本发明专利技术提供一种恶意代码的识别方法、装置、设备及存储介质。该方法包括获取网站的待识别网络流量数据;按照预设规则从该待识别网络流量数据中获取可疑代码;将该可疑代码输入代码识别模型中获得该可疑代码的识别结果;该识别结果为恶意代码、正常代码或无法识别中的一种;若该识别结果为无法识别,则将该可疑代码与备份代码进行比对,该备份代码为该网站的源码;若该备份代码中不存在该可疑代码,则将该可疑代码确定为恶意代码。该方法提高了恶意代码识别的准确率。
Identification method, device, equipment and storage medium of malicious code
【技术实现步骤摘要】
恶意代码的识别方法、装置、设备及存储介质
本专利技术涉及恶意代码检测技术,尤其涉及一种恶意代码的识别方法、装置、设备及存储介质。
技术介绍
随着互联网的飞速发展,各种网站在人们的日常生活和工作中扮演重要的角色,人们在享受互联网带来的便利的同时,也经受了各种网络安全问题的困扰。例如,黑客在网页中插入恶意代码来获取用户的个人信息、劫持用户访问或者对用户进行监听等,给人们带来极大的损失。目前,恶意代码的识别主要是依靠与已知的恶意代码库进行比对的方式,将待检测文件与恶意代码库中的恶意代码进行比对来判断此待检测文件是否被恶意代码感染。这种方式中要求有足够强大的恶意代码库,若恶意代码库不完善,则容易导致恶意代码漏报。
技术实现思路
本专利技术提供一种恶意代码的识别方法、装置、设备及存储介质,以提高恶意代码识别的准确率。第一方面,本专利技术提供一种恶意代码的识别方法,包括:获取网站的待识别网络流量数据;按照预设规则从所述待识别网络流量数据中获取可疑代码;将所述可疑代码输入代码识别模型中获得所述可疑代码的识别结果;所述识别结果为恶意代码、正常代码或无法识别中的一种;若所述识别结果为无法识别,则将所述可疑代码与备份代码进行比对,所述备份代码为所述网站的源码;若所述备份代码中不存在所述可疑代码,则将所述可疑代码确定为恶意代码。可选的,所述按照预设规则从所述待识别网络流量数据中获取可疑代码,包括:将所述待识别网络流量数据与恶意代码库进行比对,所述恶意代码库中包括预设的恶意代码样本;若所述待识别网络流量数据的部分或全部与所述恶意代码库中的任意恶意代码样本匹配,则将所述待识别网络流量数据的部分或全部确定为可疑代码。可选的,所述按照预设规则从所述待识别网络流量数据中获取可疑代码,包括:将所述待识别网络流量数据中的加密代码确定为可疑代码。可选的,所述将所述可疑代码输入代码识别模型中获得所述可疑代码的识别结果,包括:对所述可疑代码中的特征词汇进行标记得到标记值;将所述标记值输入代码识别模型中获得所述可疑代码的识别结果。可选的,所述将所述可疑代码与备份代码进行比对,包括:确定所述可疑代码的文件名,按照所述备份代码的索引从所述备份代码中查找所述文件名对应的代码进行比对。可选的,当所述备份代码的索引中常用代码的排序在不常用代码之前时,所述按照所述备份代码的索引从所述备份代码中查找所述文件名对应的代码进行比对,包括:将所述可疑代码的文件名输入代码分类模型,确定所述可疑代码的类型,所述类型包括常用代码或不常用代码;根据所述可疑代码的类型以及所述备份代码的索引从所述备份代码中查找所述文件名对应的代码进行比对。可选的,所述获取网站的待识别网络流量数据,包括:对所述网站的双向网络流量数据进行镜像,将镜像出的双向网络流量数据确定为待识别网络流量数据。第二方面,本专利技术提供一种恶意代码的识别装置,包括:第一获取模块,用于获取网站的待识别网络流量数据;第二获取模块,用于按照预设规则从所述待识别网络流量数据中获取可疑代码;识别模块,用于将所述可疑代码输入代码识别模型中获得所述可疑代码的识别结果;所述识别结果为恶意代码、正常代码或无法识别中的一种;比对模块,用于若所述识别结果为无法识别,则将所述可疑代码与备份代码进行比对,所述备份代码为所述网站的源码;若所述备份代码中不存在所述可疑代码,则将所述可疑代码确定为恶意代码。可选的,所述第二获取模块具体用于:将所述待识别网络流量数据与恶意代码库进行比对,所述恶意代码库中包括预设的恶意代码样本;若所述待识别网络流量数据的部分或全部与所述恶意代码库中的任意恶意代码样本匹配,则将所述待识别网络流量数据的部分或全部确定为可疑代码。可选的,所述第二获取模块具体用于:将所述待识别网络流量数据中的加密代码确定为可疑代码。可选的,所述识别模块具体用于:对所述可疑代码中的特征词汇进行标记得到标记值;将所述标记值输入代码识别模型中获得所述可疑代码的识别结果。可选的,所述比对模块具体用于:确定所述可疑代码的文件名,按照所述备份代码的索引从所述备份代码中查找所述文件名对应的代码进行比对。