• 四川郎酒股份有限公司获第十二届人民企业社会责任奖年度环保奖 2019-05-13
  • 银保监会新规剑指大企业多头融资和过度融资 2019-05-12
  • 韩国再提4国联合申办世界杯 中国网友无视:我们自己来 2019-05-11
  • 中国人为什么一定要买房? 2019-05-11
  • 十九大精神进校园:风正扬帆当有为 勇做时代弄潮儿 2019-05-10
  • 粽叶飘香幸福邻里——廊坊市举办“我们的节日·端午”主题活动 2019-05-09
  • 太原设禁鸣路段 设备在测试中 2019-05-09
  • 拜耳医药保健有限公司获第十二届人民企业社会责任奖年度企业奖 2019-05-08
  • “港独”没出路!“梁天琦们”该醒醒了 2019-05-07
  • 陈卫平:中国文化内涵包含三方面 文化复兴表现在其中 2019-05-06
  • 人民日报客户端辟谣:“合成军装照”产品请放心使用 2019-05-05
  • 【十九大·理论新视野】为什么要“建设现代化经济体系”?   2019-05-04
  • 聚焦2017年乌鲁木齐市老城区改造提升工程 2019-05-04
  • 【专家谈】上合组织——构建区域命运共同体的有力实践者 2019-05-03
  • 【华商侃车NO.192】 亲!楼市火爆,别忘了买车位啊! 2019-05-03
    • / 6
    • 下载费用:30 金币  

    重庆时时彩机器人: 一种基于结构特性的恶意代码启发式检测方法及系统.pdf

    摘要
    申请专利号:

    重庆时时彩单双窍门 www.4mum.com.cn CN201610811571.2

    申请日:

    2016.09.09

    公开号:

    CN106570398A

    公开日:

    2017.04.19

    当前法律状态:

    实审

    有效性:

    审中

    法律详情: 实质审查的生效IPC(主分类):G06F 21/56申请日:20160909|||公开
    IPC分类号: G06F21/56(2013.01)I 主分类号: G06F21/56
    申请人: 哈尔滨安天科技股份有限公司
    发明人: 王天博; 童志明; 肖新光
    地址: 150090 黑龙江省哈尔滨市开发区南岗集中区红旗大街162号506室
    优先权:
    专利代理机构: 代理人:
    PDF完整版下载: PDF下载
    法律状态
    申请(专利)号:

    CN201610811571.2

    授权公告号:

    |||

    法律状态公告日:

    2017.07.07|||2017.04.19

    法律状态类型:

    实质审查的生效|||公开

    摘要

    本发明提供一种基于结构特性的恶意代码启发式检测方法,包括:获取并分析待检测样本;若所述待检测样本为特定结构的可执行文件,则继续判定是否包含可疑字符串结构;若包含则与已知恶意样本库进行匹配,若匹配则判定为恶意样本,若不匹配则定位可疑字符串结构;判定所述可疑字符串结构中是否包含可疑字符串,若包含则判定为恶意样本,并将可疑字符串加入已知恶意样本库中。解决了传统检测方法中的只能通过检测恶意代码,检测导入表等局限性的问题,同时能够有效提高非传统格式PE文件的检出率和准确性,提高了检测速度。

