[发明专利]flash恶意文件检测方法及装置

说明书

技术领域

本申请涉及数据安全技术领域，特别是涉及一种flash恶意文件检测方法及装置。

背景技术

Adobe flash player能够播放简短快速的多媒体动画、交互式动画以及飞行标志等各类图像文件，广泛应用于操作系统中的浏览器和一些移动设备上。因此，Adobe flash player也被一些恶意程序发布者利用其本身的漏洞，在flash文件中添加恶意文件，当用户播放这些flash文件时，就会自动下载可执行的恶意文件，随后会主动连接互联网络中指定的服务器，下载其他病毒、木马等恶意程序，最终造成计算机系统被完全控制，严重威胁到计算机用户的系统和信息安全。

目前，针对flash文件常见的一种杀毒方法为计算flash文件唯一的MD5哈希值，然后与预先收集的包含恶意文件的flash文件的MD5哈希值进行比较，如果能够匹配上，则说明该flash文件为恶意文件，不能匹配，则说明该flash文件为正常文件。当flash文件代码出现一点差异，也会导致MD5哈希值变化。那么，对于同一恶意文件，其发布者只要在其中添加一些无意义且不相同的代码，则可能导致MD5哈希值不同。那么在统计时无法对所有恶意文件的变种进行穷举，这就可以出现无法准确识别恶意flash文件的情况。或者即使能够穷举，也需要计算出大量的MD5哈希值，这无疑会增加工作量，降低了识别检测的效率。

发明内容

本申请所要解决的技术问题是提供一种flash恶意文件检测方法及装置，能够解决flash文件检测效率和精度低的问题。

为了解决上述问题，本申请公开了一种flash恶意文件检测方法，包括以下步骤：

对flash文件进行解析，提取其中的虚拟机字节码；

将所述虚拟机字节码与特征字节码进行匹配，若能够匹配，则统计所述虚拟机字节码出现的次数，若次数超过阈值，则确定所述flash文件为恶意文件。

进一步地，对flash文件进行解析，提取其中的虚拟机字节码包括：

解析flash文件中的ActionScript相关的关键标签段；

分析关键标签段的数据结构，逆向提取出其中的虚拟机字节码。

进一步地，所述方法还包括确定特征字节码，具体过程包括：

基于flash文件的数据结构对恶意flash文件和正常flash文件进行逆向解析，提取其中的虚拟机字节码；

统计在恶意flash文件中出现概率大于或者等于正常值，但正常flash文件中不存在或出现概率小于正常值的虚拟机字节码；

将所述统计的虚拟机字节码确定为特征字节码。

进一步地，所述将所述虚拟机字节码与特征字节码进行匹配，若能够匹配，则统计所述虚拟机字节码出现的次数包括：

若虚拟机字节码与其中一个特征字节码匹配，且出现的次数超过阈值，则停止后续与其他特征字节码的匹配；或

若虚拟机字节码与其中一个特征字节码匹配，且出现的次数超过阈值，仍将虚拟机字节码与其余特征字节码继续匹配。

进一步地，所述将flash文件确定为恶意文件之后还包括返回检测结果和/或对所述flash文件进行处理。

进一步地，所述对所述flash文件进行处理包括以下一种或几种：

删除所述flash文件；

隔离所述flash文件；

将所述flash文件标注为可疑文件；

为所述flash文件设定安全等级。

进一步地，所述将虚拟机字节码与特征字节码进行匹配以及统计虚拟机字节码出现的次通过判断函数实现，所述判断函数的参数为特征字节码，所述判断过程为：将所述虚拟机字节码代入不同的判断函数，并与各判断函数中的参数进行匹配以及出现次数的统计。

进一步地，所述虚拟机字节码包括字符串或整形串，所述特征字节码包括字符串或整形串，在提取所述虚拟机字节码后，将其中所有的字符串组成为一个数组，所有的整形串组成一个数组，将所述两个数组分别采用将字符串作为参数的判断函数以及采用整形串作为参数的判断函数进行判断。

为了解决上述问题，本申请还公开了一种flash恶意文件检测装置，包括：

虚拟机字节码提取模块，用于对flash文件进行解析，提取其中的虚拟机字节码；

判断模块，用于将所述虚拟机字节码与特征字节码进行匹配，若能够匹配，则统计所述虚拟机字节码出现的次数，若次数超过阈值，则确定所述flash文件为恶意文件。

进一步地，所述虚拟机字节码提取模块包括：