CN115964708A - 防误报的自动化特征提取方法、装置、电子设备及存储介质 - Google Patents
防误报的自动化特征提取方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115964708A CN115964708A CN202211656879.6A CN202211656879A CN115964708A CN 115964708 A CN115964708 A CN 115964708A CN 202211656879 A CN202211656879 A CN 202211656879A CN 115964708 A CN115964708 A CN 115964708A
- Authority
- CN
- China
- Prior art keywords
- extracted
- file
- target file
- malicious
- tail
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明实施例公开的防误报的自动化特征提取方法、装置、电子设备及存储介质,涉及反恶意代码领域,能够避免出现误报为白文件的情况,提高自动化特征提取的准确性。包括步骤:对于恶意判定标准库判定为恶意样本的待提取自动化特征样本,获取待提取自动化特征样本文件的实际文件尾部信息,以及待提取自动化特征样本结构获得的目标文件尾部信息;判断所述实际文件尾部信息与所述目标文件尾部信息是否一致;若不一致,则根据所述目标文件尾部信息进一步确定恶意代码在待提取特征样本中所在区域;如果恶意代码所在区域为待提取自动化特征样本的头部与所述目标文件尾部之间,则对待提取特征样本进行提取特征。本发明适用于携带有恶意代码的样本检测。
Description
技术领域
本发明涉及反恶意代码领域,尤其涉及一种防误报的自动化特征提取方法、装置、电子设备及存储介质。
背景技术
反病毒引擎为了提高检测效率,会制定基于外部检测策略的判定标准,对于符合标准的样本将被认定为黑样本,根据该样本的文件结构提取特征,从而达到对该样本以及其相似样本的检出。
黑客(Attacker,攻击者)通常将恶意代码b放到正常文件a尾部来逃避检测。针对该类携带有恶意代码的样本,当前的自动化检测策略一般采用特征匹配的方式对该类样本进行检测,通常会对这种头部正常文件尾部黑恶意代码的样本(a+b)进行自动化检测特征提取动作,因为尾部黑恶意代码b不影响头部正常文件a的文件结构,所以提取出的特征(a+b的特征)会与头部正常文件特征(a的特征)存在相同,进而会误报为正常文件,影响检测准确性。
发明内容
有鉴于此,本发明实施例提供一种防误报的自动化特征提取方法、装置、电子设备及存储介质,便于检测出该类样本携带的恶意代码所在区域,避免出现误报为白文件的情况,从而提高防误报的自动化特征提取的准确性。
第一方面,本发明实施例提供一种防误报的自动化特征提取方法,包括步骤:对于恶意判定标准库判定为恶意样本的待提取自动化特征样本,获取待提取自动化特征样本文件的实际文件尾部信息,以及待提取自动化特征样本结构获得的目标文件尾部信息;判断所述实际文件尾部信息与所述目标文件尾部信息是否一致;若不一致,则根据所述目标文件尾部信息进一步确定恶意代码在待提取特征样本中所在区域;如果恶意代码所在区域为待提取自动化特征样本的头部与所述目标文件尾部之间,则对待提取特征样本进行提取特征操作。
可选的,所述根据所述目标文件尾部信息进一步确定恶意代码在待提取特征样本中所在区域包括:基于所述待提取自动化特征样本的头部与所述目标文件尾部信息拼接生成待测目标文件;根据恶意判定标准库,判断所述待测目标文件是否为恶意文件;若是,则确定所述恶意代码所在区域为待提取自动化特征样本的头部与所述目标文件尾部之间。
可选的,所述根据所述目标文件尾部信息进一步确定恶意代码在待提取特征样本中所在区域包括:基于所述待提取自动化特征样本的目标文件尾部信息,将待提取自动化特征样本的目标文件尾部与实际文件尾部之间二进制数据拼接到已知白文件尾部生成待测目标文件;根据恶意判定标准库,判断所述待测目标文件是否为恶意文件;若不是,则确定恶意代码所在区域为待提取自动化特征样本的头部与所述目标文件尾部之间。
可选的,在确定恶意代码在待提取特征样本中所在区域之后,所述方法还包括:根据所述恶意代码在待提取特征样本中所在区域,确定是否执行自动化特征提取操作。
可选的,所述不一致,包括:所述实际文件尾部信息大于所述目标文件尾部信息的情况。
第二方面,本发明的实施例还提供一种防误报的自动化特征提取装置,包括:获取程序单元,用于对于恶意判定标准库判定为恶意样本的待提取自动化特征样本,获取待提取自动化特征样本文件的实际文件尾部信息,以及待提取自动化特征样本结构获得的目标文件尾部信息;判断程序单元,用于判断所述实际文件尾部信息与所述目标文件尾部信息是否一致;确定程序单元,用于若不一致,则根据所述目标文件尾部信息进一步确定恶意代码在待提取特征样本中所在区域;提取程序单元,用于如果恶意代码所在区域为待提取自动化特征样本的头部与所述目标文件尾部之间,则对待提取特征样本进行提取特征操作。
可选的,所述确定程序单元,包括:拼接程序模块,用于基于所述待提取自动化特征样本文件的头部与所述目标文件尾部信息拼接生成待测目标文件;判断程序模块,用于根据恶意判定标准库,判断所述待测目标文件是否为恶意文件;确定程序模块,用于若是,则确定恶意代码所在区域为待提取自动化特征样本的头部与所述目标文件尾部之间。
可选的,所述提取程序单元,还用于在确定恶意代码在待提取特征样本中所在区域之后,根据所述恶意代码在待提取特征样本中所在区域,确定是否执行自动化特征提取操作。
第三方面,本发明的实施例还提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述第一方面任一所述的防误报的自动化特征提取方法。
第四方面,本发明的实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述第一方面任一所述的防误报的自动化特征提取方法。
本发明实施例提供一种防误报的自动化特征提取方法、装置、电子设备及存储介质,通过步骤:对于恶意判定标准库判定为恶意样本的待提取自动化特征样本,获取待提取自动化特征样本文件的实际文件尾部信息,以及待提取自动化特征样本结构获得的目标文件尾部信息;判断所述实际文件尾部信息与所述目标文件尾部信息是否一致;若不一致,则根据所述目标文件尾部信息进一步确定恶意代码在待提取特征样本中所在区域;如果恶意代码所在区域为待提取自动化特征样本的头部与所述目标文件尾部之间,则对待提取特征样本进行提取特征操作。便于检测出携带有恶意代码的样本中恶意代码所在区域,避免出现误报为白文件的情况,从而提高防误报的自动化特征提取的准确性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明的实施例提供的防误报的自动化特征提取方法的一种流程图;
图2为本发明的实施例提供的防误报的自动化特征提取方法的一种详细流程图;
图3为本发明的实施例提供的防误报的自动化特征提取装置的一种结构示意图;
图4为本发明的实施例提供的电子设备的一种结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
黑客通常将恶意代码放到正常文件尾部,即使用存在附加数据的样本来逃避检测,其中,附加数据为:格式的相应文件结构尾部追加的一段二进制代码。
针对上述问题,为了防止误报为白文件,提高自动化特征检测效率,本发明实施例提供的防误报的自动化特征提取方法,基于搜集汇总的外部检测策略的判定标准构成恶意判定标准库,所谓的外部检测策略就是脱离于当前检测引擎的检测策略,例如:友商的检测结果,收集到的恶意情报,或一些开源检测***提供检测方案等。对于符合判定标准的待提取自动化特征样本将被认定为黑样本,根据待提取自动化特征样本文件信息重新拼接待测文件,再按照检测判定标准进行进一步检测,避免误报为白文件,从而达到对该样本中恶意代码所在区域的检测,进一步地,判定是否执行提取自动化检测特征操作,从而提高自动化特征提取准确性。
