定该可疑软件是恶意软件。

(5)动态启发式检测。动态启发式检测与动态行为检测类似，但启发式检测是在受控的沙箱或实验室环境中运行可疑软件，而非用户的真实系统。若可疑软件的行为数量超过阈值，则判定该可疑软件为恶意软件。

(6)机器学习检测。针对软件的二进制文件或沙箱中运行的日志定义特征向量，或通过机器学习算法自动发现特征，再利用分类或聚类等算法学习特征模式，进而生成能够识别恶意软件的机器学习模型。

上述六种方法检测的依据是软件静态代码或动态行为日志，而恶意软件作者可利用多种技术手段对修改代码以绕过检测。根据Ponemon 2018年风险报告，反病毒解决方案仅能拦截43％的攻击。攻击者可以利用的恶意软件检测绕过技术包括：

代码混淆。在保留软件功能的前提下对代码变形，导致包括特征码在内的二进制序列发生改变，从而绕过静态文件特征码检测、静态启发式检测和部分机器学习检测方法。

代码加密。加密算法的混淆和雪崩特性使得加密后的恶意软件代码与明文的恶意软件代码内容不同，只有在执行时才会执行解密，因此可以绕过静态文件特征码检测、静态启发式检测和部分机器学习检测方法。

反沙箱。恶意软件可以感知运行环境是否为沙箱，若是，则隐藏恶意行为，从而绕过动态启发式检测和部分机器学习检测方法。

Rootkit。Rootkit是一类特殊的软件，一般能加载到操作系统内核中并运行在特权模式下，因此能拦截或欺骗反病毒软件对操作系统应用程序接口的调用，从而隐藏恶意软件。Rookit技术可以绕过动态行为检测、动态启发式检测方法。

综上，现有技术中存在攻击者利用恶意软件检测绕过技术导致恶意软件检出率低的问题。

发明内容

本发明主要目的在于提供一种恶意软件检测方法、装置和计算机存储介质，旨在解决现有技术中存在攻击者利用恶意软件检测绕过技术导致恶意软件检出率低的问题。

为实现上述目的，本发明提供一种恶意软件检测方法，所述恶意软件检测方法包括以下步骤：