本发明专利技术公开了一种恶意软件作者的关联扩展方法、设备、存储介质及装置,该方法包括:获取多个恶意软件作者的用户终端在预设时间段内的运行特征;分别确定各运行特征在预设时间段内的变化规律;根据各变化规律对各恶意软件作者进行关联。本发明专利技术中,通过对恶意软件作者的运行特征进行分析,确定各恶意软件作者之前的关联关系,从而能够定位恶意软件作者团队,以对恶意软件作者团队进行追踪,提高恶意软件的识别效率。
Association extension methods, devices, storage media and devices of malware authors
【技术实现步骤摘要】
恶意软件作者的关联扩展方法、设备、存储介质及装置
本专利技术涉及网络安全
,尤其涉及一种恶意软件作者的关联扩展方法、设备、存储介质及装置。
技术介绍
目前,对于恶意软件及恶意软件作者的识别,基于样本进行识别,比如,900万样本/天,匹配恶意软件符合的静态规则,从而根据匹配情况,识别出恶意软件作者(也可称为黑客)、灰客和白客,所述灰客是怀疑对象,可能是恶意软件作者,也可能不是,需要进一步判断,再获取行为规则,根据行为规则判断是普通木马、高级木马还是正常程序。将基于静态规则的分析结果结合基于行为规则的分析结果,进行人工关联分析,再获取历史版本的恶意软件作者信息,进行特征提取,分析语言、工作时间和回传控制网际协议(InternetProtocol,简写IP),再进一步识别是国内黑客还是境外组织,识别效率低。上述内容仅用于辅助理解本专利技术的技术方案,并不代表承认上述内容是现有技术。
技术实现思路
本专利技术的主要目的在于提供一种恶意软件作者的关联扩展方法、设备、存储介质及装置,旨在解决现有技术中恶意软件及恶意软件作者的识别效率低的技术问题。为实现上述目的,本专利技术提供一种恶意软件作者的关联扩展方法,所述恶意软件作者的关联扩展方法包括以下步骤:获取多个恶意软件作者的用户终端在预设时间段内的运行特征;分别确定各运行特征在预设时间段内的变化规律;根据各变化规律对各恶意软件作者进行关联。优选地,所述根据各变化规律对各恶意软件作者进行关联,具体包括:根据各变化规律对各恶意软件作者进行聚类,获得聚类簇;将所述聚类簇对应的恶意软件作者进行关联。优选地,所述根据各变化规律对各恶意软件作者进行聚类,获得聚类簇,具体包括:计算各变化规律之间的相似度;根据各相似度对各恶意软件作者进行聚类,获得聚类簇。优选地,所述根据各相似度对各恶意软件作者进行聚类,获得聚类簇,具体包括:将各变化规律作为节点,将各相似度作为各节点的值,构建相似度矩阵;根据所述相似度矩阵,通过亲和传播聚类算法对各恶意软件作者进行聚类,获得聚类簇。优选地,所述将所述聚类簇对应的恶意软件作者进行关联,具体包括:获取所述聚类簇对应的相似度;判断所述聚类簇对应的相似度是否大于预设相似度阈值;在所述聚类簇对应的相似度大于所述预设相似度阈值时,将所述聚类簇对应的恶意软件作者进行关联。优选地,所述在所述聚类簇对应的相似度大于所述预设相似度阈值时,将所述聚类簇对应的恶意软件作者进行关联,具体包括:在所述聚类簇对应的相似度大于所述预设相似度阈值时,获取所述聚类簇中成员数量;判断所述成员数量是否大于预设数量阈值;在所述成员数量大于所述预设数量阈值时,将所述聚类簇对应的恶意软件作者进行关联。优选地,所述分别确定各运行特征在预设时间段内的变化规律,具体包括:根据预设时间段内的各运行特征绘制特征变化曲线,将所述特征变化曲线作为各运行特征对应的变化规律。优选地,所述分别确定各运行特征在预设时间段内的变化规律,具体包括:获取预设时间段内的各运行特征的变化次数或变化频率,将所述变化次数或变化频率作为各运行特征对应的变化规律。优选地,所述分别确定各运行特征在预设时间段内的变化规律,具体包括:获取预设时间段内的各运行特征每次产生的变化幅度,将每次产生的变化幅度作为各运行特征对应的变化规律。优选地,所述运行特征包括外网IP地址。优选地,所述获取多个恶意软件作者的用户终端在预设时间段内的运行特征,具体包括:获取多个恶意软件作者的用户终端在预设时间段内的运行信息;从各运行信息中分别提取对应的多个待确认IP地址;计算各待确认IP地址在所述预设时间段内的出现频率;将最高出现频率的待确认IP地址作为各用户终端的外网IP地址。优选地,所述从各运行信息中分别提取对应的多个待确认IP地址,具体包括:从各运行信息中分别提取各用户终端的MAC地址;根据各MAC地址查找对应的多个待确认IP地址。