实施例一
图1为本发明防误报的自动化特征提取方法一实施例的流程示意图,请参看图1所示,所述防误报的自动化特征提取方法,可包括步骤:
S110、对于恶意判定标准库判定为恶意样本的待提取自动化特征样本,获取待提取自动化特征样本文件的实际文件尾部信息,以及待提取自动化特征样本结构获得的目标文件尾部信息;
具体的,在步骤S110,对于恶意判定标准库判定为恶意样本的待提取自动化特征样本A,首先获取待提取自动化特征样本文件A的实际文件尾部信息,通过解析所述待提取自动化特征样本A的结构信息,根据待提取自动化特征样本A的结构信息获取待提取自动化特征样本A的结构文件尾,即所述目标文件a的文件尾部信息。其中,文件尾部信息用于表征文件的大小。
S120、判断所述实际文件尾部信息与所述目标文件尾部信息是否一致。
具体的,根据获取的实际文件尾部信息与所述目标文件尾部信息进行判断,通过判断待提取自动化特征样本的实际文件尾部信息与目标文件尾部信息是否一致,进一步确定恶意代码在待提取特征样本中所在区域。
示例性地:对于一个携带有目标文件a为PE文件的待提取自动化特征样本A,待提取自动化特征样本一般与目标文件的文件类型一致。PE文件结构一般来说为:从起始位置开始依次是DOS头,NT头,节表以及具体的节。根据PE文件的文件结构信息,例如最后一个节的节尾,定位到目标文件的结构文件尾,获取目标文件的尾部信息(为了便于区别描述,按照中文简略表达方式,简称为目标文件尾),或者通过查询与目标文件对应的结构信息表,确定其尾部信息,例如为0x1000。假定待提取自动化特征样本是PE文件,PE样本文件的实际文件尾部信息为0x2000,而目标文件尾部信息为0x1000,二者不一致,说明待提取自动化特征样本存在附加数据,从而进一步确定恶意代码所在的位置。
应当理解的是,常规做法直接根据样本文件结构特征进行匹配,由于样本文件和其携带的目标文件的结构特征存在相同部分,会出现结果误判的情况,导致恶意代码无法检出。而本申请中,通过判断待提取自动化特征样本的实际文件尾部信息与目标文件尾部信息是否一致,可以判定出该待提取自动化特征样本文件为具有附加数据的样本文件,进一步执行步骤S130,协同配合,以防止恶意代码逃避检出。
S130、若不一致,则根据所述目标文件尾部信息进一步确定恶意代码在待提取特征样本中所在区域。
具体的,在待提取自动化特征样本文件的实际文件尾部信息与目标文件尾部信息不一致时,比如所述实际文件尾部信息大于所述目标文件尾部信息的情况;进一步根据目标文件尾部信息确定待提取自动化特征样本中恶意代码所在区域,可以避免恶意样本的逃避检出的情况,从而提高恶意代码检出率和准确性。
S140、如果恶意代码所在区域为待提取自动化特征样本的头部与所述目标文件尾部之间,则对待提取特征样本进行提取特征操作。
具体的,在进一步确定恶意代码在待提取特征样本中所在区域后,如果恶意代码所在区域为待提取自动化特征样本的头部与所述目标文件尾部之间,则对待提取特征样本的特征进行提取。
本发明实施例通过检测待提取自动化特征样本中存在的恶意病毒,进一步根据待提取自动化特征样本信息拼接待测目标文件,根据恶意判定标准库中的引擎自动化判定标准得到恶意病毒的位置,然后从待提取自动化特征样本中提取自动化检测特征,在提取出之后,可以将该自动化检测特征存储,以对后续出现的相同或类似样本文件进行快速检测。
请参看图2所示,在一些实施例中,步骤S130中,所述根据所述目标文件尾部信息进一步确定恶意代码在待提取特征样本中所在区域包括:基于所述待提取自动化特征样本的头部与所述目标文件尾部信息拼接生成待测目标文件;根据恶意判定标准库,判断所述待测目标文件是否为恶意文件;若是,则确定所述恶意代码所在区域为待提取自动化特征样本的头部与所述目标文件尾部之间。
其中,恶意判定标准库,可以是一个或数个、数十个、几十个、甚至上百个恶意样本判定标准组成的。
