[發(fā)明專利]病毒特征碼處理方法及裝置有效
| 申請?zhí)枺?/td> | 201710039943.9 | 申請日: | 2017-01-18 |
| 公開(公告)號: | CN108319853B | 公開(公告)日: | 2021-01-15 |
| 發(fā)明(設(shè)計)人: | 羅元海 | 申請(專利權(quán))人: | 騰訊科技(深圳)有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56 |
| 代理公司: | 北京派特恩知識產(chǎn)權(quán)代理有限公司 11270 | 代理人: | 張振偉;張穎玲 |
| 地址: | 518000 廣東省深圳*** | 國省代碼: | 廣東;44 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 病毒 特征 處理 方法 裝置 | ||
1.一種病毒特征碼處理方法,其特征在于,包括:
對攜帶有病毒的惡意樣本進行反匯編處理,對得到的反匯編代碼進行分割得到所述惡意樣本的多個代碼塊;
計算各所述惡意樣本中代碼塊的特征,基于所述惡意樣本中代碼塊的順序,構(gòu)建由所述惡意樣本中代碼塊的特征形成的特征序列;
比較各所述惡意樣本的特征序列,確定至少兩個所述惡意樣本的特征序列的最長公共子序列;
當(dāng)所述最長公共子序列滿足預(yù)設(shè)條件時,判定所述最長公共子序列對應(yīng)的代碼為病毒的代碼,將所述最長公共子序列中的特征合并得到所述病毒的特征碼;
其中,所述預(yù)設(shè)條件包括以下至少之一:具有所述最長公共子序列的惡意樣本的數(shù)量超出預(yù)定惡意樣本數(shù)量、所述最長公共子序列的長度超出預(yù)定序列長度。
2.如權(quán)利要求1所述的方法,其特征在于,所述對得到的反匯編代碼進行分割得到所述惡意樣本的多個代碼塊,包括:
遍歷所述惡意樣本的反匯編代碼,以函數(shù)為例粒度對所述反匯編代碼進行分割,得到所述惡意樣本的多個函數(shù)。
3.如權(quán)利要求2所述的方法,其特征在于,還包括:
對各所述函數(shù)以預(yù)定數(shù)量的代碼為粒度進行分割,得到所述惡意樣本的多個代碼片段;或者,對各所述函數(shù)以基本塊為粒度進行分割,得到所述惡意樣本的多個基本塊。
4.如權(quán)利要求1所述的方法,其特征在于,所述計算各所述惡意樣本中代碼塊的特征,包括:
確定由所述代碼塊包括的操作碼和操作數(shù)至少之一形成的序列,對所述序列計算哈希值形成所述代碼塊的特征。
5.如權(quán)利要求1所述的方法,其特征在于,所述確定至少兩個所述惡意樣本的特征序列的最長公共子序列,包括:
提取在至少兩個所述惡意樣本的特征序列中均出現(xiàn)、且出現(xiàn)方式為接續(xù)出現(xiàn)的全部特征,和/或,提取在至少兩個所述惡意樣本的特征序列中均出現(xiàn)、且出現(xiàn)方式為非接續(xù)出現(xiàn)的全部特征;基于所提取的特征構(gòu)建對應(yīng)所述至少兩個惡意樣本的最長公共子序列。
6.如權(quán)利要求1所述的方法,其特征在于,所述將所述最長公共子序列中的特征合并得到所述病毒的特征碼,包括:
將所述最長公共子序列中相鄰的特征通過通配符連接,得到所述病毒的特征碼。
7.如權(quán)利要求6所述的方法,其特征在于,所述將所述最長公共子序列中相鄰的特征通過通配符連接,包括:
判斷所述最長公共子序列中相鄰的特征在所來源的惡意樣本中的出現(xiàn)方式是否為接續(xù)出現(xiàn),如是,則將相鄰的特征直接連接;如否,則將所述相鄰的特征通過通配符連接。
8.如權(quán)利要求1至7任一項所述的方法,其特征在于,還包括:
基于待檢測樣本中代碼塊的特征構(gòu)建特征序列,將所述待檢測樣本的特征序列與所述病毒的特征碼比較,當(dāng)所述病毒的特征碼與所述待檢測樣本的特征序列匹配時,判定所述待檢測樣本中攜帶所述病毒。
9.一種病毒特征碼處理裝置,其特征在于,包括:
匯編分割單元,用于對攜帶有病毒的惡意樣本進行反匯編處理,對得到的反匯編代碼進行分割得到所述惡意樣本的多個代碼塊;
特征序列單元,用于計算各所述惡意樣本中代碼塊的特征,基于所述惡意樣本中代碼塊的順序,構(gòu)建由所述惡意樣本中代碼塊的特征形成的特征序列;
序列比較單元,用于比較各所述惡意樣本的特征序列,確定至少兩個所述惡意樣本的特征序列的最長公共子序列;
特征合并單元,用于根據(jù)所述最長公共子序列滿足預(yù)設(shè)條件,判定所述最長公共子序列對應(yīng)的代碼為病毒的代碼,將所述最長公共子序列中的特征合并得到所述病毒的特征碼;其中,所述預(yù)設(shè)條件包括以下至少之一:具有所述最長公共子序列的惡意樣本的數(shù)量超出預(yù)定惡意樣本數(shù)量、所述最長公共子序列的長度超出預(yù)定序列長度。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于騰訊科技(深圳)有限公司,未經(jīng)騰訊科技(深圳)有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201710039943.9/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
