针对字符串拼接行为的威胁检测方法、装置及存储介质制造方法及图纸

本发明专利技术实施例公开了一种针对字符串拼接行为的威胁检测方法、装置及存储介质，涉及信息安全技术领域，能够有效检出存在字符串拼接行为的威胁事件。所述方法包括：获取值得关注的敏感字符串并生成敏感字符串列表；获取各段可疑字符及字符对应的存储地址，按照各存储地址顺序将各段字符组合成可疑拼接字符串；将可疑拼接字符串及敏感字符串列表中的各敏感字符串映射到笛卡尔坐标系中，分别生成待匹配折线和敏感离散簇；基于梯度判定方法判断所述待匹配折线与敏感离散簇是否匹配，若匹配则判定可疑拼接字符串在敏感字符串列表中。

Threat detection methods, devices and storage media for string splicing

【技术实现步骤摘要】
针对字符串拼接行为的威胁检测方法、装置及存储介质
本专利技术涉及信息安全
，尤其涉及一种针对字符串拼接行为的威胁检测方法、装置及存储介质。
技术介绍
通过大量的反病毒经验，我们发现，恶意样本想要执行恶意行为，需要调用自身所需DLL和API。但为了防止被杀软检出，多采取拼接行为，这里所述的字符串拼接为字符的联系组合，是指内存地址上的连续。例如，加载Dll需要LoadLibrary函数，区别于传统的明文字符串(静态连续字符)，采用拼接的行为(动态写入字符)：由于这种不连续的存储行为，导致现有的杀毒软件无法有效检出。
技术实现思路
有鉴于此，本专利技术实施例提供了一种针对字符串拼接行为的威胁检测方法、装置及存储介质，通过分段提取可疑字符和记录各段字符存储地址，依据存储地址顺序将各段字符组合成为可疑拼接字符串，并与敏感字符串列表匹配，进而有效检测采取拼接行为躲避检测的威胁事件。第一方面，本专利技术实施例提供一种针对字符串拼接行为的威胁检测方法，包括：获取值得关注的敏感字符串并生成敏感字符串列表；获取各段可疑字符及字符对应的存储地址，按照各存储地址顺序将各段字符组合成可疑拼接字符串；将可疑拼接字符串及敏感字符串列表中的各敏感字符串映射到笛卡尔坐标系中，分别生成待匹配折线和敏感离散簇；基于梯度判定方法判断所述待匹配折线与敏感离散簇是否匹配，若匹配则判定可疑拼接字符串在敏感字符串列表中。根据本专利技术实施例的一种具体实现方式，所述获取值得关注的敏感字符串并生成敏感字符串列表，具体包括：获取值得关注的敏感字符串；为每个敏感字符串添加属性值，包括：主观能动值和客观能动值；每个敏感字符串的敏感度会随着属性值而变化；基于敏感度评估各敏感字符串是否加入敏感字符串列表。根据本专利技术实施例的一种具体实现方式，所述将可疑拼接字符串及敏感字符串列表中的各敏感字符串映射到笛卡尔坐标系中，分别生成待匹配折线和敏感离散簇，具体包括：将可疑拼接字符串的各段字符的存储地址作为x坐标值、各段字符的ASCII值作为y坐标值，生成笛卡尔坐标系中的离散点，用平滑直线将相邻的离散点连接起来生成一条待匹配折线；将敏感字符串列表中的各敏感字符串的各段字符的存储地址作为x坐标值、字符的ASCII值作为y坐标值，生成笛卡尔坐标系中的离散点，用平滑直线将相邻的离散点连接起来生成敏感离散簇。根据本专利技术实施例的一种具体实现方式，所述基于梯度判定方法判断所述待匹配折线与敏感离散簇是否匹配，若匹配则判定可疑拼接字符串在敏感字符串列表中，具体包括：沿着存储地址递增方向，将待匹配折线与敏感离散簇的各段折线的倾斜度进行匹配，各段倾斜度相似则判定可疑拼接字符串在所述敏感字符串列表中。根据本专利技术实施例的一种具体实现方式，还包括：更新威胁事件，并基于威胁事件生成可疑拼接字符串，若判定可疑拼接字符串不在敏感字符串列表中，则将该可疑拼接字符串作为敏感字符串加入敏感字符串列表中。第二方面，本专利技术实施例提供一种针对字符串拼接行为的威胁检测装置，包括：敏感字符串列表生成模块，用于获取值得关注的敏感字符串并生成敏感字符串列表；可疑拼接字符串生成模块，用于获取各段可疑字符及字符对应的存储地址，按照各存储地址顺序将各段字符组合成可疑拼接字符串；折线映射模块，用于将可疑拼接字符串及敏感字符串列表中的各敏感字符串映射到笛卡尔坐标系中，分别生成待匹配折线和敏感离散簇；匹配判定模块，用于基于梯度判定方法判断所述待匹配折线与敏感离散簇是否匹配，若匹配则判定可疑拼接字符串在敏感字符串列表中。根据本专利技术实施例的一种具体实现方式，所述敏感字符串列表生成模块，具体用于：获取值得关注的敏感字符串；为每个敏感字符串添加属性值，包括：主观能动值和客观能动值；每个敏感字符串的敏感度会随着属性值而变化；基于敏感度评估各敏感字符串是否加入敏感字符串列表。根据本专利技术实施例的一种具体实现方式，所述折线映射模块，具体用于：将可疑拼接字符串的各段字符的存储地址作为x坐标值、各段字符的ASCII值作为y坐标值，生成笛卡尔坐标系中的离散点，用平滑直线将相邻的离散点连接起来生成一条待匹配折线；将敏感字符串列表中的各敏感字符串的各段字符的存储地址作为x坐标值、字符的ASCII值作为y坐标值，生成笛卡尔坐标系中的离散点，用平滑直线将相邻的离散点连接起来生成敏感离散簇。根据本专利技术实施例的一种具体实现方式，所述匹配判定模块，具体用于：沿着存储地址递增方向，将待匹配折线与敏感离散簇的各段折线的倾斜度进行匹配，各段倾斜度相似则判定可疑拼接字符串在所述敏感字符串列表中。根据本专利技术实施例的一种具体实现方式，还包括：回归适应模块，用于更新威胁事件，并基于威胁事件生成可疑拼接字符串，若判定可疑拼接字符串不在敏感字符串列表中，则将该可疑拼接字符串作为敏感字符串加入敏感字符串列表中。第三方面，本专利技术实施例提供一种电子设备，所述电子设备包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上；电源电路，用于为上述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述任一实现方式所述的方法。第四方面，本专利技术的实施例还提供计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述任一实现方式所述的方法。本专利技术实施例提供的一种针对字符串拼接行为的威胁检测方法、装置及存储介质，事先整理生成敏感字符串列表，并获取各段可疑字符及各段可疑字符对应的存储地址，按照存储地址顺序将各段可疑字符组合成可疑拼接字符串；将可疑拼接字符串及敏感字符串列表中的各敏感字符串基于同样的方法映射到笛卡尔坐标系中；在笛卡尔坐标系中，利用梯度判定方法判断所述可疑拼接字符串是否在敏感字符串列表中。本专利技术实施例能够有效检测加密样本，尤其是采用拼接手段躲避检测的威胁事件。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。图1为本专利技术的一种针对字符串拼接行为的威胁检测方法的一实施例流程图；图2为本专利技术的一种针对字符串拼接行为的威胁检测方法的又一实施例流程图；图3为本专利技术的一种针对字符串拼接行为的威胁检测装置的一实施例结构示意图；图4为本专利技术电子设备一个实施例的结构示意图。具体实施方式下面结合附图对本专利技术实施例进行详细描述。应当明确，所描述的实施例仅仅是本本文档来自技高网...

