[发明专利]一种检测恶意代码的方法和装置

权利要求书

1.一种检测恶意代码的方法，其特征在于，预先建立恶意代码样本数据库，所述恶意代码样本数据库包括已知恶意代码的可移植的执行体PE文件的信息摘要；预先建立布隆过滤器Bloom-Filter索引结构；

该方法包括：

获取待测代码的PE文件的信息摘要；

当判断出获得的信息摘要和恶意代码样本数据库中的已知恶意代码的PE文件的信息摘要不匹配时，获取所述待测代码的PE文件的纹理指纹；根据预先建立的Bloom-Filter索引结构对获得的纹理指纹进行检测，并返回第一检测报告，所述第一检测报告至少包括所述待测代码是否为恶意代码的检测结果；

其中，所述获取所述待测代码的PE文件的纹理指纹包括：

将所述待测代码的PE文件映射为灰度纹理图像；

采用纹理分割算法对所述灰度纹理图像进行分块；

提取各分块的纹理特征。

2.根据权利要求1所述的方法，其特征在于，当判断出获得的信息摘要和恶意代码样本数据库中的已知恶意代码的PE文件的信息摘要相匹配时，该方法还包括：

返回第二检测报告，所述第二检测报告包括确认所述待测代码为恶意代码的检测结果。

3.根据权利要求1所述的方法，其特征在于，所述预先建立Bloom-Filter索引结构包括：

接收来自用户的已确认为恶意代码的PE文件；

获取接收到的恶意代码的PE文件的信息摘要，当判断出所述获得的信息摘要和所述恶意代码样本数据库中的已知恶意代码的PE文件的信息摘要不匹配时，将所述接收到的恶意代码的PE文件保存到所述恶意代码样本数据库中，并对所述接收到的恶意代码的PE文件进行标注；获取所述接收到的恶意代码的PE文件的纹理指纹；根据获得的恶意代码的PE文件的纹理指纹建立Bloom-Filter索引结构。

4.根据权利要求3所述的方法，其特征在于，当判断出获得的信息摘要和所述恶意代码样本数据库中的已知恶意代码的PE文件的信息摘要相匹配时，该方法还包括：

丢弃所述接收到的恶意代码的PE文件。

5.根据权利要求1所述的方法，其特征在于，所述采用纹理分割算法对所述灰度纹理图像进行分块包括：

对所述灰度纹理图像按纹理段顺序扫描，找到第一个还没有归属的纹理段，标记该纹理段为当前纹理段；

当判断出所述当前纹理段满足退化准则时，将所述当前纹理段所在分块的所有纹理段划分为一个分块；

当判断出所述当前纹理段不满足退化准则，且所述当前纹理段与下一纹理段满足生长准则时，将所述当前纹理段和所述下一纹理段合并为一个分块，并将所述下一纹理段标记为当前纹理段，继续执行判断所述当前纹理段是否满足退化准则的步骤；

读取灰度纹理图像的下一纹理段，继续执行判断所述当前纹理段是否满足退化准则的步骤；

当判断出当前纹理段为灰度纹理图像的最后一纹理段时，返回图像纹理的分块结果。

6.根据权利要求1所述的方法，其特征在于，采用灰度共生矩阵、或通用搜索树方法、或局部二值模式方法、或傅里叶变换方法提取所述各分块的纹理特征。

7.根据权利要求1所述的方法，其特征在于，所述根据预先建立的Bloom-Filter索引结构对获得的纹理指纹进行检测包括：

获取所述灰度纹理图像各分块在恶意代码样本数据库中出现的次数；

根据获得的次数获取所述待测代码的总体匹配度；

根据获得的总体匹配度判断所述待测代码是否为恶意代码。