本申请公开了一种基于软件基因的软件识别方法、装置以及存储介质。其中,该方法包括:提取目标软件家族的关键软件基因集合,关键软件基因集合包含目标软件家族的关键软件基因,并且关键软件基因集合能够覆盖目标软件家族的所有样本软件,并且目标软件家族之外的其他样本软件不包含该目标软件家族的关键软件基因;根据目标软件家族的关键软件基因集合生成相应的第一识别规则集合,其中第一识别规则集合包含分别与关键软件基因对应的识别规则,用于识别包含相应的关键软件基因的样本软件;以及对第一识别规则集合中的识别规则进行筛选,确定第二识别规则集合,其中第二识别规则集合能够覆盖目标软件家族的所有样本软件。能够覆盖目标软件家族的所有样本软件。能够覆盖目标软件家族的所有样本软件。
【技术实现步骤摘要】
基于软件基因的软件识别方法、装置以及存储介质
[0001]本申请涉及软件工程和信息安全
,特别是涉及一种基于软件基因的软件识别方法、装置以及存储介质。
技术介绍
[0002]随着互联网技术的飞速发展,各种网络安全问题层出不穷。尤其是出现了各种基于政治或经济利益而进行长期网络攻击活动的组织团体,这类团体所开发的恶意软件不断改良变异,形成了软件代码的独特遗传性特点,从而形成了不同的恶意软件家族(如APT家族、勒索家族、工控恶意软件家族等),这些恶意软件家族的攻击行为给个人、企业,甚至国家带来了巨大的经济损失。因此,如何快速准确识别恶意软件及其家族信息,对保障人民财产安全、构建网络安全和国家安全具有极其重要的意义。
[0003]传统的恶意软件家族分析方法中,基于软件基因标签库的分析方法包括:获取待分析软件;对待分析软件的代码执行片段化操作,得到待分析软件的软件基因组;对软件基因组中的每个软件基因执行归一化操作,得到目标软件基因组;基于软件基因库确定目标软件基因组中的每个软件基因所属的预设软件,并确定待分析软件所属的软件家族。
[0004]但是基于软件基因标签库分析方法又有着以下缺点:需要事先分析海量的恶意软件家族样本,来构建每条基因到软件家族样本的对应关系数据;对于新的恶意软件基因由于标签库中没有相应的数据,将无法得到家族归属信息;构建海量标签库困难,不容易迭代,数据库庞大不便于嵌入产品。
[0005]针对上述的现有技术中存在的分析软件及其家族信息时出现的工作量大、识别率低以及数据量大不易操作的技术问题,目前尚未提出有效的解决方案。
技术实现思路
[0006]本申请的实施例提供了一种基于软件基因的软件识别方法、装置以及存储介质,以至少解决现有技术中存在的分析软件及其家族信息时出现的工作量大、识别率低以及数据量大不易操作的技术问题。
[0007]根据本申请实施例的一个方面,提供了一种基于软件基因的软件识别方法,包括:提取目标软件家族的关键软件基因集合,关键软件基因集合包含目标软件家族的关键软件基因,并且关键软件基因集合能够覆盖目标软件家族的所有样本软件,并且目标软件家族之外的其他样本软件不包含关键软件基因;根据目标软件家族的关键软件基因集合生成相应的第一识别规则集合,其中第一识别规则集合包含分别与关键软件基因对应的识别规则,用于识别包含相应的关键软件基因的样本软件;以及对第一识别规则集合中的识别规则进行筛选,确定第二识别规则集合,其中第二识别规则集合能够覆盖目标软件家族的所有样本软件。
[0008]根据本申请实施例的另一个方面,还提供了一种存储介质,存储介质包括存储的程序,其中,在程序运行时由处理器执行以上任意一项所述的方法。
[0009]根据本申请实施例的另一个方面,还提供了一种基于软件基因的软件识别装置,包括:第一提取模块,用于提取目标软件家族的关键软件基因集合,关键软件基因集合包含目标软件家族的关键软件基因,并且关键软件基因集合能够覆盖目标软件家族的所有样本软件,并且目标软件家族之外的其他样本软件不包含关键软件基因;第一生成模块,用于根据目标软件家族的关键软件基因集合生成相应的第一识别规则集合,其中第一识别规则集合包含分别与关键软件基因对应的识别规则,用于识别包含相应的关键软件基因的样本软件;以及第一确定模块,对第一识别规则集合中的识别规则进行筛选,确定第二识别规则集合,其中第二识别规则集合能够覆盖目标软件家族的所有样本软件。
[0010]根据本申请实施例的另一个方面,还提供了一种基于软件基因的软件识别装置,包括:处理器;以及存储器,与处理器连接,用于为处理器提供处理以下处理步骤的指令:提取目标软件家族的关键软件基因集合,关键软件基因集合包含目标软件家族的关键软件基因,并且关键软件基因集合能够覆盖目标软件家族的所有样本软件,并且目标软件家族之外的其他样本软件不包含关键软件基因;根据目标软件家族的关键软件基因集合生成相应的第一识别规则集合,其中第一识别规则集合包含分别与关键软件基因对应的识别规则,用于识别包含相应的关键软件基因的样本软件;以及对第一识别规则集合中的识别规则进行筛选,确定第二识别规则集合,其中第二识别规则集合能够覆盖目标软件家族的所有样本软件。
