发明名称 |
一种基于多模式的恶意代码匹配方法及装置 |
摘要 |
本发明公开了一种基于多模式的恶意代码匹配方法,包括:基于特征库中特征码的语义特征对待检测样本进行筛选,缩短待检测样本长度;判断特征库是否存在更新,若是,则重新基于各特征码前缀构建树状有限状态机,否则沿用已生成的有限状态机;对于生成的有限状态机进行压缩存储;基于坏字符跳转的原则利用压缩存储的有限状态机从后向前匹配待检测样本。同时,本发明公开了一种基于多模式的恶意代码匹配装置。本发明所述的技术方案即使在特征库中特征码较多的情况下,也能够以较快的匹配速度完成特征码匹配,同时减少了系统资源的占用。 |
申请公布号 |
CN105653950A |
申请公布日期 |
2016.06.08 |
申请号 |
CN201510420476.5 |
申请日期 |
2015.07.17 |
申请人 |
哈尔滨安天科技股份有限公司 |
发明人 |
张家兴;李柏松 |
分类号 |
G06F21/56(2013.01)I |
主分类号 |
G06F21/56(2013.01)I |
代理机构 |
|
代理人 |
|
主权项 |
一种基于多模式的恶意代码匹配方法,其特征在于,包括:基于特征库中特征码的语义特征对待检测样本进行筛选,缩短待检测样本长度;判断特征库是否存在更新,若是,则重新基于各特征码前缀构建树状有限状态机,否则沿用已生成的有限状态机;对于生成的有限状态机进行压缩存储;基于坏字符跳转的原则利用压缩存储的有限状态机从后向前匹配待检测样本。 |
地址 |
150090 黑龙江省哈尔滨市开发区南岗集中区红旗大街162号506室 |