CN112887328A - 一种样本检测方法、装置、设备及计算机可读存储介质 - Google Patents
一种样本检测方法、装置、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN112887328A CN112887328A CN202110206116.0A CN202110206116A CN112887328A CN 112887328 A CN112887328 A CN 112887328A CN 202110206116 A CN202110206116 A CN 202110206116A CN 112887328 A CN112887328 A CN 112887328A
- Authority
- CN
- China
- Prior art keywords
- sample
- malicious
- family
- information
- detected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 55
- 230000003068 static effect Effects 0.000 claims abstract description 188
- 239000012634 fragment Substances 0.000 claims abstract description 34
- 238000004590 computer program Methods 0.000 claims description 46
- 238000000034 method Methods 0.000 claims description 46
- 238000012360 testing method Methods 0.000 claims description 7
- 238000000605 extraction Methods 0.000 claims description 5
- 230000008569 process Effects 0.000 description 20
- 230000000875 corresponding effect Effects 0.000 description 11
- 238000011161 development Methods 0.000 description 9
- 238000004891 communication Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 241000700605 Viruses Species 0.000 description 3
- 230000009471 action Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
- G06F16/90335—Query processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
- G06F16/90335—Query processing
- G06F16/90344—Query processing by using string matching techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/906—Clustering; Classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Data Mining & Analysis (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Computational Linguistics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请公开了一种样本检测方法、系统、设备及计算机可读存储介质,获取待检测样本;提取待检测样本的静态特征;判断待检测样本的静态特征是否与预设的恶意样本家族的静态特征相匹配;若待检测样本的静态特征与恶意样本家族的静态特征相匹配,则确定待检测样本为恶意样本;其中,静态特征的特征类型包括:程序数据库文件信息和/或字符串信息和/或代码片段信息。本申请中,由于恶意样本家族的程序数据库文件信息、字符串信息及代码片段信息中存在共性,所以本申请相当于借助恶意样本家族间的共性信息来判断待检测样本是否为恶意样本,检测准确性高,还便于根据家族信息来对待检测样本进行分析等操作。
Description
技术领域
本申请涉及网络安全技术领域,更具体地说,涉及一种样本检测方法、装置、设备及计算机可读存储介质。
背景技术
当前,用户的计算机或其他终端在运行过程中,会受到恶意软件、病毒等的恶意攻击,给用户带来网络安全困扰,为了避免用户设备被恶意攻击,需对恶意攻击行为进行识别及防护。
比如可以通过文件散列值来对携带恶意攻击的恶意样本进行识别、防护等,具体的,可以通过杀毒软件获取待检测样本的文件散列值,将待检测样本的文件散列值与病毒库中的文件散列值进行比对,若待检测样本的文件散列值已在病毒库中,则判定待检测样本为恶意样本,后续需对该待检测样本进行防护。
然而,目前的样本会因为加壳而导致程序变形,或者攻击者故意为了变形而在样本中添加一些混淆技巧,使用文件散列值来判断待检测样本是否为恶意样本的准确性较差。
综上所述,如何提高恶意样本的检测准确性是目前本领域技术人员亟待解决的问题。
发明内容
本申请的目的是提供一种样本检测方法,其能在一定程度上解决如何提高恶意样本的检测准确性的技术问题。本申请还提供了一种样本检测装置、设备及计算机可读存储介质。
为了实现上述目的,本申请提供如下技术方案:
