本发明专利技术公开了一种恶意代码样本自动处理的方法及装置,该方法包括:获取恶意代码样本;从获取的恶意代码样本中提取静态特征;将恶意代码样本的静态特征与静态特征库中的已知静态特征进行匹配;如果根据静态特征库无法判断获取的恶意代码样本是恶意代码,则继续从恶意代码样本中提取动态行为特征;将恶意代码样本的动态行为特征与动态行为特征库中的已知动态行为特征进行匹配;如果根据动态行为特征库判断出获取的恶意代码样本不是恶意代码,进行误报反馈,以提示恶意代码样本为非恶意代码,实现对恶意代码样本的准确识别,降低恶意代码的误报率。
【技术实现步骤摘要】
【专利摘要】本专利技术公开了一种恶意代码样本自动处理的方法及装置,该方法包括:获取恶意代码样本;从获取的恶意代码样本中提取静态特征;将恶意代码样本的静态特征与静态特征库中的已知静态特征进行匹配;如果根据静态特征库无法判断获取的恶意代码样本是恶意代码,则继续从恶意代码样本中提取动态行为特征;将恶意代码样本的动态行为特征与动态行为特征库中的已知动态行为特征进行匹配;如果根据动态行为特征库判断出获取的恶意代码样本不是恶意代码,进行误报反馈,以提示恶意代码样本为非恶意代码,实现对恶意代码样本的准确识别,降低恶意代码的误报率。【专利说明】一种恶意代码样本自动处理的方法及装置
本专利技术属于计算机
,尤其涉及一种恶意代码样本自动处理的方法及装置。
技术介绍
恶意代码(Malicious code)也称为恶意软件(Malware)。恶意代码为“运行在计算机上,使系统按照攻击者意愿执行任务的一组指令”。恶意代码通过将指令在隐蔽自身的条件下嵌入到其他代码中,从而达到破坏被感染计算机上的数据信息的完整性、运行具有入侵性的程序的目的。恶意代码的类型包括计算机病毒(Virus)、蠕虫(Worm)、特洛伊木马(Trojan horse)、僵尸网络(Botnet)、间谋网络(spyware)、后门(Backdoor)、Rootkitsd坐寸o当前计算机恶意代码正以惊人的速度蔓延开来,对计算机系统的安全构成了严重的威胁。早期的反病毒软件利用恶意代码的特征码这一静态特征来识别和检测隐藏在系统中的恶意代码,起到了一定的效果,但需要实时更新恶意代码的特征码数据库,严重占用系统资源。对于新出现的未知恶意代码更是无能为力。原因一方面是新恶意代码层出不穷;另一方面,许多恶意代码还在不停衍生出新的变种。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的恶意代码样本自动处理的方法及装置。依据本专利技术的一个方面,提供了一种恶意代码样本自动处理的方法,包括获取恶意代码样本;从获取的所述恶意代码样本中提取静态特征;将所述恶意代码样本的静态特征与静态特征库中的已知静态特征进行匹配;如果根据所述静态特征库无法判断获取的恶意代码样本是恶意代码,则继续从所述恶意代码样本中提取动态行为特征;将所述恶意代码样本的动态行为特征与动态行为特征库中的已知动态行为特征进行匹配;如果根据所述动态行为特征库判断出获取的恶意代码样本不是恶意代码,进行误报反馈,以提示所述恶意代码样本为非恶意代码。可选地,所述方法还包括:如果根据所述动态行为特征库判断出获取的恶意代码样本是恶意代码,则将所述恶意代码样本标识为恶意代码。可选地,在将所述恶意代码样本标识为恶意代码之后,所述方法还包括:计算标识为恶意代码的所述恶意代码样本的校验值;将获取的所述恶意代码样本的校验值发送至云端服务器,由所述云端服务器对所述恶意代码样本的校验值进行分类存储。可选地,所述静态特征至少包括以下中的任意一种:所述恶意代码样本的二进制文件、所述恶意代码样本的函数结构、所述恶意代码样本的至少部分字符串以及所述恶意代码样本对应的图标;所述将所述恶意代码样本的静态特征与静态特征库中的已知静态特征进行匹配的步骤包括:将所述恶意代码样本的二进制文件与静态特征库中的已知恶意代码二进制文件进行匹配;或者将所述恶意代码样本的函数结构与静态特征库中的已知恶意代码函数结构进行匹配;或者将所述恶意代码样本的至少部分字符串与静态特征库中的已知恶意代码字符串进行匹配;或者将所述恶意代码样本对应的图标与静态特征库中的已知恶意代码图标进行匹配。