具体的,在确定待提取自动化特征样本文件的实际文件尾部信息与目标文件尾部信息不一致,也就是待提取自动化特征样本文件的实际文件尾部信息大于所述目标文件尾部信息时,可以拼接待提取自动化特征样本文件的头部与目标文件尾部信息拼接生成待测目标文件,其中,可以理解的是,待提取自动化特征样本文件的头部也就是目标文件的头部,二者相同,即本实施例中的待测目标文件也就是所述目标文件,根据恶意判定标准库,判断待测目标文件是否为恶意文件,当待测目标文件是恶意文件时,就确定了待提取自动化特征样本中存在恶意代码,且恶意代码存在于目标文件中,即说明恶意代码所在区域为待提取自动化特征样本的头部与所述目标文件尾部之间。
其中,本实施例中,目标文件实质就是待测目标文件,二者为同一文件。
当确定出恶意代码在待提取自动化特征样本A的文件头到结构文件尾之间,示例性地,在待提取自动化特征样本A的0x0-0x1000,即对待提取自动化特征样本A提取自动化特征。
如果不符合恶意判定标准库中的自动化判定标准,则说明恶意代码在待提取自动化特征样本A的结构文件尾到实际文件尾二进制代码,示例性地,在待提取自动化特征样本A的0x1000-0x2000,即不对待提取自动化特征样本A提取自动化特征。
因此,具体的,在确定恶意代码在待提取特征样本中所在区域之后,所述方法还包括:根据所述恶意代码在待提取特征样本中所在区域,确定是否执行自动化特征提取操作。
这样,在确定恶意代码在待提取特征样本中所在区域之后,根据所述恶意代码在待提取特征样本中所在区域,确定是否执行自动化特征提取操作。
将提取出的自动化特征作为自动化检测特征,其中,自动化检测特征是基于结构的,用于实现自动化检测结构相同或相似的样本。
举个例子,以pe样本的入口点所在节的节头4k长度计算hash为例,自动化检测特征就是提取待测样本的入口点所在节的节头4k长度计算hash作为自动化检测特征,因为入口点是pe样本执行的动作的位置。如果有其他pe样本的入口点执行的动作还是这个,那么就可以说明其它pe样本与当前样本相同或类似,都是恶意样本,进而检出。
请继续参看图2所述,在另一些实施例中,步骤S130中,所述根据所述目标文件尾部信息进一步确定恶意代码在待提取特征样本中所在区域包括:基于所述待提取自动化特征样本的目标文件尾部信息,将待提取自动化特征样本的目标文件尾部与实际文件尾部之间二进制数据拼接到已知白文件尾部生成待测目标文件;根据恶意判定标准库,判断所述待测目标文件是否为恶意文件;若不是,则确定恶意代码所在区域为待提取自动化特征样本的头部与所述目标文件尾部之间。
示例性地,步骤S130包括:步骤1:拼接已知白文件,例如白的pe文件,大小为0x0-0x100,和待提取自动化特征样本A的结构文件尾到实际文件尾二进制代码,例如:待提取自动化特征样本A的结构文件尾到实际文件尾为0x1000-0x2000,生成待测文件C,例如:已知白pe的0x0-0x100和待提取自动化特征样本A的0x1000-0x2000,总大小0x1100;
步骤2:将待测文件C根据恶意判定标准库进行重扫,以进行自动化判定;
步骤3:判断待测文件C是否符合恶意判定标准库中的引擎自动化判定标准;
步骤4:若符合,则说明恶意代码在待提取自动化特征样本A的结构文件尾到实际文件尾的二进制代码,例如在待提取自动化特征样本A的0x1000-0x2000,即不对待提取自动化特征样本A提取自动化检测特征。
若不符合,则说明恶意代码在待提取自动化特征样本A的文件头到结构文件尾之间,例如在待提取自动化特征样本A的0x0-0x1000,即对待提取自动化特征样本A提取自动化检测特征。
本实施例中,在确定待提取自动化特征样本文件的实际文件尾部信息与目标文件尾部信息不一致,例如,待提取自动化特征样本文件的实际文件尾部信息大于所述目标文件尾部信息时,根据待提取自动化特征样本文件的目标文件尾部信息到实际文件尾部信息之间二进制数据与已知白文件拼接生成待测目标文件,根据恶意判定标准库,判断待测目标文件是否为恶意文件,若待测目标文件不是恶意文件,则确定恶意代码所在区域为待提取自动化特征样本的头部与所述目标文件尾部之间。
