【技术实现步骤摘要】
恶意软件作者的关联扩展方法、设备、存储介质及装置
本专利技术涉及网络安全
,尤其涉及一种恶意软件作者的关联扩展方法、设备、存储介质及装置。
技术介绍
目前,对于恶意软件及恶意软件作者的识别,基于样本进行识别,比如,900万样本/天,匹配恶意软件符合的静态规则,从而根据匹配情况,识别出恶意软件作者(也可称为黑客)、灰客和白客,所述灰客是怀疑对象,可能是恶意软件作者,也可能不是,需要进一步判断,再获取行为规则,根据行为规则判断是普通木马、高级木马还是正常程序。将基于静态规则的分析结果结合基于行为规则的分析结果,进行人工关联分析,再获取历史版本的恶意软件作者信息,进行特征提取,分析语言、工作时间和回传控制网际协议(InternetProtocol,简写IP),再进一步识别是国内黑客还是境外组织,识别效率低。上述内容仅用于辅助理解本专利技术的技术方案,并不代表承认上述内容是现有技术。
技术实现思路
本专利技术的主要目的在于提供一种恶意软件作者的关联扩展方法、设备、存储介质及装置,旨在解决现有...
【技术保护点】
1.一种恶意软件作者的关联扩展方法,其特征在于,所述恶意软件作者的关联扩展方法包括以下步骤:/n获取多个恶意软件作者的用户终端在预设时间段内的运行特征;/n分别确定各运行特征在预设时间段内的变化规律;/n根据各变化规律对各恶意软件作者进行关联。/n
【技术特征摘要】
1.一种恶意软件作者的关联扩展方法,其特征在于,所述恶意软件作者的关联扩展方法包括以下步骤:
获取多个恶意软件作者的用户终端在预设时间段内的运行特征;
分别确定各运行特征在预设时间段内的变化规律;
根据各变化规律对各恶意软件作者进行关联。
2.如权利要求1所述的恶意软件作者的关联扩展方法,其特征在于,所述根据各变化规律对各恶意软件作者进行关联,具体包括:
根据各变化规律对各恶意软件作者进行聚类,获得聚类簇;
将所述聚类簇对应的恶意软件作者进行关联。
3.如权利要求1所述的恶意软件作者的关联扩展方法,其特征在于,所述分别确定各运行特征在预设时间段内的变化规律,具体包括:
根据预设时间段内的各运行特征绘制特征变化曲线,将所述特征变化曲线作为各运行特征对应的变化规律。
4.如权利要求1所述的恶意软件作者的关联扩展方法,其特征在于,所述分别确定各运行特征在预设时间段内的变化规律,具体包括:
获取预设时间段内的各运行特征的变化次数或变化频率,将所述变化次数或变化频率作为各运行特征对应的变化规律。
5.如权利要求1-4中任一项所述的恶意软件作者的关联扩展方法,其特征在于,所述运行特征包括外网IP地址。
6.如权利要求5所述的恶意软件作者的关联扩展方法,其特征在于,所述获取多个恶意软件作者的用户终端在预设时间段内的运行特征,具体包括:
获取多个恶意软件作者的用户终端在预设时间段内的运行信息;
从各运行信息中分别提取...
【专利技术属性】
技术研发人员:许益鑫,边亮,辛流通,
申请(专利权)人:苏州三六零智能安全科技有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。