本发明专利技术属于信息安全技术领域,具体涉及一种基于特征的恶意样本类型识别的方法与系统;该方法首先通过识别样本的格式,识别出PE样本、OFFICE文档样本或EML邮件样本;再提取样本的同源特征,并将该同源特征与同源特征库比对,如果特征匹配,将样本的MD5值更新到同源特征库中;如果特征不匹配,将样本的特征与MD5值过滤白名单后加入同源特征库;本发明专利技术方法不仅使样本之间不再孤立,具有同源属性;而且在样本具有了同源属性后,便于发现具有同源属性样本的共同攻击事件;同时可以通过同源特征分析辅助检测未知的恶意代码。
【技术实现步骤摘要】
本专利技术属于信息安全
,具体设及一种基于特征的恶意样本类型识别的方 法与系统。
技术介绍
随着信息技术的飞速发展,计算机恶意代码捕获量越来越多,针对性的有组织的 攻击越来越多,而目前各安全厂商对恶意代码的标记仅采取病毒名命名方式,但样本都没 有具体归类,无法判断样本之间的关系,导致每个样本仅仅作为单一数据,没有形成横向的 关联性。
技术实现思路
为了解决上述问题,本专利技术公开了一种基于特征的恶意样本类型识别的方法,该 方法使样本之间不再孤立,具有同源属性。 本专利技术的目的是运样实现的: 一种基于特征的恶意样本类型识别的方法,包括W下步骤: SOI、识别样本格式,识别出PE样本、OFFICE文档样本或EML邮件样本; 502 :提取样本的同源特征; 503 :将同源特征与同源特征库比对,如果: 特征匹配,将样本的MD5值更新到同源特征库中; 特征不匹配,将样本的特征与MD5值过滤白名单后加入同源特征库。 阳0化]上述基于特征的恶意样本类型识别的方法,所述的步骤S02具体为: 对于PE样本,提取动态运行后DNS请求的域名或动态运行后没有DNS请求直接连接的 IP地址; 对于OFFICE文档样本,提取动态运行后衍生样本哈希值; 对于EML邮件样本,静态解析出原始发件人地址和IP。 一种基于特征的恶意样本类型识别的系统,包括W下模块: 样本格式识别模块:用于识别样本格式,识别出PE样本、OFFICE文档样本或EML邮件 样本; 样本同源特征提取模块:用于提取样本的同源特征; 同源特征比对模块:将同源特征与同源特征库比对,如果: 特征匹配,将样本的MD5值更新到同源特征库中; 特征不匹配,将样本的特征与MD5值过滤白名单后加入同源特征库。 有益效果: 第一、本专利技术使样本之间不再孤立,具有同源属性; 第二、在样本具有了同源属性后,便于发现具有同源属性样本的共同攻击事件. 第Ξ、可W通过同源特征分析辅助检测未知的恶意代码。【附图说明】 图1是本专利技术基于特征的恶意样本类型识别方法流程图。 图2是本专利技术基于特征的恶意样本类型识别系统示意图。【具体实施方式】 下面结合附图对本专利技术【具体实施方式】作进一步详细描述。 具体实施例一 本实施例是基于特征的恶意样本类型识别的方法实施例。 本实施例的基于特征的恶意样本类型识别的方法,流程图如图1所示。该方法包 括W下步骤: SOI、识别样本格式,识别出PE样本、OFFICE文档样本或EML邮件样本; 502 :提取样本的同源特征; 503 :将同源特征与同源特征库比对,如果: 特征匹配,将样本的MD5值更新到同源特征库中; 特征不匹配,将样本的特征与MD5值过滤白名单后加入同源特征库。 上述基于特征的恶意样本类型识别的方法,举例说明步骤S03中特征匹配的情 况。 更新前的同源特征库如表1所示: 表1更新前的同源特征库更新后的同源特征库如表2所示,表2中第3列的"F6CAB949FA4EA3DC3714672B7D BC0329"为更新值。 表2更新后的同源特征库上述基于特征的恶意样本类型识别的方法,举例说明步骤S03中特征不匹配的情况。 