一種基于特征的惡意樣本類型識別的方法與系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于信息安全技術(shù)領(lǐng)域�,具體設(shè)及一種基于特征的惡意樣本類型識別的方 法與系統(tǒng)。
【背景技術(shù)】
[0002] 隨著信息技術(shù)的飛速發(fā)展���,計算機(jī)惡意代碼捕獲量越來越多���,針對性的有組織的 攻擊越來越多,而目前各安全廠商對惡意代碼的標(biāo)記僅采取病毒名命名方式,但樣本都沒 有具體歸類����,無法判斷樣本之間的關(guān)系,導(dǎo)致每個樣本僅僅作為單一數(shù)據(jù)�,沒有形成橫向的 關(guān)聯(lián)性。
【發(fā)明內(nèi)容】
[0003] 為了解決上述問題����,本發(fā)明公開了一種基于特征的惡意樣本類型識別的方法��,該 方法使樣本之間不再孤立�,具有同源屬性。
[0004] 本發(fā)明的目的是運樣實現(xiàn)的: 一種基于特征的惡意樣本類型識別的方法�,包括W下步驟: SOI、識別樣本格式���,識別出PE樣本���、OFFICE文檔樣本或EML郵件樣本; 502 :提取樣本的同源特征�; 503 :將同源特征與同源特征庫比對,如果: 特征匹配����,將樣本的MD5值更新到同源特征庫中�; 特征不匹配�����,將樣本的特征與MD5值過濾白名單后加入同源特征庫�����。 陽0化]上述基于特征的惡意樣本類型識別的方法����,所述的步驟S02具體為: 對于PE樣本,提取動態(tài)運行后DNS請求的域名或動態(tài)運行后沒有DNS請求直接連接的 IP地址���; 對于OFFICE文檔樣本���,提取動態(tài)運行后衍生樣本哈希值; 對于EML郵件樣本�����,靜態(tài)解析出原始發(fā)件人地址和IP��。
[0006] 一種基于特征的惡意樣本類型識別的系統(tǒng),包括W下模塊: 樣本格式識別模塊:用于識別樣本格式��,識別出PE樣本���、OFFICE文檔樣本或EML郵件 樣本����; 樣本同源特征提取模塊:用于提取樣本的同源特征�; 同源特征比對模塊:將同源特征與同源特征庫比對,如果: 特征匹配�,將樣本的MD5值更新到同源特征庫中; 特征不匹配����,將樣本的特征與MD5值過濾白名單后加入同源特征庫����。
[0007] 有益效果: 第一、本發(fā)明使樣本之間不再孤立��,具有同源屬性�; 第二、在樣本具有了同源屬性后���,便于發(fā)現(xiàn)具有同源屬性樣本的共同攻擊事件. 第Ξ��、可W通過同源特征分析輔助檢測未知的惡意代碼����。
【附圖說明】
[0008] 圖1是本發(fā)明基于特征的惡意樣本類型識別方法流程圖。
[0009] 圖2是本發(fā)明基于特征的惡意樣本類型識別系統(tǒng)示意圖����。
【具體實施方式】
[0010] 下面結(jié)合附圖對本發(fā)明【具體實施方式】作進(jìn)一步詳細(xì)描述。
[0011] 具體實施例一 本實施例是基于特征的惡意樣本類型識別的方法實施例��。
[0012] 本實施例的基于特征的惡意樣本類型識別的方法����,流程圖如圖1所示。該方法包 括W下步驟: SOI���、識別樣本格式�,識別出PE樣本�、OFFICE文檔樣本或EML郵件樣本; 502 :提取樣本的同源特征���; 503 :將同源特征與同源特征庫比對�,如果: 特征匹配,將樣本的MD5值更新到同源特征庫中����; 特征不匹配,將樣本的特征與MD5值過濾白名單后加入同源特征庫����。
[0013] 上述基于特征的惡意樣本類型識別的方法,舉例說明步驟S03中特征匹配的情 況��。
[0014] 更新前的同源特征庫如表1所示: 表1更新前的同源特征庫
更新后的同源特征庫如表2所示�����,表2中第3列的"F6CAB949FA4EA3DC3714672B7D BC0329"為更新值���。
