CN116366377B - 恶意文件检测方法、装置、设备及存储介质 - Google Patents

恶意文件检测方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN116366377B
CN116366377B CN202310649312.4A CN202310649312A CN116366377B CN 116366377 B CN116366377 B CN 116366377B CN 202310649312 A CN202310649312 A CN 202310649312A CN 116366377 B CN116366377 B CN 116366377B
Authority
CN
China
Prior art keywords
detection
file
subsystem
detected
path
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310649312.4A
Other languages
English (en)
Other versions
CN116366377A (zh
Inventor
徐敬蘅
鲍旭华
宋汝鹏
孔勇
江达强
姜正文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN202310649312.4A priority Critical patent/CN116366377B/zh
Publication of CN116366377A publication Critical patent/CN116366377A/zh
Application granted granted Critical
Publication of CN116366377B publication Critical patent/CN116366377B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Storage Device Security (AREA)

Abstract

本申请公开了一种恶意文件检测方法、装置、设备及存储介质,该方法包括:获取待检测文件的特征信息;基于所述特征信息,确定所述待检测文件的检测路径;基于所述检测路径,选取与所述检测路径对应的检测子系统对所述待检测文件进行恶意检测,能够准确地选取针对恶意文件进行检测的检测路径,基于所述检测路径对应的检测子系统对所述待检测文件进行恶意检测,进而能够在保证检测效率的同时,兼顾资源占用率。

