CN101984450A - 恶意代码检测方法和系统 - Google Patents

恶意代码检测方法和系统 Download PDF

Info

Publication number
CN101984450A
CN101984450A CN2010105893372A CN201010589337A CN101984450A CN 101984450 A CN101984450 A CN 101984450A CN 2010105893372 A CN2010105893372 A CN 2010105893372A CN 201010589337 A CN201010589337 A CN 201010589337A CN 101984450 A CN101984450 A CN 101984450A
Authority
CN
China
Prior art keywords
feature
contribution
sample
threshold value
average
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2010105893372A
Other languages
English (en)
Other versions
CN101984450B (zh
Inventor
康学斌
张栗伟
肖新光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing ahtech network Safe Technology Ltd
Original Assignee
Beijing Antiy Electronic Equipment Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Antiy Electronic Equipment Co Ltd filed Critical Beijing Antiy Electronic Equipment Co Ltd
Priority to CN201010589337A priority Critical patent/CN101984450B/zh
Publication of CN101984450A publication Critical patent/CN101984450A/zh
Application granted granted Critical
Publication of CN101984450B publication Critical patent/CN101984450B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

本发明公开了一种恶意代码检测方法,包括:从未知是否包含恶意代码的软件中提取特征;根据预先得到的每个特征的贡献度计算所述软件中提取的所有特征的特征贡献和以及特征贡献均值;根据得到的特征贡献和与预先得到的特征贡献和阈值的大小关系,以及得到的特征贡献均值与预先计算的特征贡献均值阈值的大小关系,确定所述未知软件中是否包含恶意代码;本发明还公开了一种恶意代码检测系统,包括:特征提取模块,特征贡献库,特征分析模块,判别模块。本发明通过自动化判别恶意代码解决了目前恶意代码数量大爆炸导致的无法及时判别的问题,从而可以及时地响应处理恶意代码。

Description

恶意代码检测方法和系统
技术领域
本发明涉及计算机网络安全技术领域,特别涉及一种恶意代码检测方法和系统。
背景技术
随着恶意代码数量急剧膨胀,恶意代码自动化判别已经成为反病毒研究的重要方向。恶意代码自动化判别,是通过一定的方法对未知的程序进行判别分类的方法。
对非二进制特征码的恶意代码检测的相关研究主要有静态检测恶意代码方面、动态行为分析检测恶意代码及组合检测。现有技术可以通过对文件静态反汇编得到API序列图,然后与安全策略进行对比,违反安全策略的API序列判定为恶意代码。还可以根据软件行为监控序列的距离判别分类方法。该方法可以在一定程度上进行自动化分类,但所需时间巨大,需要判别样本的行为序列与所有其它的行为序列计算距离,随着样本量的膨胀呈线性增长,恶意代码数量的膨胀速度导致该方法将耗费巨大的时间来判断一个未知的恶意代码的类别,另外采用让恶意代码运行在虚拟机环境中通过获取其API调用来分析软件行为这个获取的层次相对初级。
发明内容
针对以上不足,本发明要解决的技术问题是提供一种恶意代码检测方法和系统,用以提高软件判别的准确率,不需要进行人工分析,并且可以快速的进行软件判别。
为了解决上述技术问题,本发明提供了一种恶意代码检测方法,包括:
从未知是否包含恶意代码的软件中提取特征;
根据预先得到的每个特征的贡献度,计算所述软件中提取的所有特征的特征贡献和以及特征贡献均值,一个特征的贡献度是指所述特征对于判断未知软件是包含恶意代码的文件或不包含恶意代码的文件的贡献程度;
根据计算得到的特征贡献和与预先得到的特征贡献和阈值的大小关系,以及计算得到的特征贡献均值与预先得到的特征贡献均值阈值的大小关系,确定所述软件中包含恶意代码或不包含恶意代码。
进一步的,根据预先得到的每个特征的贡献度计算所述软件中提取的所有特征的特征贡献和以及特征贡献均值之前,还包括:
收集白名单样本和黑名单样本,所述白名单样本是指样本的静态特征与样本所在的系统环境及样本的活动对系统不会产生威胁的软件,所述黑名单样本是指样本本身及其所在环境能够给系统带来威胁的软件;
提取每个样本的特征;
计算每个特征在所有的黑名单样本中出现的概率与在所有的白名单中出现的概率;
根据每个特征在所有的黑名单样本中出现的概率与在所有的白名单样本中出现的概率,计算每个特征的贡献度。
进一步的,计算每个特征的贡献度后,还包括:对所有特征的贡献度进行排序,保存指定范围内的贡献度以及对应的特征。
进一步的,按照下述方式计算每个特征的贡献度:                                                ,其中,
Figure 859581DEST_PATH_IMAGE004
为特征的贡献度,特征为所有样本所具有的静态特征、动态行为特征以及相关环境特征的集合,
Figure 724266DEST_PATH_IMAGE010
 为特征
Figure 609045DEST_PATH_IMAGE012
在黑名单样本集合
Figure 187663DEST_PATH_IMAGE014
中出现的概率,
Figure 386563DEST_PATH_IMAGE016
为特征
Figure 2010105893372100002DEST_PATH_IMAGE017
在白名单样本集合
Figure 2010105893372100002DEST_PATH_IMAGE019
出现的概率。
进一步的,根据计算得到的特征贡献和与预先得到的特征贡献和阈值的大小关系,以及计算得到的特征贡献均值与预先得到的特征贡献均值阈值的大小关系,确定所述未知软件中包含恶意代码或不包含恶意代码之前,还包括:
收集白名单样本和黑名单样本,所述白名单样本是指一个样本的静态特征与样本所在的系统环境及样本的活动对系统不会产生威胁的软件,所述黑名单样本是指样本本身及其所在环境能够给系统带来威胁的软件;
提取每个样本的特征;
计算每个样本中提取的所有特征的特征贡献和以及特征贡献均值;
根据计算得到的每个样本中提取的所有特征的特征贡献和与预先确定的初始特征贡献和阈值的大小关系,以及计算得到的每个样本中提取的所有特征的特征贡献均值与预先确定的初始特征贡献均值阈值的大小关系,将收集的所有样本划分为恶意文件和非恶意文件两类;
计算将收集的白名单样本划分成恶意文件的百分比,或者计算将收集的黑名单样本划分成非恶意文件的百分比,调整初始特征贡献和阈值以及初始特征贡献均值阈值,得到特征贡献和阈值以及特征贡献均值阈值。
进一步的,其特征在于,按照下述方式计算所述软件或每个样本中提取的所有特征的特征贡献和:
Figure 2010105893372100002DEST_PATH_IMAGE021
,其中,
Figure 2010105893372100002DEST_PATH_IMAGE023
为特征贡献和,
Figure 307639DEST_PATH_IMAGE004
为特征的贡献度,特征
Figure 2010105893372100002DEST_PATH_IMAGE025
为所述软件或每个样本中提取的所有特征,
Figure 2010105893372100002DEST_PATH_IMAGE029
,并且
Figure 993015DEST_PATH_IMAGE008
为所有软件或所有样本所具有的静态特征、动态行为特征以及相关环境特征的集合,如果软件或样本中出现特征
Figure 41611DEST_PATH_IMAGE030
,则
Figure 627314DEST_PATH_IMAGE030
取值为1,否则为0。
进一步的,其特征在于,按照下述方式计算所述软件或每个样本中提取的所有特征的特征贡献均值:
Figure 57158DEST_PATH_IMAGE032
,其中,
Figure 111833DEST_PATH_IMAGE014
为特征贡献均值,
Figure 386956DEST_PATH_IMAGE004
为特征的贡献度,特征
Figure 427910DEST_PATH_IMAGE027
为所述软件或每个样本中提取的所有特征,
Figure 471346DEST_PATH_IMAGE029
,并且
Figure 110455DEST_PATH_IMAGE008
为所有软件或所有样本所具有的静态特征、动态行为特征以及相关环境特征的集合,如果软件或样本中出现特征
Figure 695151DEST_PATH_IMAGE030
,则
Figure 708107DEST_PATH_IMAGE030
取值为1,否则为0。
进一步的,根据计算得到的每个样本中提取的所有特征的特征贡献和与预先确定的初始特征贡献和阈值的大小关系,以及计算得到的每个样本中提取的所有特征的特征贡献均值与预先确定的初始特征贡献均值阈值的大小关系,将收集的所有样本划分为恶意文件和非恶意文件两类之前,还包括:确定初始特征贡献和阈值以及初始特征贡献均值阈值;
其中,按照下述方式确定初始特征贡献和阈值:
Figure 590612DEST_PATH_IMAGE034
,其中,
Figure 254680DEST_PATH_IMAGE036
为初始特征贡献和阈值,为每个样本的特征贡献和;
按照下述方式确定初始特征贡献均值阈值:,其中,为初始特征贡献均值阈值,
Figure 466033DEST_PATH_IMAGE044
为每个样本的特征贡献均值。
进一步的,将收集的所有样本划分为恶意文件和非恶意文件两类包括:如果一个样本的所有特征的特征贡献和大于初始特征贡献和阈值,并且,该样本的所有特征的特征贡献均值大于初始特征贡献均值阈值,则将该样本划分为恶意文件,否则,将该样本划分为非恶意文件。
进一步的,其特征在于,调整初始特征贡献和阈值以及初始特征贡献均值阈值、得到特征贡献和阈值以及特征贡献均值阈值具体为:如果将白名单样本划分成恶意文件的百分比大于0.1%,则增大初始特征贡献和阈值以及初始特征贡献均值阈值,直到将白名单样本划分成恶意文件的百分比不大于0.1%,将调整后的初始特征贡献和阈值作为特征贡献和阈值,将调整后的初始特征贡献均值阈值作为特征贡献均值阈值。
进一步的,根据计算得到的特征贡献和与预先得到的特征贡献和阈值的大小关系,以及计算得到的特征贡献均值与预先得到的特征贡献均值阈值的大小关系,确定所述未知软件中包含恶意代码或不包含恶意代码包括:如果计算得到的特征贡献和大于特征贡献和阈值,并且计算得到的特征贡献均值大于特征贡献均值阈值,则确定所述软件中包含恶意代码,否则确定所述软件中不包含恶意代码。
本发明还提供了一种恶意代码检测系统,包括:
特征提取模块,用于从未知是否包含恶意代码的软件中提取特征;
特征贡献库,用于保存每个特征的贡献度、特征贡献和阈值和特征贡献均值阈值,一个特征的贡献度是指所述特征对于判断未知软件是包含恶意代码的文件或不包含恶意代码的文件的贡献程度;
