本申请提供一种同源分析知识库的构建方法、同源分析方法及装置,该同源分析知识库的构建方法包括:收集种子样本文件及其在在沙箱中运行时产生的中间文件;对上述两个文件进行格式识别,得到格式识别结果;对上述两个文件进行分析,得到与格式识别结果相匹配的模糊哈希;获取与模糊哈希相匹配的背景信息;根据背景信息,计算模糊哈希对应的同源权值;根据模糊哈希、同源权值以及背景信息,构建同源分析知识库。可见,该方法能够自动提取各种样本文件的模糊哈希和全局唯一标识符并形成同源知识库,以使各类设备可以根据该同源知识库进行自动化同源分析,从而避免传统方法中对人工分析的依赖,进而有利于提高同源分析效率与同源分析准确性。分析准确性。分析准确性。
【技术实现步骤摘要】
一种同源分析知识库的构建方法、同源分析方法及装置
[0001]本申请涉及网络安全领域,具体而言,涉及一种同源分析知识库的构建方法、同源分析方法及装置。
技术介绍
[0002]网络攻击是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的攻击动作,网络攻击具体包含破坏、修改、使软件或服务不可用等行为。
[0003]近年来,网络安全问题日益突出,网络攻击呈现出高发且复杂化的趋势。 为了解决该类网络攻击的问题,各个企业或厂商都会聘用一些专业人才来对网络数据进行分析,从而使之能够应对不同的网络威胁。然而,在实践中发现,该种方式中仍然无法及时、高效地对网络数据进行分析,从而导致网络威胁仍然存在;同时,该种方式中人力限制较大,不利于高效、准确地进行网络安全防护。
技术实现思路
[0004]本申请实施例的目的在于提供一种同源分析知识库的构建方法、同源分析方法及装置,能够自动提取各种样本文件的模糊哈希和全局唯一标识符并形成同源知识库,以使各类设备可以根据该同源知识库进行自动化同源分析,从而避免传统方法中对人工分析的依赖,进而有利于提高同源分析效率与同源分析准确性。
[0005]本申请实施例第一方面提供了一种同源分析知识库的构建方法,包括:收集种子样本文件;收集所述种子样本文件在沙箱中运行时产生的中间文件;对所述种子样本文件和所述中间文件进行格式识别,得到格式识别结果;对所述种子样本文件和所述中间文件进行分析,得到与所述格式识别结果相匹配的模糊哈希和/或全局唯一标识符;获取与所述模糊哈希和/或全局唯一标识符相匹配的背景信息;根据所述背景信息,计算所述模糊哈希和/或所述全局唯一标识符对应的同源权值;根据所述模糊哈希和/或所述全局唯一标识符、所述同源权值以及所述背景信息,构建同源分析知识库。
[0006]在上述实现过程中,该方法能够优先根据种子样本文件和沙箱中间文件确定对应的模糊哈希和全局唯一标识符,然后再通过该模糊哈希和全局唯一标识符相匹配的背景信息,再后该方法能够根据获取到的模糊哈希、全局唯一标识符和背景信息构建同源分析知识库,以使该同源分析知识库能够用于同源分析的过程中,从而提高同源分析的自动化程度和分析精度。
[0007]进一步地,所述收集种子样本文件的步骤,包括:收集原始样本文件;
对所述原始样本进行分类整理,得到种子样本文件;其中,所述种子样本文件包括白样本文件、木马家族样本文件、APT组织样本文件中的一种或者多种。
[0008]进一步地,所述对所述种子样本文件和所述中间文件进行分析,得到与所述格式识别结果相匹配的模糊哈希和/或全局唯一标识符的步骤,包括:确定与所述格式识别结果相匹配的静态解析和分析方案;根据所述静态解析和分析方案,对所述种子样本文件和所述中间文件进行分析,得到模糊哈希和/或全局唯一标识符。
[0009]进一步地,所述根据所述背景信息,计算所述模糊哈希和/或所述全局唯一标识符对应的同源权值的步骤包括:确定所述模糊哈希和/或所述全局唯一标识符相匹配的至少一个家族组织;确定所述模糊哈希和/或所述全局唯一标识符在所述至少一个家族组织中出现的至少一个目标次数;根据所述至少一个目标次数进行计算,得到总出现次数;根据所述至少一个目标次数和所述总出现次数,计算所述模糊哈希和/或所述全局唯一标识符对应的同源权值。
[0010]本申请实施例第二方面提供了一种同源分析方法,所述同源分析方法中使用的同源分析知识库是通过本申请实施例第一方面中任一项所述的同源分析知识库的构建方法进行构建得到的,所述方法包括:收集待分析样本文件;收集所述待分析样本文件在沙箱中运行时产生的中间文件;对所述待分析样本文件和所述中间文件进行格式识别,得到格式识别结果;对所述待分析样本文件和所述中间文件进行分析,得到与所述格式识别结果相匹配的模糊哈希和/或全局唯一标识符;根据所述同源分析知识库,确定与所述模糊哈希和/或所述全局唯一标识符相匹配的同源结果和同源信度。
[0011]在上述实现过程中,该方法可以通过同源分析知识库对待分析文件地模糊哈希和全局唯一标识符进行同源分析,从而得到相应的同源结果和同源信度,进而使得用户能够根据该同源结果和同源信度进行其他的安全分析与防护操作。
[0012]进一步地,所述根据所述同源分析知识库,确定与所述模糊哈希和/或所述全局唯一标识符相匹配的同源结果和同源信度的步骤包括:在所述同源分析知识库中,查询与所述模糊哈希和/或所述全局唯一标识符相匹配的同源结果和匹配度;在所述同源分析知识库中,获取与所述同源结果相匹配的同源权值;计算所述匹配度和所述同源权值的乘积,得到同源信度值;根据所述同源信度值,确定与所述模糊哈希和/或所述全局唯一标识符相匹配的同源信度。
[0013]本申请实施例第三方面提供了一种同源分析知识库的构建装置,所述同源分析知识库的构建装置包括:第一收集单元,用于收集种子样本文件;
所述第一收集单元,还用于收集所述种子样本文件在沙箱中运行时产生的中间文件;第一识别单元,用于对所述种子样本文件和所述中间文件进行格式识别,得到格式识别结果;第一分析单元,用于对所述种子样本文件和所述中间文件进行分析,得到与所述格式识别结果相匹配的模糊哈希和/或全局唯一标识符;第一获取单元,用于与所述模糊哈希和/或全局唯一标识符相匹配的背景信息;第一计算单元,用于根据所述背景信息,计算所述模糊哈希和/或所述全局唯一标识符对应的同源权值;第一构建单元,用于根据所述模糊哈希和/或所述全局唯一标识符、所述同源权值以及所述背景信息,构建同源分析知识库。
[0014]本申请实施例第四方面提供了一种同源分析装置,所述同源分析装置中使用的同源分析知识库是通过本申请实施例第三方面所述的同源分析知识库的构建装置构建的,所述同源分析装置包括:第二收集单元,用于收集待分析样本文件;所述第二收集单元,还用于收集所述待分析样本文件在沙箱中运行时产生的中间文件;第二识别单元,用于对所述待分析样本文件和所述中间文件进行格式识别,得到格式识别结果;第二分析单元,用于对所述待分析样本文件和所述中间文件进行分析,得到与所述格式识别结果相匹配的模糊哈希和/或全局唯一标识符;第二确定单元,用于根据所述同源分析知识库,确定与所述模糊哈希和/或所述全局唯一标识符相匹配的同源结果和同源信度。
[0015]本申请实施例第五方面提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例第一方面中任一项所述的同源分析知识库的构建方法。
[0016]本申请实施例第六方面提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例第一方面中任一项所述的同源分析知识库的构建方法。
附图说明
[0017]为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种同源分析知识库的构建方法,其特征在于,包括:收集种子样本文件;收集所述种子样本文件在沙箱中运行时产生的中间文件;对所述种子样本文件和所述中间文件进行格式识别,得到格式识别结果;对所述种子样本文件和所述中间文件进行分析,得到与所述格式识别结果相匹配的模糊哈希和/或全局唯一标识符;获取与所述模糊哈希和/或全局唯一标识符相匹配的背景信息;根据所述背景信息,计算所述模糊哈希和/或所述全局唯一标识符对应的同源权值;根据所述模糊哈希和/或所述全局唯一标识符、所述同源权值以及所述背景信息,构建同源分析知识库。2.根据权利要求1所述的同源分析知识库的构建方法,其特征在于,所述收集种子样本文件的步骤,包括:收集原始样本文件;对所述原始样本进行分类整理,得到种子样本文件;其中,所述种子样本文件包括白样本文件、木马家族样本文件、APT组织样本文件中的一种或者多种。3.根据权利要求1所述的同源分析知识库的构建方法,其特征在于,所述对所述种子样本文件和所述中间文件进行分析,得到与所述格式识别结果相匹配的模糊哈希和/或全局唯一标识符的步骤,包括:确定与所述格式识别结果相匹配的静态解析和分析方案;根据所述静态解析和分析方案,对所述种子样本文件和所述中间文件进行分析,得到模糊哈希和/或全局唯一标识符。4.根据权利要求1所述的同源分析知识库的构建方法,其特征在于,所述根据所述背景信息,计算所述模糊哈希和/或所述全局唯一标识符对应的同源权值的步骤包括:确定所述模糊哈希和/或所述全局唯一标识符相匹配的至少一个家族组织;确定所述模糊哈希和/或所述全局唯一标识符在所述至少一个家族组织中出现的至少一个目标次数;根据所述至少一个目标次数进行计算,得到总出现次数;根据所述至少一个目标次数和所述总出现次数,计算所述模糊哈希和/或所述全局唯一标识符对应的同源权值。5.一种同源分析方法,其特征在于,所述同源分析方法中使用的同源分析知识库是通过权利要求1至4中任一项所述的同源分析知识库的构建方法进行构建得到的,包括:收集待分析样本文件;收集所述待分析样本文件在沙箱中运行时产生的中间文件;对所述待分析样本文件和所述中间文件进行格式识别,得到格式识别结果;对所述待分析样本文件和所述中间文件进行分析,得到与所述格式识别结果相匹配的模糊哈希和/或全局唯一标识符;根据所述同源分析知识库,确定与所述模糊哈希和/或所述全局唯一标识符相匹配的同源结果和同源信度。6.根据权利要求5所述...
【专利技术属性】
技术研发人员:康吉金,曹剑锐,樊兴华,薛锋,
申请(专利权)人:北京微步在线科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。