Description

恶意文件检测方法、装置、设备及存储介质
技术领域
本申请涉及网络安全领域,尤其涉及恶意文件检测方法、装置、设备及存储介质。
背景技术
随着通信和互联网技术的快速发展,信息交互更加频繁,各类恶意文件也越来越多,目前,为了提高检出率,往往对不同的恶意文件采用不同的检测方法进行“同时检测或者顺序检测”来确定最终的检测结果。然而,若采用同时检测,资源消耗比较大;若采用顺序检测,则在某些情况下影响检测效率。因此,如何兼顾检测效率以及资源占用已成为亟待解决的问题。
发明内容
有鉴于此,本申请实施例提供了一种恶意文件检测方法、装置、设备及存储介质,旨在保证检测效率的同时,兼顾资源占用率。
本申请实施例的技术方案是这样实现的:
第一方面,本申请实施例提供了一种恶意文件检测的方法,包括:
获取待检测文件的特征信息;
基于所述特征信息,确定所述待检测文件的检测路径;
基于所述检测路径,选取与所述检测路径对应的检测子系统对所述待检测文件进行恶意检测。
上述方案中,所述基于所述特征信息,确定所述待检测文件的检测路径,包括:
将所述特征信息输入至AI(Artificial Intelligence,人工智能)模型中,得到所述AI模型输出的检测路径。
上述方案中,所述检测路径用于指示:多种不同的检测子系统以及各个检测子系统的检测顺序;或者,多种不同的检测子系统以及各个检测子系统的检测结果考虑权重。
上述方案中,当检测子系统包括多个不同的检测模块时;所述检测路径用于指示:检测子系统中所选择的检测模块。
上述方案中,所述方法包括:
基于当前的检测子系统的检测结果确定是否结束检测过程;
若否,则重新确定所述待检测文件的检测路径,并基于重新确定的所述检测路径对应的检测子系统进行检测,返回执行所述基于当前的检测子系统的检测结果确定是否结束检测过程的步骤,直至基于当前的检测子系统的检测结果确定检测结束,或者,循环次数达到设定次数。
上述方案中,所述选取与所述检测路径对应的检测子系统对所述待检测文件进行恶意检测,包括以下之一:
若所述检测子系统包括指纹证书子系统,则通过指纹证书子系统,基于信誉库检测和根证书验证对所述待检测文件进行分析;
若所述检测子系统包括解包分析子系统,则通过解包分析子系统,基于虚拟执行技术分析所述待检测文件的动态行为;
若所述检测子系统包括规则检测子系统,则通过规则检测子系统,基于启发式检测技术利用写入的规则对所述待检测文件进行分析;
若所述检测子系统包括本地AI检测子系统,则通过AI检测子系统,基于AI技术对所述待检测文件进行分析;
若所述检测子系统包括云查云鉴子系统,则通过云查云鉴子系统,在云服务器上对所述待检测文件进行分析。
上述方案中,所述基于AI技术对所述待检测文件进行分析,包括:
基于静态分析得到所述待检测文件的静态特征;
基于AI技术和所述静态特征得到所述待检测文件的深度特征;
基于所述深度特征分析得到所述待检测文件的检测结果。
第二方面,本申请实施例提供了一种恶意文件检测装置,包括:
获取模块,用于获取待检测文件的特征信息;
确定模块,用于基于所述特征信息,确定所述待检测文件的检测路径;
检测模块,用于基于所述检测路径,选取与所述检测路径对应的检测子系统对所述待检测文件进行恶意检测。
第三方面,本申请实施例提供了一种恶意文件检测设备,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,其中,所述处理器,用于运行计算机程序时,执行本申请第一方面所述方法的步骤。
第四方面,本申请实施例提供了一种计算机存储介质,所述计算机存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面提供的恶意文件检测方法的步骤。
本申请实施例提供的技术方案,获取待检测文件的特征信息;基于所述特征信息,确定所述待检测文件的检测路径;基于所述检测路径,选取与所述检测路径对应的检测子系统对所述待检测文件进行恶意检测,能够准确地选取针对恶意文件进行检测的检测路径,基于所述检测路径对应的检测子系统对所述待检测文件进行恶意检测,显然,该方案可实现尽量无需遍历系统中所有的检测子系统,只需选择与待检测文件相适配的检测子系统即可。因此,由于所采用的检测算法的减少,使得资源占用有所降低,并且检测效率有所提高,进而能够在保证检测效率的同时,兼顾资源占用率。
附图说明
图1为本申请实施例恶意文件检测方法的流程示意图;
图2为本申请一应用示例中恶意文件检测方法的流程示意图;
图3为本申请一应用示例中应用恶意文件检测方法的智能检测系统的结构示意图;
图4为本申请实施例恶意文件检测装置的结构示意图;
图5为本申请实施例恶意文检测设备的结构示意图。
具体实施方式
下面结合附图及实施例对本申请再作进一步详细的描述。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中在本申请的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本申请。
随着通信和互联网技术的快速发展,信息交互更加频繁,各类恶意文件也越来越多。相关技术中,对这类恶意文件检测的方法有特征云查技术、启发式检测技术、虚拟执行技术、端上AI技术,相关技术中一般采用上述几种技术形成相应的安全方案来防护终端安全,并且采用“同时检测或者顺序检测”来确定最终的检测结果。
举例来说,一种检测方案中采用指纹证书子系统、规则检测子系统和云查子系统这一检测路径对恶意文件进行检测,此方案的检出主要是依靠提前入库的规则,因此对未知病毒的检测能力差;另一种检测方案中采用指纹证书子系统、解包分析子系统、规则检测子系统和云查子系统这一检测路径对恶意文件进行检测,此方案的检出主要是依靠规则检测子系统中提取恶意文件中恶意行为比较大的原生字节生成防护规则,实现对病毒等的高效检测闭环处理;虽然此规则检测子系统中生成的防护规则具有一定的泛化能力,但泛化能力较为一般,因此在未知病毒检测能力方面表现一般。相关的检测方案中还存在采用指纹证书子系统、解包分析子系统和规则检测子系统这一检测路径对恶意文件进行检测,此方案的检出主要是依靠虚拟执行技术来分析恶意文件的动态行为,对未知病毒的检测能力尚可,但是仍然不如本地AI检测子系统。
基于此,在本申请的各种实施例中,基于待检测文件的特征信息,确定待检测文件的检测路径,准确地选取与检测路径对应的检测子系统对待检测文件进行检测,能够准确且高效地检测未知病毒文件。
本申请实施例提供一种恶意文件检测方法,如图1所示,该恶意文件检测方法包括:
步骤101,获取待检测文件的特征信息。
这里,特征信息包括基于静态分析得到的静态特征和/或动态分析得到的动态特征。静态分析是指一种不运行待检测文件的内容提取特征的方法,此时得到的特征信息为静态特征。示例性地,静态特征可以包括以下至少之一:文件头部信息、操作码序列、字节序列、熵、DLL(Dynamic Link Library,动态链接库)相关信息等。动态分析是指在运行待检测文件的情况下提取的安全特征,常用的做法是在安全可控的虚拟环境中运行待检测文件,在运行的过程中,此文件会产生大量的恶意动态行为特征。示例性地,动态特征可以包括以下至少之一:系统运行状态信息、操作码特征、API系统调用特征系统操作信息和网络活动特征。
