[发明专利]恶意文件识别方法及装置

说明书

技术领域

本发明涉及互联网技术领域，尤其涉及一种恶意文件识别方法及装置。

背景技术

对于一个样本文件而言，其样本特征包括强特征和弱特征，强特征一般具有惟一性，通过强特征即可识别该样本文件是黑样本文件还是白样本文件。相对普通的强特征而言，通过一个或者一组弱特征很难界定该样本文件的黑白属性。比如文件的版本信息、编译信息、敏感字符串(如URL、样本中出现的进程名等)、文件图标及文件的路径等。

目前，查杀对抗会集中对强特征进行对抗，因此，现有的恶意文件的识别通常采用基于强特征统计的鉴定方法。该方法采用固定位置的多特征，采用统计的方法得到一个黑特征表和一个白特征表，未知文件通过查询黑白特征表即可直接得到样本的属性。

但是，现有的识别方法存在以下缺点：

1、现有的特征统计方法所采用的特征具有惟一性，即非黑即白，虽然样本检出率较高，但误报也较大。

2、特征撷取的位置比较固定，一般的免杀对抗会对一些固定位置的特征进行变形或者修改，一旦该位置与鉴定器撷取特征的位置吻合，则将会很容易绕过这种方法的查杀。

发明内容

本发明的主要目的在于提供一种恶意文件识别方法及装置，旨在提高恶意文件的识别准确性。

为了达到上述目的，本发明提出一种恶意文件识别方法，包括：

提取待识别的样本文件的弱特征集；

根据所述弱特征集查找预先建立的黑、白权值表，获取黑权值和白权值；

根据所述黑权值和白权值及预定算法，计算获取黑权值系数；

根据所述黑权值系数识别所述样本文件的黑白属性。

本发明还提出一种恶意文件识别装置，包括：

提取模块，用于提取待识别的样本文件的弱特征集；

查找模块，用于根据所述弱特征集查找预先建立的黑、白权值表，获取黑权值和白权值；

计算模块，用于根据所述黑权值和白权值及预定算法，计算获取黑权值系数；

识别模块，用于根据所述黑权值系数识别所述样本文件的黑白属性。

本发明提出的一种恶意文件识别方法及装置，通过提取待识别的样本文件的弱特征集，查找预先建立的黑、白权值表，获取黑权值和白权值，并基于预定算法计算获取黑权值系数即黑可疑度，由此通过对样本文件的多组合特征进行综合判定，识别样本文件的黑白属性，而且各组合特征的权值可以根据人工经验和数据统计得到，由此提高了恶意样本判定的准确性。

附图说明

图1是本发明恶意文件识别方法第一实施例的流程示意图；

图2是本发明恶意文件识别方法第二实施例的流程示意图；

图3是本发明恶意文件识别装置第一实施例的结构示意图；

图4是本发明恶意文件识别装置第二实施例的结构示意图。

为了使本发明的技术方案更加清楚、明了，下面将结合附图作进一步详述。

具体实施方式

本发明实施例的解决方案主要是：提取待识别的样本文件的弱特征集，查找预先建立的黑、白权值表，获取黑权值和白权值，基于预定算法计算获取黑权值系数即黑可疑度，以此识别样本文件的黑白属性，由于预先建立的黑、白权值表中包含的各特征或各组合特征的权值可以根据人工经验和数据统计得到，由此可提高恶意样本判定的准确性。

本发明涉及的专业术语包括：

一维特征：多维特征的一个的特例，是指从一个文件中提取出来的一个独立的特征，不与任何其他特征做组合。比如：特征A构成一个一维特征。具体如：特征T1、T2、T3……Tn等。

多维特征：从一个文件中提取的两个及两个以上特征的组合。比如：特征A和特征B构成一个二维特征。具体如下：

二维特征，比如：T1T2、T1T3……T1Tn、T2Tn、T2T3……TmTn

三维特征，比如：T1T2T3、T1T3T4……T2T3Tn、T2TmTn……TiTmTn

......

如图1所示，本发明第一实施例提出一种恶意文件识别方法，包括：

步骤S101，提取待识别的样本文件的弱特征集；

本实施例考虑到，一般的查杀对抗会集中对强特征进行对抗，而对于同一家族的变形样本，其弱特征往往变化不大，因此，样本文件的弱特征也是一种对新变种病毒或未知病毒的有效识别手段。