    权利要求书

    1.一种基于结构特性的恶意代码启发式检测方法,其特征在于,包括:获取并分析待检
    测样本;若所述待检测样本为特定结构的可执行文件,则继续判定是否包含可疑字符串结
    构;若包含则与已知恶意样本库进行匹配,若匹配则判定为恶意样本,若不匹配则定位可疑
    字符串结构;判定所述可疑字符串结构中是否包含可疑字符串,若包含则判定为恶意样本,
    并将可疑字符串加入已知恶意样本库中。
    2.如权利要求1所述的一种基于结构特性的恶意代码启发式检测方法,其特征在于,所
    述恶意样本库中包括已知恶意字符串结构和/或已知恶意字符串。
    3.如权利要求1或2所述的一种基于结构特性的恶意代码启发式检测方法,其特征在
    于,所述特定结构的可执行文件包括MSIL文件;所述可疑字符串结构包括MSIL文件的元数
    据的Strings流、US流。
    4.如权利要求1所述的一种基于结构特性的恶意代码启发式检测方法,其特征在于,所
    述可疑字符串包括自定义的函数名、类名、每种类型的成员的签名以及执行运行库所产生
    的数据。
    5.一种基于结构特性的恶意代码启发式检测系统,其特征在于,包括:
    第一判定???,用于获取并分析待检测样本,若所述待检测样本为特定结构的可执行
    文件,则继续判定是否包含可疑字符串结构;
    匹配???,用于将可疑字符串结构与已知恶意样本库进行匹配,若匹配则判定为恶意
    样本,若不匹配则定位可疑字符串结构;
    第二判定???,用于判定所述可疑字符串结构中是否包含可疑字符串,若包含则判定
    为恶意样本,并将可疑字符串加入已知恶意样本库中。
    6.如权利要求5所述的一种基于结构特性的恶意代码启发式检测方法,其特征在于,所
    述恶意样本库中包括已知恶意字符串结构和/或已知恶意字符串的启发式扫描库。
    7.如权利要求5或6所述的一种基于结构特性的恶意代码启发式检测系统,其特征在
    于,所述特定结构的可执行文件包括MSIL文件;所述可疑字符串结构包括MSIL文件的元数
    据的Strings流、US流。
    8.如权利要求5所述的一种基于结构特性的恶意代码启发式检测系统,其特征在于,所
    述可疑字符串包括自定义的函数名、类名以及每种类型的成员的签名及执行运行库所产生
    的数据。

    说明书

    一种基于结构特性的恶意代码启发式检测方法及系统

    技术领域

    本发明涉及信息安全技术领域,尤其涉及一种基于结构特性的恶意代码启发式检
    测方法及系统。

    背景技术

    可执行文件的结构并不是一成不变的,如从早期的LE、NE,到如今的PE,以及在PE
    基础上进行改进的MSIL文件等??芍葱形募峁沟谋浠?,意味着现有的针对可执行文件的
    检测技术在遇到新的文件结构时,效果可能会降低甚至失效。

    以MSIL(Microsoft Intermediate Language)即微软中间语言为例,它是将.Net
    代码转化为机器语言的一个中间过程,是一种介于高级语言和基于Intel的汇编语言的伪
    汇编语言。当编译器对.Net代码进行编译时,除了产生MSIL代码,同时也会产生元数据。元
    数据用来描述代码中的类型,包括每种类型的定义、每种类型的成员的签名、代码引用的成
    员和运行库在执行时试用的其他数据。MSIL和元数据包含在一个PE文件中,而这种PE文件
    中,几乎是不存在传统PE中的汇编代码的,导入表中也几乎不存在任何有价值的内容。因
    此,传统的检测方法,比如检测代码,以及检测导入表等,并不适用于MSIL文件。

    发明内容

    本发明针对上述问题,提供了基于结构特性的恶意代码启发式检测方法,通过识
    别不同特定结构文件的结构特性,快速的定位到待检测样本的检测位置,解决了传统检测
    方法中的只能通过检测恶意代码,检测导入表等局限性的问题,同时能够有效提高非传统
    格式PE文件的检出率和准确性,提高了检测速度。

    本发明采用如下方法来实现:

    一种基于结构特性的恶意代码启发式检测方法,包括:获取并分析待检测样本;若所述
    待检测样本为特定结构的可执行文件,则继续判定是否包含可疑字符串结构;若包含则与
    已知恶意样本库进行匹配,若匹配则判定为恶意样本;若不匹配则定位可疑字符串结构;判
    定所述可疑字符串结构中是否包含可疑字符串,若包含则判定为恶意样本,并将可疑字符
    串加入已知恶意样本库中。

