本申请公开了一种恶意程序识别方法、装置、电子设备及存储介质,该方法包括获取待检测程序的第一系统调用日志,并转化第一系统调用日志为第一加权有向图;基于预先构建的恶意代码分类簇检测第一加权有向图,以确定待检测程序是否为恶意程序。由于每个恶意程序执行的恶意行为都需要进行系统调用才能实现其恶意目的,因此本申请实施例能够从操作系统层面抓取恶意程序的行为特征,进而动态、高效地对恶意程序进行检测和识别,降低了误报率,同时保障了电子设备的安全。
A malicious program identification method, device, electronic device and storage medium
【技术实现步骤摘要】
一种恶意程序识别方法、装置、电子设备及存储介质
本专利技术一般涉及信息安全
,具体涉及一种恶意程序识别方法、装置、电子设备及存储介质。
技术介绍
现代社会中,智能终端比如手机、平板电脑等电子设备随处可见,给人们的日常生活带来了极大地便利。智能终端通过运行各种应用程序(Application),来实现某项或多项特定功能。利用软硬件漏洞对智能终端进行攻击,达到窃取信息和恶意控制的目的。为了监控这类攻击行为,在智能终端上部署一些监控手段,当发生威胁情况时,能够及时鉴别和处理恶意程序,降低对智能终端的危害。目前,现有技术通过流量分析和静态分析来识别恶意程序。具体的,流量分析方式包括基于黑名单过滤恶意域名、使用规则匹配恶意外连流量以及利用机器学习检测恶意流量间共性来鉴别恶意流量,而静态分析方式包括对目标程序权限、API调用和程序流程图进行分析得到特征向量,并根据预先训练的模型识别出恶意程序。基于黑名单过滤恶意域名,只能识别连接已知恶意网站时的恶意外连流量,对于域名变化没有任何感知;使用规则匹配恶意外连流量,需要人工分析样本,人力消耗巨大,且难以检测变种的恶意外连流量,尤其对于不涉及网络流量的恶意程序则无法判断;而机器学习检测恶意流量,很多恶意程序是通过增加与正常流量相似的字段和内容来伪装自己的出链流量,不易与正常流量进行区分,导致识别精度不高;静态分析方式不能直接反映恶意程序的行为模式,误报率大,且容易被攻击者利用混淆代码、花指令和加壳等手段进行对抗,使之失效。
技术实现思路
鉴于现有技术中的上述缺陷或不足,期望提供一种恶意程序识别方法、装置、电子设备及存储介质,能够动态、高效地对恶意程序进行检测和识别,降低误报率,保障电子设备的安全。第一方面,本申请提供一种恶意程序识别方法,所述方法包括:获取待检测程序的第一系统调用日志;转化所述第一系统调用日志为第一加权有向图;基于预先构建的恶意代码分类簇检测所述第一加权有向图,以确定所述待检测程序是否为恶意程序。第二方面,本申请提供一种恶意程序识别装置,所述装置包括:获取模块,配置用于获取待检测程序的第一系统调用日志;转化模块,配置用于转化所述第一系统调用日志为第一加权有向图;确定模块,配置用于基于预先构建的恶意代码分类簇检测所述第一加权有向图,以确定所述待检测程序是否为恶意程序。第三方面,本申请提供一种电子设备,所述电子设备包括:一个或多个处理器;存储器,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行如第一方面所述的恶意程序识别方法。第四方面,本申请提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序用于实现如第一方面所述的恶意程序识别方法的步骤。综上,本申请实施例提供的恶意程序识别方法、装置、电子设备及存储介质,由于每个恶意程序执行的恶意行为都需要进行系统调用才能实现其恶意目的,因此本申请实施例通过获取待检测程序的第一系统调用日志,并转化该第一系统调用日志为第一加权有向图,从操作系统层面抓取行为特征,将恶意行为的识别问题转换为加权有向图的分类问题,即基于预先构建的恶意代码分类簇检测第一加权有向图,以确定出待检测程序是否为恶意程序,从而动态、高效地对恶意程序进行检测和识别,降低了误报率,同时保障了电子设备的安全。附图说明通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:图1为本申请实施例提供的一种恶意程序识别方法的基本流程示意图;图2为本申请实施例提供的一种第一加权有向图的具体示例;图3为本申请实施例提供的一种分类模型学习的流程示意图;图4为本申请实施例提供的一种第二加权有向图的具体示例;图5为本申请实施例提供的一种第二加权有向图的第一子树结构示意图;图6为本申请实施例提供的一种第二加权有向图的第二子树结构示意图;图7为本申请实施例提供的一种恶意程序识别装置的基本结构示意图;图8为本申请实施例提供的另一种恶意程序识别装置的结构示意图;图9为本申请实施例提供的一种计算机系统。具体实施方式为了使本
