发明名称 |
一种基于纹理的分布式恶意代码检测方法、装置及系统 |
摘要 |
一种基于纹理的分布式恶意代码检测装置及方法;装置包括:纹理指纹提取单元,用于根据恶意代码PE文件生成恶意代码纹理指纹向量集合,提取待检测样本的纹理指纹向量;布隆过滤器索引结构建立单元,用于将恶意代码纹理指纹向量集合映射到Bloom-Filter索引结构中;分布式LSH索引结构建立单元,用于建立分布式LSH索引结构;分布式变种检测单元用于当精确检测单元未命中时,建立目标查询集,计算其位置敏感哈希值、机器标识和哈希桶标识,根据计算结果在分布式LSH索引结构中找到相应的恶意代码纹理指纹向量,进行比较,得到检测结果。本发明能够检测未知恶意代码及其类型。 |
申请公布号 |
CN104751055A |
申请公布日期 |
2015.07.01 |
申请号 |
CN201310753120.4 |
申请日期 |
2013.12.31 |
申请人 |
北京启明星辰信息安全技术有限公司;北京启明星辰信息技术股份有限公司 |
发明人 |
曲武;王君鹤;周涛;叶润国 |
分类号 |
G06F21/56(2013.01)I |
主分类号 |
G06F21/56(2013.01)I |
代理机构 |
北京安信方达知识产权代理有限公司 11262 |
代理人 |
白莹;栗若木 |
主权项 |
一种基于纹理的分布式恶意代码检测装置,其特征在于,包括:分布式变种检测单元;纹理指纹提取单元,用于根据恶意代码语料库中的恶意代码可移植的执行体PE文件生成恶意代码纹理指纹向量集合,以及提取待检测样本的纹理指纹向量;布隆过滤器Bloom‑Filter索引结构建立单元,用于将所述恶意代码纹理指纹向量集合映射到Bloom‑Filter索引结构中;分布式位置敏感哈希LSH索引结构建立单元,用于计算各恶意代码纹理指纹向量的位置敏感哈希值,计算各所述位置敏感哈希值的机器标识和哈希桶标识,建立分布式LSH索引结构;精确检测单元,用于基于所述Bloom‑Filter索引结构,对所述待检测样本的纹理指纹向量进行检测;如果命中,则将所命中的恶意代码PE文件的信息作为检测结果;如果未命中,则将所述待检测样本的纹理指纹向量发送给所述分布式变种检测单元;所述分布式变种检测单元用于建立所述待检测样本的纹理指纹向量的最近邻集合,与所述待检测样本的纹理指纹向量构成目标查询集;采用与所述分布式LSH索引结构建立单元相同的哈希函数计算所述目标查询集的位置敏感哈希值,进而计算机器标识和哈希桶标识,根据计算结果在所述分布式LSH索引结构中找到相应的恶意代码纹理指纹向量,与所述待检测样本的纹理指纹向量进行比较,得到检测结果。 |
地址 |
100193 北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦 |