本申请涉及恶意文件检测领域,特别涉及一种基于图标匹配的恶意文件检测的方法、系统、设备及可读存储介质。
背景技术:
图标伪装类恶意程序文件是非常常见和容易忽视的一类恶意程序。传统方式对该类恶意程序的检测往往和其他类型恶意程序相同,对其检测往往受限于动态分析技术,动态分析往往需要的时间较长,并且一般的静态分析方式对该类恶意程序检测效果一般,缺少对该类恶意文件的静态检测能力以及精准和高效的辨别能力。
攻击者通过文件传输、邮件发送、挂马下载等方式将经过图标伪装的恶意程序投递到目标主机,被攻击者往往受其伪装的图标和文件名欺骗,在缺乏安全检测的情况下运行恶意程序,造成不必要的后果。
因此,如何提高图标伪装类恶意程序文件的检测速度是本领域技术人员目前需要解决的技术问题。
技术实现要素:
本申请的目的是提供一种基于图标匹配的恶意文件检测的方法、系统、设备及可读存储介质,用于提高图标伪装类恶意程序文件的检测速度。
为解决上述技术问题,本申请提供一种基于图标匹配的恶意文件检测的方法,该方法包括:
提取输入的待检测文件的图标信息,并在恶意信息库中对所述图标信息进行匹配;
若存在匹配结果,则根据所述匹配结果确定所述待检测文件所属的恶意类别;
根据所述恶意类别生成对应的检测结果。
可选的,所述图标信息包括图标哈希信息;
所述在恶意信息库中对所述图标信息进行匹配,包括:
在所述恶意信息库中对所述图标哈希信息进行精确匹配。
可选的,根据所述匹配结果确定所述待检测文件所属的恶意类别,包括:
根据精确匹配结果确定所述待检测文件的精确恶意类别信息。
可选的,所述图标信息包括图标模糊哈希信息;
所述在恶意信息库中对所述图标信息进行匹配,包括:
对所述图标模糊哈希信息进行切分,并根据得到的所有子字符串与所述恶意信息库进行匹配;
根据匹配成功的子字符串数量生成匹配相似度。
可选的,根据所述匹配结果确定所述待检测文件所属的恶意类别,包括:
根据模糊匹配结果确定所述待检测文件的相似恶意类别信息。
可选的,还包括:
提取输入的已分类样本文件的样本图标信息,所述样本图标信息包括样本图标哈希信息和样本图标模糊哈希信息;
建立所述样本图标哈希信息与所述恶意类别的第一对应关系,并建立所述样本图标模糊哈希信息与所述恶意类别的第二对应关系;
将所述第一对应关系和所述第二对应关系存入所述恶意信息库中。
可选的,还包括:
若不存在所述匹配结果,则确认所述待检测文件为非恶意文件。
本申请还提供一种基于图标匹配的恶意文件检测的系统,该系统包括:
提取模块,用于提取输入的待检测文件的图标信息,并在恶意信息库中对所述图标信息进行匹配;
第一确定模块,用于若存在匹配结果,则根据所述匹配结果确定所述待检测文件所属的恶意类别;
生成模块,用于根据所述恶意类别生成对应的检测结果。
本申请还提供一种基于图标匹配的恶意文件检测设备,该基于图标匹配的恶意文件检测设备包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上述任一项所述基于图标匹配的恶意文件检测的方法的步骤。
本申请还提供一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述任一项所述基于图标匹配的恶意文件检测的方法的步骤。
本申请所提供基于图标匹配的恶意文件检测的方法,包括:提取输入的待检测文件的图标信息,并在恶意信息库中对图标信息进行匹配;若存在匹配结果,则根据匹配结果确定待检测文件所属的恶意类别;根据恶意类别生成对应的检测结果。
本申请所提供的技术方案,通过提取待检测文件的图标信息,并在恶意信息库中对图标信息进行匹配,当存在匹配结果时,则证明该待检测文件为恶意文件,此时根据匹配结果确定待检测文件所属的恶意类别,并生成对应的检测结果,相对于现有技术,本申请通过在恶意信息库中对图标信息进行匹配,不需要对待检测文件进行动态分析,在提高了图标伪装类恶意程序文件检测的准确率的同时,极大的提高了图标伪装类恶意程序文件的检测速度。本申请同时还提供了一种基于图标匹配的恶意文件检测的系统、设备及可读存储介质,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例所提供的一种基于图标匹配的恶意文件检测的方法的流程图;
图2为本申请实施例所提供的另一种基于图标匹配的恶意文件检测的方法的流程图;
图3为本申请实施例所提供的一种基于图标匹配的恶意文件检测的系统的结构图;
图4为本申请实施例所提供的一种基于图标匹配的恶意文件检测设备的结构图。
具体实施方式
本申请的核心是提供一种基于图标匹配的恶意文件检测的方法、系统、设备及可读存储介质,用于提高图标伪装类恶意程序文件的检测速度。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
随着互联网的发展,网络上的威胁层出不穷,更是朝着隐蔽性更强范围更广的趋势发展。现阶段对于恶意文件的检测可以分为静态检测和动态检测,静态检测是对文件的一些静态信息进行提取分析,常见的比如文件类型、结构特征、字符串信息等分析检测,特点是分析检测速度快,但检测强度不高。动态检测是对恶意文件进行动态执行后,获取相关运行信息进行分析检测,因需要时间进行运行检测,这种检测方式检测强度较高,但是速度较慢。
传统方式对图标伪装类恶意程序的检测往往和其他类型恶意程序相同,对其检测往往受限于动态分析技术,动态分析往往需要的时间较长,并且一般的静态分析方式对该类恶意程序检测效果一般,缺少对该类恶意文件的静态检测能力以及精准和高效的辨别能力;故本申请提供了一种基于图标匹配的恶意文件检测的方法,用于解决上述问题。
请参考图1,图1为本申请实施例所提供的一种基于图标匹配的恶意文件检测的方法的流程图。
其具体包括如下步骤:
s101:提取输入的待检测文件的图标信息,并在恶意信息库中对图标信息进行匹配;
本申请的目的在于提高图标伪装类恶意程序文件的检测速度,这里提到的图标伪装类恶意程序是攻击者将恶意程序(后门程序、远程控制程序等)的程序图标替换为一些正常软件或者文档的图标,比如文本文档图标、文件夹图标、office文档图标、windows自带程序图标等,以达到欺骗被攻击者的目的。该类恶意程序往往通过文件传输、邮件发送、挂马下载等方式投递到被攻击者面前,一旦不小心被诱导运行点击,目标机器就会受到相应的恶意攻击;
本申请通过对待检测文件的图标信息进行检测,并在恶意信息库中对图标信息进行匹配,如果存在匹配结果,则证明待检测文件为恶意文件,此时根据匹配结果确定待检测文件所属的恶意类别,并生成对应的恶意检测报告;
可选的,如果不存在匹配结果,则证明待检测文件为非恶意文件,此时还可以确认待检测文件为非恶意文件。
可选的,这里提到的待检测文件的输入方式具体可以为用户输入,也可以为系统或检测软件筛选可疑文件之后输入,本申请对此不作具体限定。
可选的,这里提到的恶意文件库可以为连接云端指定位置下载得到,也可以为依据样本文件自动生成的,这里请参考图2,图2为本申请实施例所提供的另一种基于图标匹配的恶意文件检测的方法的流程图,其具体包括以下步骤:
s201:提取输入的已分类样本文件的样本图标信息;
这里提到的样本图标信息可以包括样本图标哈希信息和样本图标模糊哈希信息;
s202:建立样本图标哈希信息与恶意类别的第一对应关系,并建立样本图标模糊哈希信息与恶意类别的第二对应关系;
s203:将第一对应关系和第二对应关系存入恶意信息库中。
基于上述技术方案,本申请实施例通过建立已分类样本文件的样本图标信息与恶意类别的对应关系,并将其保存到恶意信息库中,完成了对恶意信息库的建立,进而能够实现依据恶意信息库中对图标信息进行匹配的目的。
s102:若存在匹配结果,则根据匹配结果确定待检测文件所属的恶意类别;
由于恶意文件的种类繁多,每种恶意文件的处理方式也不尽相同,因此在存在匹配结果时,本申请根据匹配结果确定待检测文件所属的恶意类别,以便用户选择最优的处理方式;
可选的,这里提到的图标信息具体可以包括图标哈希信息,图标哈希信息具体可以通过利用预设哈希算法对图标信息进行哈希处理得到;
在此基础上,步骤s101提到的在恶意信息库中对图标信息进行匹配,其具体可以为:
在恶意信息库中对图标哈希信息进行精确匹配。
