一種安裝包的檢測方法和設(shè)備的制作方法【專利摘要】本發(fā)明實施例公開了安裝包的檢測方法和設(shè)備,應(yīng)用于信息處理【
技術(shù)領(lǐng)域:
】���。本發(fā)明實施例中����,在對待檢測文件進(jìn)行檢測時��,可以通過對待檢測文件中的多個信息塊進(jìn)行特征提取���,然后將多個信息塊的特征或?qū)⒔?jīng)過至少一次處理后的多個信息塊的特征在分類器模型中進(jìn)行識別運(yùn)算�����,得到待檢測文件是否是安裝包的結(jié)果��,在分類器模型中包括安裝包的特征和/或非安裝包的特征���。這樣采用分類器模型對待檢測文件的多個信息塊的特征進(jìn)行識別運(yùn)算�,而分類器模型可以通過計算機(jī)對訓(xùn)練樣本訓(xùn)練得到�����,而不用人為根據(jù)經(jīng)驗來得到����,如果有新的安裝包出現(xiàn),計算機(jī)也能用預(yù)置的策略對新的安裝包進(jìn)行樣本訓(xùn)練����,從而使得可以方便地覆蓋較大范圍的安裝包的檢測��?���!緦@f明】一種安裝包的檢測方法和設(shè)備【
技術(shù)領(lǐng)域:
】[0001]本發(fā)明涉及信息處理【
技術(shù)領(lǐng)域:
】�����,特別涉及安裝包的檢測方法和設(shè)備�?�!?br>背景技術(shù):
】[0002]隨著互聯(lián)網(wǎng)的發(fā)展����,信息爆炸式地增長,其中��,計算機(jī)病毒�����、蠕蟲�、木馬程序等計算機(jī)惡意程序的信息每日都危害用戶設(shè)備的安全,而大部分惡意程序的文件都是可移植可執(zhí)行(PortableExecutable,PE)格式的文件,在惡意程序的文件中有很大一部分是安裝包�����,這類信息會將其中包含的所有文件釋放到計算機(jī)的硬盤上����,會給計算機(jī)造成危害��,因此需要檢測惡意該安裝包并進(jìn)行一定防護(hù)處理�。[0003]目前在進(jìn)行安裝包檢測時��,主要是通過文件格式來檢測����,而這些格式主要是人為根據(jù)經(jīng)驗分析得到并添加到計算機(jī)中的,這樣對于惡意程序的覆蓋面較小����,尤其是對于用戶自行編寫的安裝包,檢測較為困難��?���!?br/>發(fā)明內(nèi)容】[0004]本發(fā)明實施例提供安裝包的檢測方法和設(shè)備,能方便地覆蓋較大范圍的安裝包的檢測���。[0005]本發(fā)明實施例提供一種安裝包的檢測方法����,包括:[0006]分別對待檢測文件中的多個信息塊進(jìn)行特征提?���。籟0007]將提取的所述多個信息塊的特征或?qū)⒔?jīng)過至少一次處理后的所述多個信息塊的特征在分類器模型中進(jìn)行識別運(yùn)算��,得到所述待檢測文件是否是安裝包的結(jié)果�;所述分類器模型中包括安裝包的特征和/或非安裝包的特征。[0008]本發(fā)明實施例提供一種安裝包的檢測設(shè)備��,包括:[0009]特征提取單元���,用于分別對待檢測文件中的多個信息塊進(jìn)行特征提?���?���;[0010]識別運(yùn)算單元,用于將提取的所述多個信息塊的特征或?qū)⒔?jīng)過至少一次處理后的所述多個信息塊的特征在分類器模型中進(jìn)行識別運(yùn)算�,得到所述待檢測文件是否是安裝包的結(jié)果;所述分類器模塊中包括安裝包的特征和/或非安裝包的特征�。[0011]本發(fā)明實施例中,在對待檢測文件進(jìn)行檢測時��,可以通過對待檢測文件中的多個信息塊進(jìn)行特征提取,然后將多個信息塊的特征或?qū)⒔?jīng)過至少一次處理后的多個信息塊的特征在分類器模型中進(jìn)行識別運(yùn)算���,得到待檢測文件是否是安裝包的結(jié)果�����,在分類器模型中包括安裝包的特征和/或非安裝包的特征����。這樣采用分類器模型對待檢測文件的多個信息塊的特征進(jìn)行識別運(yùn)算�����,而分類器模型可以通過計算機(jī)對訓(xùn)練樣本訓(xùn)練得到��,而不用人為根據(jù)經(jīng)驗來得到�����,如果有新的安裝包出現(xiàn)�,計算機(jī)也能用預(yù)置的策略對新的安裝包進(jìn)行樣本訓(xùn)練,從而使得可以方便地覆蓋較大范圍的安裝包的檢測�����。【專利附圖】【附圖說明】[0012]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案�����,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹����,顯而易見地����,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講����,在不付出創(chuàng)造性勞動性的前提下,還可以根據(jù)這些附圖獲得其他的附圖���。[0013]圖1是本發(fā)明實施例提供的一種安裝包檢測方法的流程圖����;[0014]圖2是本發(fā)明實施例中PE文件中的.text節(jié)的示意圖�;[0015]圖3是本發(fā)明實施例提供的另一種安裝包檢測方法的流程圖;[0016]圖4是本發(fā)明的應(yīng)用實施例中提供的另一種安裝包檢測方法的流程圖��;[0017]圖5是本發(fā)明實施例提供的一種安裝包的檢測設(shè)備的結(jié)構(gòu)示意圖;[0018]圖6是本發(fā)明實施例提供的另一種安裝包的檢測設(shè)備的結(jié)構(gòu)示意圖�����?����!揪唧w實施方式】[0019]下面將結(jié)合本發(fā)明實施例中的附圖����,對本發(fā)明實施例中的技術(shù)方案進(jìn)行清楚、完整地描述����,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例�,而不是全部的實施例?���;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例����,都屬于本發(fā)明保護(hù)的范圍����。[0020]本發(fā)明實施例提供一種安裝包的檢測方法�����,主要是計算機(jī)對對惡意程序中的安裝包進(jìn)行檢測的方法��,流程圖如圖1所示�,包括:[0021]步驟101��,分別對待檢測文件中的多個信息塊進(jìn)行特征提取��。[0022]可以理解�����,每個文件都可以劃分為不同的信息塊����,對于PE文件來說,該P(yáng)E文件可以用于不同的操作系統(tǒng)和體系結(jié)構(gòu)中����,且可以封裝操作系統(tǒng)加載可執(zhí)行程序代碼時所必需的信息�,包括動態(tài)鏈接庫����、導(dǎo)入和導(dǎo)出表、資源管理數(shù)據(jù)和線程局部存儲數(shù)據(jù)等����,而大部分惡意程序都是PE文件。PE文件可以分為不同的信息塊,稱為節(jié)(sections),比如.text節(jié)�,.data節(jié),.rsrc節(jié)����,.reloc節(jié)等,每節(jié)中包含具有共同屬性的數(shù)據(jù),具體可以是數(shù)據(jù)0(00)到數(shù)據(jù)255(FF)之間的數(shù)據(jù)��。[0023]計算機(jī)可以對待檢測文件中的全部或部分信息塊進(jìn)行特征提取�,且在進(jìn)行特征提取時,具體可以提取信息塊的數(shù)據(jù)分布信息���,該數(shù)據(jù)分布區(qū)信息可以指示各個數(shù)據(jù)在該信息塊中分布的情況����,具體可以包括部分或全部數(shù)據(jù)的頻率和/或個數(shù),比如數(shù)據(jù)IC出現(xiàn)的頻率和個數(shù)等���。例如圖2所示的部分.text節(jié)的數(shù)據(jù)中�,數(shù)據(jù)77出現(xiàn)的頻率較大��。[0024]步驟102�,將步驟101中提取的多個信息塊的特征或?qū)⒔?jīng)過至少一次處理后的多個信息塊的特征在分類器模型中進(jìn)行識別運(yùn)算,得到待檢測文件是否是安裝包(Installpack)的結(jié)果�。