可选地,所述恶意代码样本的动态行为特征至少包括以下中的任意一种:所述恶意代码样本的虚拟行为启发时的行为特征、所述恶意代码样本的网络行为特征和所述恶意代码样本的在沙箱中运行时的行为特征;所述将所述恶意代码样本的动态行为特征与动态行为特征库中的已知动态行为特征进行匹配的步骤包括:将所述恶意代码样本的虚拟行为启发时的行为特征与动态行为特征库中的已知动态行为特征进行匹配;或者将所述恶意代码样本的网络行为特征与动态行为特征库中的已知动态行为特征进行匹配;或者将所述恶意代码样本的在沙箱中运行时的行为特征与动态行为特征库中的已知动态行为特征进行匹配。依据本专利技术的另一个方面,还提供了一种恶意代码样本自动处理的装置,包括:获取模块,用于获取恶意代码样本;静态特征提取模块,用于从获取的所述恶意代码样本中提取静态特征;静态特征匹配模块,用于将所述恶意代码样本的静态特征与静态特征库中的已知静态特征进行匹配;动态行为特征提取模块,用于如果根据所述静态特征库无法判断获取的恶意代码样本是恶意代码,则继续从所述恶意代码样本中提取动态行为特征;动态行为特征匹配模块,用于将所述恶意代码样本的动态行为特征与动态行为特征库中的已知动态行为特征进行匹配;误报反馈模块,用于如果根据所述动态行为特征库判断出获取的恶意代码样本不是恶意代码,进行误报反馈,以提示所述恶意代码样本为非恶意代码。可选地,所述装置还包括:恶意代码标识模块,用于如果根据所述动态行为特征库判断出获取的恶意代码样本是恶意代码,则将所述恶意代码样本标识为恶意代码。可选地,所述装置还包括:校验值计算模块,用于计算标识为恶意代码的所述恶意代码样本的校验值;发送模块,用于将获取的所述恶意代码样本的校验值发送至云端服务器,由所述云端服务器对所述恶意代码样本的校验值进行分类存储。可选地,所述静态特征至少包括以下中的任意一种:所述恶意代码样本的二进制文件、所述恶意代码样本的函数结构、所述恶意代码样本的至少部分字符串以及所述恶意代码样本对应的图标;所述静态特征匹配模块包括:二进制文件匹配单元,用于将所述恶意代码样本的二进制文件与静态特征库中的已知恶意代码二进制文件进行匹配;或者函数结构匹配单元,用于将所述恶意代码样本的函数结构与静态特征库中的已知恶意代码函数结构进行匹配;或者字符串匹配单元,用于将所述恶意代码样本的至少部分字符串与静态特征库中的已知恶意代码字符串进行匹配;或者图标匹配单元,用于将所述恶意代码样本对应的图标与静态特征库中的已知恶意代码图标进行匹配。可选地,所述恶意代码样本的动态行为特征至少包括以下中的任意一种:所述恶意代码样本的虚拟行为启发时的行为特征、所述恶意代码样本的网络行为特征和所述恶意代码样本的在沙箱中运行时的行为特征;所述动态行为特征匹配模块包括:虚拟行为匹配单元,用于将所述恶意代码样本的虚拟行为启发时的行为特征与动态行为特征库中的已知动态行为特征进行匹配;或者网络行为匹配单元,用于将所述恶意代码样本的网络行为特征与动态行为特征库中的已知动态行为特征进行匹配;或者沙箱行为匹配单元,用于将所述恶意代码样本的在沙箱中运行时的行为特征与动态行为特征库中的已知动态行为特征进行匹配。由上述技术方案可知,本专利技术的实施例具有如下有益效果:首先通过恶意代码样本的静态特征识别恶意代码样本是否为恶意代码,如果无法通过静态特征识别该恶意代码样本是否为恶意代码,则再通过恶意代码样本的动态行为特征进行识别,如果根据动态行为特征库判断出获取的恶意代码样本不是恶意代码,则进行误报反馈,以提示恶意代码样本为非恶意代码,进而实现对恶意代码样本的准本文档来自技高网...
【技术保护点】
【技术特征摘要】
【专利技术属性】
技术研发人员:边亮,于春功,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。