CN116032595A - 一种通用型恶意样本的分类方法、装置、介质及设备 - Google Patents
一种通用型恶意样本的分类方法、装置、介质及设备 Download PDFInfo
- Publication number
- CN116032595A CN116032595A CN202211669082.XA CN202211669082A CN116032595A CN 116032595 A CN116032595 A CN 116032595A CN 202211669082 A CN202211669082 A CN 202211669082A CN 116032595 A CN116032595 A CN 116032595A
- Authority
- CN
- China
- Prior art keywords
- malicious
- target
- sample
- threat
- malicious sample
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络安全领域,特别涉及一种通用型恶意样本的分类方法、装置、介质及设备。包括:获取目标恶意样本。根据每一目标恶意样本具有的可疑特征,生成每一目标恶意样本对应的恶意标签。根据恶意标签,对目标恶意样本进行威胁类别划分。本发明可以根据每一目标恶意样本对应的威胁类别进行优先级排序,以将具有更高威胁强度的目标恶意样本进行更为优先的分析处理,而对具有较低威胁强度的目标恶意样本选择性放弃处理或者延迟分析处理。由此,使得安全分析人员可以更加有针对性的开展分析工作。由此可以提升安全分析人员对于情报的识别速度,提高对于通用型恶意代码的分析响应速度。
Description
背景技术
传统的静态威胁情报分析系统大多是依靠特征向量扫描的方式与已有的病毒库进行匹配,从而确定恶意样本的分类和病毒名。或是基于机器学习模型训练的方式对恶意样本按照学习到的逻辑进行匹配,从而确定恶意样本的病毒家族、威胁分类和病毒名。但是,存在恶意样本无法在病毒库中匹配到对应行为的情况,以及存在对一些恶意样本的可疑行为无法按照学习到的逻辑进行匹配的情况。由此,现有的威胁分析方式仅仅只会给出通用型、启发式等笼统的分类和病毒名。由于,该笼统的分类和病毒名无实际的威胁评价指导意义,所以需要安全分析人员对这一类的恶意样本全部进行再次分析,以确保安全。
但是,随着恶意样本的数量日益增多,这种静态威胁情报分析系统的处理方式往往会产生大量的通用型恶意样本。在该情况下会严重影响安全分析人员对情报的分析响应速度。
发明内容
针对上述技术问题,本发明采用的技术方案为:
根据本发明的一个方面,提供了一种通用型恶意样本的分类方法,该方法包括如下步骤:
获取目标恶意样本。
根据每一目标恶意样本具有的可疑特征,生成每一目标恶意样本对应的恶意标签。恶意标签用于表示目标恶意样本的威胁强度。
根据恶意标签,对目标恶意样本进行威胁类别划分。
在本发明中,进一步的,获取目标恶意样本,包括:
获取多个待测样本。
对多个待测样本进行静态威胁情报分析处理,生成至少一个目标恶意样本,静态威胁情报分析处理用于判定待测样本的威胁级别及病毒名。目标恶意样本为不具有明确威胁级别及病毒名的待测样本。
在本发明中,进一步的,每一目标恶意样本具有至少一个可疑特征。
根据每一目标恶意样本具有的可疑特征,生成每一目标恶意样本对应的恶意标签,包括:
获取特征标签映射表。特征标签映射表用于记录可疑特征与恶意标签之间的对应关系。可疑特征所表示的可疑级别与恶意标签表示的威胁强度正相关。
根据特征标签映射表及每一目标恶意样本具有的可疑特征,确定每一目标恶意样本对应的恶意标签,每一可疑特征对应一个恶意标签。
在本发明中,进一步的,特征标签映射表满足如下条件:
若可疑特征为互斥体特征或特殊字符串特征,则恶意标签为低级恶意标签。
若可疑特征为修改注册表特征或修改文件特征,则恶意标签为中级恶意标签。
若可疑特征为衍生新文件路径特征或衍生新文件名特征或访问新URL特征,则恶意标签为高级恶意标签。
在本发明中,进一步的,高级恶意标签、中级恶意标签及低级恶意标签分别对应的威胁类别依次降低。
在本发明中,进一步的,方法还包括:
根据目标恶意样本的恶意标签对应的威胁类别,确定对目标恶意样本的处理优先级。
在本发明中,进一步的,根据目标恶意样本的恶意标签对应的威胁类别,确定对目标恶意样本的处理优先级,包括:
若目标恶意样本仅具有低级恶意标签,则目标恶意样本的处理优先级最低。
根据本发明的第二个方面,提供了一种通用型恶意样本的分类装置,该装置包括:
获取模块,用于获取目标恶意样本。
标签生成模块,用于根据每一目标恶意样本具有的可疑特征,生成每一目标恶意样本对应的恶意标签。恶意标签用于表示目标恶意样本的威胁强度。
类别划分模块,用于根据恶意标签,对目标恶意样本进行威胁类别划分。
根据本发明的第三个方面,提供了一种非瞬时性计算机可读存储介质,非瞬时性计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现上述的一种通用型恶意样本的分类方法。
根据本发明的第四个方面,提供了一种电子设备,包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述的一种通用型恶意样本的分类方法。
本发明至少具有以下有益效果:
