[發(fā)明專利]基于多維模糊哈希匹配的惡意文件同源性分析方法及裝置有效
| 申請?zhí)枺?/td> | 201811272132.4 | 申請日: | 2018-10-29 |
| 公開(公告)號: | CN109460386B | 公開(公告)日: | 2021-01-22 |
| 發(fā)明(設(shè)計)人: | 呂杰;范淵 | 申請(專利權(quán))人: | 杭州安恒信息技術(shù)股份有限公司 |
| 主分類號: | G06F16/13 | 分類號: | G06F16/13 |
| 代理公司: | 北京超凡志成知識產(chǎn)權(quán)代理事務(wù)所(普通合伙) 11371 | 代理人: | 王文紅 |
| 地址: | 310000 浙江省*** | 國省代碼: | 浙江;33 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 基于 多維 模糊 匹配 惡意 文件 同源性 分析 方法 裝置 | ||
1.一種基于多維度模糊哈希匹配的惡意文件同源性分析方法,其特征在于,所述方法包括:
獲取匹配文件;
提取所述匹配文件的模糊哈希;其中,所述匹配文件的模糊哈希包括:所述匹配文件整體的模糊哈希,所述匹配文件中所有字符串組合的模糊哈希;若所述匹配文件為PE文件,則所述匹配文件的模糊哈希還包括:導(dǎo)入表信息的模糊哈希;
將所述匹配文件的模糊哈希轉(zhuǎn)化為哈希數(shù)組;
將所述匹配文件的哈希數(shù)組與預(yù)設(shè)匹配庫中索引進(jìn)行匹配查詢,確定所述匹配文件的同源性樣本分類;
其中,所述預(yù)設(shè)匹配庫建立方法包括:
獲取基礎(chǔ)樣本,并對所述基礎(chǔ)樣本進(jìn)行分類,確定所述基礎(chǔ)樣本的樣本分類;
提取所述基礎(chǔ)樣本的模糊哈希;
將所述基礎(chǔ)樣本的模糊哈希轉(zhuǎn)化為哈希數(shù)組;
利用所述基礎(chǔ)樣本的哈希數(shù)組建立索引,并將所述索引與所述基礎(chǔ)樣本存儲入數(shù)據(jù)庫,建立預(yù)設(shè)匹配庫;
其中,利用所述基礎(chǔ)樣本的哈希數(shù)組建立索引,并將所述索引與所述基礎(chǔ)樣本存儲入數(shù)據(jù)庫,建立預(yù)設(shè)匹配庫,包括:
設(shè)定數(shù)值n,獲取所述基礎(chǔ)樣本的分片值為n的情況下的模糊哈希值h(n)以及所述基礎(chǔ)樣本的分片值為n/2的情況下的模糊哈希值h(n/2);
對h(n)和h(n/2)進(jìn)行拆分形成哈希數(shù)組,根據(jù)所述哈希數(shù)組建立索引。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,對h(n)和h(n/2)進(jìn)行拆分形成哈希數(shù)組,根據(jù)所述哈希數(shù)組建立索引,包括:
對h(n)和h(n/2)進(jìn)行拆分,成為哈希數(shù)組(n,a1),(n,a2),(n,a3)...(n/2,b1),(n/2,b2)...,其中,a1,a2,a3…為h(n)拆分之后的數(shù)值,b1,b2,b3…為h(n/2)拆分之后的數(shù)值。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,將所述匹配文件的哈希數(shù)組與預(yù)設(shè)匹配庫中索引進(jìn)行匹配查詢,確定所述匹配文件的同源性樣本分類,包括:
將所述匹配文件的哈希數(shù)組與預(yù)設(shè)匹配庫中索引進(jìn)行匹配查詢,得到所述預(yù)設(shè)匹配庫中與所述匹配文件的哈希數(shù)組的數(shù)值相似度最高的匹配模糊哈希值;
根據(jù)所述匹配模糊哈希值,確定所述匹配文件的同源性樣本分類。
4.一種基于多維度模糊哈希匹配的惡意文件同源性分析裝置,其特征在于,所述裝置包括:
獲取模塊,用于獲取匹配文件;
提取模塊,用于提取所述匹配文件的模糊哈希;其中,所述匹配文件的模糊哈希包括:所述匹配文件整體的模糊哈希,所述匹配文件中所有字符串組合的模糊哈希;若所述匹配文件為PE文件,則所述匹配文件的模糊哈希還包括:導(dǎo)入表信息的模糊哈希;
轉(zhuǎn)化模塊,用于將所述匹配文件的模糊哈希轉(zhuǎn)化為哈希數(shù)組;
索引模塊,用于將所述匹配文件的哈希數(shù)組與預(yù)設(shè)匹配庫中索引進(jìn)行匹配查詢,確定所述匹配文件的同源性樣本分類;
其中,所述裝置還包括建立模塊,
所述建立模塊用于:
獲取基礎(chǔ)樣本,并對所述基礎(chǔ)樣本進(jìn)行分類,確定所述基礎(chǔ)樣本的樣本分類;
提取所述基礎(chǔ)樣本的模糊哈希;
將所述基礎(chǔ)樣本的模糊哈希轉(zhuǎn)化為哈希數(shù)組;
利用所述基礎(chǔ)樣本的哈希數(shù)組建立索引,并將所述索引與所述基礎(chǔ)樣本存儲入數(shù)據(jù)庫,建立預(yù)設(shè)匹配庫;
其中,所述建立模塊還用于:
設(shè)定數(shù)值n,獲取所述基礎(chǔ)樣本的分片值為n的情況下的模糊哈希值h(n)以及所述基礎(chǔ)樣本的分片值為n/2的情況下的模糊哈希值h(n/2);
對h(n)和h(n/2)進(jìn)行拆分形成哈希數(shù)組,根據(jù)所述哈希數(shù)組建立索引。
5.根據(jù)權(quán)利要求4所述的裝置,其特征在于,所述建立模塊還用于:
對h(n)和h(n/2)進(jìn)行拆分,成為哈希數(shù)組(n,a1),(n,a2),(n,a3)...(n/2,b1),(n/2,b2)...,其中,a1,a2,a3…為h(n)拆分之后的數(shù)值,b1,b2,b3…為h(n/2)拆分之后的數(shù)值。
6.一種計算機存儲介質(zhì),其特征在于,用于儲存為權(quán)利要求4至5任意一項所述的裝置所用的計算機軟件指令。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于杭州安恒信息技術(shù)股份有限公司,未經(jīng)杭州安恒信息技術(shù)股份有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201811272132.4/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
