[發(fā)明專利]惡意樣本的識(shí)別方法、裝置、計(jì)算設(shè)備以及介質(zhì)在審
| 申請(qǐng)?zhí)枺?/td> | 202011199620.4 | 申請(qǐng)日: | 2020-10-30 |
| 公開(公告)號(hào): | CN112231696A | 公開(公告)日: | 2021-01-15 |
| 發(fā)明(設(shè)計(jì))人: | 白敏;劉爽;白皓文;白子潘;汪列軍 | 申請(qǐng)(專利權(quán))人: | 奇安信科技集團(tuán)股份有限公司;網(wǎng)神信息技術(shù)(北京)股份有限公司 |
| 主分類號(hào): | G06F21/53 | 分類號(hào): | G06F21/53;G06F21/56;G06K9/62 |
| 代理公司: | 中科專利商標(biāo)代理有限責(zé)任公司 11021 | 代理人: | 王江選 |
| 地址: | 100088 北京市西城區(qū)*** | 國省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 惡意 樣本 識(shí)別 方法 裝置 計(jì)算 設(shè)備 以及 介質(zhì) | ||
1.一種惡意樣本的識(shí)別方法,包括:
獲取惡意文件;
運(yùn)行所述惡意文件,得到運(yùn)行結(jié)果;
對(duì)所述惡意文件進(jìn)行解析處理,得到所述惡意文件的屬性信息;
基于所述運(yùn)行結(jié)果和所述屬性信息,確定所述惡意樣本的特征數(shù)據(jù);以及
基于所述特征數(shù)據(jù),識(shí)別所述惡意樣本所屬的風(fēng)險(xiǎn)類別。
2.根據(jù)權(quán)利要求1所述的方法,其中,所述基于所述運(yùn)行結(jié)果和所述屬性信息,確定所述惡意樣本的特征數(shù)據(jù)包括:
對(duì)所述運(yùn)行結(jié)果和所述屬性信息中的至少一個(gè)進(jìn)行預(yù)處理,以得到處理后的運(yùn)行結(jié)果和處理后的屬性信息中的至少一個(gè);
對(duì)處理后的運(yùn)行結(jié)果和處理后的屬性信息中的至少一個(gè)進(jìn)行詞頻和詞長統(tǒng)計(jì)處理,得到數(shù)值特征;
對(duì)處理后的運(yùn)行結(jié)果和處理后的屬性信息中的至少一個(gè)進(jìn)行關(guān)鍵信息提取,得到關(guān)鍵特征;以及
基于所述數(shù)值特征和所述關(guān)鍵特征,得到所述惡意樣本的特征數(shù)據(jù)。
3.根據(jù)權(quán)利要求1所述的方法,其中:
所述運(yùn)行所述惡意文件,得到運(yùn)行結(jié)果包括:利用動(dòng)態(tài)沙箱技術(shù)運(yùn)行所述惡意文件,得到運(yùn)行結(jié)果;和/或,
所述對(duì)所述惡意文件進(jìn)行解析處理,得到所述惡意文件的屬性信息包括:利用靜態(tài)文件格式解析技術(shù)對(duì)所述惡意文件進(jìn)行解析處理,得到所述惡意文件的屬性信息。
4.根據(jù)權(quán)利要求2所述的方法,其中,所述屬性信息包括至少一個(gè)子屬性信息,所述運(yùn)行結(jié)果包括至少一個(gè)子結(jié)果;所述對(duì)所述運(yùn)行結(jié)果和所述屬性信息中的至少一個(gè)進(jìn)行預(yù)處理包括以下至少一項(xiàng):
刪除所述至少一個(gè)子屬性信息中區(qū)分度低于第一預(yù)設(shè)區(qū)分度的子屬性信息,其中,所述子屬性信息的區(qū)分度用于表征惡意樣本所屬的風(fēng)險(xiǎn)類別;
刪除所述至少一個(gè)子結(jié)果中區(qū)分度低于第二預(yù)設(shè)區(qū)分度的子結(jié)果,其中,所述子結(jié)果的區(qū)分度用于表征惡意樣本所屬的風(fēng)險(xiǎn)類別;以及
