CN109558731B - 特征码处理方法、装置及存储介质 - Google Patents
特征码处理方法、装置及存储介质 Download PDFInfo
- Publication number
- CN109558731B CN109558731B CN201710879766.5A CN201710879766A CN109558731B CN 109558731 B CN109558731 B CN 109558731B CN 201710879766 A CN201710879766 A CN 201710879766A CN 109558731 B CN109558731 B CN 109558731B
- Authority
- CN
- China
- Prior art keywords
- file
- feature
- code
- abnormal
- operation instruction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明实施例公开了一种特征码处理方法、装置及存储介质,属于信息安全领域。该方法包括:获取目标文件,所述目标文件包括至少一个代码段;获取所述每个代码段中的至少一条操作指令;根据已设置的操作指令与特征值之间的对应关系,获取所述至少一条操作指令对应的特征值;根据所述至少一条操作指令对应的特征值,获取所述每个代码段的特征码,作为所述目标文件的特征码。本发明实施例能够自动获取到特征码,无需技术人员手动进行,操作简便,节省了人力成本,保证了特征码的准确可靠。
Description
技术领域
本发明实施例涉及信息安全领域,特别涉及一种特征码处理方法、装置及存储介质。
背景技术
随着互联网技术的快速发展以及网络信息的广泛传播,异常文件开始出现,这些异常文件会进行恶意操作,如篡改网页或入侵系统等,极大地影响了用户的信息安全。而特征码是识别异常文件的关键信息,如何准确提取异常文件的特征码已成为信息安全领域的热点问题。
相关技术中,通常先获取样本异常文件,由技术人员对样本异常文件进行分析,找出样本异常文件中进行恶意操作的代码段,将这些代码段作为特征码,添加到指定特征库中,从而在指定特征库中存储异常特征码。则针对待检测的文件,可以判断该文件中是否包括该指定特征库中的任一特征码,当该文件中包括该指定特征库中的任一特征码时,确定该文件为异常文件。
在实现本发明的过程中,发明人发现上述相关技术至少存在以下问题:上述提取特征码的方式由技术人员手动进行,操作不便,耗费了过多的人力成本。
发明内容
本发明实施例提供了一种特征码处理方法、装置及存储介质,可以解决相关技术中的缺陷。所述技术方案如下:
第一方面,提供了一种特征码处理方法,所述方法包括:
获取目标文件,所述目标文件包括至少一个代码段;
获取所述每个代码段中的至少一条操作指令;
根据已设置的操作指令与特征值之间的对应关系,获取所述至少一条操作指令对应的特征值;
根据所述至少一条操作指令对应的特征值,获取所述每个代码段的特征码,作为所述目标文件的特征码。
第二方面,提供了一种特征码处理方法,所述方法包括:
文件获取模块,用于获取目标文件,所述目标文件包括至少一个代码段;
指令获取模块,用于获取所述每个代码段中的至少一条操作指令;
特征值获取模块,用于根据已设置的操作指令与特征值之间的对应关系,获取所述至少一条操作指令对应的特征值;
特征码获取模块,用于根据所述至少一条操作指令对应的特征值,获取所述每个代码段的特征码,作为所述目标文件的特征码。
第三方面,提供了一种特征码处理装置,所述特征码处理装置包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述指令、所述程序、所述代码集或所述指令集由所述处理器加载并执行以实现如第一方面所述的特征码处理方法中所执行的操作。
第四方面,提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述指令、所述程序、所述代码集或所述指令集由处理器加载并执行以实现如第一方面所述的特征码处理方法中所执行的操作。
本发明实施例提供的技术方案带来的有益效果是:
本发明实施例提供的方法、装置及存储介质,通过获取目标文件,获取每个代码段中的至少一条操作指令,根据已设置的操作指令与特征值之间的对应关系,获取至少一条操作指令对应的特征值,进而获取每个代码段的特征码,作为目标文件的特征码。本发明实施例能够自动获取到特征码,无需技术人员手动进行,操作简便,节省了人力成本,保证了特征码的准确可靠。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种特征码处理系统的结构示意图;
图2A是本发明实施例提供的一种特征码处理方法的流程图;
图2B是本发明实施例提供的一种特征码去重示意图;
图3是本发明实施例提供的一种特征码处理方法的流程图;
图4是本发明实施例提供的一种示例性提取流程的示意图;
图5是本发明实施例提供的一种可执行文件的结构示意图;
图6A是本发明实施例提供的一种提取样本特征码的操作流程的示意图;
图6B是本发明实施例提供的一种对待检测文件进行识别的操作流程的示意图;
图6C是本发明实施例提供的一种示例性操作流程的示意图;
图7是本发明实施例提供的一种特征码处理装置的结构示意图;
图8是本发明实施例提供的一种终端的结构示意图;