进一步的,这里提到的根据匹配结果确定待检测文件所属的恶意类别,其具体可以为:
根据精确匹配结果确定待检测文件的精确恶意类别信息。
可选的,该图标信息还可以包括图标模糊哈希信息,模糊哈希是一种基于内容触发分片哈希,用于文件的相似性比较,在一个具体实施例中,模糊哈希算法可以通过开放源代码的编程实现;
在此基础上,步骤s101中提到的在恶意信息库中对图标信息进行匹配,其具体可以为:
对图标模糊哈希信息进行切分,并根据得到的所有子字符串与恶意信息库进行匹配;
根据匹配成功的子字符串数量生成匹配相似度。
进一步的,这里提到的根据匹配结果确定待检测文件所属的恶意类别,其具体可以为:
根据模糊匹配结果确定待检测文件的相似恶意类别信息。
s103:根据恶意类别生成对应的检测结果。
可选的,为了提醒用户及时对恶意文件进行处理,在根据恶意类别生成对应的检测结果之后,还可以将该检测结果发送至指定位置(如指定邮箱、手机信箱等)。
基于上述技术方案,本申请所提供的一种基于图标匹配的恶意文件检测的方法,通过提取待检测文件的图标信息,并在恶意信息库中对图标信息进行匹配,当存在匹配结果时,则证明该待检测文件为恶意文件,此时根据匹配结果确定待检测文件所属的恶意类别,并生成对应的检测结果,相对于现有技术,本申请通过在恶意信息库中对图标信息进行匹配,不需要对待检测文件进行动态分析,在提高了图标伪装类恶意程序文件检测的准确率的同时,极大的提高了图标伪装类恶意程序文件的检测速度。
请参考图3,图3为本申请实施例所提供的一种基于图标匹配的恶意文件检测的系统的结构图。
该系统可以包括:
提取模块100,用于提取输入的待检测文件的图标信息,并在恶意信息库中对图标信息进行匹配;
第一确定模块200,用于若存在匹配结果,则根据匹配结果确定待检测文件所属的恶意类别;
生成模块300,用于根据恶意类别生成对应的检测结果。
在上述实施例的基础上,在一个具体实施例中,该图标信息可以包括图标哈希信息;
该提取模块100可以包括:
第一匹配子模块,用于在恶意信息库中对图标哈希信息进行精确匹配。
在上述实施例的基础上,在一个具体实施例中,该第一确定模块200可以包括:
第一确定子模块,用于根据精确匹配结果确定待检测文件的精确恶意类别信息。
在上述实施例的基础上,在一个具体实施例中,该图标信息可以包括图标模糊哈希信息;
该提取模块100可以包括:
第二匹配子模块,用于对图标模糊哈希信息进行切分,并根据得到的所有子字符串与恶意信息库进行匹配;
生成子模块,用于根据匹配成功的子字符串数量生成匹配相似度。
在上述实施例的基础上,在一个具体实施例中,该第一确定模块200可以包括:
第二确定子模块,用于根据模糊匹配结果确定待检测文件的相似恶意类别信息。
在上述实施例的基础上,在一个具体实施例中,该系统还可以包括:
提取模块,用于提取输入的已分类样本文件的样本图标信息,样本图标信息包括样本图标哈希信息和样本图标模糊哈希信息;
建立模块,用于建立样本图标哈希信息与恶意类别的第一对应关系,并建立样本图标模糊哈希信息与恶意类别的第二对应关系;
存储模块,用于将第一对应关系和第二对应关系存入恶意信息库中。
在上述实施例的基础上,在一个具体实施例中,该系统还可以包括:
第二确定模块,用于若不存在匹配结果,则确认待检测文件为非恶意文件。
由于系统部分的实施例与方法部分的实施例相互对应,因此系统部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
请参考图4,图4为本申请实施例所提供的一种基于图标匹配的恶意文件检测设备的结构图。
该基于图标匹配的恶意文件检测设备400可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(centralprocessingunits,cpu)422(例如,一个或一个以上处理器)和存储器432,一个或一个以上存储应用程序442或数据444的存储介质430(例如一个或一个以上海量存储设备)。其中,存储器432和存储介质430可以是短暂存储或持久存储。存储在存储介质430的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对装置中的一系列指令操作。更进一步地,处理器422可以设置为与存储介质430通信,在基于图标匹配的恶意文件检测设备400上执行存储介质430中的一系列指令操作。
