[发明专利]基于文件静态结构属性的恶意软件检测新方法

说明书

技术领域

本发明涉及信息安全中的恶意软件检测方法，特别是针对PE文件和ELF文 件的新颖而实用的恶意软件检测方法，它能够在经过有限训练集训练以后，检测 已知的和未知的恶意软件，因它只需提取少数的文件静态结构属性，单个文件的 检测时间是0.25秒左右，且检测正确率在99％以上，已达到了可实际部署应用 的检测软件的要求。

背景技术

据国内外各大反病毒公司统计，2008年截获的各类新病毒样本数已经超过 1000万，日均截获病毒样本数万。计算机病毒的数量急剧增加，其传播途径多 样化，且抗反病毒软件能力强，计算机病毒已经成为互联网以及广大计算机用 户的最大安全威胁。

反病毒技术现状：

1、特征值扫描

传统病毒扫描是利用恶意软件留在被感染文件中的病毒特征值(即每种病 毒所独有的十六进制代码串)进行检测。它的流程如下：1、一种恶意软件出现 和长生了破坏，引起了反病毒公司分析专家的注意；2、分析专家找到该恶意软 件的样本并进行分析，提取出了该恶意软件的特征值；3、把提取出的特征值加 入到反病毒软件的服务器特征库中；4、用户被提示更新本地反病毒软件的特征 库；5、用户更新后可以检测和查杀该恶意软件。其缺点是：它几乎不能检测新 的恶意软件种类，能检测的恶意软件经过简单加壳后又不能检测，特定恶意软件 在被反病毒软件查杀之后很容易进行免杀处理。同时随着恶意软件种类的指数级 增长，分析人员手动提取每个恶意软件的特征值变得枯燥而繁重，病毒特征库的 体积越来越大，致使检测工具的检测时间不断增加，相对于目前计算机恶意软件 数量的增长速度来说，反病毒厂商的响应速度已经严重滞后，且存在真空期—— 即从恶意软件出现到反病毒软件能查杀该恶意软件，在真空期恶意软件可能已经 长生了严重的破坏。这给计算机恶意软件的防护工作带来了严峻挑战。

2、使用数据挖掘技术的检测方法：

在传统的特征码扫描手段不能更好的满足需求的情况下，发展了一些使用数 据挖掘技术来检测恶意软件的方法，这些方法主要分为两类：静态恶意软件检测 方法和动态恶意软件检测方法。静态恶意软件检测方法通过分析恶意软件的二进 制代码、反汇编后的代码、反汇编后的静态调用等获取恶意软件的特征，利用分 类算法在正常软件与恶意代码之间建立较好的分割线，实验结果表明其检测未知 计算机病毒的能力较强，换言之，这些特征部分反映了两类软件之间的差异。动 态恶意软件检测方法通常分析恶意软件运行时的API调用系列，提取出在恶意软 件和正常文件频繁出现且在两类软件中具有较好区分度的子系列，然后使用分类 算法对两类软件进行分类。

上述方法主要面临三方面的问题：

第一、无论是静态的分析方法还是动态的分析方法提取特征方法复杂，提取 的特征较多，导致检测每个文件的时间比较长，很难在实际部署的反病毒软件中 使用；

第二、以上的静态检测方法很容易受加壳和混淆技术的影响，加壳后完全改 变了恶意软件的二进制代码和反汇编后的代码，使得检测的准确率下降，如果在 脱壳后再进行检测，每个文件的检测时间就会加长，且通用的脱壳软件在反脱壳 技术的影响下并不能自动的脱去所有恶意软件的壳；

第三、如果是通过动态分析来检测恶意软件，我们通常只能分析恶意软件的 单条执行路径，并不能遍历恶意软件的所有执行路径，同时，很多恶意软件已具 备了反虚拟、反调试、反跟踪、抗反汇编的能力，这些都使得动态检测恶意软件 的准确率不高和花费时间比较长，且执行恶意；

第四、软件有可能对系统产生破坏。

发明内容

本发明的目的在于提出并设计一种虚警率较低，且具有较高的检测准确率的 基于文件静态结构属性的恶意软件检测新方法。

本发明的目的是这样实现的：一种基于文件静态结构属性的恶意软件检测方 法，其特征是：

检测模型分为2个阶段：训练阶段和检测阶段；训练阶段用于完成分类器的 构建；而检测阶段用于完成恶意软件的检测；

在训练阶段，首先提取文件样本静态结构属性；接着进行数据预处理工作， 使用数据挖掘的属性选择过滤算法对属性进行选择过滤，剩下具有很好区分度的 属性，然后使用这些数据来训练分类器，训练好的分类器用作区分恶意软件和正 常文件；