[发明专利]恶意代码的识别方法、装置、计算机设备及介质

权利要求书

1.一种恶意代码的识别方法，其特征在于，包括：

对目标代码进行解析，以得到用于作为所述目标代码标识信息的特征值序列；

将所述特征值序列与预先存储的多个已知值序列分别进行匹配；

基于匹配成功的条件识别出所述目标代码为恶意代码，调用并执行与所述特征值序列相匹配的已知值序列所对应的对抗脚本；

基于匹配失败的条件对所述目标代码进行分类处理，以确定所述目标代码所属的类别；

根据目标代码所属的类别确定所述目标代码是否为恶意代码。

2.根据权利要求1所述的恶意代码的识别方法，其特征在于，所述基于匹配失败的条件对所述目标代码进行分类处理包括：

获取所述目标代码运行时调用的一个或多个应用程序接口；

对所述一个或多个应用程序接口进行归类处理；

依据归类处理结果判断所述目标代码所属的类别。

3.根据权利要求2所述的恶意代码的识别方法，其特征在于，所述对所述一个或多个应用程序接口进行归类处理包括：

调用在先构建的用于区分不同类别的应用程序接口的分类模型；

通过所述分类模型确定所述目标代码运行时调用的一个或多个应用程序接口的归类处理结果。

4.根据权利要求3所述的恶意代码的识别方法，其特征在于，通过所述分类模型确定归类处理结果包括：

利用分类模型对所述一个或多个应用程序接口进行最长公共子序列相似度计算处理；

依据相似度计算结果确定归类处理结果。

5.根据权利要求3或4所述的恶意代码的识别方法，其特征在于，还包括构建分类模型的步骤：

将预设数量恶意代码调用的多个应用程序接口分为训练集和测试集；

利用所述训练集对初始设置的模型进行训练，以及利用测试集对训练后的模型进行测试，以得到所述分类模型。

6.根据权利要求1所述的恶意代码的识别方法，其特征在于，所述根据目标代码所属的类别确定所述目标代码是否为恶意代码包括：

基于所述目标代码属于第一设定类别集合的条件，判断所述目标代码为恶意代码；

基于所述目标代码属于第二设定类别集合的条件，判断所述目标代码为安全代码；

基于所述目标代码属于无确定类别的条件，通知指定的人员进行人工判断。

7.根据权利要求6所述的恶意代码的识别方法，其特征在于，所述判断所述目标代码为恶意代码还包括：

查找与所述目标代码关联度最高的已有恶意代码；

获取用于防御所述已有恶意代码的对抗脚本，通过执行该对抗脚本的方式处理所述目标代码。

8.一种恶意代码的识别装置，其特征在于，包括：

代码解析模块，用于对目标代码进行解析，以得到用于作为所述目标代码标识信息的特征值序列；

特征匹配模块，用于将所述特征值序列与预先存储的多个已知值序列分别进行匹配；

脚本调用模块，用于基于匹配成功的条件识别出所述目标代码为恶意代码，并用于调用并执行与所述特征值序列相匹配的已知值序列所对应的对抗脚本；

代码分类模块，用于基于匹配失败的条件对所述目标代码进行分类处理，以确定所述目标代码所属的类别；

代码判断模块，用于根据目标代码所属的类别确定所述目标代码是否为恶意代码。

9.一种计算机设备，其特征在于，包括存储器和处理器，所述存储器中存储有计算机可读指令，所述计算机可读指令被所述处理器执行时，使得所述处理器执行如权利要求1-7中任一项权利要求所述的恶意代码的识别方法的步骤。

10.一种存储有计算机可读指令的存储介质，其特征在于，所述计算机可读指令被一个或多个处理器执行时，使得一个或多个处理器执行如权利要求1-7中任一项权利要求所述的恶意代码的识别方法的步骤。