一種基于函數特征的惡意文件檢測方法及裝置制造方法及圖紙

技術編號：43456912 閱讀：7 留言：0更新日期：2024-11-27 12:56

本發明專利技術公開了一種基于函數特征的惡意文件檢測方法及裝置，涉及惡意文件檢測技術領域，主要目的在于實現提高檢測速度，同時提高在檢測利用未公開函數的惡意文件時的準確性。本發明專利技術主要的技術方案為：獲取待檢測PE文件；將所述待檢測PE文件根據預設反匯編規則進行反匯編，得到所述待檢測PE文件對應的反匯編代碼；基于所述待檢測PE文件對應的反匯編代碼，利用預設生成規則生成表征文件函數特征的一維向量；基于所述表征文件函數特征的一維向量，利用預設惡意文件檢測模型識別所述待檢測PE文件是否為惡意文件；當識別出所述待檢測文件為惡意文件時，則獲取所述惡意文件和所述惡意文件類型，且進行提醒。本發明專利技術用于檢測惡意文件。

全部詳細技術資料下載

【技術實現步驟摘要】

本專利技術涉及惡意文件檢測，尤其涉及一種基于函數特征的惡意文件檢測方法及裝置。

技術介紹

1、黑客在開展攻擊時，惡意文件是其中重要一環。惡意文件包括木馬、后門、蠕蟲病毒、勒索病毒、內核劫持等。因此，需要對惡意文件進行檢測，為了識別出惡意文件進行處理，保護網絡安全。

2、目前，采用一種基于api的惡意文件檢測方法和系統，該方法需要將惡意文件運行在沙箱，監控惡意文件運行過程中調用的api以及線程id，通過api和線程id構建特征，訓練分類模型，判斷文件是否屬于惡意文件。

3、但是，上述處理方法依賴沙箱，檢測速度慢；并且該方法需要監控所有api函數，而操作系統(尤其是windows操作系統)存在諸多未公開函數，而惡意文件中有很大一部分會調用未公開函數，因此，該方法在檢測利用未公開函數的惡意文件時的準確性有待驗證。

技術實現思路

1、鑒于上述問題，本專利技術提供一種基于函數特征的惡意文件檢測方法及裝置，主要目的是為了實現提高檢測速度，同時提高在檢測利用未公開函數的惡意文件時的準確性。

2、為解決上述技術問題，本專利技術提出以下方案：

3、第一方面，本專利技術提供一種基于函數特征的惡意文件檢測方法，所述方法包括：

4、獲取待檢測pe文件；

5、將所述待檢測pe文件根據預設反匯編規則進行反匯編，得到所述待檢測pe文件對應的反匯編代碼；

6、基于所述待檢測pe文件對應的反匯編代碼，利用預設生成規則生成表征文件函數特征的一維向量；

7、基于所述表征文件函數特征的一維向量，利用預設惡意文件檢測模型識別所述待檢測pe文件是否為惡意文件；

8、當識別出所述待檢測文件為惡意文件時，則獲取所述惡意文件和所述惡意文件類型，且進行提醒。

9、第二方面，本專利技術提供一種基于函數特征的惡意文件檢測裝置，所述裝置包括：

10、第一獲取單元，用于獲取待檢測pe文件；

11、反匯編單元，用于將所述待檢測pe文件根據預設反匯編規則進行反匯編，得到所述待檢測pe文件對應的反匯編代碼；

12、生成單元，用于基于所述待檢測pe文件對應的反匯編代碼，利用預設生成規則生成表征文件函數特征的一維向量；

13、識別單元，用于基于所述表征文件函數特征的一維向量，利用預設惡意文件檢測模型識別所述待檢測pe文件是否為惡意文件；

14、提醒單元，用于當識別出所述待檢測文件為惡意文件時，則獲取所述惡意文件和所述惡意文件類型，且進行提醒。

15、為了實現上述目的，根據本專利技術的第三方面，提供了一種存儲介質，所述存儲介質包括存儲的程序，其中，在所述程序運行時控制所述存儲介質所在設備執行上述第一方面所述基于函數特征的惡意文件檢測方法。

16、為了實現上述目的，根據本專利技術的第四方面，提供了一種電子設備，包括存儲器、處理器及存儲在所述存儲器上并可在所述處理器上運行的計算機程序，所述處理器執行所述程序時實現如第二方面所述用于基于函數特征的惡意文件檢測裝置的全部或部分步驟。