特征分析模块,用于根据特征贡献库中保存的每个特征的贡献度,计算特征提取模块所述软件中提取的所有特征的特征贡献和以及特征贡献均值;
判别模块,用于根据特征分析模块计算得到的特征贡献和与特征贡献库中保存的特征贡献和阈值的大小关系,以及特征分析模块计算得到的特征贡献均值与特征贡献库中保存的特征贡献均值阈值的大小关系,确定所述未知软件中包含恶意代码或不包含恶意代码。
进一步的,特征贡献库具体用于计算保存特征的贡献度,包括:
收集白名单样本和黑名单样本,所述白名单样本是指样本的静态特征与样本所在的系统环境及样本的活动对系统不会产生威胁的软件,所述黑名单样本是指样本本身及其所在环境能够给系统带来威胁的软件;
提取每个样本的特征;
计算每个特征在所有的黑名单样本中出现的概率与在所有的白名单样本中出现的概率;
根据每个特征在所有的黑名单样本中出现的概率与在所有的白名单样本中出现的概率,计算每个特征的贡献度。
进一步的,计算每个特征的贡献度后,还包括:对所有特征的贡献度进行排序,保存指定范围内的贡献度以及对应的特征。
进一步的,按照下述方式计算每个特征的贡献度:
Figure 579482DEST_PATH_IMAGE002
,其中,
Figure 830946DEST_PATH_IMAGE004
为特征的贡献度,特征为所有样本所具有的静态特征、动态行为特征以及相关环境特征的集合,
Figure 276468DEST_PATH_IMAGE010
 为软件特征在黑名单样本集合中出现的概率,
Figure 272478DEST_PATH_IMAGE016
为软件特征
Figure 524467DEST_PATH_IMAGE030
在白名单样本集合出现的概率。
进一步的,特征贡献库还用于获取特征贡献和阈值以及特征贡献均值阈值,具体包括:
收集白名单样本和黑名单样本,所述白名单样本是指一个样本的静态特征与样本所在的系统环境及样本的活动对系统不会产生威胁的软件,所述黑名单样本是指样本本身及其所在环境能够给系统带来威胁的软件;
提取每个样本的特征;
计算每个样本中提取的所有特征的特征贡献和以及特征贡献均值;
根据计算得到的每个样本中提取的所有特征的特征贡献和与预先确定的初始特征贡献和阈值的大小关系,以及计算得到的每个样本中提取的所以特征的特征贡献均值与预先确定的初始特征贡献均值阈值的大小关系,将收集的所有样本划分为恶意文件和非恶意文件两类;
计算将收集的白名单样本划分成恶意文件的百分比,或者计算将收集的黑名单样本划分成非恶意文件的百分比,调整初始特征贡献和阈值以及初始特征贡献均值阈值,得到特征贡献和阈值以及特征贡献均值阈值。
进一步的,按照下述方式计算所述软件或每个样本中提取的所有特征的特征贡献和: 
Figure 803450DEST_PATH_IMAGE021
,其中,
Figure 167435DEST_PATH_IMAGE023
为特征贡献和,
Figure 528010DEST_PATH_IMAGE004
为特征的贡献度,特征
Figure 229643DEST_PATH_IMAGE025
Figure 599444DEST_PATH_IMAGE027
为所述软件或每个样本中提取的所有特征,,并且
Figure 162461DEST_PATH_IMAGE006
Figure 771297DEST_PATH_IMAGE008
为所有软件或所有样本所具有的静态特征、动态行为特征以及相关环境特征的集合,如果软件或样本中出现特征
Figure DEST_PATH_IMAGE046
,则
Figure 7106DEST_PATH_IMAGE046
取值为1,否则为0。
进一步的,按照下述方式计算所述软件或每个样本中提取的所有特征的特征贡献均值:
Figure 329372DEST_PATH_IMAGE032
,其中,
Figure 359645DEST_PATH_IMAGE014
为特征贡献均值,
Figure 455777DEST_PATH_IMAGE004
为特征的贡献度,特征
Figure 907935DEST_PATH_IMAGE027
为所述软件或每个样本中提取的所有特征,
Figure 46792DEST_PATH_IMAGE029
,并且
Figure 944734DEST_PATH_IMAGE006
Figure 194450DEST_PATH_IMAGE008
为所有软件或所有样本所具有的静态特征、动态行为特征以及相关环境特征的集合,如果软件或样本中出现特征
Figure 242040DEST_PATH_IMAGE046
,则
Figure 551799DEST_PATH_IMAGE046
取值为1,否则为0。
进一步的,根据计算得到的每个样本钟提取的所有特征的特征贡献和与预先确定的初始特征贡献和阈值的大小关系,以及计算得到的每个样本中提取的所有特征的特征贡献均值与预先确定的初始特征贡献均值阈值的大小关系,将收集的所有样本划分为恶意文件和非恶意文件两类之前,还包括:确定初始特征贡献和阈值以及初始特征贡献均值阈值;
其中,按照下述方式确定初始特征贡献和阈值:,其中,
Figure 551296DEST_PATH_IMAGE036
为初始特征贡献和阈值,
Figure 391076DEST_PATH_IMAGE038
为每个样本的特征贡献和;
按照下述方式确定初始特征贡献均值阈值:
Figure 183320DEST_PATH_IMAGE040
,其中,
Figure 538078DEST_PATH_IMAGE042
为初始特征贡献均值阈值,
Figure 395176DEST_PATH_IMAGE044
为每个样本的特征贡献均值。
进一步的,将收集的所有样本划分为恶意文件和非恶意文件两类包括:如果一个样本的所有特征的特征贡献和大于初始特征贡献和阈值,并且,该样本的所有特征的特征贡献均值大于初始特征贡献均值阈值,则将该样本划分为恶意文件,否则,将该样本划分为非恶意文件。
进一步的,调整初始特征贡献和阈值以及初始特征贡献均值阈值、得到特征贡献和阈值以及特征贡献均值阈值具体为:如果将白名单样本划分成恶意文件的百分比大于0.1%,则增大初始特征贡献和阈值以及初始特征贡献均值阈值,直到将白名单样本划分成恶意文件的百分比不大于0.1%,将调整后的初始特征贡献和阈值作为特征贡献和阈值,将调整后的初始特征贡献均值阈值作为特征贡献均值阈值。
进一步的,判别模块具体用于根据计算得到的特征贡献和与预先得到的特征贡献和阈值的大小关系,以及计算得到的特征贡献均值与预先得到的特征贡献均值阈值的大小关系,确定所述未知软件中包含恶意代码或不包含恶意代码包括:如果计算得到的特征贡献和大于特征贡献和阈值,并且计算得到的特征贡献均值大于特征贡献均值阈值,则确定所述软件中包含恶意代码,否则确定所述软件中不包含恶意代码。
本发明的有益效果是:
本发明的自动化恶意代码属性特征提取量化方法解决了原来由人工经验判断一个恶意属性是否足够恶意以及恶意程度的问题,由于通过概率统计方法量化了特征贡献度,提高了自动化判别的准确率,大大减少了人工分析的劳动量,为认识未知恶意代码的行为及属性提供了丰富的知识,通过自动化判别恶意代码解决了目前恶意代码数量大爆炸导致的无法及时判别的问题,从而可以及时地响应处理恶意代码。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明恶意代码检测方法的流程图;
图2为本发明恶意代码检测系统的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明提供一种恶意代码检测方法和系统,通过自动化判别恶意代码解决了目前恶意代码数量大爆炸导致的无法及时判别的问题,从而可以及时地响应处理恶意代码。
首先介绍本发明提供的恶意代码检测方法,如图1所示,包括:
S101、从未知是否包含恶意代码的软件中提取特征 ;
其中,包括软件的静态特征,动态行为特征及相关环境特征。
S102、根据预先得到的每个特征的贡献度,计算所述软件中提取的所有特征的特征贡献和以及特征贡献均值,一个特征的贡献度是指所述特征对于判断未知软件是包含恶意代码的文件或不包含恶意代码的文件的贡献程度;
其中,根据预先得到的每个特征的贡献度计算所述软件中提取的所有特征的特征贡献和以及特征贡献均值之前,还包括:
收集白名单样本和黑名单样本,所述白名单样本是指样本的静态特征与样本所在的系统环境及样本的活动对系统不会产生威胁的软件,所述黑名单样本是指样本本身及其所在环境能够给系统带来威胁的软件;
黑名单样本集合即恶意代码样本集合,主要收集近年内流行的各种类型的恶意代码包括木马、蠕虫、感染式PE文件;白名单集合,包括系统可执行文件以及流行软件可执行程序,可参考表1,基本样本信息集合构成:
