[发明专利]一种恶意软件特征提取方法、装置、电子设备及存储介质

权利要求书

1.一种恶意软件特征提取方法，其特征在于，包括：

获取恶意软件的样本数据；

对所述样本数据进行行为特征识别，得到所述样本数据的静态特征集；所述行为特征包括行为类型、对象类型及对象名称；

对所述样本数据进行行为特征提取，得到所述样本数据的动态特征集；

基于所述静态特征集和所述动态特征集，得到所述样本数据对应的特征向量；

根据对应的特征向量和预设的耦合度规则，计算所述样本数据与样本特征库中每个已有样本之间的耦合度，并确定与所述样本数据耦合度最高的已有样本及相应的耦合关系；

将所述样本数据及与所述样本数据耦合度最高的已有样本按照相应的耦合关系进行行为特征提取，得到耦合关系特征集；

基于所述耦合关系特征集，对所述样本数据及与所述样本数据耦合度最高的已有样本对应的特征向量进行更新，并存入所述样本特征库，得到更新后的所述样本特征库。

2.根据权利要求1所述的方法，其特征在于，

所述对所述样本数据进行行为特征识别，包括：

基于所述样本数据中的明文数据进行数据解析，确定明文数据涉及的所有操作指令；

根据明文数据涉及的所有操作指令，进行行为特征识别；

通过对所述样本数据中的加密数据进行解密，得到解密字符串；

基于所述解密字符串进行数据解析，确定加密数据涉及的所有操作指令；

根据加密数据涉及的所有操作指令，进行行为特征识别。

3.根据权利要求1所述的方法，其特征在于，

所述基于所述静态特征集和所述动态特征集，得到所述样本数据对应的特征向量，包括：

基于筛选列表，分别对所述静态特征集和所述动态特征集中的行为特征进行筛选，筛除存在于所述筛选列表中的行为特征；其中，所述筛选列表包括系统基准列表和白名单列表；

基于筛选后的所述静态特征集和所述动态特征集中的各项行为特征，得到所述样本数据的特征向量。

4.根据权利要求1所述的方法，其特征在于，

所述根据对应的特征向量和预设的耦合度规则，计算所述样本数据与样本特征库中每个已有样本之间的耦合度，包括：

基于所述样本数据对应的特征向量，确定其中所有待计算耦合度值的特征项及对应权重，并按照对象类型分组；

对所述样本特征库中的每个已有样本执行如下操作：

基于已有样本对应的特征向量，确定其中所有待计算耦合度值的特征项，并按照对象类型分组；

将所述样本数据对应的分组与已有样本对应的分组进行对应，若存在对象类型相同的分组，则根据预设的耦合度规则，将所述样本数据对应分组中各特征项逐一与已有样本对应分组中各特征项进行耦合度值计算；

通过对计算所得的所有耦合度值进行加权求和，得到已有样本与所述样本数据之间的耦合度。

5.根据权利要求4所述的方法，其特征在于，

所述基于所述样本数据对应的特征向量，确定其中所有待计算耦合度值的特征项及对应权重，包括：

基于所述样本数据对应的特征向量，确定其中所有待计算耦合度值的特征项；

基于待计算耦合度值的特征项及所述样本特征库，确定待计算耦合度值的各特征项在所述样本特征库中出现的次数；

基于各特征项在所述样本特征库中出现的次数，确定对应的权重；其中，特征项出现次数与对应权重成反比关系。

6.根据权利要求4所述的方法，其特征在于，

所述耦合度规则包括：

对于两个特征项，若对象名称相同但行为类型不同，则耦合度值记为1；

若对象名称相同且行为类型相同，则耦合度值记为0.5；

若对象名称和行为类型均不同，则耦合度值记为0。