    进一步地,所述恶意样本库中包括已知恶意字符串结构和/或已知恶意字符串的
    启发式扫描库。

    进一步地,所述特定结构的可执行文件包括MSIL文件;所述可疑字符串结构包括
    MSIL文件的元数据的Strings流、US流。

    进一步地,所述可疑字符串包括自定义函数名、类名、每种类型的成员的签名以及
    执行运行库所产生的数据。

    本发明采用如下系统来实现:

    一种基于结构特性的恶意代码启发式检测系统,包括:

    第一判定???,用于获取并分析待检测样本,若所述待检测样本为特定结构的可执行
    文件,则继续判定是否包含可疑字符串结构;

    匹配???,用于将可疑字符串结构与已知恶意样本库进行匹配,若匹配则判定为恶意
    样本,若不匹配则定位可疑字符串结构;

    第二判定???,用于判定所述可疑字符串结构中是否包含可疑字符串,若包含则判定
    为恶意样本,并将可疑字符串加入已知恶意样本库中。

    进一步地,所述恶意样本库中包括已知恶意字符串结构和/或已知恶意字符串的
    启发式扫描库。

    进一步地,所述特定结构的可执行文件包括MSIL文件;所述可疑字符串结构包括
    MSIL文件的元数据的Strings流、US流。

    进一步地,所述可疑字符串包括自定义函数名、类名以及每种类型的成员的签名
    及执行运行库所产生的数据。

    有益效果为:

    本发明解决了如何快速准确的检测非传统格式PE文件的问题,如何克服传统检测方法
    中的只能通过检测恶意代码,检测导入表等具备的局限性的问题,针对特定格式文件的特
    定位置进行检测,针对性强,检测速度快,准确率高;另外,与传统恶意样本库不同的是,本
    发明的恶意样本库还包括已知恶意字符串结构和/或已知恶意字符串,通过对这些特殊符
    号标识的积累,从而形成比较全面的启发式特征,达到检测未知恶意样本的目的??朔舜?br />统的全文检测所导致的速度慢、耗费时间与人力物力且检出效率低的问题。

    附图说明

    为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术
    描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中
    记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以
    根据这些附图获得其他的附图。

    图1为本发明提供的一种基于结构特性的恶意代码启发式检测方法实施例流程
    图;

    图2为本发明提供的一种基于结构特性的恶意代码启发式检测系统实施例结构图。

    具体实施方式

    为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的
    上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详
    细的说明。

    一种基于结构特性的恶意代码启发式检测方法,如图1所示,包括:

    S101获取并分析待检测样本;

    S102若所述待检测样本为特定结构的可执行文件,则继续判定是否包含可疑字符串结
    构;

    S103若包含则与已知恶意样本库进行匹配,若匹配则判定为恶意样本,若不匹配则定
    位可疑字符串结构;

    S104判定所述可疑字符串结构中是否包含可疑字符串,若包含则判定为恶意样本,并
    将可疑字符串加入已知恶意样本库中。

    优选地,所述恶意样本库中包括已知恶意字符串结构和/或已知恶意字符串的启
    发式扫描库。

    优选地,所述特定结构的可执行文件包括MSIL文件;所述可疑字符串结构包括
    MSIL文件的元数据的Strings流、US流。

    优选地,所述可疑字符串包括自定义函数名、类名、每种类型的成员的签名以及执
    行运行库所产生的数据。

    其中,可疑字符串可以为带有明显恶意的字符串,如包含trojan字符,virus字符,
    也可以为明显是作者自定义的字符串,如包含有姓名,或以My***命名等的字符串。

    本发明采用如下系统来实现,如图2所示:

    一种基于结构特性的恶意代码启发式检测系统,包括:

    第一判定???01,用于获取并分析待检测样本,若所述待检测样本为特定结构的可执
    行文件,则继续判定是否包含可疑字符串结构;

