[发明专利]PE文件的处理方法及装置有效
| 申请号: | 201610772816.5 | 申请日: | 2016-08-30 |
| 公开(公告)号: | CN106446676B | 公开(公告)日: | 2019-05-31 |
| 发明(设计)人: | 计东;韩鹏 | 申请(专利权)人: | 北京奇虎科技有限公司;北京奇安信科技有限公司 |
| 主分类号: | G06F21/55 | 分类号: | G06F21/55;G06F21/56 |
| 代理公司: | 北京华沛德权律师事务所 11302 | 代理人: | 房德权 |
| 地址: | 100088 北京市西城区新*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种PE文件的处理方法及装置,其中,所述方法包括:对PE文件进行反汇编处理,得到所述PE文件的函数哈希;加载样本库,根据所述样本库中样本的函数哈希对所述PE文件的函数哈希进行相似度匹配;根据函数哈希相似度匹配结果,对所述PE文件进行聚类。本发明通过根据样本库中样本的函数哈希对PE文件的函数哈希进行相似度匹配的匹配结果,对PE文件进行聚类,实现基于PE文件的函数哈希的聚类处理,能够有效地提高PE文件的聚类准确率,进而有效地实现PE类的恶意文档的检测。 | ||
| 搜索关键词: | pe 文件 处理 方法 装置 | ||
【主权项】:
1.一种PE文件的处理方法,包括:对PE文件进行反汇编处理,得到所述PE文件的函数哈希;加载样本库,根据所述样本库中样本的函数哈希对所述PE文件的函数哈希进行相似度匹配;根据函数哈希相似度匹配结果,对所述PE文件进行聚类,包括:计算PE文件的函数哈希与函数样本的函数哈希之间的相似度;判断所述函数哈希相似度是否高于第一预定阈值;若所述函数哈希相似度高于所述第一预定阈值,将所述PE文件与所述样本聚为一类;若所述函数哈希相似度低于或等于所述第一预定阈值,则对PE文件进行反汇编处理,得到所述PE文件的汇编代码;根据所述样本库中的样本的汇编代码对所述PE文件的汇编代码进行相似度匹配;根据汇编代码相似度匹配结果,对所述PE文件进行聚类。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京奇虎科技有限公司;北京奇安信科技有限公司,未经北京奇虎科技有限公司;北京奇安信科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201610772816.5/,转载请声明来源钻瓜专利网。
