本申请公开了一种家族判定方法,该方法包括以下步骤:获得目标样本;将目标样本分别与样本库中每个恶意样本进行代码相似性对比,得到对比结果;根据对比结果,确定目标样本的相似样本集;基于相似样本集中每个恶意样本的归属家族,对目标样本的归属家族进行判定。应用本申请所提供的技术方案,基于代码相似性对比得到的目标样本的相似样本集的归属家族对目标样本的归属家族进行判定,可以提高判定准确性,便于通过其归属家族的处理方式对其进行处理,保证计算机系统的安全性。本申请还公开了一种家族判定装置、设备及存储介质,具有相应技术效果。技术效果。技术效果。
【技术实现步骤摘要】
一种家族判定方法、装置、设备及存储介质
[0001]本申请涉及计算机应用
,特别是涉及一种家族判定方法、装置、设备及存储介质。
技术介绍
[0002]随着计算机技术的快速发展,计算机的应用越来越普遍,对计算机安全问题的关注程度越来越高。在计算机运行过程中,可能会遭遇病毒攻击,给计算机系统带来安全威胁。
[0003]归属于同一家族的病毒对计算机系统的安全威胁比较相似,可以通过相同的处理方式进行处理。目前,通过预研或者对历史数据进行分析,可以得到对多种病毒家族的处理方式。在检测到计算机系统中的恶意样本时,如何对其归属家族进行准确判定,以使用其归属家族的处理方式对其进行处理,是目前本领域技术人员急需解决的技术问题。
技术实现思路
[0004]本申请的目的是提供一种家族判定方法、装置、设备及存储介质,以对恶意样本的归属家族进行准确判定,便于通过其归属家族的处理方式对其进行处理,保证计算机系统的安全性。
[0005]为解决上述技术问题,本申请提供如下技术方案:
[0006]一种家族判定方法,包括:
[0007]获得目标样本;
[0008]将所述目标样本分别与样本库中每个恶意样本进行代码相似性对比,得到对比结果;
[0009]根据所述对比结果,确定所述目标样本的相似样本集;
[0010]基于所述相似样本集中每个恶意样本的归属家族,对所述目标样本的归属家族进行判定。
[0011]在本申请的一种具体实施方式中,所述样本库中记录有每个恶意样本的函数集合;所述将所述目标样本分别与样本库中每个恶意样本进行代码相似性对比,包括:
[0012]对所述目标样本进行拆分,获得所述目标样本的函数集合;
[0013]将所述目标样本的函数集合分别与所述样本库中每个恶意样本的函数集合进行相似性对比。
[0014]在本申请的一种具体实施方式中,所述根据所述对比结果,确定所述目标样本的相似样本集,包括:
[0015]根据所述对比结果,在所述样本库中确定与所述目标样本的代码相似度大于设定相似阈值的恶意样本;
[0016]将确定出的恶意样本的集合确定为所述目标样本的相似样本集。
[0017]在本申请的一种具体实施方式中,所述基于所述相似样本集中每个恶意样本的归
属家族,对所述目标样本的归属家族进行判定,包括:
[0018]确定所述相似样本集中每个恶意样本的归属家族是否已知;
[0019]如果已知,则将所述相似样本集的归属家族确定为所述目标样本的归属家族。
[0020]在本申请的一种具体实施方式中,还包括:
[0021]如果所述相似样本集中每个恶意样本的归属家族未知,则将所述目标样本加入到所述相似样本集中,得到临时样本集;
[0022]在达到设定的新家族识别触发条件的情况下,对每个临时样本集进行归属家族的判定。
[0023]在本申请的一种具体实施方式中,所述对每个临时样本集进行归属家族的判定,包括:
[0024]利用设定的标签系统对每个临时样本集进行归属家族的判定;
[0025]针对所述标签系统无法判定出归属家族的临时样本集,通过人工确认方式进行归属家族的判定。
[0026]在本申请的一种具体实施方式中,在所述根据所述对比结果,确定所述目标样本的相似样本集之后,还包括:
[0027]如果所述相似样本集为空集,则将所述目标样本确定为孤立样本,存入所述样本库中。
[0028]一种家族判定装置,包括:
[0029]目标样本获得模块,用于获得目标样本;
[0030]对比结果获得模块,用于将所述目标样本分别与样本库中每个恶意样本进行代码相似性对比,得到对比结果;
[0031]相似样本集确定模块,用于根据所述对比结果,确定所述目标样本的相似样本集;
[0032]归属家族判定模块,用于基于所述相似样本集中每个恶意样本的归属家族,对所述目标样本的归属家族进行判定。
