[发明专利]恶意软件家族识别方法、装置及电子设备

权利要求书

1.一种恶意软件家族识别方法，其特征在于，所述方法应用于ES搜索服务器，所述方法包括：

获取待识别的二进制程序；

将所述二进制程序进行感知哈希处理，得到所述二进制程序对应的多个可感知的哈希字符串；所述感知哈希处理包括：动态沙箱运行、灰度图像转换及离散余弦变换；

以所述二进制程序对应的每个所述可感知的哈希字符串分别作为搜索词，对恶意软件数据库中的每个恶意软件家族进行搜索匹配，得到每个恶意软件家族与所述二进制程序的匹配度；所述恶意软件数据库中的每个恶意软件家族均包括通过所述感知哈希处理得到的多个可感知的哈希字串序列；

将超过预设匹配度阈值的匹配度中最大匹配度对应的恶意软件家族的名称，作为所述二进制程序对应的识别结果；

将所述二进制程序进行感知哈希处理，得到所述二进制程序对应的多个可感知的哈希字符串的步骤，包括：

将所述二进制程序放入动态沙箱运行，输出多个不同阶段的程序；

将每个所述不同阶段的程序分别进行灰度图像转换处理，得到每个所述不同阶段的程序对应的灰度图像；

对每个所述灰度图像进行离散余弦变换处理，得到每个所述不同阶段的程序对应的可感知的哈希字符串；

将每个所述不同阶段的程序对应的可感知的哈希字符串，作为所述二进制程序对应的多个可感知的哈希字符串。

2.根据权利要求1所述的方法，其特征在于，在获取待识别的二进制程序的步骤之前，还包括：

获取每个恶意软件家族对应的二进制程序；

针对每个恶意软件家族对应的二进制程序，均执行以下步骤：

将所述恶意软件家族对应的二进制程序进行感所述知哈希处理，得到所述恶意软件家族对应的多个可感知的哈希字串序列；对每个所述可感知的哈希字串序列进行标签标注，并存储于所述恶意软件数据库中。

3.根据权利要求1所述的方法，其特征在于，以所述二进制程序对应的每个所述可感知的哈希字符串分别作为搜索词，对恶意软件数据库中的每个恶意软件家族进行搜索匹配，得到每个恶意软件家族与所述二进制程序的匹配度的步骤，包括：

针对所述恶意软件数据库中的每个所述恶意软件家族，均执行以下步骤：

应用所述二进制程序对应的每个所述可感知的哈希字符串分别作为搜索词，逐一在所述恶意软件家族对应的多个可感知的哈希字串序列中进行搜索，计算每个所述可感知的哈希字符串与所述恶意软件家族的每个可感知的哈希字串序列的相似度；将超过预设相似度阈值的相似度对应的可感知的哈希字串序列作为目标字串序列；基于所述恶意软件家族中所述目标字串序列的数量及所述可感知的哈希字符串的数量，计算得到所述二进制程序与所述恶意软件家族的匹配度。

4.根据权利要求3所述的方法，其特征在于，计算每个所述可感知的哈希字符串与所述恶意软件家族的每个可感知的哈希字串序列的相似度的步骤，包括：

通过图像相似度匹配算法计算每个所述可感知的哈希字符串与所述恶意软件家族的每个可感知的哈希字串序列的相似度；所述图像相似度匹配算法包括：欧氏距离、曼哈顿距离、切比雪夫距离、余弦距离、皮尔逊相关系数、汉明距离、杰卡德距离、布雷柯蒂斯距离、马氏距离、JS散度、归一化距离或不装库匹配算法。

5.根据权利要求3所述的方法，其特征在于，基于所述恶意软件家族中所述目标字串序列的数量及所述可感知的哈希字符串的数量，计算得到所述二进制程序与所述恶意软件家族的匹配度的步骤，包括：

利用所述恶意软件家族中所述目标字串序列的数量，除以所述可感知的哈希字符串的数量，得到所述二进制程序与所述恶意软件家族的匹配度。

6.根据权利要求1所述的方法，其特征在于，所述灰度图像的大小满足预设尺寸。