CN105488408A - 一种基于特征的恶意样本类型识别的方法与系统 - Google Patents
一种基于特征的恶意样本类型识别的方法与系统 Download PDFInfo
- Publication number
- CN105488408A CN105488408A CN201410845182.2A CN201410845182A CN105488408A CN 105488408 A CN105488408 A CN 105488408A CN 201410845182 A CN201410845182 A CN 201410845182A CN 105488408 A CN105488408 A CN 105488408A
- Authority
- CN
- China
- Prior art keywords
- sample
- homonome
- storehouse
- homology
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于信息安全技术领域,具体涉及一种基于特征的恶意样本类型识别的方法与系统;该方法首先通过识别样本的格式,识别出PE样本、OFFICE文档样本或EML邮件样本;再提取样本的同源特征,并将该同源特征与同源特征库比对,如果特征匹配,将样本的MD5值更新到同源特征库中;如果特征不匹配,将样本的特征与MD5值过滤白名单后加入同源特征库;本发明方法不仅使样本之间不再孤立,具有同源属性;而且在样本具有了同源属性后,便于发现具有同源属性样本的共同攻击事件;同时可以通过同源特征分析辅助检测未知的恶意代码。
Description
技术领域
本发明属于信息安全技术领域,具体涉及一种基于特征的恶意样本类型识别的方法与系统。
背景技术
随着信息技术的飞速发展,计算机恶意代码捕获量越来越多,针对性的有组织的攻击越来越多,而目前各安全厂商对恶意代码的标记仅采取病毒名命名方式,但样本都没有具体归类,无法判断样本之间的关系,导致每个样本仅仅作为单一数据,没有形成横向的关联性。
发明内容
为了解决上述问题,本发明公开了一种基于特征的恶意样本类型识别的方法,该方法使样本之间不再孤立,具有同源属性。
本发明的目的是这样实现的:
一种基于特征的恶意样本类型识别的方法,包括以下步骤:
S01、识别样本格式,识别出PE样本、OFFICE文档样本或EML邮件样本;
S02:提取样本的同源特征;
S03:将同源特征与同源特征库比对,如果:
特征匹配,将样本的MD5值更新到同源特征库中;
特征不匹配,将样本的特征与MD5值过滤白名单后加入同源特征库。
上述基于特征的恶意样本类型识别的方法,所述的步骤S02具体为:
对于PE样本,提取动态运行后DNS请求的域名或动态运行后没有DNS请求直接连接的IP地址;
对于OFFICE文档样本,提取动态运行后衍生样本哈希值;
对于EML邮件样本,静态解析出原始发件人地址和IP。
一种基于特征的恶意样本类型识别的系统,包括以下模块:
样本格式识别模块:用于识别样本格式,识别出PE样本、OFFICE文档样本或EML邮件样本;
样本同源特征提取模块:用于提取样本的同源特征;
同源特征比对模块:将同源特征与同源特征库比对,如果:
特征匹配,将样本的MD5值更新到同源特征库中;
特征不匹配,将样本的特征与MD5值过滤白名单后加入同源特征库。
有益效果:
第一、本发明使样本之间不再孤立,具有同源属性;
第二、在样本具有了同源属性后,便于发现具有同源属性样本的共同攻击事件;
第三、可以通过同源特征分析辅助检测未知的恶意代码。
附图说明
图1是本发明基于特征的恶意样本类型识别方法流程图。
图2是本发明基于特征的恶意样本类型识别系统示意图。
具体实施方式
下面结合附图对本发明具体实施方式作进一步详细描述。
具体实施例一
本实施例是基于特征的恶意样本类型识别的方法实施例。
本实施例的基于特征的恶意样本类型识别的方法,流程图如图1所示。该方法包括以下步骤:
S01、识别样本格式,识别出PE样本、OFFICE文档样本或EML邮件样本;
S02:提取样本的同源特征;
S03:将同源特征与同源特征库比对,如果:
特征匹配,将样本的MD5值更新到同源特征库中;
特征不匹配,将样本的特征与MD5值过滤白名单后加入同源特征库。
上述基于特征的恶意样本类型识别的方法,举例说明步骤S03中特征匹配的情况。
更新前的同源特征库如表1所示:
表1更新前的同源特征库
更新后的同源特征库如表2所示,表2中第3列的“F6CAB949FA4EA3DC3714672B7DBC0329”为更新值。
表2更新后的同源特征库
上述基于特征的恶意样本类型识别的方法,举例说明步骤S03中特征不匹配的情况。
更新前的同源特征库如表1所示,而更新后的同源特征库如表3所示,表3中最后一行的所有信息均为更新值。
表3更新后的同源特征库
具体实施例二
本实施例是基于特征的恶意样本类型识别的系统实施例。
本实施例的基于特征的恶意样本类型识别的系统,如图2所示。该系统包括以下模块:
样本格式识别模块:用于识别样本格式,识别出PE样本、OFFICE文档样本或EML邮件样本;
样本同源特征提取模块:用于提取样本的同源特征;
同源特征比对模块:将同源特征与同源特征库比对,如果:
特征匹配,将样本的MD5值更新到同源特征库中;
特征不匹配,将样本的特征与MD5值过滤白名单后加入同源特征库。
本发明不局限于上述最佳实施方式,任何人应该得知在本发明的启示下作出的结构变化或方法改进,凡是与本发明具有相同或相近的技术方案,均落入本发明的保护范围之内。
Claims (3)
1.一种基于特征的恶意样本类型识别的方法,其特征在于,包括以下步骤:
S01、识别样本格式,识别出PE样本、OFFICE文档样本或EML邮件样本;
S02:提取样本的同源特征;
S03:将同源特征与同源特征库比对,如果:
特征匹配,将样本的MD5值更新到同源特征库中;
特征不匹配,将样本的特征与MD5值过滤白名单后加入同源特征库。
2.根据权利要求1所述的基于特征的恶意样本类型识别的方法,其特征在于,所述的步骤S02具体为:
对于PE样本,提取动态运行后DNS请求的域名或动态运行后没有DNS请求直接连接的IP地址;
对于OFFICE文档样本,提取动态运行后衍生样本哈希值;
对于EML邮件样本,静态解析出原始发件人地址和IP。
3.一种基于特征的恶意样本类型识别的系统,其特征在于,包括以下模块:
样本格式识别模块:用于识别样本格式,识别出PE样本、OFFICE文档样本或EML邮件样本;
样本同源特征提取模块:用于提取样本的同源特征;
同源特征比对模块:将同源特征与同源特征库比对,如果:
特征匹配,将样本的MD5值更新到同源特征库中;
特征不匹配,将样本的特征与MD5值过滤白名单后加入同源特征库。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410845182.2A CN105488408A (zh) | 2014-12-31 | 2014-12-31 | 一种基于特征的恶意样本类型识别的方法与系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410845182.2A CN105488408A (zh) | 2014-12-31 | 2014-12-31 | 一种基于特征的恶意样本类型识别的方法与系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105488408A true CN105488408A (zh) | 2016-04-13 |
Family
ID=55675382
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410845182.2A Pending CN105488408A (zh) | 2014-12-31 | 2014-12-31 | 一种基于特征的恶意样本类型识别的方法与系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105488408A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106101104A (zh) * | 2016-06-15 | 2016-11-09 | 国家计算机网络与信息安全管理中心 | 一种基于域名解析的恶意域名检测方法及系统 |
| CN106384048A (zh) * | 2016-08-30 | 2017-02-08 | 北京奇虎科技有限公司 | 一种威胁信息处理方法与装置 |
| CN106778278A (zh) * | 2017-02-15 | 2017-05-31 | 中国科学院信息工程研究所 | 一种恶意文档检测方法及装置 |
| CN106778268A (zh) * | 2016-11-28 | 2017-05-31 | 广东省信息安全测评中心 | 恶意代码检测方法与系统 |
| CN107800673A (zh) * | 2016-09-07 | 2018-03-13 | 武汉安天信息技术有限责任公司 | 一种白名单的维护方法及装置 |
| CN108268772A (zh) * | 2016-12-30 | 2018-07-10 | 武汉安天信息技术有限责任公司 | 恶意样本的筛选方法及系统 |
| CN109167783A (zh) * | 2018-08-31 | 2019-01-08 | 杭州迪普科技股份有限公司 | 一种识别邮件病毒的方法和装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102045214A (zh) * | 2009-10-20 | 2011-05-04 | 成都市华为赛门铁克科技有限公司 | 僵尸网络检测方法、装置和系统 |
| CN102831149A (zh) * | 2012-06-25 | 2012-12-19 | 腾讯科技(深圳)有限公司 | 样本分析方法、装置及存储介质 |
| CN102833240A (zh) * | 2012-08-17 | 2012-12-19 | 中国科学院信息工程研究所 | 一种恶意代码捕获方法及系统 |
| CN103294954A (zh) * | 2013-06-07 | 2013-09-11 | 四川大学 | 一种基于频谱分析的复合文档恶意代码检测技术与系统 |
| CN103839006A (zh) * | 2010-11-29 | 2014-06-04 | 北京奇虎科技有限公司 | 基于机器学习的程序识别方法及装置 |
| CN103942495A (zh) * | 2010-12-31 | 2014-07-23 | 北京奇虎科技有限公司 | 基于机器学习的程序识别方法及装置 |
-
2014
- 2014-12-31 CN CN201410845182.2A patent/CN105488408A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102045214A (zh) * | 2009-10-20 | 2011-05-04 | 成都市华为赛门铁克科技有限公司 | 僵尸网络检测方法、装置和系统 |
| CN103839006A (zh) * | 2010-11-29 | 2014-06-04 | 北京奇虎科技有限公司 | 基于机器学习的程序识别方法及装置 |
| CN103942495A (zh) * | 2010-12-31 | 2014-07-23 | 北京奇虎科技有限公司 | 基于机器学习的程序识别方法及装置 |
| CN102831149A (zh) * | 2012-06-25 | 2012-12-19 | 腾讯科技(深圳)有限公司 | 样本分析方法、装置及存储介质 |
| CN102833240A (zh) * | 2012-08-17 | 2012-12-19 | 中国科学院信息工程研究所 | 一种恶意代码捕获方法及系统 |
| CN103294954A (zh) * | 2013-06-07 | 2013-09-11 | 四川大学 | 一种基于频谱分析的复合文档恶意代码检测技术与系统 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106101104A (zh) * | 2016-06-15 | 2016-11-09 | 国家计算机网络与信息安全管理中心 | 一种基于域名解析的恶意域名检测方法及系统 |
| CN106384048A (zh) * | 2016-08-30 | 2017-02-08 | 北京奇虎科技有限公司 | 一种威胁信息处理方法与装置 |
| CN107800673A (zh) * | 2016-09-07 | 2018-03-13 | 武汉安天信息技术有限责任公司 | 一种白名单的维护方法及装置 |
| CN106778268A (zh) * | 2016-11-28 | 2017-05-31 | 广东省信息安全测评中心 | 恶意代码检测方法与系统 |
| CN108268772A (zh) * | 2016-12-30 | 2018-07-10 | 武汉安天信息技术有限责任公司 | 恶意样本的筛选方法及系统 |
| CN108268772B (zh) * | 2016-12-30 | 2021-10-22 | 武汉安天信息技术有限责任公司 | 恶意样本的筛选方法及系统 |
| CN106778278A (zh) * | 2017-02-15 | 2017-05-31 | 中国科学院信息工程研究所 | 一种恶意文档检测方法及装置 |
| CN106778278B (zh) * | 2017-02-15 | 2019-09-10 | 中国科学院信息工程研究所 | 一种恶意文档检测方法及装置 |
| CN109167783A (zh) * | 2018-08-31 | 2019-01-08 | 杭州迪普科技股份有限公司 | 一种识别邮件病毒的方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105488408A (zh) | 一种基于特征的恶意样本类型识别的方法与系统 | |
| CN106878262B (zh) | 报文检测方法及装置、建立本地威胁情报库的方法及装置 | |
| US9560063B2 (en) | Apparatus and method for detecting malicious domain cluster | |
| US9479524B1 (en) | Determining string similarity using syntactic edit distance | |
| CN109951435B (zh) | 一种设备标识提供方法及装置和风险控制方法及装置 | |
| CN108092963B (zh) | 网页识别方法、装置、计算机设备及存储介质 | |
| US8925087B1 (en) | Apparatus and methods for in-the-cloud identification of spam and/or malware | |
| CN101593253B (zh) | 一种恶意程序判断方法及装置 | |
| US20170149830A1 (en) | Apparatus and method for automatically generating detection rule | |
| CN106126383B (zh) | 一种日志处理方法和装置 | |
| US20170310694A1 (en) | Malicious communication pattern extraction apparatus, malicious communication pattern extraction method, and malicious communication pattern extraction program | |
| EP2807802A1 (en) | Systems and methods for spam detection using character histograms | |
| WO2011076709A1 (en) | Malware identification and scanning | |
| CN107145779B (zh) | 一种离线恶意软件日志的识别方法和装置 | |
| EP3905084A1 (en) | Method and device for detecting malware | |
| US10348751B2 (en) | Device, system and method for extraction of malicious communication pattern to detect traffic caused by malware using traffic logs | |
| CN107704501A (zh) | 一种识别同源二进制文件的方法及系统 | |
| US11616797B2 (en) | Large scale malware sample identification | |
| CN107066303B (zh) | 固件比对方法和装置 | |
| CN103209170A (zh) | 文件类型识别方法及识别系统 | |
| KR20150124020A (ko) | 악성코드 식별 태그 설정 시스템 및 방법, 및 악성코드 식별 태그를 이용한 악성코드 검색 시스템 | |
| CN112632064A (zh) | 一种基于handle系统的区块链增强方法及系统 | |
| CN105975855A (zh) | 一种基于apk证书相似性的恶意代码检测方法及系统 | |
| US8910281B1 (en) | Identifying malware sources using phishing kit templates | |
| WO2019242441A1 (zh) | 一种基于动态特征的恶意软件识别方法、系统及相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 100020 Beijing, Chaoyang District, a number of buildings in the street to recognize the building Applicant after: CHINA INFORMATION SECURITY CERTIFICATION CENTER Applicant after: Beijing ahtech network Safe Technology Ltd Address before: 100020 Beijing, Chaoyang District, a number of buildings in the street to recognize the building Applicant before: CHINA INFORMATION SECURITY CERTIFICATION CENTER Applicant before: Beijing Antiy Electronic Installation Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160413 |
|
| RJ01 | Rejection of invention patent application after publication |