本发明根据每一目标恶意样本具有的可疑特征,对每一目标恶意样本再次进行威胁类别划分。由此,可以判断出每一目标恶意样本对应的威胁强度的高低。由此,安全分析人员在面对大量的具有笼统的分类和病毒名的目标恶意样本时,可以根据每一目标恶意样本对应的威胁类别进行优先级排序,以将具有更高威胁强度的目标恶意样本进行更为优先的分析处理,而对具有较低威胁强度的目标恶意样本选择性放弃处理或者延迟分析处理。由此,使得安全分析人员可以更加有针对性的开展分析工作。由此可以提升安全分析人员对于情报的识别速度,提高对于通用型恶意代码的分析响应速度。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种通用型恶意样本的分类方法的流程图。
图2为本发明实施例提供的一种通用型恶意样本的分类装置的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
根据本发明的一个方面,如图1所示,提供了一种通用型恶意样本的分类方法,该方法包括如下步骤:
S100:获取目标恶意样本。
具体的,目标恶意样本可以为现有的恶意代码,该恶意代码可以为使用传统的静态威胁情报分析方法无法在病毒库中或无法按照学习到的逻辑为其匹配到确切具体的分类和病毒名的恶意代码。目标恶意样本仅具有通用型、启发式的笼统分类和病毒名。该笼统的分类和病毒名无实际的威胁评价指导意义,无法明确确定出目标恶意样本对应的威胁分类或威胁级别。
S200:根据每一目标恶意样本具有的可疑特征,生成每一目标恶意样本对应的恶意标签。恶意标签用于表示目标恶意样本的威胁强度。
通常使用现有的静态威胁情报分析方法,在进行分析的过程中,会提取出每一目标恶意样本具有的多个相应的病毒特征,然后再根据这些病毒特征构成每一个目标恶意样本对应的特征向量,再根据特征向量在病毒库中匹配或通过机器学习的方法匹配对应的分类和病毒名。在每一目标恶意样本具有的多个相应的病毒特征中则可能会包括至少一个可疑特征,该可疑特征为用来表示目标恶意样本的威胁程度的特征。
如可疑特征可以包括:互斥体特征或特殊字符串特征,修改注册表特征或修改文件特征,衍生新文件路径特征或衍生新文件名特征或访问新URL特征等。
由此,可以在每一目标恶意样本对应的特征向量中提取预设的可疑特征,并根据可疑特征代表的威胁强度,为每一目标恶意样本配置对应的恶意标签。可疑特征所表示的威胁级别与恶意标签表示的威胁强度正相关。
S300:根据恶意标签,对目标恶意样本进行威胁类别划分。
本实施例中,可以利用现有的静态威胁情报分析方法在分析过程中,确定好的每一目标恶意样本对应的特征向量中存在的可疑特征,直接进行对应的恶意标签的匹配。无需进行其他处理即可对目标恶意样本进行威胁类别划分。由此本发明在对通用型样本进行威胁类别划分时,计算量极小,对系统的资源占用较小。
本发明根据每一目标恶意样本具有的可疑特征,对每一目标恶意样本再次进行威胁类别划分。由此,可以判断出每一目标恶意样本对应的威胁强度的高低。由此,安全分析人员在面对大量的具有笼统的分类和病毒名的目标恶意样本时,可以根据每一目标恶意样本对应的威胁类别进行优先级排序,以将具有更高威胁强度的目标恶意样本进行更为优先的分析处理,而对具有较低威胁强度的目标恶意样本选择性放弃处理或者延迟分析处理。由此,使得安全分析人员可以更加有针对性的开展分析工作。由此可以提升安全分析人员对于情报的识别速度,提高对于通用型恶意代码的分析响应速度。
作为本发明的一个可能的实施例,S100:获取目标恶意样本,包括:
S101:获取多个待测样本。
待测样本可以为通过现有的安全监控工具监测拦截到的可疑代码及恶意代码。恶意代码可以为木马、蠕虫等恶意代码。该安全监控工具可以为防火墙、IDS(入侵检测系统,intrusion detectionsystem)及端点安全检测工具等。
S102:对多个待测样本进行静态威胁情报分析处理,生成至少一个目标恶意样本,静态威胁情报分析处理用于判定待测样本的威胁级别及病毒名。目标恶意样本为不具有明确威胁级别及病毒名的待测样本。也即不具有明确威胁分类的通用型样本。
静态威胁情报分析处理可以通过现有的静态威胁情报分析方法或系统进行实现。通过静态威胁情报分析处理可以为大量的待测样本匹配详细明确的威胁级别分类和病毒名。同时也会输出一些无法匹配的通用型样本。该类通用型样本即为目标恶意样本。
本实施例中,可对传统静态分析方法识别出来的通用型恶意代码进行再次威胁等级的细分。由此提高了安全分析人员对通用型恶意代码的研判速度和分析效率,在大批量恶意代码数量存在的情况下,可以依据特征码(恶意标签)对通用型恶意代码先进行选择性过滤,进而可以节约研判的时间,同时可以提高安全分析人员解决问题的效率。
作为本发明的一个可能的实施例,每一目标恶意样本具有至少一个可疑特征。
S200:根据每一目标恶意样本具有的可疑特征,生成每一目标恶意样本对应的恶意标签,包括:
S201:获取特征标签映射表。特征标签映射表用于记录可疑特征与恶意标签之间的对应关系。可疑特征所表示的可疑级别与恶意标签表示的威胁强度正相关。
具体的,特征标签映射表满足如下条件:
若可疑特征为互斥体特征或特殊字符串特征,则恶意标签为低级恶意标签,对应的特征码为L。
对应的,当目标恶意样本中仅存在互斥体特征或特殊字符串时,仅可以表示其具有较低的可疑性。通常在恶意代码中会存在大量的不常见的特殊字符串,但是在常规的正常代码(白名单代码)中同样有可能存在一些不常见的特殊字符串。所以,当目标恶意样本中仅存在特殊字符串时,仅可以表示其具有较低的可疑性。
互斥体用于保证样本在同一运行环境或同一终端中仅可以单一运行。由于上述互斥体的特性,通常在恶意代码中会存在互斥体,但是对应的在一些正常代码中为了保证用例单一性,同样也会存在互斥体。所以,当目标恶意样本中仅存在特殊字符串时,仅可以表示其具有较低的可疑性。
若可疑特征为修改注册表特征或修改文件特征,则恶意标签为中级恶意标签,对应的特征码为M。
若样本在运行过程中会存在修改注册表或修改文件的行为特征,则表示其具有较高的可疑性。通常恶意样本要实施攻击时,需要通过私自修改注册表或修改文件,才能够达到对应的攻击目的。上述行为虽然一些正常的样本在运行过程中,也有可能涉及到修改注册表或修改文件的行为,但是这样的样本数量较少,并且多数是经过安全验证后才具有的修改权限。所以当一个样本具有上述行为时,则表明其具有较高的可疑性。
若可疑特征为衍生新文件路径特征或衍生新文件名特征或访问新URL特征,则恶意标签为高级恶意标签。对应的特征码为H。
若样本在运行过程中会衍生新文件路径或衍生新文件名或访问新URL。则表示其具有极高的可疑性。通常恶意样本会嵌入在一些正常的软件中,当用于在下载安装该软件时,即可将恶意样本加载至安装终端上。如在一些非官方网站上下载并安装某一应用软件,在该安装包中便会存在嵌入的恶意样本。并且,该恶意样本在植入终端后会自行新建一些文件夹及文件,也即衍生新文件路径或衍生新文件名。同时,还与对应的病毒控制网站进行通信以进行后续的攻击步骤。而在这个过程中必然会访问新URL。
所以,当目标恶意样本中存在衍生新文件路径特征或衍生新文件名特征或访问新URL特征时,则可以表示其具有极高的可疑性,极有可能为病毒样本。
优选的,高级恶意标签、中级恶意标签及低级恶意标签分别对应的威胁类别依次降低。
S202:根据特征标签映射表及每一目标恶意样本具有的可疑特征,确定每一目标恶意样本对应的恶意标签。
通过上述特征标签映射表中标记的特征码对通用型恶意代码进行分类,共有如下7类:
只含有单一特征码的3类:L、M、H。
含有两种特征码的3类:LM、LH、MH。
含有三种特征码的1类:LMH。
按恶意程度由高到低的顺序进行排列,依次为LMH、MH、LH、LM、H、M及L。
本实施例中可以根据上述可疑特征表示的可疑性的高低,来对通用型的样本进行更加细致威胁级别划分,有助于安全分析人员更加快速的找到威胁性更高的样本进行优先分析。本实施例可以进一步提高静态威胁分析方法对于信息的整合能力,同时也提高了安全分析人员的分析效率,减少了人力成本。
作为本发明的一个可能的实施例,该方法还包括:
S400:根据目标恶意样本的恶意标签对应的威胁类别,确定对目标恶意样本的处理优先级。
优选的,若目标恶意样本仅具有低级恶意标签,则目标恶意样本的处理优先级最低。
在研判大批量样本的情况下,安全分析人员可以依据特征码标识进行分类,对只含有L或者M的样本,先选择性放弃,而对于包含H、MH、LHM的样本,进行优先研判和分析,由此可以提高针对对性,同时节约时间成本。
根据本发明的第二个方面,如图2所示,提供了一种通用型恶意样本的分类装置,该装置包括:
获取模块,用于获取目标恶意样本。
标签生成模块,用于根据每一目标恶意样本具有的可疑特征,生成每一目标恶意样本对应的恶意标签。恶意标签用于表示目标恶意样本的威胁强度。
类别划分模块,用于根据恶意标签,对目标恶意样本进行威胁类别划分。
本发明是对通用型恶意代码进行分类的一种方法,可以提升安全分析人员对于情报的识别,提高对于通用型恶意代码的分析响应速度。该方法将静态威胁分析系统扫描出无法匹配的特征向量进行赋予相应的特征码L、M、H,从而提高情报的价值性,可以更加高效的研判通用型恶意代码的威胁性。
本发明的实施例还提供了一种非瞬时性计算机可读存储介质,该存储介质可设置于电子设备之中以保存用于实现方法实施例中一种方法相关的至少一条指令或至少一段程序,该至少一条指令或该至少一段程序由该处理器加载并执行以实现上述实施例提供的方法。
本发明的实施例还提供了一种电子设备,包括处理器和前述的非瞬时性计算机可读存储介质。
本发明的实施例还提供一种计算机程序产品,其包括程序代码,当程序产品在电子设备上运行时,程序代码用于使该电子设备执行本说明书上述描述的根据本发明各种示例性实施方式的方法中的步骤。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种能够实现上述方法的电子设备。
所属技术领域的技术人员能够理解,本申请的各个方面可以实现为系统、方法或程序产品。因此,本申请的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
根据本申请的这种实施方式的电子设备。电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于:上述至少一个处理器、上述至少一个储存器、连接不同系统组件(包括储存器和处理器)的总线。
其中,所述储存器存储有程序代码,所述程序代码可以被所述处理器执行,使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本申请各种示例性实施方式的步骤。
储存器可以包括易失性储存器形式的可读介质,例如随机存取储存器(RAM)和/或高速缓存储存器,还可以进一步包括只读储存器(ROM)。
储存器还可以包括具有一组(至少一个)程序模块的程序/实用工具,这样的程序模块包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线可以为表示几类总线结构中的一种或多种,包括储存器总线或者储存器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。
