一种恶意程序的识别方法及电子设备技术

本发明专利技术提供了一种恶意程序的识别方法及电子设备，用于解决现有技术中在如何在减少资源耗费的情况下，实现恶意程序检测，并提高恶意程序的检测效率，提高识别编写所述恶意程序的组织的准确性的问题。包括：将接收到的第一程序进行解析，确定第一编译路径信息，其中，所述第一编译路径信息中包括目录字符串；根据所述第一编译路径信息确定所述第一程序的第一特征值；将所述第一特征值与特征库中的特征值进行匹配；响应于匹配成功，则确定所述第一程序为恶意程序。

A Malicious Program Recognition Method and Electronic Equipment

The invention provides a method for identifying malicious programs and an electronic device, which is used to solve the problem of how to realize malicious program detection under the condition of reducing resource consumption in the prior art, improve the detection efficiency of malicious programs, and improve the accuracy of identifying the organization that compiles the malicious programs. It includes: parsing the received first program to determine the first compilation path information, in which the first compilation path information includes a directory string; determining the first eigenvalue of the first program based on the first compilation path information; matching the first eigenvalue with the eigenvalue in the feature library; and determining the first program in response to successful matching. For malicious programs.

【技术实现步骤摘要】
一种恶意程序的识别方法及电子设备
本专利技术涉及计算机
，尤其涉及一种恶意程序的识别方法及电子设备。
技术介绍
随着互联网技术的发展，给用户的生活带来了极大的便利，但是由于恶意程序的出现，给用户也带来了困扰和侵害，例如，近期流行的近期流行的勒索病毒、互联网蠕虫、和恶意挖矿程序，导致用户财产受到损失。恶意程序检测引擎对恶意程序进行识别，保护用户的安全，但是恶意程序曾出不穷，恶意程序检测引擎无法及时检测最新的恶意程序，并且恶意程序检测引擎对恶意程序的家族(组织)识别比较困难，特别是当恶意程序源文件频繁的进行地下交易后，会导致关联组织的难度大，监测难度大，而在高级持续性威胁(AdvancedPersistentThreat，APT)攻击事件中，组织的相似性对于恶意程序追踪溯源起着非常大的作用。在现有技术中，针对互联网传播最为广泛的恶意程序为可移植的执行体(PortableExecutable，PE)/可执行连接格式(ExecutableandLinkingFormat，ELF)文件格式，安全厂商通过人力分析，对恶意程序进行相似度聚类实现恶意程序检测，同时进行组织归类，但面对海量数据，进行相似度聚类耗费资源庞大，且当恶意程序源文件进行地下交易后会识别错误，无法准确的确定编写恶意程序的组织。综上所述，如何在减少资源耗费的情况下，实现恶意程序检测，并提高恶意程序的检测效率，提高识别编写所述恶意程序的组织的准确性是目前需要解决的问题。
技术实现思路
有鉴于此，本专利技术提供了一种恶意程序的识别方法及电子设备，用于解决现有技术中如何在减少资源耗费的情况下，实现恶意程序检测，并提高恶意程序的检测效率，提高识别编写所述恶意程序的组织的准确性的问题。根据本专利技术实施例的第一个方面，提供了一种恶意程序的识别方法，包括：将接收到的第一程序进行解析，确定第一编译路径信息，其中，所述第一编译路径信息中包括目录字符串；根据所述第一编译路径信息确定所述第一程序的第一特征值；将所述第一特征值与特征库中的特征值进行匹配；响应于匹配成功，则确定所述第一程序为恶意程序。在一个实施例中，响应于匹配成功，则确定所述第一程序为恶意程序之后，该方法还包括输出所述第一程序的第一特征值。在一个实施例中，所述将接收到的第一程序进行解析，确定第一编译路径信息，具体包括：将接收到的第一程序进行解析，获取调试符号信息，其中，所述调试符号信息包括结构指针；根据所述调试符号信息，解析获取所述第一编译路径信息。在一个实施例中，根据所述第一编译路径信息确定所述第一程序的第一特征值，具体包括：将所述第一编译路径信息的目录字符串进行分离处理，按照设定顺序在分离后的所述目录字符串中确定出特征词汇；根据所述特征词汇确定为所述第一程序的第一特征值。在一个实施例中，所述按照设定顺序在分离后的所述目录字符串中确定出特征词汇，具体包括：按照设定顺序在所述分离后的目录字符串中确定首路径对应的目录字符串；将所述首路径对应的目录字符串确定为所述特征词汇。在一个实施例中，所述根据所述特征词汇确定所述第一程序的第一特征值，具体包括：将所述特征词汇作为所述第一程序的第一特征值；或者将所述特征词汇的哈希值确定为所述第一程序的第一特征值。在一个实施例中，所述特征库是预定的，所述特征库根据如下步骤获得：将接收到的已知恶意程序进行解析，确定第二编译路径信息，其中，所述第二编译路径信息中包括目录字符串；根据所述第二编译路径信息确定所述已知恶意程序的第二特征值；将所述第二特征值保存到所述特征库。在一个实施例中，所述第二特征值为特征词汇或者哈希值。根据本专利技术实施例的第二个方面，提供了一种恶意程序的识别装置，包括：第一解析单元，用于将接收到的第一程序进行解析，确定第一编译路径信息，其中，所述第一编译路径信息中包括目录字符串；第一确认单元，用于根据所述第一编译路径信息确定所述第一程序的第一特征值；匹配单元，用于将所述第一特征值与特征库中的特征值进行匹配；所述确认单元还用于，响应于匹配成功，则确定所述第一程序为恶意程序。在一个实施例中，上述确认单元还用于输出所述第一程序的第一特征值。在一个实施例中，所述第一解析单元具体用于：将接收到的第一程序进行解析，获取调试符号信息，其中，所述调试符号信息包括结构指针；根据所述调试符号信息，解析获取所述第一编译路径信息。在一个实施例中，所述第一确认单元用于：将所述第一编译路径信息的目录字符串进行分离处理，按照设定顺序在分离后的所述目录字符串中确定出特征词汇；根据所述特征词汇确定为所述第一程序的第一特征值。在一个实施例中，所述第一确认单元具体用于：按照设定顺序在所述分离后的目录字符串中确定首路径对应的目录字符串；将所述首路径对应的目录字符串确定为所述特征词汇。在一个实施例中，所述第一确认单元具体用于：将所述特征词汇作为所述第一程序的第一特征值；或者将所述特征词汇的哈希值确定为所述第一程序的第一特征值。在一个实施例中，所述特征库是预定的，所述特征库根据建立单元获得：所述建立单元具体包括：第二解析单元，将接收到的已知恶意程序进行解析，确定第二编译路径信息，其中，所述第二编译路径信息中包括目录字符串；第二确认单元，用于根据所述第二编译路径信息确定所述已知恶意程序的第二特征值；保存单元，用于将所述第二特征值保存到所述特征库。在一个实施例中，所述第二特征值为特征词汇或者哈希值。根据本专利技术实施例的第三个方面，提供了一种电子设备，包括存储器和处理器，所述存储器用于存储一条或多条计算机程序指令，其中，所述一条或多条计算机程序指令被所述处理器执行以实现如第一方面或第一方面任一种可能所述的方法。根据本专利技术实施例的第四个方面，提供了一种计算机可读存储介质，其上存储计算机程序指令，其特征在于，所述计算机程序指令在被处理器执行时实现如第一方面或第一方面任一种可能所述的方法。本专利技术实施例的有益效果包括：首先将接收到的第一程序进行解析，确定第一编译路径信息，其中，所述第一编译路径信息中包括目录字符串；然后根据所述第一编译路径信息确定所述第一程序的第一特征值，将所述第一特征值与特征库中的特征值进行匹配；最后响应于匹配成功，则确定所述第一程序为恶意程序，并且输出所述第一程序的第一特征值。根据上述方法只需要匹配从第一程序中获取的特征值信息就可以确定所述第一程序是否是恶意程序，相比于现有技术中通过相似度聚类识别恶意程序的方式，减小了资源消耗，并且通过所述第一特征值也可以确定出编写所述恶意程序的组织，提高识别编写所述恶意程序的组织的准确性。附图说明通过以下参照附图对本专利技术实施例的描述，本专利技术的上述以及其它目的、特征和优点将更为清楚，在附图中：图1是本专利技术实施例提供的一种恶意程序的识别方法流程图；图2是本专利技术实施例提供的一种特征库生成的方法流程图；图3是本专利技术实施例提供的一种恶意程序的识别方法流程图；图4是本专利技术实施例提供的一种恶意程序的识别装置示意图；图5是本专利技术实施例提供的一种电子设备结构示意图。具体实施方式以下基于实施例对本专利技术进行描述，但是本专利技术并不仅仅限于这些实施例。在下文对本专利技术的细节描述中，详尽描述了一些特定的细节部分。对本领域技术人员来说没有这些细节部分的描述也可以完全理解本申请。此外，本领域普通技术人本文档来自技高网...

