软件识别方法、装置、计算机可读存储介质及电子设备制造方法及图纸

本发明专利技术公开了一种软件识别方法、装置、计算机可读存储介质及电子设备。该方法包括：获取目标软件的可执行文件；对可执行文件的文件内容进行识别，得到可执行文件的至少一个第一特征；执行可执行文件，并基于可执行文件的执行过程提取出可执行文件的至少一个第二特征；基于可执行文件的至少一个第一特征和至少一个第二特征，识别目标软件的目标异常类型。本发明专利技术解决了相关技术中对恶意软件的识别准确度低的技术问题。度低的技术问题。度低的技术问题。

【技术实现步骤摘要】
软件识别方法、装置、计算机可读存储介质及电子设备


[0001]本专利技术涉及互联网领域，具体而言，涉及一种软件识别方法、装置、计算机可读存储介质及电子设备。

技术介绍

[0002]随着网络的发展，计算机恶意软件泛滥的问题也日益严重，对个人、企业乃至国家安全造成了巨大的威胁。
[0003]当前恶意软件数量爆发式增长，传统的恶意软件分类技术很难满足新的恶意软件分类需求。在相关技术中，传统的恶意样本分类依赖于软件的静态特征，其通过利用安全研究人员人工分析恶意样本后总结出的特征码(如：特定字节)和特征规则进行分类。但是恶意代码的编写者也会利用“变形”，“加壳”，“多态”，“混淆”等技术来隐藏恶意样本中的研究人员已经掌握的特征码，企图逃避安全软件或安全分析人员的检测与分析，从而造成依赖静态特征的恶意软件识别方式的识别准确度低的问题。
[0004]针对上述的问题，目前尚未提出有效的解决方案。

技术实现思路

[0005]本专利技术实施例提供了一种软件识别方法、装置、计算机可读存储介质及电子设备，以至少解决相关技术中对恶意软件的识别准确度低的技术问题。
[0006]根据本专利技术实施例的一个方面，提供了一种软件识别方法，包括：获取目标软件的可执行文件；对可执行文件的文件内容进行识别，得到可执行文件的至少一个第一特征；执行可执行文件，并基于可执行文件的执行过程提取出可执行文件的至少一个第二特征；基于可执行文件的至少一个第一特征和至少一个第二特征，识别目标软件的目标异常类型。
[0007]进一步地，软件识别方法还包括：基于预设的第一映射关系，将每个第一特征与目标信息中的攻击策略以及攻击操作进行匹配，得到每个第一特征的匹配结果，其中，目标信息由多个攻击策略以及每个攻击策略所对应的至少一个攻击操作组成；基于预设的第二映射关系和目标信息，将每个第二特征与目标信息中的攻击策略以及攻击操作进行匹配，得到每个第二特征的匹配结果；基于每个第一特征的匹配结果以及每个第二特征的匹配结果，识别目标软件的目标异常类型。
[0008]进一步地，软件识别方法还包括：基于每个第一特征的匹配结果以及每个第二特征的匹配结果，构建第一特征矩阵；获取多个异常类型中每个异常类型匹配的第二特征矩阵；计算第一特征矩阵与每个第二特征矩阵之间的相似度；基于第一特征矩阵与每个第二特征矩阵之间的相似度，识别目标软件的目标异常类型。
[0009]进一步地，软件识别方法还包括：获取预设的零矩阵，其中，零矩阵的不同列表征不同的攻击策略，零矩阵的同一列中的不同行表征攻击策略所对应的不同攻击操作；基于每个第一特征的匹配结果，对零矩阵中的元素进行赋值，得到第一初始特征矩阵；基于每个第二特征的匹配结果，对零矩阵中的元素进行赋值，得到第二初始特征矩阵；基于第一初始
特征矩阵和第二初始特征矩阵，确定第一特征矩阵。
[0010]进一步地，软件识别方法还包括：获取与第一初始特征矩阵对应的第一权重矩阵，并获取与第二初始特征矩阵对应的第二权重矩阵，其中，第一权重矩阵表征第一初始特征矩阵对识别目标异常类型的影响程度，第二权重矩阵表征第二初始特征矩阵对识别目标异常类型的影响程度；计算第一权重矩阵和第一初始特征矩阵的乘积，得到第三初始特征矩阵；计算第二权重矩阵和第二初始特征矩阵的乘积，得到第四初始特征矩阵；将第三初始特征矩阵和第四初始特征矩阵相加，得到第一特征矩阵。
[0011]进一步地，软件识别方法还包括：将第一特征矩阵与每个第二特征矩阵之间的相似度和预设阈值进行比较，得到每个第二特征矩阵的比较结果；基于每个第二特征矩阵的比较结果，确定多个第二特征矩阵中是否存在目标特征矩阵；若不存在目标特征矩阵，则确定目标软件的目标异常类型为无异常；若存在目标特征矩阵，则确定目标特征矩阵匹配的异常类型为目标异常类型。
[0012]进一步地，软件识别方法还包括：将第一特征矩阵与每个第二特征矩阵之间的相似度和预设阈值进行比较，得到每个第二特征矩阵的比较结果；基于每个第二特征矩阵的比较结果，确定多个第二特征矩阵中是否存在目标特征矩阵；若不存在目标特征矩阵，则确定目标软件的目标异常类型为无异常；若存在目标特征矩阵，则确定目标特征矩阵匹配的异常类型为目标异常类型。
[0013]根据本专利技术实施例的另一方面，还提供了一种软件识别装置，包括：获取模块，用于获取目标软件的可执行文件；第一识别模块，用于对可执行文件的文件内容进行识别，得到可执行文件的至少一个第一特征；提取模块，用于执行可执行文件，并基于可执行文件的执行过程提取出可执行文件的至少一个第二特征；第二识别模块，用于基于可执行文件的至少一个第一特征和至少一个第二特征，识别目标软件的目标异常类型。
[0014]根据本专利技术实施例的另一方面，还提供了一种计算机可读存储介质，计算机可读存储介质中存储有计算机程序，其中，计算机程序被设置为运行时执行上述的软件识别方法。
[0015]根据本专利技术实施例的另一方面，还提供了一种电子设备，电子设备包括一个或多个处理器；存储器，用于存储一个或多个程序，当一个或多个程序被一个或多个处理器执行时，使得一个或多个处理器实现用于运行程序，其中，程序被设置为运行时执行上述的软件识别方法。
[0016]在本专利技术实施例中，采用结合可执行文件的静态特征和动态特征确定目标软件的异常类型的方式，通过获取目标软件的可执行文件，然后对可执行文件的文件内容进行识别，得到可执行文件的至少一个第一特征，接着执行可执行文件，并基于可执行文件的执行过程提取出可执行文件的至少一个第二特征，从而基于可执行文件的至少一个第一特征和至少一个第二特征，识别目标软件的目标异常类型。
[0017]在上述过程中，通过对可执行文件的文件内容进行识别，实现了对可执行文件中静态特征的有效提取，通过执行可执行文件，根据可执行的文件执行过程进行特征提取，实现了对可执行文件的文件内容中所无法显现的动态特征的有效提取，进一步地，基于可执行文件的至少一个第一特征和至少一个第二特征对目标软件的目标异常类型进行识别，实现了结合可执行文件的静态特征和动态特征分析目标软件的异常类型，从而有效提高了对
恶意软件的识别准确度。
[0018]由此可见，本申请所提供的方案达到了结合可执行文件的静态特征和动态特征确定目标软件的异常类型的目的，从而实现了提高对恶意软件的识别准确度的技术效果，进而解决了相关技术中对恶意软件的识别准确度低的技术问题。
附图说明
[0019]此处所说明的附图用来提供对本专利技术的进一步理解，构成本申请的一部分，本专利技术的示意性实施例及其说明用于解释本专利技术，并不构成对本专利技术的不当限定。在附图中：
[0020]图1是根据本专利技术实施例的一种可选的软件识别方法的示意图；
[0021]图2是根据本专利技术实施例的一种可选的识别系统的工作示意图；
[0022]图3是根据本专利技术实施例的一种可选的软件识别方法的流程图；
[0023]图4是根据本专利技术实施例的一种可选的软件识别装置的示意图；...

