[发明专利]一种恶意文件的检测方法及系统

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种恶意文件的检测方法及系统。

背景技术

所谓特征码，就是防毒软件从病毒样本中提取的不超过64字节且能独一无二地代表病毒特征的十六进制代码。主要有单一特征码、多重特征码和复合特征码这三种类型。特征码提取的思路是：首先获取一个病毒程序的长度，根据样本长度可将文件分为若干份(分段的方法在很大程度上避免了采用单一特征码误报病毒现象的发生，也可以避免特征码过于集中造成的误报)，每份选取16B或32B的特征串，若该信息是通用信息或者全零字节则舍弃，认为或随机调整偏移量后重新选取。最后，将选取出来的几段特征码及它们的偏移量存入病毒库，标示出病毒的名称即可。根据这个思路可编写出特征码提取程序实现自动提取，并保存病毒记录。在扫描病毒时，防毒软件将目标文件通过模式匹配算法与病毒库中的特征码进行比对，以确定是否染毒。

基于特征码的防御是一个与时间晒跑的终端保护方法。当发现某个位置文件是具有威胁的，创建针对该威胁的特征码，然后将文件分发给终端以拦截该威胁，但是整个过程需要耗费较长时间。恶意软件的制作者只需要更改恶意代码的微小部分，就可以轻松逃避特征码的防御；而且在创建和更新特征码的时间内，制作者可以发动多次攻击。

发明内容

本发明的主要目的在于提出一种恶意文件的检测方法及系统，旨在解决基于特征码的防御存在的问题。

为实现上述目的，本发明实施例第一方面提供一种恶意文件的检测方法，所述方法包括步骤：

获取待检测文件的二进制代码；

对所述待检测文件的二进制代码进行机器学习，获取到待检测文件的特征图谱；

将所述待检测文件的特征图谱与威胁模型库中的模型进行匹配，获取到匹配值；

将所述匹配值与预设的匹配阈值进行比较，根据比较结果判断待检测文件是否为恶意文件。

进一步地，所述机器学习包括机械学习、类比学习或归纳学习。

进一步地，所述匹配包括图匹配或图转换匹配。

进一步地，所述威胁模型库为已知恶意文件的特征图谱。

进一步地，所述威胁模型库为云端服务器创建的已知恶意文件的特征图谱。

此外，为实现上述目的，本发明实施例第二方面提供一种恶意文件的检测系统，所述系统包括：获取模块、机器学习模块、匹配模块及比较判断模块；

所述获取模块，用于获取待检测文件的二进制代码；

所述机器学习模块，用于对所述获取模块获取的待检测文件的二进制代码进行机器学习，获取到待检测文件的特征图谱；

所述匹配模块，用于将所述待检测文件的特征图谱与威胁模型库中的模 型进行匹配，获取到匹配值；

所述比较判断模块，用于将所述匹配值与预设的匹配阈值进行比较，根据比较结果判断待检测文件是否为恶意文件。

进一步地，所述机器学习包括机械学习、类比学习或归纳学习。

进一步地，所述匹配包括图匹配或图转换匹配。

进一步地，所述威胁模型库为已知恶意文件的特征图谱。

进一步地，所述威胁模型库为云端服务器创建的已知恶意文件的特征图谱。

本发明实施例提供的恶意文件的检测方法及系统，不需要人工检查代替、不需要行为分析、也不需要人工创建特征码，大多数威胁感染可在入侵用户和系统之前被阻止，从而避免了耗时耗力的补救和清除。

附图说明

图1为实现本发明各个实施例的移动终端的硬件结构示意图；

图2为如图1所示的移动终端的无线通信系统示意图；

图3为本发明实施例提供的恶意文件的检测方法流程示意图；

图4为本发明实施例提供的恶意文件的检测系统结构示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

现在将参考附图描述实现本发明各个实施例的移动终端。在后续的描述 中，使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明，其本身并没有特定的意义。因此，"模块"与"部件"可以混合地使用。