[发明专利]未知样本的检测方法及装置、存储介质、电子装置有效
| 申请号: | 201910943692.6 | 申请日: | 2019-09-30 |
| 公开(公告)号: | CN112583773B | 公开(公告)日: | 2023-01-06 |
| 发明(设计)人: | 王腾 | 申请(专利权)人: | 奇安信安全技术(珠海)有限公司;奇安信科技集团股份有限公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40;G06F21/56 |
| 代理公司: | 北京中强智尚知识产权代理有限公司 11448 | 代理人: | 黄耀威;贾依娇 |
| 地址: | 519085 广东省珠海市高新区唐家*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 未知 样本 检测 方法 装置 存储 介质 电子 | ||
1.一种未知样本的检测方法,其特征在于,包括:
提取目标未知样本的静态特征,以及提取所述目标未知样本的动态特征,所述静态特征包括:PE结构、字符串、汇编代码、信息熵,动态特征包括动态行为信息,所述动态行为信息是将所述目标未知样本提交到虚拟机中运行,在虚拟机中采集得到的;
根据预设规则匹配所述静态特征和所述动态特征,包括:判断所述静态特征和所述动态特征的特征项是否符合预设条件,其中,所述静态特征和所述动态特征包括多个特征项,每个特征项对应一项预设条件,将符合预设条件的特征项确定为匹配的特征项,将不符合预设条件的特征项确定为不匹配的特征项;
根据匹配结果计算所述目标未知样本的危险值,其中,所述危险值用于表征所述目标未知样本的威胁程度,所述危险值是通过确定所述静态特征和所述动态特征中命中所述预设规则的一个或多个指定特征项,对所述一个或多个指定特征项进行加权计算得到的。
2.根据权利要求1所述的方法,其特征在于,提取目标未知样本的静态特征包括:
解析所述目标未知样本的可移植的执行体 PE文件;
识别所述PE文件的PE结构;提取所述PE文件的字符串;对所述PE文件进行反汇编处理,得到所述PE文件的汇编代码,提取所述汇编代码的特征指令;计算所述PE文件的信息熵。
3.根据权利要求2所述的方法,其特征在于,识别所述PE文件的PE结构包括:
解析所述PE文件的结构,得到所述PE文件的PE头、PE节区;
判断所述PE头是否异常、判断所述PE节区是否异常、以及判断所述PE文件是否有附加的数据。
4.根据权利要求1所述的方法,其特征在于,在根据匹配结果计算所述目标未知样本的危险值之后,所述方法还包括以下至少之一:
在所述危险值大于门限值时,对所述目标未知样本进行预警;
将所述危险值设置为所述目标未知样本的标签信息。
5.一种未知样本的检测装置,其特征在于,包括:
提取模块,用于提取目标未知样本的静态特征,以及提取所述目标未知样本的动态特征,所述静态特征包括:PE结构、字符串、汇编代码、信息熵,动态特征包括动态行为信息,所述动态行为信息是将所述目标未知样本提交到虚拟机中运行,在虚拟机中采集得到的;
匹配模块,用于根据预设规则匹配所述静态特征和所述动态特征,包括:判断所述静态特征和所述动态特征的特征项是否符合预设条件,其中,所述静态特征和所述动态特征包括多个特征项,每个特征项对应一项预设条件,将符合预设条件的特征项确定为匹配的特征项,将不符合预设条件的特征项确定为不匹配的特征项;
计算模块,用于根据匹配结果计算所述目标未知样本的危险值,其中,所述危险值用于表征所述目标未知样本的威胁程度,所述危险值是通过确定所述静态特征和所述动态特征中命中所述预设规则的一个或多个指定特征项,对所述一个或多个指定特征项进行加权计算得到的。
6.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行权利要求1至4任一项中所述的方法。
7.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至4任一项中所述的方法。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于奇安信安全技术(珠海)有限公司;奇安信科技集团股份有限公司,未经奇安信安全技术(珠海)有限公司;奇安信科技集团股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201910943692.6/1.html,转载请声明来源钻瓜专利网。
