[发明专利]一种恶意软件特征提取方法、装置、电子设备及存储介质在审
| 申请号: | 202211528893.8 | 申请日: | 2022-11-30 |
| 公开(公告)号: | CN115766274A | 公开(公告)日: | 2023-03-07 |
| 发明(设计)人: | 陈永余;白淳升;肖新光 | 申请(专利权)人: | 安天科技集团股份有限公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40;G06F21/56;G06F18/22 |
| 代理公司: | 北京格允知识产权代理有限公司 11609 | 代理人: | 张莉瑜 |
| 地址: | 150028 黑龙江省哈尔滨市高新技术产*** | 国省代码: | 黑龙江;23 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 恶意 软件 特征 提取 方法 装置 电子设备 存储 介质 | ||
本发明涉及网络安全技术领域,特别涉及一种恶意软件特征提取方法、装置、电子设备及存储介质,其中方法包括:获取样本数据;对样本数据进行行为特征识别得到静态特征集;对样本数据进行行为特征提取得到动态特征集;基于静态特征集和动态特征集得到特征向量;根据特征向量和耦合度规则,计算样本数据与样本特征库中每个已有样本之间的耦合度,确定与样本数据耦合度最高的已有样本及相应的耦合关系;将样本数据及已有样本按照耦合关系进行行为特征提取,得到耦合关系特征集;基于耦合关系特征集对样本数据及已有样本对应的特征向量进行更新,并存入样本特征库。本发明能够基于耦合度关联模块化恶意软件,获取相应的关联行为特征,实现关联检测。
技术领域
本发明实施例涉及网络安全技术领域,特别涉及一种恶意软件特征提取方法、装置、电子设备及存储介质。
背景技术
在网络安全防护中,模块化恶意软件采用将恶意行为分散到多个模块或多个步骤中的方式规避传统反病毒软件的检查。目前,现有技术通常不能有效地提取到模块化恶意软件的恶意行为特征,难以及时确定恶意软件的攻击行为。
发明内容
基于现有技术难以及时提取到模块化恶意软件的恶意行为特征的问题,本发明实施例提供了一种恶意软件特征提取方法、装置、电子设备及存储介质,能够基于耦合度关联模块化恶意软件,并获取相应的关联行为特征,从而实现关联检测,以提高模块化恶意软件上下游分析能力。
第一方面,本发明实施例提供了一种恶意软件特征提取方法,包括:
获取恶意软件的样本数据;
对所述样本数据进行行为特征识别,得到所述样本数据的静态特征集;所述行为特征包括行为类型、对象类型及对象名称;
对所述样本数据进行行为特征提取,得到所述样本数据的动态特征集;
基于所述静态特征集和所述动态特征集,得到所述样本数据对应的特征向量;
根据对应的特征向量和预设的耦合度规则,计算所述样本数据与样本特征库中每个已有样本之间的耦合度,并确定与所述样本数据耦合度最高的已有样本及相应的耦合关系;
将所述样本数据及与所述样本数据耦合度最高的已有样本按照相应的耦合关系进行行为特征提取,得到耦合关系特征集;
基于所述耦合关系特征集,对所述样本数据及与所述样本数据耦合度最高的已有样本对应的特征向量进行更新,并存入所述样本特征库,得到更新后的所述样本特征库。
可选地,所述对所述样本数据进行行为特征识别,包括:
基于所述样本数据中的明文数据进行数据解析,确定明文数据涉及的所有操作指令;
根据明文数据涉及的所有操作指令,进行行为特征识别;
通过对所述样本数据中的加密数据进行解密,得到解密字符串;
基于所述解密字符串进行数据解析,确定加密数据涉及的所有操作指令;
根据加密数据涉及的所有操作指令,进行行为特征识别。
可选地,所述基于所述静态特征集和所述动态特征集,得到所述样本数据对应的特征向量,包括:
基于筛选列表,分别对所述静态特征集和所述动态特征集中的行为特征进行筛选,筛除存在于所述筛选列表中的行为特征;其中,所述筛选列表包括系统基准列表和白名单列表;
基于筛选后的所述静态特征集和所述动态特征集中的各项行为特征,得到所述样本数据的特征向量。
可选地,所述根据对应的特征向量和预设的耦合度规则,计算所述样本数据与样本特征库中每个已有样本之间的耦合度,包括:
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于安天科技集团股份有限公司,未经安天科技集团股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202211528893.8/2.html,转载请声明来源钻瓜专利网。