图9是本发明实施例提供的一种服务器的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种特征码处理方法,用于提取目标文件的特征码。
在一种场景下,该目标文件包括样本正常文件和样本异常文件,则采用本发明实施例提供的方法提取出特征码之后,可以根据提取的特征码得到指定特征库,在指定特征库中存储异常特征码,这些特征码可以用于检测任一未知的文件是否为异常文件。
在另一种场景下,该目标文件为待检测的文件,则采用本发明实施例提供的方法提取出特征码之后,可以将该文件的特征码与指定特征库进行比对,从而确定该文件是否为异常文件。
实际应用中,该特征码处理方法可以由终端、服务器等具有数据处理功能的设备执行。
在一种可能实现方式中,服务器可以对样本正常文件和样本异常文件执行该特征码处理方法,从而获取指定特征库,发布该指定特征库后,很多设备均可访问该指定特征库,通过该指定特征库进行异常文件的检测。
在另一种可能实现方式中,终端可以对本地存储的文件执行该特征码处理方法,进而通过该指定特征库确定本地存储的文件是否为异常文件。
图1是本发明实施例提供的一种特征码处理系统的结构示意图,参见图1,该特征码处理系统包括特征码提取模块101、特征库管理模块102和检测模块103,特征码提取模块101与特征库管理模块102连接,特征库管理模块102与检测模块103连接,且特征码提取模块101与检测模块103连接。
其中,特征码提取模块101用于针对输入的文件提取特征码,可以被特征库管理模块102和检测模块103调用。特征库管理模块102用于创建指定特征库,对指定特征库进行添加特征码、去重等管理操作。检测模块103用于对待检测的文件进行检测,确定该文件是否为异常文件。
特征库管理模块102输入样本正常文件后,调用特征码提取模块101提取样本正常文件的特征码,之后将提取的特征码添加至正常特征库中,特征库管理模块102输入样本异常文件后,调用特征码提取模块101提取样本异常文件的特征码,之后将提取的特征码添加至异常特征库中,根据正常特征库和异常特征库可以确定指定特征库。而检测模块103输入待检测的文件后,调用特征码提取模块101提取该文件的特征码,之后基于该特征码查询特征库管理模块102的指定特征库,从而确定该文件是否为异常文件。
其中,特征码提取模块101、特征库管理模块102和检测模块103可以位于终端或者服务器中,例如特征码提取模块101和特征库管理模块102位于服务器中,检测模块103位于终端中。
图2A是本发明实施例提供的一种特征码处理方法的流程图,该特征码处理方法的执行主体为处理设备,对提取样本文件的特征码后获取指定特征库的过程进行说明。参见图2A,该方法包括:
201、获取多个样本文件,该多个样本文件包括样本正常文件和样本异常文件。
处理设备可以获取多个样本文件,这些样本文件中包括样本正常文件和样本异常文件,其中,样本正常文件已确定是正常文件,样本异常文件已确定是异常文件,例如可以为病毒文件、恶意程序等。样本正常文件和样本异常文件均可以为视频文件、音频文件、可执行文件、安装文件等多种类型的文件。
处理设备可以先获取多个样本文件,分别提取每个样本文件的特征码,或者也可以每当获取到一个样本文件时,提取该样本文件的特征码。
样本文件中包括多条操作指令,获取到样本文件时可以按照该样本文件的格式,对该样本文件进行解析,对该样本文件中的操作指令进行划分,得到至少一个代码段,每个代码段包括至少一条操作指令,后续可以根据代码段中的操作指令提取特征码。
其中,在划分时可以获取样本文件中的所有代码段,也可以对样本文件中的所有代码段进行筛选,将频繁使用的代码段或者已确定是正常代码段的代码段过滤掉,根据剩余代码段中的操作指令提取特征码。
在一种可能实现方式中,考虑到实际应用中终端会获取到很多种安装包,这些安装包的来源无法确定,如果获取的安装包是异常的安装包,在运行该安装包时,可能会导致操作系统不能正常运行,严重影响用户的使用。因此需要提取安装包的特征码,以便进行安装包的检测。
为了获取安装包的特征码,可以获取样本安装包,对样本安装包进行解压缩,得到多个安装文件。由于安装包中可执行文件包括多条操作指令,恶意攻击者通常会在可执行文件中添加用于进行恶意操作的异常操作指令,导致恶意安装包中的异常文件通常为可执行文件,也即是可执行文件是否正常往往决定着安装包是否正常。因此将多个安装文件中的可执行文件作为样本文件,以提取该可执行文件的特征码。其中,该样本安装包可以为操作系统的安装包或者为任一应用的安装包等。
可选地,由于可执行文件一般具有特定的扩展名,因此可以将可执行文件的扩展名设置为预设扩展名,对样本安装包进行解压缩得到多个安装文件后,可以从多个安装文件中获取扩展名为预设扩展名的文件,作为样本文件,该预设扩展名可以为.dex或者.exe等。
202、获取每个代码段中的至少一条操作指令,根据已设置的操作指令与特征值之间的对应关系,获取至少一条操作指令对应的特征值。
对于样本文件中的每个代码段,该代码段中的操作指令决定了样本文件运行时将要执行的操作,而根据要执行的操作可以确定该代码段是否为用于进行恶意操作的异常代码段。因此,可以根据代码段中的操作指令提取特征码。
为此,可以设置操作指令与特征值之间的对应关系,每个操作指令对应一个特征值,采用特征值来标识对应的操作指令。则对于每个代码段,获取代码段中的至少一条操作指令,根据该对应关系获取该至少一条操作指令对应的特征值。其中,该对应关系可以由技术人员设置,或者由处理设备随机设置,只需保证一个操作指令对应于一个特征值,且提取特征码的过程和识别文件的过程中采用同一对应关系即可。例如,可以建立特征资源池,该特征资源池中包括多个特征值,将该多个特征值分别分配给多条操作指令,从而建立操作指令与特征值之间的对应关系。