【技术保护点】

【技术特征摘要】
1.一种软件识别方法，其特征在于，包括：获取目标软件的可执行文件；对所述可执行文件的文件内容进行识别，得到所述可执行文件的至少一个第一特征；执行所述可执行文件，并基于所述可执行文件的执行过程提取出所述可执行文件的至少一个第二特征；基于所述可执行文件的至少一个第一特征和至少一个第二特征，识别所述目标软件的目标异常类型。2.根据权利要求1所述的方法，其特征在于，基于所述可执行文件的至少一个第一特征和至少一个第二特征，识别所述目标软件的目标异常类型，包括：基于预设的第一映射关系，将每个第一特征与目标信息中的攻击策略以及攻击操作进行匹配，得到每个第一特征的匹配结果，其中，所述目标信息由多个攻击策略以及每个攻击策略所对应的至少一个攻击操作组成；基于预设的第二映射关系和所述目标信息，将每个第二特征与所述目标信息中的攻击策略以及攻击操作进行匹配，得到每个第二特征的匹配结果；基于所述每个第一特征的匹配结果以及所述每个第二特征的匹配结果，识别所述目标软件的目标异常类型。3.根据权利要求2所述的方法，其特征在于，基于所述每个第一特征的匹配结果以及所述每个第二特征的匹配结果，识别所述目标软件的目标异常类型，包括：基于所述每个第一特征的匹配结果以及所述每个第二特征的匹配结果，构建第一特征矩阵；获取多个异常类型中每个异常类型匹配的第二特征矩阵；计算第一特征矩阵与每个第二特征矩阵之间的相似度；基于所述第一特征矩阵与所述每个第二特征矩阵之间的相似度，识别所述目标软件的目标异常类型。4.根据权利要求3所述的方法，其特征在于，基于所述每个第一特征的匹配结果以及所述每个第二特征的匹配结果，构建第一特征矩阵，包括：获取预设的零矩阵，其中，所述零矩阵的不同列表征不同的攻击策略，所述零矩阵的同一列中的不同行表征所述攻击策略所对应的不同攻击操作；基于所述每个第一特征的匹配结果，对所述零矩阵中的元素进行赋值，得到第一初始特征矩阵；基于所述每个第二特征的匹配结果，对所述零矩阵中的元素进行赋值，得到第二初始特征矩阵；基于所述第一初始特征矩阵和所述第二初始特征矩阵，确定所述第一特征矩阵。5.根据权利要求4所述的方法，其特征在于，基于所述第一初始特征矩阵和所述第二初始特征矩阵，确定所述第一特征矩阵，包括：获取与所述第一初始特征矩阵对应的第一权重矩阵，并获取与所述第二初始特征矩阵对应的第二权重矩阵，其中，所述第一权重矩阵表征所述第一初始特征矩阵对识别所述目标异常类型的影响程度，所述第二权重矩阵表征所述第二初始特征矩阵对识别所述目标...

【专利技术属性】
技术研发人员：祁海珍，黄冲，陈健，唐殊瑶，王磊，
申请(专利权)人：山石网科通信技术股份有限公司，
类型：发明
国别省市：