[发明专利]一种检测恶意代码的方法和装置

说明书

本发明公开了一种检测恶意代码的方法和装置，预先建立恶意代码样本数据库，所述恶意代码样本数据库包括已知恶意代码的可移植的执行体PE文件的信息摘要；预先建立布隆过滤器Bloom‑Filter索引结构；该方法包括：获取待测代码的PE文件的信息摘要；当判断出获得的信息摘要和恶意代码样本数据库中的已知恶意代码的PE文件的信息摘要不匹配时，获取所述待测代码的PE文件的纹理指纹；根据预先建立的Bloom‑Filter索引结构对获得的纹理指纹进行检测，并返回第一检测报告，所述第一检测报告至少包括所述待测代码是否为恶意代码的检测结果。本发明能够弥补静态检测方法无法检测未知的恶意代码及其变种的问题。

技术领域

本发明涉及计算机安全技术和图像处理技术，尤指一种检测恶意代码的方法和装置。

背景技术

互联网技术的蓬勃发展使人们的生活和工作方式发生了巨大变革，人们在享受着因特网提供便利的同时，也遭受着恶意程序带来的安全威胁，在数字化时代的今天，与恶意代码的对抗已成为信息领域的焦点。

传统的恶意代码检测技术是基于静态特征码的检测，而恶意程序采用的混淆、加密、加壳等技术，使得基于静态特征码的检测技术变得无能为力。恶意程序的动态分析技术解决了混淆、加密、加壳等技术问题，但恶意程序的变种及多态性却是动态分析无法解决的问题。

现有的恶意代码变种在实现上可大致分为两类：一类是基于基础技术的共用，恶意代码开发人员通过重用基础代码实现变种；一类是恶意代码专门针对现有防范技术而设计开发的混淆技术。混淆技术按实现机理可分为两类：一类是干扰反汇编的混淆，使反汇编无法得到正确结果，从而阻碍进一步分析；另一类是指令/控制流混淆，此类混淆技术通常采用垃圾代码插入、寄存器重分配、等价指令替换及代码变化等方式，改变代码的语法特征，隐藏其内部逻辑关系。目前已提出检测恶意代码变种的不同检测方法，当更复杂的恶意代码仍然层出不穷。

恶意代码变种的检测通常是基于一个特征向量，该向量标识了恶意代码的内在特征，良好的特征抽取算法是变种检测的关键环节。目前，主流的检测恶意代码的方法主要分为两类：基于恶意代码二进制的静态特征检测方法和基于恶意代码运行行为的动态检测方法。

基于静态特征的检测方法首先将可移植的执行体（PE，Portable Execute）文件转变为汇编文件，再通过分析恶意代码的静态文件结构、二进制字节码、反汇编后的代码、反汇编后的静态系统调用等获取恶意代码的静态特征，利用分类算法区分正常代码与恶意代码，实现已知和未知恶意代码的检测。基于静态特征的恶意代码检测通常容易受代码混淆技术（如加壳、变形、多态技术等）的影响，提高逆向（即将PE文件转变为汇编文件）的难度，使其几乎很难逆向或是不可能，而且静态检测方法没有真实地运行软件，判断是否为恶意代码的行为没有展现，误报和漏报的情况比较明显。

基于动态特征的检测方法是将待检测目标程序放置在一个沙箱环境（如虚拟机）中，通过监控目标程序运行过程的行为来判断是否为恶意程序。动态检测方法又分为粗粒度方法和细粒度方法。粗粒度方法通过运行恶意代码分析其行为所对应的应用程序接口（API，Application Program Interface）调用序列来进行恶意代码检测，细粒度方法通过恶意代码的运行动态指令序列来进行检测。然而，动态检测方法是时间密集型和资源消耗型的方法，虚拟机执行包括2、执行、全路径探索来捕捉调用序列、退出等过程，动态检测方法的平均分析时间为3-5分钟。因此，动态检测方法可扩展性不足。而且，由于激发条件不能满足，一些恶意代码的行为不能表现出来。

发明内容

为了解决上述问题，本发明提出了一种检测恶意代码的方法和装置，能够弥补静态检测方法无法检测未知的恶意代码及其变种的问题。

为了达到上述目的，本发明提出了一种检测恶意代码的方法，预先建立恶意代码样本数据库，所述恶意代码样本数据库包括已知恶意代码的可移植的执行体PE文件的信息摘要；预先建立布隆过滤器Bloom-Filter索引结构；

该方法包括：