基于API名称和立即数的启发式样本检测方法及系统

摘要

本发明提出一种基于API名称和立即数的启发式样本检测方法及系统，包括：获取系统文件的全部导出函数名称，并计算各导出函数名称的散列值；将所有导出函数名称的散列值形成散列匹配库；遍历待检测样本的全部指令中所包含的立即数；将所述立即数与散列匹配库中的散列值匹配，并计算匹配成功的立即数个数；判断所述匹配成功的立即数个数是否超过阈值，如果是，则所述待检测样本为恶意文件，否则所述待检测样本为普通文件。本发明通过对API名称进行散列计算与待检测样本的立即数匹配，能够快速发现存在隐藏自身API调用的恶意代码样本。

说明书

技术领域

本发明涉及网络安全技术领域，特别涉及一种基于API名称和立即数的启发式样本检测方法及系统。

背景技术

传统的恶意代码检测方式是在深度分析机器指令后，根据指令序列进行相关特征的提取。这种检测方式的原理是同一个病毒家族总是会有若干段相同的指令序列，但不足在于，指令序列必须经过大量人工分析后才能得到，有时候在恶意代码有意隐藏的情况下，如将API调用中使用的API名称进行散列变换，甚至得不到期望的相同指令序列，则无法对恶意代码进行有效的检测。

发明内容

本发明提出了一种基于API名称和立即数的启发式样本检测方法及系统，通过对API名称进行散列计算与待检测样本的立即数匹配，能够快速发现存在隐藏自身API调用的恶意代码样本。

一种基于API名称和立即数的启发式样本检测方法，包括：

获取系统文件的全部导出函数名称，并计算各导出函数名称的散列值；

将所有导出函数名称的散列值形成散列匹配库；

遍历待检测样本的全部指令中所包含的立即数；

将所述立即数与散列匹配库中的散列值匹配，并计算匹配成功的立即数个数；

判断所述匹配成功的立即数个数是否超过阈值，如果是，则所述待检测样本为恶意文件，否则所述待检测样本为普通文件。

一种基于API名称和立即数的启发式样本检测系统，包括：

散列计算模块，用于获取系统文件的全部导出函数名称，并计算各导出函数名称的散列值；

散列匹配库模块，用于将所有导出函数名称的散列值形成散列匹配库；

遍历模块，用于遍历待检测样本的全部指令中所包含的立即数；

匹配模块，用于将所述立即数与散列匹配库中的散列值匹配，并计算匹配成功的立即数个数；

判断模块，用于判断所述匹配成功的立即数个数是否超过阈值，如果是，则所述待检测样本为恶意文件，否则所述待检测样本为普通文件。

本发明的优势在于，利用一些恶意代码为了隐藏自身躲避检测，会将API的名称进行散列计算，并在指令中使用该数值作为指令的立即数来进行API的隐式调用的行为，通过将系统API名称计算散列值，并与待检测样本的立即数匹配进行检测，能够快速准确发现存在隐藏自身API调用的恶意代码样本。

本发明提出一种基于API名称和立即数的启发式样本检测方法及系统，包括：获取系统文件的全部导出函数名称，并计算各导出函数名称的散列值；将所有导出函数名称的散列值形成散列匹配库；遍历待检测样本的全部指令中所包含的立即数；将所述立即数与散列匹配库中的散列值匹配，并计算匹配成功的立即数个数；判断所述匹配成功的立即数个数是否超过阈值，如果是，则所述待检测样本为恶意文件，否则所述待检测样本为普通文件。本发明通过对API名称进行散列计算与待检测样本的立即数匹配，能够快速发现存在隐藏自身API调用的恶意代码样本。

附图说明

为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为一种基于API名称和立即数的启发式样本检测方法流程图；

图2为一种基于API名称和立即数的启发式样本检测系统结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术方案作进一步详细的说明。

本发明提出了一种基于API名称和立即数的启发式样本检测方法及系统，通过对API名称进行散列计算与待检测样本的立即数匹配，能够快速发现存在隐藏自身API调用的恶意代码样本。

一种基于API名称和立即数的启发式样本检测方法，如图1所示，包括：

S101：获取系统文件的全部导出函数名称，并计算各导出函数名称的散列值；

S102：将所有导出函数名称的散列值形成散列匹配库；

S103：遍历待检测样本的全部指令中所包含的立即数；

S104：将所述立即数与散列匹配库中的散列值匹配，并计算匹配成功的立即数个数；

S105：判断所述匹配成功的立即数个数是否超过阈值，如果是，则所述待检测样本为恶意文件，否则所述待检测样本为普通文件。

一种基于API名称和立即数的启发式样本检测系统，如图2所示，包括：

散列计算模块201，用于获取系统文件的全部导出函数名称，并计算各导出函数名称的散列值；

散列匹配库模块202，用于将所有导出函数名称的散列值形成散列匹配库；

遍历模块203，用于遍历待检测样本的全部指令中所包含的立即数；

匹配模块204，用于将所述立即数与散列匹配库中的散列值匹配，并计算匹配成功的立即数个数；

判断模块205，用于判断所述匹配成功的立即数个数是否超过阈值，如果是，则所述待检测样本为恶意文件，否则所述待检测样本为普通文件。

本发明的优势在于，利用一些恶意代码为了隐藏自身躲避检测，会将API的名称进行散列计算，并在指令中使用该数值作为指令的立即数来进行API的隐式调用的行为，通过将系统API名称计算散列值，并与待检测样本的立即数匹配进行检测，能够快速准确发现存在隐藏自身API调用的恶意代码样本。

本发明提出一种基于API名称和立即数的启发式样本检测方法及系统，包括：获取系统文件的全部导出函数名称，并计算各导出函数名称的散列值；将所有导出函数名称的散列值形成散列匹配库；遍历待检测样本的全部指令中所包含的立即数；将所述立即数与散列匹配库中的散列值匹配，并计算匹配成功的立即数个数；判断所述匹配成功的立即数个数是否超过阈值，如果是，则所述待检测样本为恶意文件，否则所述待检测样本为普通文件。本发明通过对API名称进行散列计算与待检测样本的立即数匹配，能够快速发现存在隐藏自身API调用的恶意代码样本。

虽然通过实施例描绘了本发明，本领域普通技术人员知道，本发明有许多变形和变化而不脱离本发明的精神，希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。