[0015] 表2更新后的同源特征庫
上述基于特征的惡意樣本類型識別的方法,舉例說明步驟S03中特征不匹配的情況���。
[0016] 更新前的同源特征庫如表1所示�,而更新后的同源特征庫如表3所示���,表3中最后 一行的所有信息均為更新值�。
[0017] 表3更新后的同源特征庫
具體實施例二 本實施例是基于特征的惡意樣本類型識別的系統(tǒng)實施例。
[0018] 本實施例的基于特征的惡意樣本類型識別的系統(tǒng)���,如圖2所示����。該系統(tǒng)包括W下 板塊: 樣本格式識別模塊:用于識別樣本格式�����,識別出PE樣本���、OFFICE文檔樣本或EML郵件 樣本����; 樣本同源特征提取模塊:用于提取樣本的同源特征��; 同源特征比對模塊:將同源特征與同源特征庫比對����,如果: 特征匹配,將樣本的MD5值更新到同源特征庫中����; 特征不匹配�����,將樣本的特征與MD5值過濾白名單后加入同源特征庫����。
[0019] 本發(fā)明不局限于上述最佳實施方式��,任何人應(yīng)該得知在本發(fā)明的啟示下作出的結(jié) 構(gòu)變化或方法改進(jìn)����,凡是與本發(fā)明具有相同或相近的技術(shù)方案,均落入本發(fā)明的保護(hù)范圍 之內(nèi)��。
【主權(quán)項】
1. 一種基于特征的惡意樣本類型識別的方法���,其特征在于���,包括以下步驟: SOI、識別樣本格式���,識別出PE樣本、OFFICE文檔樣本或EML郵件樣本����; 502 :提取樣本的同源特征�; 503 :將同源特征與同源特征庫比對�,如果: 特征匹配,將樣本的MD5值更新到同源特征庫中��; 特征不匹配�����,將樣本的特征與MD5值過濾白名單后加入同源特征庫�。2. 根據(jù)權(quán)利要求1所述的基于特征的惡意樣本類型識別的方法,其特征在于�����,所述的 步驟S02具體為: 對于PE樣本����,提取動態(tài)運行后DNS請求的域名或動態(tài)運行后沒有DNS請求直接連接的IP地址; 對于OFFICE文檔樣本����,提取動態(tài)運行后衍生樣本哈希值; 對于EML郵件樣本���,靜態(tài)解析出原始發(fā)件人地址和IP���。3. -種基于特征的惡意樣本類型識別的系統(tǒng)����,其特征在于��,包括以下模塊: 樣本格式識別模塊:用于識別樣本格式���,識別出PE樣本�、OFFICE文檔樣本或EML郵件 樣本���; 樣本同源特征提取模塊:用于提取樣本的同源特征����; 同源特征比對模塊:將同源特征與同源特征庫比對����,如果: 特征匹配,將樣本的MD5值更新到同源特征庫中��; 特征不匹配,將樣本的特征與MD5值過濾白名單后加入同源特征庫����。
【專利摘要】本發(fā)明屬于信息安全技術(shù)領(lǐng)域���,具體涉及一種基于特征的惡意樣本類型識別的方法與系統(tǒng)�;該方法首先通過識別樣本的格式�,識別出PE樣本、OFFICE文檔樣本或EML郵件樣本����;再提取樣本的同源特征,并將該同源特征與同源特征庫比對��,如果特征匹配��,將樣本的MD5值更新到同源特征庫中���;如果特征不匹配�����,將樣本的特征與MD5值過濾白名單后加入同源特征庫���;本發(fā)明方法不僅使樣本之間不再孤立��,具有同源屬性����;而且在樣本具有了同源屬性后��,便于發(fā)現(xiàn)具有同源屬性樣本的共同攻擊事件��;同時可以通過同源特征分析輔助檢測未知的惡意代碼��。
【IPC分類】G06F21/56
【公開號】CN105488408
【申請?zhí)枴緾N201410845182
【發(fā)明人】布寧, 賈雪飛, 白淳升, 李柏松
【申請人】中國信息安全認(rèn)證中心, 北京安天電子設(shè)備有限公司
【公開日】2016年4月13日
【申請日】2014年12月31日