本公开提供了一种恶意软件同源分析方法,涉及人工智能领域。该方法包括:获取待分析软件程序的源代码;基于N个金融交易要素,确定所述源代码中的N个代码块,其中,所述N个代码块用于处理与所述N个金融交易要素一一对应地金融交易数据,N为大于或等于1的整数;基于所述N个代码块得到代码特征向量,所述代码特征向量包括所述N个代码块的特征,及所述N个代码块与所述N个金融交易要素之间的一一映射关系;利用同源分析模型处理所述代码特征向量,获得恶意软件同源分析结果。本公开还提供了一种恶意软件同源分析装置、设备、存储介质和程序产品。存储介质和程序产品。存储介质和程序产品。
【技术实现步骤摘要】
恶意软件同源分析方法、装置、设备和介质
[0001]本公开涉及人工智能领域,更具体地,涉及一种恶意软件同源分析方法、装置、设备、介质和程序产品。
技术介绍
[0002]随着金融行业的数字化转型和互联网金融的快速发展,金融恶意软件成为了一项严重的威胁。恶意软件如银行木马、钓鱼网站和恶意支付应用等,针对金融机构和用户的敏感信息和资金进行窃取和欺诈。这些恶意软件通常采用多变的变种和伪装手法,以逃避传统的安全防护措施。为了保护计算机系统和网络安全,恶意软件分析和检测成为了计算机领域的重要研究方向。恶意软件同源分析是其中一个关键问题,其主要任务是检测待分析软件程序已知恶意软件样本之间的同源性,以便于分类、识别和分析。
[0003]传统的恶意软件同源分析方法主要依赖于如哈希函数、字符串匹配和编辑距离等方式,这些方法的准确性和效率受到了很大的限制,尤其是对于变异的恶意软件样本,很难进行有效的分析。传统的基于规则和签名的恶意软件同源分析方法往往需要人工定义特征和规则,且容易被攻击者绕过。此外,专利技术人还发现,不同的行业具有其自身的业务特点,传统的恶意软件同源分析方法与金融交易场景的适配性不好,准确度不高。
技术实现思路
[0004]鉴于上述问题,本公开提供了一种恶意软件同源分析方法、装置、设备、介质和程序产品。
[0005]本公开实施例的一个方面,提供了一种恶意软件同源分析方法,包括:获取待分析软件程序的源代码;基于N个金融交易要素,确定所述源代码中的N个代码块,其中,所述N个代码块用于处理与所述N个金融交易要素一一对应地金融交易数据,N为大于或等于1的整数;基于所述N个代码块得到代码特征向量,所述代码特征向量包括所述N个代码块的特征,及所述N个代码块与所述N个金融交易要素之间的一一映射关系;利用同源分析模型处理所述代码特征向量,获得恶意软件同源分析结果。
[0006]根据本公开的实施例,所述基于N个金融交易要素,确定所述源代码中的N个代码块包括:将所述源代码转换为抽象语法树,所述抽象语法树用于表征所述源代码的语法结构;基于所述N个金融交易要素中每个金融交易要素,从所述抽象语法树中确定关联的树节点。
[0007]根据本公开的实施例,所述基于所述N个金融交易要素中每个金融交易要素,从所述抽象语法树中确定关联的树节点包括:遍历所述抽象语法树中各个树节点的属性信息,所述属性信息包括节点标识符、上下文关系和函数参数中至少之一;将所述每个金融交易要素的要素信息与所述各个树节点的属性信息进行匹配,获得匹配结果;根据所述匹配结果,确定所述每个金融交易要素关联的树节点。
[0008]根据本公开的实施例,所述每个金融交易要素的要素信息包括所述每个金融交易
要素的关键词,将所述每个金融交易要素的要素信息与所述各个树节点的属性信息进行匹配,获得匹配结果包括:确定所述每个金融交易要素的关键词;将所述每个金融交易要素的关键词与所述各个树节点的节点标识符匹配,获得匹配结果。
[0009]根据本公开的实施例,所述每个金融交易要素的要素信息包括所述每个金融交易要素对应金融交易数据的处理逻辑,将所述每个金融交易要素的要素信息与所述各个树节点的属性信息进行匹配,获得所述匹配结果包括:确定所述每个金融交易要素对应金融交易数据的处理逻辑;根据所述各个树节点上下文关系和函数参数验证所述处理逻辑,获得所述匹配结果。
[0010]根据本公开的实施例,在将所述每个金融交易要素的要素信息与所述各个树节点的属性信息进行匹配之前,所述方法还包括:对所述各个树节点的属性信息进行文本分析,确定至少一个树节点涉及的潜在交易数据;根据所述潜在交易数据引入外部信息,其中,所述外部信息指示了处理所述潜在交易数据的必要信息;将所述外部信息与所述至少一个树节点相关联,更新所述至少一个树节点的属性信息。
[0011]根据本公开的实施例,所述同源分析模型包括卷积神经网络和双向循环神经网络,所述利用同源分析模型处理所述代码特征向量,获得恶意软件同源分析结果包括:利用所述卷积神经网络处理所述代码特征向量,得到中间特征向量;利用所述双向循环神经网络处理所述中间特征向量,得到所述恶意软件同源分析结果。
