[发明专利]针对字符串拼接行为的威胁检测方法、装置及存储介质

说明书

本发明实施例公开了一种针对字符串拼接行为的威胁检测方法、装置及存储介质，涉及信息安全技术领域，能够有效检出存在字符串拼接行为的威胁事件。所述方法包括：获取值得关注的敏感字符串并生成敏感字符串列表；获取各段可疑字符及字符对应的存储地址，按照各存储地址顺序将各段字符组合成可疑拼接字符串；将可疑拼接字符串及敏感字符串列表中的各敏感字符串映射到笛卡尔坐标系中，分别生成待匹配折线和敏感离散簇；基于梯度判定方法判断所述待匹配折线与敏感离散簇是否匹配，若匹配则判定可疑拼接字符串在敏感字符串列表中。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种针对字符串拼接行为的威胁检测方法、装置及存储介质。

背景技术

通过大量的反病毒经验，我们发现，恶意样本想要执行恶意行为，需要调用自身所需DLL和API。但为了防止被杀软检出，多采取拼接行为，这里所述的字符串拼接为字符的联系组合，是指内存地址上的连续。例如，加载Dll需要LoadLibrary函数，区别于传统的明文字符串(静态连续字符)，采用拼接的行为(动态写入字符)：

由于这种不连续的存储行为，导致现有的杀毒软件无法有效检出。

发明内容

有鉴于此，本发明实施例提供了一种针对字符串拼接行为的威胁检测方法、装置及存储介质，通过分段提取可疑字符和记录各段字符存储地址，依据存储地址顺序将各段字符组合成为可疑拼接字符串，并与敏感字符串列表匹配，进而有效检测采取拼接行为躲避检测的威胁事件。

第一方面，本发明实施例提供一种针对字符串拼接行为的威胁检测方法，包括：

获取值得关注的敏感字符串并生成敏感字符串列表；

获取各段可疑字符及字符对应的存储地址，按照各存储地址顺序将各段字符组合成可疑拼接字符串；

将可疑拼接字符串及敏感字符串列表中的各敏感字符串映射到笛卡尔坐标系中，分别生成待匹配折线和敏感离散簇；

基于梯度判定方法判断所述待匹配折线与敏感离散簇是否匹配，若匹配则判定可疑拼接字符串在敏感字符串列表中。

根据本发明实施例的一种具体实现方式，所述获取值得关注的敏感字符串并生成敏感字符串列表，具体包括：

获取值得关注的敏感字符串；

为每个敏感字符串添加属性值，包括：主观能动值和客观能动值；

每个敏感字符串的敏感度会随着属性值而变化；

基于敏感度评估各敏感字符串是否加入敏感字符串列表。

根据本发明实施例的一种具体实现方式，所述将可疑拼接字符串及敏感字符串列表中的各敏感字符串映射到笛卡尔坐标系中，分别生成待匹配折线和敏感离散簇，具体包括：

将可疑拼接字符串的各段字符的存储地址作为x坐标值、各段字符的ASCII值作为y坐标值，生成笛卡尔坐标系中的离散点，用平滑直线将相邻的离散点连接起来生成一条待匹配折线；

将敏感字符串列表中的各敏感字符串的各段字符的存储地址作为x坐标值、字符的ASCII值作为y坐标值，生成笛卡尔坐标系中的离散点，用平滑直线将相邻的离散点连接起来生成敏感离散簇。

根据本发明实施例的一种具体实现方式，所述基于梯度判定方法判断所述待匹配折线与敏感离散簇是否匹配，若匹配则判定可疑拼接字符串在敏感字符串列表中，具体包括：

沿着存储地址递增方向，将待匹配折线与敏感离散簇的各段折线的倾斜度进行匹配，各段倾斜度相似则判定可疑拼接字符串在所述敏感字符串列表中。