【技术实现步骤摘要】
恶意软件家族识别方法、装置及电子设备
本专利技术涉及恶意软件识别
,尤其是涉及一种恶意软件家族识别方法、装置及电子设备。
技术介绍
现有的静态杀毒软件在检测恶意软件时,通常只能检测出某软件为恶意软件,提示存在病毒入侵风险或者将其直接删除,而在恶意软件带有保护代码的情况下,很难直接通过病毒查杀给出真正的准确的恶意软件家族的名称。
技术实现思路
本专利技术的目的在于提供一种恶意软件家族识别方法、装置及电子设备,可以使动态恶意软件检测引擎在检测恶意软件时,给出恶意软件所属的准确的恶意软件家族的名称。本专利技术提供一种恶意软件家族识别方法,所述方法应用于ES搜索服务器,所述方法包括:获取待识别的二进制程序;将所述二进制程序进行感知哈希处理,得到所述二进制程序对应的多个可感知的哈希字符串;所述感知哈希处理包括:动态沙箱运行、灰度图像转换及离散余弦变换;以所述二进制程序对应的每个所述可感知的哈希字符串分别作为搜索词,对恶意软件数据库中的每个恶意软件家族进行搜索匹配,得到每个恶意软件家族与所述二进制程序的匹配度;所述恶意软件数据库中的每个恶意软件家族均包括通过所述感知哈希处理...
【技术保护点】
1.一种恶意软件家族识别方法,其特征在于,所述方法应用于ES搜索服务器,所述方法包括:获取待识别的二进制程序;将所述二进制程序进行感知哈希处理,得到所述二进制程序对应的多个可感知的哈希字符串;所述感知哈希处理包括:动态沙箱运行、灰度图像转换及离散余弦变换;以所述二进制程序对应的每个所述可感知的哈希字符串分别作为搜索词,对恶意软件数据库中的每个恶意软件家族进行搜索匹配,得到每个恶意软件家族与所述二进制程序的匹配度;所述恶意软件数据库中的每个恶意软件家族均包括通过所述感知哈希处理得到的多个可感知的哈希字串序列;将超过预设匹配度阈值的匹配度中最大匹配度对应的恶意软件家族的名称,作...
【技术特征摘要】
1.一种恶意软件家族识别方法,其特征在于,所述方法应用于ES搜索服务器,所述方法包括:获取待识别的二进制程序;将所述二进制程序进行感知哈希处理,得到所述二进制程序对应的多个可感知的哈希字符串;所述感知哈希处理包括:动态沙箱运行、灰度图像转换及离散余弦变换;以所述二进制程序对应的每个所述可感知的哈希字符串分别作为搜索词,对恶意软件数据库中的每个恶意软件家族进行搜索匹配,得到每个恶意软件家族与所述二进制程序的匹配度;所述恶意软件数据库中的每个恶意软件家族均包括通过所述感知哈希处理得到的多个可感知的哈希字串序列;将超过预设匹配度阈值的匹配度中最大匹配度对应的恶意软件家族的名称,作为所述二进制程序对应的识别结果。2.根据权利要求1所述的方法,其特征在于,将所述二进制程序进行感知哈希处理,得到所述二进制程序对应的多个可感知的哈希字符串的步骤,包括:将所述二进制程序放入动态沙箱运行,输出多个不同阶段的程序;将每个所述不同阶段的程序分别进行灰度图像转换处理,得到每个所述不同阶段的程序对应的灰度图像;对每个所述灰度图像进行离散余弦变换处理,得到每个所述不同阶段的程序对应的可感知的哈希字符串;将每个所述不同阶段的程序对应的可感知的哈希字符串,作为所述二进制程序对应的多个可感知的哈希字符串。3.根据权利要求1所述的方法,其特征在于,在获取待识别的二进制程序的步骤之前,还包括:获取每个恶意软件家族对应的二进制程序;针对每个恶意软件家族对应的二进制程序,均执行以下步骤:将所述恶意软件家族对应的二进制程序进行感所述知哈希处理,得到所述恶意软件家族对应的多个可感知的哈希字串序列;对每个所述可感知的哈希字串序列进行标签标注,并存储于所述恶意软件数据库中。4.根据权利要求1所述的方法,其特征在于,以所述二进制程序对应的每个所述可感知的哈希字符串分别作为搜索词,对恶意软件数据库中的每个恶意软件家族进行搜索匹配,得到每个恶意软件家族与所述二进制程序的匹配度的步骤,包括:针对所述恶意软件数据库中的每个所述恶意软件家族,均执行以下步骤:应用所述二进制程序对应的每个所述可感知的哈希字符串分别作为搜索词,逐一在所述恶意软件家族对应的多个可感知的哈希字串序列中进行搜索,计算每个所述可感知的哈希字符串与所述恶意软件家族的每个可感知的哈希字串序列的相似度;将超过预设相似度阈值的相似度对应的可感知的哈希字串序列作为目标字串序列;基于所述恶意软件家族...
【专利技术属性】
技术研发人员:吴栋,范渊,吴卓群,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。