步骤102,基于特征信息,确定待检测文件的检测路径。
这里,基于待检测文件的特征信息,进行特征匹配,来判断使用何种检测路径来检测未知文件。
在一实施例中,基于特征信息,确定待检测文件的检测路径,包括:
将特征信息输入至AI模型中,得到所述AI模型输出的检测路径。
在实际应用中,可以利用AI模型来确定待检测模型的检测路径,其中,AI模型需要基于样本集进行训练,得到最终用于确定检测路径的AI模型。
这样,不同于现有技术中按照顺序检测来确定最终的检测结果,针对不同的待检测文件,采用不同的检测路径,提高了检测效率。
步骤103,基于检测路径,选取与检测路径对应的检测子系统对待检测文件进行恶意检测。
这里,与检测路径对应的检测子系统可以为一个或者为多个,从而在获得待检测文件的特征信息后,确定对待检测文件进行检测的检测子系统,利于提高检测效率。
本申请实施例提供的恶意文件检测方法,通过获取待检测文件的特征信息;基于特征信息,确定待检测文件的检测路径;基于检测路径,选取与检测路径对应的检测子系统对待检测文件进行恶意检测,能够准确地选取针对恶意文件进行检测的检测路径,基于检测路径对应的检测子系统对待检测文件进行恶意检测,进而能够在保证检测效率的同时,兼顾资源占用率。此外,可以通过AI模型来确定待检测文件的检测路径,可以准确且高效地检测未知文件。
在一实施例中,所述检测路径用于指示:多种不同的检测子系统以及各个检测子系统的检测顺序;或者,多种不同的检测子系统以及各个检测子系统的检测结果考虑权重。
这里,检测子系统的类型可以包括:指纹证书子系统、解包分析子系统、规则检测子系统、本地AI检测子系统和云查云鉴子系统。通过检测路径,可以得出待检测文件采用上述哪些检测子系统中进行检测,以及以何种顺序来进行检测过程;或者得出待检测文件采用上述哪些检测子系统中进行检测,并给出各个检测子系统的检测结果考虑权重,以使最后基于各个检测子系统的检测结果得到此检测路径得到的检测结果。
这里,当得到采用进行检测的检测子系统以及检测顺序时,按照检测顺序以此对待检测文件进行检测,输出检测顺序为最后的检测子系统的检测结果。当得到采用进行检测的检测子系统以及各个检测子系统的检测结果考虑权重时,分别采用各个检测子系统对待检测文件进行检测得到多个检测结果,基于预设的规则和各个检测子系统的检测结果考虑权重对多个检测结果进行综合分析,输出综合分析得到的检测结果。
在一实施例中,当检测子系统包括多个不同的检测模块时;
所述检测路径用于指示:检测子系统中所选择的检测模块。
这里,检测路径可以为选择一个检测子系统进行检测,此时检测路径用于指示检测子系统中所选择的检测模块。
在一实施例中,所述方法还包括:
基于当前的检测子系统的检测结果确定是否结束检测过程;
若否,则重新确定所述待检测文件的检测路径,并基于重新确定的所述检测路径对应的检测子系统进行检测,返回执行所述基于当前的检测子系统的检测结果确定是否结束检测过程的步骤,直至基于当前的检测子系统的检测结果确定检测结束,或者,循环次数达到设定次数。
这里,基于检测路径选取对应的检测子系统对待检测文件进行检测,此时检测子系统的检测结果为对待检测模型进行检测后,对待检测文件进行的一个标记。
示例性地,若得到的检测子系统的检测结果即对待检测文件的标记为黑,则认为此待检测文件为恶意的文件,若得到的标记为白,则认为此待检测文件为非恶意的文件,此时能够判定待检测文件是否为恶意,结束检测过程。若此标记为灰,则此时无法判定此待检测文件是否为恶意文件,则无法结束检测过程,重新确定待检测文件的检测路径,并基于重新确定的检测路径对应的检测子系统进行检测,这里的黑、白、灰只是一个特定的标记形式,而并不限于标记只有黑、白、灰这一种标记形式。
这里,基于当前的检测子系统的检测结果能够确定检测结束,或者循环次数达到设定次数,才能结束循环过程。当循环次数达到设定次数时,输出最新的检测子系统对应的检测结果,结束检测过程。
在一实施例中,所述选取与所述检测路径对应的检测子系统对所述待检测文件进行恶意检测,包括以下之一:
若所述检测子系统包括指纹证书子系统,则通过指纹证书子系统,基于信誉库检测和根证书验证对所述待检测文件进行分析;
若所述检测子系统包括解包分析子系统,则通过解包分析子系统,基于虚拟执行技术分析所述待检测文件的动态行为;
若所述检测子系统包括规则检测子系统,则通过规则检测子系统,基于启发式检测技术利用写入的规则对所述待检测文件进行分析;
若所述检测子系统包括本地AI检测子系统,则通过本地AI检测子系统,基于AI技术对所述待检测文件进行分析;
若所述检测子系统包括云查云鉴子系统,则通过云查云鉴子系统,在云服务器上对所述待检测文件进行分析。
这里,指纹证书子系统包括:信誉库检测模组和根证书验证模组。其中,在信誉库检测模组中通过MD5(Message-Digest Algorithm,信息摘要算法)值在文件信誉库中匹配来进行检测,在根证书验证模组进行根证书验证。具体而言,文件信誉库分为云端信誉库和本地信誉库两部分。本地信誉库收集本地网络中部署的威胁检测设备的报警信息,提取出恶意软件的MD5值,进而通过整合形成的安全情报数据库。而云端信誉库能够归并所有与之连接的本地信誉库的记录内容,并且通过多方合作的形式,形成更加全面完整的情报数据,进而推送至所有与之连接的本地信誉库,以便于入侵防护设备基于推送更新的特征标识进行自动化的防御。而根证书验证是指在验证有根证书的情况下利用根证书公钥来验证证书的CA(CertificateAuthority,证书授权)签名。根证书是属于根证书颁发机构(CA)的公钥证书,是公开密钥建设基础建设中信任链的起点。
这里,解包分析子系统中包括:语法语义模组、解包工具模组、虚拟执行模组。其中,语法语义分析模组,是根据PHP(Hypertext Preprocessor,超文本预处理器)语言编译的实现方式,进行剥离代码、注释,变量、函数、字符串、控制结够等语言单元,来实现关键危险函数的捕捉方式。虚拟执行模组,是在执行所待检测文件,“虚拟沙盒”捕获行为链数据,通过对行为链的分析而检测出威胁。因此,在解包分析模型中能够利用虚拟执行技术分析此待检测文件的动态行为。
这里,规则检测子系统是通过一系列的预定义规则集组成的启发式特征码来判断被检测文件是否为恶意文件的过程,具体而言,预先写入一些已知的恶意软件家族的行为规则,包括可执行规则族、感染型规则族、脚本类规则族、rootkit(木马)规则族、office(文档)规则族等,写入的规则族针对常见的僵尸病毒、木马、蠕虫等。
这里,本地AI检测子系统是通过特征提取、特征处理和分类器这三步对待检测文件进行分析,利用AI技术对待检测的文件进行深层面的分析,使AI能够学习到深层特征,从而使对未知的恶意文件具备识别能力。
