[发明专利]恶意样本的检测方法、装置、电子设备及存储介质

权利要求书

1.一种恶意样本的检测方法，其特征在于，包括：

对待测样本进行静态分析，得到所述待测样本中存在的所有行为指令；其中，所述行为指令包括指令类型和指令参数；

确定所有所述行为指令中的异常指令；

基于确定的所述异常指令，判断所述待测样本是否为恶意样本。

2.根据权利要求1所述的方法，其特征在于，所述指令类型包括如下中的至少一种：

服务指令、文件指令、窗口指令、注册表指令、进程指令、算法指令、通信指令和钩子指令。

3.根据权利要求1所述的方法，其特征在于，所述异常指令包括如下中的至少一种：

反沙箱、反杀软、屏幕监控、键盘监控和数据回传。

4.根据权利要求1所述的方法，其特征在于，所述对待测样本进行静态分析，得到所述待测样本中存在的所有行为指令，包括：

利用静态向量提取技术对待测样本进行分析，得到所述待测样本中存在的所有行为指令的指令类型；

利用反汇编技术对所述待测样本进行分析，得到所述待测样本中存在的所有行为指令的指令参数。

5.根据权利要求1-4中任一项所述的方法，其特征在于，所述确定所有行为指令中的异常指令，包括：

基于历史异常指令以及与每个所述历史异常指令相对应的指令类型和指令参数，构建异常指令规则库；

基于所述异常指令规则库以及当前行为指令的指令类型和指令参数，判断每一个行为指令是否为异常指令，以确定所有行为指令中的异常指令。

6.根据权利要求5所述的方法，其特征在于，在所述判断当前行为指令是否为异常指令之后，还包括：

若是，则输出用于表征所述异常指令的标识信息；

所述基于确定的所述异常指令，判断所述待测样本是否为恶意样本，包括：

将历史异常指令的标识信息和预设的样本标签分别作为输入和输出，训练预设的机器学习模型，得到恶意样本识别模型；其中，所述样本标签为恶意样本和正常样本；

基于所述恶意样本识别模型和确定的所述异常指令的标识信息，判断所述待测样本是否为恶意样本。

7.根据权利要求6所述的方法，其特征在于，所述恶意样本识别模型为决策树模型；

在所述判断所述待测样本是否为恶意样本之后，还包括：

若否，则获取针对所述待测样本的人工判断结果；

若所述人工判断结果为所述待测样本是恶意样本，则更新所述恶意样本识别模型的树结构，再利用更新后的所述恶意样本识别模型检测所述待测样本。

8.一种恶意样本的检测装置，其特征在于，包括：

分析模块，用于对待测样本进行静态分析，得到所述待测样本中存在的所有行为指令；其中，所述行为指令包括指令类型和指令参数；

确定模块，用于确定所有行为指令中的异常指令；

判断模块，用于基于确定的所述异常指令，判断所述待测样本是否为恶意样本。

9.一种电子设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器执行所述计算机程序时，实现如权利要求1-7中任一项所述的方法。

10.一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行权利要求1-7中任一项所述的方法。