[發(fā)明專利]一種樣本檢測方法、裝置、設(shè)備及計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)在審

申請?zhí)枺?/td>	202110206116.0	申請日：	2021-02-24
公開（公告）號(hào)：	CN112887328A	公開（公告）日：	2021-06-01
發(fā)明（設(shè)計(jì)）人：	閆忠	申請（專利權(quán)）人：	深信服科技股份有限公司
主分類號(hào)：	H04L29/06	分類號(hào)：	H04L29/06;G06F21/56;G06F16/906;G06F16/903
代理公司：	深圳市深佳知識(shí)產(chǎn)權(quán)代理事務(wù)所(普通合伙) 44285	代理人：	夏歡
地址：	518055 廣東省深圳市南***	國省代碼：	廣東;44
權(quán)利要求書：	查看更多	說明書：	查看更多
摘要：
搜索關(guān)鍵詞：	一種樣本檢測方法裝置設(shè)備計(jì)算機(jī) 可讀存儲(chǔ) 介質(zhì)
鉆瓜網(wǎng) 技術(shù)展會(huì) 專利詞庫專利權(quán)人專利榜在售專利公布日期熱門專利

【權(quán)利要求書】：

1.一種樣本檢測方法，其特征在于，包括：

獲取待檢測樣本；

提取所述待檢測樣本的靜態(tài)特征，其中，所述靜態(tài)特征的特征類型包括：程序數(shù)據(jù)庫文件信息和/或字符串信息和/或代碼片段信息；

判斷所述待檢測樣本的靜態(tài)特征是否與預(yù)設(shè)的惡意樣本家族的靜態(tài)特征相匹配；

若所述待檢測樣本的靜態(tài)特征與所述惡意樣本家族的靜態(tài)特征相匹配，則確定所述待檢測樣本為惡意樣本。

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述確定所述待檢測樣本為惡意樣本之后，還包括：

確定所述待檢測樣本匹配的惡意樣本家族信息。

3.根據(jù)權(quán)利要求2所述的方法，其特征在于，所述判斷所述待檢測樣本的靜態(tài)特征是否與預(yù)設(shè)的惡意樣本家族的靜態(tài)特征相匹配之前，還包括：

獲取預(yù)設(shè)數(shù)量的已知惡意樣本；

提取所述已知惡意樣本的靜態(tài)特征；

基于所述已知惡意樣本的靜態(tài)特征對所述已知惡意樣本進(jìn)行家族劃分，得到所述惡意樣本家族信息。

4.根據(jù)權(quán)利要求3所述的方法，其特征在于，所述基于所述已知惡意樣本的靜態(tài)特征對所述已知惡意樣本進(jìn)行家族劃分，得到所述惡意樣本家族信息，包括：

將靜態(tài)特征相似的所述已知惡意樣本確定為所述惡意樣本家族；

對所述惡意樣本家族的靜態(tài)特征進(jìn)行聚類，得到所述惡意樣本家族信息。

5.根據(jù)權(quán)利要求4所述的方法，其特征在于，所述將靜態(tài)特征相似的所述已知惡意樣本確定為所述惡意樣本家族，包括：

確定各已知惡意樣本的程序數(shù)據(jù)庫文件信息間的第一相似度值；

和/或，確定各已知惡意樣本的字符串信息間的第二相似度值；

和/或，確定各已知惡意樣本的代碼片段間的第三相似度值；

基于所述第一相似度值和/或所述第二相似度值和/或所述第三相似度值判斷所述已知惡意樣本的靜態(tài)特征是否相似，若是，則將所述已知惡意樣本確定為所述惡意樣本家族。

6.根據(jù)權(quán)利要求5所述的方法，其特征在于，所述基于所述第一相似度值和/或所述第二相似度值和/或所述第三相似度值判斷所述已知惡意樣本的靜態(tài)特征是否相似，包括：

基于所述第一相似度值和/或所述第二相似度值和/或所述第三相似度值確定所述已知惡意樣本間的目標(biāo)相似度值；

判斷所述目標(biāo)相似度值是否大于預(yù)設(shè)值，若是，則判定所述已知惡意樣本的靜態(tài)特征相似。

7.根據(jù)權(quán)利要求5所述的方法，其特征在于，所述對所述惡意樣本家族的靜態(tài)特征進(jìn)行聚類，得到所述惡意樣本家族信息，包括：

對所述惡意樣本家族的程序數(shù)據(jù)庫文件信息進(jìn)行命名規(guī)則聚類，得到所述惡意樣本家族的命名規(guī)則；

和/或，對所述惡意樣本家族的字符串信息進(jìn)行聚類，得到所述惡意樣本家族的字符串聚類信息；

和/或，對所述惡意樣本家族的代碼片段進(jìn)行聚類，得到所述惡意樣本家族的代碼片段聚類信息；

將所述命名規(guī)則和/或所述字符串聚類信息和/或所述代碼片段聚類信息作為所述惡意樣本家族信息。

8.根據(jù)權(quán)利要求1至7任一項(xiàng)所述的方法，其特征在于，所述判斷所述待檢測樣本的靜態(tài)特征是否與預(yù)設(shè)的惡意樣本家族的靜態(tài)特征相匹配之后，還包括：

若所述待檢測樣本的靜態(tài)特征與所述惡意樣本家族的靜態(tài)特征不匹配，則確定所述待檢測樣本為惡意樣本后，基于所述待檢測樣本更新所述惡意樣本家族。

9.一種樣本檢測裝置，其特征在于，包括：

樣本獲取模塊，用于獲取待檢測樣本；

靜態(tài)特征提取模塊，用于提取所述待檢測樣本的靜態(tài)特征，其中，所述靜態(tài)特征的特征類型包括：程序數(shù)據(jù)庫文件信息和/或字符串信息和/或代碼片段信息；

判斷模塊，用于判斷所述待檢測樣本的靜態(tài)特征是否與預(yù)設(shè)的惡意樣本家族的靜態(tài)特征相匹配；若所述待檢測樣本的靜態(tài)特征與所述惡意樣本家族的靜態(tài)特征相匹配，則確定所述待檢測樣本為惡意樣本。

下載完整專利技術(shù)內(nèi)容需要扣除積分，VIP會(huì)員可以免費(fèi)下載。

免登錄下載普通用戶下載升級(jí)VIP會(huì)員，免費(fèi)下載

該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息，商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于深信服科技股份有限公司，未經(jīng)深信服科技股份有限公司許可，擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作，請聯(lián)系【客服】

本文鏈接：http://www.szxzyx.cn/pat/books/202110206116.0/1.html，轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。