这里,云查云鉴子模型针对未知的病毒文件,使用IOC(Indicator ofcompromise,威胁指示器)特征的技术,进行云端查询,在云端基于多维威胁情报、云端沙箱技术等对未知文件进行检测,具体而言可以包括:云查模组、云鉴模组、云规则模组、云AI模组。云查模组是指在云端上进行文件信誉检测和根证书验证,云鉴模组是指在云端上执行待检测文件“虚拟沙盒”捕获行为链数据,通过对行为链的分析而检测出威胁,云规则模组是指在云端上预先写入一些已知的恶意软件家族的行为规则与待检测文件进行匹配而得到检测结果。云AI模组是在云端上利用AI技术对待检测的文件进行深层面的分析。
在一实施例中,所述基于AI技术对所述待检测文件进行分析,包括:
基于静态分析得到所述待检测文件的静态特征;
基于AI技术和所述静态特征得到所述待检测文件的深度特征;
基于所述深度特征分析得到所述待检测文件的检测结果。
这里,通过静态分析得到所述待检测文件的静态特征,所述静态特征包括:文件头部信息、操作码序列、字节序列、熵、DLL相关信息等,利用AI技术对所述静态特征进行处理得到待检测文件的深度特征,其中,AI技术包括word2vec和主成分分析,再综合多种AI模型算法如神经网络、随机森林算法对深度特征进行自动化分析,实现对未知恶意文件的检测。
下面结合应用示例对本申请实施例再作进一步详细的描述。
在本应用示例中,如图2所示,一种恶意文件检测方法包括:
步骤201,获取待检测文件的特征信息。
这里,基于静态分析或者动态分析得到待检测文件的特征信息;
步骤202,基于特征信息,得到待检测文件的检测路径。
这里,可以将特征信息输入AI模型,得到待检测文件的检测路径。
步骤203,基于检测路径,选取与检测路径对应的检测子系统对待检测文件进行恶意检测。
这里,假定第一次选取的检测路径对应的检测子系统为指纹证书子系统,则基于指纹证书子系统对待检测文件进行检测,得到检测结果。
步骤204,基于当前的检测子系统的检测结果确认是否结束检测过程。
这里,基于得到的检测结果,确认得到的标记,若此标记表征能够确定待检测文件为恶意文件或非恶意文件,则结束检测过程,输出此检测结果。若此标记表征无法判定,则执行步骤205。
步骤205,判断检测结果的生成次数是否达到设定次数。
这里,设定次数默认为5次,则此时生成次数没有达到设定次数,则返回步骤202。
此时,假定在步骤203中,第二次选取的检测路径对应的检测子系统为解包分析子系统,则基于解包分析子系统对待检测文件进行检测,得到检测结果。若在步骤204中,基于得到的检测结果无法结束检测过程,则继续执行步骤205。此时生成次数没有达到设定次数,则返回步骤202。
这里,假定在步骤203中,第三次选取的检测路径对应的检测子系统为规则检测子系统,则基于规则检测子系统对待检测文件进行检测,得到检测结果。若在步骤204中,基于得到的检测结果无法结束检测过程,则继续执行步骤205。此时生成次数没有达到设定次数,则返回步骤202。
这里,假定在步骤203中,第四次选取的检测路径对应的检测子系统为本地AI检测子系统,则基于本地AI检测子系统对待检测文件进行检测,得到检测结果。若在步骤204中,基于得到的检测结果无法结束检测过程,则继续执行步骤205。此时生成次数没有达到设定次数,则返回步骤202。
这里,假定在步骤203中,第五次选取的检测路径对应的检测子系统为云查云鉴子系统,则基于云查云鉴子系统对待检测文件进行检测,得到检测结果。若在步骤204中,基于得到的检测结果无法结束检测过程,则继续执行步骤205。此时生成次数达到设定次数,输出检测结果,结束检测过程。
此外,本领域技术人员应理解,由于本申请要实现兼顾资源占用率和检测效率的技术效果,因此要考虑设定次数值的设置不可过大,以达到该技术效果。
在本申请实施例中,应用上述恶意文件检测方法的智能检测系统包括5个检测子系统:指纹证书子系统、解包分析子系统、规则检测子系统、本地AI检测子系统和云查云鉴子系统,具体如图3所示。
指纹证书子系统中包括:信誉库模组和根证书模组;解包分析子系统中包括:语法语义模组、解包工具模组和虚拟执行模组;规则检测子系统包括可执行规则族、感染型规则族、脚本类规则族、rootkit(木马)规则族和office(文档)规则族;本地AI检测子系统包括特征提取模组、特征处理模组和分类器模组;云查云鉴子系统包括:云查模组、云鉴模组、云规则模组和云AI模组。
这里,指纹证书子系统包括信誉库模组和根证书模组,在分别进行信誉库检测和根证书验证后得到两个检测结果,并基于两个检测结果得到两个标记,若此两个标记相同且表示能够确定此待检测文件是否为恶意文件,则输出此标记作为检测结果,若得到的两个标记不同或标记相同但为不确定的标记时,则输出此不确定的标记作为检测结果。
这里,解包分析子系统包括三个模组,则基于此三个模组进行检测并得到三个检测结果,同时对得到的三个检测结果作标记。若此三个标记相同且表示能够确定此待检测文件是否为恶意文件,则输出此标记作为检测结果,若得到的三个标记不同或标记相同但为不确定的标记时,则输出此不确定的标记作为检测结果。
这里,规则检测子系统中写入了预定义的规则族,每个规则族表征一种恶意软件家族,在此检测子系统中不做精确的匹配,而是进行相似度匹配。通过扫描待检测文件的特征与已知的恶意文件家族进行比较,相似程度够高,则此待检测文件被标记为恶意文件。因此,在规则检测子系统中,对待检测文件与写入的规则族依次做相似度匹配,并得到多个检测结果,并基于多个检测结果得到多个标记,若得到的多个标记中存在一个确定为恶意文件的标记,则输出确定为恶意文件的标记作为检测结果,若得到的多个标记存在一个为不确定的标记,则输出此不确定的标记作为检测结果,若得到的多个标记全为确定正常的标记,则输出此确定的标记作为检测结果。
这里,本地AI检测子系统包括特征提取模组、特征处理模组和分类器模组。首先,通过特征提取模组,对待检测文件提取通用性特征;在得到待检测文件的通用性特征后进入特征处理模组,在特征处理模组中包括挑选重要特征、去除冗余特征、对特征降维等,得到待检测文件的深度特征;将此深度特征输入到分类器中以获取检测结果,其中分类器中分为机器学习分类器与深度学习分类器。因此,在本地AI检测子系统中基于分类器输出的结果得到一个检测结果,并基于此检测结果得到一个标记,输出此标记作为检测结果。
这里,云查云鉴子系统包括:云查模组、云鉴模组、云规则模组和云AI模组。基于此四个模组进行检测并得到四个检测结果,同时对基于四个检测结果得到四个标记。若此四个标记相同且表示能够确定此待检测文件是否为恶意文件,则输出此标记作为检测结果,若得到的四个标记不同或标记相同但为不确定的标记时,则输出此不确定的标记作为检测结果。
为了实现本申请实施例的方法,本申请实施例还提供一种恶意文件检测装置,如图4所示,该恶意文件检测装置包括:获取模块401、确定模块402和检测模块403。其中,获取模块401用于获取待检测文件的特征信息;确定模块402用于基于所述特征信息,确定所述待检测文件的检测路径;检测模块403用于基于所述检测路径,选取与所述检测路径对应的检测子系统对所述待检测文件进行恶意检测。