一种样本检测方法,包括:
获取待检测样本;
提取所述待检测样本的静态特征,其中,所述静态特征的特征类型包括:程序数据库文件信息和/或字符串信息和/或代码片段信息;
判断所述待检测样本的静态特征是否与预设的恶意样本家族的静态特征相匹配;
若所述待检测样本的静态特征与所述恶意样本家族的静态特征相匹配,则确定所述待检测样本为恶意样本。
优选的,所述确定所述待检测样本为恶意样本之后,还包括:确定所述待检测样本匹配的恶意样本家族信息。
优选的,所述判断所述待检测样本的静态特征是否与预设的恶意样本家族的静态特征相匹配之前,还包括:
获取预设数量的已知恶意样本;
提取所述已知恶意样本的静态特征;
基于所述已知恶意样本的静态特征对所述已知恶意样本进行家族划分,得到所述恶意样本家族信息。
优选的,所述基于所述已知恶意样本的静态特征对所述已知恶意样本进行家族划分,得到所述恶意样本家族信息,包括:
将静态特征相似的所述已知恶意样本确定为所述恶意样本家族;
对所述恶意样本家族的静态特征进行聚类,得到所述恶意样本家族信息。
优选的,所述将静态特征相似的所述已知恶意样本确定为所述恶意样本家族,包括:
确定各已知恶意样本的程序数据库文件信息间的第一相似度值;
和/或,确定各已知恶意样本的字符串信息间的第二相似度值;
和/或,确定各已知恶意样本的代码片段间的第三相似度值;
基于所述第一相似度值和/或所述第二相似度值和/或所述第三相似度值判断所述已知恶意样本的静态特征是否相似,若是,则将所述已知恶意样本确定为所述恶意样本家族。
优选的,所述基于所述第一相似度值和/或所述第二相似度值和/或所述第三相似度值判断所述已知恶意样本的静态特征是否相似,包括:
基于所述第一相似度值和/或所述第二相似度值和/或所述第三相似度值确定所述已知恶意样本间的目标相似度值;
判断所述目标相似度值是否大于预设值,若是,则判定所述已知恶意样本的静态特征相似。
优选的,所述对所述恶意样本家族的静态特征进行聚类,得到所述恶意样本家族信息,包括:
对所述恶意样本家族的程序数据库文件信息进行命名规则聚类,得到所述恶意样本家族的命名规则;
和/或,对所述恶意样本家族的字符串信息进行聚类,得到所述恶意样本家族的字符串聚类信息;
和/或,对所述恶意样本家族的代码片段进行聚类,得到所述恶意样本家族的代码片段聚类信息;
将所述命名规则和/或所述字符串聚类信息和/或所述代码片段聚类信息作为所述恶意样本家族信息。
优选的,所述判断所述待检测样本的静态特征是否与预设的恶意样本家族的静态特征相匹配之后,还包括:
若所述待检测样本的静态特征与所述恶意样本家族的静态特征不匹配,则确定所述待检测样本为恶意样本后,基于所述待检测样本更新所述恶意样本家族。
一种样本检测装置,包括:
样本获取模块,用于获取待检测样本;
静态特征提取模块,用于提取所述待检测样本的静态特征,其中,所述静态特征的特征类型包括:程序数据库文件信息和/或字符串信息和/或代码片段信息;
判断模块,用于判断所述待检测样本的静态特征是否与预设的恶意样本家族的静态特征相匹配;若所述待检测样本的静态特征与所述恶意样本家族的静态特征相匹配,则确定所述待检测样本为恶意样本。
一种样本检测设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上任一所述样本检测方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如上任一所述样本检测方法的步骤。
本申请提供的一种样本检测方法,获取待检测样本;提取待检测样本的静态特征;判断待检测样本的静态特征是否与预设的恶意样本家族的静态特征相匹配;若待检测样本的静态特征与恶意样本家族的静态特征相匹配,则确定待检测样本为恶意样本;其中,静态特征的特征类型包括:程序数据库文件信息和/或字符串信息和/或代码片段信息。本申请中,可以根据待检测样本及恶意样本家族的程序数据库文件信息、字符串信息、代码片段信息,来判断出待检测样本匹配的恶意样本家族,从而可以确定待检测样本为恶意样本,由于恶意样本家族的程序数据库文件信息和/或字符串信息和/或代码片段信息中存在共性,所以本申请相当于借助恶意样本家族间的共性信息来判断待检测样本是否为恶意样本,检测准确性高。本申请提供的一种样本检测系统、设备及计算机可读存储介质也解决了相应技术问题。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的一种样本检测方法的第一流程图;
图2为本申请实施例提供的一种样本检测方法的第二流程图;
图3为恶意样本家族的确定流程图;
图4为恶意样本家族的家族信息的确定流程图;
图5为本申请实施例提供的一种样本检测系统的结构示意图;
图6为本申请实施例提供的一种样本检测设备的结构示意图;
图7为本申请实施例提供的一种样本检测设备的另一结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参阅图1,图1为本申请实施例提供的一种样本检测方法的第一流程图。
本申请实施例提供的一种样本检测方法,可以包括以下步骤:
步骤S101:获取待检测样本。
实际应用中,可以先获取待检测样本,待检测样本指的是安全性未知的样本,其类型可以根据实际需要确定,比如待检测样本可以为安全性未知的软件样本、或者安全性未知的代码样本等,本申请在此不做具体限定。
步骤S102:提取待检测样本的静态特征;静态特征的特征类型包括:程序数据库文件信息和/或字符串信息和/或代码片段信息。
实际应用中,在获取待检测样本之后,便可以提取待检测样本的静态特征,以便后续根据待检测样本的静态特征确定待检测样本是否为恶意样本。具体的,可以借助相应的提取工具或者脚本来提取待检测样本的静态特征。