203、计算每个代码段中至少一条操作指令对应的特征值的乘积,得到每个代码段的特征码。
获取到该至少一条操作指令对应的特征值之后,即可根据该至少一条操作指令对应的特征值获取特征码。
本发明实施例中,将该至少一条操作指令对应的特征值的乘积作为代码段的特征码,也即是作为样本文件的特征码。
可选地,可以将对应关系中的特征值均设置为质数,质数为在大于1的自然数中除了1和它本身以外不再有其他因数的数,质数具有如下特性:如果计算出的质数乘积相等,表示作为乘数的每个质数均相同。因此,将该至少一条操作指令对应的质数乘积作为代码段的特征码,可以保证只要某一代码段的特征码与计算出的特征码相同,即可确定这段代码段就是样本文件中的代码段。
当然,还可以采用其他算法对该至少一条操作指令对应的特征值进行计算,得到特征码,例如计算该至少一条操作指令对应的特征值总和或平均值等。
204、将样本正常文件的特征码添加至正常特征库中,将样本异常文件的特征码添加至异常特征库中,将异常特征库包括而正常特征库不包括的特征码添加至指定特征库中。
其中,正常特征库用于存储正常文件的特征码,异常特征库用于存储异常文件的特征码,指定特征库用于存储异常特征码。
样本正常文件中不存在异常操作指令,因此样本正常文件的特征码均可确定为正常特征码,而样本内异常文件中存在异常操作指令,且还可能会存在正常操作指令,因此样本异常文件的特征码可能会包括正常特征码和异常特征码,此时为了将正常特征码和异常特征码区分开,可以在正常特征库中存储正常文件的特征码,即正常特征码,在异常特征库中存储异常文件的特征码,即正常特征码和异常特征码,那么异常特征库包括而正常特征库不包括的特征码即可认为是异常特征码,将异常特征码存储于指定特征库,后续可以根据该指定特征库检测异常文件。
考虑到一个样本文件中可能存在着操作指令相同的两个或两个以上的代码段,不同的样本文件中也可能存在着操作指令相同的代码段,这均会导致提取到重复的特征码。因此,将提取的特征码添加至相应的特征库时,可以对该特征库进行去重操作,将重复的特征码去除,以保证该特征库不会造成存储空间的浪费。
例如,参见图2B,样本异常文件1的特征码为[20,30,60],样本异常文件2的特征码是[20,30,420],则将这些样本异常文件的特征码组合后进行去重,得到的异常特征库为[20,30,60,420]。
本发明实施例提供的方法,通过获取样本文件中代码段中的至少一条操作指令,根据操作指令与特征值之间的对应关系,获取至少一条操作指令对应的特征值,进而获取代码段的特征码,可以根据样本文件中的操作指令自动获取到特征码,无需技术人员手动进行,操作简便,节省了人力成本,保证了特征码的准确可靠。
并且,在正常特征库中存储正常文件的特征码,在异常特征库中存储异常文件的特征码,将异常特征库包括而正常特征库不包括的特征码确定为异常特征码,将异常特征码存储于指定特征库,避免了正常特征码的干扰,保证了采用指定特征库可以准确识别出异常文件,提高了识别异常文件的准确率。
并且,由于乘数之间顺序的变化不会导致乘积变化,因此计算至少一条操作指令对应的特征值的乘积作为特征码时,特征码不会受到操作指令之间顺序的影响,采用计算出的特征码进行检测时,可以保证即使文件中异常操作指令的顺序发生了变化也可以被识别出来,具有一定的防变化能力,提高了识别异常文件的准确率。
图3是本发明实施例提供的一种特征码处理方法的流程图,该特征码处理方法的执行主体为处理设备,对提取待检测的文件的特征码的过程进行说明。参见图3,该方法包括:
301、获取待检测的文件。
其中,该文件可以为本地存储的文件、新下载的文件或者由好友分享的文件等。当获取到该文件时,需要对该文件进行检测,确定该文件是否为异常文件。且,该检测过程可以由用户对该文件的选择操作触发,或者通过病毒查杀软件自动触发。
在一种可能实现方式中,获取目标安装包,对该目标安装包进行解压缩,得到多个安装文件,将多个安装文件中的可执行文件作为待检测的文件。例如可以将多个安装文件中扩展名为预设扩展名的文件作为待检测的文件,该预设扩展名为可执行文件的扩展名。
302、获取每个代码段中的至少一条操作指令,根据已设置的操作指令与特征值之间的对应关系,获取至少一条操作指令对应的特征值,根据至少一条操作指令对应的特征值,获取每个代码段的特征码,作为文件的特征码。
在一种可能实现方式中,可以计算至少一条操作指令对应的特征值的乘积,得到代码段的特征码。
该步骤302的具体过程与上述步骤202-203类似,在此不再赘述。
303、判断指定特征库中是否包括文件的任一特征码,如果是,确定文件为异常文件;如果否,确定文件为正常文件。
获取到文件的至少一个特征码后,可以根据指定特征库确定该至少一个特征码是否为异常特征码。其中,该指定特征库用于存储异常特征码。
对于文件的每个特征码,可以判断指定特征库中是否包括该特征码,如果指定特征库中包括该特征码,表示文件中存在着异常代码段,确定该文件为异常文件。如果异常特征中不包括该特征码,则继续对下一个特征码进行判断,直至文件的所有特征码均判断完成,确定指定特征库中不包括文件的任一特征码时,确定文件中不存在异常代码段,确定该文件不是异常文件,是正常文件。