對(duì)數(shù)據(jù)長度超過預(yù)設(shè)數(shù)據(jù)長度的子結(jié)果或子屬性信息進(jìn)行切割處理。
5.根據(jù)權(quán)利要求1或3所述的方法,其中,所述運(yùn)行結(jié)果包括以下至少一項(xiàng):
沙箱API序列信息、沙箱API調(diào)用次數(shù)信息、沙箱網(wǎng)絡(luò)行為信息、沙箱釋放文件信息、沙箱注冊(cè)表操作信息。
6.根據(jù)權(quán)利要求1或3所述的方法,其中,所述屬性信息包括以下至少一項(xiàng):
PE文件節(jié)表信息、PE文件資源信息、PE文件導(dǎo)入導(dǎo)出表信息、PE文件PDB信息、Office文件VB宏代碼信息、Office文件Sheet宏代碼信息、Office文件版本信息、PDF文件版本信息、PDF文件腳本信息、郵件正文內(nèi)容信息、郵件附件信息。
7.根據(jù)權(quán)利要求2所述的方法,其中:
所述數(shù)值特征包括數(shù)組大小、字典元素個(gè)數(shù)、字符串長度中的至少一個(gè);和/或,
所述關(guān)鍵特征包括文件子流最大值、文件子流最小值、PE子流數(shù)量、PDF子流數(shù)量、PNG圖片數(shù)量、JPG圖片數(shù)量、OLE對(duì)象數(shù)量、API調(diào)用次數(shù)、注冊(cè)表操作次數(shù)、釋放文件數(shù)量中的至少一個(gè)。
8.一種惡意樣本的識(shí)別裝置,包括:
獲取模塊,用于獲取惡意文件;
運(yùn)行模塊,用于運(yùn)行所述惡意文件,得到運(yùn)行結(jié)果;
解析模塊,用于對(duì)所述惡意文件進(jìn)行解析處理,得到所述惡意文件的屬性信息;
確定模塊,用于基于所述運(yùn)行結(jié)果和所述屬性信息,確定所述惡意樣本的特征數(shù)據(jù);以及
識(shí)別模塊,用于基于所述特征數(shù)據(jù),識(shí)別所述惡意樣本所屬的風(fēng)險(xiǎn)類別。
9.一種計(jì)算設(shè)備,包括:
一個(gè)或多個(gè)處理器;
存儲(chǔ)裝置,用于存儲(chǔ)一個(gè)或多個(gè)程序,
其中,當(dāng)所述一個(gè)或多個(gè)程序被所述一個(gè)或多個(gè)處理器執(zhí)行時(shí),使得所述一個(gè)或多個(gè)處理器執(zhí)行根據(jù)權(quán)利要求1~7中任一項(xiàng)所述的方法。
10.一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),其上存儲(chǔ)有可執(zhí)行指令,該指令被處理器執(zhí)行時(shí)使處理器執(zhí)行根據(jù)權(quán)利要求1~7中任一項(xiàng)所述的方法。
11.一種計(jì)算機(jī)程序產(chǎn)品,所述計(jì)算機(jī)程序產(chǎn)品包括計(jì)算機(jī)可執(zhí)行指令,所述指令在被執(zhí)行時(shí)用于實(shí)現(xiàn)根據(jù)權(quán)利要求1~7中任一項(xiàng)所述的方法。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于奇安信科技集團(tuán)股份有限公司;網(wǎng)神信息技術(shù)(北京)股份有限公司,未經(jīng)奇安信科技集團(tuán)股份有限公司;網(wǎng)神信息技術(shù)(北京)股份有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請(qǐng)聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011199620.4/1.html,轉(zhuǎn)載請(qǐng)聲明來源鉆瓜專利網(wǎng)。
- 同類專利
- 專利分類
