[发明专利]恶意代码家族属性的识别方法、装置及电子设备

权利要求书

1.一种恶意代码家族属性的识别方法，其特征在于，包括以下步骤：

获取待识别的对象的内存镜像文件，从所述内存镜像文件中提取有效的字符串，其中，所述对象为待识别的恶意代码；

根据所述字符串，获取所述对象与每个家族之间的相似度；

根据所述内存镜像文件，获取所述对象的第一图像指纹；

根据每个家族中每个病毒样本的内存镜像文件，获取每个病毒样本的第二图像指纹；

将所述第一图像指纹与每个家族的每个第二图像指纹进行比较，获取所述对象与每个家族之间的汉明距离；

根据每个家族对应的所述相似度和所述汉明距离，确定所述对象的家族属性；

所述根据每个家族对应的所述相似度和所述汉明距离，确定所述对象的家族属性，包括：

将每个家族的所述相似度与预设的第一范围比较，并且将每个家族所述汉明距离与预设的第二范围比较；其中，所述第一范围包括第一上限阈值和第一下限阈值，所述第二范围包括第二上限阈值和第二下限阈值；

如果存在其中一个家族的所述相似度超出所述第一上限阈值且所述汉明距离低于所述第二下限阈值，则将所述对象的家族属性确定为所述其中一个家族的属性；

还包括：

如果每个家族的所述相似度处于所述第一范围内且所述汉明距离处于所述第二范围内，则将所述对象的家族属性确定为变异属性。

2.根据权利要求1所述的方法，其特征在于，所述获取待识别的对象的内存镜像文件，从所述内存镜像文件中提取有效的字符串之前，还包括：

根据每个家族中每个病毒样本的字符串的TF-IDF，获取每个家族的关键字符串集合；

针对每个家族，利用所述家族的关键字符串集合，获取所述家族的向量空间；其中，所述向量空间中包括每个关键字符串以及每个关键字符串在每个病毒样本中的权重。

3.根据权利要求2所述的方法，其特征在于，所述根据所述字符串获取所述对象与每个家族之间的相似度，包括：

针对每个家族，将所述对象的字符串与所述家族的向量空间进行比对，得到所述对象与所述家族中每个病毒样本之间的第一相似度；

根据所有的所述第一相似度，得到所述对象与所述家族之间的所述相似度。

4.根据权利要求2所述的方法，其特征在于，所述根据每个家族中每个病毒样本的字符串的TF-IDF，获取每个家族的关键字符串集合，包括：

针对每个家族，提取所述家族的每个病毒样本中有效的第一字符串；

统计所述第一字符串在所述家族中出现的TF；

查询预先构建的IDF库，获取所述第一字符串的IDF；

根据所述第一字符串的TF和IDF，获取所述第一字符串的所述TF-IDF；

判断所述TF-IDF是否超出预设的阈值；

如果超出所述预设的阈值，则将所述第一字符串识别为所述家族的关键字符串；

利用识别出的所有的关键字符串构建所述家族的所述关键字符串集合。

5.根据权利要求4所述的方法，其特征在于，所述统计所述第一字符串在所述家族中出现的TF，包括：

每当所述第一字符串在其中一个病毒样本出现至少一次时，对所述第一字符串在所述家族中出现的次数加1；

在对所述第一字符串出现次数的统计完成时，根据统计出的所述次数计算所述TF。

6.根据权利要求4所述的方法，其特征在于，所述查询预先构建的IDF库，获取所述第一字符串的IDF之前，还包括：

采集训练病毒样本，形成训练病毒样本集；

针对每个训练病毒样本，获取所述训练病毒样本的内存镜像文件，并从所述训练病毒样本的内存镜像文件中提取有效的第二字符串；

每当所述第二字符串在其中一个训练病毒样本出现至少一次时，对所述第二字符串在所述训练病毒样本集中出现的次数加1；

在对所述第二字符串出现次数的统计完成时，根据统计出的所述次数计算所述第二字符串的IDF；

利用每个第二字符串和每个第二字符串的IDF，构建所述IDF库。