可选的,所述比对模块具体用于:当所述备份代码的索引中常用代码的排序在不常用代码之前时,将所述可疑代码的文件名输入代码分类模型,确定所述可疑代码的类型,所述类型包括常用代码或不常用代码;根据所述可疑代码的类型以及所述备份代码的索引从所述备份代码中查找所述文件名对应的代码进行比对。可选的,所述第一获取模块具体用于:对所述网站的双向网络流量数据进行镜像,将镜像出的双向网络流量数据确定为待识别网络流量数据。第三方面,本专利技术提供一种恶意代码的识别设备,包括存储器和处理器;所述存储器和所述处理器连接;所述存储器,用于存储计算机程序;所述处理器,用于在计算机程序被执行时,实现如上述第一方面中任一项所述的恶意代码的识别方法。第四方面,本专利技术提供一种存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,实现如上述第一方面中任一项所述的恶意代码的识别方法。本专利技术提供一种恶意代码的识别方法、装置、设备及存储介质,该方法包括获取网站的待识别网络流量数据;按照预设规则从该待识别网络流量数据中获取可疑代码;将该可疑代码输入代码识别模型中获得该可疑代码的识别结果;该识别结果为恶意代码、正常代码或无法识别中的一种;若该识别结果为无法识别,则将该可疑代码与备份代码进行比对,该备份代码为该网站的源码;若该备份代码中不存在该可疑代码,则将该可疑代码确定为恶意代码。该方法通过预设规则尽可能的获取可疑代码,并通过代码识别模型识别恶意代码,在代码识别模型无法识别的情况下,进一步通过备份代码比对确定恶意代码,提高了恶意代码识别的准确率。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图做一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术提供的一种恶意代码的识别方法的应用场景示意图;图2为本专利技术提供的一种恶意代码的识别方法的流程示意图;图3为本专利技术提供的一种恶意代码的识别装置的结构示意图;图4为本专利技术提供的一种恶意代码的识别设备的结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得本文档来自技高网...
【技术保护点】
1.一种恶意代码的识别方法,其特征在于,包括:/n获取网站的待识别网络流量数据;/n按照预设规则从所述待识别网络流量数据中获取可疑代码;/n将所述可疑代码输入代码识别模型中获得所述可疑代码的识别结果;所述识别结果为恶意代码、正常代码或无法识别中的一种;/n若所述识别结果为无法识别,则将所述可疑代码与备份代码进行比对,所述备份代码为所述网站的源码;/n若所述备份代码中不存在所述可疑代码,则将所述可疑代码确定为恶意代码。/n
【技术特征摘要】
1.一种恶意代码的识别方法,其特征在于,包括:
获取网站的待识别网络流量数据;
按照预设规则从所述待识别网络流量数据中获取可疑代码;
将所述可疑代码输入代码识别模型中获得所述可疑代码的识别结果;所述识别结果为恶意代码、正常代码或无法识别中的一种;
若所述识别结果为无法识别,则将所述可疑代码与备份代码进行比对,所述备份代码为所述网站的源码;
若所述备份代码中不存在所述可疑代码,则将所述可疑代码确定为恶意代码。
2.根据权利要求1所述的方法,其特征在于,所述按照预设规则从所述待识别网络流量数据中获取可疑代码,包括:
将所述待识别网络流量数据与恶意代码库进行比对,所述恶意代码库中包括预设的恶意代码样本;
若所述待识别网络流量数据的部分或全部与所述恶意代码库中的任意恶意代码样本匹配,则将所述待识别网络流量数据的部分或全部确定为可疑代码。
3.根据权利要求1所述的方法,其特征在于,所述按照预设规则从所述待识别网络流量数据中获取可疑代码,包括:
将所述待识别网络流量数据中的加密代码确定为可疑代码。
4.根据权利要求1所述的方法,其特征在于,所述将所述可疑代码输入代码识别模型中获得所述可疑代码的识别结果,包括:
对所述可疑代码中的特征词汇进行标记得到标记值;
将所述标记值输入代码识别模型中获得所述可疑代码的识别结果。
5.根据权利要求1所述的方法,其特征在于,所述将所述可疑代码与备份代码进行比对,包括:
确定所述可疑代码的文件名,按照所述备份代码的索引从所述备份代码中查找所述文件名对应的代码进行比对。
6.根据权利要求5所述的...
【专利技术属性】
技术研发人员:杨帆,
申请(专利权)人:泰康保险集团股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。