[0012]本公开实施例的另一方面提供了一种恶意软件同源分析装置,包括:源代码模块,用于获取待分析软件程序的源代码;代码块模块,用于基于N个金融交易要素,确定所述源代码中的N个代码块,其中,所述N个代码块用于处理与所述N个金融交易要素一一对应地金融交易数据,N为大于或等于1的整数;特征向量模块,用于基于所述N个代码块得到代码特征向量,所述代码特征向量包括所述N个代码块的特征,及所述N个代码块与所述N个金融交易要素之间的一一映射关系;同源分析模块,用于利用同源分析模型处理所述代码特征向量,获得恶意软件同源分析结果。
[0013]本公开实施例的另一方面提供了一种电子设备,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得一个或多个处理器执行如上所述的方法。
[0014]本公开实施例的另一方面还提供了一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行如上所述的方法。
[0015]本公开实施例的另一方面还提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现如上所述的方法。
[0016]上述一个或多个实施例具有如下有益效果:基于N个金融交易要素有针对性地确定源代码中的N个代码块,进而能够有效提取恶意软件的关键特征,提高对金融恶意软件的检测准确率,有助于及时发现并阻止恶意软件对金融系统和用户的攻击。通过分析金融恶意软件之间的同源关系,可以识别出同一家族或作者的恶意软件,揭示其共同特征和攻击手法,有助于构建更全面的恶意软件库,提高对未知恶意软件的预测和响应能力。
附图说明
[0017]通过以下参照附图对本公开实施例的描述,本公开的上述内容以及其他目的、特
征和优点将更为清楚,在附图中:
[0018]图1示意性示出了根据本公开实施例的恶意软件同源分析方法的应用场景图;
[0019]图2示意性示出了根据本公开实施例的恶意软件同源分析方法的流程图;
[0020]图3示意性示出了根据本公开实施例的确定代码块的流程图;
[0021]图4示意性示出了根据本公开实施例的确定关联的树节点的流程图;
[0022]图5示意性示出了根据本公开实施例的匹配关键词的流程图;
[0023]图6示意性示出了根据本公开实施例的匹配处理逻辑的流程图;
[0024]图7示意性示出了根据本公开实施例的关联外部信息的流程图;
[0025]图8示意性示出了根据本公开实施例的获得恶意软件同源分析结果的流程图;
[0026]图9示意性示出了根据本公开实施例的同源分析模型的架构图;
[0027]图10示意性示出了根据本公开另一实施例的恶意软件同源分析方法的流程图;...
【技术保护点】
【技术特征摘要】
1.一种恶意软件同源分析方法,包括:获取待分析软件程序的源代码;基于N个金融交易要素,确定所述源代码中的N个代码块,其中,所述N个代码块用于处理与所述N个金融交易要素一一对应地金融交易数据,N为大于或等于1的整数;基于所述N个代码块得到代码特征向量,所述代码特征向量包括所述N个代码块的特征,及所述N个代码块与所述N个金融交易要素之间的一一映射关系;利用同源分析模型处理所述代码特征向量,获得恶意软件同源分析结果。2.根据权利要求1所述的方法,其中,所述基于N个金融交易要素,确定所述源代码中的N个代码块包括:将所述源代码转换为抽象语法树,所述抽象语法树用于表征所述源代码的语法结构;基于所述N个金融交易要素中每个金融交易要素,从所述抽象语法树中确定关联的树节点。3.根据权利要求2所述的方法,其中,所述基于所述N个金融交易要素中每个金融交易要素,从所述抽象语法树中确定关联的树节点包括:遍历所述抽象语法树中各个树节点的属性信息,所述属性信息包括节点标识符、上下文关系和函数参数中至少之一;将所述每个金融交易要素的要素信息与所述各个树节点的属性信息进行匹配,获得匹配结果;根据所述匹配结果,确定所述每个金融交易要素关联的树节点。4.根据权利要求3所述的方法,其中,所述每个金融交易要素的要素信息包括所述每个金融交易要素的关键词,将所述每个金融交易要素的要素信息与所述各个树节点的属性信息进行匹配,获得匹配结果包括:确定所述每个金融交易要素的关键词;将所述每个金融交易要素的关键词与所述各个树节点的节点标识符匹配,获得匹配结果。5.根据权利要求3所述的方法,其中,所述每个金融交易要素的要素信息包括所述每个金融交易要素对应金融交易数据的处理逻辑,将所述每个金融交易要素的要素信息与所述各个树节点的属性信息进行匹配,获得所述匹配结果包括:确定所述每个金融交易要素对应金融交易数据的处理逻辑;根据所述各个树节点上下文关系和函数参数验证所述处...
【专利技术属性】
技术研发人员:王鹏,蒋家堂,闫海林,张茜,
申请(专利权)人:中国工商银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。