[发明专利]一种恶意程序识别方法、装置、电子设备及存储介质

说明书

本申请公开了一种恶意程序识别方法、装置、电子设备及存储介质，该方法包括获取待检测程序的第一系统调用日志，并转化第一系统调用日志为第一加权有向图；基于预先构建的恶意代码分类簇检测第一加权有向图，以确定待检测程序是否为恶意程序。由于每个恶意程序执行的恶意行为都需要进行系统调用才能实现其恶意目的，因此本申请实施例能够从操作系统层面抓取恶意程序的行为特征，进而动态、高效地对恶意程序进行检测和识别，降低了误报率，同时保障了电子设备的安全。

技术领域

本发明一般涉及信息安全技术领域，具体涉及一种恶意程序识别方法、装置、电子设备及存储介质。

背景技术

现代社会中，智能终端比如手机、平板电脑等电子设备随处可见，给人们的日常生活带来了极大地便利。智能终端通过运行各种应用程序(Application)，来实现某项或多项特定功能。利用软硬件漏洞对智能终端进行攻击，达到窃取信息和恶意控制的目的。为了监控这类攻击行为，在智能终端上部署一些监控手段，当发生威胁情况时，能够及时鉴别和处理恶意程序，降低对智能终端的危害。

目前，现有技术通过流量分析和静态分析来识别恶意程序。具体的，流量分析方式包括基于黑名单过滤恶意域名、使用规则匹配恶意外连流量以及利用机器学习检测恶意流量间共性来鉴别恶意流量，而静态分析方式包括对目标程序权限、API调用和程序流程图进行分析得到特征向量，并根据预先训练的模型识别出恶意程序。

基于黑名单过滤恶意域名，只能识别连接已知恶意网站时的恶意外连流量，对于域名变化没有任何感知；使用规则匹配恶意外连流量，需要人工分析样本，人力消耗巨大，且难以检测变种的恶意外连流量，尤其对于不涉及网络流量的恶意程序则无法判断；而机器学习检测恶意流量，很多恶意程序是通过增加与正常流量相似的字段和内容来伪装自己的出链流量，不易与正常流量进行区分，导致识别精度不高；静态分析方式不能直接反映恶意程序的行为模式，误报率大，且容易被攻击者利用混淆代码、花指令和加壳等手段进行对抗，使之失效。

发明内容

鉴于现有技术中的上述缺陷或不足，期望提供一种恶意程序识别方法、装置、电子设备及存储介质，能够动态、高效地对恶意程序进行检测和识别，降低误报率，保障电子设备的安全。

第一方面，本申请提供一种恶意程序识别方法，所述方法包括：

获取待检测程序的第一系统调用日志；

转化所述第一系统调用日志为第一加权有向图；

基于预先构建的恶意代码分类簇检测所述第一加权有向图，以确定所述待检测程序是否为恶意程序。

第二方面，本申请提供一种恶意程序识别装置，所述装置包括：

获取模块，配置用于获取待检测程序的第一系统调用日志；

转化模块，配置用于转化所述第一系统调用日志为第一加权有向图；

确定模块，配置用于基于预先构建的恶意代码分类簇检测所述第一加权有向图，以确定所述待检测程序是否为恶意程序。

第三方面，本申请提供一种电子设备，所述电子设备包括：

一个或多个处理器；

存储器，用于存储一个或多个程序，

当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器执行如第一方面所述的恶意程序识别方法。

第四方面，本申请提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序用于实现如第一方面所述的恶意程序识别方法的步骤。