[发明专利]基于混合分析的恶意软件家族标签更正方法及装置

权利要求书

1.一种基于混合分析的恶意软件家族标签更正方法，其特征在于，包括：

将至少一个恶意软件家族中的恶意软件通过静态过滤组件进行过滤后送入沙箱，得到动态执行报告；

通过预设的行为语义知识库将所述动态执行报告进行语义映射，得到对应的语义序列；

将所述语义序列进行相似度聚类得到至少一个恶意软件簇，每个恶意软件簇包括至少一种语义序列，每种语义序列对应一个家族标签，若恶意软件簇的家族标签存在不一致的情况，则确定该恶意软件簇为不一致簇；

确定所述不一致簇的第一距离，以及确定所述不一致簇中每个语义序列的第二距离，根据所述第一距离和所述第二距离更正所述不一致簇中的家族标签。

2.根据权利要求1所述的基于混合分析的恶意软件家族标签更正方法，其特征在于，所述将至少一个恶意软件家族中的恶意软件通过静态过滤组件进行过滤后送入沙箱，得到动态执行报告，包括：

获取至少一个恶意软件家族中的恶意软件的二进制文件；

对于每个二进制文件，检测所述二进制文件是否有壳；

若检测到没有壳，则将所述二进制文件通过静态过滤组件过滤后输入沙箱，得到动态执行报告；

若检测到有壳，则将所述二进制文件输入沙箱确定对应的动态执行报告。

3.根据权利要求2所述的基于混合分析的恶意软件家族标签更正方法，其特征在于，所述若检测到没有壳，则将所述二进制文件通过静态过滤组件过滤后输入沙箱，得到动态执行报告，包括：

若检测到没有壳，则将所述二进制文件通过静态过滤组件过滤，确定对应的核心代码；

根据所述核心代码确定对应的散列值，并根据所述散列值确定关联关系，所述关联关系中包括互不相等的目标散列值；

将对应所述目标散列值的二进制文件输入沙箱，得到动态执行报告。

4.根据权利要求3所述的基于混合分析的恶意软件家族标签更正方法，其特征在于，所述将所述二进制文件通过静态过滤组件过滤，确定对应的核心代码，包括：

根据所述恶意软件的二进制文件确定所述恶意软件的原始程序入口点和文件内容大小；

根据所述原始程序入口点和所述文件内容大小确定对应的核心代码。

5.根据权利要求1所述的基于混合分析的恶意软件家族标签更正方法，其特征在于，所述行为语义知识库根据ATTCK技术矩阵和Windows编程文档确定。

6.根据权利要求1所述的基于混合分析的恶意软件家族标签更正方法，其特征在于，所述通过预设的行为语义知识库将所述动态执行报告进行语义映射，得到对应的语义序列，包括：

根据至少一个动态执行报告，确定对应的至少一个四元组，所述四元组包括调用者名称、被调用的函数名称、被调用的函数参数和被调用的函数的返回值；

通过预设的行为语义知识库将所述至少一个四元组进行语义映射，得到对应的至少一个语义序列。

7.根据权利要求6所述的基于混合分析的恶意软件家族标签更正方法，其特征在于，所述通过预设的行为语义知识库将所述至少一个四元组进行语义映射，得到对应的至少一个语义序列，包括：

通过预设的行为语义知识库和预设的辅助规则将所述至少一个四元组进行语义映射，得到对应的至少一个语义序列。