| 发明名称 | 一种恶意程序检测方法及其装置 | ||
| 摘要 | 本申请涉及一种恶意程序检测方法及其装置,该方法包括:提取待检测终端的恶意行为痕迹特征,将提取的恶意行为痕迹特征与痕迹库中的痕迹特征进行比较,最终根据比较结果判断待检测终端是否感染过恶意程序。通过本申请,可在不获得恶意程序的可执行文件的前提下,判断终端是否感染过恶意程序,从而实现对已经消亡的恶意程序的较为有效的检测和识别。 | ||
| 申请公布号 | CN104598824B | 申请公布日期 | 2016.04.06 |
| 申请号 | CN201510044023.7 | 申请日期 | 2015.01.28 |
| 申请人 | 国家计算机网络与信息安全管理中心;安世盾信息技术(北京)有限公司 | 发明人 | 李挺;韩晟;李世漴;徐原;高胜;胡俊;何世平;饶毓;党向磊;徐晓燕;赵宸;刘婧;陈阳;王盈 |
| 分类号 | G06F21/56(2013.01)I | 主分类号 | G06F21/56(2013.01)I |
| 代理机构 | 北京世誉鑫诚专利代理事务所(普通合伙) 11368 | 代理人 | 孙国栋 |
| 主权项 | 一种恶意程序检测方法,其特征在于,所述方法包括:搜集恶意代码样本;对搜集的恶意代码样本执行静态特征提取获取敏感高危权限、应用程序调用图指纹以及应用程序安装包痕迹信息作为痕迹特征;在对搜集的恶意代码样本执行静态特征提取的同时,对搜集的恶意代码样本执行动态特征提取,获取应用程序调用序列和隐私数据流向作为痕迹特征;使用获得的痕迹特征构建痕迹库;获取应用程序运行数据以及应用程序对系统数据的修改痕迹信息;提取终端的系统日志痕迹信息;采用Jaccard相似系数计算方法将恶意行为痕迹特征与痕迹库中的痕迹特征进行比较,该计算方法为:<maths num="0001" id="cmaths0001"><math><![CDATA[<mrow><mi>J</mi><mi>a</mi><mi>c</mi><mi>c</mi><mi>a</mi><mi>r</mi><mi>d</mi><mrow><mo>(</mo><mrow><mi>X</mi><mo>,</mo><mi>Y</mi></mrow><mo>)</mo></mrow><mo>=</mo><mfrac><mrow><mi>X</mi><mo>∩</mo><mi>Y</mi></mrow><mrow><mi>X</mi><mo>∪</mo><mi>Y</mi></mrow></mfrac><mo>,</mo></mrow>]]></math><img file="FDA0000844310110000011.GIF" wi="428" he="119" /></maths>其中X代表待检测终端的痕迹特征集合,Y代表痕迹库中的痕迹特征集合,X和Y都包含了n个维的特征,n为可以获取的痕迹特征样本量,即X=(x<sub>1</sub>,x<sub>2</sub>,x<sub>3</sub>,...x<sub>n</sub>),Y=(y<sub>1</sub>,y<sub>2</sub>,y<sub>3</sub>,...y<sub>n</sub>);其中每一维x<sub>i</sub>和y<sub>i</sub>代表一个痕迹特征;根据比较结果判断待检测终端是否感染过恶意程序。 | ||
| 地址 | 100029 北京市朝阳区裕民路甲3号 | ||