[发明专利]确定恶意软件特征的方法、恶意软件的检测方法及装置

说明书

本发明实施例公开了一种确定恶意软件特征的方法、恶意软件的检测方法及装置，其中方法之一包括：根据最长公共子串算法确定一个或者多个字符串二元组中每一个字符串二元组中的最长公共子串，根据确定出的一个或者多个最长公共子串确定所述恶意软件的特征。如此，能够自动提取恶意软件的特征，大大提升了工作效率。

技术领域

本发明实施例涉及网络安全技术，尤指一种确定恶意软件特征的方法、恶意软件的检测方法及装置。

背景技术

近些年来，恶意软件愈演愈烈，企业风险日益加剧。其中僵木蠕类的恶意软件具有隐蔽性高、爆发速度快、影响范围广等特点，对社会造成极大的危害。僵木蠕是僵尸网络、木马、蠕虫病毒的统称，黑客常常利用僵尸网络发起DDOS(Distributed Denial of Service，分布式阻断服务)攻击，利用蠕虫传播僵尸网络，利用各种木马后门向特定目标或组织发起APT(高级持续性威胁，Advanced Persistent Threat)攻击。在真实攻击中，一来由于各种终端软件容易获得，二来基于免杀成本的考虑，攻击者往往更重视僵木蠕病毒静态特征和恶意行为的修改，比如通过加壳加花、代码混淆等手段绕过静态检测，通过注入替换合法进程内存、白加黑等手段绕过主动防御检测功能等。由于当前主机安全软件大多忽视了网络层的入侵检测，且基于要修改源代码等免杀成本的考虑，大多数黑客忽视了僵木蠕通讯协议的修改。

在当前实际业务开展中，对于僵木蠕特征的提取主要依靠安全研究人员逆向分析样本代码，从代码中获得样本通讯协议中相对固定的部分作为特征，并按照相应产品的语言编写成规则添加到产品中。一般情况下，一个中高级分析员每两天可以分析完一个病毒，但分析完毕后又有可能由于产品引擎不支持或者协议被加密等原因导致不能添加特征到产品中，白白浪费工时和资源。

因此，现有技术中尚没有能够自动提取恶意软件特征的方案。

发明内容

本发明实施例提供了一种确定恶意软件特征的方法，包括：

将恶意软件分别在两个或者两个以上操作系统中运行，在每一个操作系统的运行过程中分别抓取一个或者多个第一网络数据包；

对抓取的全部第一网络数据包中的每一个第一网络数据包分别进行协议解析得到对应的第一json文件；

根据相似度算法确定全部第一json文件中最相似的两个第一json文件；

对于所述最相似的两个第一json文件，将其中一个json文件中的每个字符串，和其中另一个json文件中的每个字符串，分别两两组成字符串二元组；

对于所述最相似的两个第一json文件所组成的全部字符串二元组，分别计算莱温斯坦比，确定莱文斯坦比超过预设阈值的一个或者多个字符串二元组；

根据最长公共子串算法确定所述一个或者多个字符串二元组中每一个字符串二元组中的最长公共子串，根据确定出的一个或者多个最长公共子串确定所述恶意软件的特征。

本发明实施例还提供了一种电子装置，包括：

抓取单元，设置为将恶意软件分别在两个或者两个以上操作系统中运行，在每一个操作系统的运行过程中分别抓取一个或者多个第一网络数据包；

解析单元，设置为对抓取的全部第一网络数据包中的每一个第一网络数据包分别进行协议解析得到对应的第一json文件；

第一确定单元，设置为根据相似度算法确定全部第一json文件中最相似的两个第一json文件；

组成单元，设置为对于所述最相似的两个第一json文件，将其中一个json文件中的每个字符串，和其中另一个json文件中的每个字符串，分别两两组成字符串二元组；