本发明专利技术公开了基于可视信息的钓鱼文件识别方法,涉及网络安全技术领域,包括S1获取终端设备的所有文件类型信息,获取文件类型所关联的图标储存路径;S2分析文件特征序列;S3所有文件类型信息和对应的文件特征序列作为白名单特征序列;S4获取目标文件;S5判断目标文件是否为可执行文件,若是,进S6;反之则结束;S6计算目标特征序列;S7计算目标特征序列与所有白名单特征序列之间的距离;S8确定最小距离,判断最小距离师父小于预设阈值,若是,则结束;反之则目标文件为钓鱼文件;通过构建特征序列库,对目标文件进行分析计算,对比其与特征库中相同类型文件的差异,可快速发现经过改造的钓鱼文件,迅速锁定应该详细分析的风险样本,提高检测效率。提高检测效率。提高检测效率。
【技术实现步骤摘要】
基于可视信息的钓鱼文件识别方法
[0001]本专利技术涉及网络安全
,尤其涉及一种基于可视信息的钓鱼文件识别方法。
技术介绍
[0002]在网络安全
中,各种新型病毒、木马、勒索软件层出不穷,但其最终都需要投放到目标人群目标设备之上才能发挥作用,而面对人们日益增加的网络安全意识,直接投递木马基本无用,从而产生了一系列利用社会工程学和社会热点来引发目标关注,并辅以将木马改造为word、Excel、pdf等常见办公文件的恶意钓鱼文件引导人们主动点击执行木马文件,如果针对文件携带的病毒、木马进行检测,受限于病毒的迭代速度,需要耗费大量的资源及时间,且效果不一定显著。
技术实现思路
[0003]本专利技术的目的就在于为了解决上述问题设计了一种基于可视信息的钓鱼文件识别方法。
[0004]本专利技术通过以下技术方案来实现上述目的:
[0005]基于可视信息的钓鱼文件识别方法,包括:
[0006]S1、获取终端设备的所有文件类型信息,并获取文件类型所关联的图标储存路径;
[0007]S2、提取图标储存路径的相关信息,并进行分析得到文件特征序列;
[0008]S3、将所有文件类型信息和对应的文件特征序列作为白名单特征序列;
[0009]S4、获取目标文件;
[0010]S5、分析判断目标文件是否为可执行文件,若是,则进入S6;反之则直接结束;
[0011]S6、计算目标文件的特征序列作为目标特征序列;
[0012]S7、计算目标特征序列与所有白名单特征序列之间的距离;
[0013]S8、确定所有距离中的最小距离,并判断最小距离师父小于预设阈值,若是,则直接结束;反之则目标文件为钓鱼文件。
[0014]本专利技术的有益效果在于:通过构建特征序列库,对目标文件进行分析计算,对比其与特征库中相同类型文件的差异,可快速发现经过改造的钓鱼文件,迅速锁定应该详细分析的风险样本,提高检测效率。
附图说明
[0015]图1是本专利技术基于可视信息的钓鱼文件识别方法的流程图。
具体实施方式
[0016]为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例是
本专利技术一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本专利技术实施例的组件可以以各种不同的配置来布置和设计。
[0017]因此,以下对在附图中提供的本专利技术的实施例的详细描述并非旨在限制要求保护的本专利技术的范围,而是仅仅表示本专利技术的选定实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0018]应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
[0019]在本专利技术的描述中,需要理解的是,术语“上”、“下”、“内”、“外”、“左”、“右”等指示的方位或位置关系为基于附图所示的方位或位置关系,或者是该专利技术产品使用时惯常摆放的方位或位置关系,或者是本领域技术人员惯常理解的方位或位置关系,仅是为了便于描述本专利技术和简化描述,而不是指示或暗示所指的设备或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本专利技术的限制。
[0020]此外,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
[0021]在本专利技术的描述中,还需要说明的是,除非另有明确的规定和限定,“设置”、“连接”等术语应做广义理解,例如,“连接”可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接连接,也可以通过中间媒介间接连接,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本专利技术中的具体含义。
[0022]下面结合附图,对本专利技术的具体实施方式进行详细说明。
[0023]基于可视信息的钓鱼文件识别方法,包括:
[0024]S1、获取终端设备的所有文件类型信息,并获取文件类型所关联的图标储存路径;
[0025]S2、提取图标储存路径的相关信息,并进行分析得到文件特征序列;
[0026]S3、将所有文件类型信息和对应的文件特征序列作为白名单特征序列;
[0027]S4、获取目标文件;
[0028]S5、分析目标文件的类型,通过检测PE文件指纹,判断目标文件是否为可执行文件若是,则进入S6;反之则直接结束;
[0029]S6、计算目标文件的特征序列作为目标特征序列;
[0030]S7、计算目标特征序列与所有白名单特征序列之间的距离;
[0031]S8、确定所有距离中的最小距离,并判断最小距离师父小于预设阈值,若是,则直接结束;反之则目标文件为钓鱼文件。
[0032]计算特征序列包括:
[0033](1)、对图标储存路径进行强度灰度化;
[0034](2)、比较灰度化后的图标储存路径相邻像素差异值,得到特征序列。
[0035]本专利技术基于可视信息的钓鱼文件识别方法的工作原理如下:
[0036]通过遍历注册表,取得终端设备上所有文件类型信息,并获取该类型文件所关联的图标存储路径;
[0037]根据图标路径信息,提取详细的数据信息,对详细数据信息进行计算;计算包括:
缩放分辨率大小为8*9,将颜色强度灰度化,比较相邻像素差异值,得到最终的文件特征序列。
[0038]灰度化算法采用加权平均法,将每一个像素变化范围从1677万种降低为256种。具体计算公式如下:
[0039]Gray(x,y)=0.299*I
R
(x,y)+0.578*I
G
(x,y)+0.114*I
B
(x,y)
[0040]像素差异比较采用相邻像素迭代相减,结果大于0返回1,结果小于0,返回0,将最终结果组合为文件特征序列。
[0041]将所有文件类型信息和对应的文件序列特征形成白名单特征序列库;
[0042]分析目标文件类型,通过检测PE文件指纹,判断目标文件是否为可执行文件;若是,则提取目标文件的所有图标,并计算目标文件特征序列;
[0043]循环遍历计算目标文件的所有特征序列与白名单特征序列的距离,确定距离最小值;
[0044]判断距离最小值是否达到预设阈值,若达到阈值,则目标文件是钓鱼文件。
[0045]通过收集终端设备上的所有文件类型信息的图标存储路径,并计算其灰度值并计算相邻像素差异值,构成特征序列库,在对目标文件进行识别时,通过目标文件的特征序列与特征序列库中的序列进行匹配,识别其是否达到设定阈值,若达到阈值则可判定该目标文件是钓鱼文件,可快速发现经过改造的钓鱼文件,迅速锁定应该详细分析的风险样本,提高检测效本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.基于可视信息的钓鱼文件识别方法,其特征在于,包括:S1、获取终端设备的所有文件类型信息,并获取文件类型所关联的图标储存路径;S2、提取图标储存路径的相关信息,并进行分析得到文件特征序列;S3、将所有文件类型信息和对应的文件特征序列作为白名单特征序列;S4、获取目标文件;S5、分析判断目标文件是否为可执行文件,若是,则进入S6;反之则直接结束;S6、计算目标文件的特征序列作为目标特征序列;S7、计算目标特征序列与所有白名单特征序列之间的距离;S8、...
【专利技术属性】
技术研发人员:代先勇,邓金详,俞祥基,谷峰,钟昊华,周川,龙雨君,祝长松,余泳洁,
申请(专利权)人:成都锋卫科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。