| 摘要 |
Un método para detectar posible malware que comprende: crear una primera huella difusa de un archivo de malware conocido, la primera huella difusa incluye un primerconjunto de aproximaciones de complejidad calculadas y ponderaciones para cada una de una pluralidad de bloquesdentro del archivo de malware conocido; crear una segunda huella difusa de un archivo que se va a verificar, la segunda huella difusa incluye un segundoconjunto de aproximaciones de complejidad calculadas y ponderaciones para cada una de una pluralidad de bloquesdentro del archivo que se va a verificar; comparar la segunda huella difusa con la primera huella difusa que incluye comparar las aproximaciones decomplejidad calculadas desde la segunda huella difusa con una pluralidad de las aproximaciones de complejidaddesde la primera huella difusa utilizando una comparación en forma de bloque; cálculos de complejidad utilizados para calcular la primera y segunda huellas difusas derivadas de la entropía deinformación del bloque al calcular la suma de una función de probabilidad de masa por un logaritmo de la función deprobabilidad de masa del bloque datos, las ponderaciones para la primera y segunda huellas difusas derivadas desde por lo menos una ubicación del bloqueen su formato de archivo particular y cómo la información indicativa en la ubicación del bloque dentro del archivo espara indicar que el archivo es malware; calcular una probabilidad de similitud para cada una de las comparaciones en forma de bloque, el cálculo queincluye una ponderación respectiva para cada una de la pluralidad de bloques dentro del archivo de malwareconocido y para cada una de la pluralidad de bloques dentro del archivo que se va a verificar, y el cálculo queincluye una distancia entre los bloques comparados; y calcular una probabilidad de similitud total para la pluralidad de bloques comparada para determinar si el archivo quese va a verificar se considera un malware.
|