本发明实施例提供的方法,通过获取文件中代码段中的至少一条操作指令,根据操作指令与特征值之间的对应关系,获取至少一条操作指令对应的特征值,进而获取代码段的特征码,可以根据文件中的操作指令自动获取到特征码,无需技术人员手动进行,操作简便,节省了人力成本,保证了特征码的准确可靠,应用提取的特征码可以对该文件进行准确地检测,提高了异常文件的识别准确率。
并且,由于乘数之间顺序的变化不会导致乘积变化,因此计算至少一条操作指令对应的特征值的乘积作为特征码时,特征码不会受到操作指令之间顺序的影响,采用计算出的特征码进行检测时,可以保证即使待检测的文件中异常操作指令的顺序与样本异常文件相比发生了变化也可以被识别出来,具有一定的防变化能力,提高了识别异常文件的准确率。
图4是本发明实施例提供的一种示例性提取流程的示意图,以提取安装包的特征码为例进行说明,参见图4,该提取流程包括:
1、对安装包进行解压缩,得到的安装文件如下表1所示。
表1
2、从中提取classes.dex文件,classes.dex文件就是安装包的可执行文件,其内部结构参见图5,其中每条指令包括操作指令和操作对象。
3、从classes.dex文件中提取多个method(方法)代码段。
4、抽取每个method代码段中的操作指令,根据设置的对应关系确定操作指令对应的质数的乘积,作为每个method代码段的特征码。
例如,该对应关系如下表2所示。
表2
假设某method代码段为:
mov va,1
add va,vb
invoke xxx
则method代码段中的操作指令序列为mov、add和invoke,对应的特征值分别为2、3和5,那么特征码等于三个特征值的乘积30。
5、将所有method代码段的特征码组成安装包的特征码串。
假设classes.dex文件中有三个method代码段,特征码分别为30、60和420,则安装包的特征码串为[30,60,420]。
图6A是本发明实施例提供的一种提取样本特征码的操作流程的示意图,图6B是本发明实施例提供的一种对待检测文件进行识别的操作流程的示意图,图6C是本发明实施例提供的一种示例性操作流程的示意图,结合上述图2A至图4所示的实施例,以样本文件和待检测的文件为安装包为例,对提取特征码以及识别异常文件的过程进行了说明。
图7是本发明实施例提供的一种特征码处理装置的结构示意图。参见图7,该装置包括:
文件获取模块701,用于执行上述实施例中获取目标文件的步骤;
指令获取模块702,用于执行上述实施例中获取操作指令的步骤;
特征值获取模块703,用于执行上述实施例中获取特征值的步骤;
特征码获取模块704,用于执行上述实施例中根据特征值获取特征码的步骤。
可选地,目标文件包括样本正常文件和样本异常文件,该装置还包括:
添加模块,用于执行上述实施例中将特征码添加至相应的特征库中的步骤。
可选地,目标文件为待检测的文件,该装置还包括:
确定模块,用于执行上述实施例中根据指定特征库确定目标文件是否为异常文件的步骤。
可选地,对应关系中每个特征值均为质数;特征码获取模块703,包括:
乘积计算单元,用于执行上述实施例中通过计算乘积得到特征码的步骤。
可选地,文件获取模块701,包括:
解压缩单元,用于执行上述实施例中对目标安装包进行解压缩的步骤;
文件获取单元,用于执行上述实施例中将可执行文件作为目标文件的步骤。
可选地,文件获取单元,用于执行上述实施例中根据文件扩展名获取目标文件的步骤。
需要说明的是:上述实施例提供的特征码处理装置在进行特征码处理时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将处理设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的特征码处理装置与特征码处理方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图8是本发明实施例提供的一种终端的结构示意图。该终端可以用于实施上述实施例所示出的特征码处理方法中所执行的功能。具体来讲:
终端800可以包括RF(Radio Frequency,射频)电路110、包括有一个或一个以上计算机可读存储介质的存储器120、输入单元130、显示单元140、传感器150、音频电路160、传输模块170、包括有一个或者一个以上处理核心的处理器180、以及电源190等部件。本领域技术人员可以理解,图8中示出的终端结构并不构成对终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:
RF电路110可用于收发信息或通话过程中,信号的接收和发送,特别地,将基站的下行信息接收后,交由一个或者一个以上处理器180处理;另外,将涉及上行的数据发送给基站。通常,RF电路110包括但不限于天线、至少一个放大器、调谐器、一个或多个振荡器、用户身份模块(SIM)卡、收发信机、耦合器、LNA(Low Noise Amplifier,低噪声放大器)、双工器等。此外,RF电路110还可以通过无线通信与网络和其他终端通信。所述无线通信可以使用任一通信标准或协议,包括但不限于GSM(Global System of Mobile communication,全球移动通讯系统)、GPRS(General Packet Radio Service,通用团体无线服务)、CDMA(CodeDivision Multiple Access,码分多址)、WCDMA(Wideband Code Division MultipleAccess,宽带码分多址)、LTE(Long Term Evolution,长期演进)、电子邮件、SMS(ShortMessaging Service,短消息服务)等。
