[发明专利]基于文件静态结构属性的恶意软件检测新方法

摘要

一种基于文件静态结构属性的恶意软件检测方法，特别是针对PE文件和ELF文件的检测方法。在训练阶段，首先提取文件样本静态结构属性；接着进行数据预处理工作，选择过滤算法进行选择过滤，然后使用这些数据来训练分类器；在检测阶段，根据处理过滤得到的静态结构属性，使用训练好的分类器，对检测文件进行分类，得到是恶意软件或是正常文件的结果。本发明以99％以上的准确率检测已知和未知的恶意软件，检测时间短，占用系统资源少，可实际部署于反病毒软件中使用。本方法不受加壳、混淆、变形、多态等技术影响，目前可应用于Windwos和Linux平台，同时还可以用于各种手机、掌上电脑等嵌入式平台。

主权项

一种基于文件静态结构属性的恶意软件检测方法，其特征是：检测模型分为2个阶段：训练阶段和检测阶段；训练阶段用于完成分类器的构建；而检测阶段用于完成恶意软件的检测；在训练阶段，首先提取文件样本静态结构属性；接着进行数据预处理工作，使用数据挖掘的属性选择过滤算法对属性进行选择过滤，剩下具有很好区分度的属性，然后使用这些数据来训练分类器，训练好的分类器用作区分恶意软件和正常文件；所述文件是PE文件或ELF文件；在检测阶段，根据训练阶段数据预处理过滤得到的静态结构属性，提取待检测文件的相应结构属性，使用训练阶段训练好的分类器，对待检测文件进行分类，得到是恶意软件或是正常文件的结果；所述文件为PE文件；所述PE文件样本静态结构属性，选定为182个，具体如下：引用的动态链接库73个：具体是：ADVAP132.DLL,AWFAXP32.DLL,AWFXAB32.DLL,AWPWD32.DLL,AWRESX32.DLL,AWUTIL32.DLL,BHNETB.DLL,BHSUPP.DLL,CCAPI.DLL,CCEI.DLL,CCPSH.DLL,CCTN20.DLL,CMC.DLL,COMCTL32.DLL,COMDLG32.DLL,CRTDLL.DLL,DCIMAN.DLL,DCIMAN32.DLL,DSKMAINT.DLL,GDI32.DLL,GROUPPOL.DLL,HYPERTERM.DLL,KERNL32.DLL,LZ32.DLL,MAPI.DLL,MAPI32.DLL,MFC30.DLL,MPR.DLL,MSPST32.DLL,MSFS32.DLL,MSNDUI.DLL,MSNET32.DLL,MSSHRUI.DLL,MSVIEWUT.DLL,NAL.DLL,NDIS30.DLL,NETAPI.DLL,NETAPI32.DLL,NETBIOS.DLL,NETDI.DLL,NETSETUP.DLL,NWAB32.DLL,NWNET32.DLL,NWNP32.DLL,OLEDLG.DLL,POWERCFG.DLL,RASPI.DLL,RASAPI16.DLL,RASAPI32.DLL,RPCRT4.DLL,RPCLTC1.DLL,RPCTLC3.DLL,RPCTLC5.DLL,RPCTLC6.DLL,RPCTLS3.DLL,RPCTLS5.DLL,RPCTLS6.DLL,RPCNS4.DLL,RSRC32.DLL,SAPNSP.DLL,SECUR32.DLL,SHELL32.DLL,SLENH.DLL,SHLWAPI.DLL,UMDM32.DLL,USER32.DLL,VERSION.DLL,WININET.DLL,WINMM.DLL,WINREG.DLL,WINSOCK.DLL,WS2_32.DLL,WSOCK32.DLL；Dos部首一个：即e_lfanew；IMAGE_FILE_HEADER：选择了该部分的所有7个属性；IMAGE_OPTIONAL_HEADER32：选择了该部分的所有30个属性；数据目录表：选择了所有八个目录表中每个目录表的虚拟地址和大小两个属性，共16个属性；.text头部：选择了该部分的所有11个属性；.data头部：选择了该部分的所有11个属性；.rsrc头部：选择了该部分的所有11个属性；资源目录表：选择了该部分的所有22个属性；在训练阶段：a）获取训练样本：应获取足够多的训练样本，训练样本分为恶意软件样本和正常文件样本；b）从训练样本文件中提取每个文件的182个静态结构属性，得到训练样本集；c）使用WEAK数据挖掘软件的有监督属性属性过滤方法CfsSubsetEval对182个静态结构属性过滤，过滤后得到的静态结构属性为：SECUR32.DLL，SHLWAPI.DLL，ImageBase，CheckSum，SizeOfStackReserve，IMAGE_DIRECTORY_ENTRY_SECURITY.Size,IMAGE_DIRECTORY_ENTRY_DEBUG.Size,text.PointerToRelocations,rsrc.Characteristics,RT_MESSAGETABLE,RT_GROUP_ICON,RT_VERSION共12个；d）、使用WEAK数据挖掘软件的四种分类算法J48，BFTree，IBk，AdboostM1来训练四种分类器；在检测阶段：e）对待检测的PE文件，按训练阶段c)中过滤选择后的12个静态结构属性提取特征；f）使用训练阶段d)中训练好的任一分类器，根据e）中的12个属性进行分类，分类结果即为恶意软件或正常文件；所述文件为ELF文件；所述ELF文件样本的静态结构属性选定为8个，具体如下：ELF header20个：选取除四个魔数即Magic Number以外的所有20个属性；text.header8个：选取该部分头部的所有8个属性；data.header8个：选取该部分头部的所有8个属性；bss.header8个：选取该部分头部的所有8个属性；SHT_DYNSYM.header9个：选取该部分头部的所有8个属性和所包括的子项的个数共9个属性；PT_LOAD1.header7个：选取头部的所有7个属性；PT_LOAD2.header7个：选取头部的所有7个属性；PT_INTERP.header7个：选取头部的所有7个属性；PT_SHLIB.header7个：选取头部的所有7个属性；在训练阶段：a）获取训练样本：应获取足够多的训练样本，训练样本分为恶意软件样本和正常文件样本；b）从训练样本文件中提取每个文件的81个静态结构属性，得到训练样本集；c）使用WEAK数据挖掘软件的有监督属性过滤方法CfsSubsetEval对81个静态结构属性选择过滤，选择过滤后得到的静态结构属性为：header.e_phnum,header.e_shnum,SHT_DYNSYM.header.sh_link,PT_LOAD1.header.p_vaddr,PT_LOAD2.header.p_offset共5个；d）使用WEAK数据挖掘软件的四种分类算法J48，BFTree，IBk，AdboostM1来训练四种分类器；在检测阶段：e）对待检测的ELF文件，按训练阶段c)中过滤选择后的5个静态结构属性提取特征；f）使用训练阶段d)中训练好的任一分类器，根据检测阶段e）中的5个属性进行分类，分类结果即为恶意软件或正常文件。