在一些实施例中,确定模块402还用于将所述特征信息输入至AI模型中,得到所述AI模型输出的检测路径。
在一些实施例中,确定模块402中所述检测路径用于指示:多种不同的检测子系统以及各个检测子系统的检测顺序;或者,多种不同的检测子系统以及各个检测子系统的检测结果考虑权重。
在一些实施例中,检测模块403中当检测子系统包括多个不同的检测模块时;所述检测路径用于指示:检测子系统中所选择的检测模块。
在一些实施例中,该恶意文件检测装置还包括:返回模块404,返回模块404用于基于当前的检测子系统的检测结果确定是否结束检测过程;若否,则重新确定所述待检测文件的检测路径,并基于重新确定的所述检测路径对应的检测子系统进行检测,返回执行所述基于当前的检测子系统的检测结果确定是否结束检测过程的步骤,直至基于当前的检测子系统的检测结果确定检测结束,或者,循环次数达到设定次数。
在一些实施例中,检测模块403具体用于:
若所述检测子系统包括指纹证书子系统,则通过指纹证书子系统,基于信誉库检测和根证书验证对所述待检测文件进行分析;
若所述检测子系统包括解包分析子系统,则通过解包分析子系统,基于虚拟执行技术分析所述待检测文件的动态行为;
若所述检测子系统包括规则检测子系统,则通过规则检测子系统,基于启发式检测技术利用写入的规则对所述待检测文件进行分析;
若所述检测子系统包括本地AI检测子系统,则通过本地AI检测子系统,基于AI技术对所述待检测文件进行分析;
若所述检测子系统包括云查云鉴子系统,则通过云查云鉴子系统,在云服务器上对所述待检测文件进行分析。
在一些实施例中,检测模块403具体用于基于静态分析得到所述待检测文件的静态特征;基于AI技术和所述静态特征得到所述待检测文件的深度特征;基于所述深度特征分析得到所述待检测文件的检测结果。
实际应用时,获取模块401、确定模块402、检测模块403和返回模块404,可以由恶意文件检测装置中的处理器来实现。当然,处理器需要运行存储器中的计算机程序来实现它的功能。
需要说明的是:上述实施例提供的恶意文件检测装置在进行恶意检测时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将装置的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的恶意文件检测装置与恶意文件检测方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
基于上述程序模块的硬件实现,且为了实现本申请实施例的方法,本申请实施例还提供一种恶意文件检测设备。图5仅仅示出了该恶意文件检测设备的示例性结构而非全部结构,根据需要可以实施图5示出的部分结构或全部结构。
如图5所示,本申请实施例提供的恶意文件检测设备500包括:至少一个处理器501、存储器502、用户接口503和至少一个网络接口504。恶意文件检测设备500中的各个组件通过总线系统505耦合在一起。可以理解,总线系统505用于实现这些组件之间的连接通信。总线系统505除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图5中将各种总线都标为总线系统505。
其中,用户接口503可以包括显示器、键盘、鼠标、轨迹球、点击轮、按键、按钮、触感板或者触摸屏等。
本申请实施例中的存储器502用于存储各种类型的数据以支持恶意文件检测设备的操作。这些数据的示例包括:用于在恶意文件检测设备上操作的任何计算机程序。
本申请实施例揭示的恶意文件检测方法可以应用于处理器501中,或者由处理器501实现。处理器501可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,恶意文件检测方法的各步骤可以通过处理器501中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器501可以是通用处理器、数字信号处理器(DSP,Digital SignalProcessor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器501可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器502,处理器501读取存储器502中的信息,结合其硬件完成本申请实施例提供的恶意文件检测方法的步骤。
在示例性实施例中,恶意文件检测设备可以被一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,Programmable Logic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable LogicDevice)、现场可编程逻辑门阵列(FPGA,Field Programmable Gate Array)、通用处理器、控制器、微控制器(MCU,Micro Controller Unit)、微处理器(Microprocessor)、或者其他电子元件实现,用于执行前述方法。
可以理解,存储器502可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagneticrandom access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static RandomAccess Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,DoubleData Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic RandomAccess Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本申请实施例描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
在示例性实施例中,本申请实施例还提供了一种存储介质,即计算机存储介质,具体可以是计算机可读存储介质,例如包括存储计算机程序的存储器502,上述计算机程序可由恶意文件检测设备的处理器501执行,以完成本申请实施例方法所述的步骤。计算机可读存储介质可以是ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。
需要说明的是:“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
另外,本申请实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请披露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。

Claims (9)

1.一种恶意文件检测方法,其特征在于,包括:
获取待检测文件的特征信息,所述特征信息包括基于静态分析得到的静态特征和/或动态分析得到的动态特征;
将所述特征信息输入至人工智能AI模型中,得到所述AI模型输出的检测路径;所述检测路径用于指示所选择的多个检测子系统,以及各个检测子系统的检测顺序,以选择与所述待检测文件相适配的检测子系统,达到兼顾检测效率及资源占用率;
基于所述检测路径,选取与所述检测路径对应的检测子系统,并基于所述检测顺序对所述待检测文件进行恶意检测。
2.根据权利要求1所述的方法,其特征在于,所述检测路径还用于指示:各个检测子系统的检测结果考虑权重。
3.根据权利要求1所述的方法,其特征在于,当检测子系统包括多个不同的检测模块时;
所述检测路径还用于指示:检测子系统中所选择的检测模块。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
基于当前的检测子系统的检测结果确定是否结束检测过程;
若否,则重新确定所述待检测文件的检测路径,并基于重新确定的所述检测路径对应的检测子系统进行检测,返回执行所述基于当前的检测子系统的检测结果确定是否结束检测过程的步骤,直至基于当前的检测子系统的检测结果确定检测结束,或者,循环次数达到设定次数。
5.根据权利要求1所述的方法,其特征在于,所述选取与所述检测路径对应的检测子系统对所述待检测文件进行恶意检测,包括以下之一:
若所述检测子系统包括指纹证书子系统,则通过指纹证书子系统,基于信誉库检测和根证书验证对所述待检测文件进行分析;
若所述检测子系统包括解包分析子系统,则通过解包分析子系统,基于虚拟执行技术分析所述待检测文件的动态行为;
若所述检测子系统包括规则检测子系统,则通过规则检测子系统,基于启发式检测技术利用写入的规则对所述待检测文件进行分析;
若所述检测子系统包括本地AI检测子系统,则通过本地AI检测子系统,基于AI技术对所述待检测文件进行分析;
若所述检测子系统包括云查云鉴子系统,则通过云查云鉴子系统,在云服务器上对所述待检测文件进行分析。
6.根据权利要求5所述的方法,其特征在于,所述基于AI技术对所述待检测文件进行分析,包括:
基于静态分析得到所述待检测文件的静态特征;
基于AI技术和所述静态特征得到所述待检测文件的深度特征;
基于所述深度特征分析得到所述待检测文件的检测结果。
7.一种恶意文件检测装置,其特征在于,包括:
获取模块,用于获取待检测文件的特征信息,所述特征信息包括基于静态分析得到的静态特征和/或动态分析得到的动态特征;
确定模块,用于将所述特征信息输入至人工智能AI模型中,得到所述AI模型输出的检测路径;所述检测路径用于指示所选择的多个检测子系统,以及各个检测子系统的检测顺序,以选择与所述待检测文件相适配的检测子系统,达到兼顾检测效率及资源占用率;
检测模块,用于基于所述检测路径,选取与所述检测路径对应的检测子系统,并基于所述检测顺序对所述待检测文件进行恶意检测。
8.一种恶意文件检测设备,其特征在于,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,其中,
所述处理器,用于运行计算机程序时,执行权利要求1至6任一项所述方法的步骤。
9.一种计算机存储介质,所述计算机存储介质上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现权利要求1至6任一项所述方法的步骤。
CN202310649312.4A 2023-06-02 2023-06-02 恶意文件检测方法、装置、设备及存储介质 Active CN116366377B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310649312.4A CN116366377B (zh) 2023-06-02 2023-06-02 恶意文件检测方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310649312.4A CN116366377B (zh) 2023-06-02 2023-06-02 恶意文件检测方法、装置、设备及存储介质

Publications (2)

Publication Number Publication Date
CN116366377A CN116366377A (zh) 2023-06-30
CN116366377B true CN116366377B (zh) 2023-11-07

Family

ID=86905533

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310649312.4A Active CN116366377B (zh) 2023-06-02 2023-06-02 恶意文件检测方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN116366377B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116910755A (zh) * 2023-09-13 2023-10-20 北京安天网络安全技术有限公司 一种文件检测方法
CN116910756B (zh) * 2023-09-13 2024-01-23 北京安天网络安全技术有限公司 一种恶意pe文件的检测方法

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016188279A1 (zh) * 2015-05-25 2016-12-01 阿里巴巴集团控股有限公司 一种故障谱的生成、基于故障谱的检测方法和装置
CN110287701A (zh) * 2019-06-28 2019-09-27 深信服科技股份有限公司 一种恶意文件检测方法、装置、系统及相关组件
CN110928793A (zh) * 2019-11-28 2020-03-27 Oppo广东移动通信有限公司 一种正则表达式检测方法、装置及计算机可读存储介质
CN111914257A (zh) * 2020-08-04 2020-11-10 中国信息安全测评中心 文档检测的方法、装置、设备、及计算机存储介质
CN113378161A (zh) * 2021-06-23 2021-09-10 深信服科技股份有限公司 一种安全检测方法、装置、设备及存储介质
CN113672924A (zh) * 2021-08-24 2021-11-19 李宇佳 分布式云计算系统的数据入侵检测方法及装置
CN113886814A (zh) * 2021-09-29 2022-01-04 深信服科技股份有限公司 一种攻击检测方法及相关装置
US11522885B1 (en) * 2022-02-08 2022-12-06 Uab 360 It System and method for information gain for malware detection
CN115495740A (zh) * 2022-09-20 2022-12-20 京东科技信息技术有限公司 一种病毒检测方法和装置

