本說明書一個或多個實施例提供一種惡意軟件家族檢測方法及裝置，包括：獲取待檢測軟件，對待檢測軟件進行特征提取處理，得到待檢測軟件的軟件特征，根據軟件特征，判別待檢測軟件的類別，輸出待檢測軟件的檢測結果。本實施例的惡意軟件家族檢測方法及裝置，能夠實現惡意軟件家族的準確檢測。

技術領域

本說明書一個或多個實施例涉及軟件技術領域，尤其涉及一種惡意軟件家族檢測方法及裝置。

背景技術

隨著智能終端等各類終端的普及應用，各類應用軟件的需求也大幅增加，惡意軟件的數量隨之增加，且攻擊手段也從單一攻擊手段向多功能多用途攻擊方式不斷升級進化，對終端用戶的重要信息造成了嚴重威脅。

利用人工檢測能夠準確識別惡意軟件，但是耗時耗力，效率低下；利用目前已有的惡意軟件檢測工具也能夠檢測惡意軟件，有些工具能夠對檢測出的惡意軟件添加標簽，并輸出添加標簽的惡意軟件家族名稱，然而，隨著攻擊手段的升級，惡意軟件呈現復雜性、隱蔽性等特點，現有的工具要么無法準確識別惡意軟件，要么無法準確識別惡意軟件家族的惡意行為。

發明內容

有鑒于此，本說明書一個或多個實施例的目的在于提出一種惡意軟件家族檢測方法及裝置，以解決惡意軟件家族的檢測準確性問題。

基于上述目的，本說明書一個或多個實施例提供了一種惡意軟件家族檢測方法，包括：

獲取待檢測軟件；

對所述待檢測軟件進行特征提取處理，得到所述待檢測軟件的軟件特征；

根據所述軟件特征，判別所述待檢測軟件的類別；

輸出所述待檢測軟件的檢測結果。

可選的，對所述待檢測軟件進行特征提取處理，得到所述待檢測軟件的軟件特征，包括：

對所述待檢測軟件進行動態分析、靜態分析、代碼相似性分析處理，得到所述待檢測軟件的代碼特征；

計算所述待檢測軟件的特征值，根據所述特征值，確定對應的特征標簽。

可選的，對所述待檢測軟件進行動態分析、靜態分析、代碼相似性分析處理，得到所述待檢測軟件的代碼特征，包括：

對所述待檢測軟件的安裝包文件進行動態分析，得到用于啟動惡意軟件的控制代碼段，用于激活惡意軟件的第三方庫，以及用于反應軟件實際功能的組件；

對所述待檢測軟件的安裝包文件進行靜態分析，得到所述待檢測軟件的元信息；

對所述待檢測軟件的安裝包文件與任意一個惡意軟件的安裝包文件進行代碼相似性分析處理，得到兩個安裝包文件的相似性配置文件。

可選的，計算所述待檢測軟件的特征值，根據所述特征值，確定對應的特征標簽，包括：

計算所述安裝包文件的特征值，根據計算得到的特征值，查詢可疑文件分析庫，獲得對應的特征標簽。

可選的，根據所述軟件特征，判別所述待檢測軟件的類別，包括：

將所述軟件特征輸入用于對軟件進行分類的軟件分類模型中；所述軟件分類模型根據所述軟件特征訓練得到；

所述軟件分類模型根據所述軟件特征進行分類預測，得到預測的軟件類別。

可選的，所述軟件分類模型根據惡意軟件家族知識圖譜構建，所述惡意軟件家族知識圖譜包括所述軟件特征與惡意軟件家族的關系。

可選的，輸出所述待檢測軟件的檢測結果，包括：

輸出待檢測軟件可能所屬的至少一個惡意軟件家族所對應的類別標簽。

本說明書一個或多個實施例還提供一種惡意軟件家族檢測裝置，包括：