【技术实现步骤摘要】
一种恶意文件识别方法、装置、电子设备及可读存储介质
本申请涉及数据识别
,特别涉及一种恶意文件识别方法、装置、电子设备及计算机可读存储介质。
技术介绍
随着电子信息化技术的不断发展,大量数据已经不再以纸质版进行存储,转而采用了更便于存储、编辑的电子化数据。包含大量敏感信息的电子化信息也常作为恶意攻击者的攻击或窃取对象。目前恶意分类技术主要包括静态特征分类和动态行为分类两种,其中静态特征分类常通过诸如YARA(是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具,YARA的每一条描述或规则都由一系列字符串和一个布尔型表达式构成,YARA可以提交给文件或在运行进程,以帮助研究人员识别其是否属于某个已进行规则描述的恶意软件)或杀毒软件的静态特征库以静态匹配的方式实现,而动态行为分析则主要依赖于已记录的行为特征。静态特征分类法存在无法应对加壳和混淆、只能对已知样本进行分类的缺陷,动态行为分类法则旨在面对一些需要另外软件或行为触发才能运行的恶意软件时由于行为特征的缺失存在分类准确率较低的问题。<...
【技术保护点】
1.一种恶意文件识别方法,其特征在于,包括:/n根据常规的静态恶意特征库确定待测文件的静态扫描结果;/n根据常规的恶意行为特征库确定所述待测文件的动态扫描结果;/n响应于所述静态扫描结果和所述动态扫描结果的结果类型不一致,识别出经执行脱壳解密操作后的待测文件中包含有的第一API和在执行过程中调用的第二API;/n对包含有所述第一API和所述第二API的识别结果进行聚类分析操作,得到重合度最高的目标API;/n根据所述目标API重新确定所述待测文件是否属于恶意文件。/n
【技术特征摘要】
1.一种恶意文件识别方法,其特征在于,包括:
根据常规的静态恶意特征库确定待测文件的静态扫描结果;
根据常规的恶意行为特征库确定所述待测文件的动态扫描结果;
响应于所述静态扫描结果和所述动态扫描结果的结果类型不一致,识别出经执行脱壳解密操作后的待测文件中包含有的第一API和在执行过程中调用的第二API;
对包含有所述第一API和所述第二API的识别结果进行聚类分析操作,得到重合度最高的目标API;
根据所述目标API重新确定所述待测文件是否属于恶意文件。
2.根据权利要求1所述的方法,其特征在于,还包括:
为所述待测文件设置虚拟执行环境,并在所述虚拟执行环境中设置恶意行为诱导执行插件,以便所述待测文件在所述诱导执行插件的诱导下执行恶意行为。
3.根据权利要求1所述的方法,其特征在于,所述恶意行为特征库包括有根据文件行为、注册表行为、网络行为等行为参数和不同行为的执行顺序参数生成的恶意行为特征。
4.根据权利要求1所述的方法,其特征在于,所述根据所述目标API重新确定所述待测文件是否属于恶意文件,包括:
判断所述目标API是否属于已知的恶意API;其中,所述恶意API指恶意文件为执行或辅助执行恶意行为设置的API;
若所述目标API属于已知的恶意API,确定所述待测文件属于恶意文件。
5.根据权利要求4所述的方法,其特征在于,还包括:
响应于所述目标API不属于已知的恶意API,获取所述目标API的执行相关信息,并在所述执行相关信息中包含已知的恶意信息时将所述待测文件确定为恶意文件;其中,所述执行相关信息包括执行环境、执行顺序、执行结果、执行结果的后续使用中的至少一项。
6.根据权利要求1-5任一项所述的方法,其特征在于,当所述静态扫描结果和所述动态扫描结果的结果类...
【专利技术属性】
技术研发人员:赵旭华,
申请(专利权)人:珠海城市职业技术学院,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。