CN106682505B - 一种病毒检测方法、终端、服务器及系统 - Google Patents
一种病毒检测方法、终端、服务器及系统 Download PDFInfo
- Publication number
- CN106682505B CN106682505B CN201610293279.6A CN201610293279A CN106682505B CN 106682505 B CN106682505 B CN 106682505B CN 201610293279 A CN201610293279 A CN 201610293279A CN 106682505 B CN106682505 B CN 106682505B
- Authority
- CN
- China
- Prior art keywords
- virus
- file
- sample
- characteristic parameter
- parameter value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Investigating Or Analysing Biological Materials (AREA)
Abstract
本发明公开了一种病毒检测方法、终端、服务器及系统,其中,所述方法包括:对获取的待处理文件按照预设策略进行预处理,得到对抗病毒变种入侵的有效信息,构成所述有效信息的字节分布符合指定规则;根据所述有效信息计算得到第一特征参数值,将所述第一特征参数值发送给服务器进行病毒比对的检测;接收病毒比对的检测结果,根据所述病毒比对的检测结果对本地文件进行病毒查杀的全部扫描或部分扫描。
Description
技术领域
本发明涉及检测技术,尤其涉及一种病毒检测方法、终端、服务器及系统。
背景技术
随着智能终端的发展,人手一部智能终端已经非常普及,大部分的生活服务都可以通过智能终端上安装的应用或通过联网实现,给用户带来很多便利。可是,带来便利的同时,也存在安全隐患,联网的过程中容易受到病毒的入侵。在与病毒的对抗中,能及早发现病毒非常重要。通过对病毒早发现,早处置,可以减少用户的损失,保障用户的资金账户和隐私信息等等的信息安全。检测病毒的方法包括:特征码匹配法、行为监测法、软件模拟法等等,这些方法依据的原理不同,实现病毒检测所占用系统开销不同,检测范围也不同,各有所长。其中,特征码匹配法是比较常用的方法,然而,现有的特征码匹配法,并不能准确有效的检测出病毒的变种,从而影响到病毒检测的准确性,无法保障用户的资金账户和隐私信息等等的信息安全。对于该问题,尚无有效解决方案。
发明内容
有鉴于此,本发明实施例希望提供一种病毒检测方法、终端及服务器,至少解决了现有技术存在的问题。
本发明实施例的技术方案是这样实现的:
本发明实施例的一种病毒检测方法,所述方法包括:
对获取的待处理文件按照预设策略进行预处理,得到对抗病毒变种入侵的有效信息,构成所述有效信息的字节分布符合指定规则;
根据所述有效信息计算得到第一特征参数值,将所述第一特征参数值发送给服务器进行病毒比对的检测;
接收病毒比对的检测结果,根据所述病毒比对的检测结果对本地文件进行病毒查杀的全部扫描或部分扫描。
上述方案中,所述对获取的待处理文件按照预设策略进行预处理,得到对抗病毒变种入侵的有效信息,包括:
获取所述待处理文件,从所述待处理文件中查询到指定文件;
从所述指定文件中解析出目标指令,从所述目标指令中提取字节分布符合所述指定规则的部分指令片段,根据所述部分指令片段生成目标序列,将所述目标序列确定为所述有效信息。
上述方案中,所述根据所述有效信息计算得到第一特征参数值,将所述第一特征参数值发送给服务器进行病毒比对的检测,包括:
将所述目标序列作为病毒检测的待检测样本,将由所述待检测样本计算得到的第一模糊哈希值发送给服务器进行病毒比对的检测;
所述第一特征参数值包括所述第一模糊哈希值。
上述方案中,所述方法还包括:
根据收集的已知病毒特征信息及病毒变种的趋势信息生成所述预设策略,以得到对抗病毒变种入侵的有效信息。
本发明实施例的一种终端,所述终端包括:
第一预处理单元,用于对获取的待处理文件按照预设策略进行预处理,得到对抗病毒变种入侵的有效信息,构成所述有效信息的字节分布符合指定规则;
第一特征参数运算单元,用于根据所述有效信息计算得到第一特征参数值,将所述第一特征参数值发送给服务器进行病毒比对的检测;
病毒查杀单元,用于接收病毒比对的检测结果,根据所述病毒比对的检测结果对本地文件进行病毒查杀的全部扫描或部分扫描。
上述方案中,所述预处理单元,进一步用于:
获取所述待处理文件,从所述待处理文件中查询到指定文件;
从所述指定文件中解析出目标指令,从所述目标指令中提取字节分布符合所述指定规则的部分指令片段,根据所述部分指令片段生成目标序列,将所述目标序列确定为所述有效信息。
上述方案中,所述第一特征参数运算单元,进一步用于:
将所述目标序列作为病毒检测的待检测样本,将由所述待检测样本计算得到的第一模糊哈希值发送给服务器进行病毒比对的检测;
所述第一特征参数值包括所述第一模糊哈希值。
上述方案中,所述终端还包括:
策略生成单元,用于根据收集的已知病毒特征信息及病毒变种的趋势信息生成所述预设策略,以得到对抗病毒变种入侵的有效信息。
本发明实施例的一种病毒检测方法,所述方法包括:
对病毒库样本文件按照预设策略进行预处理,得到病毒库样本文件中的待比对信息,构成所述待比对信息的字节分布符合指定规则;
根据所述待比对信息计算得到第二特征参数值;
接收由待检测样本计算得到的第一特征参数值,对所述第一特征参数值和所述第二特征参数值进行相似度判断,得到判断结果;
所述判断结果满足阈值时,将待检测样本作为疑似病毒,直至与指定数量或所有病毒库样本文件比对结束后,确定出所述疑似病毒为病毒或非病毒。
上述方案中,所述判断结果满足阈值时,将待检测样本作为疑似病毒,直至与指定数量或所有病毒库样本文件比对结束后,确定出所述疑似病毒为病毒或非病毒,包括:
在所述第一特征参数值和所述第二特征参数值间的相似度满足所述阈值时,将待检测样本加入待决策结果列表中,直至与指定数量或所有病毒库样本文件比对结束后,如果从所述待决策结果列表中能选出与所述待检测样本相似度最高的病毒样本,则疑似病毒为病毒,并将其作为病毒比对的检测结果;如果从所述待决策结果列表中未能选出与所述待检测样本相似的病毒样本,则疑似病毒为非病毒,并将其作为病毒比对的检测结果;
所述方法还包括:将所述病毒比对的检测结果发送给终端。
本发明实施例的一种服务器,所述服务器包括:
第二预处理单元,用于对病毒库样本文件按照预设策略进行预处理,得到病毒库样本文件中的待比对信息,构成所述待比对信息的字节分布符合指定规则;
第二特征参数运算单元,用于根据所述待比对信息计算得到第二特征参数值;
判断单元,用于接收由待检测样本计算得到的第一特征参数值,对所述第一特征参数值和所述第二特征参数值进行相似度判断,得到判断结果;
病毒检测单元,用于所述判断结果满足阈值时,将待检测样本作为疑似病毒,直至与指定数量或所有病毒库样本文件比对结束后,确定出所述疑似病毒为病毒或非病毒。
上述方案中,所述病毒检测单元,进一步用于:
在所述第一特征参数值和所述第二特征参数值间的相似度满足所述阈值时,将待检测样本加入待决策结果列表中,直至与指定数量或所有病毒库样本文件比对结束后,如果从所述待决策结果列表中能选出与所述待检测样本相似度最高的病毒样本,则疑似病毒为病毒,并将其作为病毒比对的检测结果;如果从所述待决策结果列表中未能选出与所述待检测样本相似的病毒样本,则疑似病毒为非病毒,并将其作为病毒比对的检测结果;
所述服务器还包括:
发送单元,用于将所述病毒比对的检测结果发送给终端。
本发明实施例的一种病毒检测方法,所述方法包括:
服务器对获取的待处理文件按照预设策略进行预处理,得到对抗病毒变种入侵的有效信息,构成所述有效信息的字节分布符合指定规则;
服务器对病毒库样本文件按照所述预设策略进行预处理,得到病毒库样本文件中的待比对信息,构成所述待比对信息的字节分布符合指定规则;
服务器根据所述有效信息计算得到第一特征参数值,所述第一特征参数值作为待检测样本的特征值;
服务器根据所述待比对信息计算得到第二特征参数值,所述第二特征参数值作为病毒样本的特征值;
服务器对所述第一特征参数值和所述第二特征参数值进行相似度判断,得到判断结果;
所述判断结果满足阈值时,将待检测样本作为疑似病毒,直至与指定数量或所有病毒库样本文件比对结束后,服务器确定出所述疑似病毒为病毒或非病毒,并将其作为病毒比对的检测结果发送给终端;
终端接收病毒比对的检测结果,根据所述病毒比对的检测结果对本地文件进行病毒查杀的全部扫描或部分扫描。
本发明实施例的一种病毒检测系统,所述系统包括:服务器和终端;其中,
所述服务器包括:
第一预处理单元,用于对获取的待处理文件按照预设策略进行预处理,得到对抗病毒变种入侵的有效信息,构成所述有效信息的字节分布符合指定规则;
第二预处理单元,用于对病毒库样本文件按照所述预设策略进行预处理,得到病毒库样本文件中的待比对信息,构成所述待比对信息的字节分布符合指定规则;
第一特征参数值运算单元,用于根据所述有效信息计算得到第一特征参数值,所述第一特征参数值作为待检测样本的特征值;
第二特征参数值运算单元,用于根据所述待比对信息计算得到第二特征参数值,所述第二特征参数值作为病毒样本的特征值;