[0025]其中安裝包是可自行解壓縮的可執(zhí)行文件,運(yùn)行安裝包可以使其中包含的文件釋放到計算機(jī)硬盤上�����,安裝包的格式較多�����。分類器模型中包括安裝包的特征和/或非安裝包的特征���,具體可以為支持向量機(jī)(SupportVectorMachine,SVM)分類器模型,神經(jīng)網(wǎng)絡(luò)(ArtificialNeuralNetwork,ANN)分類器模型���,邏輯回歸算法(logisticRegression,LR)分類器模型和隱馬爾可夫模型(HiddenMarkovModel,HMM)等各種識別運(yùn)算的模型����。[0026]需要說明的是,上述分類器模型可以是計算機(jī)在執(zhí)行步驟101之前對訓(xùn)練樣本中的非安裝包和/或安裝包進(jìn)行訓(xùn)練得到的分類器模型�����,分類器模型的訓(xùn)練是通過對已經(jīng)樣本的特征約束�,轉(zhuǎn)化為分類器目標(biāo)函數(shù)的系數(shù),對于SVM分類器模型來說����,目標(biāo)函數(shù)是一個線性函數(shù),訓(xùn)練過程是一個解方程組的過程����,具體地,可以先提取非安裝包和/或安裝包的特征����,然后將提取的特征通過任一種分類器訓(xùn)練方法得到,比如通過SVM分類器的訓(xùn)練方法�,得到的是SVM分類器模型等。且由于安裝包和非安裝包的訓(xùn)練樣本是不斷增加的����,因此需要計算機(jī)需要根據(jù)增加的訓(xùn)練樣本對分類器模型進(jìn)行不斷更新���。[0027]可見,本發(fā)明實施例中����,在對待檢測文件進(jìn)行檢測時,可以通過對待檢測文件中的多個信息塊進(jìn)行特征提取�,然后將多個信息塊的特征或?qū)⒔?jīng)過至少一次處理后的多個信息塊的特征在分類器模型中進(jìn)行識別運(yùn)算,得到待檢測文件是否是安裝包的結(jié)果����,在分類器模型中包括安裝包的特征和/或非安裝包的特征。這樣采用分類器模型對待檢測文件的多個信息塊的特征進(jìn)行識別運(yùn)算��,而分類器模型可以通過計算機(jī)對訓(xùn)練樣本訓(xùn)練得到�����,而不用人為根據(jù)經(jīng)驗來得到���,如果有新的安裝包出現(xiàn),計算機(jī)也能用預(yù)置的策略對新的安裝包進(jìn)行樣本訓(xùn)練�,從而使得可以方便地覆蓋較大范圍的安裝包的檢測。[0028]需要說明的是����,計算機(jī)在執(zhí)行完上述步驟101后���,即可將多個信息塊的特征在分類器模型中進(jìn)行識別運(yùn)算。參考圖3所示�����,在一個具體的實施例中��,為了降低安裝包檢測過程中的運(yùn)算量��,計算機(jī)在執(zhí)行完上述步驟101后還可以在執(zhí)行步驟103���,并執(zhí)行步驟102�,且在執(zhí)行步驟102時�,是將歸一化處理后的各個信息塊的特征在分類器模型中進(jìn)行識別運(yùn)算;或計算機(jī)在執(zhí)行完上述步驟101后執(zhí)行步驟103和104�,然后再執(zhí)行步驟102,且在執(zhí)行步驟102時�����,是將調(diào)整范圍后的各個信息塊的特征在分類器模型中進(jìn)行識別運(yùn)算����。具體地:[0029]步驟103�,將步驟101中提取的多個信息塊中各個信息塊的特征進(jìn)行歸一化處理���,這樣可以將各個信息塊的特征都統(tǒng)一成比較方便運(yùn)算的數(shù)據(jù)��。[0030]步驟104��,分別調(diào)整歸一化處理后的各個信息塊的特征的范圍���,具體地,計算可以通過核空間映射或加權(quán)等方法進(jìn)行調(diào)整����,從而根據(jù)實際情況縮放各個信息塊的特征之間的差異,比如兩個信息塊的特征之間的差別為100����,則通過本步驟的范圍調(diào)整,使得這兩個信息塊的特征之間的差別縮小為20�����,更進(jìn)一步地縮小了計算復(fù)雜度��。