[发明专利]恶意软件家族识别方法、装置及电子设备有效
| 申请号: | 201910544397.3 | 申请日: | 2019-06-21 |
| 公开(公告)号: | CN110222511B | 公开(公告)日: | 2021-04-23 |
| 发明(设计)人: | 吴栋;范渊;吴卓群 | 申请(专利权)人: | 杭州安恒信息技术股份有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56;G06F16/14 |
| 代理公司: | 北京超凡宏宇专利代理事务所(特殊普通合伙) 11463 | 代理人: | 赵李 |
| 地址: | 310000 浙江省*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 恶意 软件 家族 识别 方法 装置 电子设备 | ||
本发明提供了一种恶意软件家族识别方法、装置及电子设备,方法包括:将待识别的二进制程序进行感知哈希处理,得到多个可感知的哈希字符串;感知哈希处理包括:动态沙箱运行、灰度图像转换及离散余弦变换;以每个可感知的哈希字符串分别作为搜索词,对恶意软件数据库中的每个恶意软件家族进行搜索匹配,得到每个恶意软件家族与二进制程序的匹配度;每个恶意软件家族均包括通过感知哈希处理得到的多个可感知的哈希字串序列;将超过预设匹配度阈值的匹配度中最大匹配度对应的恶意软件家族的名称,作为二进制程序对应的识别结果。本发明可以使动态恶意软件检测引擎在检测恶意软件时,给出恶意软件所属的准确的恶意软件家族的名称。
技术领域
本发明涉及恶意软件识别技术领域,尤其是涉及一种恶意软件家族识别方法、装置及电子设备。
背景技术
现有的静态杀毒软件在检测恶意软件时,通常只能检测出某软件为恶意软件,提示存在病毒入侵风险或者将其直接删除,而在恶意软件带有保护代码的情况下,很难直接通过病毒查杀给出真正的准确的恶意软件家族的名称。
发明内容
本发明的目的在于提供一种恶意软件家族识别方法、装置及电子设备,可以使动态恶意软件检测引擎在检测恶意软件时,给出恶意软件所属的准确的恶意软件家族的名称。
本发明提供一种恶意软件家族识别方法,所述方法应用于ES搜索服务器,所述方法包括:
获取待识别的二进制程序;
将所述二进制程序进行感知哈希处理,得到所述二进制程序对应的多个可感知的哈希字符串;所述感知哈希处理包括:动态沙箱运行、灰度图像转换及离散余弦变换;
以所述二进制程序对应的每个所述可感知的哈希字符串分别作为搜索词,对恶意软件数据库中的每个恶意软件家族进行搜索匹配,得到每个恶意软件家族与所述二进制程序的匹配度;所述恶意软件数据库中的每个恶意软件家族均包括通过所述感知哈希处理得到的多个可感知的哈希字串序列;
将超过预设匹配度阈值的匹配度中最大匹配度对应的恶意软件家族的名称,作为所述二进制程序对应的识别结果。
进一步的,将所述二进制程序进行感知哈希处理,得到所述二进制程序对应的多个可感知的哈希字符串的步骤,包括:
将所述二进制程序放入动态沙箱运行,输出多个不同阶段的程序;
将每个所述不同阶段的程序分别进行灰度图像转换处理,得到每个所述不同阶段的程序对应的灰度图像;
对每个所述灰度图像进行离散余弦变换处理,得到每个所述不同阶段的程序对应的可感知的哈希字符串;
将每个所述不同阶段的程序对应的可感知的哈希字符串,作为所述二进制程序对应的多个可感知的哈希字符串。
进一步的,在获取待识别的二进制程序的步骤之前,还包括:
获取每个恶意软件家族对应的二进制程序;
针对每个恶意软件家族对应的二进制程序,均执行以下步骤:
将所述恶意软件家族对应的二进制程序进行感所述知哈希处理,得到所述恶意软件家族对应的多个可感知的哈希字串序列;对每个所述可感知的哈希字串序列进行标签标注,并存储于所述恶意软件数据库中。
进一步的,以所述二进制程序对应的每个所述可感知的哈希字符串分别作为搜索词,对恶意软件数据库中的每个恶意软件家族进行搜索匹配,得到每个恶意软件家族与所述所述二进制程序的匹配度的步骤,包括:
针对所述恶意软件数据库中的每个所述恶意软件家族,均执行以下步骤:
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州安恒信息技术股份有限公司,未经杭州安恒信息技术股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201910544397.3/2.html,转载请声明来源钻瓜专利网。