G06F 電數(shù)字?jǐn)?shù)據(jù)處理
G06F21-00 防止未授權(quán)行為的保護(hù)計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)的安全裝置
G06F21-02 .通過保護(hù)計(jì)算機(jī)的特定內(nèi)部部件
G06F21-04 .通過保護(hù)特定的外圍設(shè)備,如鍵盤或顯示器
G06F21-06 .通過感知越權(quán)操作或外圍侵?jǐn)_
G06F21-20 .通過限制訪問計(jì)算機(jī)系統(tǒng)或計(jì)算機(jī)網(wǎng)絡(luò)中的節(jié)點(diǎn)
G06F21-22 .通過限制訪問或處理程序或過程
- 惡意特征數(shù)據(jù)庫的建立方法、惡意對(duì)象檢測方法及其裝置
- 用于檢測惡意鏈接的方法及系統(tǒng)
- 惡意信息識(shí)別方法、惡意信息識(shí)別裝置及系統(tǒng)
- 主動(dòng)式移動(dòng)終端惡意軟件網(wǎng)絡(luò)流量數(shù)據(jù)集獲取方法及系統(tǒng)
- 一種大數(shù)據(jù)告警平臺(tái)系統(tǒng)及其方法
- 一種追溯惡意進(jìn)程的方法、裝置及存儲(chǔ)介質(zhì)
- 一種相似惡意軟件推薦方法、裝置、介質(zhì)和設(shè)備
- 軟件惡意行為檢測方法及系統(tǒng)
- 惡意樣本增強(qiáng)方法、惡意程序檢測方法及對(duì)應(yīng)裝置
- 惡意語音樣本的確定方法、裝置、計(jì)算機(jī)設(shè)備和存儲(chǔ)介質(zhì)
- 樣本引入裝置、樣本引入基片和樣本引入方法
- 樣本查找方法、裝置及系統(tǒng)
- 模型訓(xùn)練、樣本平衡方法及裝置以及個(gè)人信用評(píng)分系統(tǒng)
- 樣本輸送系統(tǒng)、樣本輸送方法以及樣本檢測系統(tǒng)
- 樣本分析裝置、樣本檢測設(shè)備及樣本檢測方法
- 樣本檢測方法、樣本檢測裝置及樣本檢測系統(tǒng)
- 樣本架、樣本混勻系統(tǒng)及樣本分析儀
- 樣本收集管及樣本收集系統(tǒng)
- 樣本數(shù)據(jù)集的擴(kuò)容方法及模型的訓(xùn)練方法
- 行人重識(shí)別的噪聲樣本識(shí)別方法、裝置、設(shè)備和存儲(chǔ)介質(zhì)
- 識(shí)別媒體、識(shí)別媒體的識(shí)別方法、識(shí)別對(duì)象物品以及識(shí)別裝置
- 一種探針卡識(shí)別裝置和方法
- 識(shí)別裝置、識(shí)別方法以及記錄介質(zhì)
- 識(shí)別裝置、識(shí)別系統(tǒng),識(shí)別方法以及存儲(chǔ)介質(zhì)
- 識(shí)別程序、識(shí)別方法以及識(shí)別裝置
- 車載身份識(shí)別方法及系統(tǒng)
- 車載身份識(shí)別方法及系統(tǒng)
- 車載身份識(shí)別方法及系統(tǒng)
- 識(shí)別裝置、識(shí)別方法以及識(shí)別程序
- 識(shí)別裝置、識(shí)別方法及識(shí)別程序
- 一種數(shù)據(jù)庫讀寫分離的方法和裝置
- 一種手機(jī)動(dòng)漫人物及背景創(chuàng)作方法
- 一種通訊綜合測試終端的測試方法
- 一種服裝用人體測量基準(zhǔn)點(diǎn)的獲取方法
- 系統(tǒng)升級(jí)方法及裝置
- 用于虛擬和接口方法調(diào)用的裝置和方法
- 線程狀態(tài)監(jiān)控方法、裝置、計(jì)算機(jī)設(shè)備和存儲(chǔ)介質(zhì)
- 一種JAVA智能卡及其虛擬機(jī)組件優(yōu)化方法
- 檢測程序中方法耗時(shí)的方法、裝置及存儲(chǔ)介質(zhì)
- 函數(shù)的執(zhí)行方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)
