【技术实现步骤摘要】
恶意软件作者识别方法、设备、存储介质及装置
本专利技术涉及自动化
,尤其涉及一种恶意软件作者识别方法、设备、存储介质及装置。
技术介绍
目前,对于恶意软件及恶意软件作者的识别,基于样本进行识别,比如,900万样本/天,匹配恶意软件符合的静态规则,从而根据匹配情况,识别出恶意软件作者(也可称为黑客)、灰客和白客,所述灰客是怀疑对象,可能是恶意软件作者,也可能不是,需要进一步判断,再获取行为规则,根据行为规则判断是普通木马、高级木马还是正常程序。将基于静态规则的分析结果结合基于行为规则的分析结果,进行人工关联分析,再获取历史版本的恶意软件作者信息,进行特征提取,分析语言、工作时间和回传控制网际协议(InternetProtocol,简写IP),再进一步识别是国内黑客还是境外组织。但是,基于大量样本的识别过程复杂,导致恶意软件作者的识别效率低。上述内容仅用于辅助理解本专利技术的技术方案,并不代表承认上述内容是现有技术。
技术实现思路
本专利技术的主要目的在于提供一种恶意软件作者识别方法、设备、存储...
【技术保护点】
1.一种恶意软件作者识别方法,其特征在于,所述恶意软件作者识别方法包括以下步骤:/n获取待识别用户的用户终端的运行信息;/n根据所述运行信息获取所述待识别用户的目标运行特征;/n将所述目标运行特征与预设恶意特征进行匹配,获得所述目标运行特征与预设恶意特征之间的特征匹配度;/n在所述特征匹配度超过预设匹配度阈值时,将所述待识别用户作为恶意软件作者。/n
【技术特征摘要】
1.一种恶意软件作者识别方法,其特征在于,所述恶意软件作者识别方法包括以下步骤:
获取待识别用户的用户终端的运行信息;
根据所述运行信息获取所述待识别用户的目标运行特征;
将所述目标运行特征与预设恶意特征进行匹配,获得所述目标运行特征与预设恶意特征之间的特征匹配度;
在所述特征匹配度超过预设匹配度阈值时,将所述待识别用户作为恶意软件作者。
2.如权利要求1所述的恶意软件作者识别方法,其特征在于,所述目标运行特征包括:静态运行特征和动态运行特征。
3.如权利要求2所述的恶意软件作者识别方法,其特征在于,所述静态运行特征包括:用户终端中存在新测试样本、IP地址是境外IP地址、用户终端中存在处于预设位置的可执行文件、运行信息中存在恶意关键词和系统语言包括预设系统语言中的至少一项。
4.如权利要求2所述的恶意软件作者识别方法,其特征在于,所述动态运行特征包括在虚拟机中运行新测试样本,和/或,同名可执行文件的变换频率超过预设变换阈值。
5.如权利要求1-3中任一项所述的恶意软件作者识别方法,其特征在于,所述根据所述运行信息获取所述待识别用户的目标运行特征,具体包括:
根据所述运行信息获取新测试样本;
判断所述新测试样本是否为恶意软件;
在所述新测试样本为恶意软件时,将用户终端中存在新测试样本作为所述待识别用户的目标运行特征。
6.如权利要求1-3中任一项所述的恶意软件作者识别方法,其特征在于,所述根据所述运行信息获取所述待识别用户的目标运行特征,具体包括:
对所述运行信息进行分词处理,获得所述运行信息对应的词语;
获取预设恶意...
【专利技术属性】
技术研发人员:许益鑫,边亮,辛流通,
申请(专利权)人:苏州三六零智能安全科技有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。