[发明专利]一种病毒检测方法及装置

说明书

本发明公开了一种病毒检测方法，包括：对待检测样本进行反汇编，得到反汇编后的函数对应的控制流图；分别对每个控制流图进行编码，生成每个控制流图对应的标识；不同控制流图对应的标识不同；集合所有控制流图对应的标识，生成待检测样本的特征；将待检测样本的特征与病毒特征库中的特征进行匹配；当待检测样本的特征与病毒特征库中的特征匹配成功，则确定待检测样本为恶意样本。本发明还公开了一种病毒检测装置，解决了现有技术基于病毒样本二进制内容的特征码光谱性差，病毒免杀的难度低的技术问题；通过基于函数控制流图的结构化特征来进行病毒检测，可以很好地抵抗编译器优化策略引入的干扰和病毒作者对源码的修改引入的干扰。

技术领域

本发明涉及计算机领域，尤其涉及病毒检测方法及病毒检测装置。

背景技术

随着电子科技以及移动互联网技术的发展，电子设备(特别是智能移动设备)的功能越来越强大，只要用户按照自身的需求在电子设备上安装各种应用程序，便可以通过移动互联网完成各种事务，例如移动支付、移动办公等等。然而，当电子设备上网成为非常普遍的事情的同时，电子设备感染病毒木马的几率也越来越高，很容易给用户造成巨大损失。

目前基于特征码的反病毒引擎大多数是基于文件哈希匹配和内容二进制字节匹配的。比如著名的开源反病毒软件Clam AntiVirus(ClamAV)的特征码：

1.格式：HashString:FileSize:MalwareName

举例：507d8f868c27feb88b18e6f8426adf1c:12391:Win.Exploit.CVE_2013_3163

2.格式：MalwareName＝HexSignature

举例：Trojan.URLspoof.gen(Clam)＝2e687265663d756e6573636170652827*3a2f2f*

现有技术中的基于病毒样本二进制内容的特征码没有语义分析，缺乏对程序逻辑的理解，对样本的变化是非常敏感的，只要病毒样本有轻微的变化，特征码就可能失效。这使得特征码的广谱性非常差：一方面，病毒作者可以通过对源码进行轻微的修改即可达到改变病毒哈希值和二进制数据从而绕过反病毒软件的目的；另一方面，大部分编译器存在指令重排、寄存器重分配等优化机制，使得即使是相同的源码编译出来的目标文件的二进制内容也可能不一致。

如何提高特征码的光谱性以及病毒免杀的难度，是当前研发人员关注的问题。

发明内容

本发明实施例所要解决的技术问题在于，提供病毒检测方法及病毒检测装置，解决现有技术基于病毒样本二进制内容的特征码光谱性差，病毒免杀的难度低的技术问题。

为了解决上述技术问题，本发明实施例第一方面公开了一种病毒检测方法，包括：

对待检测样本进行反汇编，得到反汇编后的函数对应的控制流图；

分别对每个控制流图进行编码，生成每个控制流图对应的标识；不同控制流图对应的标识不同；

集合所有控制流图对应的标识，生成所述待检测样本的特征；

将所述待检测样本的特征与病毒特征库中的特征进行匹配；

当所述待检测样本的特征与病毒特征库中的特征匹配成功，则确定所述待检测样本为恶意样本。

结合第一方面，在第一种可能的实现方式中，所述将所述待检测样本的特征与病毒特征库中的特征进行匹配之前，还包括：

对已知恶意样本进行反汇编，得到反汇编后的函数对应的控制流图；

分别对每个控制流图进行编码，生成每个控制流图对应的标识；