【技术保护点】
1.一种恶意程序的识别方法，其特征在于，包括：将接收到的第一程序进行解析，确定第一编译路径信息，其中，所述第一编译路径信息中包括目录字符串；根据所述第一编译路径信息确定所述第一程序的第一特征值；将所述第一特征值与特征库中的特征值进行匹配；响应于匹配成功，则确定所述第一程序为恶意程序。

【技术特征摘要】
1.一种恶意程序的识别方法，其特征在于，包括：将接收到的第一程序进行解析，确定第一编译路径信息，其中，所述第一编译路径信息中包括目录字符串；根据所述第一编译路径信息确定所述第一程序的第一特征值；将所述第一特征值与特征库中的特征值进行匹配；响应于匹配成功，则确定所述第一程序为恶意程序。2.如权利要求1所述的方法，其特征在于，响应于匹配成功，则确定所述第一程序为恶意程序之后，该方法还包括：输出所述第一程序的第一特征值。3.如权利要求1所述的方法，其特征在于，所述将接收到的第一程序进行解析，确定第一编译路径信息，具体包括：将接收到的第一程序进行解析，获取调试符号信息，其中，所述调试符号信息包括结构指针；根据所述调试符号信息，解析获取所述第一编译路径信息。4.如权利要求1所述的方法，其特征在于，根据所述第一编译路径信息确定所述第一程序的第一特征值，具体包括：将所述第一编译路径信息的目录字符串进行分离处理，按照设定顺序在分离后的所述目录字符串中确定出特征词汇；根据所述特征词汇确定为所述第一程序的第一特征值。5.如权利要求4所述的方法，其特征在于，所述按照设定顺序在分离后的所述目录字符串中确定出特征词汇...

【专利技术属性】
技术研发人员：秦梦姣，
申请(专利权)人：北斗智谷北京安全技术有限公司，
类型：发明
国别省市：北京,11