[0011]在本申请实施例中,计算设备通过提取目标软件家族的关键软件基因,用以标识目标软件家族的家族基因特征。由于软件基因具有物质性和信息性相统一的特点,可以用来表示软件家族的样本软件的遗传性,使用软件基因识别软件的家族归属更合理、解释性更好。之后计算设备利用可以覆盖所有样本软件的关键软件基因生成最少的识别规则,减少后续的识别次数,提高效率。之后计算设备将识别规则进行筛选,得到覆盖率最高,错误率最小的最优识别规则,从而可以利用最优识别规则快速准确地识别软件所属家族。从而本技术方案与软件基因标签库分析方法相比,不需要构建每条基因到各个软件家族样本的对应关系数据,也不需要构建海量的标签库。因此,与现有技术相比,本申请实施例的技术方案不需要搭建每个软件的运行环境,也无需对每个样本软件进行复杂的预处理操作,更无需对样本软件进行专业的人工逆向分析。进而解决了现有技术中存在的分析软件及其家族信息时出现的工作量大、识别率低以及数据量大不易操作的技术问题。
附图说明
[0012]此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
[0013]图1是用于实现根据本申请实施例1所述的方法的计算设备的硬件结构框图;
[0014]图2是根据本申请实施例1的第一个方面所述的基于软件基因的软件识别方法的流程示意图;
[0015]图3是根据本申请实施例1的第一个方面所述的基于软件基因的软件识别方法的另一个流程示意图;
[0016]图4是根据本申请实施例2所述的基于软件基因的软件识别装置的示意图;以及
[0017]图5是根据本申请实施例3所述的基于软件基因的软件识别装置的示意图。
具体实施方式
[0018]为了使本
的人员更好地理解本申请的技术方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
[0019]需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于软件基因的软件识别方法,其特征在于,包括:提取目标软件家族的关键软件基因集合,所述关键软件基因集合包含所述目标软件家族的关键软件基因,并且所述关键软件基因集合能够覆盖所述目标软件家族的所有样本软件,并且所述目标软件家族之外的其他样本软件不包含所述关键软件基因;根据所述目标软件家族的关键软件基因集合生成相应的第一识别规则集合,其中所述第一识别规则集合包含分别与所述关键软件基因对应的识别规则,用于识别包含相应的关键软件基因的样本软件;以及对所述第一识别规则集合中的识别规则进行筛选,确定第二识别规则集合,其中所述第二识别规则集合能够覆盖所述目标软件家族的所有样本软件。2.根据权利要求1所述的方法,其特征在于,提取目标软件家族的关键软件基因集合的操作,包括:提取所述目标软件家族的样本软件所包含的家族软件基因;从所述目标软件家族的家族软件基因中筛选得到独特遗传性软件基因,其中所述独特遗传性软件基因用于指示所述目标软件家族的家族基因特征;以及从所述目标软件家族的独特遗传性软件基因中确定用于标识所述目标软件家族的关键软件基因集合。3.根据权利要求1所述的方法,其特征在于,根据所述目标软件家族的关键软件基因集合生成相应的第一识别规则集合的操作,包括:根据所述关键软件基因集合中的每个关键软件基因,生成相应的二进制识别规则,并构成所述第一识别规则集合,其中所述二进制识别规则包含有所述目标软件家族的识别信息。4.根据权利要求1所述的方法,其特征在于,对所述第一识别规则集合中的识别规则进行筛选,确定第二识别规则集合的操作,包括:利用所述第一识别规则集合中的识别规则扫描预先设置的白样本库中的样本软件;从所述第一识别规则集合中滤除从所述白样本库中识别出样本软件的识别规则,将剩余的识别规则构成第三识别规则集合;以及根据所述第三识别规则集合,确定所述第二识别规则集合。5.根据权利要求4所述的方法,其特征在于,根据所述第三识别规则集合,确定所述第二识别规则集合的操作,包括:利用所述第三识别规则集合中的识别规则扫描预先设置的恶意样本库中的样本软件;从所述第三识别规则集合中筛选出从所述恶意样本库中识别出样...
【专利技术属性】
技术研发人员:刘旭,章丽娟,胡逸漪,陈鹏,李朝阳,王禹翔,张甜,陈振兴,
申请(专利权)人:上海戎磐网络科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。