[发明专利]一种基于复合特征码的恶意文件检测方法

说明书

技术领域

本发明涉及计算机领域，尤其涉及一种基于复合特征码的恶意文件检测方法。

背景技术

从1986年第一个计算机木马PC-Write开始，恶意文件的检测与反检测技术在竞争中不断得到发展。传统的恶意文件检测主要使用特征码技术，特征码提取是这种检测方法的核心，特征码是通过对已知的恶意文件进行逆向分析，提取具有恶意文件特征的代码段的方法获得。特征码检测方法的检测效率高，能精确地检测出恶意文件的类型甚至是恶意文件的具体名称。

在2004年以前，使用成熟的特征码杀毒技术仍然可以取得不错的查杀效果，但误报一直是一个令人头疼的问题。例如：假设特征码为“马”，现在待检测的文件有文件A和文件B，文件A的内容为“木马”，文件B的内容为“马克思”，显然，采用传统的特征码检测技术对文件A和文件B进行检测时，件A和文件B都将被识别为恶意文件，事实上，文件B的内容是正常的而非恶意文件。可见，现有的特征码检测方法存在误报的问题，恶意文件检测的准确率不够高。

发明内容

本发明提供一种基于复合特征码的恶意文件检测方法，用于解决现有的特征码检测方法存在误报而导致检测准确率不高的问题，本发明提供的基于复合特征码的恶意文件检测方法能够有效控制恶意文件检测时的误报现象，检测准确率高，且检测效率不低于现有的特征码检测方法。

本发明提供的一种基于复合特征码的恶意文件检测方法，该方法包括：

步骤1：预先设置主特征码集合，并为所述主特征码集合中的每个主特征码设置与其对应的非特征码；

步骤2：采用所述主特征码集合扫描待检测文件，当且仅当所述待检测文件中能匹配到所述主特征码集合中的任意一个主特征码且不能匹配到该主特征码所对应任意一个非特征码时，所述待检测文件为恶意文件。

上述基于复合特征码的恶意文件检测方法中，所述步骤2包括：

S21：采用所述主特征码集合扫描待检测文件开头的预定长度的代码段；

S22：判断当前扫描的待检测文件的代码段是否能够与所述主特征码集合中的任意一个主特征码相匹配？若是，则继续S23；否则，执行S27；

S23：判断在所述待检测文件中是否能匹配到当前匹配到的主特征码所对应的任意一个非特征码？若是，则继续执行S24；否则，输出待检测文件为恶意文件的检测结果，结束检测流程；

S24：判断是否已经采用所述主特征码集合扫描到所述待检测文件的结尾？若是，则认为待检测文件为非恶意文件；否则，继续执行S25；

S25：将当前匹配到的主特征码从所述主特征码集合中删除；

S26：采用主特征码集合扫描待检测文件的下一个预定长度的代码段，并返回执行S22；

S27：判断是否已经采用所述主特征码集合扫描到待检测文件的结尾？若是，则认为待检测文件为非恶意文件，否则，跳至执行S26。

优选地，上述基于复合特征码的恶意文件检测方法中，所述步骤1包括：预先设置并在数据库中存储由n个主特征码组成的主特征码集合；其中，n为大于等于0的整数；预先为所述主特征码集合中的每个主特征码设置与其对应的若干个非特征码，得到对应于每个主特征码的非特征码集合并将所述非特征码集合存储于所述数据库中；将所述数据库中的所有数据读入内存，并将所述主特征码集合中的每个主特征码在所述内存中的地址与该主特征码所对应的非特征码集合在所述内存中的地址之间建立映射关系。

优选地，步骤S23所述判断在所述待检测文件中是否能匹配到当前匹配到的主特征码所对应的任意一个非特征码，包括：获取所述当前匹配到的主特征码在内存中的地址；根据预先配置的每个主特征码在所述内存中的地址与该主特征码所对应的非特征码集合在所述内存中的地址之间的映射关系，获取所述当前匹配到的主特征码所对应的非特征码集合；判断所述待检测文件中是否能匹配到当前获取的非特征码集合中的任意一个非特征码？

优选地，上述基于复合特征码的恶意文件检测方法中，步骤1中所述将所述数据库中的所有数据读入内存之前，还包括：预先为所述主特征码集合中的每个主特征码设置与其对应的若干个从特征码，得到对应于每个主特征码的从特征码集合并将所述从特征码集合存储于所述数据库中；步骤1中所述将所述数据库中的所有数据读入内存之后，还包括：将所述主特征码集合中的每个主特征码在所述内存中的地址与该主特征码所对应的从特征码集合在所述内存中的地址之间建立映射关系。