判断单元,用于对所述第一特征参数值和所述第二特征参数值进行相似度判断,得到判断结果;
病毒检测单元,用于所述判断结果满足阈值时,将待检测样本作为疑似病毒,直至与指定数量或所有病毒库样本文件比对结束后,确定出所述疑似病毒为病毒或非病毒,并将其作为病毒比对的检测结果发送给终端;
所述终端包括:
病毒查杀单元,用于接收病毒比对的检测结果,根据所述病毒比对的检测结果对本地文件进行病毒查杀的全部扫描或部分扫描。
本发明实施例的病毒检测方法包括:对获取的待处理文件按照预设策略进行预处理,得到对抗病毒变种入侵的有效信息,构成所述有效信息的字节分布符合指定规则;根据所述有效信息计算得到第一特征参数值,将所述第一特征参数值发送给服务器进行病毒比对的检测;接收病毒比对的检测结果,根据所述病毒比对的检测结果对本地文件进行病毒查杀的全部扫描或部分扫描。采用本发明实施例,能准确有效的检测出病毒的变种,从而提高病毒检测的准确性,保障用户的资金账户和隐私信息等等的信息安全。
附图说明
图1为本发明实施例中进行信息交互的各方硬件实体的示意图;
图2-7为本发明实施例中病毒查杀应用的多个可选UI界面示意图;
图8为本发明实施例一的一个实现流程示意图;
图9为应用本发明实施例二的上报第一模糊哈希值的示意图;
图10为本发明实施例三的一个模块组成结构示意图;
图11为本发明实施例七的一个模块交互示意图;
图12为应用本发明实施例的一个硬件组成结构示意图;
图13为应用本发明实施例一应用场景的模块组成结构示意图;
图14为应用本发明实施例一应用场景的分片模糊哈希值计算示意图;
图15为应用本发明实施例一应用场景的病毒库生成流程示意图;
图16为应用本发明实施例一应用场景的待检测样本的病毒比对检测流程;
图17为应用本发明实施例一应用场景的客户端+云端方式实现病毒检测的示意图。
具体实施方式
下面结合附图对技术方案的实施作进一步的详细描述。
图1为本发明实施例中进行信息交互的各方硬件实体的示意图,图1中包括:服务器11、终端设备21-24,终端设备21-24通过有线网络或者无线网络与服务器进行信息交互,终端设备包括手机、台式机、PC机、一体机等类型。其中,终端设备中安装有应用(如游戏应用,地图导航应用,高铁线路应用,病毒查杀应用等)采用本发明实施例,基于上述图1所示的系统,终端对获取的待处理文件(需进行病毒检测的文件)按照预设策略进行预处理,得到对抗病毒变种入侵的有效信息,有效信息具备稳定性,经预处理后得到的该信息是待处理文件中最稳定的信息,这种信息是病毒作者很难绕过去和容易重新混淆的部分,所以该信息作为对抗病毒变种入侵的有效信息使用,该信息为图1中终端上报给服务器的待检测样本,具体应用中,还可以对该待检测样本进行模糊哈希值计算,将计算结果(第一模糊哈希值)上报给服务器进行病毒检测比对,构成所述有效信息的字节分布符合指定规则(即具备上述稳定性要求,是待处理文件中最稳定的信息);服务器对病毒库样本文件按照所述预设策略进行预处理,得到病毒库样本文件中的待比对信息,构成所述待比对信息的字节分布符合指定规则,具体的,服务器对已有的病毒库样本文件中的病毒样本文件进行预处理,也采用与终端侧相同的预设策略进行预处理,目的是为了从病毒库样本文件中截取出与终端上报待检测样本中相同特征的数据进行比对,这样会提高比对的精确度,具体应用中,还可以对该病毒样本文件进行模糊哈希值计算,将计算结果(第二模糊哈希值)与终端上报的计算结果(第一模糊哈希值)进行病毒检测比对,其中,第一模糊哈希值是终端根据所述有效信息(待检测样本)计算得到的第一特征参数值,第二模糊哈希值是服务器根据所述待比对信息(病毒样本)计算得到的第二特征参数值;服务器对所述第一特征参数值和所述第二特征参数值进行相似度判断,得到判断结果;所述判断结果满足阈值时,将待检测样本作为疑似病毒,直至与指定数量或所有病毒库样本文件比对结束后,服务器确定出所述疑似病毒为病毒或非病毒,并将其作为病毒比对的检测结果发送给终端;终端接收病毒比对的检测结果,根据所述病毒比对的检测结果对本地文件进行病毒查杀的全部扫描或部分扫描。
图2-图7为应用本发明实施例的几个可选的UI界面示意图。如图2所示,在终端用户界面显示有多个已安装的应用,在终端用户界面找到病毒查杀应用(如手机管家),点击病毒查杀应用(如手机管家)以开启病毒查杀应用(如手机管家),进入如图3或图4所示的病毒查杀应用(如手机管家)的应用界面,应用界面中包含病毒查杀的启动按钮,如图3中的“立即扫描”,或者,如图4中的“快速扫描”和“全盘扫描”,通过图4中的不同启动按钮可以触发不同查杀策略,举例来说,快速扫描是选取终端中的核心内容作为待检测样本,与10万病毒样本进行比对,而全盘扫描是将终端中的全部内容作为待检测样本,与全部病毒样本(如30万病毒样本)进行比对,图5-图6为终端上报待检测样本后,在云端进行病毒样本查杀过程的界面图,可以对终端中应用内嵌的广告插件,染毒文件或染毒网址等进行高效快捷的查杀,查杀结束后的界面如图7所示,这个实例是终端未被病毒入侵,病毒比对检测结果为安全。如果终端被病毒入侵,病毒比对检测结果中会包括需要用户处理的待清理的病毒文件或广告插件等,用户根据自身需求进行文件清理。
上述图1的例子只是实现本发明实施例的一个系统架构实例,本发明实施例并不限于上述图1所述的系统结构,上述图2-图7为可选的UI界面图,本发明实施例实际应用中并不限于这些UI界面图。在此,基于图1的系统架构,提出本发明各个实施例。
实施例一:
本发明实施例的一种病毒检测方法,如图8所示,所述方法包括:
步骤101、对获取的待处理文件按照预设策略进行预处理,得到对抗病毒变种入侵的有效信息,构成所述有效信息的字节分布符合指定规则;
这里,本步骤的一个具体应用为:在终端侧实现预处理,以得到该有效信息。终端对获取的待处理文件(需进行病毒检测的文件)按照预设策略进行预处理,得到对抗病毒变种入侵的有效信息,有效信息具备稳定性,经预处理后得到的该信息是待处理文件中最稳定的信息,这种信息是病毒作者很难绕过去和容易重新混淆的部分,所以该信息作为对抗病毒变种入侵的有效信息使用。
本步骤的另一个具体应用为:在服务器侧实现预处理,包括得到有效信息的预处理操作,将有效信息作为待检测样本;还包括:得到比对信息的预处理操作,将比对信息作为病毒样本,二者可以采用相同的预处理策略,以便能更精确的将待检测样本与病毒样本进行对应特征的精确特征匹配。
步骤102、根据所述有效信息计算得到第一特征参数值,将所述第一特征参数值发送给服务器进行病毒比对的检测;
这里,该有效信息的一个实例为图1中终端上报给服务器的待检测样本,实际应用中,可以对该待检测样本进行模糊哈希值计算,将计算结果(第一模糊哈希值)上报给服务器进行病毒检测比对,构成所述有效信息的字节分布符合指定规则(即具备上述稳定性要求,是待处理文件中最稳定的信息)。第一模糊哈希值是终端根据所述有效信息(待检测样本)计算得到的第一特征参数值。
步骤103、接收病毒比对的检测结果,根据所述病毒比对的检测结果对本地文件进行病毒查杀的全部扫描或部分扫描。
这里,检测的目的是为了病毒查杀,在终端病毒查杀应用界面对用户进行提示,病毒查杀应用界面几个可选的例子如图2-图7所示。根据不同查杀策略会生成不同的终端病毒查杀应用界面,如图3和图4的病毒查杀应用界面就有所不同。图4中包含不同的启动按钮“快速扫描”和“全盘扫描”,不同启动按钮可以触发不同查杀策略,举例来说,快速扫描是选取终端中的核心内容作为待检测样本,与10万病毒样本进行比对,而全盘扫描是将终端中的全部内容作为待检测样本,与全部病毒样本(如30万病毒样本)进行比对。
实施例二:
本发明实施例的一种病毒检测方法,所述方法包括:
步骤201、获取所述待处理文件,从所述待处理文件中查询到指定文件;
这里,以终端系统为安卓系统为例,获取APK文件作为待处理文件,APK文件为可执行文件,病毒通常入侵可执行文件,以触发病毒的运行,因此,首先要对APK文件进行重点监控和病毒检测。在APK文件查询Dex和SO文件,由于对APK文件通常进行Dex加壳、乱序保护、SO加壳、虚拟机指令保护等多重保护,有效的对存储数据进行加密保护、保护APK文件安全,是APK文件安全加固的首选,因此,在本发明实施例中,对从所述待处理文件中查询指定文件时,选取的是Dex和SO文件。
步骤202、从所述指定文件中解析出目标指令,从所述目标指令中提取字节分布符合所述指定规则的部分指令片段,根据所述部分指令片段生成目标序列,将所述目标序列确定为所述有效信息;
这里,结合上述步骤201,考虑到需要得到具备稳定性的特征代码进行特征代码匹配的病毒检测出来,因此,从所述待处理文件中选取出Dex和SO文件后,从Dex和SO文件的函数指令中提取其中opcode代码部分(指令中最具稳定性特征的代码部分),opcode代码部分的字节分布符合所述指定规则(指令中最具稳定性特征),根据所述opcode部分生成的目标序列。
通过上述步骤201-202对获取的待处理文件按照预设策略进行预处理,得到对抗病毒变种入侵的有效信息为:根据所述opcode部分生成的目标序列。
这里,本步骤的一个具体应用为:在终端侧实现预处理,以得到该有效信息。终端对获取的待处理文件(需进行病毒检测的文件)按照预设策略进行预处理,得到对抗病毒变种入侵的有效信息(根据所述opcode部分生成的目标序列),有效信息(根据所述opcode部分生成的目标序列)具备稳定性,经预处理后得到的该信息是待处理文件中最稳定的信息,这种信息是病毒作者很难绕过去和容易重新混淆的部分,所以该信息作为对抗病毒变种入侵的有效信息使用。
本步骤的另一个具体应用为:在服务器侧实现预处理,包括得到有效信息(根据所述opcode部分生成的目标序列)的预处理操作,将有效信息(根据所述opcode部分生成的目标序列)作为待检测样本;还包括:得到比对信息的预处理操作,将比对信息作为病毒样本,二者可以采用相同的预处理策略,以便能更精确的将待检测样本与病毒样本进行对应特征的精确特征匹配。
步骤203、根据所述有效信息计算得到第一特征参数值,将所述第一特征参数值发送给服务器进行病毒比对的检测;
这里,一个具体应用为:将所述目标序列作为病毒检测的待检测样本,将由所述待检测样本计算得到的第一模糊哈希值发送给服务器进行病毒比对的检测;所述第一特征参数值包括所述第一模糊哈希值。
这里,该有效信息(根据所述opcode部分生成的目标序列)的一个实例为图1中终端上报给服务器的待检测样本,实际应用中,可以对该待检测样本进行模糊哈希值计算,将计算结果(第一模糊哈希值)上报给服务器进行病毒检测比对,构成所述有效信息(根据所述opcode部分生成的目标序列)的字节分布符合指定规则(即具备上述稳定性要求,是待处理文件中最稳定的信息)。第一模糊哈希值是终端根据所述有效信息(根据所述opcode部分生成的目标序列)计算得到的第一特征参数值,终端将第一模糊哈希值上报给服务器进行病毒检测比对,如图9所示。图9中,包括:服务器31和终端32,终端32作为服务器收集待检测样本的来源,上报的样本来源包括活跃病毒,疑似病毒和非病毒类型,本发明实施例只是一个实例,除此类型外,还可以包括已知病毒变种和新病毒类型等等。终端32将其待检测样本进行分段求哈希值得到第一模糊哈希值后,上报第一模糊哈希值给服务器31,在服务器31侧进行病毒检测的比对,最终,服务器31将病毒检测比对结果反馈给终端进行呈现。
步骤204、接收病毒比对的检测结果,根据所述病毒比对的检测结果对本地文件进行病毒查杀的全部扫描或部分扫描。
这里,检测的目的是为了病毒查杀,在终端病毒查杀应用界面对用户进行提示,病毒查杀应用界面几个可选的例子如图2-图7所示。根据不同查杀策略会生成不同的终端病毒查杀应用界面,如图3和图4的病毒查杀应用界面就有所不同。图4中包含不同的启动按钮“快速扫描”和“全盘扫描”,不同启动按钮可以触发不同查杀策略,举例来说,快速扫描是选取终端中的核心内容作为待检测样本,与10万病毒样本进行比对,而全盘扫描是将终端中的全部内容作为待检测样本,与全部病毒样本(如30万病毒样本)进行比对。
在本发明实施例一实施方式中,所述方法还包括:根据收集的已知病毒特征信息及病毒变种的趋势信息生成所述预设策略,以得到对抗病毒变种入侵的有效信息。根据病毒及其变种利用序列进行入侵的特征,来选择利用该opcode序列稳定性来对抗这个入侵干扰。
实施例三:
本发明实施例的一种终端,如图10所示,所述终端包括:第一预处理单元41,用于对获取的待处理文件按照预设策略进行预处理,得到对抗病毒变种入侵的有效信息,构成所述有效信息的字节分布符合指定规则;第一特征参数运算单元42,用于根据所述有效信息计算得到第一特征参数值,将所述第一特征参数值发送给服务器进行病毒比对的检测;病毒查杀单元43,用于接收病毒比对的检测结果,根据所述病毒比对的检测结果对本地文件进行病毒查杀的全部扫描或部分扫描。
这里,第一预处理单元41的一个具体处理过程为:第一预处理单元41可以为终端侧,则在终端侧实现预处理,以得到该有效信息。终端对获取的待处理文件(需进行病毒检测的文件)按照预设策略进行预处理,得到对抗病毒变种入侵的有效信息,有效信息具备稳定性,经预处理后得到的该信息是待处理文件中最稳定的信息,这种信息是病毒作者很难绕过去和容易重新混淆的部分,所以该信息作为对抗病毒变种入侵的有效信息使用。
第一预处理单元41的另一个具体处理过程为:第一预处理单元41可以为服务器侧,则在服务器侧实现预处理,包括得到有效信息的预处理操作,将有效信息作为待检测样本;还包括:得到比对信息的预处理操作,将比对信息作为病毒样本,二者可以采用相同的预处理策略,以便能更精确的将待检测样本与病毒样本进行对应特征的精确特征匹配。
这里,该有效信息的一个实例为图1中终端上报给服务器的待检测样本,实际应用中,可以对该待检测样本进行模糊哈希值计算,则第一特征参数运算单元42用于将计算结果(第一模糊哈希值)上报给服务器进行病毒检测比对,构成所述有效信息的字节分布符合指定规则(即具备上述稳定性要求,是待处理文件中最稳定的信息)。第一模糊哈希值是终端根据所述有效信息(待检测样本)计算得到的第一特征参数值。
这里,病毒查杀单元43的一个具体处理过程为:由于检测的目的是为了病毒查杀,因此,病毒查杀单元43用于接收病毒比对的检测结果,根据所述病毒比对的检测结果对本地文件进行病毒查杀的全部扫描或部分扫描,将扫描结果在终端病毒查杀应用界面对用户进行提示,病毒查杀应用界面几个可选的例子如图2-图7所示。根据不同查杀策略会生成不同的终端病毒查杀应用界面,如图3和图4的病毒查杀应用界面就有所不同。图4中包含不同的启动按钮“快速扫描”和“全盘扫描”,不同启动按钮可以触发不同查杀策略,举例来说,快速扫描是选取终端中的核心内容作为待检测样本,与10万病毒样本进行比对,而全盘扫描是将终端中的全部内容作为待检测样本,与全部病毒样本(如30万病毒样本)进行比对。
本发明实施例一实施方式中,所述预处理单元,进一步用于:获取所述待处理文件,从所述待处理文件中查询到指定文件;从所述指定文件中解析出目标指令,从所述目标指令中提取字节分布符合所述指定规则的部分指令片段,根据所述部分指令片段生成目标序列,将所述目标序列确定为所述有效信息。
本发明实施例一实施方式中,所述第一特征参数运算单元,进一步用于:将所述目标序列作为病毒检测的待检测样本,将由所述待检测样本计算得到的第一模糊哈希值发送给服务器进行病毒比对的检测;所述第一特征参数值包括所述第一模糊哈希值。
本发明实施例一实施方式中,所述终端还包括:策略生成单元,用于根据收集的已知病毒特征信息及病毒变种的趋势信息生成所述预设策略,以得到对抗病毒变种入侵的有效信息。
实施例四:
本发明实施例的一种病毒检测方法,所述方法包括:
步骤301、对病毒库样本文件按照预设策略进行预处理,得到病毒库样本文件中的待比对信息,构成所述待比对信息的字节分布符合指定规则;
这里,以终端系统为安卓系统为例,病毒库样本文件为APK文件为例,APK文件为可执行文件,病毒通常入侵可执行文件,以触发病毒的运行,因此,首先要对APK文件进行重点监控和病毒检测。在APK文件查询Dex和SO文件,由于对APK文件通常进行Dex加壳、乱序保护、SO加壳、虚拟机指令保护等多重保护,有效的对存储数据进行加密保护、保护APK文件安全,是APK文件安全加固的首选,因此,在本发明实施例中,从APK文件中选取Dex和SO文件,以生成比对信息。具体的,从所述待处理文件中选取出Dex和SO文件后,从Dex和SO文件的函数指令中提取其中opcode代码部分,opcode代码部分的字节分布符合所述指定规则,将由所述opcode部分生成的目标序列作为比对信息。
步骤302、根据所述待比对信息计算得到第二特征参数值;
这里,一个具体应用为:将所述目标序列作为比对信息,将由比对信息计算得到的第二模糊哈希值与终端上报的第一模糊哈希值进行病毒比对的检测;所述第二特征参数值包括所述第二模糊哈希值。
步骤303、接收由待检测样本计算得到的第一特征参数值,对所述第一特征参数值和所述第二特征参数值进行相似度判断,得到判断结果;
这里,由比对信息计算得到的第二模糊哈希值与终端上报的第一模糊哈希值进行病毒比对的检测,可以是计算二者的相似度,得到相似度判断结果。
步骤304、所述判断结果满足阈值时,将待检测样本作为疑似病毒,直至与指定数量或所有病毒库样本文件比对结束后,确定出所述疑似病毒为病毒或非病毒。
这里,在所述第一模糊哈希值和所述第二模糊哈希值间的相似度满足所述阈值时,将待检测样本加入待决策结果列表中,直至与指定数量或所有病毒库样本文件比对结束后,如果从所述待决策结果列表中能选出与所述待检测样本相似度最高的病毒样本,则疑似病毒为病毒,并将其作为病毒比对的检测结果;如果从所述待决策结果列表中未能选出与所述待检测样本相似的病毒样本,则疑似病毒为非病毒,并将其作为病毒比对的检测结果,之后,将所述病毒比对的检测结果发送给终端。
实施例五:
本发明实施例的一种服务器,所述服务器包括:第二预处理单元,用于对病毒库样本文件按照预设策略进行预处理,得到病毒库样本文件中的待比对信息,构成所述待比对信息的字节分布符合指定规则;及第二特征参数运算单元,用于根据所述待比对信息计算得到第二特征参数值;及判断单元,用于接收由待检测样本计算得到的第一特征参数值,对所述第一特征参数值和所述第二特征参数值进行相似度判断,得到判断结果;及病毒检测单元,用于所述判断结果满足阈值时,将待检测样本作为疑似病毒,直至与指定数量或所有病毒库样本文件比对结束后,确定出所述疑似病毒为病毒或非病毒。
