本公開提供了一種惡意樣本的識別方法，包括：獲取惡意文件；運行惡意文件，得到運行結果；對惡意文件進行解析處理，得到惡意文件的屬性信息；基于運行結果和屬性信息，確定惡意樣本的特征數據；以及基于特征數據，識別惡意樣本所屬的風險類別。本公開還提供了一種惡意樣本的識別裝置、一種計算設備、一種計算機可讀存儲介質以及一種計算機程序產品。

技術領域

本公開涉及計算機技術領域，更具體地，涉及一種惡意樣本的識別方法、一種惡意樣本的識別裝置、一種計算設備以及一種計算機可讀存儲介質。

背景技術

在對惡意樣本進行分析時，通常需要獲取惡意樣本的特征數據，并對特征數據進行識別得到惡意樣本的風險類別。但是，為了躲避安全檢測，惡意樣本的重要特征通常被隱藏而難以獲取，特別是當惡意樣本具有復雜的文件格式時，通過簡單的分析手段難以獲取該惡意樣本的有效特征數據，導致難以準確識別惡意樣本所屬的風險類別。

發明內容

有鑒于此，本公開提供了一種優化的惡意樣本的識別方法、惡意樣本的識別裝置、計算設備和計算機可讀存儲介質。

本公開的一個方面提供了一種惡意樣本的識別方法，包括：獲取惡意文件，運行所述惡意文件，得到運行結果，對所述惡意文件進行解析處理，得到所述惡意文件的屬性信息，基于所述運行結果和所述屬性信息，確定所述惡意樣本的特征數據，基于所述特征數據，識別所述惡意樣本所屬的風險類別。

根據本公開實施例，上述基于所述運行結果和所述屬性信息，確定所述惡意樣本的特征數據包括：對所述運行結果和所述屬性信息中的至少一個進行預處理，以得到處理后的運行結果和處理后的屬性信息中的至少一個，對處理后的運行結果和處理后的屬性信息中的至少一個進行詞頻和詞長統計處理，得到數值特征，對處理后的運行結果和處理后的屬性信息中的至少一個進行關鍵信息提取，得到關鍵特征，基于所述數值特征和所述關鍵特征，得到所述惡意樣本的特征數據。

根據本公開實施例，上述運行所述惡意文件，得到運行結果包括：利用動態沙箱技術運行所述惡意文件，得到運行結果。

根據本公開實施例，上述對所述惡意文件進行解析處理，得到所述惡意文件的屬性信息包括：利用靜態文件格式解析技術對所述惡意文件進行解析處理，得到所述惡意文件的屬性信息。

根據本公開實施例，上述屬性信息包括至少一個子屬性信息，所述運行結果包括至少一個子結果；所述對所述運行結果和所述屬性信息中的至少一個進行預處理包括以下至少一項：刪除所述至少一個子屬性信息中區分度低于第一預設區分度的子屬性信息，其中，所述子屬性信息的區分度用于表征惡意樣本所屬的風險類別，刪除所述至少一個子結果中區分度低于第二預設區分度的子結果，其中，所述子結果的區分度用于表征惡意樣本所屬的風險類別，對數據長度超過預設數據長度的子結果或子屬性信息進行切割處理。

根據本公開實施例，上述運行結果包括以下至少一項：沙箱API序列信息、沙箱API調用次數信息、沙箱網絡行為信息、沙箱釋放文件信息、沙箱注冊表操作信息。

根據本公開實施例，上述屬性信息包括以下至少一項：PE文件節表信息、PE文件資源信息、PE文件導入導出表信息、PE文件PDB信息、Office文件VB宏代碼信息、Office文件Sheet宏代碼信息、Office文件版本信息、PDF文件版本信息、PDF文件腳本信息、郵件正文內容信息、郵件附件信息。

根據本公開實施例，上述數值特征包括以下至少一項：數組大小、字典元素個數、字符串長度。

根據本公開實施例，上述關鍵特征包括以下至少一項：文件子流最大值、文件子流最小值、PE子流數量、PDF子流數量、PNG圖片數量、JPG圖片數量、OLE對象數量、API調用次數、注冊表操作次數、釋放文件數量。