存储器120可用于存储软件程序以及模块,如上述示例性实施例所示出的终端所对应的软件程序以及模块,处理器180通过运行存储在存储器120的软件程序以及模块,从而执行各种功能应用以及数据处理,如实现基于视频的交互等。存储器120可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据终端800的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器120可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器120还可以包括存储器控制器,以提供处理器180和输入单元130对存储器120的访问。
输入单元130可用于接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。具体地,输入单元130可包括触敏表面131以及其他输入终端132。触敏表面131,也称为触摸显示屏或者触控板,可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触敏表面131上或在触敏表面131附近的操作),并根据预先设定的程式驱动相应的链接装置。可选的,触敏表面131可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接收触摸信息,并将它转换成触点坐标,再送给处理器180,并能接收处理器180发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触敏表面131。除了触敏表面131,输入单元130还可以包括其他输入终端132。具体地,其他输入终端132可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
显示单元140可用于显示由用户输入的信息或提供给用户的信息以及终端800的各种图形用户接口,这些图形用户接口可以由图形、文本、图标、视频和其任意组合来构成。显示单元140可包括显示面板141,可选的,可以采用LCD(Liquid Crystal Display,液晶显示器)、OLED(Organic Light-Emitting Diode,有机发光二极管)等形式来配置显示面板141。进一步的,触敏表面131可覆盖显示面板141,当触敏表面131检测到在其上或附近的触摸操作后,传送给处理器180以确定触摸事件的类型,随后处理器180根据触摸事件的类型在显示面板141上提供相应的视觉输出。虽然在图8中,触敏表面131与显示面板141是作为两个独立的部件来实现输入和输入功能,但是在某些实施例中,可以将触敏表面131与显示面板141集成而实现输入和输出功能。
终端800还可包括至少一种传感器150,比如光传感器、运动传感器以及其他传感器。具体地,光传感器可包括环境光传感器及接近传感器,其中,环境光传感器可根据环境光线的明暗来调节显示面板141的亮度,接近传感器可在终端800移动到耳边时,关闭显示面板141和/或背光。作为运动传感器的一种,重力加速度传感器可检测各个方向上(一般为三轴)加速度的大小,静止时可检测出重力的大小及方向,可用于识别手机姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等;至于终端800还可配置的陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器,在此不再赘述。
音频电路160、扬声器161,传声器162可提供用户与终端800之间的音频接口。音频电路160可将接收到的音频数据转换后的电信号,传输到扬声器161,由扬声器161转换为声音信号输出;另一方面,传声器162将收集的声音信号转换为电信号,由音频电路160接收后转换为音频数据,再将音频数据输出处理器180处理后,经RF电路110以发送给比如另一终端,或者将音频数据输出至存储器120以便进一步处理。音频电路160还可能包括耳塞插孔,以提供外设耳机与终端800的通信。
终端800通过传输模块170可以帮助用户收发电子邮件、浏览网页和访问流式媒体等,它为用户提供了无线或有线的宽带互联网访问。虽然图8示出了传输模块170,但是可以理解的是,其并不属于终端800的必须构成,完全可以根据需要在不改变发明的本质的范围内而省略。
处理器180是终端800的控制中心,利用各种接口和线路链接整个手机的各个部分,通过运行或执行存储在存储器120内的软件程序和/或模块,以及调用存储在存储器120内的数据,执行终端800的各种功能和处理数据,从而对手机进行整体监控。可选的,处理器180可包括一个或多个处理核心;优选的,处理器180可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器180中。
终端800还包括给各个部件供电的电源190(比如电池),优选的,电源可以通过电源管理系统与处理器180逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源190还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。
尽管未示出,终端800还可以包括摄像头、蓝牙模块等,在此不再赘述。具体在本实施例中,终端800的显示单元是触摸屏显示器,终端800还包括有存储器以及至少一条指令、至少一段程序、代码集或指令集,其中至少一条指令、至少一段程序、代码集或指令集存储于存储器中,且经配置以由一个或者一个以上处理器加载并执行,以实现上述实施例中的特征码处理方法中所执行的操作。
图9是本发明实施例提供的一种服务器的结构示意图,该服务器900可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(central processingunits,CPU)922(例如,一个或一个以上处理器)和存储器932,一个或一个以上存储应用程序942或数据944的存储介质930(例如一个或一个以上海量存储设备)。其中,存储器932和存储介质930可以是短暂存储或持久存储。存储在存储介质930的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器922可以设置为与存储介质930通信,加载存储介质930中的一系列指令操作,并在服务器900上执行上述特征码处理方法。
服务器900还可以包括一个或一个以上电源926,一个或一个以上有线或无线网络接口950,一个或一个以上输入输出接口958,一个或一个以上键盘956,和/或,一个或一个以上操作系统941,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
本发明实施例还提供了一种特征码处理装置,该特征码处理装置包括处理器和存储器,存储器中存储有至少一条指令、至少一段程序、代码集或指令集,指令、程序、代码集或指令集由处理器加载并执行以实现上述实施例的特征码处理方法中所执行的操作。
本发明实施例还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,该指令、该程序、该代码集或该指令集由处理器加载并执行以实现上述实施例的特征码处理方法中所执行的操作。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种特征码处理方法,其特征在于,所述方法包括:
获取目标文件,所述目标文件包括至少一个代码段;
获取所述每个代码段中的至少一条操作指令;
根据已设置的操作指令与特征值之间的对应关系,获取所述至少一条操作指令对应的特征值,所述对应关系中每个特征值均为质数;
计算所述每个代码段中的至少一条操作指令对应的特征值的乘积,得到所述每个代码段的特征码,作为所述目标文件的特征码;
在所述目标文件包括样本正常文件和样本异常文件的情况下,将所述样本正常文件的特征码添加至正常特征库中,所述正常特征库用于存储正常文件的特征码;将所述样本异常文件的特征码添加至异常特征库中,所述异常特征库用于存储异常文件的特征码;将所述异常特征库包括而所述正常特征库不包括的特征码添加至指定特征库中,所述指定特征库用于存储异常特征码;
在所述目标文件为待检测的文件的情况下,当指定特征库中包括所述目标文件的任一特征码时,确定所述目标文件为异常文件;或者,当所述指定特征库中不包括所述目标文件的任一特征码时,确定所述目标文件不是异常文件;其中,所述指定特征库用于存储异常特征码;
其中,所述操作指令与特征值之间的对应关系的建立过程包括:建立特征资源池,将所述特征资源池中包括的多个特征值分别分配给多条操作指令,每个操作指令对应一个特征值。
2.根据权利要求1所述的方法,其特征在于,所述获取目标文件,包括:
获取目标安装包,对所述目标安装包进行解压缩,得到多个安装文件;
将所述多个安装文件中的可执行文件作为所述目标文件。
3.根据权利要求2所述的方法,其特征在于,所述将所述多个安装文件中的可执行文件作为所述目标文件,包括:
将所述多个安装文件中扩展名为预设扩展名的文件作为所述目标文件,所述预设扩展名为所述可执行文件的扩展名。
4.一种特征码处理装置,其特征在于,所述装置包括:
文件获取模块,用于获取目标文件,所述目标文件包括至少一个代码段;
指令获取模块,用于获取所述每个代码段中的至少一条操作指令;
特征值获取模块,用于根据已设置的操作指令与特征值之间的对应关系,获取所述至少一条操作指令对应的特征值,所述对应关系中每个特征值均为质数;
特征码获取模块,用于计算所述每个代码段中的至少一条操作指令对应的特征值的乘积,得到所述每个代码段的特征码,作为所述目标文件的特征码;
在所述目标文件包括样本正常文件和样本异常文件的情况下,所述装置还包括:
添加模块,用于将所述样本正常文件的特征码添加至正常特征库中,所述正常特征库用于存储正常文件的特征码;
所述添加模块,还用于将所述样本异常文件的特征码添加至异常特征库中,所述异常特征库用于存储异常文件的特征码;
所述添加模块,还用于将所述异常特征库包括而所述正常特征库不包括的特征码添加至指定特征库中,所述指定特征库用于存储异常特征码;
在所述目标文件为待检测的文件的情况下,所述装置还包括:
确定模块,用于当指定特征库中包括所述目标文件的任一特征码时,确定所述目标文件为异常文件;或者,
所述确定模块,用于当所述指定特征库中不包括所述目标文件的任一特征码时,确定所述目标文件不是异常文件;
其中,所述指定特征库用于存储异常特征码;
其中,所述操作指令与特征值之间的对应关系的建立过程包括:建立特征资源池,将所述特征资源池中包括的多个特征值分别分配给多条操作指令,每个操作指令对应一个特征值。
5.根据权利要求4所述的装置,其特征在于,所述文件获取模块,包括:
解压缩单元,用于获取目标安装包,对所述目标安装包进行解压缩,得到多个安装文件;
