[发明专利]文件特征提取方法及装置

说明书

本发明实施例提供一种文件特征提取方法及装置，该方法包括：获取待分析的目标文件，所述目标文件为多层级结构文件，层级间各文件存在从属关系；对所述目标文件进行分析获得层级文件信息集，所述层级文件信息集包括各层级中各文件的文件信息和层级间各文件的所属关系；根据所述层级文件信息集确定所述目标文件的特征向量。本发明实施例提供的一种文件特征提取方法及装置，能够对待分析的目标文件进行深度分析，以获取采用多层级结构的目标文件的各层级中的文件对应的文件信息，最后根据这些文件信息确定对应的特征向量，用于对目标文件进行特征匹配判定文件类别，实现对文件深度检测，使文件恶意识别信息难以逃避识别。

技术领域

本发明涉及信息安全检测技术领域，尤其涉及一种文件特征提取方法及装置。

背景技术

在恶意样本分析中，通常要对未知的文件进行同源分析，以分析出该未知的文件属于哪个APT团伙或属于哪个恶意家族。但由于恶意样本为了避免被检测到，会采用很多手段去避免被安全类软件进行识别，如将有效的辨识信息隐藏在文件内层，从而在外部检测无法完成有效分析。也就使得目前对文件进行较简单的分析，无法分析出文件的有效信息，不能完成对文件的恶意定性及定位。

发明内容

针对现有技术存在的问题，本发明实施例提供一种文件特征提取方法及装置。

第一方面，本发明实施例提供一种文件特征提取方法，包括：

获取待分析的目标文件，所述目标文件为多层级结构文件，层级间各文件存在从属关系；

对所述目标文件进行分析获得层级文件信息集，所述层级文件信息集包括各层级中各文件的文件信息和层级间各文件的所属关系；

根据所述层级文件信息集确定所述目标文件的特征向量。

进一步地，每一层级中各文件的文件信息均包括动态行为信息和静态文件信息。

进一步地，对所述目标文件进行分析获得层级文件信息集，包括：

按照预设层级处理顺序获取所述目标文件中当前待处理层级的文件；

对当前待处理层级的文件中存在的执行项进行解析，获得动态行为信息；

对当前待处理层级的文件中存在的基础项进行解析，获得静态文件信息；

记录当前待处理层级的文件与相邻已处理层级的文件的所属关系。

进一步地，对当前待处理层级的文件中存在的执行项进行解析，获得动态行为信息，包括：

将当前待处理层级的文件中的执行项置于沙箱内执行，对执行过程进行解析，获得动态行为信息。

进一步地，所述根据所述层级文件信息集确定对应于所述目标文件的特征向量，包括：

将每一层级中各文件的动态行为信息和静态文件信息分别进行数字化特征处理，获得对应的第一特征集和第二特征集；

根据所有层级中各文件对应的第一特征集和第二特征集，以及层级间各文件的所属关系确定对应于所述目标文件的特征向量。

进一步地，将动态行为信息和静态文件信息进行数字化特征处理，包括：

对动态行为信息和静态文件信息中存在的字词信息进行数字化转换；

对动态行为信息和静态文件信息中存在的数值信息进行数值化提取。

第二方面，本发明实施例提供一种文件特征提取装置，包括：

获取模块，用于获取待分析的目标文件，所述目标文件为多层级结构文件，层级间各文件存在从属关系；