在本发明实施例一实施方式中,所述病毒检测单元,进一步用于:在所述第一特征参数值和所述第二特征参数值间的相似度满足所述阈值时,将待检测样本加入待决策结果列表中,直至与指定数量或所有病毒库样本文件比对结束后,如果从所述待决策结果列表中能选出与所述待检测样本相似度最高的病毒样本,则疑似病毒为病毒,并将其作为病毒比对的检测结果;如果从所述待决策结果列表中未能选出与所述待检测样本相似的病毒样本,则疑似病毒为非病毒,并将其作为病毒比对的检测结果;所述服务器还包括:发送单元,用于将所述病毒比对的检测结果发送给终端。
实施例六:
本实施例区别于上述实施例,上述实施例中,可以通过终端上报经预处理后得到的待检测样本,对待检测样本进行哈希值计算后提供给服务器进行与病毒样本哈希值的比对,以实现病毒检测的比对。本发明实施例,预处理及哈希值计算等都是在服务器执行的,终端只作为提供样本的来源。由于所有处理过程都是在服务器执行的,可以避免占用终端的开销。
本发明实施例的一种病毒检测方法,包括:
步骤401、服务器对获取的待处理文件按照预设策略进行预处理,得到对抗病毒变种入侵的有效信息,构成所述有效信息的字节分布符合指定规则;
步骤402、服务器对病毒库样本文件按照所述预设策略进行预处理,得到病毒库样本文件中的待比对信息,构成所述待比对信息的字节分布符合指定规则;
步骤403、服务器根据所述有效信息计算得到第一特征参数值,所述第一特征参数值作为待检测样本的特征值;
步骤404、服务器根据所述待比对信息计算得到第二特征参数值,所述第二特征参数值作为病毒样本的特征值;
步骤405、服务器对所述第一特征参数值和所述第二特征参数值进行相似度判断,得到判断结果;
步骤406、所述判断结果满足阈值时,将待检测样本作为疑似病毒,直至与指定数量或所有病毒库样本文件比对结束后,服务器确定出所述疑似病毒为病毒或非病毒,并将其作为病毒比对的检测结果发送给终端;
步骤407、终端接收病毒比对的检测结果,根据所述病毒比对的检测结果对本地文件进行病毒查杀的全部扫描或部分扫描。
实施例七:
本发明实施例的一种病毒检测系统,如11所示,所述系统包括:服务器和终端;其中,所述服务器包括:第一预处理单元51,用于对获取的待处理文件按照预设策略进行预处理,得到对抗病毒变种入侵的有效信息,构成所述有效信息的字节分布符合指定规则;第二预处理单元52,用于对病毒库样本文件按照所述预设策略进行预处理,得到病毒库样本文件中的待比对信息,构成所述待比对信息的字节分布符合指定规则;第一特征参数值运算单元53,用于根据所述有效信息计算得到第一特征参数值,所述第一特征参数值作为待检测样本的特征值;第二特征参数值运算单元54,用于根据所述待比对信息计算得到第二特征参数值,所述第二特征参数值作为病毒样本的特征值;判断单元55,用于对所述第一特征参数值和所述第二特征参数值进行相似度判断,得到判断结果;及病毒检测单元56,用于所述判断结果满足阈值时,将待检测样本作为疑似病毒,直至与指定数量或所有病毒库样本文件比对结束后,确定出所述疑似病毒为病毒或非病毒,并将其作为病毒比对的检测结果发送给终端。所述终端包括:样本上报单元61,用于上报待检测样本,待检测样本的类型如图9所示,可以包括活跃病毒,疑似病毒和非病毒;及病毒查杀单元62,用于接收病毒比对的检测结果,根据所述病毒比对的检测结果对本地文件进行病毒查杀的全部扫描或部分扫描。
这里需要指出的是,上述终端可以为PC这种电子设备,还可以为如PAD,平板电脑,手提电脑这种便携电子设备、还可以为如手机这种智能移动终端,不限于这里的描述;所述服务器可以是通过集群系统构成的,为实现各单元功能而合并为一或各单元功能分体设置的电子设备,终端和服务器都至少包括用于存储数据的数据库和用于数据处理的处理器,或者包括设置于服务器内的存储介质或独立设置的存储介质。
其中,对于用于数据处理的处理器而言,在执行处理时,可以采用微处理器、中央处理器(CPU,Central Processing Unit)、数字信号处理器(DSP,Digital SingnalProcessor)或可编程逻辑阵列(FPGA,Field-Programmable Gate Array)实现;对于存储介质来说,包含操作指令,该操作指令可以为计算机可执行代码,通过所述操作指令来实现上述本发明实施例信息处理方法流程中的各个步骤。
该终端和该服务器作为硬件实体S11的一个示例如图12所示。所述装置包括处理器71、存储介质72以及至少一个外部通信接口73;所述处理器71、存储介质72以及外部通信接口73均通过总线74连接。
这里需要指出的是:以上涉及终端和服务器项的描述,与上述方法描述是类似的,同方法的有益效果描述,不做赘述。对于本发明终端和服务器实施例中未披露的技术细节,请参照本发明方法实施例的描述。
以一个现实应用场景为例对本发明实施例阐述如下:
本应用场景中,对Android病毒的检测技术方案主要依靠特征码匹配进行检测,常用的特征有:APK文件的HASH、签名、Package名字、classes.dex中的类名和函数名。这些现有的病毒检测方案都存在各种的问题,比如,1)基于APK文件的哈希、签名、Package名字、类名等特征是基于简单的规则或者数字签名进行识别,很容易被病毒制作者绕开,造成漏过恶意程序的问题。2)基于APK文件的哈希进行识别的方式,采用的哈希算法一般是MD5、SHA1等,这些算法对输入值很敏感,APK文件即使只有一个字节的变化,计算出来的哈希值就会不同,因此,病毒作者很容易通过重新混淆,或者,在APK文件中添加新的资源文件乃至修改代码等方式,使通过哈希算法提取的KEY发生改变,进而导致无法识别;3)基于签名的识别方式可以通过更换签名的方式绕过;4)基于Package名字来识别的方式也可通过修改包名的方式来绕过;通过扫描类名来进行识别的方式,一方面因为仅仅检查类名从而容易误报,另一方面也很容易被病毒制造者通过混淆或者直接修改类名而绕过。而且更改混淆方式,修改APK文件(添加删除资源,代码等)或者更换签名对病毒制造者而言都很容易,所以病毒作者很轻易地就可以制造新的病毒变种从而绕过安全软件的识别。有鉴于此,针对这些问题,需要一种更精准的病毒检测技术,以便更能行之有效的对病毒进行查杀,用以准确、有效地检测Android病毒变种,从而提高APK的安全性。
本应用场景采用本发明实施例,可以是一种基于opcode相似度的Android病毒检测技术,通过解析APK文件中的dex文件和so文件,获取其中函数的指令,跳过指令中容易变化的部分,提取比较稳定的opcode部分组成序列,然后依据这些函数的opcode序列来计算模糊哈希值。进行样本检测时,将待检测样本的模糊哈希值与病毒样本库中的模糊哈希值进行比较,得到的相似度若满足阈值,则加入待决策结果列表中,比较完所有病毒样本后,从待决策结果列表中选出与待检测样本相似度最高的病毒作为检测结果。如果待决策列表为空,说明没有找到与待检测样本相似的病毒样本,此时检测结果为非病毒。采用本发明实施例,能够有效识别那些通过混淆或者重编译等方法企图绕过安全软件的病毒变种,并且能有效减小病毒检测过程中的资源消耗。
一个采用手机安装的病毒查杀应用实现本发明实施例的多个可选UI示意图如图2-图7所示,首先,开启病毒查杀应用的云查杀功能,病毒查杀应用对手机上的待检测样本生成待检测样本对应的模糊哈希值,将待检测样本对应的模糊哈希值发到云端(服务器侧),云端(服务器侧)使用预置的病毒库来计算相似度(具体是将待检测样本的模糊哈希值与病毒样本库中的模糊哈希值,进行相似度判断),从而判别该待检测样本的安全状态,后将病毒比对检测结果返回给病毒查杀应用,病毒查杀应用可以根据需要对用户展示和对样本进行处理。
技术实现中涉及的流程及系统中的信息交互图如图13-图17所示。
本应用场景采用本发明实施例,一个基本模块的组成功能如图13所示,以下对每个模块的具体功能描述如下:
一,模糊哈希生成模块:
a)分片:
Android平台的安装包格式为apk格式,即标准的zip压缩包格式,dex和so文件是apk中的代码可执行文件,是恶意代码的真实载体。
dex文件中每条指令的基本格式可以概括为:
A/OP Index Arg
其中第一段中的OP部分用来描述当前指令类型,A是配置部分,用于对OP或OP使用参数进行配置,Index是调用函数的索引或当期指令所引用的静态数据的索引,通过索引可以在dex文件中的其他部分找到函数的对应详细信息,Arg部分则是参数寄存器相关的定义和指令。从实际情况来看,不同的函数调用和数据操作指令,每次生成dex的文件中指令的二进制内容都会发生变化,Index和Arg部分的二进制内容对dex的重新编译生成和调用而出现一定的随机性,根据不同的编译和优化策略A也会有一定的变化,只有OP段部分是相对稳定的数值内容,一般不会发生变化。
同样的,对于so文件来说,一般使用的是ARM指令集,ARM指令的基本格式可以概括为:
<opcode>{<cond>}{S}<Rd>,<Rn>{,<opcode2>}
其中opcode是指令助记符,即操作码,说明指令需要执行的操作,在指令中是必需的。
本发明实施例通过对dex和so文件进行解析,获取每个函数的Opcode序列,作为模糊哈希计算中的分片。
b)每片求哈希值:
将文件分片完以后,就可以对每片分别计算哈希了。可以使用传统的哈希算法,本发明实施例中使用MD5算法。
c)压缩映射:
对每一个文件分片,计算得到一个哈希值以后,可以选择将结果压缩短。但是,这种压缩映射会损失一部分准确性,引入误报问题。本发明选择不做压缩映射,保留MD5的结果。
d)连接哈希值:
将每片压缩后的哈希值连接到一起,就得到这个文件的模糊哈希值了。
本发明实施例中使用的分片模糊哈希值(simhash)算法的整个生成流程如图14所示。这里,模糊哈希算法有多种,可以是simhash,也可以是spamsum或者其他模糊哈希算法。
二,相似度计算模块:
本发明实施例中使用海明距离来计算两个样本的相似度。二进制串A和二进制串B的海明距离就是A xor B后二进制中1的个数。
举例如下:
A=100111;
B=101010;
hamming_distance(A,B)=count_1(A xor B)=count_1(001101)=3;
当算出两个样本的simhash值之后,样本A和样本B之间是否相似的条件是:A和B的海明距离是否小于等于N,这个N值可以根据经验或者实验来选取。
三,结果判定模块:
对于一个待检测样本来说,其模糊哈希值可能和病毒库里面的多个样本的模糊哈希值间的海明距离都小于我们的阈值,也就是说此检测样本与病毒库里的多个病毒样本都相似,此时,需要以一种策略来决定应该选取哪个病毒样本的病毒id来作为检测样本的病毒id。本发明实施例中使用的策略是取其中距离最小的样本的病毒id作为结果。
本发明实施例中主要有两个流程:图15所示的病毒库生成流程和图16所示的待检测样本的病毒比对检测流程。
一,病毒库生成流程如图15所示,包括:
步骤701、从病毒样本库中随机取出一个样本;
步骤702、生成模糊哈希值;
步骤703、将生成的模糊哈希值和样本对应的病毒id加入病毒库中;
步骤704、判断全部样本是否已处理完毕,如果是,执行步骤705,否则,返回执行步骤701;
步骤705、输出病毒库。
二,待检测样本的病毒比对检测流程如图16所示,包括:
步骤801、取出待检测样本;
步骤802、生成模糊哈希值;
步骤803、从病毒库中依次取出一个模糊哈希vh及其对应的病毒vid;
步骤804、计算待检测样本的模糊哈希dh和病毒库取出的模糊哈希vh间的距离d;
步骤805、判断d<=N,如果是,执行步骤806,否则,执行步骤807;
步骤806、将vh、vid及d作为一项加入待决策列表中;
步骤807、判断病毒库中所有项是否已处理完,如果是,执行步骤808;否则,返回执行步骤803。
步骤808、判断待决策列表为空;如果是,则执行步骤809;否则,执行步骤810。
步骤809、判断为非病毒APK;
步骤810、将待决策列表中选出距离d最小的项对应的vid作为此检测样本的病毒id。
本发明实施例的病毒检测系统可以将所有的执行过程都放在云端(服务器)处理,也可以采用终端(终端上安装的病毒查杀应用客户端)+云端(服务器)的方式部署,将病毒库生成流程和样本检测流程放到云端,客户端负责生成待检测样本的模糊哈希值,发送给云端,云端完成检测后,回传结果给客户端。此时,系统的架构如图17所示,系统各个模块的功能和流程和之前一致,不做赘述。
本应用场景采用本发明实施例,一个具体实现是通过提取dex和so文件中函数的opcode序列作为模糊哈希的输入分片,然后利用模糊哈希的比较来检测Android病毒,由于opcode序列的稳定性较高,不随文件中其他数据变化,因此抗变性好,使得本实施例可以有效检测病毒变种,能对病毒进精准的检测和病毒查杀处理。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (16)
1.一种病毒检测方法,其特征在于,所述方法包括:
根据收集的已知病毒特征信息及病毒变种的趋势信息,解析获取的可执行文件,以获取所述可执行文件中包括的函数中的指令;
通过跳过所述指令中相对于具备稳定性特征的操作码具有可变性的部分,提取所述可执行文件中字节分布不随所述具有可变性的部分的变化而变化的部分,以作为具备稳定性特征的操作码,并将所述操作码组成目标序列以作为对抗病毒变种入侵的有效信息;
其中,当所述可执行文件为应用程序包APK文件时,所述具备稳定性特征的操作码包括操作码opcode序列;
根据所述有效信息计算得到第一特征参数值,其中,所述第一特征参数值包括第一模糊哈希值;
将所述第一特征参数值发送给服务器,以使
所述服务器确定所述可执行文件的第一特征参数值与病毒样本的第二特征参数值之间的相似度,并根据所述相似度进行病毒比对的检测;
其中,所述第二特征参数值包括所述病毒样本的第二模糊哈希值;
接收所述病毒比对的检测结果,根据所述病毒比对的检测结果对本地文件进行病毒查杀的全部扫描或部分扫描。
2.根据权利要求1所述的方法,其特征在于,所述解析获取的可执行文件,以获取所述可执行文件中包括的函数中的指令,包括:
当获取的所述可执行文件为APK文件时,从所述可执行文件中查询到指定文件,所述指定文件包括Dex文件和SO文件;
从所述指定文件中解析出所述Dex文件和SO文件中的函数包括的指令;
所述通过跳过所述指令中相对于具备稳定性特征的操作码具有可变性的部分,提取所述可执行文件中字节分布不随所述具有可变性的部分的变化而变化的部分,以作为具备稳定性特征的操作码,包括:
通过跳过所述Dex文件和SO文件中的函数包括的指令中相对于具备稳定性特征的操作码具有可变性的部分,从所述Dex文件和SO文件中的函数包括的指令中,提取字节分布不随所述具有可变性的部分的变化而变化的部分,以作为所述具备稳定性特征的操作码。
3.根据权利要求2所述的方法,其特征在于,所述根据所述有效信息计算得到第一特征参数值,包括:
将所述Dex文件和SO文件中的每个函数的操作码Opcode序列,作为模糊哈希计算中的分片;
将通过信息摘要算法MD5计算得到的所述分片的模糊哈希值进行连接,以得到所述可执行文件的模糊哈希值。
4.根据权利要求1所述的方法,其特征在于,
所述服务器确定所述可执行文件的第一特征参数值与病毒样本的第二特征参数值之间的相似度,包括:
所述服务器确定所述可执行文件的第一特征参数值与病毒样本的第二特征参数值之间的海明距离;
所述根据所述相似度进行病毒比对的检测,包括:
当所述海明距离小于距离阈值时,将对应的病毒样本加入待决策列表;
当所述待决策列表不为空时,取所述海明距离最小时对应的病毒样本作为病毒比对的检测结果。
5.一种终端,其特征在于,所述终端包括:
第一预处理单元,用于根据收集的已知病毒特征信息及病毒变种的趋势信息,解析获取的可执行文件,以获取所述可执行文件中包括的函数中的指令;通过跳过所述指令中相对于具备稳定性特征的操作码具有可变性的部分,提取所述可执行文件中字节分布不随所述具有可变性的部分的变化而变化的部分,以作为具备稳定性特征的操作码,并将所述操作码组成目标序列以作为对抗病毒变种入侵的有效信息;
其中,当所述可执行文件为应用程序包APK文件时,所述具备稳定性特征的操作码包括操作码opcode序列;
第一特征参数运算单元,用于根据所述有效信息计算得到第一特征参数值,其中,所述第一特征参数值包括第一模糊哈希值;将所述第一特征参数值发送给服务器,以使所述服务器确定所述可执行文件的第一特征参数值与病毒样本的第二特征参数值之间的相似度,并根据所述相似度进行病毒比对的检测;其中,所述第二特征参数值包括所述病毒样本的第二模糊哈希值;
病毒查杀单元,用于接收所述病毒比对的检测结果,根据所述病毒比对的检测结果对本地文件进行病毒查杀的全部扫描或部分扫描。
6.根据权利要求5所述的终端,其特征在于,所述第一预处理单元,进一步用于:
当获取的所述可执行文件为APK文件时,从所述可执行文件中查询到指定文件,所述指定文件包括Dex文件和SO文件;
从所述指定文件中解析出所述Dex文件和SO文件中的函数包括的指令;
通过跳过所述Dex文件和SO文件中的函数包括的指令中相对于具备稳定性特征的操作码具有可变性的部分,从所述Dex文件和SO文件中的函数包括的指令中,提取字节分布不随所述具有可变性的部分的变化而变化的部分,以作为所述具备稳定性特征的操作码。
7.根据权利要求6所述的终端,其特征在于,所述第一特征参数运算单元,进一步用于:
将所述Dex文件和SO文件中的每个函数的操作码Opcode序列,作为模糊哈希计算中的分片;
将通过信息摘要算法MD5计算得到的所述分片的模糊哈希值进行连接,以得到所述可执行文件的模糊哈希值。
8.根据权利要求5所述的终端,其特征在于,所述第一特征参数运算单元,进一步用于:
所述服务器确定所述可执行文件的第一特征参数值与病毒样本的第二特征参数值之间的海明距离;当所述海明距离小于距离阈值时,将对应的病毒样本加入待决策列表;当所述待决策列表不为空时,取所述海明距离最小时对应的病毒样本作为病毒比对的检测结果。
9.一种病毒检测方法,其特征在于,所述方法包括:
解析病毒库样本文件包括的函数中的指令;
通过跳过所述指令中相对于具备稳定性特征的操作码具有可变性的部分,提取所述病毒库样本文件中字节分布不随所述具有可变性的部分的变化而变化的部分,以作为具备稳定性特征的操作码,并将所述操作码组成目标序列以作为所述病毒库样本文件中的待比对信息;
其中,当所述病毒库样本文件为应用程序包APK文件时,所述具备稳定性特征的操作码包括操作码opcode序列;
根据所述待比对信息计算得到第二特征参数值;
接收由待检测样本计算得到的第一特征参数值,对所述第一特征参数值和所述第二特征参数值进行相似度判断,得到判断结果;
其中,所述第一特征参数值包括所述待检测样本的第一模糊哈希值,所述第二特征参数值包括病毒样本的第二模糊哈希值;