[0033]一种家族判定设备,包括:
[0034]存储器,用于存储计算机程序;
[0035]处理器,用于执行所述计算机程序时实现上述任一项所述家族判定方法的步骤。
[0036]一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述家族判定方法的步骤。
[0037]应用本申请实施例所提供的技术方案,获得目标样本后,可以将目标样本分别与样本库中每个恶意样本进行代码相似性对比,得到对比结果,然后根据对比结果,确定目标样本的相似样本集,再基于相似样本集中每个恶意样本的归属家族,对目标样本的归属家族进行判定。基于代码相似性对比得到的目标样本的相似样本集的归属家族对目标样本的归属家族进行判定,可以提高判定准确性,便于通过其归属家族的处理方式对其进行处理,保证计算机系统的安全性。
附图说明
[0038]为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本
申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0039]图1为本申请实施例中一种家族判定方法的实施流程图;
[0040]图2为本申请实施例中样本间相似性对比过程示意图;
[0041]图3为本申请实施例中一种家族判定装置的结构示意图;
[0042]图4为本申请实施例中一种家族判定设备的结构示意图。
具体实施方式
[0043]本申请的核心是提供一种家族判定方法,该方法可以应用于安全设备,安全设备可以部署在计算机系统中,对当前所在的计算机系统进行安全防护,还可以部署在云端,对与云端通信连接的多个计算机系统进行安全防护。
[0044]为了使本
的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0045]参见图1所示,为本申请实施例所提供的一种家族判定方法的实施流程图,该方法可以包括以下步骤:
[0046]S110:获得目标样本。
[0047]目标样本可以是当前检测到的待进行归属家族判定的任意一个恶意样本。如在检测到计算机系统中的一个样本当前具有安全威胁行为时,可以将该样本确定为目标样本。
[0048]目标样本的归属家族未知,需要通过对目标样本的归属家族的判定,得到对目标样本的处理方式,以保护计算机系统的安全性。另外,对目标样本的归属家族进行判定,还可以增大相应家族的样本数量,便于对更多的样本进行学习,利用更多的样本进行更详细或更全面的分析。
[0049]获得目标样本后,可以本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种家族判定方法,其特征在于,包括:获得目标样本;将所述目标样本分别与样本库中每个恶意样本进行代码相似性对比,得到对比结果;根据所述对比结果,确定所述目标样本的相似样本集;基于所述相似样本集中每个恶意样本的归属家族,对所述目标样本的归属家族进行判定。2.根据权利要求1所述的家族判定方法,其特征在于,所述样本库中记录有每个恶意样本的函数集合;所述将所述目标样本分别与样本库中每个恶意样本进行代码相似性对比,包括:对所述目标样本进行拆分,获得所述目标样本的函数集合;将所述目标样本的函数集合分别与所述样本库中每个恶意样本的函数集合进行相似性对比。3.根据权利要求1所述的家族判定方法,其特征在于,所述根据所述对比结果,确定所述目标样本的相似样本集,包括:根据所述对比结果,在所述样本库中确定与所述目标样本的代码相似度大于设定相似阈值的恶意样本;将确定出的恶意样本的集合确定为所述目标样本的相似样本集。4.根据权利要求1所述的家族判定方法,其特征在于,所述基于所述相似样本集中每个恶意样本的归属家族,对所述目标样本的归属家族进行判定,包括:确定所述相似样本集中每个恶意样本的归属家族是否已知;如果已知,则将所述相似样本集的归属家族确定为所述目标样本的归属家族。5.根据权利要求4所述的家族判定方法,其特征在于,还包括:如果所述相似样本集中每个恶意样本的归属家族未知,则将所述目标样本加入到所述相似样本集中,得到...
【专利技术属性】
技术研发人员:高智,刘彦南,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。