电子设备也可以与一个或多个外部设备(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备交互的设备通信,和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口进行。并且,电子设备还可以通过网络适配器与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器通过总线与电子设备的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本申请的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本申请各种示例性实施方式的步骤。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本申请示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种通用型恶意样本的分类方法,其特征在于,所述方法包括如下步骤:
获取目标恶意样本;
根据每一所述目标恶意样本具有的可疑特征,生成每一所述目标恶意样本对应的恶意标签;所述恶意标签用于表示目标恶意样本的威胁强度;
根据所述恶意标签,对所述目标恶意样本进行威胁类别划分。
2.根据权利要求1所述的方法,其特征在于,获取目标恶意样本,包括:
获取多个待测样本;
对多个所述待测样本进行静态威胁情报分析处理,生成至少一个所述目标恶意样本,所述静态威胁情报分析处理用于判定所述待测样本的威胁级别及病毒名;所述目标恶意样本为不具有明确威胁级别及病毒名的待测样本。
3.根据权利要求1所述的方法,其特征在于,每一所述目标恶意样本具有至少一个可疑特征;
所述根据每一所述目标恶意样本具有的可疑特征,生成每一所述目标恶意样本对应的恶意标签,包括:
获取特征标签映射表;所述特征标签映射表用于记录可疑特征与恶意标签之间的对应关系;所述可疑特征所表示的可疑级别与所述恶意标签表示的威胁强度正相关;
根据所述特征标签映射表及每一所述目标恶意样本具有的可疑特征,确定每一所述目标恶意样本对应的恶意标签,每一所述可疑特征对应一个恶意标签。
4.根据权利要求3所述的方法,其特征在于,所述特征标签映射表满足如下条件:
若可疑特征为互斥体特征或特殊字符串特征,则所述恶意标签为低级恶意标签;
若可疑特征为修改注册表特征或修改文件特征,则所述恶意标签为中级恶意标签;
若可疑特征为衍生新文件路径特征或衍生新文件名特征或访问新URL特征,则所述恶意标签为高级恶意标签。
5.根据权利要求4所述的方法,其特征在于,所述高级恶意标签、中级恶意标签及低级恶意标签分别对应的威胁类别依次降低。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
根据所述目标恶意样本的恶意标签对应的威胁类别,确定对所述目标恶意样本的处理优先级。
7.根据权利要求6所述的方法,其特征在于,根据所述目标恶意样本的恶意标签对应的威胁类别,确定对所述目标恶意样本的处理优先级,包括:
若所述所述目标恶意样本仅具有低级恶意标签,则所述目标恶意样本的处理优先级最低。
8.一种通用型恶意样本的分类装置,其特征在于,包括:
获取模块,用于获取目标恶意样本;
标签生成模块,用于根据每一所述目标恶意样本具有的可疑特征,生成每一所述目标恶意样本对应的恶意标签;所述恶意标签用于表示目标恶意样本的威胁强度;
类别划分模块,用于根据所述恶意标签,对所述目标恶意样本进行威胁类别划分。
9.一种非瞬时性计算机可读存储介质,所述非瞬时性计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的一种通用型恶意样本的分类方法。
10.一种电子设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的一种通用型恶意样本的分类方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211669082.XA CN116032595A (zh) | 2022-12-23 | 2022-12-23 | 一种通用型恶意样本的分类方法、装置、介质及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211669082.XA CN116032595A (zh) | 2022-12-23 | 2022-12-23 | 一种通用型恶意样本的分类方法、装置、介质及设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116032595A true CN116032595A (zh) | 2023-04-28 |
Family
ID=86077105
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211669082.XA Pending CN116032595A (zh) | 2022-12-23 | 2022-12-23 | 一种通用型恶意样本的分类方法、装置、介质及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116032595A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116910755A (zh) * | 2023-09-13 | 2023-10-20 | 北京安天网络安全技术有限公司 | 一种文件检测方法 |
