本發明公開了一種惡意文件的識別方法及裝置，涉及計算機安全技術領域，用于提高惡意文件的識別精度，本發明的主要技術方案為：獲取目標文件的動態特征向量及靜態特征向量；將所述目標文件的動態特征向量及靜態特征向量輸入到預置分類器中，計算所述目標文件的文件內容惡意概率；根據所述目標文件的文件內容惡意概率和所述目標文件的文件來源惡意概率識別所述目標文件是否為惡意文件，所述目標文件的文件來源惡意概率是根據目標文件的來源信息確定的。本發明主要用于識別惡意文件。

技術領域

本發明涉及計算機安全技術領域，尤其涉及一種惡意文件的識別方法及裝置。

背景技術

隨著計算機與互聯網技術的不斷發展，惡意文件也成爆發式增長，其攻擊手段與偽裝手段也不斷的朝著多樣化和復雜化的方式發展。加之計算機犯罪的地下產業鏈條不斷完善，產業化與規模化的程度日益提升，這使得對抗惡意文檔成為當今一個非常具有挑戰的課題。

目前，主要通過靜態監測技術或動態監測技術識別惡意代碼，靜態監測技術對目標文件的預處理之后進行簽名匹配，即匹配病毒庫；動態監測技術主要是根據目標文件的一些行為特征，例如修改特定注冊表、開放特定端口等信息進行識別。

但是，靜態監測技術對惡意文件的變種，新惡意文件缺乏檢測能力，動態監測技術對于不具備明顯行為特征和新的惡意軟件缺乏識別能力。而目前局限于單一的靜態監測技術或者動態監測技術，這使得惡意文件比較容易采用一些通用的逃逸技術隱藏自己，因此惡意文件的識別精度較低。

發明內容

有鑒于此，本發明提供一種惡意文件的識別方法及裝置，主要目的在于提高惡意文件的識別精度。

依據本發明一個方面，提供了一種惡意文件的識別方法，包括：

獲取目標文件的動態特征向量及靜態特征向量；

將所述目標文件的動態特征向量及靜態特征向量輸入到預置分類器中，計算所述目標文件的文件內容惡意概率；

根據所述目標文件的文件內容惡意概率和所述目標文件的文件來源惡意概率識別所述目標文件是否為惡意文件，所述目標文件的文件來源惡意概率是根據目標文件的來源信息確定的。

進一步地，所述根據所述目標文件的文件內容惡意概率和所述目標文件的文件來源惡意概率確定所述目標文件是否為惡意文件之前，所述方法還包括：

獲取所述目標文件的來源信息；

通過匹配所述目標文件的來源信息與預置惡意來源庫中的惡意來源數據，確定所述目標文件的文件來源惡意概率。

具體的，所述獲取目標文件的動態特征包括：

將所述目標文件放入網絡沙箱系統中執行，得到所述目標文件的行為日志；所述網絡沙箱系統由一組虛擬機構成的一個虛擬交換網絡構成；

從所述行為日志中獲取所述目標文件的動態特征向量。

進一步地，所述方法還包括：

通過惡意文本樣本和添加的噪音訓練所述預置分類器。

具體的，所述通過惡意文本和添加的噪音訓練所述預置分類器包括：

將所述惡意文件樣本和根據預置噪音知識庫添加的第一噪音放入網絡沙箱系統中執行，得到所述惡意文件樣本的行為日志；

通過所述惡意文件樣本的行為日志和根據預置噪音知識庫添加的第二噪音獲取所述惡意文件樣本的動態特征向量；

通過所述惡意文件樣本和根據預置噪音知識庫添加的第三噪音獲取所述惡意文件樣本的靜態特征向量；

根據所述惡意文件樣本的靜態特征向量及動態特征向量獲取所述惡意文件樣本的噪音特征向量；