Figure 902512DEST_PATH_IMAGE047
提取每个样本的特征:
其中,包括软件的静态特征,动态行为特征及相关环境特征。
动态特征的提取可通过Ring3层的Inline HOOK技术监视系统API的调用,对新创建的进程具有全局监视的能力,远程注入的线程以及新生模块通过服务加载的服务进程进行全面的监视,可监视进程活动的文件、注册表、模块函数加载、进线程操作以及网络通信数据;同时也可采用内核级的HOOK进行监视;通过Ring3的网络监视得到与进程关联的网络数据包,同时通过对Ring3服务函数的监视达到了服务修改篡改与木马进程关联,解决了原有底层监视替换服务的注册表行为的主体均为services.exe进程;
可执行文件的静态特征信息,包括字符串、PE文件结构、以及编译器、壳等信息;
计算每个特征在所有的黑名单样本中出现的概率与在所有的白名单中出现的概率;
记录分析黑名单样本的总数,并针对某个特征统计在黑名单中的个数,计算占有比率;同样分析白名单样本的数量并统计某个特征在白名单样本中的个数,计算占有比率,计算的一些参考数据参见表2,统计特征概率贡献表:
Figure DEST_PATH_IMAGE048
Figure 616390DEST_PATH_IMAGE049
根据每个特征在所有的黑名单样本中出现的概率与在所有的白名单样本中出现的概率,计算每个特征的贡献度;
计算每个特征的贡献度后,还包括:对所有特征的贡献度进行排序,保存指定范围内的贡献度以及对应的特征。
按照下述方式计算每个特征的贡献度:
Figure DEST_PATH_IMAGE050
,其中,
Figure 976220DEST_PATH_IMAGE051
为特征的贡献度,特征
Figure 433747DEST_PATH_IMAGE006
Figure DEST_PATH_IMAGE052
为所有样本所具有的静态特征、动态行为特征以及相关环境特征的集合,
Figure 795589DEST_PATH_IMAGE010
 为特征
Figure 945948DEST_PATH_IMAGE053
在黑名单样本集合
Figure 524565DEST_PATH_IMAGE014
中出现的概率,为特征
Figure DEST_PATH_IMAGE054
在白名单样本集合
Figure 2131DEST_PATH_IMAGE019
出现的概率。
Figure 261074DEST_PATH_IMAGE004
体现了该特征在黑名单样本集与白名单样本集中的差异度。
Figure 77720DEST_PATH_IMAGE004
为正,则表明该特征更多的出现在黑名单样本中。极端情况下若
Figure 814732DEST_PATH_IMAGE004
=1则表明此特征只在黑名单样本中出现,
Figure 640913DEST_PATH_IMAGE004
为负则表明该特征主要出现在白名单样本集即受信软件中,若为
Figure DEST_PATH_IMAGE056
=-1,则该特征只出现在白名单样本集中。
Figure 133074DEST_PATH_IMAGE004
体现了特征对软件是恶意的还是非恶意的贡献度。
在实现中我们对大量的恶意样本集和白名单样本集合进行了统计,丢弃了值接近0的特征。这样的特征在恶意样本集和白名单样本集中差异很小,不能作为分类依据,对判别公式的贡献很小,且获取该类特征需要耗费时间,所以通过统计确定出了对判别公式贡献大的特征,取满足
Figure 2010105893372100002DEST_PATH_IMAGE061
。 通过对特征更加细化的统计得到不同的
Figure 296071DEST_PATH_IMAGE056
。比如创建新文件这一特征的的并不高,但是细化到在某个目录下创建PE文件则变成一条具有高的贡献度的特征。再例如删除文件的特征贡献度一般,但细化到删除自身主体文件,则是木马程序等使用的隐蔽,销毁痕迹的常用手段,而其的概率差异更是很高,体现了其对恶意代码判别的贡献度很高,计算的参考数据见表2。
S103、根据计算得到的特征贡献和与预先得到的特征贡献和阈值的大小关系,以及计算得到的特征贡献均值与预先得到的特征贡献均值阈值的大小关系,确定所述软件中包含恶意代码或不包含恶意代码。
其中,根据计算得到的特征贡献和与预先得到的特征贡献和阈值的大小关系,以及计算得到的特征贡献均值与预先得到的特征贡献均值阈值的大小关系,确定所述未知软件中包含恶意代码或不包含恶意代码之前,还包括:
收集白名单样本和黑名单样本,所述白名单样本是指一个样本的静态特征与样本所在的系统环境及样本的活动对系统不会产生威胁的软件,所述黑名单样本是指样本本身及其所在环境能够给系统带来威胁的软件;
提取每个样本的特征;
计算每个样本中提取的所有特征的特征贡献和以及特征贡献均值;
根据计算得到的每个样本中提取的所有特征的特征贡献和与预先确定的初始特征贡献和阈值的大小关系,以及计算得到的每个样本中提取的所有特征的特征贡献均值与预先确定的初始特征贡献均值阈值的大小关系,将收集的所有样本划分为恶意文件和非恶意文件两类;
计算将收集的白名单样本划分成恶意文件的百分比,或者计算将收集的黑名单样本划分成非恶意文件的百分比,调整初始特征贡献和阈值以及初始特征贡献均值阈值,得到特征贡献和阈值以及特征贡献均值阈值。
按照下述方式计算所述软件或每个样本中提取的所有特征的特征贡献和:
Figure DEST_PATH_IMAGE062
,其中,
Figure 2010105893372100002DEST_PATH_IMAGE063
为特征贡献和,
Figure 355611DEST_PATH_IMAGE004
为特征的贡献度,特征
Figure 796530DEST_PATH_IMAGE027
为所述软件或每个样本中提取的所有特征,,并且
Figure 435639DEST_PATH_IMAGE006
Figure 754756DEST_PATH_IMAGE052
为所有软件或所有样本所具有的静态特征、动态行为特征以及相关环境特征的集合,如果软件或样本中出现特征
Figure 970974DEST_PATH_IMAGE017
,则
Figure 915796DEST_PATH_IMAGE017
取值为1,否则为0。
按照下述方式计算所述软件或每个样本中提取的所有特征的特征贡献均值:
Figure DEST_PATH_IMAGE064
,其中,
Figure 579864DEST_PATH_IMAGE014
为特征贡献均值,为特征的贡献度,特征
Figure 2010105893372100002DEST_PATH_IMAGE065
Figure 835713DEST_PATH_IMAGE027
为所述软件或每个样本中提取的所有特征,
Figure 318647DEST_PATH_IMAGE029
,并且
Figure 791217DEST_PATH_IMAGE006
Figure 953601DEST_PATH_IMAGE052
为所有软件或所有样本所具有的静态特征、动态行为特征以及相关环境特征的集合,如果软件或样本中出现特征
Figure 941149DEST_PATH_IMAGE054
,则
Figure 165457DEST_PATH_IMAGE054
取值为1,否则为0。
根据计算得到的每个样本中提取的所有特征的特征贡献和与预先确定的初始特征贡献和阈值的大小关系,以及计算得到的每个样本中提取的所有特征的特征贡献均值与预先确定的初始特征贡献均值阈值的大小关系,将收集的所有样本划分为恶意文件和非恶意文件两类之前,还包括:确定初始特征贡献和阈值以及初始特征贡献均值阈值;
其中,按照下述方式确定初始特征贡献和阈值:
Figure DEST_PATH_IMAGE066
,其中,
Figure 305582DEST_PATH_IMAGE036
为初始特征贡献和阈值,
Figure 652250DEST_PATH_IMAGE038
为每个样本的特征贡献和;
按照下述方式确定初始特征贡献均值阈值:
Figure 376361DEST_PATH_IMAGE040
,其中,
Figure 138781DEST_PATH_IMAGE042
为初始特征贡献均值阈值,
Figure 258047DEST_PATH_IMAGE044
为每个样本的特征贡献均值。
将收集的所有样本划分为恶意文件和非恶意文件两类包括:如果一个样本的所有特征的特征贡献和大于初始特征贡献和阈值,并且,该样本的所有特征的特征贡献均值大于初始特征贡献均值阈值,则将该样本划分为恶意文件,否则,将该样本划分为非恶意文件。
调整初始特征贡献和阈值以及初始特征贡献均值阈值、得到特征贡献和阈值以及特征贡献均值阈值具体为:如果将白名单样本划分成恶意文件的百分比大于0.1%,则增大初始特征贡献和阈值以及初始特征贡献均值阈值,直到将白名单样本划分成恶意文件的百分比不大于0.1%,将调整后的初始特征贡献和阈值作为特征贡献和阈值,将调整后的初始特征贡献均值阈值作为特征贡献均值阈值。
根据计算得到的特征贡献和与预先得到的特征贡献和阈值的大小关系,以及计算得到的特征贡献均值与预先得到的特征贡献均值阈值的大小关系,确定所述未知软件中包含恶意代码或不包含恶意代码包括:如果计算得到的特征贡献和大于特征贡献和阈值,并且计算得到的特征贡献均值大于特征贡献均值阈值,则确定所述软件中包含恶意代码,否则确定所述软件中不包含恶意代码。
本发明还提供了一种恶意代码检测系统,如图2所示,包括:
特征提取模块201,用于从未知是否包含恶意代码的软件中提取特征;
特征贡献库202,用于保存每个特征的贡献度、特征贡献和阈值和特征贡献均值阈值,一个特征的贡献度是指所述特征对于判断未知软件是包含恶意代码的文件或不包含恶意代码的文件的贡献程度;
特征分析模块203,用于根据特征贡献库中保存的每个特征的贡献度,计算特征提取模块所述软件中提取的所有特征的特征贡献和以及特征贡献均值;
判别模块204,用于根据特征分析模块计算得到的特征贡献和与特征贡献库中保存的特征贡献和阈值的大小关系,以及特征分析模块计算得到的特征贡献均值与特征贡献库中保存的特征贡献均值阈值的大小关系,确定所述未知软件中包含恶意代码或不包含恶意代码。
其中,特征提取模块201具体用于提取所述软件的静态特征,动态行为特征及相关环境特征。
特征贡献库202具体用于计算保存特征的贡献度,包括:
收集白名单样本和黑名单样本,所述白名单样本是指样本的静态特征与样本所在的系统环境及样本的活动对系统不会产生威胁的软件,所述黑名单样本是指样本本身及其所在环境能够给系统带来威胁的软件;
提取每个样本的特征;
计算每个特征在所有的黑名单样本中出现的概率与在所有的白名单样本中出现的概率;
根据每个特征在所有的黑名单样本中出现的概率与在所有的白名单样本中出现的概率,计算每个特征的贡献度。
计算每个特征的贡献度后,还包括:对所有特征的贡献度进行排序,保存指定范围内的贡献度以及对应的特征。
按照下述方式计算每个特征的贡献度:
Figure 713299DEST_PATH_IMAGE002
,其中,
Figure 927636DEST_PATH_IMAGE004
为特征的贡献度,特征
Figure 556063DEST_PATH_IMAGE006
为所有样本所具有的静态特征、动态行为特征以及相关环境特征的集合,
Figure 31355DEST_PATH_IMAGE010
 为软件特征
Figure 2010105893372100002DEST_PATH_IMAGE067
在黑名单样本集合
Figure 480791DEST_PATH_IMAGE014
中出现的概率,
Figure 585013DEST_PATH_IMAGE016
为软件特征
Figure 52772DEST_PATH_IMAGE046
在白名单样本集合出现的概率。
特征贡献库202还用于获取特征贡献和阈值以及特征贡献均值阈值,具体包括:
收集白名单样本和黑名单样本,所述白名单样本是指一个样本的静态特征与样本所在的系统环境及样本的活动对系统不会产生威胁的软件,所述黑名单样本是指样本本身及其所在环境能够给系统带来威胁的软件;
提取每个样本的特征;
计算每个样本中提取的所有特征的特征贡献和以及特征贡献均值;
根据计算得到的每个样本中提取的所有特征的特征贡献和与预先确定的初始特征贡献和阈值的大小关系,以及计算得到的每个样本中提取的所以特征的特征贡献均值与预先确定的初始特征贡献均值阈值的大小关系,将收集的所有样本划分为恶意文件和非恶意文件两类;
计算将收集的白名单样本划分成恶意文件的百分比,或者计算将收集的黑名单样本划分成非恶意文件的百分比,调整初始特征贡献和阈值以及初始特征贡献均值阈值,得到特征贡献和阈值以及特征贡献均值阈值。
按照下述方式计算所述软件或每个样本中提取的所有特征的特征贡献和: ,其中,
Figure 507522DEST_PATH_IMAGE023
为特征贡献和,
Figure 518203DEST_PATH_IMAGE004
为特征的贡献度,特征
Figure 970841DEST_PATH_IMAGE027
为所述软件或每个样本中提取的所有特征,,并且
Figure 609950DEST_PATH_IMAGE006
Figure 561856DEST_PATH_IMAGE052
为所有软件或所有样本所具有的静态特征、动态行为特征以及相关环境特征的集合,如果软件或样本中出现特征,则
Figure 457317DEST_PATH_IMAGE030
取值为1,否则为0。
按照下述方式计算所述软件或每个样本中提取的所有特征的特征贡献均值:
Figure 754175DEST_PATH_IMAGE064
,其中,
Figure 126250DEST_PATH_IMAGE014
为特征贡献均值,
Figure 196975DEST_PATH_IMAGE004
为特征的贡献度,特征
Figure 63431DEST_PATH_IMAGE025
Figure 903211DEST_PATH_IMAGE027
为所述软件或每个样本中提取的所有特征,
Figure 446187DEST_PATH_IMAGE029
,并且
Figure 53143DEST_PATH_IMAGE006
Figure 910240DEST_PATH_IMAGE052
为所有软件或所有样本所具有的静态特征、动态行为特征以及相关环境特征的集合,如果软件或样本中出现特征
Figure 666844DEST_PATH_IMAGE017
,则取值为1,否则为0。
根据计算得到的每个样本钟提取的所有特征的特征贡献和与预先确定的初始特征贡献和阈值的大小关系,以及计算得到的每个样本中提取的所有特征的特征贡献均值与预先确定的初始特征贡献均值阈值的大小关系,将收集的所有样本划分为恶意文件和非恶意文件两类之前,还包括:确定初始特征贡献和阈值以及初始特征贡献均值阈值;
其中,按照下述方式确定初始特征贡献和阈值:
Figure DEST_PATH_IMAGE068
,其中,
Figure 239087DEST_PATH_IMAGE036
为初始特征贡献和阈值,
Figure 634297DEST_PATH_IMAGE038
为每个样本的特征贡献和;
按照下述方式确定初始特征贡献均值阈值:
Figure 494674DEST_PATH_IMAGE040
,其中,
Figure 582716DEST_PATH_IMAGE042
为初始特征贡献均值阈值,
Figure 912066DEST_PATH_IMAGE044
为每个样本的特征贡献均值。
将收集的所有样本划分为恶意文件和非恶意文件两类包括:如果一个样本的所有特征的特征贡献和大于初始特征贡献和阈值,并且,该样本的所有特征的特征贡献均值大于初始特征贡献均值阈值,则将该样本划分为恶意文件,否则,将该样本划分为非恶意文件。
调整初始特征贡献和阈值以及初始特征贡献均值阈值、得到特征贡献和阈值以及特征贡献均值阈值具体为:如果将白名单样本划分成恶意文件的百分比大于0.1%,则增大初始特征贡献和阈值以及初始特征贡献均值阈值,直到将白名单样本划分成恶意文件的百分比不大于0.1%,将调整后的初始特征贡献和阈值作为特征贡献和阈值,将调整后的初始特征贡献均值阈值作为特征贡献均值阈值。
判别模块204具体用于根据计算得到的特征贡献和与预先得到的特征贡献和阈值的大小关系,以及计算得到的特征贡献均值与预先得到的特征贡献均值阈值的大小关系,确定所述未知软件中包含恶意代码或不包含恶意代码包括:如果计算得到的特征贡献和大于特征贡献和阈值,并且计算得到的特征贡献均值大于特征贡献均值阈值,则确定所述软件中包含恶意代码,否则确定所述软件中不包含恶意代码。
本发明能够在一定程度上自动化提取恶意代码的属性特征,并量化该特征对恶意代码的判别贡献,进而进行自动化判别未知的恶意代码样本。为了提高自动化判别恶意代码的准确率与判别率同时降低误报率,提出了对判别过程中软件特征的选取量化与细化,解决了原来特征选取的经验化的问题,并挖掘出对判别具有更大贡献的特征点,在特征选取方面不再是原来的经验决定,而通过数据统计及差异算法来量化每个特征的对恶意代码判别贡献,使判别率得到提高、同时降低误报率。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。

