[发明专利]恶意样本的检测方法、装置、电子设备及存储介质在审
| 申请号: | 202111476731.X | 申请日: | 2021-12-06 |
| 公开(公告)号: | CN114117413A | 公开(公告)日: | 2022-03-01 |
| 发明(设计)人: | 佟勇;黄磊;童志明 | 申请(专利权)人: | 安天科技集团股份有限公司 |
| 主分类号: | G06F21/53 | 分类号: | G06F21/53;G06F21/56;G06K9/62 |
| 代理公司: | 北京格允知识产权代理有限公司 11609 | 代理人: | 周娇娇 |
| 地址: | 150028 黑龙江省哈尔滨市高新技术产*** | 国省代码: | 黑龙江;23 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 恶意 样本 检测 方法 装置 电子设备 存储 介质 | ||
本发明实施例涉及计算机安全领域,特别涉及一种恶意样本的检测方法、装置、电子设备及存储介质。其中,恶意样本的检测方法包括:对待测样本进行静态分析,得到所述待测样本中存在的所有行为指令;其中,所述行为指令包括指令类型和指令参数;确定所有所述行为指令中的异常指令;基于确定的所述异常指令,判断所述待测样本是否为恶意样本。本发明提供的技术方案利用静态分析的方式加快了待测样本的检测效率,同时基于确定的异常指令可以有效判断待测样本是否为恶意样本,从而解决了恶意样本难以被有效检测的问题。
技术领域
本发明实施例涉及计算机安全领域,特别涉及一种恶意样本的检测方法、装置、电子设备及存储介质。
背景技术
随着近年来各行各业都在不断开展信息化与智能化建设,社会信息化水平的不断提升,也对信息系统的安全防范提出了新的要求,而恶意威胁对于信息系统安全会产生极大的影响。
相关技术中,恶意威胁的检测方法通常包括基于特征的检测方法和基于动态行为的检测方法。其中,基于特征的检测方法是利用恶意代码检测引擎来检测待测样本内容是否含有恶意代码,基于动态行为的检测方法是利用沙箱的方式来运行待测样本。
发明内容
为了解决恶意样本难以被有效检测的问题,本发明实施例提供了一种恶意样本的检测方法、装置、电子设备及存储介质。
第一方面,本发明实施例提供了一种恶意样本的检测方法,包括:
对待测样本进行静态分析,得到所述待测样本中存在的所有行为指令;其中,所述行为指令包括指令类型和指令参数;
确定所有所述行为指令中的异常指令;
基于确定的所述异常指令,判断所述待测样本是否为恶意样本。
在一种可能的设计中,所述指令类型包括如下中的至少一种:
服务指令、文件指令、窗口指令、注册表指令、进程指令、算法指令、通信指令和钩子指令。
在一种可能的设计中,所述异常指令包括如下中的至少一种:
反沙箱、反杀软、屏幕监控、键盘监控和数据回传。
在一种可能的设计中,所述对待测样本进行静态分析,得到所述待测样本中存在的所有行为指令,包括:
利用静态向量提取技术对待测样本进行分析,得到所述待测样本中存在的所有行为指令的指令类型;
利用反汇编技术对所述待测样本进行分析,得到所述待测样本中存在的所有行为指令的指令参数。
在一种可能的设计中,所述确定所有行为指令中的异常指令,包括:
基于历史异常指令以及与每个所述历史异常指令相对应的指令类型和指令参数,构建异常指令规则库;
基于所述异常指令规则库以及当前行为指令的指令类型和指令参数,判断每一个行为指令是否为异常指令,以确定所有行为指令中的异常指令。
在一种可能的设计中,在所述判断当前行为指令是否为异常指令之后,还包括:
若是,则输出用于表征所述异常指令的标识信息;
所述基于确定的所述异常指令,判断所述待测样本是否为恶意样本,包括:
将历史异常指令的标识信息和预设的样本标签分别作为输入和输出,训练预设的机器学习模型,得到恶意样本识别模型;其中,所述样本标签为恶意样本和正常样本;
基于所述恶意样本识别模型和确定的所述异常指令的标识信息,判断所述待测样本是否为恶意样本。
在一种可能的设计中,所述恶意样本识别模型为决策树模型;
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于安天科技集团股份有限公司,未经安天科技集团股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202111476731.X/2.html,转载请声明来源钻瓜专利网。