17、借由上述技術方案，本專利技術提供的基于函數特征的惡意文件檢測方法及裝置，是由于目前采用將惡意文件運行在沙箱，監控惡意文件運行過程中調用的api以及線程id，通過api和線程id構建特征，訓練分類模型，判斷文件是否屬于惡意文件。但是該方法依賴沙箱，檢測速度慢；并且該方法需要監控所有api函數，而操作系統(尤其是windows操作系統)存在諸多未公開函數，而惡意文件中有很大一部分會調用未公開函數，因此，該方法在檢測利用未公開函數的惡意文件時的準確性有待驗證。為此，本專利技術通過獲取待檢測pe文件；將所述待檢測pe文件根據預設反匯編規則進行反匯編，得到所述待檢測pe文件對應的反匯編代碼；基于所述待檢測pe文件對應的反匯編代碼，利用預設生成規則生成表征文件函數特征的一維向量；基于所述表征文件函數特征的一維向量，利用預設惡意文件檢測模型識別所述待檢測pe文件是否為惡意文件；當識別出所述待檢測文件為惡意文件時，則獲取所述惡意文件和所述惡意文件類型，且進行提醒。本專利技術基于圖像對釣魚郵件進行檢測，有效保護用戶隱私，不依賴沙箱，檢測速度快；并且可以避免在檢測利用未公開函數的惡意文件時的準確性有待驗證的問題，提高檢測準確度。

18、上述說明僅是本專利技術技術方案的概述，為了能夠更清楚了解本專利技術的技術手段，而可依照說明書的內容予以實施，并且為了讓本專利技術的上述和其它目的、特征和優點能夠更明顯易懂，以下特舉本專利技術的具體實施方式。

本文檔來自技高網...

【技術保護點】

1.一種基于函數特征的惡意文件檢測方法，其特征在于，所述方法包括：

2.根據權利要求1所述的方法，其特征在于，在所述獲取待檢測PE文件之前，所述方法還包括：

3.根據權利要求2所述的方法，其特征在于，所述PE文件格式至少包括DOS頭和PE頭；

4.根據權利要求1-3任一項所述的方法，其特征在于，所述將所述待檢測PE文件根據預設反匯編規則進行反匯編，得到所述待檢測PE文件對應的反匯編代碼，包括：

5.根據權利要求4所述的方法，其特征在于，所述基于所述待檢測PE文件對應的反匯編代碼，利用預設生成規則生成表征文件函數特征的一維向量，包括：

6.根據權利要求5所述的方法，其特征在于，所述從所述待檢測PE文件對應的反匯編代碼中識別Windows?API函數，并統計所述Windows?API函數在所述待檢測PE文件對應的反匯編代碼中出現的次數，包括：

7.根據權利要求6所述的方法，其特征在于，根據所述統計的Windows?API函數出現的次數，生成所述表征文件函數特征的一維向量，包括：

8.一種基于函數特征的

9.一種存儲介質，所述存儲介質包括存儲的程序，其特征在于，在所述程序運行時控制所述存儲介質所在設備執行權利要求1至權利要求7中任一項所述基于函數特征的惡意文件檢測方法。

10.一種電子設備，包括存儲器、處理器及存儲在所述存儲器上并可在所述處理器上運行的計算機程序，其特征在于，所述處理器執行所述程序時實現如權利要求1至權利要求7中任一項所述基于函數特征的惡意文件檢測方法。

...

【技術特征摘要】

1.一種基于函數特征的惡意文件檢測方法，其特征在于，所述方法包括：

2.根據權利要求1所述的方法，其特征在于，在所述獲取待檢測pe文件之前，所述方法還包括：

3.根據權利要求2所述的方法，其特征在于，所述pe文件格式至少包括dos頭和pe頭；

4.根據權利要求1-3任一項所述的方法，其特征在于，所述將所述待檢測pe文件根據預設反匯編規則進行反匯編，得到所述待檢測pe文件對應的反匯編代碼，包括：

5.根據權利要求4所述的方法，其特征在于，所述基于所述待檢測pe文件對應的反匯編代碼，利用預設生成規則生成表征文件函數特征的一維向量，包括：

6.根據權利要求5所述的方法，其特征在于，所述從所述待檢測pe文件對應的反匯編代碼中識別windows?api函數...

【專利技術屬性】
技術研發人員：童陳敏，
申請(專利權)人：北京國雙科技有限公司，
類型：發明
國別省市：

全部詳細技術資料下載我是這個專利的主人

相關技術

網友詢問留言已有0條評論

還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。

發布您的意見

相關領域技術