具体应用场景中,因为程序数据库文件(Program Database File,PDB)是在编译时生成的,用于存储有关程序的单个版本的调试信息,且PDB可以存储符号,地址,功能和资源的名称以及其他有助于调试程序以查找异常或错误的确切来源的信息,且恶意样本本质上也是一种程序,恶意样本开发人员同时也是软件开发人员,在开发过程中,恶意样本开发人员通常需调试其代码,有时会在其开发过程中创建PDB信息,如果恶意样本开发人员不花时间调试其恶意样本,则可能冒着恶意样本无法在受害主机上正常运行的风险,或者无法成功地与其恶意样本进行远程通信,所以PDB信息中会携带恶意开发人员在开发过程中的特定信息,这些特定信息可以用于后续待检测样本的分析,也即可以借助程序数据库文件信息来判断待检测样本是否为恶意样本;程序数据库文件信息的样式可以为
“D:\smiller\projects\super_evil_stuff\shellcode\Test\obj\Debug\Test.pdb”
“D:\C++\AsusShellCode\Release\AsusShellCode.pdb”等;
此外,由于软件迭代的过程不可避免的需要复用之前已有的代码,所以在恶意软件中或多或少都会存在复用代码,复用行为是恶意样本开发人员采用的一种将已有恶意代码中满足自己功能需求的代码片段提取出来、不修改或进行稍许修改并应用于创建新的恶意代码的行为,而恶意样本开发人员编写风格也是在长期的编写过程中形成的不易改变的代码风格,所以利用代码编写风格的相似性可以实现对恶意样本家族的溯源,而代码编写风格的相似性可以通过字符串信息、代码片段等反应,所以可以借助待检测样本的字符串信息、代码片段信息来判断待检测样本是否为恶意样本;字符串信息的样式可以为“c:\sysinfo.txt”等。
步骤S103:判断待检测样本的静态特征是否与预设的恶意样本家族的静态特征相匹配;若待检测样本的静态特征与恶意样本家族的静态特征相匹配,则执行步骤S104;若待检测样本的静态特征与恶意样本家族的静态特征不匹配,则执行步骤S105。
步骤S104:确定待检测样本为恶意样本,并确定待检测样本匹配的恶意样本家族信息。
步骤S105:确定待检测样本为恶意样本后,基于待检测样本更新恶意样本家族。
实际应用中,因为程序数据库文件信息、字符串信息及代码片段信息等静态特征均可以反映恶意样本开发人员来开发过程中的某些共性,所以可以预先根据恶意样本的静态特征来进行家族划分,得到相应的恶意样本家族的静态特征,这样,在提取待检测样本的静态特征之后,只需判断待检测样本的静态特征是否与预设的恶意样本家族的静态特征相匹配便可以确定待检测样本是否为恶意样本,具体的,若待检测样本的静态特征与恶意样本家族的静态特征相匹配,则可以确定待检测样本为恶意样本,并且可以确定待检测样本匹配的恶意样本家族信息,以便后续根据恶意样本家族信息对待检测样本进行分析、防护等;若待检测样本的静态特征与恶意样本家族的静态特征不匹配,则可以再次通过其他方式来判断待检测样本是否为恶意样本,比如通过用户来判断待检测样本是否为恶意样本,若用户返回的消息表征待检测样本为恶意样本,则可以基于待检测样本更新恶意样本家族,以便扩充恶意样本家族信息,便于后续更好的进行样本安全性检测等。
本申请提供的一种样本检测方法,获取待检测样本;提取待检测样本的静态特征;判断待检测样本的静态特征是否与预设的恶意样本家族的静态特征相匹配;若待检测样本的静态特征与恶意样本家族的静态特征相匹配,则确定待检测样本为恶意样本,并确定待检测样本匹配的恶意样本家族的家族信息;其中,静态特征的特征类型包括:程序数据库文件信息和/或字符串信息和/或代码片段信息。本申请中,可以根据待检测样本及恶意样本家族的程序数据库文件信息和/或字符串信息和/或代码片段信息,来判断出待检测样本匹配的恶意样本家族,从而可以确定待检测样本为恶意样本,由于恶意样本家族的程序数据库文件信息、字符串信息及代码片段信息中存在共性,所以本申请相当于借助恶意样本家族间的共性信息来判断待检测样本是否为恶意样本,检测准确性高,并且还可以确定出待检测样本匹配的恶意样本家族的家族信息,便于根据家族信息来对待检测样本进行分析等操作,检测效果好。
请参阅图2,图2为本申请实施例提供的一种样本检测方法的第二流程图。
本申请实施例提供的一种样本检测方法,可以包括以下步骤:
步骤S201:获取预设数量的已知恶意样本。
实际应用中,在确定恶意样本家族及恶意样本的静态特征、家族信息的过程中,可以直接应用已有的恶意样本来进行相应操作,也即可以先获取预设数量的已知恶意样本,预设数量的值可以根据实际需要确定,且已知恶意样本的确定方式可以根据现有技术来决定,本申请在此不作具体限定。
步骤S202:提取已知恶意样本的静态特征。
实际应用中,在获取预设数量的已知恶意样本之后,便可以提取已知恶意样本的静态特征,应当指出,已知恶意样本的静态特征的特征类型也包括程序数据库文件信息和/或字符串信息和/或代码片段信息。
步骤S203:基于已知恶意样本的静态特征对已知恶意样本进行家族划分,得到恶意样本家族信息。
实际应用中,在提取已知恶意样本的静态特征之后,便可以基于已知恶意样本的静态特征对已知恶意样本进行家族划分,得到恶意样本家族信息。
具体应用场景中,因为恶意样本家族的恶意样本的静态特征间存在共性,也即存在相似性,所以在基于已知恶意样本的静态特征对已知恶意样本进行家族划分,得到恶意样本家族信息的过程中,可以将静态特征相似的已知恶意样本确定为恶意样本家族;将属于恶意样本家族的已知恶意样本的静态特征,确定为恶意样本家族的静态特征;对恶意样本家族的静态特征进行聚类,得到恶意样本家族信息。
步骤S204:获取待检测样本。
步骤S205:提取待检测样本的静态特征;静态特征的特征类型包括:程序数据库文件信息和/或字符串信息和/或代码片段信息。
步骤S206:判断待检测样本的静态特征是否与预设的恶意样本家族的静态特征相匹配;若待检测样本的静态特征与恶意样本家族的静态特征相匹配,则执行步骤S207;若待检测样本的静态特征与恶意样本家族的静态特征不匹配,则执行步骤S208。
步骤S207:确定待检测样本为恶意样本,并确定待检测样本匹配的恶意样本家族的家族信息。
步骤S208:确定待检测样本为恶意样本后,基于待检测样本更新恶意样本家族。
请参阅图3,图3为恶意样本家族的确定流程图。
本申请实施例提供的一种样本溯源方法中,将静态特征相似的已知恶意样本确定为恶意样本家族的过程中,可以执行以下步骤:
步骤S301:确定各已知恶意样本的程序数据库文件信息间的第一相似度值。
步骤S302:确定各已知恶意样本的字符串信息间的第二相似度值。
步骤S303:确定各已知恶意样本的代码片段间的第三相似度值。
实际应用中,因为程序数据库文件信息、字符串信息、代码片段信息是三个不同层次的信息,且程序数据库文件信息、字符串信息、代码片段信息均可以反映样本在相对应层次的共性信息,所以在将静态特征相似的已知恶意样本确定为恶意样本家族的过程中,可以确定已知恶意样本的程序数据库文件信息间的第一相似度值、确定已知恶意样本的字符串信息间的第二相似度值、确定已知恶意样本的代码片段间的第三相似度值,以便后续基于第一相似度值、第二相似度值及第三相似度值确定恶意样本家族。
具体应用场景中,可以根据程序数据库文件信息、字符串信息及代码片段各自的数据结构来确定相应的相似度值计算方式,比如通过余弦相似度、欧几里得距离、皮尔逊相关系数等来计算相似度值等,本申请在此不做具体限定。且在计算相似度的过程中,一次可以只计算两个已知恶意样本的静态特征间的相似度值,也可以计算三个或更多个已知恶意样本的静态特征间的相似度值等,本申请在此不做具体限定。
步骤S304:基于第一相似度值、第二相似度值及第三相似度值判断已知恶意样本的静态特征是否相似,若是,则执行步骤S305。
步骤S305:将已知恶意样本确定为恶意样本家族。
实际应用中,因为程序数据库文件信息、字符串信息、代码片段信息反映样本在相对应层次的共性信息的程度不同,所以在确定已知恶意样本的程序数据库文件信息间的第一相似度值、确定已知恶意样本的字符串信息间的第二相似度值、确定已知恶意样本的代码片段间的第三相似度值之后,可以基于第一相似度值、第二相似度值及第三相似度值判断已知恶意样本的静态特征是否相似,若是,则将已知恶意样本确定为恶意样本家族。
具体的,可以在第一相似度值、第二相似度值及第三相似度值中有至少两个值支持已知恶意样本间相似的情况下,便将相似的已知恶意样本确定为恶意样本家族;当然,也可以基于第一相似度值、第二相似度值及第三相似度值确定已知恶意样本间的目标相似度值,比如根据各个相似度值所代表的相似权重,来结合第一相似度值、第二相似度值及第三相似度值计算最终的目标相似度值,再判断目标相似度值是否大于预设值,若是,则再判定已知恶意样本的静态特征相似,并将相似的已知恶意样本确定为恶意样本家族。
应当指出,本实施例中依据程序数据库文件信息、字符串信息及代码片段信息共同来确定恶意样本家族,具体应用场景中,也可以依据程序数据库文件信息、字符串信息及代码片段信息中的一项或者两项来确定恶意样本家族等,本申请在此不做具体限定,此外,确定恶意样本家族所依据的信息及样本检测过程中待检测样本的静态特征的相应信息需一致,比如确定恶意样本家族时依据的信息为程序数据库文件信息,则样本检测过程中待检测样本的静态特征也需为程序数据库文件信息,而确定恶意样本家族时依据的信息为程序数据库文件信息、字符串信息和代码片段信息时,样本检测过程中待检测样本的静态特征也需为程序数据库文件信息、字符串信息和代码片段信息。
请参阅图4,图4为恶意样本家族信息的确定流程图。
本申请实施例提供的一种样本检测方法中,在对恶意样本家族的静态特征进行聚类,得到恶意样本家族信息的过程中,可以执行以下步骤:
步骤S401:对恶意样本家族的程序数据库文件信息进行命名规则聚类,得到恶意样本家族的命名规则。
实际应用中,因为程序数据库文件所反映的恶意样本的共性信息体现在命名规则上,所以可以对恶意样本家族的程序数据库文件信息进行命名规则聚类,得到恶意样本家族的命名规则。
步骤S402:对恶意样本家族的字符串信息进行聚类,得到恶意样本家族的字符串聚类信息。
步骤S403:对恶意样本家族的代码片段进行聚类,得到恶意样本家族的代码片段聚类信息。
实际应用中,因为字符串信息及代码片段所反映的恶意样本的共性信息直接体现在字符串信息及代码片段本身,所以可以直接对恶意样本家族的字符串信息进行聚类,得到恶意样本家族的字符串聚类信息,对恶意样本家族的代码片段进行聚类,得到恶意样本家族的代码片段聚类信息。
步骤S404:将命名规则、字符串聚类信息及代码片段聚类信息作为恶意样本家族信息。
实际应用中,在得到命名规则、字符串聚类信息及代码片段聚类信息之后,便可以将命名规则、字符串聚类信息及代码片段聚类信息作为恶意样本家族信息。
具体应用场景中,因为代码开发环境,比如特殊的代码路径、非默认编译参数等,也可以反映恶意样本间的共性信息,所以在可以获取恶意样本的代码开发环境的情况下,还可以对恶意样本家族的代码开发环境进行聚类,得到恶意样本家族的代码开发环境聚类信息,并将命名规则、字符串聚类信息、代码片段聚类信息及代码开发环境聚类信息作为恶意样本家族信息。
请参阅图5,图5为本申请实施例提供的一种样本检测装置的结构示意图。
本申请实施例提供的一种样本检测装置,可以包括:
样本获取模块101,用于获取待检测样本;
静态特征提取模块102,用于提取待检测样本的静态特征,其中,静态特征的特征类型包括:程序数据库文件信息和/或字符串信息和/或代码片段信息;
判断模块103,用于判断待检测样本的静态特征是否与预设的恶意样本家族的静态特征相匹配;若待检测样本的静态特征与恶意样本家族的静态特征相匹配,则确定待检测样本为恶意样本。
本申请实施例提供的一种样本检测装置,判断模块还可以用于:确定待检测样本为恶意样本之后,确定待检测样本匹配的恶意样本家族信息。
本申请实施例提供的一种样本检测装置,还可以包括:
第二获取模块,用于判断模块判断待检测样本的静态特征是否与预设的恶意样本家族的静态特征相匹配之前,获取预设数量的已知恶意样本;
第二提取模块,用于提取已知恶意样本的静态特征;
第一划分模块,用于基于已知恶意样本的静态特征对已知恶意样本进行家族划分,得到恶意样本家族信息。
本申请实施例提供的一种样本检测装置,第一划分模块可以包括:
第一确定子模块,用于将静态特征相似的已知恶意样本确定为恶意样本家族;
第二确定子模块,用于将属于恶意样本家族的已知恶意样本的静态特征,确定为恶意样本家族的静态特征;
第一聚类子模块,用于对恶意样本家族的静态特征进行聚类,得到恶意样本家族信息。
本申请实施例提供的一种样本检测装置,第一确定子模块可以包括:
第一确定单元,用于确定各已知恶意样本的程序数据库文件信息间的第一相似度值;
和/或,第二确定单元,用于确定各已知恶意样本的字符串信息间的第二相似度值;
和/或,第三确定单元,用于确定已知恶意样本的代码片段间的第三相似度值;
第一判断单元,用于基于第一相似度值和/或第二相似度值和/或第三相似度值判断已知恶意样本的静态特征是否相似,若是,则将已知恶意样本确定为恶意样本家族。
本申请实施例提供的一种样本检测装置,第一判断单元可以具体用于:基于第一相似度值和/或第二相似度值和/或第三相似度值确定已知恶意样本间的目标相似度值;判断目标相似度值是否大于预设值,若是,则判定已知恶意样本的静态特征相似。
本申请实施例提供的一种样本检测装置,第一聚类子模块可以包括:
第一聚类单元,用于对恶意样本家族的程序数据库文件信息进行命名规则聚类,得到恶意样本家族的命名规则;
和/或,第二聚类单元,用于对恶意样本家族的字符串信息进行聚类,得到恶意样本家族的字符串聚类信息;
和/或,第三聚类单元,用于对恶意样本家族的代码片段进行聚类,得到恶意样本家族的代码片段聚类信息;
第四确定单元,用于将命名规则和/或字符串聚类信息和/或代码片段聚类信息作为恶意样本家族信息。
本申请实施例提供的一种样本检测装置,判断模块还可以用于:若待检测样本的静态特征与恶意样本家族的静态特征不匹配,则确定待检测样本为恶意样本后,基于待检测样本更新恶意样本家族。
本申请还提供了一种样本检测设备及计算机可读存储介质,其均具有本申请实施例提供的一种样本检测方法具有的对应效果。请参阅图6,图6为本申请实施例提供的一种样本检测设备的结构示意图。
本申请实施例提供的一种样本检测设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:
获取待检测样本;
提取待检测样本的静态特征,其中,静态特征的特征类型包括:程序数据库文件信息和/或字符串信息和/或代码片段信息;
判断待检测样本的静态特征是否与预设的恶意样本家族的静态特征相匹配;
若待检测样本的静态特征与恶意样本家族的静态特征相匹配,则确定待检测样本为恶意样本。
本申请实施例提供的一种样本检测设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:确定待检测样本为恶意样本之后,确定待检测样本匹配的恶意样本家族信息。
本申请实施例提供的一种样本检测设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:判断待检测样本的静态特征是否与预设的恶意样本家族的静态特征相匹配之前,获取预设数量的已知恶意样本;提取已知恶意样本的静态特征;基于已知恶意样本的静态特征对已知恶意样本进行家族划分,得到恶意样本家族信息。
本申请实施例提供的一种样本检测设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:将静态特征相似的已知恶意样本确定为恶意样本家族;将属于恶意样本家族的已知恶意样本的静态特征,确定为恶意样本家族的静态特征;对恶意样本家族的静态特征进行聚类,得到恶意样本家族信息。
本申请实施例提供的一种样本检测设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:确定各已知恶意样本的程序数据库文件信息间的第一相似度值;和/或,确定各已知恶意样本的字符串信息间的第二相似度值;和/或,确定各已知恶意样本的代码片段间的第三相似度值;基于第一相似度值和/或第二相似度值和/或第三相似度值判断已知恶意样本的静态特征是否相似,若是,则将已知恶意样本确定为恶意样本家族。
本申请实施例提供的一种样本检测设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:基于第一相似度值和/或第二相似度值和/或第三相似度值确定已知恶意样本间的目标相似度值;判断目标相似度值是否大于预设值,若是,则判定已知恶意样本的静态特征相似。
本申请实施例提供的一种样本检测设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:对恶意样本家族的程序数据库文件信息进行命名规则聚类,得到恶意样本家族的命名规则;和/或,对恶意样本家族的字符串信息进行聚类,得到恶意样本家族的字符串聚类信息;和/或,对恶意样本家族的代码片段进行聚类,得到恶意样本家族的代码片段聚类信息;将命名规则和/或字符串聚类信息和/或代码片段聚类信息作为恶意样本家族的家族信息。
本申请实施例提供的一种样本检测设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:判断待检测样本的静态特征是否与预设的恶意样本家族的静态特征相匹配之后,若待检测样本的静态特征与恶意样本家族的静态特征不匹配,则确定待检测样本为恶意样本后,基于待检测样本更新恶意样本家族。
请参阅图7,本申请实施例提供的另一种样本检测设备中还可以包括:与处理器202连接的输入端口203,用于传输外界输入的命令至处理器202;与处理器202连接的显示单元204,用于显示处理器202的处理结果至外界;与处理器202连接的通信模块205,用于实现样本溯源设备与外界的通信。显示单元204可以为显示面板、激光扫描使显示器等;通信模块205所采用的通信方式包括但不局限于移动高清链接技术(HML)、通用串行总线(USB)、高清多媒体接口(HDMI)、无线连接:无线保真技术(WiFi)、蓝牙通信技术、低功耗蓝牙通信技术、基于IEEE802.11s的通信技术。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:
获取待检测样本;
提取待检测样本的静态特征,其中,静态特征的特征类型包括:程序数据库文件信息和/或字符串信息和/或代码片段信息;
判断待检测样本的静态特征是否与预设的恶意样本家族的静态特征相匹配;
若待检测样本的静态特征与恶意样本家族的静态特征相匹配,则确定待检测样本为恶意样本。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:确定待检测样本为恶意样本之后,确定待检测样本匹配的恶意样本家族信息。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:判断待检测样本的静态特征是否与预设的恶意样本家族的静态特征相匹配之前,获取预设数量的已知恶意样本;提取已知恶意样本的静态特征;基于已知恶意样本的静态特征对已知恶意样本进行家族划分,得到恶意样本家族信息。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:将静态特征相似的已知恶意样本确定为恶意样本家族;将属于恶意样本家族的已知恶意样本的静态特征,确定为恶意样本家族的静态特征;对恶意样本家族的静态特征进行聚类,得到恶意样本家族信息。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:确定各已知恶意样本的程序数据库文件信息间的第一相似度值;和/或,确定各已知恶意样本的字符串信息间的第二相似度值;和/或,确定各已知恶意样本的代码片段间的第三相似度值;基于第一相似度值和/或第二相似度值和/或第三相似度值判断已知恶意样本的静态特征是否相似,若是,则将已知恶意样本确定为恶意样本家族。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:基于第一相似度值和/或第二相似度值和/或第三相似度值确定已知恶意样本间的目标相似度值;判断目标相似度值是否大于预设值,若是,则判定已知恶意样本的静态特征相似。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:对恶意样本家族的程序数据库文件信息进行命名规则聚类,得到恶意样本家族的命名规则;和/或,对恶意样本家族的字符串信息进行聚类,得到恶意样本家族的字符串聚类信息;和/或,对恶意样本家族的代码片段进行聚类,得到恶意样本家族的代码片段聚类信息;将命名规则和/或字符串聚类信息和/或代码片段聚类信息作为恶意样本家族的家族信息。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:判断待检测样本的静态特征是否与预设的恶意样本家族的静态特征相匹配之后,若待检测样本的静态特征与恶意样本家族的静态特征不匹配,则确定待检测样本为恶意样本后,基于待检测样本更新恶意样本家族。
本申请所涉及的计算机可读存储介质包括随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质。
本申请实施例提供的样本检测装置、设备及计算机可读存储介质中相关部分的说明请参见本申请实施例提供的样本检测方法中对应部分的详细说明,在此不再赘述。另外,本申请实施例提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明,以免过多赘述。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (11)
1.一种样本检测方法,其特征在于,包括:
获取待检测样本;
提取所述待检测样本的静态特征,其中,所述静态特征的特征类型包括:程序数据库文件信息和/或字符串信息和/或代码片段信息;
判断所述待检测样本的静态特征是否与预设的恶意样本家族的静态特征相匹配;
若所述待检测样本的静态特征与所述恶意样本家族的静态特征相匹配,则确定所述待检测样本为恶意样本。
2.根据权利要求1所述的方法,其特征在于,所述确定所述待检测样本为恶意样本之后,还包括:
确定所述待检测样本匹配的恶意样本家族信息。
3.根据权利要求2所述的方法,其特征在于,所述判断所述待检测样本的静态特征是否与预设的恶意样本家族的静态特征相匹配之前,还包括:
获取预设数量的已知恶意样本;
提取所述已知恶意样本的静态特征;
基于所述已知恶意样本的静态特征对所述已知恶意样本进行家族划分,得到所述恶意样本家族信息。
4.根据权利要求3所述的方法,其特征在于,所述基于所述已知恶意样本的静态特征对所述已知恶意样本进行家族划分,得到所述恶意样本家族信息,包括:
将静态特征相似的所述已知恶意样本确定为所述恶意样本家族;
对所述恶意样本家族的静态特征进行聚类,得到所述恶意样本家族信息。
5.根据权利要求4所述的方法,其特征在于,所述将静态特征相似的所述已知恶意样本确定为所述恶意样本家族,包括:
确定各已知恶意样本的程序数据库文件信息间的第一相似度值;
和/或,确定各已知恶意样本的字符串信息间的第二相似度值;
和/或,确定各已知恶意样本的代码片段间的第三相似度值;
基于所述第一相似度值和/或所述第二相似度值和/或所述第三相似度值判断所述已知恶意样本的静态特征是否相似,若是,则将所述已知恶意样本确定为所述恶意样本家族。
6.根据权利要求5所述的方法,其特征在于,所述基于所述第一相似度值和/或所述第二相似度值和/或所述第三相似度值判断所述已知恶意样本的静态特征是否相似,包括:
基于所述第一相似度值和/或所述第二相似度值和/或所述第三相似度值确定所述已知恶意样本间的目标相似度值;
判断所述目标相似度值是否大于预设值,若是,则判定所述已知恶意样本的静态特征相似。
7.根据权利要求5所述的方法,其特征在于,所述对所述恶意样本家族的静态特征进行聚类,得到所述恶意样本家族信息,包括:
对所述恶意样本家族的程序数据库文件信息进行命名规则聚类,得到所述恶意样本家族的命名规则;
和/或,对所述恶意样本家族的字符串信息进行聚类,得到所述恶意样本家族的字符串聚类信息;
和/或,对所述恶意样本家族的代码片段进行聚类,得到所述恶意样本家族的代码片段聚类信息;
将所述命名规则和/或所述字符串聚类信息和/或所述代码片段聚类信息作为所述恶意样本家族信息。
8.根据权利要求1至7任一项所述的方法,其特征在于,所述判断所述待检测样本的静态特征是否与预设的恶意样本家族的静态特征相匹配之后,还包括:
若所述待检测样本的静态特征与所述恶意样本家族的静态特征不匹配,则确定所述待检测样本为恶意样本后,基于所述待检测样本更新所述恶意样本家族。
9.一种样本检测装置,其特征在于,包括:
样本获取模块,用于获取待检测样本;
静态特征提取模块,用于提取所述待检测样本的静态特征,其中,所述静态特征的特征类型包括:程序数据库文件信息和/或字符串信息和/或代码片段信息;
判断模块,用于判断所述待检测样本的静态特征是否与预设的恶意样本家族的静态特征相匹配;若所述待检测样本的静态特征与所述恶意样本家族的静态特征相匹配,则确定所述待检测样本为恶意样本。
10.一种样本检测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至8任一项所述样本检测方法的步骤。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至8任一项所述样本检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110206116.0A CN112887328A (zh) | 2021-02-24 | 2021-02-24 | 一种样本检测方法、装置、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110206116.0A CN112887328A (zh) | 2021-02-24 | 2021-02-24 | 一种样本检测方法、装置、设备及计算机可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112887328A true CN112887328A (zh) | 2021-06-01 |
Family
ID=76054318
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110206116.0A Pending CN112887328A (zh) | 2021-02-24 | 2021-02-24 | 一种样本检测方法、装置、设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112887328A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113449301A (zh) * | 2021-06-22 | 2021-09-28 | 深信服科技股份有限公司 | 一种样本检测方法、装置、设备及计算机可读存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104751054A (zh) * | 2013-12-31 | 2015-07-01 | 贝壳网际(北京)安全技术有限公司 | 恶意程序的识别方法及装置、移动终端 |
| CN105279434A (zh) * | 2015-10-13 | 2016-01-27 | 北京奇虎科技有限公司 | 恶意程序样本家族命名方法及装置 |
| CN105488405A (zh) * | 2014-12-25 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 一种基于pdb调试信息的恶意代码分析方法及系统 |
| CN107808093A (zh) * | 2016-09-09 | 2018-03-16 | 长沙有干货网络技术有限公司 | 一种基于行为的Android恶意软件家族聚类方法 |
| CN108280350A (zh) * | 2018-02-05 | 2018-07-13 | 南京航空航天大学 | 一种面向Android的移动网络终端恶意软件多特征检测方法 |
| CN108287993A (zh) * | 2017-01-09 | 2018-07-17 | 长沙云昊信息科技有限公司 | 一种移动端的恶意软件聚类检测方法 |
| CN108694319A (zh) * | 2017-04-06 | 2018-10-23 | 武汉安天信息技术有限责任公司 | 一种恶意代码家族判定方法及装置 |
| CN110222511A (zh) * | 2019-06-21 | 2019-09-10 | 杭州安恒信息技术股份有限公司 | 恶意软件家族识别方法、装置及电子设备 |
| CN110826064A (zh) * | 2019-10-25 | 2020-02-21 | 腾讯科技(深圳)有限公司 | 一种恶意文件的处理方法、装置、电子设备以及存储介质 |
-
2021
- 2021-02-24 CN CN202110206116.0A patent/CN112887328A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104751054A (zh) * | 2013-12-31 | 2015-07-01 | 贝壳网际(北京)安全技术有限公司 | 恶意程序的识别方法及装置、移动终端 |
| CN105488405A (zh) * | 2014-12-25 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 一种基于pdb调试信息的恶意代码分析方法及系统 |
| CN105279434A (zh) * | 2015-10-13 | 2016-01-27 | 北京奇虎科技有限公司 | 恶意程序样本家族命名方法及装置 |
| CN107808093A (zh) * | 2016-09-09 | 2018-03-16 | 长沙有干货网络技术有限公司 | 一种基于行为的Android恶意软件家族聚类方法 |
| CN108287993A (zh) * | 2017-01-09 | 2018-07-17 | 长沙云昊信息科技有限公司 | 一种移动端的恶意软件聚类检测方法 |
| CN108694319A (zh) * | 2017-04-06 | 2018-10-23 | 武汉安天信息技术有限责任公司 | 一种恶意代码家族判定方法及装置 |
| CN108280350A (zh) * | 2018-02-05 | 2018-07-13 | 南京航空航天大学 | 一种面向Android的移动网络终端恶意软件多特征检测方法 |
| CN110222511A (zh) * | 2019-06-21 | 2019-09-10 | 杭州安恒信息技术股份有限公司 | 恶意软件家族识别方法、装置及电子设备 |
| CN110826064A (zh) * | 2019-10-25 | 2020-02-21 | 腾讯科技(深圳)有限公司 | 一种恶意文件的处理方法、装置、电子设备以及存储介质 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113449301A (zh) * | 2021-06-22 | 2021-09-28 | 深信服科技股份有限公司 | 一种样本检测方法、装置、设备及计算机可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102254111B (zh) | 恶意网站检测方法及装置 | |
| CN109189496B (zh) | 应用程序的动态库信息获取方法及装置 | |
| Mercaldo et al. | Hey malware, i can find you! | |
| CN109271789B (zh) | 恶意进程检测方法、装置、电子设备及存储介质 | |
| RU2722692C1 (ru) | Способ и система выявления вредоносных файлов в неизолированной среде | |
| US11275835B2 (en) | Method of speeding up a full antivirus scan of files on a mobile device | |
| CN111931185A (zh) | 一种Java反序列化漏洞检测方法及组件 | |
| CN115562992A (zh) | 一种文件检测方法、装置、电子设备及存储介质 | |
| CN114386032A (zh) | 电力物联网设备的固件检测系统及方法 | |
| CN112148305A (zh) | 一种应用检测方法、装置、计算机设备和可读存储介质 | |
| CN112818314A (zh) | 一种设备检测方法、装置、设备及存储介质 | |
| CN109145589B (zh) | 应用程序获取方法及装置 | |
| CN111062040A (zh) | 一种确定未知漏洞的方法、服务器及计算机可读存储介质 | |
| CN112887328A (zh) | 一种样本检测方法、装置、设备及计算机可读存储介质 | |
| CN114139160A (zh) | 一种基于确定软件漏洞影响范围的方法和系统 | |
| EP3692456B1 (en) | Binary image stack cookie protection | |
| US11989293B2 (en) | Systems, methods, and media for identifying and responding to malicious files having similar features | |
| CN115292178A (zh) | 测试数据搜索方法、装置、存储介质以及终端 | |
| CN114357454A (zh) | 二进制可执行文件依赖库分析方法、装置、电子设备及存储介质 | |
| CN113779576A (zh) | 一种可执行文件感染病毒的识别方法、装置及电子设备 | |
| CN113987489A (zh) | 一种网络未知威胁的检测方法、装置、电子设备及存储介质 | |
| CN111475808B (zh) | 一种软件安全性分析方法、系统、设备及计算机存储介质 | |
| CN111562940B (zh) | 项目数据构建方法以及装置 | |
| CN111309311B (zh) | 一种漏洞检测工具生成方法、装置、设备及可读存储介质 | |
| CN116910756B (zh) | 一种恶意pe文件的检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210601 |
|
| RJ01 | Rejection of invention patent application after publication |