发明名称 |
一种恶意文件的检测方法和装置 |
摘要 |
本发明属于信息安全领域,涉及一种恶意文件的检测方法,所述方法包括:文件反编译步骤,对被检测文件进行反编译,得到底层语言描述的函数数据;数据筛选步骤,对所述函数数据进行筛选,选出样本文件中与用户所写内容所对应的函数数据;数据清洗步骤,对所述与用户所写内容所对应的每个函数进行清洗,去除其中的不稳定字节,得到清洗后的函数数据;比较步骤,将所述被检测文件中的每个用户所写函数与已知的恶意函数和干净函数比较,获取被检测文件中的每个用户所写函数的恶意程度数值;判断步骤,根据被检测文件中的每个用户所写函数的恶意程度数值判断被检测文件的恶意程度。通过上述技术方案,实现把恶意文件的检测粒度降低到函数级别,有利于提高文件恶意性的判定。 |
申请公布号 |
CN105975854A |
申请公布日期 |
2016.09.28 |
申请号 |
CN201610443601.9 |
申请日期 |
2016.06.20 |
申请人 |
武汉绿色网络信息服务有限责任公司 |
发明人 |
程波;侯贺明 |
分类号 |
G06F21/55(2013.01)I |
主分类号 |
G06F21/55(2013.01)I |
代理机构 |
北京和信华成知识产权代理事务所(普通合伙) 11390 |
代理人 |
胡剑辉 |
主权项 |
一种恶意文件的检测方法,其特征在于,所述方法包括:文件反编译步骤,对被检测文件进行反编译,得到底层语言描述的函数数据;数据筛选步骤,对所述函数数据进行筛选,选出样本文件中与用户所写内容所对应的函数数据;数据清洗步骤,对所述与用户所写内容所对应的每个函数进行清洗,去除其中的不稳定字节,得到清洗后的函数数据;比较步骤,将所述被检测文件中的每个用户所写函数与已知的恶意函数和干净函数比较,获取被检测文件中的每个用户所写函数的恶意程度数值;判断步骤,根据被检测文件中的每个用户所写函数的恶意程度数值判断被检测文件的恶意程度。 |
地址 |
430073 湖北省武汉市东湖新技术开发区软件园东路1号软件产业4.1期B3栋10层01号 |