[发明专利]一种恶意软件检测方法在审
| 申请号: | 201910803258.8 | 申请日: | 2019-08-28 |
| 公开(公告)号: | CN110543765A | 公开(公告)日: | 2019-12-06 |
| 发明(设计)人: | 谢川;何太炎;王民峰 | 申请(专利权)人: | 南京市晨枭软件技术有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56;G06F21/53;G06K9/62 |
| 代理公司: | 32360 南京泰普专利代理事务所(普通合伙) | 代理人: | 窦贤宇<国际申请>=<国际公布>=<进入 |
| 地址: | 211100 江苏省南京市麒麟*** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种恶意软件检测方法,包括如下步骤:静态检测目标软件的目标代码,在隔离沙箱中对目标软件进行反编译获取目标代码,然后对目标代码进行分析,判断是否存在恶意代码;在隔离沙箱中运行目标软件,在隔离沙箱中复制创建本地系统,然后使用沙箱中的系统运行目标软件;记录目标软件的启用情况,记录目标软件在运行过程中对应的预先选中的多个特定底层函数的启用情况,以及目标软件调用的系统API。本发明中,目标软件的运行与解析均在隔离沙箱中进行,隔离沙箱是与现有系统相隔离的,独立创建的密闭程序运行空间,在运行不确定程序时,可以很好的保护当前程序不受到破坏,以及打开目标软件时被植入木马病毒,保障了系统的安全性。 | ||
| 搜索关键词: | 目标软件 沙箱 隔离 记录目标 目标代码 程序运行空间 恶意软件检测 底层函数 恶意代码 获取目标 静态检测 木马病毒 系统运行 现有系统 运行过程 密闭 创建 调用 植入 编译 解析 复制 分析 | ||
【主权项】:
1.一种恶意软件检测方法,其特征在于,包括如下步骤:/nS1:静态检测目标软件的目标代码,在隔离沙箱中对目标软件进行反编译获取目标代码,然后对目标代码进行分析,判断是否存在恶意代码;/nS2:在隔离沙箱中运行目标软件,在隔离沙箱中复制创建本地系统,然后使用沙箱中的系统运行目标软件;/nS3:记录目标软件的启用情况,记录目标软件在运行过程中对应的预先选中的多个特定底层函数的启用情况,以及目标软件调用的系统API,生成待识别样本向量;/nS4:创建恶意软件识别模型,使用预先创建的恶意软件识别模型,采用机器学习算法对待识别的样本向量进行分类,并获取识别结果;/nS5:建立恶意软件特征库,根据检测的恶意软件提取其特征,创建特征库。/n
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于南京市晨枭软件技术有限公司,未经南京市晨枭软件技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201910803258.8/,转载请声明来源钻瓜专利网。