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016188279A1 (zh) * 2015-05-25 2016-12-01 阿里巴巴集团控股有限公司 一种故障谱的生成、基于故障谱的检测方法和装置
CN110287701A (zh) * 2019-06-28 2019-09-27 深信服科技股份有限公司 一种恶意文件检测方法、装置、系统及相关组件
CN110928793A (zh) * 2019-11-28 2020-03-27 Oppo广东移动通信有限公司 一种正则表达式检测方法、装置及计算机可读存储介质
CN111914257A (zh) * 2020-08-04 2020-11-10 中国信息安全测评中心 文档检测的方法、装置、设备、及计算机存储介质
CN113378161A (zh) * 2021-06-23 2021-09-10 深信服科技股份有限公司 一种安全检测方法、装置、设备及存储介质
CN113672924A (zh) * 2021-08-24 2021-11-19 李宇佳 分布式云计算系统的数据入侵检测方法及装置
CN113886814A (zh) * 2021-09-29 2022-01-04 深信服科技股份有限公司 一种攻击检测方法及相关装置
US11522885B1 (en) * 2022-02-08 2022-12-06 Uab 360 It System and method for information gain for malware detection
CN115495740A (zh) * 2022-09-20 2022-12-20 京东科技信息技术有限公司 一种病毒检测方法和装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于机器学习优化策略的漏洞检测技术研究;宋雅楠;刘萍;;信息技术(02);第45-50页 *

Also Published As

Publication number Publication date
CN116366377A (zh) 2023-06-30

Similar Documents

Publication Publication Date Title
CN116366377B (zh) 恶意文件检测方法、装置、设备及存储介质
US9990583B2 (en) Match engine for detection of multi-pattern rules
RU2708356C1 (ru) Система и способ двухэтапной классификации файлов
US10986103B2 (en) Signal tokens indicative of malware
Varma et al. Android mobile security by detecting and classification of malware based on permissions using machine learning algorithms
CN111159697B (zh) 一种密钥检测方法、装置及电子设备
CN109344611B (zh) 应用的访问控制方法、终端设备及介质
Zhu et al. Android malware detection based on multi-head squeeze-and-excitation residual network
RU2587429C2 (ru) Система и способ оценки надежности правила категоризации
CN113486350B (zh) 恶意软件的识别方法、装置、设备及存储介质
CN113918951A (zh) 基于抽象语法树的恶意代码检测方法、装置及电子设备
Niu et al. Detecting malware on X86-based IoT devices in autonomous driving
CN112688966A (zh) webshell检测方法、装置、介质和设备
CN114386046A (zh) 一种未知漏洞检测方法、装置、电子设备及存储介质
CN113312620B (zh) 一种程序安全检测方法及装置、处理器芯片、服务器
KR20180133726A (ko) 특징 벡터를 이용하여 데이터를 분류하는 장치 및 방법
CN109145589B (zh) 应用程序获取方法及装置
Choi et al. Detection of Cross Site Scripting Attack in Wireless Networks Using n‐Gram and SVM
CN115310087A (zh) 一种基于抽象语法树的网站后门检测方法和系统
Yan et al. DitDetector: Bimodal learning based on deceptive image and text for macro malware detection
CN112995218A (zh) 域名的异常检测方法、装置及设备
Brindavathi et al. An Analysis of AI-based SQL Injection (SQLi) Attack Detection
Guo et al. A malware detection algorithm based on multi-view fusion
CN116738427B (zh) 终端安全防护方法、装置、设备及存储介质
CN113542202B (zh) 一种域名识别方法、装置、设备及计算机可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Malicious file detection methods, devices, devices, and storage media

Effective date of registration: 20231212

Granted publication date: 20231107

Pledgee: Shenzhen Branch of China Merchants Bank Co.,Ltd.

Pledgor: SANGFOR TECHNOLOGIES Inc.

Registration number: Y2023980070863

PE01 Entry into force of the registration of the contract for pledge of patent right
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20230630

Assignee: Shenzhen zhongyun Data Technology Co.,Ltd.

Assignor: SANGFOR TECHNOLOGIES Inc.

Contract record no.: X2024980006900

Denomination of invention: Malicious file detection methods, devices, devices, and storage media

Granted publication date: 20231107

License type: Common License

Record date: 20240607