基于图标匹配的恶意文件检测设备400还可以包括一个或一个以上电源424,一个或一个以上有线或无线网络接口450,一个或一个以上输入输出接口458,和/或,一个或一个以上操作系统441,例如windowsservertm,macosxtm,unixtm,linuxtm,freebsdtm等等。
上述图1至图2所描述的基于图标匹配的恶意文件检测的方法中的步骤由基于图标匹配的恶意文件检测设备基于该图4所示的结构实现。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置、设备和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,功能调用装置,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:u盘、移动硬盘、只读存储器(read-onlymemory,rom)、随机存取存储器(randomaccessmemory,ram)、磁碟或者光盘等各种可以存储程序代码的介质。
以上对本申请所提供的一种基于图标匹配的恶意文件检测的方法、系统、设备及可读存储介质进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
1.一种基于图标匹配的恶意文件检测的方法,其特征在于,包括:
提取输入的待检测文件的图标信息,并在恶意信息库中对所述图标信息进行匹配;
若存在匹配结果,则根据所述匹配结果确定所述待检测文件所属的恶意类别;
根据所述恶意类别生成对应的检测结果。
2.根据权利要求1所述的方法,其特征在于,所述图标信息包括图标哈希信息;
所述在恶意信息库中对所述图标信息进行匹配,包括:
在所述恶意信息库中对所述图标哈希信息进行精确匹配。
3.根据权利要求2所述的方法,其特征在于,根据所述匹配结果确定所述待检测文件所属的恶意类别,包括:
根据精确匹配结果确定所述待检测文件的精确恶意类别信息。
4.根据权利要求1所述的方法,其特征在于,所述图标信息包括图标模糊哈希信息;
所述在恶意信息库中对所述图标信息进行匹配,包括:
对所述图标模糊哈希信息进行切分,并根据得到的所有子字符串与所述恶意信息库进行匹配;
根据匹配成功的子字符串数量生成匹配相似度。
5.根据权利要求4所述的方法,其特征在于,根据所述匹配结果确定所述待检测文件所属的恶意类别,包括:
根据模糊匹配结果确定所述待检测文件的相似恶意类别信息。
6.根据权利要求1-5任一项所述的方法,其特征在于,还包括:
提取输入的已分类样本文件的样本图标信息,所述样本图标信息包括样本图标哈希信息和样本图标模糊哈希信息;
建立所述样本图标哈希信息与所述恶意类别的第一对应关系,并建立所述样本图标模糊哈希信息与所述恶意类别的第二对应关系;
将所述第一对应关系和所述第二对应关系存入所述恶意信息库中。
7.根据权利要求6所述的方法,其特征在于,还包括:
若不存在所述匹配结果,则确认所述待检测文件为非恶意文件。
8.一种基于图标匹配的恶意文件检测的系统,其特征在于,包括:
提取模块,用于提取输入的待检测文件的图标信息,并在恶意信息库中对所述图标信息进行匹配;
第一确定模块,用于若存在匹配结果,则根据所述匹配结果确定所述待检测文件所属的恶意类别;
生成模块,用于根据所述恶意类别生成对应的检测结果。
9.一种基于图标匹配的恶意文件检测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述基于图标匹配的恶意文件检测的方法的步骤。
10.一种可读存储介质,其特征在于,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述基于图标匹配的恶意文件检测的方法的步骤。
技术总结