-
2022
- 2022-12-23 CN CN202211669082.XA patent/CN116032595A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116910755A (zh) * | 2023-09-13 | 2023-10-20 | 北京安天网络安全技术有限公司 | 一种文件检测方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11063974B2 (en) | Application phenotyping | |
| US10956477B1 (en) | System and method for detecting malicious scripts through natural language processing modeling | |
| US10581879B1 (en) | Enhanced malware detection for generated objects | |
| US11086987B2 (en) | Malware detection in event loops | |
| US9781144B1 (en) | Determining duplicate objects for malware analysis using environmental/context information | |
| US20170083703A1 (en) | Leveraging behavior-based rules for malware family classification | |
| Bagheri et al. | Practical, formal synthesis and automatic enforcement of security policies for android | |
| CN109271782B (zh) | 检测攻击行为的方法、介质、系统和计算设备 | |
| US20170353481A1 (en) | Malware detection by exploiting malware re-composition variations using feature evolutions and confusions | |
| US8800040B1 (en) | Methods and systems for prioritizing the monitoring of malicious uniform resource locators for new malware variants | |
| EP3455773A1 (en) | Inferential exploit attempt detection | |
| RU2658878C1 (ru) | Способ и сервер для классификации веб-ресурса | |
| US8332941B2 (en) | Exploit nonspecific host intrusion prevention/detection methods and systems and smart filters therefor | |
| CN116303290B (zh) | 一种office文档检测方法及装置、设备及介质 | |
| Elish et al. | A static assurance analysis of android applications | |
| CN116032595A (zh) | 一种通用型恶意样本的分类方法、装置、介质及设备 | |
| US11868465B2 (en) | Binary image stack cookie protection | |
| Suhuan et al. | Android malware detection based on logistic regression and XGBoost | |
| US9483645B2 (en) | System, method, and computer program product for identifying unwanted data based on an assembled execution profile of code | |
| CN111382435B (zh) | 检测计算机系统中的恶意活动的来源的系统和方法 | |
| CN114143074B (zh) | webshell攻击识别装置及方法 | |
| US20220237289A1 (en) | Automated malware classification with human-readable explanations | |
| CN113420302A (zh) | 主机漏洞检测方法及装置 | |
| CN113810342A (zh) | 一种入侵检测方法、装置、设备、介质 | |
| CN116522318B (zh) | 容器权限检测方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |