[發明專利]一種惡意樣本類別檢測方法和裝置及設備有效
| 申請號: | 202010241438.4 | 申請日: | 2020-03-31 |
| 公開(公告)號: | CN111368304B | 公開(公告)日: | 2022-07-05 |
| 發明(設計)人: | 杜元正;滑亞康;吳鐵軍;李文瑾 | 申請(專利權)人: | 綠盟科技集團股份有限公司;北京神州綠盟科技有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56;G06V10/774;G06V10/764;G06K9/62 |
| 代理公司: | 北京同達信恒知識產權代理有限公司 11291 | 代理人: | 孟柯 |
| 地址: | 100089 北京*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 惡意 樣本 類別 檢測 方法 裝置 設備 | ||
1.一種惡意樣本類別檢測方法,其特征在于,該方法包括:
獲取惡意樣本并基于虛擬系統程序運行所述惡意樣本,得到所述惡意樣本對應的函數調用圖;
將所述函數調用圖中任一函數作為調用函數,將調用函數對函數調用圖中各函數是否有調用關系用不同的取值表示,得到鄰接矩陣;
根據表示有調用關系的取值的密度分布,以所述鄰接矩陣主對角線上的元素為十字坐標的交叉點滑動十字坐標,所述交叉點每滑動到任一元素時,將所述鄰接矩陣劃分為四個分區;滑動結束后,確定分區密度在滑動過程中滿足分割條件時對應的交叉點位置,根據該交叉點位置對應的分區,定位屬于本地函數的調用函數的分區;
將屬于本地函數的調用函數的分區映射為目標函數調用圖,提取所述目標函數調用圖的特征并輸入到分類預測模型確定所述惡意樣本的類別。
2.根據權利要求1所述的方法,其特征在于,確定分區密度在滑動過程中滿足分割條件時對應的交叉點位置,根據該交叉點位置對應的分區,定位屬于本地函數的調用函數的分區,包括:
當第一象限分區和第三象限分區的密度之和小于預設閾值時,確定滿足分割條件;
確定滿足分割條件時交叉點位置,將該交叉點位置對應的分區中第四象限分區,定位為本地函數的調用函數的分區。
3.根據權利要求2所述的方法,其特征在于,確定滿足分割條件時交叉點位置,包括:
若滿足分割條件的交叉點位置為多個時,確定第一象限分區和第三象限分區的密度之和最小對應的交叉點位置。
4.根據權利要求1~3任一所述的方法,其特征在于,確定分區密度在滑動過程中滿足分割條件時對應的交叉點位置,還包括:
根據滑動過程中不同指定分區的密度分布是否出現差異特征,確定所述惡意樣本的殼函數是否為指定類型的殼函數;
若是指定類型的殼函數,確定分區密度在滑動過程中滿足分割條件時對應的交叉點位置,將該交叉點位置對應的分區中的第四象限分區,定位為屬于本地函數的調用函數的分區。
5.根據權利要求4所述的方法,其特征在于,滿足以下全部公式時,確定不同指定分區的密度分布是否出現差異特征,包括:
d(A0)-d(A1)≥|σ1|,d(A0)-d(A3)≥|σ2|
d(A2)-d(A1)≥|σ3|,d(A2)-d(A3)≥|σ4|
其中,d(A0)為第一象限分區的密度,d(A1)為第二象限分區的密度,d(A2)為第三象限分區的密度,d(A3)為第四象限分區的密度,σ1、σ2、σ3、σ4為設定值。
6.根據權利要求4所述的方法,其特征在于,還包括:
若確定所述惡意樣本的殼函數為非指定類型的殼函數,則將所述函數調用圖作為目標函數調用圖。
7.根據權利要求1所述的方法,其特征在于,提取所述目標函數調用圖的特征并輸入到分類預測模型確定所述惡意樣本的類別,包括:
將所述目標函數調用圖中的各函數展開得到各函數對應的控制流程圖,所述控制流程圖由基本塊構成,每個基本塊為一段有序指令;
通過圖嵌入技術提取所述控制流程圖的特征并映射為低維向量后,輸入到分類預測模型確定所述惡意樣本的類別。
8.根據權利要求7所述的方法,其特征在于,通過圖嵌入技術提取所述控制流程圖的特征,包括:
提取控制流程圖中每個基本塊最長的機器碼指令長度、機器碼指令條數以及每個基本塊調用其他基本塊及被其他基本塊調用的次數作為所述特征。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于綠盟科技集團股份有限公司;北京神州綠盟科技有限公司,未經綠盟科技集團股份有限公司;北京神州綠盟科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010241438.4/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:環形定子的新型繞線方法
- 下一篇:一種網絡內無主從網絡節點地址的自動設定算法