    匹配???02,用于将可疑字符串结构与已知恶意样本库进行匹配,若匹配则判定为恶
    意样本,若不匹配则定位可疑字符串结构;

    第二判定???03,用于判定所述可疑字符串结构中是否包含可疑字符串,若包含则判
    定为恶意样本,并将可疑字符串加入已知恶意样本库中。

    优选地,所述恶意样本库中包括已知恶意字符串结构和/或已知恶意字符串的启
    发式扫描库。

    优选地,所述特定结构的可执行文件包括MSIL文件;所述可疑字符串结构包括
    MSIL文件的元数据的Strings流、US流。

    优选地,所述可疑字符串包括自定义函数名、类名以及每种类型的成员的签名及
    执行运行库所产生的数据。

    其中,可疑字符串可以为带有明显恶意的字符串,如包含trojan字符,virus字符,
    也可以为明显是作者自定义的字符串,如包含有姓名,或以My***命名等的字符串。

    综上,上述实施例给出了一种基于结构特性的恶意代码启发式检测方法及系统,
    包括:获取并分析待检测样本;若所述待检测样本为特定结构的可执行文件,则继续判定是
    否包含可疑字符串结构;若包含则与已知恶意样本库进行匹配,若匹配则判定为恶意样本;
    若不匹配则定位可疑字符串结构;判定所述可疑字符串结构中是否包含可疑字符串,若包
    含则判定为恶意样本,并将可疑字符串加入已知恶意样本库中。有效地解决了如何快速准
    确的检测非传统格式PE文件,传统检测方法中的只能通过检测恶意代码,检测导入表等局
    限性的问题,针对特定格式文件的特定位置进行检测,针对性强,检测速度快,准确率高;另
    外,与传统恶意样本库不同的是,本发明的恶意样本库还包括已知恶意字符串结构和/或已
    知恶意字符串的启发式扫描库,通过对这些特殊符号标识的积累,能够比较容易的形成一
    些启发式的特征,达到检测未知恶意样本的目的??朔舜车娜募觳馑贾碌乃俣嚷?、
    耗费时间与人力物力且检出效率低的问题。

    关 键 词:
    一种 基于 结构 特性 恶意代码 启发式 检测 方法 系统
      专利查询网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    关于本文
    本文标题:一种基于结构特性的恶意代码启发式检测方法及系统.pdf
    链接地址://www.4mum.com.cn/p-6092759.html
    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服客服 - 联系我们

    [email protected] 2017-2018 www.4mum.com.cn网站版权所有
    经营许可证编号:粤ICP备17046363号-1 
     


    收起
    展开
  • 四川郎酒股份有限公司获第十二届人民企业社会责任奖年度环保奖 2019-05-13
  • 银保监会新规剑指大企业多头融资和过度融资 2019-05-12
  • 韩国再提4国联合申办世界杯 中国网友无视:我们自己来 2019-05-11
  • 中国人为什么一定要买房? 2019-05-11
  • 十九大精神进校园:风正扬帆当有为 勇做时代弄潮儿 2019-05-10
  • 粽叶飘香幸福邻里——廊坊市举办“我们的节日·端午”主题活动 2019-05-09
  • 太原设禁鸣路段 设备在测试中 2019-05-09
  • 拜耳医药保健有限公司获第十二届人民企业社会责任奖年度企业奖 2019-05-08
  • “港独”没出路!“梁天琦们”该醒醒了 2019-05-07
  • 陈卫平:中国文化内涵包含三方面 文化复兴表现在其中 2019-05-06
  • 人民日报客户端辟谣:“合成军装照”产品请放心使用 2019-05-05
  • 【十九大·理论新视野】为什么要“建设现代化经济体系”?   2019-05-04
  • 聚焦2017年乌鲁木齐市老城区改造提升工程 2019-05-04
  • 【专家谈】上合组织——构建区域命运共同体的有力实践者 2019-05-03
  • 【华商侃车NO.192】 亲!楼市火爆,别忘了买车位啊! 2019-05-03