[发明专利]基于LZW压缩算法的未知恶意代码检测方法

说明书

技术领域：

本发明涉及一种基于LZW压缩算法的未知恶意代码检测方法的评估。属于信息安全领域。

背景技术：

随着计算机和互联网络技术的快速发展与广泛应用，计算机网络系统的安全受到严重的挑战，来自计算机病毒和黑客攻击及其他方面的威胁越来越大。计算机恶意代码是计算机安全中很难根除的威胁。

目前，存在着多种计算机恶意代码防治技术，其中未知恶意代码的检测技术可以发现未知的恶意代码，有效地改善查杀总是落后于新病毒产生这一现状。未知恶意代码检测已成为计算机安全领域的主要研究课题之一。

国内外现有的未知恶意代码检测方法主要有基于K-近邻的未知恶意代码检测、基于支持向量机的未知恶意代码检测、基于贝叶斯原理的未知恶意代码检测、基于关联规则的未知恶意代码检测、受免疫启发的未知恶意代码检测、基于决策树的未知恶意代码检测、基于行为检测的未知恶意代码检测等方法。但是这些方法已经研究了很多年，技术已经基本成熟，对于各种方法本身存在的缺点仍然无法克服。所以需要一种新的未知恶意代码检测方法来完善未知恶意代码检测领域的不足。以上提到的未知恶意代码检测方法中最知名的、也是理论基础最好的应是基于贝叶斯原理的未知恶意代码检测。虽然基于贝叶斯原理的未知恶意代码检测方法能够很好的检测出有明显单词结构的未知恶意代码，但是对于可执行文件这类没有明显单词结构的未知恶意代码检测效果不是很理想。为了改善这方面的不足，使检测方法对于任意文件都能有效地检测出来。发明人提出并实现了一种基于LZW压缩算法的未知恶意代码检测方法。LZW压缩算法由Lemple-Ziv-Welch三人共同创造，用他们的名字命名。它采用了一种先进的串表压缩，将每个第一次出现的串放在一个串表中，用一个数字来表示串，压缩文件只存贮数字，则不存贮串，从而使文件的压缩效率得到较大的提高。采用这种压缩算法的未知恶意代码检测方法，能够克服基于贝叶斯原理的未知恶意代码检测方法对于没有明显单词结构的未知恶意代码检测效果不理想的缺点。

发明内容：

本发明的目的，就在于克服上述基于贝叶斯原理的未知恶意代码检测方法的不足，提供一种能够有效检测出各类未知恶意代码的方法，即基于LZW压缩算法的未知恶意代码检测方法。

本发明的特征在于依次包括以下步骤：

首先进行文件的学习：将学习集中样本文件通过定长编码模块将样本集中的非文本文件转换为有明显单词结构的文本文件。将转换后的文件经过LZW字典生成模块，进行压缩字典的生成。并根据样本集是正常代码集或恶意代码集保存为相应的正常代码字典或恶意代码字典，并将两类字典保存到数据库中。

然后进行待测文件的分类预测：将待测文件通过定长编码模块将待测文件中的非文本文件转换为有明显单词结构的文本文件，并将保存在数据库中的字典集读取到内存中。根据正常代码字典与恶意代码字典，对经过处理的待测文件进行压缩处理。

最后评估结果：根据压缩率判断文件的类别，正常文件类或恶意代码文件类。设正常代码字典压缩待测文件得到压缩率为A，恶意代码字典压缩待测文件得到压缩率为B，则如果A＞B，判断待测文件为正常文件；如果A＜B，判断待测文件为恶意代码文件。

压缩率(R)＝(压缩前文件大小-压缩后文件大小)/压缩前文件大小×100％

本发明的优势在于，基于LZW压缩算法的未知恶意代码检测方法能够有效地弥补基于贝叶斯原理的未知恶意代码检测方法对于可执行文件这类没有明显单词结构的未知恶意代码检测效果不理想的缺点。

1.适应能力强。由于本方法是基于字节的，可以对任何类型的文件进行特征学习和分析。

2.可以克服特征组合产生的变化结果。例如：两个正常字符串特征组合在一起时可能就是恶意代码的特征，其他的检测算法不能够识别出来，但是本方法可以检测出来。

附图说明

图1是本发明实现基于LZW压缩算法的未知恶意代码检测方法的流程图。

具体实施方式

下面结合附图1具体介绍本发明的实现方法的步骤：

参见附图1，本发明是一种基于LZW压缩算法的未知恶意代码检测方案。该方案包含两个主要部分，即样本文件的学习与待测文件的分类预测。首先，分析恶意代码结构，抽取最能代表其特性的部分。然后，对所抽取的部分利用压缩算法，按照其类别建立符合其统计特性的相应压缩字典(正常代码/恶意代码字典)。最后，通过判断利用正常代码/恶意代码字典对待测文件进行压缩得到的不同压缩率，依据最小描述原则将其归类为能取得最好压缩率的类别，从而达到检测未知恶意代码的目的。