Claims (22)

1.一种恶意代码检测方法,其特征在于,包括:
从未知是否包含恶意代码的软件中提取特征;
根据预先得到的每个特征的贡献度,计算所述软件中提取的所有特征的特征贡献和以及特征贡献均值,一个特征的贡献度是指所述特征对于判断未知软件是包含恶意代码的文件或不包含恶意代码的文件的贡献程度;
根据计算得到的特征贡献和与预先得到的特征贡献和阈值的大小关系,以及计算得到的特征贡献均值与预先得到的特征贡献均值阈值的大小关系,确定所述软件中包含恶意代码或不包含恶意代码。
2.如权利要求1所述的方法,其特征在于,根据预先得到的每个特征的贡献度计算所述软件中提取的所有特征的特征贡献和以及特征贡献均值之前,还包括:
收集白名单样本和黑名单样本,所述白名单样本是指样本的静态特征与样本所在的系统环境及样本的活动对系统不会产生威胁的软件,所述黑名单样本是指样本本身及其所在环境能够给系统带来威胁的软件;
提取每个样本的特征;
计算每个特征在所有的黑名单样本中出现的概率与在所有的白名单中出现的概率;
根据每个特征在所有的黑名单样本中出现的概率与在所有的白名单样本中出现的概率,计算每个特征的贡献度。
3.如权利要求2所述的方法,其特征在于,计算每个特征的贡献度后,还包括:对所有特征的贡献度进行排序,保存指定范围内的贡献度以及对应的特征。
4.如权利要求2或3所述的方法,其特征在于,按照下述方式计算每个特征的贡献度:                                               
Figure 2010105893372100001DEST_PATH_IMAGE002
,其中,
Figure 2010105893372100001DEST_PATH_IMAGE004
为特征的贡献度,特征
Figure 2010105893372100001DEST_PATH_IMAGE006
Figure 2010105893372100001DEST_PATH_IMAGE008
为所有样本所具有的静态特征、动态行为特征以及相关环境特征的集合,
Figure DEST_PATH_IMAGE010
 为特征
Figure DEST_PATH_IMAGE012
在黑名单样本集合
Figure DEST_PATH_IMAGE014
中出现的概率,
Figure DEST_PATH_IMAGE016
为特征
Figure DEST_PATH_IMAGE012A
在白名单样本集合
Figure DEST_PATH_IMAGE018
中出现的概率。
5.如权利要求1所述的方法,其特征在于,根据计算得到的特征贡献和与预先得到的特征贡献和阈值的大小关系,以及计算得到的特征贡献均值与预先得到的特征贡献均值阈值的大小关系,确定所述未知软件中包含恶意代码或不包含恶意代码之前,还包括:
收集白名单样本和黑名单样本,所述白名单样本是指一个样本的静态特征与样本所在的系统环境及样本的活动对系统不会产生威胁的软件,所述黑名单样本是指样本本身及其所在环境能够给系统带来威胁的软件;
提取每个样本的特征;
计算每个样本中提取的所有特征的特征贡献和以及特征贡献均值;
根据计算得到的每个样本中提取的所有特征的特征贡献和与预先确定的初始特征贡献和阈值的大小关系,以及计算得到的每个样本中提取的所有特征的特征贡献均值与预先确定的初始特征贡献均值阈值的大小关系,将收集的所有样本划分为恶意文件和非恶意文件两类;
计算将收集的白名单样本划分成恶意文件的百分比,或者计算将收集的黑名单样本划分成非恶意文件的百分比,调整初始特征贡献和阈值以及初始特征贡献均值阈值,得到特征贡献和阈值以及特征贡献均值阈值。
6.如权利要求1或5所述的方法,其特征在于,按照下述方式计算所述软件或每个样本中提取的所有特征的特征贡献和:,其中,
Figure DEST_PATH_IMAGE022
为特征贡献和,为特征的贡献度,特征
Figure DEST_PATH_IMAGE024
Figure DEST_PATH_IMAGE026
为所述软件或每个样本中提取的所有特征,
Figure DEST_PATH_IMAGE028
,并且
Figure DEST_PATH_IMAGE006A
Figure DEST_PATH_IMAGE008A
为所有软件或所有样本所具有的静态特征、动态行为特征以及相关环境特征的集合,如果软件或样本中出现特征
Figure DEST_PATH_IMAGE012AA
,则
Figure DEST_PATH_IMAGE012AAA
取值为1,否则为0。
7.如权利要求1或5所述的方法,其特征在于,按照下述方式计算所述软件或每个样本中提取的所有特征的特征贡献均值:
Figure DEST_PATH_IMAGE030
,其中,
Figure DEST_PATH_IMAGE032
为特征贡献均值,
Figure DEST_PATH_IMAGE004AA
为特征的贡献度,特征
Figure DEST_PATH_IMAGE024A
Figure DEST_PATH_IMAGE026A
为所述软件或每个样本中提取的所有特征,
Figure DEST_PATH_IMAGE028A
,并且
Figure DEST_PATH_IMAGE006AA
Figure DEST_PATH_IMAGE008AA
为所有软件或所有样本所具有的静态特征、动态行为特征以及相关环境特征的集合,如果软件或样本中出现特征
Figure DEST_PATH_IMAGE012AAAA
,则取值为1,否则为0。
8.如权利要求5所述的方法,其特征在于,根据计算得到的每个样本中提取的所有特征的特征贡献和与预先确定的初始特征贡献和阈值的大小关系,以及计算得到的每个样本中提取的所有特征的特征贡献均值与预先确定的初始特征贡献均值阈值的大小关系,将收集的所有样本划分为恶意文件和非恶意文件两类之前,还包括:确定初始特征贡献和阈值以及初始特征贡献均值阈值;
其中,按照下述方式确定初始特征贡献和阈值:
Figure DEST_PATH_IMAGE034
,其中,
Figure DEST_PATH_IMAGE036
为初始特征贡献和阈值,
Figure DEST_PATH_IMAGE038
为每个样本的特征贡献和;
按照下述方式确定初始特征贡献均值阈值:
Figure DEST_PATH_IMAGE040
,其中,
Figure DEST_PATH_IMAGE042
为初始特征贡献均值阈值,
Figure DEST_PATH_IMAGE044
为每个样本的特征贡献均值。
9.如权利要求5所述的方法,其特征在于,将收集的所有样本划分为恶意文件和非恶意文件两类包括:如果一个样本的所有特征的特征贡献和大于初始特征贡献和阈值,并且,该样本的所有特征的特征贡献均值大于初始特征贡献均值阈值,则将该样本划分为恶意文件,否则,将该样本划分为非恶意文件。
10.如权利要求5所述的方法,其特征在于,调整初始特征贡献和阈值以及初始特征贡献均值阈值、得到特征贡献和阈值以及特征贡献均值阈值具体为:如果将白名单样本划分成恶意文件的百分比大于0.1%,则增大初始特征贡献和阈值以及初始特征贡献均值阈值,直到将白名单样本划分成恶意文件的百分比不大于0.1%,将调整后的初始特征贡献和阈值作为特征贡献和阈值,将调整后的初始特征贡献均值阈值作为特征贡献均值阈值。
11.如权利要求1所述的方法,其特征在于,根据计算得到的特征贡献和与预先得到的特征贡献和阈值的大小关系,以及计算得到的特征贡献均值与预先得到的特征贡献均值阈值的大小关系,确定所述未知软件中包含恶意代码或不包含恶意代码包括:如果计算得到的特征贡献和大于特征贡献和阈值,并且计算得到的特征贡献均值大于特征贡献均值阈值,则确定所述软件中包含恶意代码,否则确定所述软件中不包含恶意代码。
12.一种恶意代码检测系统,其特征在于,包括:
特征提取模块,用于从未知是否包含恶意代码的软件中提取特征;
特征贡献库,用于保存每个特征的贡献度、特征贡献和阈值和特征贡献均值阈值,一个特征的贡献度是指所述特征对于判断未知软件是包含恶意代码的文件或不包含恶意代码的文件的贡献程度;
特征分析模块,用于根据特征贡献库中保存的每个特征的贡献度,计算特征提取模块所述软件中提取的所有特征的特征贡献和以及特征贡献均值;
判别模块,用于根据特征分析模块计算得到的特征贡献和与特征贡献库中保存的特征贡献和阈值的大小关系,以及特征分析模块计算得到的特征贡献均值与特征贡献库中保存的特征贡献均值阈值的大小关系,确定所述未知软件中包含恶意代码或不包含恶意代码。
13.如权利要求12所述的系统,其特征在于,特征贡献库具体用于计算保存特征的贡献度,包括:
收集白名单样本和黑名单样本,所述白名单样本是指样本的静态特征与样本所在的系统环境及样本的活动对系统不会产生威胁的软件,所述黑名单样本是指样本本身及其所在环境能够给系统带来威胁的软件;
提取每个样本的特征;
计算每个特征在所有的黑名单样本中出现的概率与在所有的白名单样本中出现的概率;
根据每个特征在所有的黑名单样本中出现的概率与在所有的白名单样本中出现的概率,计算每个特征的贡献度。
14.如权利要求13所述的系统,其特征在于,计算每个特征的贡献度后,还包括:对所有特征的贡献度进行排序,保存指定范围内的贡献度以及对应的特征。
15.如权利要求13或14所述的系统,其特征在于,按照下述方式计算每个特征的贡献度:
Figure DEST_PATH_IMAGE002A
,其中,
Figure DEST_PATH_IMAGE004AAA
为特征的贡献度,特征
Figure DEST_PATH_IMAGE006AAA
Figure DEST_PATH_IMAGE008AAA
为所有样本所具有的静态特征、动态行为特征以及相关环境特征的集合, 为软件特征
Figure DEST_PATH_IMAGE012AAAAAA
在黑名单样本集合
Figure DEST_PATH_IMAGE014A
中出现的概率,
Figure DEST_PATH_IMAGE016A
为软件特征
Figure DEST_PATH_IMAGE012AAAAAAA
在白名单样本集合
Figure DEST_PATH_IMAGE018A
出现的概率。
16.如权利要求12所述的系统,其特征在于,特征贡献库还用于获取特征贡献和阈值以及特征贡献均值阈值,具体包括:
收集白名单样本和黑名单样本,所述白名单样本是指一个样本的静态特征与样本所在的系统环境及样本的活动对系统不会产生威胁的软件,所述黑名单样本是指样本本身及其所在环境能够给系统带来威胁的软件;
提取每个样本的特征;
计算每个样本中提取的所有特征的特征贡献和以及特征贡献均值;
根据计算得到的每个样本中提取的所有特征的特征贡献和与预先确定的初始特征贡献和阈值的大小关系,以及计算得到的每个样本中提取的所以特征的特征贡献均值与预先确定的初始特征贡献均值阈值的大小关系,将收集的所有样本划分为恶意文件和非恶意文件两类;
计算将收集的白名单样本划分成恶意文件的百分比,或者计算将收集的黑名单样本划分成非恶意文件的百分比,调整初始特征贡献和阈值以及初始特征贡献均值阈值,得到特征贡献和阈值以及特征贡献均值阈值。
17.如权利要求12或16所述的系统,其特征在于,按照下述方式计算所述软件或每个样本中提取的所有特征的特征贡献和: 
Figure DEST_PATH_IMAGE020A
,其中,
Figure DEST_PATH_IMAGE022A
为特征贡献和,
Figure DEST_PATH_IMAGE004AAAA
为特征的贡献度,特征
Figure DEST_PATH_IMAGE024AA
Figure DEST_PATH_IMAGE026AA
为所述软件或每个样本中提取的所有特征,,并且
Figure DEST_PATH_IMAGE008AAAA
为所有软件或所有样本所具有的静态特征、动态行为特征以及相关环境特征的集合,如果软件或样本中出现特征
Figure DEST_PATH_IMAGE012AAAAAAAA
,则
Figure DEST_PATH_IMAGE012AAAAAAAAA
取值为1,否则为0。
18.如权利要求12或16所述的系统,其特征在于,按照下述方式计算所述软件或每个样本中提取的所有特征的特征贡献均值:
Figure DEST_PATH_IMAGE030A
,其中,
Figure DEST_PATH_IMAGE032A
为特征贡献均值,
Figure DEST_PATH_IMAGE004AAAAA
为特征的贡献度,特征
Figure DEST_PATH_IMAGE024AAA
Figure DEST_PATH_IMAGE026AAA
为所述软件或每个样本中提取的所有特征,,并且
Figure DEST_PATH_IMAGE006AAAAA
Figure DEST_PATH_IMAGE008AAAAA
为所有软件或所有样本所具有的静态特征、动态行为特征以及相关环境特征的集合,如果软件或样本中出现特征
Figure DEST_PATH_IMAGE012AAAAAAAAAA
,则
Figure DEST_PATH_IMAGE012AAAAAAAAAAA
取值为1,否则为0。
19.如权利要求16所述的系统,其特征在于,根据计算得到的每个样本钟提取的所有特征的特征贡献和与预先确定的初始特征贡献和阈值的大小关系,以及计算得到的每个样本中提取的所有特征的特征贡献均值与预先确定的初始特征贡献均值阈值的大小关系,将收集的所有样本划分为恶意文件和非恶意文件两类之前,还包括:确定初始特征贡献和阈值以及初始特征贡献均值阈值;
其中,按照下述方式确定初始特征贡献和阈值:
Figure DEST_PATH_IMAGE034A
,其中,为初始特征贡献和阈值,
Figure DEST_PATH_IMAGE038A
为每个样本的特征贡献和;
按照下述方式确定初始特征贡献均值阈值:
Figure DEST_PATH_IMAGE040A
,其中,
Figure DEST_PATH_IMAGE042A
为初始特征贡献均值阈值,为每个样本的特征贡献均值。
20.如权利要求16所述的系统,其特征在于,将收集的所有样本划分为恶意文件和非恶意文件两类包括:如果一个样本的所有特征的特征贡献和大于初始特征贡献和阈值,并且,该样本的所有特征的特征贡献均值大于初始特征贡献均值阈值,则将该样本划分为恶意文件,否则,将该样本划分为非恶意文件。
21.如权利要求16所述的系统,其特征在于,调整初始特征贡献和阈值以及初始特征贡献均值阈值、得到特征贡献和阈值以及特征贡献均值阈值具体为:如果将白名单样本划分成恶意文件的百分比大于0.1%,则增大初始特征贡献和阈值以及初始特征贡献均值阈值,直到将白名单样本划分成恶意文件的百分比不大于0.1%,将调整后的初始特征贡献和阈值作为特征贡献和阈值,将调整后的初始特征贡献均值阈值作为特征贡献均值阈值。
22.如权利要求12所述的系统,其特征在于,判别模块具体用于根据计算得到的特征贡献和与预先得到的特征贡献和阈值的大小关系,以及计算得到的特征贡献均值与预先得到的特征贡献均值阈值的大小关系,确定所述未知软件中包含恶意代码或不包含恶意代码包括:如果计算得到的特征贡献和大于特征贡献和阈值,并且计算得到的特征贡献均值大于特征贡献均值阈值,则确定所述软件中包含恶意代码,否则确定所述软件中不包含恶意代码。
CN201010589337A 2010-12-15 2010-12-15 恶意代码检测方法和系统 Active CN101984450B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201010589337A CN101984450B (zh) 2010-12-15 2010-12-15 恶意代码检测方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201010589337A CN101984450B (zh) 2010-12-15 2010-12-15 恶意代码检测方法和系统