所述判断结果满足阈值时,将待检测样本作为疑似病毒,直至与指定数量或所有病毒库样本文件比对结束后,确定出所述疑似病毒为病毒或非病毒。
10.根据权利要求9所述的方法,其特征在于,所述判断结果满足阈值时,将待检测样本作为疑似病毒,直至与指定数量或所有病毒库样本文件比对结束后,确定出所述疑似病毒为病毒或非病毒,包括:
在所述第一特征参数值和所述第二特征参数值间的相似度满足所述阈值时,将待检测样本加入待决策结果列表中,直至与指定数量或所有病毒库样本文件比对结束后,如果从所述待决策结果列表中能选出与所述待检测样本相似度最高的病毒样本,则疑似病毒为病毒,并将其作为病毒比对的检测结果;如果从所述待决策结果列表中未能选出与所述待检测样本相似的病毒样本,则疑似病毒为非病毒,并将其作为病毒比对的检测结果;
所述方法还包括:将所述病毒比对的检测结果发送给终端。
11.一种服务器,其特征在于,所述服务器包括:
第二预处理单元,用于解析病毒库样本文件包括的函数中的指令;
通过跳过所述指令中相对于具备稳定性特征的操作码具有可变性的部分,提取所述病毒库样本文件中字节分布不随所述具有可变性的部分的变化而变化的部分,以作为具备稳定性特征的操作码,并将所述操作码组成目标序列以作为所述病毒库样本文件中的待比对信息;
其中,当所述病毒库样本文件为应用程序包APK文件时,所述具备稳定性特征的操作码包括操作码opcode序列;
第二特征参数运算单元,用于根据所述待比对信息计算得到第二特征参数值;
判断单元,用于接收由待检测样本计算得到的第一特征参数值,对所述第一特征参数值和所述第二特征参数值进行相似度判断,得到判断结果;
其中,所述第一特征参数值包括所述待检测样本的第一模糊哈希值,所述第二特征参数值包括病毒样本的第二模糊哈希值;
病毒检测单元,用于所述判断结果满足阈值时,将待检测样本作为疑似病毒,直至与指定数量或所有病毒库样本文件比对结束后,确定出所述疑似病毒为病毒或非病毒。
12.根据权利要求11所述的服务器,其特征在于,所述病毒检测单元,进一步用于:
在所述第一特征参数值和所述第二特征参数值间的相似度满足所述阈值时,将待检测样本加入待决策结果列表中,直至与指定数量或所有病毒库样本文件比对结束后,如果从所述待决策结果列表中能选出与所述待检测样本相似度最高的病毒样本,则疑似病毒为病毒,并将其作为病毒比对的检测结果;如果从所述待决策结果列表中未能选出与所述待检测样本相似的病毒样本,则疑似病毒为非病毒,并将其作为病毒比对的检测结果;
所述服务器还包括:
发送单元,用于将所述病毒比对的检测结果发送给终端。
13.一种病毒检测方法,其特征在于,所述方法包括:
服务器根据收集的已知病毒特征信息及病毒变种的趋势信息,解析获取的可执行文件,以获取所述可执行文件中包括的函数中的指令,通过跳过所述指令中相对于具备稳定性特征的操作码具有可变性的部分,提取所述可执行文件中字节分布不随所述具有可变性的部分的变化而变化的部分,以作为具备稳定性特征的操作码,并将所述操作码组成目标序列以作为对抗病毒变种入侵的有效信息;
服务器解析病毒库样本文件包括的函数中的指令,通过跳过所述指令中相对于具备稳定性特征的操作码具有可变性的部分,提取所述病毒库样本文件中字节分布不随所述具有可变性的部分的变化而变化的部分,以作为所述具备稳定性特征的操作码,并将所述操作码组成目标序列以作为所述病毒库样本文件中的待比对信息;
其中,当所述可执行文件为应用程序包APK文件时,所述具备稳定性特征的操作码包括操作码opcode序列;
服务器根据所述有效信息计算得到第一特征参数值,所述第一特征参数值作为待检测样本的特征值;
服务器根据所述待比对信息计算得到第二特征参数值,所述第二特征参数值作为病毒样本的特征值;
服务器对所述第一特征参数值和所述第二特征参数值进行相似度判断,得到判断结果;
所述判断结果满足阈值时,将待检测样本作为疑似病毒,直至与指定数量或所有病毒库样本文件比对结束后,服务器确定出所述疑似病毒为病毒或非病毒,并将其作为病毒比对的检测结果发送给终端;
终端接收所述病毒比对的检测结果,根据所述病毒比对的检测结果对本地文件进行病毒查杀的全部扫描或部分扫描。
14.一种病毒检测系统,其特征在于,所述系统包括:服务器和终端;其中,
所述服务器包括:
第一预处理单元,用于根据收集的已知病毒特征信息及病毒变种的趋势信息,解析获取的可执行文件,以获取所述可执行文件中包括的函数中的指令,通过跳过所述指令中相对于具备稳定性特征的操作码具有可变性的部分,提取所述可执行文件中字节分布不随所述具有可变性的部分的变化而变化的部分,以作为具备稳定性特征的操作码,并将所述操作码组成目标序列以作为对抗病毒变种入侵的有效信息;
其中,当所述可执行文件为应用程序包APK文件时,所述具备稳定性特征的操作码包括操作码opcode序列;
第二预处理单元,用于解析病毒库样本文件包括的函数中的指令,通过跳过所述指令中相对于具备稳定性特征的操作码具有可变性的部分,提取所述病毒库样本文件中字节分布不随所述文件中具有可变性的部分的变化而变化的部分,以作为所述具备稳定性特征的操作码,并将所述操作码组成目标序列以作为所述病毒库样本文件中的待比对信息;
第一特征参数值运算单元,用于根据所述有效信息计算得到第一特征参数值,所述第一特征参数值作为待检测样本的特征值;
第二特征参数值运算单元,用于根据所述待比对信息计算得到第二特征参数值,所述第二特征参数值作为病毒样本的特征值;
判断单元,用于对所述第一特征参数值和所述第二特征参数值进行相似度判断,得到判断结果;
病毒检测单元,用于所述判断结果满足阈值时,将待检测样本作为疑似病毒,直至与指定数量或所有病毒库样本文件比对结束后,确定出所述疑似病毒为病毒或非病毒,并将其作为病毒比对的检测结果发送给终端;
所述终端包括:
病毒查杀单元,用于接收病毒比对的检测结果,根据所述病毒比对的检测结果对本地文件进行病毒查杀的全部扫描或部分扫描。
15.一种存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至4、9或10、13任一项所述的病毒检测方法。
16.一种电子设备,其特征在于,包括:
存储器,用于存储可执行指令;
处理器,用于执行所述存储器中存储的可执行指令时,实现如权利要求1至4、9或10、13任一项所述的病毒检测方法。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610293279.6A CN106682505B (zh) | 2016-05-04 | 2016-05-04 | 一种病毒检测方法、终端、服务器及系统 |
PCT/CN2017/082134 WO2017190620A1 (zh) | 2016-05-04 | 2017-04-27 | 一种病毒检测方法、终端及服务器 |
US15/988,131 US10803171B2 (en) | 2016-05-04 | 2018-05-24 | Virus detection method, terminal and server |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610293279.6A CN106682505B (zh) | 2016-05-04 | 2016-05-04 | 一种病毒检测方法、终端、服务器及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106682505A CN106682505A (zh) | 2017-05-17 |
CN106682505B true CN106682505B (zh) | 2020-06-12 |
Family
ID=58839499
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610293279.6A Active CN106682505B (zh) | 2016-05-04 | 2016-05-04 | 一种病毒检测方法、终端、服务器及系统 |
Country Status (3)
Country | Link |
---|---|
US (1) | US10803171B2 (zh) |
CN (1) | CN106682505B (zh) |
WO (1) | WO2017190620A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11886584B2 (en) * | 2021-05-28 | 2024-01-30 | AO Kaspersky Lab | System and method for detecting potentially malicious changes in applications |
Families Citing this family (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108073793B (zh) * | 2017-08-08 | 2021-07-27 | 哈尔滨安天科技集团股份有限公司 | 一种基于网络检测的快速脱壳方法及系统 |
CN108268778B (zh) * | 2018-02-26 | 2023-06-23 | 腾讯科技(深圳)有限公司 | 数据处理方法、装置及存储介质 |
CN108650249B (zh) * | 2018-04-26 | 2021-07-27 | 平安科技(深圳)有限公司 | Poc攻击检测方法、装置、计算机设备和存储介质 |
CN110210217A (zh) * | 2018-04-26 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 一种文件的识别方法、设备以及计算机可读存储介质 |
CN108804122B (zh) * | 2018-06-04 | 2022-04-29 | 北京知道创宇信息技术股份有限公司 | 信息安全处理系统、虚拟专用服务器及其控制方法 |
CN109284609B (zh) * | 2018-08-09 | 2023-02-17 | 北京奇虎科技有限公司 | 一种用于病毒检测的方法、装置及计算机设备 |
CN109460386B (zh) * | 2018-10-29 | 2021-01-22 | 杭州安恒信息技术股份有限公司 | 基于多维模糊哈希匹配的恶意文件同源性分析方法及装置 |
CN111224743B (zh) * | 2018-11-23 | 2022-11-15 | 中兴通讯股份有限公司 | 一种检测方法、终端和计算机可读存储介质 |
CN109657468B (zh) * | 2018-11-29 | 2024-06-18 | 北京奇虎科技有限公司 | 病毒行为检测方法、装置及计算机可读存储介质 |
CN111368294B (zh) * | 2018-12-25 | 2023-02-10 | 腾讯科技(深圳)有限公司 | 病毒文件的识别方法和装置、存储介质、电子装置 |
CN110175067B (zh) * | 2019-03-05 | 2023-06-13 | 广东电网有限责任公司信息中心 | 一种移动应用立体防御方法和系统 |
CN110069936A (zh) * | 2019-03-29 | 2019-07-30 | 合肥高维数据技术有限公司 | 一种木马隐写方法和检测方法 |
CN110225057B (zh) * | 2019-06-24 | 2022-04-26 | 杭州安恒信息技术股份有限公司 | 一种智能终端的病毒检测方法、装置、设备及系统 |
CN111191234A (zh) * | 2019-08-07 | 2020-05-22 | 腾讯云计算(北京)有限责任公司 | 一种病毒信息检测的方法及装置 |
CN110515652B (zh) * | 2019-08-30 | 2021-10-15 | 腾讯科技(深圳)有限公司 | 代码摘要的生成方法、装置和存储介质 |
CN110647747B (zh) * | 2019-09-05 | 2021-02-09 | 四川大学 | 一种基于多维相似度的虚假移动应用检测方法 |
CN110750788A (zh) * | 2019-10-16 | 2020-02-04 | 杭州安恒信息技术股份有限公司 | 一种基于高交互蜜罐技术的病毒文件检测方法 |
CN110764784B (zh) * | 2019-10-24 | 2023-05-30 | 北京智游网安科技有限公司 | 一种识别三方so文件的方法、智能终端及存储介质 |
CN111079147A (zh) * | 2019-12-17 | 2020-04-28 | 厦门服云信息科技有限公司 | 一种基于主动学习的病毒检测方法、终端设备及存储介质 |
CN111400714B (zh) * | 2020-04-16 | 2023-06-02 | Oppo广东移动通信有限公司 | 病毒检测方法、装置、设备及存储介质 |
CN111881450B (zh) * | 2020-08-04 | 2023-12-29 | 深信服科技股份有限公司 | 一种终端文件的病毒检测方法、装置、系统、设备和介质 |
CN112966266A (zh) * | 2021-03-02 | 2021-06-15 | 北京金山云网络技术有限公司 | 一种病毒检测系统 |
CN112765672A (zh) * | 2021-03-16 | 2021-05-07 | 北京安天网络安全技术有限公司 | 一种恶意代码的检测方法、装置和计算机可读介质 |
CN115309785B (zh) * | 2022-08-08 | 2023-07-07 | 北京百度网讯科技有限公司 | 文件规则引擎库的生成、文件信息检测方法、装置及设备 |
Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1752888A (zh) * | 2005-11-08 | 2006-03-29 | 朱林 | 用于移动/智能终端的病毒特征提取和检测系统及方法 |
CN101621511A (zh) * | 2009-06-09 | 2010-01-06 | 北京安天电子设备有限公司 | 一种多层次的无本地病毒库检测方法及系统 |
CN101887498A (zh) * | 2010-06-30 | 2010-11-17 | 南京邮电大学 | 混合式对等网络中基于免疫算法的病毒检测方法 |
CN102594809A (zh) * | 2012-02-07 | 2012-07-18 | 奇智软件(北京)有限公司 | 一种文件快速扫描方法和系统 |
CN102799804A (zh) * | 2012-04-30 | 2012-11-28 | 珠海市君天电子科技有限公司 | 未知文件安全性综合鉴定方法及系统 |
CN103020524A (zh) * | 2012-12-11 | 2013-04-03 | 北京奇虎科技有限公司 | 计算机病毒监控系统 |
CN103020520A (zh) * | 2012-11-26 | 2013-04-03 | 北京奇虎科技有限公司 | 一种基于企业的文件安全检测方法和系统 |
CN103049695A (zh) * | 2012-12-11 | 2013-04-17 | 北京奇虎科技有限公司 | 一种计算机病毒的监控方法和装置 |
CN103514404A (zh) * | 2012-06-29 | 2014-01-15 | 网秦无限(北京)科技有限公司 | 安全检测方法和安全检测装置 |
CN103761475A (zh) * | 2013-12-30 | 2014-04-30 | 北京奇虎科技有限公司 | 检测智能终端中恶意代码的方法及装置 |
CN103886258A (zh) * | 2014-03-10 | 2014-06-25 | 珠海市君天电子科技有限公司 | 一种病毒检测方法及装置 |
CN104077532A (zh) * | 2014-06-20 | 2014-10-01 | 中标软件有限公司 | 一种Linux虚拟化平台安全检测方法及系统 |
CN104598818A (zh) * | 2014-12-30 | 2015-05-06 | 北京奇虎科技有限公司 | 一种用于虚拟化环境中的文件检测系统及方法 |
CN104700033A (zh) * | 2015-03-30 | 2015-06-10 | 北京瑞星信息技术有限公司 | 病毒检测的方法及装置 |
CN104809394A (zh) * | 2015-04-08 | 2015-07-29 | 北京奇虎科技有限公司 | 病毒查杀的方法、装置及终端 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100782286B1 (ko) * | 1999-08-26 | 2007-12-07 | 소니 가부시끼 가이샤 | 정보의 검색 처리 방법, 검색 처리 장치, 저장 방법 및저장 장치 |
GB2400197B (en) * | 2003-04-03 | 2006-04-12 | Messagelabs Ltd | System for and method of detecting malware in macros and executable scripts |
US7721334B2 (en) * | 2004-01-30 | 2010-05-18 | Microsoft Corporation | Detection of code-free files |
US9135442B1 (en) * | 2008-05-30 | 2015-09-15 | Symantec Corporation | Methods and systems for detecting obfuscated executables |
US8935788B1 (en) * | 2008-10-15 | 2015-01-13 | Trend Micro Inc. | Two stage virus detection |
US9294501B2 (en) * | 2013-09-30 | 2016-03-22 | Fireeye, Inc. | Fuzzy hash of behavioral results |
CN104915596B (zh) * | 2014-03-10 | 2018-01-26 | 可牛网络技术(北京)有限公司 | apk病毒特征库构建方法、装置及apk病毒检测系统 |
CN103886229B (zh) * | 2014-03-10 | 2017-01-04 | 珠海市君天电子科技有限公司 | 一种提取pe文件特征的方法及装置 |
CN105827200B (zh) * | 2016-03-01 | 2019-05-03 | 华为技术有限公司 | 光电系统中电池组串故障的识别方法、装置和设备 |
-
2016
- 2016-05-04 CN CN201610293279.6A patent/CN106682505B/zh active Active
-
2017
- 2017-04-27 WO PCT/CN2017/082134 patent/WO2017190620A1/zh active Application Filing
-
2018
- 2018-05-24 US US15/988,131 patent/US10803171B2/en active Active
Patent Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1752888A (zh) * | 2005-11-08 | 2006-03-29 | 朱林 | 用于移动/智能终端的病毒特征提取和检测系统及方法 |
CN101621511A (zh) * | 2009-06-09 | 2010-01-06 | 北京安天电子设备有限公司 | 一种多层次的无本地病毒库检测方法及系统 |
CN101887498A (zh) * | 2010-06-30 | 2010-11-17 | 南京邮电大学 | 混合式对等网络中基于免疫算法的病毒检测方法 |
CN102594809A (zh) * | 2012-02-07 | 2012-07-18 | 奇智软件(北京)有限公司 | 一种文件快速扫描方法和系统 |
CN102799804A (zh) * | 2012-04-30 | 2012-11-28 | 珠海市君天电子科技有限公司 | 未知文件安全性综合鉴定方法及系统 |
CN103514404A (zh) * | 2012-06-29 | 2014-01-15 | 网秦无限(北京)科技有限公司 | 安全检测方法和安全检测装置 |
CN103020520A (zh) * | 2012-11-26 | 2013-04-03 | 北京奇虎科技有限公司 | 一种基于企业的文件安全检测方法和系统 |
CN103049695A (zh) * | 2012-12-11 | 2013-04-17 | 北京奇虎科技有限公司 | 一种计算机病毒的监控方法和装置 |
CN103020524A (zh) * | 2012-12-11 | 2013-04-03 | 北京奇虎科技有限公司 | 计算机病毒监控系统 |
CN103761475A (zh) * | 2013-12-30 | 2014-04-30 | 北京奇虎科技有限公司 | 检测智能终端中恶意代码的方法及装置 |
CN103886258A (zh) * | 2014-03-10 | 2014-06-25 | 珠海市君天电子科技有限公司 | 一种病毒检测方法及装置 |
CN104077532A (zh) * | 2014-06-20 | 2014-10-01 | 中标软件有限公司 | 一种Linux虚拟化平台安全检测方法及系统 |
CN104598818A (zh) * | 2014-12-30 | 2015-05-06 | 北京奇虎科技有限公司 | 一种用于虚拟化环境中的文件检测系统及方法 |
CN104700033A (zh) * | 2015-03-30 | 2015-06-10 | 北京瑞星信息技术有限公司 | 病毒检测的方法及装置 |
CN104809394A (zh) * | 2015-04-08 | 2015-07-29 | 北京奇虎科技有限公司 | 病毒查杀的方法、装置及终端 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11886584B2 (en) * | 2021-05-28 | 2024-01-30 | AO Kaspersky Lab | System and method for detecting potentially malicious changes in applications |
Also Published As
Publication number | Publication date |
---|---|
US20180268139A1 (en) | 2018-09-20 |
US10803171B2 (en) | 2020-10-13 |
WO2017190620A1 (zh) | 2017-11-09 |
CN106682505A (zh) | 2017-05-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106682505B (zh) | 一种病毒检测方法、终端、服务器及系统 | |
US10891378B2 (en) | Automated malware signature generation | |
Zhang et al. | Semantics-aware android malware classification using weighted contextual api dependency graphs | |
CN109145600B (zh) | 使用静态分析元素检测恶意文件的系统和方法 | |
Lin et al. | Identifying android malicious repackaged applications by thread-grained system call sequences | |
Baskaran et al. | A study of android malware detection techniques and machine learning | |
KR101402057B1 (ko) | 위험도 계산을 통한 리패키지 애플리케이션의 분석시스템 및 분석방법 | |
CN102664875B (zh) | 基于云模式的恶意代码类别检测方法 | |
RU2614557C2 (ru) | Система и способ обнаружения вредоносных файлов на мобильных устройствах | |
Shhadat et al. | The use of machine learning techniques to advance the detection and classification of unknown malware | |
US10372909B2 (en) | Determining whether process is infected with malware | |
KR20150124370A (ko) | 악성 프로세스 행동을 검출하기 위한 방법, 장치 및 시스템 | |
EP2494445A1 (en) | System and method for detecting executable machine instructions in a data stream | |
WO2017012241A1 (zh) | 文件的检测方法、装置、设备及非易失性计算机存储介质 | |
CN110023938B (zh) | 利用函数长度统计确定文件相似度的系统和方法 | |
Karbab et al. | Cypider: building community-based cyber-defense infrastructure for android malware detection | |
Apvrille et al. | Identifying unknown android malware with feature extractions and classification techniques | |
Naik et al. | Fuzzy-import hashing: A static analysis technique for malware detection | |
KR20180079434A (ko) | 바이러스 데이터베이스 획득 방법 및 기기, 장비, 서버 그리고 시스템 | |
JP6322240B2 (ja) | フィッシング・スクリプトを検出するためのシステム及び方法 | |
US9177146B1 (en) | Layout scanner for application classification | |
Saini et al. | Classification of PE files using static analysis | |
Feichtner et al. | Obfuscation-resilient code recognition in Android apps | |
CN108256327B (zh) | 一种文件检测方法及装置 | |
KR101880689B1 (ko) | 악성코드 진단장치 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |