【技術實現步驟摘要】
本申請涉及計算機,具體涉及一種軟件檢測的方法、裝置和設備及計算機存儲介質。
技術介紹
1、隨著信息技術的迅猛發展,計算機系統與網絡在日常生活及工業運營中已成為不可或缺的組成部分。然而,這也引發了安全挑戰,其中惡意軟件的威脅尤為突出且呈日益增長之勢。惡意軟件涵蓋病毒、蠕蟲、特洛伊木馬以及其他惡意代碼等類型,其能夠破壞系統功能、竊取敏感數據,甚至可完全控制設備。
2、相關技術下,惡意軟件檢測方法主要依托于簽名匹配技術,即安全軟件通過對比已知惡意軟件的特征簽名來識別威脅。具體的,軟件特征簽名通常涉及使用哈希函數計算軟件或數據的哈希值,然后使用開發者的私鑰加密這個哈希值,生成數字簽名。這個數字簽名隨后被附加到軟件或數據包中。用戶在接收軟件或數據時,會用相應的公鑰解密數字簽名,得到哈希值,然后與軟件或數據的當前哈希值進行比較。如果兩者匹配,說明軟件或數據是可信的。
3、然而,該方法存在顯著局限性:其一,依賴先驗知識,簽名匹配技術需先有惡意軟件樣本方可生成相應特征簽名,對于新出現或經過變種的惡意軟件,尤其是零日惡意軟件,此方法無法進行有效檢測;其二,易受混淆技術影響,攻擊者可借助各種混淆技術(如代碼加密、變形等)輕松繞過基于簽名的檢測系統;其三,具有高誤報率,在某些情況下,合法軟件可能與惡意軟件具有相似特征,從而導致誤報,增加了系統維護成本。
4、因此,亟需一種新的軟件檢測的方法,用以提高針對軟件進行惡意檢測時的效率與準確性。
技術實現思路
1、本申請實施例
2、第一方面,本申請實施例提供一種軟件檢測的方法,包括:
3、獲取待檢測軟件,將所述待檢測軟件的程序文件劃分為至少兩個數據塊;其中,每個數據塊的字節大小相同;
4、針對所述至少兩個數據塊中的每個數據塊,分別執行如下操作:
5、獲取一個數據塊中的至少一種連續字節序列集,在所述一個數據塊中的分布情況;其中,所述連續字節序列為:所述一個數據塊中,具有固定字節長度的任意連續字節,每種連續字節序列集對應的字節長度不同;
6、基于獲取的每種連續字節序列集對應的分布情況,對所述一個數據塊進行分類識別處理,獲取所述一個數據塊對應的分類識別結果;其中,所述分類識別結果表征:所述一個數據塊為預設目標類別的概率;
7、基于獲取到的所述至少兩個數據塊各自對應分類識別結果,結合每個數據塊在所述程序文件中的位置信息,對獲取到的至少兩個分類識別結果進行加權融合,獲得所述待檢測軟件對應的目標檢測結果。
8、可選的,所述獲取一個數據塊中的至少一種連續字節序列集,在所述一個數據塊中的分布情況,包括:
9、從所述一個數據塊中包含的全部字節中,提取處至少一種連續字節序列集;其中,每種連續字節序列集對應的字節長度為預設的字節長度集中的一種;
10、針對所述至少一種連續字節序列集,分別獲取每種連續字節序列集中的每個連續字節序列,在相應的連續字節序列集中的出現頻率;
11、基于獲得的所述每個連續序列字節對應的出現頻率,提取每種連續字節序列集在所述一個數據塊中的分布情況。
12、可選的,所述針對所述至少一種連續字節序列集,分別獲取每種連續字節序列集中的每個連續字節序列,在相應的連續字節序列集中的出現頻率,包括:
13、針對所述至少一種連續字節序列集中的每種連續字節序列集,分別執行如下操作:
14、獲取一種連續字節序列集中,每個連續字節序列在所述一種連續字節序列集中的出現次數;
15、基于所述出現次數以及所述一種連續字節序列集中連續字節序列的總數,獲取所述每個連續字節序列在所述一種連續字節序列集中的出現頻率。
16、可選的,所述分布情況至少包括以下一項或多項內容:
17、基于所述每個連續序列字節對應的出現頻率確定的新普森指數;
18、基于相鄰兩個連續序列字節對應的出現頻率確定的堪培拉距離;
19、基于相鄰兩個連續序列字節對應的出現頻率確定的閔可夫斯基距離;
20、基于相鄰兩個連續序列字節對應的出現頻率確定的曼哈頓距離;
21、基于相鄰兩個連續序列字節對應的出現頻率確定的切比雪夫距離;
22、基于相鄰兩個連續序列字節對應的出現頻率確定的布雷柯蒂斯距離;
23、基于相鄰兩個連續序列字節對應的出現頻率確定的角分離;
24、基于每個連續序列字節對應的出現頻率以及相應的連續序列字節集的平均出現概率確定的相關系數;
25、基于相鄰兩個連續序列字節對應的出現頻率確定的總變異;
26、基于所述每個連續序列字節對應的出現頻率確定的信息熵;
27、基于相鄰兩個連續序列字節對應的出現頻率確定的庫勒-萊布勒散度;
28、基于相鄰兩個連續序列字節對應的出現頻率確定的詹森-香農散度;
29、基于相鄰兩個連續序列字節對應的出現頻率確定的伊藤-齋藤散度。
30、可選的,所述基于獲取的每種連續字節序列集對應的分布情況,對所述一個數據塊進行分類識別處理,獲取所述一個數據塊對應的分類識別結果,包括:
31、通過已訓練的分類識別模型,基于獲取的每種連續字節序列集對應的分布情況,對所述一個數據塊進行分類識別處理,獲取所述一個數據塊對應的分類識別結果;
32、其中,所述分類識別模型中包括至少兩個子分類識別器,每個子分類識別器均用于針對預設分類集中的一種預設分類進行分類識別處理。
33、可選的,所述通過已訓練的分類識別模型,基于獲取的每種連續字節序列集對應的分布情況,對所述一個數據塊進行分類識別處理,獲取所述一個數據塊對應的分類識別結果,包括:
34、將獲取的每種連續字節序列集對應的分布情況,合并為所述一個數據塊對應的數據分布特征;
35、通過所述至少兩個子分類識別器中的每個子分類識別器,分別對所述數據分布特征進行分類識別處理,獲取每個子分類識別器對應的子識別結果;
36、基于針對所述每個子分類識別器預設的權重系數,將獲取到的至少兩個子識別結果進行加權融合,獲得所述一個數據塊對應的分類識別結果。
37、可選的,所述基于獲取到的所述至少兩個數據塊各自對應分類識別結果,結合每個數據塊在所述程序文件中的位置信息,對獲取到的至少兩個分類識別結果進行加權融合,獲得所述待檢測軟件對應的目標檢測結果,包括:
38、基于每個數據塊在所述程序文件中的位置信息,獲取所述每個數據塊各自對應的位置權重;所述位置權重用于表征相應的數據塊在所述程序文件中的重要程度;
39、基于獲取到的所述每個數據塊各自對應的位置權重,對所述每個數據塊各自對應的分類識別結果進行加權融合處理,獲得所述待檢測軟件對應的目標檢測結果本文檔來自技高網...
【技術保護點】
1.一種軟件檢測的方法,其特征在于,所述方法包括:
2.如權利要求1所述的方法,其特征在于,所述獲取一個數據塊中的至少一種連續字節序列集,在所述一個數據塊中的分布情況,包括:
3.如權利要求2所述的方法,其特征在于,所述針對所述至少一種連續字節序列集,分別獲取每種連續字節序列集中的每個連續字節序列,在相應的連續字節序列集中的出現頻率,包括:
4.如權利要求2所述的方法,其特征在于,所述分布情況至少包括以下一項或多項內容:
5.如權利要求1-4任一項所述的方法,其特征在于,所述基于獲取的每種連續字節序列集對應的分布情況,對所述一個數據塊進行分類識別處理,獲取所述一個數據塊對應的分類識別結果,包括:
6.如權利要求5所述的方法,其特征在于,所述通過已訓練的分類識別模型,基于獲取的每種連續字節序列集對應的分布情況,對所述一個數據塊進行分類識別處理,獲取所述一個數據塊對應的分類識別結果,包括:
7.如權利要求1-4任一項所述的方法,其特征在于,所述基于獲取到的所述至少兩個數據塊各自對應分類識別結果,結合每個數據塊在所
8.如權利要求7所述的方法,其特征在于,所述基于獲取到的所述每個數據塊各自對應的位置權重,對所述每個數據塊各自對應的分類識別結果進行加權融合處理,獲得所述待檢測軟件對應的目標檢測結果,包括:
9.一種軟件檢測的裝置,其特征在于,所述裝置包括:
10.一種電子設備,其特征在于,包括:
11.一種計算機可讀存儲介質,其特征在于,所述計算機可讀存儲介質用于存儲指令,當所述指令被執行時,使如權利要求1-8中任一項所述的方法被實現。
12.一種包含指令的計算機程序產品,其特征在于,所述計算機程序產品中存儲有指令,當其在計算機上運行時,使得計算機執行如權利要求1-8中任一項所述的方法。
...【技術特征摘要】
1.一種軟件檢測的方法,其特征在于,所述方法包括:
2.如權利要求1所述的方法,其特征在于,所述獲取一個數據塊中的至少一種連續字節序列集,在所述一個數據塊中的分布情況,包括:
3.如權利要求2所述的方法,其特征在于,所述針對所述至少一種連續字節序列集,分別獲取每種連續字節序列集中的每個連續字節序列,在相應的連續字節序列集中的出現頻率,包括:
4.如權利要求2所述的方法,其特征在于,所述分布情況至少包括以下一項或多項內容:
5.如權利要求1-4任一項所述的方法,其特征在于,所述基于獲取的每種連續字節序列集對應的分布情況,對所述一個數據塊進行分類識別處理,獲取所述一個數據塊對應的分類識別結果,包括:
6.如權利要求5所述的方法,其特征在于,所述通過已訓練的分類識別模型,基于獲取的每種連續字節序列集對應的分布情況,對所述一個數據塊進行分類識別處理,獲取所述一個數據塊對應的分類識別結果,包括:
7....
【專利技術屬性】
技術研發人員:祁海珍,常力元,宋悅,王業君,郭惟,張璞,
申請(專利權)人:天翼安全科技有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。