文件获取单元,用于将所述多个安装文件中的可执行文件作为所述目标文件。
6.根据权利要求5所述的装置,其特征在于,所述文件获取单元,用于将所述多个安装文件中扩展名为预设扩展名的文件作为所述目标文件,所述预设扩展名为所述可执行文件的扩展名。
7.一种特征码处理装置,其特征在于,所述特征码处理装置包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述指令、所述程序、所述代码集或所述指令集由所述处理器加载并执行以实现如权利要求1至3任一权利要求所述的特征码处理方法中所执行的操作。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述指令、所述程序、所述代码集或所述指令集由处理器加载并执行以实现如权利要求1至3任一权利要求所述的特征码处理方法中所执行的操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710879766.5A CN109558731B (zh) | 2017-09-26 | 2017-09-26 | 特征码处理方法、装置及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710879766.5A CN109558731B (zh) | 2017-09-26 | 2017-09-26 | 特征码处理方法、装置及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109558731A CN109558731A (zh) | 2019-04-02 |
CN109558731B true CN109558731B (zh) | 2022-04-08 |
Family
ID=65862895
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710879766.5A Active CN109558731B (zh) | 2017-09-26 | 2017-09-26 | 特征码处理方法、装置及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109558731B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112579828A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 特征码的处理方法及装置、系统、存储介质、电子装置 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101924761A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种依据白名单进行恶意程序检测的方法 |
CN102663285A (zh) * | 2012-03-21 | 2012-09-12 | 奇智软件(北京)有限公司 | 一种apk病毒特征码的提取方法及装置 |
CN102663286A (zh) * | 2012-03-21 | 2012-09-12 | 奇智软件(北京)有限公司 | 一种病毒apk的识别方法及装置 |
CN103268449A (zh) * | 2012-12-28 | 2013-08-28 | 武汉安天信息技术有限责任公司 | 一种手机恶意代码的高速检测方法和系统 |
CN103475671A (zh) * | 2010-08-18 | 2013-12-25 | 北京奇虎科技有限公司 | 恶意程序检测方法 |
CN103902909A (zh) * | 2013-12-25 | 2014-07-02 | 武汉安天信息技术有限责任公司 | 一种基于Opcode回溯的Android恶意代码检测系统及方法 |
CN104504333A (zh) * | 2014-11-25 | 2015-04-08 | 武汉安天信息技术有限责任公司 | Elf文件中的恶意代码检测方法及装置 |
CN104657661A (zh) * | 2015-01-26 | 2015-05-27 | 武汉安天信息技术有限责任公司 | 移动终端中恶意代码的检测方法和装置 |
CN104679495A (zh) * | 2013-12-02 | 2015-06-03 | 贝壳网际(北京)安全技术有限公司 | 软件识别方法及装置 |
CN106485146A (zh) * | 2015-09-02 | 2017-03-08 | 腾讯科技(深圳)有限公司 | 一种信息处理方法及服务器 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9177144B2 (en) * | 2008-10-30 | 2015-11-03 | Mcafee, Inc. | Structural recognition of malicious code patterns |
US9454658B2 (en) * | 2010-12-14 | 2016-09-27 | F-Secure Corporation | Malware detection using feature analysis |
JP5605288B2 (ja) * | 2011-03-31 | 2014-10-15 | 富士通株式会社 | 出現マップ生成方法、ファイル抽出方法、出現マップ生成プログラム、ファイル抽出プログラム、出現マップ生成装置、およびファイル抽出装置 |