本实施例中,在确定恶意代码在待提取特征样本中所在区域之后,所述方法还包括:根据所述恶意代码在待提取特征样本中所在区域,确定是否执行自动化特征提取操作。
具体的,在确定恶意代码在待提取特征样本中所在区域之后,根据恶意代码在待提取特征样本中所在区域,确定是否执行自动化特征提取操作;在确定恶意代码所在区域为待提取自动化特征样本的头部与所述目标文件尾部之间时,对待提取自动化特征样本进行自动化特征提取;进一步的,将提取出的自动化特征作为自动化检测特征,用于实现自动化检测结构相同或相似的样本。
为帮助理解本发明实施例提供的技术方案及其技术效果,现结合一具体实施例及图2示意的方法流程,具体说明如下:
为方便讲解本实例以pe文件来进行举例说明。其中,待提取自动化特征样本的目标文件尾0x1000;实际文件尾0x2000;文件头0x0。
首先对符合引擎自动化判定标准的待提取自动化特征样本A根据待提取自动化特征样本A的文件结构信息(例如:最后一个节的节尾)获取待提取自动化特征样本的目标文件尾,如果待提取自动化特征样本的实际文件尾大于目标文件尾(实际文件尾0x2000>结构文件尾0x1000)。则进行以下方案来检测恶意代码,规避误报。
方案一:
步骤1:拼接待提取自动化特征样本A文件头,例如文件头0x0,到待提取自动化特征样本A目标文件尾,例如目标文件尾0x1000,生成待测文件B,例如待测文件B为待提取自动化特征样本A的0x0-0x1000;
步骤2:将待测文件B进行重扫;
步骤3:判断待测文件B是否符合引擎自动化判定标准;
如果符合,则说明恶意代码在待提取自动化特征样本A的文件头到目标文件尾之间,即在目标文件中,例如在待提取自动化特征样本A的0x0-0x1000,即从待提取自动化特征样本A的0x0-0x1000中提取恶意代码,这样,不仅可以有效检测出待提取自动化特征样本A是否存在恶意代码,而且还可以确定出恶意代码所在的位置。
如果不符合,则说明恶意代码在待提取自动化特征样本A的目标文件尾到实际文件尾二进制代码,即待提取自动化特征样本A的0x1000-0x2000,即不对待提取自动化特征样本A提取自动化特征。
方案二:
步骤1:拼接已知白文件,例如白的pe文件,大小为0x0-0x100,和待提取自动化特征样本A的目标文件尾到实际文件尾二进制代码,例如:待提取自动化特征样本A的目标文件尾到实际文件尾为0x1000-0x2000,生成待测文件C,例如:已知白pe的0x0-0x100和待提取自动化特征样本A的0x1000-0x2000,总大小0x1100。
步骤2:将待测文件C根据恶意判定标准库进行重扫,以进行自动化判定;
步骤3:判断待测文件C是否符合恶意判定标准库中的引擎自动化判定标准;
步骤4:若符合,则说明恶意代码在待提取自动化特征样本A的目标文件尾到实际文件尾的二进制代码,例如在待提取自动化特征样本A的0x1000-0x2000,即不对待提取自动化特征样本A提取自动化检测特征。
若不符合,则说明恶意代码在待提取自动化特征样本A的文件头到目标文件尾,例如在待提取自动化特征样本A的0x0-0x1000,即从待提取自动化特征样本A的0x0-0x1000中提取恶意代码,这样,不仅可以有效检测出待提取自动化特征样本A是否存在恶意代码,而且还可以确定出恶意代码所在的位置。
根据上述公开可知,本发明实施例提供的防误报的自动化特征提取方法,对于被认定为黑样本的符合判定标准的待提取自动化特征样本,根据待提取自动化特征样本文件信息重新拼接新的待测文件,再按照检测判定标准进行进一步检测,确定恶意代码所在的位置,避免出现误报为白文件的情况,从而提高了防误报的自动化特征提取的准确性。
进一步地,在检测出待提取自动化特征样本文件存在的恶意代码的位置之后,可以从待提取自动化特征样本文件中提取自动化检测特征,以根据该自动化检测特征,从而达到后续对该样本以及其相似恶意样本的快速检测。
实施例二
如图3所示,本发明的实施例还提供一种防误报的自动化特征提取装置200,包括:
获取程序单元210,用于对于恶意判定标准库判定为恶意样本的待提取自动化特征样本,获取待提取自动化特征样本文件的实际文件尾部信息,以及待提取自动化特征样本结构获得的目标文件尾部信息;
判断程序单元220,用于判断所述实际文件尾部信息与所述目标文件尾部信息是否一致;
确定程序单元230,用于若不一致,则根据所述目标文件尾部信息进一步确定恶意代码在待提取特征样本中所在区域;
提取程序单元240,用于如果恶意代码所在区域为待提取自动化特征样本的头部与所述目标文件尾部之间,则对待提取特征样本进行提取特征操作。
所述确定程序单元230,包括:
拼接程序模块,用于基于所述待提取自动化特征样本文件的头部与所述目标文件尾部信息拼接生成待测目标文件;
判断程序模块,用于根据恶意判定标准库,判断所述待测目标文件是否为恶意文件;
确定程序模块,用于若是,则确定恶意代码所在区域为待提取自动化特征样本的头部与所述目标文件尾部之间。
所述提取程序单元240,还用于在确定恶意代码在待提取特征样本中所在区域之后,根据所述恶意代码在待提取特征样本中所在区域,确定是否执行自动化特征提取操作。
本实施例的装置,可以用于执行实施例一所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
实施例三
图4为本发明电子设备一个实施例的结构示意图,基于前述实施例一提供的方法、实施例二提供的装置,本发明实施例还提供一种电子设备,如图4所示,可以实现本发明实施例一中任一所述的实施例的步骤流程。
上述电子设备可以包括:壳体41、处理器42、存储器43、电路板44和电源电路45,其中,电路板44安置在壳体41围成的空间内部,处理器42和存储器43设置在电路板44上;电源电路45,用于为上述电子设备的各个电路或器件供电;存储器43用于存储可执行程序代码;处理器42通过读取存储器43中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施例所述的防误报的自动化特征提取方法。
处理器42对上述步骤的具体执行过程以及处理器42通过运行可执行程序代码来进一步执行的步骤,可以参见前述实施例的描述,在此不再赘述。
该电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、***总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子设备。
实施例四
本发明的实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述实施例提供的任一防误报的自动化特征提取方法,因此也能实现相应的技术效果,前文已经进行了详细说明,此处不再赘述。
综上,本发明实施例提供的一种防误报的自动化特征提取方法、装置、电子设备及存储介质,对于存在恶意代码的样本文件,可以通过先判断是否为携带有恶意代码的待提取自动化特征样本文件,如果是,进一步根据待提取自动化特征样本信息拼接待测目标文件,根据恶意判定标准库中的引擎自动化判定标准判定待测目标文件,确定出恶意病毒的位置,避免出现误报为白文件的情况,从而提高防误报的自动化特征提取的准确性。
进一步地,通过对待提取自动化特征样本文件进行重新拼接重构为新的待测目标文件,对待测目标文件,基于恶意判定标准库进行重新扫描检测,可以准确地确定出待提取自动化特征样本文件是否存在恶意代码,以及定位到恶意代码在待提取自动化特征样本文件中的位置。
进一步地,还可以基于提取出的自动化检测特征构建自动化检测特征库,应用于更新恶意判定标准库,便于后续方便快速检测出相同或类似的恶意样本。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种防误报的自动化特征提取方法,其特征在于,包括步骤:
对于恶意判定标准库判定为恶意样本的待提取自动化特征样本,获取待提取自动化特征样本文件的实际文件尾部信息,以及待提取自动化特征样本结构获得的目标文件尾部信息;
