[發(fā)明專利]基于模型的惡意文件檢測方法及裝置有效
| 申請?zhí)枺?/td> | 202010151740.0 | 申請日: | 2020-03-06 |
| 公開(公告)號: | CN111460446B | 公開(公告)日: | 2023-04-11 |
| 發(fā)明(設(shè)計(jì))人: | 白皓文;白敏;劉爽;白子潘;汪列軍;潘博文;衛(wèi)福龍 | 申請(專利權(quán))人: | 奇安信科技集團(tuán)股份有限公司;奇安信網(wǎng)神信息技術(shù)(北京)股份有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56 |
| 代理公司: | 北京路浩知識產(chǎn)權(quán)代理有限公司 11002 | 代理人: | 王宇楊 |
| 地址: | 100088 北京市西城區(qū)*** | 國省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 基于 模型 惡意 文件 檢測 方法 裝置 | ||
本發(fā)明實(shí)施例提供一種基于模型的惡意文件檢測方法及裝置;方法包括:獲取待檢測文件;分析所述待檢測文件,得到所述待檢測文件的特征信息;將所述待檢測文件的特征信息輸入預(yù)先構(gòu)建的惡意家族檢測模型,獲取待檢測文件是否屬于某一惡意家族以及相應(yīng)置信度的第一檢測結(jié)果。本發(fā)明實(shí)施例提供的基于模型的惡意文件檢測方法及裝置通過對多種類型的待檢測文件進(jìn)行分析,從待檢測文件中提取了多種維度、類型豐富的特征信息,將這些特征信息輸入惡意家族檢測模型,實(shí)現(xiàn)了對待檢測文件是否屬于某一類型的惡意家族的檢測。
技術(shù)領(lǐng)域
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,尤其涉及一種基于模型的惡意文件檢測方法及裝置。
背景技術(shù)
隨著電腦、移動智能終端等智能設(shè)備的大規(guī)模普及,一些組織或個人在電子文件中添加特定目的的惡意代碼,以竊取用戶的信息、資金,或達(dá)到其他不可告人的目的。這些攜帶有惡意代碼的電子文件也被稱為惡意文件。近年來,惡意文件的數(shù)量呈現(xiàn)爆發(fā)性增長,對惡意文件的及時檢測已經(jīng)成為網(wǎng)絡(luò)安全分析人員以及運(yùn)營人員面臨的首要問題。
現(xiàn)有技術(shù)中的惡意文件檢測方法主要通過對待檢測的樣本文件的靜態(tài)信息進(jìn)行分析,根據(jù)分析結(jié)果來判斷樣本文件是否為惡意文件。此類惡意文件檢測方法由于在檢測時所基于的信息具有局限性,因此惡意文件的檢測結(jié)果準(zhǔn)確度不高且檢測效率也較低。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種基于模型的惡意文件檢測方法及裝置,用以解決現(xiàn)有技術(shù)中的惡意文件檢測方法檢測結(jié)果準(zhǔn)確度不高且檢測效率較低的缺陷。
本發(fā)明第一方面實(shí)施例提供一種基于模型的惡意文件檢測方法,包括:
獲取待檢測文件;
分析所述待檢測文件,得到所述待檢測文件的特征信息;其中,所述特征信息包括待檢測文件所包含的各個層級中每一層級的子文件的動態(tài)行為信息與靜態(tài)文件信息,以及待檢測文件所包含所有層級中各子文件的層級關(guān)系;所述動態(tài)行為信息是子文件在被執(zhí)行過程中產(chǎn)生的信息,所述靜態(tài)文件信息是采用靜態(tài)分析方式對處于未執(zhí)行狀態(tài)的子文件進(jìn)行分析后得到的信息;
將所述待檢測文件的特征信息輸入預(yù)先構(gòu)建的惡意家族檢測模型,獲取待檢測文件是否屬于某一惡意家族以及相應(yīng)置信度的第一檢測結(jié)果;其中,
所述惡意家族檢測模型是將已知惡意文件的特征信息以及已知惡意文件的標(biāo)簽信息作為樣本數(shù)據(jù),采用機(jī)器學(xué)習(xí)方式訓(xùn)練得到的用于獲取待檢測文件是否屬于某一惡意家族以及相應(yīng)置信度的檢測結(jié)果的模型;其中,
