【技术实现步骤摘要】
一种程序匹配方法、装置、电子设备及存储介质
[0001]本专利技术涉及网络安全
,尤其涉及一种程序匹配方法、装置、电子设备及存储介质。
技术介绍
[0002]随着互联网技术的飞速发展,恶意程序的种类也迅速增长,传统的保护机制已无法处理当今海量恶意程序的变体。在海量恶意程序中,研究恶意程序的演变,包括其活动和变体的性质,对于计算机安全领域的发展有着很大帮助。
[0003]在现有技术中,研究者通过利用恶意程序访问的URL、IP、域名等信息作为特征判别相似恶意程序,以及通过人工制定的行为规则对恶意程序的行为特征进行相似度的判断,但恶意程序编写者会通过新的技术,如洋葱路由器,混淆,动态域名系统(DNS)和虚拟专用网络(VPN)服务实现在线匿名,避免网络监控以及监管机构的流量分析,因此,并不能够准确有效地进行相似程序的匹配。
技术实现思路
[0004]本专利技术提供一种程序匹配方法、装置、电子设备及存储介质,用以解决现有技术中不能够准确有效地进行相似程序的匹配的问题,更准确、有效地实现了相似程序的匹配。<...
【技术保护点】
【技术特征摘要】
1.一种程序匹配方法,其特征在于,包括:从待匹配程序的运行行为信息中获取待匹配程序的动态行为API序列;将所述待匹配程序的动态行为API序列输入预先训练的行为特征提取模型,得到待匹配程序的行为特征;将所述待匹配程序的行为特征与样本行为特征库中的各个样本行为特征进行匹配;在匹配到样本行为特征的情况下,将相匹配的样本行为特征所对应的样本程序确定为所述待匹配程序的相似程序;其中,所述行为特征提取模型是基于训练用样本程序的动态行为API序列训练得到的;所述样本行为特征库包括样本程序与样本行为特征之间的映射关系,所述样本行为特征是将所述样本程序的动态行为API序列输入所述行为特征提取模型所得到的。2.根据权利要求1所述的程序匹配方法,其特征在于,所述从待匹配程序的运行行为信息中获取待匹配程序的动态行为API序列,包括:将待匹配程序在沙箱环境下运行,得到待匹配程序的运行行为信息;从所述待匹配程序的运行行为信息中提取待匹配程序的动态行为API序列。3.根据权利要求1所述的程序匹配方法,其特征在于,所述将所述待匹配程序的行为特征与样本行为特征库中的各个样本行为特征进行匹配,包括:计算待匹配程序的行为特征与样本行为特征库中的各个样本行为特征之间的相似度;从多个计算结果中确定相似度最大值;判断所述相似度最大值是否大于预设阈值,在相似度最大值大于所述预设阈值的情况下,将相似度最大值所对应的样本行为特征作为相匹配的样本行为特征。4.根据权利要求1至3任一项所述的程序匹配方法,其特征在于,在将所述待匹配程序的行为特征与样本行为特征库中的各个样本行为特征进行匹配之后,方法还包括:在所述待匹配程序未匹配到样本行为特征的情况下,将待匹配程序与待匹配程序的行为特征之间的映射关系添加到所述样本行为特征库中。5.根据权利要求1至3任一项所述的程序匹配方法,其特征在于,在将所述待匹配程序的动态行为API序列输入预先训练的行为特征提取模型之前,方法还包括:将训练用样本程序在沙箱环境下运行,得到训练用样本程序的运行行为信息;从所述训练用样本程序的运行行为信息中提取训练用样本程序的动态行为API序列;将所述训练用样本程序的动态行为API序列输入初始的自编码器,比较所述自编码器中的编码器的输入与所述自编码器中的解码器的输出...
【专利技术属性】
技术研发人员:刘浩然,王占一,应凌云,刘璐,
申请(专利权)人:网神信息技术北京股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。