[发明专利]一种检测软件的方法和装置

说明书

提供一种检测软件的方法和装置，涉及信息安全领域。该方法包括：对待检测软件的二进制序列进行分段，得到多个子序列；基于多个子序列中每个子序列中的二进制代码，得到每个子序列的统计值；对多个子序列中每个子序列的统计值进行分析，得到待检测软件的特征；基于待检测软件的特征和预先获取到的目标软件的特征库，对待检测软件进行检测，目标软件的特征库包括至少一个目标软件中每个目标软件的特征。通过引入统计方法，基于待检测软件的全部子序列中每个子序列的统计值来提取待测软件的特征，以预先构建的目标软件的特征库中的目标软件的特征为依据来判断待检测软件是否为目标软件，可以降低加壳或变种对检测产生的干扰，提高检测准确率。

技术领域

本申请涉及信息安全领域，尤其涉及一种检测软件的方法和装置。

背景技术

随着互联网技术的发展，在数据交换效率迎来巨大提升的同时，大量恶意软件的肆意传播也使得信息安全问题更加突出，对恶意软件的检测日益迫切。

目前，对恶意软件的检测方法包括静态检测方法，静态检测方法通常通过特征码匹配等方式实现，技术实现上较为简单，但是对于使用了加壳或变种等手段的恶意软件会干扰静态检测方法的检测和分析，在这种情况下使用传统的静态检测方法的准确率不高。

发明内容

本申请提供了一种检测软件的方法和装置，通过引入统计方法来提取待测软件和目标软件的特征，以降低加壳或变种对检测产生的干扰，提高检测准确率。

第一方面，本申请提供一种检测软件的方法，该方法包括：对待检测软件的二进制序列进行分段，得到多个子序列；基于所述多个子序列中每个子序列中的二进制代码，得到每个子序列的统计值；对所述多个子序列中每个子序列的统计值进行分析，得到所述待检测软件的特征；基于所述待检测软件的特征和预先获取到的目标软件的特征库，对所述待检测软件进行检测，所述目标软件的特征库包括至少一个目标软件中每个目标软件的特征。

基于上述方案，对待检测软件的二进制序列进行分段得到多个子序列，并通过引入统计方法，基于待检测软件的全部子序列中每个子序列的统计值来提取待检测软件的特征，以预先构建的目标软件的特征库中的目标软件的特征为依据，来判断待检测软件是否为目标软件，由此可以降低加壳或变种对检测产生的干扰，进而提高检测准确率。

可选地，所述对待检测软件的二进制序列进行分段，得到多个子序列，包括：以n个字节为固定长度，对所述待检测软件的二进制序列进行分段，得到所述多个子序列，n正为整数。

可选地，所述统计值包括第一统计值和/或第二统计值；其中，所述第一统计值为一个子序列中有效值的个数；第二统计值为一个子序列中前一位为无效值的有效值的个数，其中，所述有效值和所述无效值为预定义的值。

可选地，所述统计值包括所述第一统计值和所述第二统计值，所述对所述多个子序列中每个子序列的统计值进行分析，得到所述待检测软件的特征，包括：基于所述待检测软件的每个子序列的第一统计值和第二统计值，得到与每个子序列的统计值对应的坐标点；对所述多个子序列中每个子序列的统计值所对应的坐标点进行聚类分析，得到所述待检测软件的特征。

可选地，所述基于所述待检测软件的每个子序列的第一统计值和第二统计值，得到与每个子序列的统计值对应的坐标点，包括：将所述多个子序列中每个子序列的所述第一统计值和所述第二统计值分别进行归一化处理，得到归一化后的第一统计值和归一化后的第二统计值；将所述多个子序列中每个子序列所对应的所述归一化后的第一统计值和所述归一化后的第二统计值转换为坐标点。

可选地，所述基于所述待检测软件的特征和预先获取到的目标软件的特征库，对所述待检测软件进行检测，包括：基于所述待检测软件的特征和所述目标软件的特征库，确定所述待检测软件的特征与所述目标软件的特征库中的所述至少一个目标软件中的每个目标软件的特征的相似度；在所述待检测软件的特征与所述目标软件的特征库中一个或多个目标软件的特征的相似度大于或等于预设阈值的情况下，确定所述待检测软件为所述目标软件。