优选地,所述获取多个恶意软件作者的用户终端在预设时间段内的运行特征,具体包括:获取多个恶意软件作者的用户终端在预设时间段内的运行信息;判断各运行信息中是否存在预设操作类型;若各运行信息中存在所述预设操作类型,获取所述预设操作类型对应的操作时间;根据所述操作时间查找对应的外网IP地址。优选地,所述判断各运行信息中是否存在预设操作类型,具体包括:从各运行信息中提取用户操作对应的网页地址;获取各网页地址的目标主站信息;根据各目标主站信息判断各网页地址对应的目标页面是否为正常页面;在各目标页面是正常页面时,认定各运行信息中存在预设操作类型。优选地,所述根据各目标主站信息判断各网页地址对应的目标页面是否为正常页面,具体包括:将各目标主站信息与预设主站信息库中的主站信息进行匹配;若匹配成功,则认定各网页地址对应的目标页面是正常页面。优选地,所述预设操作类型包括浏览网页、网购、打游戏或观看视频。此外,为实现上述目的,本专利技术还提出一种恶意软件作者的关联扩展设备,所述恶意软件作者的关联扩展设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的恶意软件作者的关联扩展程序,所述恶意软件作者的关联扩展程序配置为实现如上文所述的恶意软件作者的关联扩展方法的步骤。此外,为实现上述目的,本专利技术还提出一种存储介质,所述存储介质上存储有恶意软件作者的关联扩展程序,所述恶意软件作者的关联扩展程序被处理器执行时实现如上文所述的恶意软件作者的关联扩展方法的步骤。此外,为实现上述目的,本专利技术还提出一种恶意软件作者的关联扩展装置,所述恶意软件作者的关联扩展装置包括:获取模块,用于获取多个恶意软件作者的用户终端在预设时间段内的运行特征;确定模块,用于分别确定各运行特征在预设时间段内的变化规律;关联模块,用于根据各变化规律对各恶意软件作者进行关联。优选地,所述关联模块,还用于根据各变化规律对各恶意软件作者进行聚类,获得聚类簇;将所述聚类簇对应的恶意软件作者进行关联。本专利技术中,通过获取多个恶意软件作者的用户终端在预设时间段内的运行特征,分别确定各运行特征在预设时间段内的变化规律,存在关联关系的恶意软件作者通常具有相似的变化规律;根据各变化规律对各恶意软件作者进行关联,通过对恶意软件作者的运行特征进行分析,确定各恶意软件作者之前的关联关系,从而能够定位恶意软件作者团队,以对恶意软件作者团队进行追踪,提高恶意软件的识别效率。附图说明图1是本专利技术实施例方案涉及的硬件运行环境的恶意软件作者的关联扩展设备的结构示意图;图2为本专利技术恶意软件作者的关联扩展方法第一实施例的流程示意图;图3为本专利技术恶意软件作者的本文档来自技高网...
【技术保护点】
1.一种恶意软件作者的关联扩展方法,其特征在于,所述恶意软件作者的关联扩展方法包括以下步骤:/n获取多个恶意软件作者的用户终端在预设时间段内的运行特征;/n分别确定各运行特征在预设时间段内的变化规律;/n根据各变化规律对各恶意软件作者进行关联。/n
【技术特征摘要】
1.一种恶意软件作者的关联扩展方法,其特征在于,所述恶意软件作者的关联扩展方法包括以下步骤:
获取多个恶意软件作者的用户终端在预设时间段内的运行特征;
分别确定各运行特征在预设时间段内的变化规律;
根据各变化规律对各恶意软件作者进行关联。
2.如权利要求1所述的恶意软件作者的关联扩展方法,其特征在于,所述根据各变化规律对各恶意软件作者进行关联,具体包括:
根据各变化规律对各恶意软件作者进行聚类,获得聚类簇;
将所述聚类簇对应的恶意软件作者进行关联。
3.如权利要求1所述的恶意软件作者的关联扩展方法,其特征在于,所述分别确定各运行特征在预设时间段内的变化规律,具体包括:
根据预设时间段内的各运行特征绘制特征变化曲线,将所述特征变化曲线作为各运行特征对应的变化规律。
4.如权利要求1所述的恶意软件作者的关联扩展方法,其特征在于,所述分别确定各运行特征在预设时间段内的变化规律,具体包括:
获取预设时间段内的各运行特征的变化次数或变化频率,将所述变化次数或变化频率作为各运行特征对应的变化规律。
5.如权利要求1-4中任一项所述的恶意软件作者的关联扩展方法,其特征在于,所述运行特征包括外网IP地址。
6.如权利要求5所述的恶意软件作者的关联扩展方法,其特征在于,所述获取多个恶意软件作者的用户终端在预设时间段内的运行特征,具体包括:
获取多个恶意软件作者的用户终端在预设时间段内的运行信息;
从各运行信息中分别提取...
【专利技术属性】
技术研发人员:许益鑫,边亮,辛流通,
申请(专利权)人:苏州三六零智能安全科技有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。