所述已知惡意文件的特征信息包括已知惡意文件所包含的各個層級中每一層級的子文件的動態(tài)行為信息與靜態(tài)文件信息,以及已知惡意文件所包含所有層級中各子文件的層級關(guān)系;所述動態(tài)行為信息是子文件在被執(zhí)行過程中產(chǎn)生的信息,所述靜態(tài)文件信息是采用靜態(tài)分析方式對處于未執(zhí)行狀態(tài)的子文件進(jìn)行分析后得到的信息;已知惡意文件的標(biāo)簽信息包括已知惡意文件所屬的惡意家族的信息。
上述技術(shù)方案中,還包括:
將所述待檢測文件的特征信息輸入預(yù)先構(gòu)建的攻擊團(tuán)伙檢測模型,獲取待檢測文件是否來源于某一攻擊團(tuán)伙以及相應(yīng)置信度的第二檢測結(jié)果;其中,所述攻擊團(tuán)伙檢測模型是將已知惡意文件的特征信息以及已知惡意文件的標(biāo)簽信息作為樣本數(shù)據(jù),采用機(jī)器學(xué)習(xí)方式訓(xùn)練得到的用于獲取待檢測文件是否來源于某一攻擊團(tuán)伙以及相應(yīng)置信度的檢測結(jié)果的模型;其中,
所述已知惡意文件的特征信息包括已知惡意文件所包含的各個層級中每一層級的子文件的動態(tài)行為信息與靜態(tài)文件信息,以及已知惡意文件所包含所有層級中各子文件的層級關(guān)系;所述動態(tài)行為信息是子文件在被執(zhí)行過程中產(chǎn)生的信息,所述靜態(tài)文件信息是采用靜態(tài)分析方式對處于未執(zhí)行狀態(tài)的子文件進(jìn)行分析后得到的信息;已知惡意文件的標(biāo)簽信息包括已知惡意文件所源自的攻擊團(tuán)伙的信息。
上述技術(shù)方案中,還包括:
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于奇安信科技集團(tuán)股份有限公司;奇安信網(wǎng)神信息技術(shù)(北京)股份有限公司,未經(jīng)奇安信科技集團(tuán)股份有限公司;奇安信網(wǎng)神信息技術(shù)(北京)股份有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010151740.0/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 同類專利
- 專利分類
G06F 電數(shù)字?jǐn)?shù)據(jù)處理
G06F21-00 防止未授權(quán)行為的保護(hù)計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)的安全裝置
G06F21-02 .通過保護(hù)計(jì)算機(jī)的特定內(nèi)部部件
G06F21-04 .通過保護(hù)特定的外圍設(shè)備,如鍵盤或顯示器
G06F21-06 .通過感知越權(quán)操作或外圍侵?jǐn)_
G06F21-20 .通過限制訪問計(jì)算機(jī)系統(tǒng)或計(jì)算機(jī)網(wǎng)絡(luò)中的節(jié)點(diǎn)
G06F21-22 .通過限制訪問或處理程序或過程
- 惡意特征數(shù)據(jù)庫的建立方法、惡意對象檢測方法及其裝置
- 用于檢測惡意鏈接的方法及系統(tǒng)
- 惡意信息識別方法、惡意信息識別裝置及系統(tǒng)
- 主動式移動終端惡意軟件網(wǎng)絡(luò)流量數(shù)據(jù)集獲取方法及系統(tǒng)
- 一種大數(shù)據(jù)告警平臺系統(tǒng)及其方法
- 一種追溯惡意進(jìn)程的方法、裝置及存儲介質(zhì)
- 一種相似惡意軟件推薦方法、裝置、介質(zhì)和設(shè)備
- 軟件惡意行為檢測方法及系統(tǒng)
- 惡意樣本增強(qiáng)方法、惡意程序檢測方法及對應(yīng)裝置
- 惡意語音樣本的確定方法、裝置、計(jì)算機(jī)設(shè)備和存儲介質(zhì)