[0031]在通過核空間映射方法進(jìn)行調(diào)整時���,具體可以根據(jù)核空間的映射函數(shù)�����,將歸一化處理后的各個信息塊的特征分別映射到映射函數(shù)對應(yīng)的核空間���,且不同待處理文件中相同屬性的信息塊采用的映射函數(shù)相同,比如不同待處理的PE文件中.text節(jié)采用的映射函數(shù)相同����,而一個待處理文件中不同信息塊采用的映射函數(shù)可以相同,也可以不同�。[0032]通過加權(quán)方法進(jìn)行調(diào)整時,計算機(jī)可以分別對歸一化處理后的各個信息塊的特征進(jìn)行加權(quán)運(yùn)算�����,且不同信息塊對應(yīng)的加權(quán)值可以不同�,也可以相同。[0033]以下以一個具體的實施例來說明本發(fā)明實施例中安裝白方法���,本實施例中�,主要是計算機(jī)對十六進(jìn)制的PE文件進(jìn)行的聚類,流程圖如圖4所示�,具體包括:[0034]步驟201,判斷PE文件是否加殼(Packer)���,即是否是通過一系列的數(shù)學(xué)運(yùn)算使得編碼改變后的PE文件�,如果是���,執(zhí)行步驟202����,如果不是�,則執(zhí)行步驟203。[0035]步驟202�,對加殼后的PE文件進(jìn)行脫殼(Unpacker),即除掉PE文件的加殼保護(hù)���,與步驟201互為逆運(yùn)算,之后執(zhí)行步驟203�。[0036]步驟203�,分別提取PE文件中指定的m個節(jié)的數(shù)據(jù)分布信息,比如在每個節(jié)中0(00)到255(FF)之間的數(shù)據(jù)的分布頻率���,得到m個256維的特征向量記為Hi=Dvh1,...�,h255]����,i=1,...���,m����,其中h可以表示各個數(shù)據(jù)的分布頻率����。其中,如果有些PE文件中沒有該指定的m個節(jié)中的某些節(jié)�,這這些節(jié)對應(yīng)的特征向量為0,即Hi=[0,0,...,0]o[0037]步驟204��,對步驟203中得到的m個特征向量進(jìn)行歸一化處理���,得到歸一化后的m個特征向量��,記為hi=[h0,h1,....,h255]其中歸一化處理所使用的函數(shù)為【權(quán)利要求】1.一種安裝包的檢測方法�����,其特征在于���,包括:分別對待檢測文件中的多個信息塊進(jìn)行特征提?����?���;將提取的所述多個信息塊的特征或?qū)⒔?jīng)過至少一次處理后的所述多個信息塊的特征在分類器模型中進(jìn)行識別運(yùn)算���,得到所述待檢測文件是否是安裝包的結(jié)果�;所述分類器模型中包括安裝包的特征和/或非安裝包的特征�。2.如權(quán)利要求1所述的方法,其特征在于���,所述分別對待檢測文件中的多個信息塊進(jìn)行特征提取��,具體包括:分別提取所述多個信息塊的數(shù)據(jù)分布信息���,所述數(shù)據(jù)分布信息包括信息塊中部分或全部數(shù)據(jù)的頻率或個數(shù)���。3.如權(quán)利要求1或2所述的方法,其特征在于�,所述分別對待檢測文件中的多個信息塊進(jìn)行特征提取之后,還包括:將提取的所述多個信息塊中各個信息塊的特征進(jìn)行歸一化處理�;所述將經(jīng)過至少一次處理后的所述多個信息塊的特征在分類器模型中進(jìn)行識別運(yùn)算具體包括:將所述歸一化處理后的所述各個信息塊的特征在分類器模型中進(jìn)行識別運(yùn)算。4.如權(quán)利要求1或2所述的方法����,其特征在于���,所述分別對待檢測文件中的多個信息塊進(jìn)行特征提取之后�,還包括:將提取的所述多個信息塊中各個信息塊的特征進(jìn)行歸一化處理�;分別調(diào)整歸一化處理后的所述各個信息塊的特征的范圍;所述將經(jīng)過至少一次處理后的所述多個信息塊的特征在分類器模型中進(jìn)行識別運(yùn)算具體包括:將所述調(diào)整范圍后的所述各個信息塊的特征在分類器模型中進(jìn)行識別運(yùn)算�����。