(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111626261.0 (22)申请日 2021.12.28 (71)申请人 深信服科技股份有限公司 地址 518000 广东省深圳市南 山区学苑大 道1001号南山智园A1栋一层 (72)发明人 张钊　林耿杰　任卫军　 (74)专利代理 机构 深圳市智圈知识产权代理事 务所(普通 合伙) 44351 专利代理师 朱黎 (51)Int.Cl. G06F 21/56(2013.01) G06F 21/55(2013.01) G06F 21/53(2013.01) G06K 9/62(2022.01) (54)发明名称 检测恶意软件的方法、 装置、 电子设备及存 储介质 (57)摘要 本申请提供了一种检测恶意软件的方法、 装 置、 电子设备及存储介质， 包括： 获取目标软件的 代码文件； 根据代码文件的文件模糊哈希与已知 恶意代码文件的文件模糊哈希， 计算代码文件与 已知恶意代码文件之间的第一相似度； 根据代码 文件中各函数的模糊哈希与已知恶意代码文件 中各函数的模糊哈希确定代码文件与已知恶意 代码文件之间的第二相似度； 根据第一相似度和 第二相似度确定代码文件与已知恶意代码文件 之间的综合相似度； 将代码文件的动态行为特征 与已知恶意动态行为特征进行匹配， 得到代码文 件的动态行为特征匹配结果； 根据综合相似度和 代码文件的动态行为特征匹配结果， 确定目标软 件的恶意软件检测结果。 本申请可提高恶意软件 的检测准确度。 权利要求书2页 说明书14页 附图7页 CN 114510713 A 2022.05.17 CN 114510713 A 1.一种检测恶意软件的方法， 其特 征在于， 所述方法包括： 获取目标 软件的代码文件； 根据所述代码文件的文件模糊哈希与已知恶意代码文件的文件模糊哈希， 计算所述代 码文件与所述已知恶意代码文件之间的第一相似度； 根据所述代码文件中各函数的模糊哈希与所述已知恶意代码文件中各函数的模糊哈 希， 确定所述代码文件与所述已知恶意代码文件之间的第二相似度； 根据所述第 一相似度和所述第 二相似度， 确定所述代码文件与 所述已知恶意代码文件 之间的综合相似度； 将所述代码文件的动态行为特征与已知恶意动态行为特征进行匹配， 得到所述代码文 件的动态行为特征匹配结果； 所述代码文件的动态行为特征是在沙箱中运行所述代码文件 中的代码的过程中采集到的； 根据所述代码文件与 所述已知恶意代码文件之间的综合相似度， 和所述代码文件的动 态行为特 征匹配结果， 确定目标 软件的恶意软件检测结果。 2.根据权利要求1所述的方法， 其特征在于， 所述根据所述代码文件中各函数的模糊哈 希与所述已知恶意代码文件中各函数的模糊哈希， 确定所述代码文件与所述已知 恶意代码 文件之间的第二相似度， 包括： 根据所述代码文件中各函数的模糊哈希与所述已知恶意代码文件中各函数的模糊哈 希， 计算所述代码文件中各函数与所述已知恶意代码文件中各函数之间的函数相似度； 根据所述代码文件中各函数与所述已知恶意代码文件中各函数之间的函数相似度， 确 定所述代码文件中函数相似度超过函数相似度阈值的目标函数； 根据所述目标函数的数量、 所述代码文件中函数的数量和所述已知恶意代码文件中函 数的数量， 确定所述代码文件与所述已知恶意代码文件之间的第二相似度。 3.根据权利要求1或2所述的方法， 其特征在于， 所述根据所述代码文件中各函数的模 糊哈希与所述已知恶意代码文件中各函数的模糊哈希， 确定所述代码文件与所述已知恶意 代码文件之间的第二相似度之前， 所述方法还 包括： 对所述代码文件进行反汇编处 理， 得到反汇编代码； 将所述反汇编代码中各函数中的操作数移除； 计算移除操作 数后所述反汇编代码中各函数的模糊哈希， 得到所述代码文件中各函数 的模糊哈希。 4.根据权利要求1所述的方法， 其特征在于， 所述根据所述代码文件的文件模糊哈希与 已知恶意代码文件的文件模糊哈希， 计算所述代码文件与所述已知 恶意代码文件之 间的第 一相似度之前， 所述方法还 包括： 确定所述代码文件的文件类型； 若所述代码文件的文件类型为文档类型， 则移除所述代码文件中的宏代码。 5.根据权利要求4所述的方法， 其特征在于， 所述确定所述待检测文件的类型之后， 所 述方法还 包括： 若所述代码文件的文件类型为脚本语言类型， 则判断所述代码文件中是否存在被混淆 的代码； 若所述代码文件中存在被混淆的代码， 则对所述代码文件中被混淆的代码进行解混权　利　要　求　书 1/2 页 2 CN 114510713 A 2淆。 6.根据权利要求1所述的方法， 其特征在于， 所述根据所述代码文件的文件模糊哈希与 已知恶意代码文件的文件模糊哈希， 计算所述代码文件与所述已知 恶意代码文件之 间的第 一相似度之前， 所述方法还 包括： 检测所述代码文件是否加壳； 若确定所述代码文件加壳， 则对所述代码文件进行脱壳处 理。 7.根据权利要求1所述的方法， 其特征在于， 所述根据所述代码文件与 所述已知恶意代 码文件之间的综合相似度， 和所述代码文件的动态行为特征匹配结果， 确定目标软件的恶 意软件检测结果， 包括： 综合所述代码文件与 所述已知恶意代码文件之间的综合相似度、 所述代码文件的动态 行为特征匹配结果和静态特 征匹配结果， 确定所述目标 软件的恶意软件检测结果。 8.一种检测恶意软件的装置， 其特 征在于， 所述装置包括： 获取模块， 用于获取目标 软件的代码文件； 第一相似度计算模块， 用于根据所述代码文件的文件模糊哈希与已知恶意代码文件的 文件模糊哈希， 计算所述代码文件与所述已知恶意代码文件之间的第一相似度； 第二相似度计算模块， 用于根据所述代码文件中各函数的模糊哈希与 所述已知恶意代 码文件中各函数的模糊哈希， 确定所述代码文件与所述已知 恶意代码文件之间的第二相似 度； 综合相似度确定模块， 用于根据所述第一相似度和所述第二相似度， 确定所述代码文 件与所述已知恶意代码文件之间的综合相似度； 匹配模块， 用于将所述代码文件的动态行为特征与已知恶意动态行为特征进行匹配， 得到所述代码文件的动态行为特征匹配结果； 所述代码文件的动态行为特征是在沙箱中运 行所述代码文件中的代码的过程中采集到的； 检测结果确定模块， 用于根据 所述代码文件与 所述已知恶意代码文件之间的综合相似 度， 和所述代码文件的动态行为特 征匹配结果， 确定目标 软件的恶意软件检测结果。 9.一种电子设备， 其特 征在于， 所述电子设备包括： 一个或多个处 理器； 存储器， 与所述 一个或多个处 理器电连接； 一个或多个应用程序， 其中所述一个或多个应用程序被存储在所述存储器中并被配置 为由所述一个或多个处理器执行， 所述一个或多个应用程序配置用于执行如权利要求 1至6 任一项所述的方法。 10.一种计算机可读取存储介质， 其特征在于， 所述计算机可读取存储介质中存储有程 序代码， 所述 程序代码可被处 理器调用执 行如权利要求1至 6任一项所述的方法。 11.一种计算机程序产品， 包括计算机指令， 其特征在于， 所述计算机指令被处理器执 行时实现权利要求1 ‑9中任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 114510713 A 3