【技术保护点】
1.一种针对字符串拼接行为的威胁检测方法，其特征在于，包括：/n获取值得关注的敏感字符串并生成敏感字符串列表；/n获取各段可疑字符及字符对应的存储地址，按照各存储地址顺序将各段字符组合成可疑拼接字符串；/n将可疑拼接字符串及敏感字符串列表中的各敏感字符串映射到笛卡尔坐标系中，分别生成待匹配折线和敏感离散簇；/n基于梯度判定方法判断所述待匹配折线与敏感离散簇是否匹配，若匹配则判定可疑拼接字符串在敏感字符串列表中。/n

【技术特征摘要】
1.一种针对字符串拼接行为的威胁检测方法，其特征在于，包括：
获取值得关注的敏感字符串并生成敏感字符串列表；
获取各段可疑字符及字符对应的存储地址，按照各存储地址顺序将各段字符组合成可疑拼接字符串；
将可疑拼接字符串及敏感字符串列表中的各敏感字符串映射到笛卡尔坐标系中，分别生成待匹配折线和敏感离散簇；
基于梯度判定方法判断所述待匹配折线与敏感离散簇是否匹配，若匹配则判定可疑拼接字符串在敏感字符串列表中。


2.如权利要求1所述的方法，其特征在于，所述获取值得关注的敏感字符串并生成敏感字符串列表，具体包括：
获取值得关注的敏感字符串；
为每个敏感字符串添加属性值，包括：主观能动值和客观能动值；
每个敏感字符串的敏感度会随着属性值而变化；
基于敏感度评估各敏感字符串是否加入敏感字符串列表。


3.如权利要求1或2所述的方法，其特征在于，所述将可疑拼接字符串及敏感字符串列表中的各敏感字符串映射到笛卡尔坐标系中，分别生成待匹配折线和敏感离散簇，具体包括：
将可疑拼接字符串的各段字符的存储地址作为x坐标值、各段字符的ASCII值作为y坐标值，生成笛卡尔坐标系中的离散点，用平滑直线将相邻的离散点连接起来生成一条待匹配折线；
将敏感字符串列表中的各敏感字符串的各段字符的存储地址作为x坐标值、字符的ASCII值作为y坐标值，生成笛卡尔坐标系中的离散点，用平滑直线将相邻的离散点连接起来生成敏感离散簇。


4.如权利要求3所述的方法，其特征在于，所述基于梯度判定方法判断所述待匹配折线与敏感离散簇是否匹配，若匹配则判定可疑拼接字符串在敏感字符串列表中，具体包括：
沿着存储地址递增方向，将待匹配折线与敏感离散簇的各段折线的倾斜度进行匹配，各段倾斜度相似则判定可疑拼接字符串在所述敏感字符串列表中。


5.如权利要求1、2或4所述的方法，其特征在于，还包括：更新威胁事件，并基于威胁事件生成可疑拼接字符串，若判定可疑拼接字符串不在敏感字符串列表中，则将该可疑拼接字符串作为...

【专利技术属性】
技术研发人员：肖新光，许梦磊，童志明，何公道，
申请(专利权)人：哈尔滨安天科技集团股份有限公司，
类型：发明
国别省市：黑龙;23