[发明专利]一种检测软件的方法和装置

权利要求书

1.一种检测软件的方法，其特征在于，所述方法包括：

对待检测软件的二进制序列进行分段，得到多个子序列；

基于所述多个子序列中每个子序列中的二进制代码，得到每个子序列的统计值；

对所述多个子序列中每个子序列的统计值进行分析，得到所述待检测软件的特征；

基于所述待检测软件的特征和预先获取到的目标软件的特征库，对所述待检测软件进行检测，所述目标软件的特征库包括至少一个目标软件中每个目标软件的特征。

2.如权利要求1所述的方法，其特征在于，所述对待检测软件的二进制序列进行分段，得到多个子序列，包括：

以n个字节为固定长度，对所述待检测软件的二进制序列进行分段，得到所述多个子序列，n为正整数。

3.如权利要求1或2所述的方法，其特征在于，所述统计值包括第一统计值和/或第二统计值；其中，所述第一统计值为一个子序列中有效值的个数；第二统计值为一个子序列中前一位为无效值的有效值的个数，其中，所述有效值和所述无效值为预定义的值。

4.如权利要求3所述的方法，其特征在于，所述统计值包括所述第一统计值和所述第二统计值，

所述对所述多个子序列中每个子序列的统计值进行分析，得到所述待检测软件的特征，包括：

基于所述待检测软件的每个子序列的第一统计值和第二统计值，得到与每个子序列的统计值对应的坐标点；

对所述多个子序列中每个子序列的统计值所对应的坐标点进行聚类分析，得到所述待检测软件的特征。

5.如权利要求4所述的方法，其特征在于，所述基于所述待检测软件的每个子序列的第一统计值和第二统计值，得到与每个子序列的统计值对应的坐标点，包括：

将所述多个子序列中每个子序列的所述第一统计值和所述第二统计值分别进行归一化处理，得到归一化后的第一统计值和归一化后的第二统计值；

将所述多个子序列中每个子序列所对应的所述归一化后的第一统计值和所述归一化后的第二统计值转换为坐标点。

6.如权利要求1所述的方法，其特征在于，所述基于所述待检测软件的特征和预先获取到的目标软件的特征库，对所述待检测软件进行检测，包括：

基于所述待检测软件的特征和所述目标软件的特征库，确定所述待检测软件的特征与所述目标软件的特征库中的所述至少一个目标软件中的每个目标软件的特征的相似度；

在所述待检测软件的特征与所述目标软件的特征库中一个或多个目标软件的特征的相似度大于或等于预设阈值的情况下，确定所述待检测软件为所述目标软件。

7.如权利要求1所述的方法，其特征在于，所述目标软件的特征库还包括所述至少一个目标软件中每个目标软件所对应的目标软件类型；以及

所述方法还包括：

在确定所述待检测软件为所述目标软件的情况下，输出与所述待检测软件的特征的相似度最高的目标软件所对应的目标软件类型。

8.如权利要求7所述的方法，其特征在于，所述目标软件类型包括：广告软件、间谍软件、勒索软件、浏览器劫持软件、行为记录软件和强制安装软件。

9.一种检测软件的装置，其特征在于，所述装置包括：

分段模块，用于对待检测软件的二进制序列进行分段，得到多个子序列；

统计模块，用于基于所述多个子序列中每个子序列中的二进制代码，得到每个子序列的统计值；

分析模块，用于对所述多个子序列中每个子序列的统计值进行分析，得到所述待检测软件的特征；

检测模块，用于基于所述待检测软件的特征和预先获取到的目标软件的特征库，对所述待检测软件进行检测，所述目标软件的特征库包括至少一个目标软件中每个目标软件的特征。

10.一种检测软件的装置，其特征在于，包括处理器，所述处理器用于执行权利要求1至8中任一项所述的方法。