[发明专利]恶意代码包的检测方法、装置、计算机设备和存储介质

权利要求书

1.一种恶意代码包的检测方法，其特征在于，所述方法包括：

获取待检测代码包的属性信息以及开发者的特征信息；

根据所述待检测代码包的属性信息，计算所述待检测代码包的包元素维度的第一分数；

通过预设开发者信誉确定算法，根据所述待检测代码包的开发者的特征信息，计算所述待检测代码包在开发者信誉维度的第二分数；

根据预设恶意样本检测规则以及预设恶意操作权重集，计算所述待检测代码包在代码静态检测维度的第三分数；

根据所述待检测代码包对应的执行结果，计算所述待检测代码包在代码动态检测维度的第四分数；

通过预设加权算法，根据所述第一分数、所述第二分数、所述第三分数以及所述第四分数，计算所述待检测代码包的目标恶意度评分；

如果所述目标恶意度评分大于或等于预设恶意阈值，则确定所述待检测代码包为恶意代码包。

2.根据权利要求1所述的方法，其特征在于，所述属性信息包括包名称以及开发者标识信息；

所述根据所述待检测代码包的属性信息，计算所述待检测代码包的包元素维度的第一分数，包括：

通过预设编辑距离计算算法，计算所述待检测代码包的包名称与满足预设下载量条件的正常代码包的包名称之间的编辑距离；

根据所述编辑距离确定包名相似度分数；

根据所述开发者标识信息确定开发者恶意度分数；

通过预设包属性评分算法，根据所述属性信息计算包属性恶意分数；

对所述包名相似度分数、所述开发者恶意度分数以及所述包属性恶意分数进行加权计算，确定所述待检测代码包在包元素维度的第一分数。

3.根据权利要求1所述的方法，其特征在于，所述根据预设恶意样本检测规则以及预设恶意操作权重集，计算所述待检测代码包在代码静态检测维度的第三分数，包括：

根据预设恶意样本检测规则对所述待检测代码包进行筛选，确定所述待检测代码包中包含的恶意操作的数量；

根据所述待检测代码包中包含的恶意操作的数量及所述预设恶意操作权重集，计算所述待检测代码包在代码静态检测维度的第三分数。

4.根据权利要求1所述的方法，其特征在于，所述根据所述待检测代码包对应的执行结果，计算所述待检测代码包在代码动态检测维度的第四分数，包括：

在预设沙箱中执行所述待检测代码包，生成执行结果，所述执行结果包括调用文件列表、执行进程列表以及网络通信列表；

对所述执行结果中的所述调用文件列表、执行进程列表以及网络通信列表进行筛选，确定满足预设高危操作条件的表项的数量；

根据所述满足预设高危操作条件的表项的数量，计算所述待检测代码包在代码动态检测维度的第四分数。

5.根据权利要求1至4任意一项所述的方法，其特征在于，所述方法还包括：

获取所述待检测代码包中包含的多个IOC威胁情报指标；

针对于每一所述IOC，对目标数量的包含所述目标IOC的代码包分别对应的多个目标恶意度评分，进行均值处理，确定所述目标IOC的初始评价分数；

在所述待检测代码包中包含的多个目标IOC中，将最高的所述初始评价分数作为所述待检测代码包的目标IOC评价分数。

6.根据权利要求5所述的方法，其特征在于，所述方法还包括：

通过将待检测代码包的待输入分数输入至预先训练的评估模型，确定所述待检测代码包的恶意度等级，所述待输入分数包括所述第一分数、所述第二分数、所述第三分数、所述第四分数、所述目标IOC评价分数中的一种或多种。

7.根据权利要求5所述的方法，其特征在于，所述获取所述待检测代码包中包含的多个IOC，包括：

剔除所述多个IOC中符合预设IOC白名单条件的IOC，得到处理后的多个IOC。