The invention provides a method for identifying malicious programs and an electronic device, which is used to solve the problem of how to realize malicious program detection under the condition of reducing resource consumption in the prior art, improve the detection efficiency of malicious programs, and improve the accuracy of identifying the organization that compiles the malicious programs. It includes: parsing the received first program to determine the first compilation path information, in which the first compilation path information includes a directory string; determining the first eigenvalue of the first program based on the first compilation path information; matching the first eigenvalue with the eigenvalue in the feature library; and determining the first program in response to successful matching. For malicious programs.
【技术实现步骤摘要】
一种恶意程序的识别方法及电子设备
本专利技术涉及计算机
,尤其涉及一种恶意程序的识别方法及电子设备。
技术介绍
随着互联网技术的发展,给用户的生活带来了极大的便利,但是由于恶意程序的出现,给用户也带来了困扰和侵害,例如,近期流行的近期流行的勒索病毒、互联网蠕虫、和恶意挖矿程序,导致用户财产受到损失。恶意程序检测引擎对恶意程序进行识别,保护用户的安全,但是恶意程序曾出不穷,恶意程序检测引擎无法及时检测最新的恶意程序,并且恶意程序检测引擎对恶意程序的家族(组织)识别比较困难,特别是当恶意程序源文件频繁的进行地下交易后,会导致关联组织的难度大,监测难度大,而在高级持续性威胁(AdvancedPersistentThreat,APT)攻击事件中,组织的相似性对于恶意程序追踪溯源起着非常大的作用。在现有技术中,针对互联网传播最为广泛的恶意程序为可移植的执行体(PortableExecutable,PE)/可执行连接格式(ExecutableandLinkingFormat,ELF)文件格式,安全厂商通过人力分析,对恶意程序进行相似度聚类实现恶意程序检测,同时进行组织归类,但面对海量数据,进行相似度聚类耗费资源庞大,且当恶意程序源文件进行地下交易后会识别错误,无法准确的确定编写恶意程序的组织。综上所述,如何在减少资源耗费的情况下,实现恶意程序检测,并提高恶意程序的检测效率,提高识别编写所述恶意程序的组织的准确性是目前需要解决的问题。
技术实现思路
有鉴于此,本专利技术提供了一种恶意程序的识别方法及电子设备,用于解决现有技术中如何在减少资源耗费的情况下,实现恶意程序检 ...
【技术保护点】
1.一种恶意程序的识别方法,其特征在于,包括:将接收到的第一程序进行解析,确定第一编译路径信息,其中,所述第一编译路径信息中包括目录字符串;根据所述第一编译路径信息确定所述第一程序的第一特征值;将所述第一特征值与特征库中的特征值进行匹配;响应于匹配成功,则确定所述第一程序为恶意程序。
【技术特征摘要】
1.一种恶意程序的识别方法,其特征在于,包括:将接收到的第一程序进行解析,确定第一编译路径信息,其中,所述第一编译路径信息中包括目录字符串;根据所述第一编译路径信息确定所述第一程序的第一特征值;将所述第一特征值与特征库中的特征值进行匹配;响应于匹配成功,则确定所述第一程序为恶意程序。2.如权利要求1所述的方法,其特征在于,响应于匹配成功,则确定所述第一程序为恶意程序之后,该方法还包括:输出所述第一程序的第一特征值。3.如权利要求1所述的方法,其特征在于,所述将接收到的第一程序进行解析,确定第一编译路径信息,具体包括:将接收到的第一程序进行解析,获取调试符号信息,其中,所述调试符号信息包括结构指针;根据所述调试符号信息,解析获取所述第一编译路径信息。4.如权利要求1所述的方法,其特征在于,根据所述第一编译路径信息确定所述第一程序的第一特征值,具体包括:将所述第一编译路径信息的目录字符串进行分离处理,按照设定顺序在分离后的所述目录字符串中确定出特征词汇;根据所述特征词汇确定为所述第一程序的第一特征值。5.如权利要求4所述的方法,其特征在于,所述按照设定顺序在分离后的所述目录字符串中确定出特征词汇...
【专利技术属性】
技术研发人员:秦梦姣,
申请(专利权)人:北斗智谷北京安全技术有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。