Publications (2)

Publication Number Publication Date
CN101984450A true CN101984450A (zh) 2011-03-09
CN101984450B CN101984450B (zh) 2012-10-24

Family

ID=43641619

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201010589337A Active CN101984450B (zh) 2010-12-15 2010-12-15 恶意代码检测方法和系统

Country Status (1)

Country Link
CN (1) CN101984450B (zh)

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102142068A (zh) * 2011-03-29 2011-08-03 华北电力大学 一种未知恶意代码的检测方法
CN102592080A (zh) * 2011-12-26 2012-07-18 北京奇虎科技有限公司 flash恶意文件检测方法及装置
CN102737186A (zh) * 2012-06-26 2012-10-17 腾讯科技(深圳)有限公司 恶意文件识别方法、装置及存储介质
CN102831153A (zh) * 2012-06-28 2012-12-19 北京奇虎科技有限公司 一种选取样本的方法和装置
CN103679019A (zh) * 2012-09-10 2014-03-26 腾讯科技(深圳)有限公司 恶意文件识别方法及装置
CN103778371A (zh) * 2012-10-22 2014-05-07 腾讯科技(深圳)有限公司 一种监控插件安装的方法及终端
CN104714831A (zh) * 2015-03-31 2015-06-17 北京奇虎科技有限公司 一种检测虚拟机中的寄生进程的方法和装置
CN106548069A (zh) * 2016-07-18 2017-03-29 北京安天电子设备有限公司 一种基于排序算法的特征提取系统及方法
CN106557696A (zh) * 2015-09-30 2017-04-05 卡巴斯基实验室股份制公司 用于检测恶意数据加密程序的系统和方法
CN106682493A (zh) * 2015-11-06 2017-05-17 珠海市君天电子科技有限公司 一种防止进程被恶意结束的方法、装置及电子设备
WO2017190617A1 (zh) * 2016-05-03 2017-11-09 腾讯科技(深圳)有限公司 广告检测方法及广告检测装置、存储介质
CN107590388A (zh) * 2017-09-12 2018-01-16 南方电网科学研究院有限责任公司 恶意代码检测方法和装置
CN108804278A (zh) * 2017-05-04 2018-11-13 苏州睿途网络科技有限公司 一种软件监测系统及其商业模式
CN109460658A (zh) * 2018-11-16 2019-03-12 成都网域复兴科技有限公司 一种针对恶意勒索样本的检测方法
CN110392081A (zh) * 2018-04-20 2019-10-29 武汉安天信息技术有限责任公司 病毒库推送方法及装置、计算机设备和计算机存储介质
WO2019242441A1 (zh) * 2018-06-20 2019-12-26 深信服科技股份有限公司 一种基于动态特征的恶意软件识别方法、系统及相关装置
CN111083043A (zh) * 2019-12-26 2020-04-28 中国科学院信息工程研究所 一种邮箱恶意自动转发行为识别方法及装置
CN112347479A (zh) * 2020-10-21 2021-02-09 北京天融信网络安全技术有限公司 恶意软件检测的误报纠正方法、装置、设备和存储介质
CN112395602A (zh) * 2019-08-15 2021-02-23 奇安信安全技术(珠海)有限公司 静态安全特征数据库的处理方法、装置及系统
CN113688391A (zh) * 2021-08-31 2021-11-23 南方电网科学研究院有限责任公司 一种电力软件恶意代码监测方法、系统、设备和介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101140611A (zh) * 2007-09-18 2008-03-12 北京大学 一种恶意代码自动识别方法
CN101329711A (zh) * 2008-07-24 2008-12-24 成都市华为赛门铁克科技有限公司 一种计算机文件检测的方法及装置
CN101339596A (zh) * 2008-08-26 2009-01-07 腾讯科技(深圳)有限公司 一种对计算机软件系统进行保护的方法和装置
CN101645125A (zh) * 2008-08-05 2010-02-10 珠海金山软件股份有限公司 过滤以及监控程序的行为的方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101140611A (zh) * 2007-09-18 2008-03-12 北京大学 一种恶意代码自动识别方法
CN101329711A (zh) * 2008-07-24 2008-12-24 成都市华为赛门铁克科技有限公司 一种计算机文件检测的方法及装置
CN101645125A (zh) * 2008-08-05 2010-02-10 珠海金山软件股份有限公司 过滤以及监控程序的行为的方法
CN101339596A (zh) * 2008-08-26 2009-01-07 腾讯科技(深圳)有限公司 一种对计算机软件系统进行保护的方法和装置

Cited By (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102142068A (zh) * 2011-03-29 2011-08-03 华北电力大学 一种未知恶意代码的检测方法
CN102592080A (zh) * 2011-12-26 2012-07-18 北京奇虎科技有限公司 flash恶意文件检测方法及装置
CN102737186A (zh) * 2012-06-26 2012-10-17 腾讯科技(深圳)有限公司 恶意文件识别方法、装置及存储介质
CN102737186B (zh) * 2012-06-26 2015-06-17 腾讯科技(深圳)有限公司 恶意文件识别方法、装置及存储介质
CN102831153A (zh) * 2012-06-28 2012-12-19 北京奇虎科技有限公司 一种选取样本的方法和装置
CN102831153B (zh) * 2012-06-28 2015-09-30 北京奇虎科技有限公司 一种选取样本的方法和装置
CN103679019A (zh) * 2012-09-10 2014-03-26 腾讯科技(深圳)有限公司 恶意文件识别方法及装置
CN103679019B (zh) * 2012-09-10 2017-03-08 腾讯科技(深圳)有限公司 恶意文件识别方法及装置
CN103778371A (zh) * 2012-10-22 2014-05-07 腾讯科技(深圳)有限公司 一种监控插件安装的方法及终端
CN104714831B (zh) * 2015-03-31 2018-04-17 北京奇虎科技有限公司 一种检测虚拟机中的寄生进程的方法和装置
CN104714831A (zh) * 2015-03-31 2015-06-17 北京奇虎科技有限公司 一种检测虚拟机中的寄生进程的方法和装置
CN106557696B (zh) * 2015-09-30 2020-10-27 卡巴斯基实验室股份制公司 用于检测恶意数据加密程序的系统和方法
CN106557696A (zh) * 2015-09-30 2017-04-05 卡巴斯基实验室股份制公司 用于检测恶意数据加密程序的系统和方法
CN106682493B (zh) * 2015-11-06 2019-08-27 珠海豹趣科技有限公司 一种防止进程被恶意结束的方法、装置及电子设备
CN106682493A (zh) * 2015-11-06 2017-05-17 珠海市君天电子科技有限公司 一种防止进程被恶意结束的方法、装置及电子设备
WO2017190617A1 (zh) * 2016-05-03 2017-11-09 腾讯科技(深圳)有限公司 广告检测方法及广告检测装置、存储介质
US11334908B2 (en) 2016-05-03 2022-05-17 Tencent Technology (Shenzhen) Company Limited Advertisement detection method, advertisement detection apparatus, and storage medium
CN106548069B (zh) * 2016-07-18 2020-04-24 北京安天网络安全技术有限公司 一种基于排序算法的特征提取系统及方法
CN106548069A (zh) * 2016-07-18 2017-03-29 北京安天电子设备有限公司 一种基于排序算法的特征提取系统及方法
CN108804278A (zh) * 2017-05-04 2018-11-13 苏州睿途网络科技有限公司 一种软件监测系统及其商业模式
CN107590388A (zh) * 2017-09-12 2018-01-16 南方电网科学研究院有限责任公司 恶意代码检测方法和装置
CN110392081A (zh) * 2018-04-20 2019-10-29 武汉安天信息技术有限责任公司 病毒库推送方法及装置、计算机设备和计算机存储介质
CN110392081B (zh) * 2018-04-20 2022-08-30 武汉安天信息技术有限责任公司 病毒库推送方法及装置、计算机设备和计算机存储介质
WO2019242441A1 (zh) * 2018-06-20 2019-12-26 深信服科技股份有限公司 一种基于动态特征的恶意软件识别方法、系统及相关装置
CN110619211A (zh) * 2018-06-20 2019-12-27 深信服科技股份有限公司 一种基于动态特征的恶意软件识别方法、系统及相关装置
CN109460658A (zh) * 2018-11-16 2019-03-12 成都网域复兴科技有限公司 一种针对恶意勒索样本的检测方法
CN109460658B (zh) * 2018-11-16 2022-03-25 成都网域复兴科技有限公司 一种针对恶意勒索样本的检测方法
CN112395602A (zh) * 2019-08-15 2021-02-23 奇安信安全技术(珠海)有限公司 静态安全特征数据库的处理方法、装置及系统
CN112395602B (zh) * 2019-08-15 2022-09-30 奇安信安全技术(珠海)有限公司 静态安全特征数据库的处理方法、装置及系统
CN111083043B (zh) * 2019-12-26 2021-11-23 中国科学院信息工程研究所 一种邮箱恶意自动转发行为识别方法及装置
CN111083043A (zh) * 2019-12-26 2020-04-28 中国科学院信息工程研究所 一种邮箱恶意自动转发行为识别方法及装置
CN112347479B (zh) * 2020-10-21 2021-08-24 北京天融信网络安全技术有限公司 恶意软件检测的误报纠正方法、装置、设备和存储介质
CN112347479A (zh) * 2020-10-21 2021-02-09 北京天融信网络安全技术有限公司 恶意软件检测的误报纠正方法、装置、设备和存储介质
CN113688391A (zh) * 2021-08-31 2021-11-23 南方电网科学研究院有限责任公司 一种电力软件恶意代码监测方法、系统、设备和介质

Also Published As

Publication number Publication date
CN101984450B (zh) 2012-10-24

Similar Documents

Publication Publication Date Title
CN101984450B (zh) 恶意代码检测方法和系统
CN106951780B (zh) 重打包恶意应用的静态检测方法和装置
CN105550583B (zh) 基于随机森林分类方法的Android平台恶意应用检测方法
CN103473346B (zh) 一种基于应用程序编程接口的安卓重打包应用检测方法
CN105721416A (zh) 一种apt事件攻击组织同源性分析方法及装置
CN101593253B (zh) 一种恶意程序判断方法及装置
EP3068095A2 (en) Monitoring apparatus and method
CN110795732A (zh) 基于SVM的Android移动网络终端恶意代码的动静结合检测方法
CN107169355B (zh) 一种蠕虫同源性分析方法和装置
US20200389476A1 (en) Method and arrangement for detecting anomalies in network data traffic
CN104850780A (zh) 一种高级持续性威胁攻击的判别方法
CN110362996B (zh) 一种离线检测PowerShell恶意软件的方法与系统
CN110851834B (zh) 融合多特征分类的安卓恶意应用检测方法
CN107679403A (zh) 一种基于序列比对算法的勒索软件变种检测方法
CN108399336B (zh) 一种安卓应用恶意行为的检测方法及装置
CN106709325A (zh) 一种监控程序的方法及装置
CN112464232B (zh) 一种基于混合特征组合分类的Android系统恶意软件检测方法
CN113328994B (zh) 一种恶意域名处理方法、装置、设备及机器可读存储介质
CN116303290B (zh) 一种office文档检测方法及装置、设备及介质
CN103391520A (zh) 一种拦截恶意短信的方法、终端、服务器及系统
CN113542060A (zh) 一种基于设备通信数据特征的异常设备检测方法
CN111259390A (zh) 一种恶意进程实时监控的方法、设备和计算机设备
WO2019242441A1 (zh) 一种基于动态特征的恶意软件识别方法、系统及相关装置
CN105488409A (zh) 一种检测恶意代码家族变种及新家族的方法及系统
CN113378161A (zh) 一种安全检测方法、装置、设备及存储介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C56 Change in the name or address of the patentee
CP02 Change in the address of a patent holder

Address after: 100190 Zhongguancun Haidian District street, No. 14, layer, 1 1415-16

Patentee after: Beijing Antiy Electronic Installation Co., Ltd.

Address before: 100085 No. 1, Nongda South Road, Beijing, Haidian District

Patentee before: Beijing Antiy Electronic Installation Co., Ltd.

CP03 Change of name, title or address

Address after: 100190 Beijing city Haidian District minzhuang Road No. 3, Tsinghua Science Park Building 1 Yuquan Huigu a

Patentee after: Beijing ahtech network Safe Technology Ltd

Address before: 100190 Zhongguancun Haidian District street, No. 14, layer, 1 1415-16

Patentee before: Beijing Antiy Electronic Installation Co., Ltd.

CP03 Change of name, title or address
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Malicious code detection method and system

Effective date of registration: 20181119

Granted publication date: 20121024

Pledgee: Shanghai Pudong Development Bank Limited by Share Ltd Harbin branch

Pledgor: Beijing ahtech network Safe Technology Ltd

Registration number: 2018990001084

Denomination of invention: Malicious code detection method and system

Effective date of registration: 20181119

Granted publication date: 20121024

Pledgee: Shanghai Pudong Development Bank Limited by Share Ltd Harbin branch

Pledgor: Beijing ahtech network Safe Technology Ltd

Registration number: 2018990001084

PE01 Entry into force of the registration of the contract for pledge of patent right
PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20200508

Granted publication date: 20121024

Pledgee: Shanghai Pudong Development Bank Limited by Share Ltd Harbin branch

Pledgor: BEIJING ANTIY NETWORK TECHNOLOGY Co.,Ltd.

Registration number: 2018990001084

PC01 Cancellation of the registration of the contract for pledge of patent right