判断所述实际文件尾部信息与所述目标文件尾部信息是否一致;
若不一致,则根据所述目标文件尾部信息进一步确定恶意代码在待提取特征样本中所在区域;
如果恶意代码所在区域为待提取自动化特征样本的头部与所述目标文件尾部之间,则对待提取特征样本进行提取特征操作。
2.根据权利要求1所述的防误报的自动化特征提取方法,其特征在于,所述根据所述目标文件尾部信息进一步确定恶意代码在待提取特征样本中所在区域包括:
基于所述待提取自动化特征样本的头部与所述目标文件尾部信息拼接生成待测目标文件;
根据恶意判定标准库,判断所述待测目标文件是否为恶意文件;
若是,则确定所述恶意代码所在区域为待提取自动化特征样本的头部与所述目标文件尾部之间。
3.根据权利要求1所述的防误报的自动化特征提取方法,其特征在于,所述根据所述目标文件尾部信息进一步确定恶意代码在待提取特征样本中所在区域包括:
基于所述待提取自动化特征样本的目标文件尾部信息,将待提取自动化特征样本的目标文件尾部与实际文件尾部之间二进制数据拼接到已知白文件尾部生成待测目标文件;
根据恶意判定标准库,判断所述待测目标文件是否为恶意文件;
若不是,则确定恶意代码所在区域为待提取自动化特征样本的头部与所述目标文件尾部之间。
4.根据权利要求1至3任一所述的防误报的自动化特征提取方法,其特征在于,在确定恶意代码在待提取特征样本中所在区域之后,所述方法还包括:
根据所述恶意代码在待提取特征样本中所在区域,确定是否执行自动化特征提取操作。
5.根据权利要求1所述的防误报的自动化特征提取方法,其特征在于,所述不一致,包括:所述实际文件尾部信息大于所述目标文件尾部信息的情况。
6.一种防误报的自动化特征提取装置,其特征在于,包括:
获取程序单元,用于对于恶意判定标准库判定为恶意样本的待提取自动化特征样本,获取待提取自动化特征样本文件的实际文件尾部信息,以及待提取自动化特征样本结构获得的目标文件尾部信息;
判断程序单元,用于判断所述实际文件尾部信息与所述目标文件尾部信息是否一致;
确定程序单元,用于若不一致,则根据所述目标文件尾部信息进一步确定恶意代码在待提取特征样本中所在区域;
提取程序单元,用于如果恶意代码所在区域为待提取自动化特征样本的头部与所述目标文件尾部之间,则对待提取特征样本进行提取特征操作。
7.根据权利要求6所述的防误报的自动化特征提取装置,其特征在于,所述确定程序单元,包括:
拼接程序模块,用于基于所述待提取自动化特征样本文件的头部与所述目标文件尾部信息拼接生成待测目标文件;
判断程序模块,用于根据恶意判定标准库,判断所述待测目标文件是否为恶意文件;
确定程序模块,用于若是,则确定恶意代码所在区域为待提取自动化特征样本的头部与所述目标文件尾部之间。
8.根据权利要求6所述的防误报的自动化特征提取装置,其特征在于,所述提取程序单元,还用于在确定恶意代码在待提取特征样本中所在区域之后,根据所述恶意代码在待提取特征样本中所在区域,确定是否执行自动化特征提取操作。
9.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述权利要求1至5任一所述的防误报的自动化特征提取方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述权利要求1至5中任一所述的防误报的自动化特征提取方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211656879.6A CN115964708A (zh) | 2022-12-22 | 2022-12-22 | 防误报的自动化特征提取方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211656879.6A CN115964708A (zh) | 2022-12-22 | 2022-12-22 | 防误报的自动化特征提取方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115964708A true CN115964708A (zh) | 2023-04-14 |