更新前的同源特征库如表1所示,而更新后的同源特征库如表3所示,表3中最后 一行的所有信息均为更新值。 表3更新后的同源特征库具体实施例二 本实施例是基于特征的恶意样本类型识别的系统实施例。 本实施例的基于特征的恶意样本类型识别的系统,如图2所示。该系统包括W下 板块: 样本格式识别模块:用于识别样本格式,识别出PE样本、OFFICE文档样本或EML邮件 样本; 样本同源特征提取模块:用于提取样本的同源特征; 同源特征比对模块:将同源特征与同源特征库比对,如果: 特征匹配,将样本的MD5值更新到同源特征库中; 特征不匹配,将样本的特征与MD5值过滤白名单后加入同源特征库。 本专利技术不局限于上述最佳实施方式,任何人应该得知在本专利技术的启示下作出的结 构变化或方法改进,凡是与本专利技术具有相同或相近的技术方案,均落入本专利技术的保护范围 之内。【主权项】1. 一种基于特征的恶意样本类型识别的方法,其特征在于,包括以下步骤: SOI、识别样本格式,识别出PE样本、OFFICE文档样本或EML邮件样本; 502 :提取样本的同源特征; 503 :将同源特征与同源特征库比对,如果: 特征匹配,将样本的MD5值更新到同源特征库中; 特征不匹配,将样本的特征与MD5值过滤白名单后加入同源特征库。2. 根据权利要求1所述的基于特征的恶意样本类型识别的方法,其特征在于,所述的 步骤S02具体为: 对于PE样本,提取动态运行后DNS请求的域名或动态运行后没有DNS请求直接连接的IP地址; 对于OFFICE文档样本,提取动态运行后衍生样本哈希值; 对于EML邮件样本,静态解析出原始发件人地址和IP。3. -种基于特征的恶意样本类型识别的系统,其特征在于,包括以下模块: 样本格式识别模块:用于识别样本格式,识别出PE样本、OFFICE文档样本或EML邮件 样本; 样本同源特征提取模块:用于提取样本的同源特征; 同源特征比对模块:将同源特征与同源特征库比对,如果: 特征匹配,将样本的MD5值更新到同源特征库中; 特征不匹配,将样本的特征与MD5值过滤白名单后加入同源特征库。【专利摘要】本专利技术属于信息安全
,具体涉及一种基于特征的恶意样本类型识别的方法与系统;该方法首先通过识别样本的格式,识别出PE样本、OFFICE文档样本或EML邮件样本;再提取样本的同源特征,并将该同源特征与同源特征库比对,如果特征匹配,将样本的MD5值更新到同源特征库中;如果特征不匹配,将样本的特征与MD5值过滤白名单后加入同源特征库;本专利技术方法不仅使样本之间不再孤立,具有同源属性;而且在样本具有了同源属性后,便于发现具有同源属性样本的共同攻击事件;同时可以通过同源特征分析辅助检测未知的恶意代码。【IPC分类】G06F21/56【公开号】CN105488408【申请号】CN201410845182【专利技术人】布宁, 贾雪飞, 白淳升, 李柏松 【申请人】中国信息安全认证中心, 北京安天电子设备有限公司【公开日】2016年4月13日【申请日】2014年12月31日本文档来自技高网...
【技术保护点】
一种基于特征的恶意样本类型识别的方法,其特征在于,包括以下步骤:S01、识别样本格式,识别出PE样本、OFFICE文档样本或EML邮件样本;S02:提取样本的同源特征;S03:将同源特征与同源特征库比对,如果:特征匹配,将样本的MD5值更新到同源特征库中;特征不匹配,将样本的特征与MD5值过滤白名单后加入同源特征库。
【技术特征摘要】
【专利技术属性】
技术研发人员:布宁,贾雪飞,白淳升,李柏松,
申请(专利权)人:中国信息安全认证中心,北京安天电子设备有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。