-
2017
- 2017-09-26 CN CN201710879766.5A patent/CN109558731B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101924761A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种依据白名单进行恶意程序检测的方法 |
CN103475671A (zh) * | 2010-08-18 | 2013-12-25 | 北京奇虎科技有限公司 | 恶意程序检测方法 |
CN102663285A (zh) * | 2012-03-21 | 2012-09-12 | 奇智软件(北京)有限公司 | 一种apk病毒特征码的提取方法及装置 |
CN102663286A (zh) * | 2012-03-21 | 2012-09-12 | 奇智软件(北京)有限公司 | 一种病毒apk的识别方法及装置 |
CN103268449A (zh) * | 2012-12-28 | 2013-08-28 | 武汉安天信息技术有限责任公司 | 一种手机恶意代码的高速检测方法和系统 |
CN104679495A (zh) * | 2013-12-02 | 2015-06-03 | 贝壳网际(北京)安全技术有限公司 | 软件识别方法及装置 |
CN103902909A (zh) * | 2013-12-25 | 2014-07-02 | 武汉安天信息技术有限责任公司 | 一种基于Opcode回溯的Android恶意代码检测系统及方法 |
CN104504333A (zh) * | 2014-11-25 | 2015-04-08 | 武汉安天信息技术有限责任公司 | Elf文件中的恶意代码检测方法及装置 |
CN104657661A (zh) * | 2015-01-26 | 2015-05-27 | 武汉安天信息技术有限责任公司 | 移动终端中恶意代码的检测方法和装置 |
CN106485146A (zh) * | 2015-09-02 | 2017-03-08 | 腾讯科技(深圳)有限公司 | 一种信息处理方法及服务器 |
Also Published As
Publication number | Publication date |
---|---|
CN109558731A (zh) | 2019-04-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9800609B2 (en) | Method, device and system for detecting malware in a mobile terminal | |
CN106649126B (zh) | 一种对应用程序进行测试的方法和装置 | |
CN108089977B (zh) | 一种应用程序的异常处理方法、装置及移动终端 | |
CN108039963B (zh) | 一种容器配置方法、装置及存储介质 | |
CN107861730B (zh) | 一种应用程序的处理方法及移动终端 | |
WO2018161540A1 (zh) | 指纹注册方法及相关产品 | |
CN109067751B (zh) | 一种非Root环境下ARP欺骗检测方法、装置及终端 | |
US20160308879A1 (en) | Application-Based Service Providing Method, Apparatus, and System | |
CN110830127B (zh) | 射频参数处理方法、装置、移动终端及存储介质 | |
CN107066374B (zh) | 一种数据处理方法及移动终端 | |
CN109688611B (zh) | 一种频段参数的配置方法、装置、终端和存储介质 | |
CN115174418A (zh) | 一种通信环境安全预警方法、装置、电子设备和存储介质 | |
CN108984265B (zh) | 检测虚拟机环境的方法及装置 | |
CN105278942B (zh) | 组件管理方法及装置 | |
CN109558731B (zh) | 特征码处理方法、装置及存储介质 | |
CN112199246A (zh) | 终端测试方法、装置、存储介质及移动终端 | |
CN105528220B (zh) | 加载动态共享对象的方法和装置 | |
CN111045737A (zh) | 设备标识获取方法、装置、终端设备和存储介质 | |
CN107122204B (zh) | 应用的卸载状态检测方法及装置 | |
CN106933626B (zh) | 应用关联方法及装置 | |
CN112486350B (zh) | 移动终端触摸屏的检测方法、装置、存储介质及移动终端 | |
CN114338770A (zh) | 跨区块链的数据处理方法、装置、存储介质及终端设备 | |
CN113961380A (zh) | 一种跨应用修复的方法、装置、设备及存储介质 | |
CN111538706A (zh) | 数据压缩方法、装置、存储介质及移动终端 | |
CN106657278B (zh) | 一种数据传输方法、装置及计算机设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |