[发明专利]一种代码标识方法及装置

说明书

本申请提供了一种代码标识方法及装置，其中，该方法包括：从待标识的代码中提取目标字符串；根据预先训练好的关键词提取模型，从所述目标字符串中提取所述待标识的代码的目标关键词；根据所述待标识的代码的目标关键词以及至少一个预先设置的关键词集合，对所述待标识的代码进行标识。通过这种方法，可以提高代码分析的效率和准确率。

技术领域

本申请涉及计算机，互联网，信息安全技术领域，具体而言，涉及一种代码标识方法及装置。

背景技术

目前，随着网络信息技术的发展，恶意软件已成为危害网络公共安全的主要威胁之一。据瑞星2017年信息安全报告指出，2017年中国共有11.45亿人次被恶意软件感染，有2300万台电脑受到攻击。2017年1至12月新增恶意软件达3310万余个，总数量比2016年同期增长163％。

随着恶意软件数目的爆发式增长，传统的基于特征码与签名的恶意代码分析技术已不能满足新兴的恶意代码检测需求。安全研究人员通过分析大量的恶意代码发现，其中许多新出现的恶意代码是已有恶意代码的变种。恶意代码的编写者通过变形、加壳、多态等技术手段，混淆已有恶意代码的特征，企图逃避安全软件的分析检测。

虽然现有技术中，基于行为的主动防御、虚拟机脱壳等技术可以检测经过变形、加壳的恶意代码，但却不能快速有效地识别代码中所包含的信息，因此，在对恶意代码进行分析时准确率和效率较低。

发明内容

有鉴于此，本申请实施例的目的在于提供一种代码标识方法及装置，能够对恶意代码进行高效、准确的分析。

第一方面，本申请实施例提供了一种代码标识方法，包括：

从待标识的代码中提取目标字符串；

根据预先训练好的关键词提取模型，从所述目标字符串中提取所述待标识的代码的目标关键词；

根据所述待标识的代码的目标关键词以及至少一个预先设置的关键词集合，对所述待标识的代码进行标识。

结合第一方面，本申请实施例提供了第一方面的第一种可能的实施方式，其中，所述从待标识的代码中提取目标字符串之前，所述方法还包括：

判断所述待标识的代码是否加壳；

针对所述待标识的代码有加壳的情况，对所述待标识的代码进行脱壳处理。

结合第一方面，本申请实施例提供了第一方面的第二种可能的实施方式，其中，所述从待标识的代码中提取目标字符串，包括：

从所述待标识的代码中提取关键字符串；所述关键字符串包括：链接和/或路径；

基于所述关键字符串中包括的预设目标符号，从所述关键字符串中提取目标字符串。

结合第一方面的第二种可能的实施方式，本申请实施例提供了第二方面的第三种可能的实施方式，其中，所述从所述待标识的代码中提取关键字符串，包括：

使用正则表达式，匹配所述关键字符串中的目标标志符号；

根据匹配到的所述目标标志符号，提取所述待标识的代码中的链接，和/或，路径，得到所述待标识的代码的关键字符串。

结合第二方面，本申请实施例提供了第二方面的第四种可能的实施方式，其中，所述根据所述待标识的代码的目标关键词以及至少一个预先设置的关键词集合，对所述待标识的代码进行标识，包括：

将所述目标关键词与每一个预先设置的关键词集合中所包含的关键词进行匹配，并将匹配成功的关键词所在的集合确定为目标关键词集合；

获取所述目标关键词集合的目标标识；

将所述目标标识以及所述匹配成功的关键词确定为所述待标识的代码的标识。