【技术实现步骤摘要】
恶意程序识别方法及装置、存储介质、电子设备
本公开涉及安全
,具体而言,涉及一种恶意程序识别方法、恶意程序识别装置、电子设备以及计算机可读存储介质。
技术介绍
随着云计算的快速发展和普及,虚拟机(VirtualMachine,VM)技术使用的也越来越多,这就使得网络恶意攻击开始针对VM作为目标。rootkit,是指恶意计算机软件的集合,该软件被设计为允许访问计算机或其他未经许可的软件区域(如未经授权的用户),并经常掩盖其存在或其他软件的存在。需要说明的是,在上述
技术介绍
部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
技术实现思路
本公开的目的在于提供一种恶意程序识别方法、恶意程序识别装置、电子设备以及计算机可读存储介质,进而在一定程度上克服现有的防病毒解决方案无法发现未知恶意程序,且无法检测内核级恶意程序的问题。根据本公开的一个方面,提供一种恶意程序识别方法,包括:确定虚拟机的虚拟内存信息,并根据虚拟内存信息确定待检测内存数...
【技术保护点】
1.一种恶意程序识别方法,其特征在于,包括:/n确定虚拟机的虚拟内存信息,并根据所述虚拟内存信息确定待检测内存数据;/n对所述待检测内存数据进行特征提取处理,得到待检测内存特征;/n对所述待检测内存特征进行分类识别处理,得到所述虚拟机的内存分类结果;/n根据所述内存分类结果确定所述虚拟机中是否存在恶意程序。/n
【技术特征摘要】
1.一种恶意程序识别方法,其特征在于,包括:
确定虚拟机的虚拟内存信息,并根据所述虚拟内存信息确定待检测内存数据;
对所述待检测内存数据进行特征提取处理,得到待检测内存特征;
对所述待检测内存特征进行分类识别处理,得到所述虚拟机的内存分类结果;
根据所述内存分类结果确定所述虚拟机中是否存在恶意程序。
2.根据权利要求1所述的方法,其特征在于,所述确定虚拟机的虚拟内存信息,包括:
获取所述虚拟机的快照数据,并从所述快照数据中确定易失性内存转储文件;
将所述易失性内存转储文件作为所述虚拟内存信息。
3.根据权利要求1所述的方法,其特征在于,所述根据所述虚拟内存信息确定待检测内存数据,包括:
获取内存信息提取插件;
通过所述内存信息提取插件对所述虚拟内存信息进行信息提取,以得到所述待检测内存数据。
4.根据权利要求1或3所述的方法,其特征在于,所述待检测内存数据包括以下数据中的一种或多种:内核模块数据、驱动程序对象数据、设备树数据、系统服务描述符表数据以及回调数据。
5.根据权利要求1所述的方法,其特征在于,所述待检测内存数据包括驱动程序对象数据,所述待检测内存特征包括驱动程序对象的对象分数;
所述对所述待检测内存数据进行特征提取处理,得到待检测内存特征,包括:
从所述驱动程序对象数据中确定所述驱动程序对象的多个对象状态条件;
确定所述驱动程序对象在各所述对象状态条件下分别对应的对象子分数;
对多个所述对象子分数进行加权计算处理,以得到所述对象分数。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取预先构建的内存信息分类模型;
通过所述内存信息分类模型对所述待检测内存特征进行分类识别处理,得到所述虚拟机的内存分类结果。
7.根据权利要求6所述的方法,其特征在于,所述内存信息分类模型通过下述步骤训练得到:
获取内存信息数据集;所述内存信息数据集包括多个虚拟机的训练内存数据;
根据各所述训练内存数据确定对应的训练内存特征,以生成内存特征训练集;
获取初始聚类模型,基于所述内存特征训练集对所述初始聚类模型进行训练,以得到所述内存信息分类模型。
8.根据权利要求6所述的方法,其特征在于,所述通过所述内存信息分类模型对所述待检测内存特征进行分类识别处理,得到所述虚拟机的内存分类结果,包括:
对所述待检测内存特征进行特征聚合处理,以生成对应的待检测对象;
确定多个参考虚拟机,并分别确定各所述参考虚拟机的参考内存特征;
对各所述参考虚拟机的参考内存特征进行所述特征聚合处理,以分别生成对应的相邻对象;
确定所述待检测对象与各所述相邻对象之间的局部密度偏差值;
根据所述局部密度偏差值确定所述内存分类结果。
...
【专利技术属性】
技术研发人员:范宇河,甘祥,郑兴,彭婧,郭晶,刘羽,唐文韬,申军利,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。