Family
ID=87352352
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211656879.6A Pending CN115964708A (zh) | 2022-12-22 | 2022-12-22 | 防误报的自动化特征提取方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115964708A (zh) |
-
2022
- 2022-12-22 CN CN202211656879.6A patent/CN115964708A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111030986B (zh) | 一种攻击组织溯源分析的方法、装置及存储介质 | |
| CN108875364B (zh) | 未知文件的威胁性判定方法、装置、电子设备及存储介质 | |
| CN110868377B (zh) | 一种网络攻击图的生成方法、装置及电子设备 | |
| CN108804918B (zh) | 安全性防御方法、装置、电子设备及存储介质 | |
| CN111030968A (zh) | 一种可自定义威胁检测规则的检测方法、装置及存储介质 | |
| CN108804917B (zh) | 一种文件检测方法、装置、电子设备及存储介质 | |
| CN110737894B (zh) | 复合文档安全检测方法、装置、电子设备及存储介质 | |
| CN110611675A (zh) | 向量级检测规则生成方法、装置、电子设备及存储介质 | |
| CN114338102B (zh) | 安全检测方法、装置、电子设备及存储介质 | |
| CN115964708A (zh) | 防误报的自动化特征提取方法、装置、电子设备及存储介质 | |
| CN115906081A (zh) | 恶意样本文件检测方法、装置、服务器、电子设备及存储介质 | |
| CN110868382A (zh) | 一种基于决策树的网络威胁评估方法、装置及存储介质 | |
| CN113779576A (zh) | 一种可执行文件感染病毒的识别方法、装置及电子设备 | |
| CN113987489A (zh) | 一种网络未知威胁的检测方法、装置、电子设备及存储介质 | |
| CN108875363B (zh) | 一种加速虚拟执行的方法、装置、电子设备及存储介质 | |
| CN108881151B (zh) | 一种无关节点确定方法、装置及电子设备 | |
| CN111695116A (zh) | 基于Linux***内核层Rootkit的取证方法与装置 | |
| CN112580038A (zh) | 反病毒数据的处理方法、装置及设备 | |
| CN114168953A (zh) | 一种恶意代码检测方法、装置、电子设备及存储介质 | |
| CN114329464A (zh) | 一种反病毒引擎检测方法、装置、电子设备及存储介质 | |
| CN114417331A (zh) | 病毒特征可信度的确定方法、装置、电子设备及存储介质 | |
| CN115758358A (zh) | 一种病毒自动化检测方法、装置及电子设备 | |
| CN114168956A (zh) | 一种文本感染式样本检测方法、装置及电子设备 | |
| KR101726360B1 (ko) | 서픽스 트리 생성 방법 및 서버, 및 상기 서픽스 트리를 이용하는 악성 코드 탐지 방법 및 서버 | |
| CN110866252A (zh) | 一种恶意代码检测方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |