[发明专利]一种基于逆向技术的恶意程序检测方法及装置

说明书

技术领域

本发明涉及网络病毒查杀技术领域，确切地说，是一种基于逆向技术的恶意程序检测方法及装置。

背景技术

数据通信网络已经进入了社会的各个角落。文化、经济等各个领域越来越多的依赖于数据处理设备及其通信网络。然而，数据通信网络在给人们带来巨大便利的同时，也带来了不可忽视的问题，数据处理设备如计算机、手机等遭受病毒、木马等恶意程序感染和攻击的事件屡屡发生，给网络和系统带来了巨大的潜在威胁和破坏。同时，也给人类生活带来了很多的不便。因此，数据处理设备的数据安全防护就显得尤其重要。

目前传统的恶意程序检测主要采用特征字符串或特征关键字匹配技术，通过抽取关键特征字组成特征字库，针对被检测样本进行扫描，一旦在其内发现有特定特征字，即表明被检测样本归属该特征字所代表的病毒种类。此方法运行速度快、误报频率低、但需要不断的对特征字进行更新扩充。同时无法检测新型恶意程序，旧型恶意程序变种也可以通过调整指令序列等方法躲避基于匹配的检测。鉴于此种情况，需要一种新的恶意程序检测方法。

发明内容

本发明所要解决的技术问题是克服上述问题的不足提供一种基于逆向技术的恶意程序检测方法，可以对恶意程序检测结果能够作为传统查杀结果的有益的补充，提高恶意程序查杀准确度和效率。

本发明解决上述技术问题的技术方案如下：一种基于逆向技术的恶意程序检测方法，所述方法包括：

实时检测本地接收的数据包，根据被检测的数据包将其中的特定语句序列划分成不同指令长度集合；

根据所述指令长度集合计算生成被检测语句；

通过比较被检测语句次序与安全次序间的汉明距离，判断其是否包含恶意程序；

如果是，则隔离所述数据包，并显示报警报告；

如果否，则允许继续接收所述数据包。

在上述技术方案的基础上，本发明还可以做如下改进。

进一步，所述特定语句包含进行了特征提取的核心功能调用语句。

一种基于逆向技术的恶意程序检测装置：

检测模块：用于实时检测本地接收的数据包；

指令模块：用于将被检测的数据包中的特定语句划分成不同指令长度集合，并根据所述指令长度集合生成被检测语句；

查杀模块：用于比较被检测语句次序与安全次序间的汉明距离，判断其是否包含恶意程序；

报警模块：用于对包含恶意程序的数据包进行隔离，并显示报警报告。

进一步，所述查杀模块包含云在线检测模块，用于发送所述本地接收的语句次序给云检测后台系统以检测该本地进程是否为恶意程序，并接收所述云在线检测后台系统的检测结果，根据该检测结果判断所述本地进程是否为恶意程序。

本发明的有益效果是：通过上述方案的在对数据包进行了特征提取后，恶意程序检测结果能够作为传统查杀结果的有益的补充，提高恶意程序查杀准确度和效率。

附图说明

图1为本发明实施的流程图；

图2为本发明实施结构框架图。

具体实施方式

以下结合附图对本发明的原理和特征进行描述，所举实例只用于解释本发明，并非用于限定本发明的范围。

如图1，所示一种基于逆向技术的恶意程序检测方法，所述方法包括：

实时检测本地接收的数据包，根据被检测的数据包将其中的特定语句序列划分成不同指令长度集合；

根据所述指令长度集合计算生成被检测语句；

通过比较被检测语句次序与安全次序间的汉明距离，判断其是否包含恶意程序；

如果是，则隔离所述数据包，并显示报警报告；

如果否，则允许继续接收所述数据包。

在上述技术方案的基础上，本发明还可以做如下改进。

进一步，所述特定语句包含进行了特征提取的核心功能调用语句。

如图2，所示一种基于逆向技术的恶意程序检测装置：

步骤201中，所述检测模块用于实时检测本地接收的数据包。所述数据包含文件资源段信息、文件版权信息、文件时间戳信息、文件长度信息。

步骤202中，所述指令模块是用于将被检测的数据包中的特定语句划分成不同指令长度集合，并根据所述指令长度集合生成被检测语句。

步骤203中，所述查杀模块是用于比较被检测语句次序与安全次序间的汉明距离，判断其是否包含恶意程序；如果否，则允许继续接收所述数据包，如果是，则执行步骤204。

步骤204中，所述报警模块是用于对包含恶意程序的数据包进行隔离，并显示报警报告。