[发明专利]一种恶意程序的识别方法及电子设备

说明书

本发明提供了一种恶意程序的识别方法及电子设备，用于解决现有技术中在如何在减少资源耗费的情况下，实现恶意程序检测，并提高恶意程序的检测效率，提高识别编写所述恶意程序的组织的准确性的问题。包括：将接收到的第一程序进行解析，确定第一编译路径信息，其中，所述第一编译路径信息中包括目录字符串；根据所述第一编译路径信息确定所述第一程序的第一特征值；将所述第一特征值与特征库中的特征值进行匹配；响应于匹配成功，则确定所述第一程序为恶意程序。

技术领域

本发明涉及计算机技术领域，尤其涉及一种恶意程序的识别方法及电子设备。

背景技术

随着互联网技术的发展，给用户的生活带来了极大的便利，但是由于恶意程序的出现，给用户也带来了困扰和侵害，例如，近期流行的近期流行的勒索病毒、互联网蠕虫、和恶意挖矿程序，导致用户财产受到损失。

恶意程序检测引擎对恶意程序进行识别，保护用户的安全，但是恶意程序曾出不穷，恶意程序检测引擎无法及时检测最新的恶意程序，并且恶意程序检测引擎对恶意程序的家族(组织)识别比较困难，特别是当恶意程序源文件频繁的进行地下交易后，会导致关联组织的难度大，监测难度大，而在高级持续性威胁(Advanced Persistent Threat，APT)攻击事件中，组织的相似性对于恶意程序追踪溯源起着非常大的作用。在现有技术中，针对互联网传播最为广泛的恶意程序为可移植的执行体(Portable Executable，PE)/可执行连接格式(Executable and Linking Format，ELF)文件格式，安全厂商通过人力分析，对恶意程序进行相似度聚类实现恶意程序检测，同时进行组织归类，但面对海量数据，进行相似度聚类耗费资源庞大，且当恶意程序源文件进行地下交易后会识别错误，无法准确的确定编写恶意程序的组织。

综上所述，如何在减少资源耗费的情况下，实现恶意程序检测，并提高恶意程序的检测效率，提高识别编写所述恶意程序的组织的准确性是目前需要解决的问题。

发明内容

有鉴于此，本发明提供了一种恶意程序的识别方法及电子设备，用于解决现有技术中如何在减少资源耗费的情况下，实现恶意程序检测，并提高恶意程序的检测效率，提高识别编写所述恶意程序的组织的准确性的问题。

根据本发明实施例的第一个方面，提供了一种恶意程序的识别方法，包括：将接收到的第一程序进行解析，确定第一编译路径信息，其中，所述第一编译路径信息中包括目录字符串；根据所述第一编译路径信息确定所述第一程序的第一特征值；将所述第一特征值与特征库中的特征值进行匹配；响应于匹配成功，则确定所述第一程序为恶意程序。

在一个实施例中，响应于匹配成功，则确定所述第一程序为恶意程序之后，该方法还包括输出所述第一程序的第一特征值。

在一个实施例中，所述将接收到的第一程序进行解析，确定第一编译路径信息，具体包括：将接收到的第一程序进行解析，获取调试符号信息，其中，所述调试符号信息包括结构指针；根据所述调试符号信息，解析获取所述第一编译路径信息。

在一个实施例中，根据所述第一编译路径信息确定所述第一程序的第一特征值，具体包括：将所述第一编译路径信息的目录字符串进行分离处理，按照设定顺序在分离后的所述目录字符串中确定出特征词汇；根据所述特征词汇确定为所述第一程序的第一特征值。

在一个实施例中，所述按照设定顺序在分离后的所述目录字符串中确定出特征词汇，具体包括：按照设定顺序在所述分离后的目录字符串中确定首路径对应的目录字符串；将所述首路径对应的目录字符串确定为所述特征词汇。

在一个实施例中，所述根据所述特征词汇确定所述第一程序的第一特征值，具体包括：将所述特征词汇作为所述第一程序的第一特征值；或者将所述特征词汇的哈希值确定为所述第一程序的第一特征值。