[发明专利]一种恶意文件的检测方法和装置有效
| 申请号: | 201610443601.9 | 申请日: | 2016-06-20 |
| 公开(公告)号: | CN105975854B | 公开(公告)日: | 2019-06-28 |
| 发明(设计)人: | 程波;侯贺明 | 申请(专利权)人: | 武汉绿色网络信息服务有限责任公司 |
| 主分类号: | G06F21/55 | 分类号: | G06F21/55 |
| 代理公司: | 北京和信华成知识产权代理事务所(普通合伙) 11390 | 代理人: | 胡剑辉 |
| 地址: | 430073 湖北省武汉市东湖新技术开*** | 国省代码: | 湖北;42 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明属于信息安全领域,涉及一种恶意文件的检测方法,所述方法包括:文件反编译步骤,对被检测文件进行反编译,得到底层语言描述的函数数据;数据筛选步骤,对所述函数数据进行筛选,选出样本文件中与用户所写内容所对应的函数数据;数据清洗步骤,对所述与用户所写内容所对应的每个函数进行清洗,去除其中的不稳定字节,得到清洗后的函数数据;比较步骤,将所述被检测文件中的每个用户所写函数与已知的恶意函数和干净函数比较,获取被检测文件中的每个用户所写函数的恶意程度数值;判断步骤,根据被检测文件中的每个用户所写函数的恶意程度数值判断被检测文件的恶意程度。通过上述技术方案,实现把恶意文件的检测粒度降低到函数级别,有利于提高文件恶意性的判定。 | ||
| 搜索关键词: | 一种 恶意 文件 检测 方法 装置 | ||
【主权项】:
1.一种恶意文件的检测方法,其特征在于,所述方法包括:文件反编译步骤,对被检测文件进行反编译,得到底层语言描述的函数数据;数据筛选步骤,对所述函数数据进行筛选,选出样本文件中与用户所写内容所对应的函数数据;数据清洗步骤,对所述与用户所写内容所对应的每个函数进行清洗,去除其中的不稳定字节,得到清洗后的函数数据;比较步骤,将所述被检测文件中的每个用户所写函数与已知的恶意函数和干净函数比较,获取被检测文件中的每个用户所写函数的恶意程度数值;获取已知的恶意函数和干净函数的方法包括:文件采集步骤,采集样本文件,所述样本文件包含已知的干净文件和恶意文件;文件反编译步骤,分别对每个干净文件和恶意文件进行反编译,得到底层语言描述的函数数据;统计步骤,根据所述清洗后的函数数据统计每个函数在恶意文件和干净文件中出现的次数,由所述次数得到每个函数的恶意程度数值;判断步骤,根据被检测文件中的每个用户所写函数的恶意程度数值判断被检测文件的恶意程度;当获取了每个函数的恶意程度数值之后,将每个函数的恶意程度数值进行叠加,从而得到整个被检测文件的恶意程度数值;然后采用阈值的方式对于所述被检测文件的恶意程度进行过滤,当被检测文件的恶意程度数值大于阈值时则认定该被检测文件为恶意文件,当被检测文件的恶意程度小于阈值时则认定该被检测文件为安全文件;或者当被检测文件的恶意程度位于阈值区间之内时,进行其它方式的恶意程度检测。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于武汉绿色网络信息服务有限责任公司,未经武汉绿色网络信息服务有限责任公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201610443601.9/,转载请声明来源钻瓜专利网。
