PE文件的处理方法及装置制造方法及图纸

本发明专利技术公开了一种PE文件的处理方法及装置，其中，所述方法包括：对PE文件进行反汇编处理，得到所述PE文件的函数哈希；加载样本库，根据所述样本库中样本的函数哈希对所述PE文件的函数哈希进行相似度匹配；根据函数哈希相似度匹配结果，对所述PE文件进行聚类。本发明专利技术通过根据样本库中样本的函数哈希对PE文件的函数哈希进行相似度匹配的匹配结果，对PE文件进行聚类，实现基于PE文件的函数哈希的聚类处理，能够有效地提高PE文件的聚类准确率，进而有效地实现PE类的恶意文档的检测。

【技术实现步骤摘要】

本专利技术涉及信息安全
，尤其涉及一种PE文件的处理方法及装置。
技术介绍
PE(PortableExecute，可移植的执行体)文件是微软Windows操作系统上的程序文件，常见的PE文件有EXE、DLL、OCX、SYS、COM等格式的文件，此外，PE文件也可以是间接被执行的文件，如DLL格式的文件。目前对PE类恶意文档的检测，需要将PE文件进行分类聚类，即将具有相同恶意程序特征的PE文件划分到一起，将不具有恶意程序特征的PE文件划分到一起。目前，主要是基于PE头的特征提取，以及类似PE文件图标的，基于机器学习的聚类。但是，现有实现PE文件的聚类方法，准确率比较低，进而无法有效地实现PE类的恶意文档的检测。
技术实现思路
鉴于上述问题，提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的PE文件的处理方法及装置。本专利技术的一个方面，提供了一种PE文件的处理方法，包括：对PE文件进行反汇编处理，得到所述PE文件的函数哈希；加载样本库，根据所述样本库中样本的函数哈希对所述PE文件的函数哈希进行相似度匹配；根据函数哈希相似度匹配结果，对所述PE文件进行聚类。可选地，本文档来自技高网...

【技术保护点】
一种PE文件的处理方法，包括:对PE文件进行反汇编处理，得到所述PE文件的函数哈希；加载样本库，根据所述样本库中样本的函数哈希对所述PE文件的函数哈希进行相似度匹配；根据函数哈希相似度匹配结果，对所述PE文件进行聚类。

【技术特征摘要】
1.一种PE文件的处理方法，包括:对PE文件进行反汇编处理，得到所述PE文件的函数哈希；加载样本库，根据所述样本库中样本的函数哈希对所述PE文件的函数哈希进行相似度匹配；根据函数哈希相似度匹配结果，对所述PE文件进行聚类。2.根据权利要求1所述的方法，所述对PE文件进行反汇编处理，得到所述PE文件的函数哈希，包括：对PE文件进行反汇编处理，得到所述PE文件的函数结点，根据所述函数结点将所述PE文件分为若干个函数哈希。3.根据权利要求1或2所述的方法，所述根据函数哈希相似度匹配结果，对所述PE文件进行聚类，包括：计算PE文件的函数哈希与函数样本的函数哈希之间的相似度；判断所述函数哈希相似度是否高于第一预定阈值；若所述函数哈希相似度高于所述第一预定阈值，将所述PE文件与所述样本聚为一类。4.根据权利要求3所述的方法，该方法还包括：若所述函数哈希相似度低于或等于所述第一预定阈值，则对PE文件进行反汇编处理，得到所述PE文件的汇编代码；根据所述样本库中的样本的汇编代码对所述PE文件的汇编代码进行相似度匹配；根据汇编代码相似度匹配结果，对所述PE文件进行聚类。5.根据权利要求4所述的方法，在所述对PE文件进行反汇编处理，得到所述PE文件的汇编代码之后，包括：对所述PE文件的汇编代码进行...

【专利技术属性】
技术研发人员：计东，韩鹏，
申请(专利权)人：北京奇虎科技有限公司，北京奇安信科技有限公司，
类型：发明
国别省市：北京;11