[发明专利]恶意程序检测方法及装置

说明书

技术领域

本发明涉及系统安全与网络安全技术领域，尤其是涉及一种恶意程序检测方法及装置。

背景技术

恶意程序通常是指带有攻击意图的一段程序，是编写者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码，包括但不限于蠕虫、病毒和木马。现在计算机和通信基础设施非常容易遭受恶意程序的攻击，网络连接的高速发展使得恶意程序以更快的速度传播并感染主机，进而损害个人、商业公司和政府的利益。

传统的恶意程序检测方法主要采用基于签名的方式，具体的检测过程如下：选取已知的恶意文件，从恶意文件中提取签名，其中，该签名为一些短小且唯一的字符串，然后将提取出的签名作为特征组成特征库；检测未知文件时，若未知文件包含特征库中的特征，则判定该未知文件为恶意程序；若未知文件不包含特征库中的特征，则判定该未知文件为正常程序。

传统的恶意程序检测方法主要是通过检测未知文件中是否包含特征库中的特征来确定该未知文件是否为恶意程序，由于特征库中只存储有已知的恶意文件的特征，因此现有的恶意程序检测方法只能识别已知的恶意程序，无法有效地识别新型的恶意程序。

发明内容

有鉴于此，本发明的目的在于提供一种恶意程序检测方法及装置，以解决现有的恶意程序检测方法只能识别已知的恶意程序，无法有效地识别新型的恶意程序的技术问题。

第一方面，本发明实施例提供了一种恶意程序检测方法，包括：获取待检测程序，提取所述待检测程序的特征；根据所述待检测程序的特征和预先获得的特征库，确定所述待检测程序对应的特征向量；利用训练好的分类器对所述特征向量进行检测，以确定所述待检测程序是否为恶意程序。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，提取所述待检测程序的特征，包括：提取所述待检测程序的操作码，根据所述操作码确定所述待检测程序的特征。

结合第一方面，本发明实施例提供了第一方面的第二种可能的实施方式，其中，根据所述待检测程序的特征和预先获得的特征库，确定所述待检测程序对应的特征向量，包括：在所述待检测程序的多个特征中，逐一查找所述特征库中的每个特征；当查找到所述特征库中的特征时，将所述特征库中被查找到的特征标记为第一预设值，否则，将所述特征库中未被查找到的特征标记为第二预设值；根据所述特征库中各个特征的标记结果和各个特征的排列顺序，确定所述待检测程序对应的特征向量。

结合第一方面、第一方面的第一种、第一方面的第二种中任一种可能的实施方式，本发明实施例提供了第一方面的第三种可能的实施方式，其中，所述特征库通过以下方法获得：获取满足预设样本要求的程序样本，提取所述程序样本的特征，其中，所述程序样本包括正常样本和恶意样本；对所述程序样本的特征进行筛选，得到分类效果满足预设分类要求的特征；将所述分类效果满足预设分类要求的特征进行组合，得到所述特征库。

结合第一方面的第三种可能的实施方式，本发明实施例提供了第一方面的第四种可能的实施方式，其中，所述分类器通过以下方式训练：根据所述程序样本的特征和所述特征库，确定所述程序样本对应的特征向量；根据所述程序样本对应的特征向量对所述分类器进行训练。

第二方面，本发明实施例还提供一种恶意程序检测装置，包括：特征提取模块，用于获取待检测程序，提取所述待检测程序的特征；特征向量确定模块，用于根据所述待检测程序的特征和预先获得的特征库，确定所述待检测程序对应的特征向量；检测模块，用于利用训练好的分类器对所述特征向量进行检测，以确定所述待检测程序是否为恶意程序。

结合第二方面，本发明实施例提供了第二方面的第一种可能的实施方式，其中，所述特征提取模块具体用于：提取所述待检测程序的操作码，根据所述操作码确定所述待检测程序的特征。

结合第二方面，本发明实施例提供了第二方面的第二种可能的实施方式，其中，所述特征向量确定模块包括：特征查找单元，用于在所述待检测程序的多个特征中，逐一查找所述特征库中的每个特征；标记单元，用于当所述特征查找单元查找到所述特征库中的特征时，将所述特征库中被查找到的特征标记为第一预设值，否则，将所述特征库中未被查找到的特征标记为第二预设值；第一确定单元，用于根据所述特征库中各个特征的标记结果和各个特征的排列顺序，确定所述待检测程序对应的特征向量。

结合第二方面、第二方面的第一种、第二方面的第二种中任一种可能的实施方式，本发明实施例提供了第二方面的第三种可能的实施方式，其中，所述装置还包括特征库建立模块，所述特征库建立模块包括：