5.如權(quán)利要求4所述的方法����,其特征在于,所述分別調(diào)整歸一化處理后的所述各個信息塊的特征的范圍�,具體包括:根據(jù)核空間的映射函數(shù)���,將歸一化處理后的所述各個信息塊的特征分別映射到所述映射函數(shù)對應(yīng)的核空間,不同待檢測文件中相同屬性的信息塊采用的映射函數(shù)相同��;或�,分別對歸一化處理后的所述各個信息塊的特征進(jìn)行加權(quán)運(yùn)算。6.如權(quán)利要求1或2或5所述的方法�����,其特征在于�����,所述分別對待檢測文件中的多個信息塊進(jìn)行特征提取之前包括:對訓(xùn)練樣本中的非安裝包和/或安裝包進(jìn)行訓(xùn)練得到所述分類器模型�;所述分類器模型包括如下任一模型:支持向量機(jī)SVM分類器模型���,邏輯回歸算法分類器模型��,隱馬爾可夫模型HMM和神經(jīng)網(wǎng)絡(luò)ANN分類器模型�。7.一種安裝包的檢測設(shè)備,其特征在于�����,包括:特征提取單元,用于分別對待檢測文件中的多個信息塊進(jìn)行特征提?�?����;識別運(yùn)算單元�,用于將提取的所述多個信息塊的特征或?qū)⒔?jīng)過至少一次處理后的所述多個信息塊的特征在分類器模型中進(jìn)行識別運(yùn)算,得到所述待檢測文件是否是安裝包的結(jié)果�;所述分類器模塊中包括安裝包的特征和/或非安裝包的特征。8.如權(quán)利要求7所述的設(shè)備�,其特征在于����,所述特征提取單元,具體用于分別提取所述多個信息塊的數(shù)據(jù)分布信息�����,所述數(shù)據(jù)分布信息包括信息塊中部分或全部數(shù)據(jù)的頻率或個數(shù)���。9.如權(quán)利要求7或8所述的設(shè)備���,其特征在于�����,所述設(shè)備還包括:歸一化單元�,用于將提取的所述多個信息塊中各個信息塊的特征進(jìn)行歸一化處理����;所述識別運(yùn)算單元,具體用于將所述歸一化單元?dú)w一化處理后的所述各個信息塊的特征在分類器模型中進(jìn)行識別運(yùn)算�,得到所述待檢測文件是否是安裝包的結(jié)果。10.如權(quán)利要求9所述的設(shè)備����,其特征在于,還包括:范圍調(diào)整單元�,用于分別調(diào)整所述歸一化單元?dú)w一化處理后的所述各個信息塊的特征的范圍;所述識別運(yùn)算單元�����,具體用于將所述范圍調(diào)整單元調(diào)整范圍后的所述各個信息塊的特征在分類器模型中進(jìn)行識別運(yùn)算�����。11.如權(quán)利要求10所述的設(shè)備�����,其特征在于,所述范圍調(diào)整單元���,具體用于根據(jù)核空間的映射函數(shù)���,將歸一化處理后的所述各個信息塊的特征分別映射到所述映射函數(shù)對應(yīng)的核空間,不同待檢測文件中相同屬性的信息塊采用的映射函數(shù)相同��;和/或�����,所述范圍調(diào)整單元�,具體用于分別對歸一化處理后的所述各個信息塊的特征進(jìn)行加權(quán)運(yùn)算�。12.如權(quán)利要求7或8或11所述的設(shè)備,其特征在于�,還包括:訓(xùn)練單元,用于對訓(xùn)練樣本中的非安裝包和/或安裝包進(jìn)行訓(xùn)練得到所述分類器模型�����;所述分類器模型包括如下任一模型:支持向量機(jī)SVM分類器模型����,邏輯回歸算法分類器模型���,隱馬爾可夫模型HMM和神經(jīng)網(wǎng)絡(luò)ANN分類器模型?!疚臋n編號】G06F21/56GK104008333SQ201310055666【公開日】2014年8月27日申請日期:2013年2月21日優(yōu)先權(quán)日:2013年2月21日【發(fā)明者】楊宜,于濤,吳家旭,陶波申請人:騰訊科技(深圳)有限公司