的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或模块的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或模块,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或模块。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。为了便于理解和说明,下面通过图1至图9详细的阐述本申请实施例提供的恶意程序识别方法、装置、电子设备及存储介质。请参考图1,其为本申请实施例提供的一种恶意程序识别方法的基本流程示意图,该方法包括以下步骤:S101,获取待检测程序的第一系统调用日志。需要说明的是,由于恶意程序的系统调用行为和良性程序相比存在较大的差异,本申请实施例从操作系统层面抓取行为特征,适应多变种的恶意程序,通过实实在在地执行恶意程序的每一条指令得到系统调用日志,能够动态地识别恶意程序。当然,本申请实施例还可以通过污点分析或者控制流图等方式对恶意程序的行为进行抓取,实现更细粒度的监控。举例说明,在待检测程序的执行过程中,利用Linux内核的Strace工具将待检测程序产生的所有系统调用都自动保存下来,形成第一系统调用日志,比如为:clock_gettime(CLOCK_MONOTONIC,{1066,546005435})=0read(11,“W”,16)=1clock_gettime(CLOCK_MONOTONIC,{1067,994972273})=0getuid32()=10814clock_gettime(CLOCK_REALTIME,{1431910070,997161378})=0getuid32()=10814ioct1(9,BINDER_WRITE_READ,0xbfacdcc8)=0ioct1(9,BINDER_WRIT本文档来自技高网...
【技术保护点】
1.一种恶意程序识别方法,其特征在于,所述方法包括:/n获取待检测程序的第一系统调用日志;/n转化所述第一系统调用日志为第一加权有向图;/n基于预先构建的恶意代码分类簇检测所述第一加权有向图,以确定所述待检测程序是否为恶意程序。/n
【技术特征摘要】
1.一种恶意程序识别方法,其特征在于,所述方法包括:
获取待检测程序的第一系统调用日志;
转化所述第一系统调用日志为第一加权有向图;
基于预先构建的恶意代码分类簇检测所述第一加权有向图,以确定所述待检测程序是否为恶意程序。
2.根据权利要求1所述的恶意程序识别方法,其特征在于,所述恶意代码分类簇通过如下步骤构建:
获取与数据集对应的第二系统调用日志,所述数据集包括多个良性程序样本和多个恶意程序样本;
基于由所述第二系统调用日志构造的第二加权有向图,计算所述数据集对应的相似度矩阵,所述相似度矩阵包括多个核值;
根据谱聚类算法对所述相似度矩阵进行分类,得到所述恶意代码分类簇。
3.根据权利要求2所述的恶意程序识别方法,其特征在于,所述基于由所述第二系统调用日志构造的第二加权有向图,计算所述数据集对应的相似度矩阵,包括:
分解每个所述第二加权有向图得到与其对应的若干子树结构,并根据所述子树结构设置所述第二加权有向图中每个节点对应的节点编码;
根据所述节点编码计算两两所述第二加权有向图的核值,所述核值组成所述相似度矩阵。
4.根据权利要求3所述的恶意程序识别方法,其特征在于,所述分解每个所述第二加权有向图得到与其对应的若干子树结构,包括:
对所述第二加权有向图中每个节点进行标签编码,记录所述节点与所述标签编码的映射关系;
分别以所述第二加权有向图的每个节点为根,分解得到与所述根关联的若干子树结构,并根据作为根的节点对应的标签编码和所述与根关联的节点对应的标签编码组合生成所述节点编码,更新所述第二加权有向图中所述作为根的节点对应的标签编码为所述节点编码。
5.根据权利要求2所述的恶意程序识别方法,其特征在于,所述根据谱聚类算法对所述相似度矩阵进行分类,包括:
基于所述相似度矩阵得到所述数据集对应的邻接矩阵,并根据所述邻接矩阵和所述第二加权有向图...
【专利技术属性】
技术研发人员:阚志刚,卢佐华,龚伟炜,陈彪,
申请(专利权)人:北京梆梆安全科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。