一种基于特征的恶意样本类型识别的方法与系统的制作方法
一种基于特征的恶意样本类型识别的方法与系统的制作方法
【技术领域】
[0001] 本发明属于信息安全技术领域,具体设及一种基于特征的恶意样本类型识别的方 法与系统。
【背景技术】
[0002] 随着信息技术的飞速发展,计算机恶意代码捕获量越来越多,针对性的有组织的 攻击越来越多,而目前各安全厂商对恶意代码的标记仅采取病毒名命名方式,但样本都没 有具体归类,无法判断样本之间的关系,导致每个样本仅仅作为单一数据,没有形成横向的 关联性。
【发明内容】
[0003] 为了解决上述问题,本发明公开了一种基于特征的恶意样本类型识别的方法,该 方法使样本之间不再孤立,具有同源属性。
[0004] 本发明的目的是运样实现的: 一种基于特征的恶意样本类型识别的方法,包括W下步骤: SOI、识别样本格式,识别出PE样本、OFFICE文档样本或EML邮件样本; 502 :提取样本的同源特征; 503 :将同源特征与同源特征库比对,如果: 特征匹配,将样本的MD5值更新到同源特征库中; 特征不匹配,将样本的特征与MD5值过滤白名单后加入同源特征库。 阳0化]上述基于特征的恶意样本类型识别的方法,所述的步骤S02具体为: 对于PE样本,提取动态运行后DNS请求的域名或动态运行后没有DNS请求直接连接的 IP地址; 对于OFFICE文档样本,提取动态运行后衍生样本哈希值; 对于EML邮件样本,静态解析出原始发件人地址和IP。
[0006] 一种基于特征的恶意样本类型识别的系统,包括W下模块: 样本格式识别模块:用于识别样本格式,识别出PE样本、OFFICE文档样本或EML邮件 样本; 样本同源特征提取模块:用于提取样本的同源特征; 同源特征比对模块:将同源特征与同源特征库比对,如果: 特征匹配,将样本的MD5值更新到同源特征库中; 特征不匹配,将样本的特征与MD5值过滤白名单后加入同源特征库。
[0007] 有益效果: 第一、本发明使样本之间不再孤立,具有同源属性; 第二、在样本具有了同源属性后,便于发现具有同源属性样本的共同攻击事件. 第Ξ、可W通过同源特征分析辅助检测未知的恶意代码。
【附图说明】
[0008] 图1是本发明基于特征的恶意样本类型识别方法流程图。
[0009] 图2是本发明基于特征的恶意样本类型识别系统示意图。
【具体实施方式】
[0010] 下面结合附图对本发明【具体实施方式】作进一步详细描述。
[0011] 具体实施例一 本实施例是基于特征的恶意样本类型识别的方法实施例。
[0012] 本实施例的基于特征的恶意样本类型识别的方法,流程图如图1所示。该方法包 括W下步骤: SOI、识别样本格式,识别出PE样本、OFFICE文档样本或EML邮件样本; 502 :提取样本的同源特征; 503 :将同源特征与同源特征库比对,如果: 特征匹配,将样本的MD5值更新到同源特征库中; 特征不匹配,将样本的特征与MD5值过滤白名单后加入同源特征库。
[0013] 上述基于特征的恶意样本类型识别的方法,举例说明步骤S03中特征匹配的情 况。
[0014] 更新前的同源特征库如表1所示: 表1更新前的同源特征库
更新后的同源特征库如表2所示,表2中第3列的"F6CAB949FA4EA3DC3714672B7D BC0329"为更新值。
[0015] 表2更新后的同源特征库
上述基于特征的恶意样本类型识别的方法,举例说明步骤S03中特征不匹配的情况。
[0016] 更新前的同源特征库如表1所示,而更新后的同源特征库如表3所示,表3中最后 一行的所有信息均为更新值。
[0017] 表3更新后的同源特征库
具体实施例二 本实施例是基于特征的恶意样本类型识别的系统实施例。
[0018] 本实施例的基于特征的恶意样本类型识别的系统,如图2所示。该系统包括W下 板块: 样本格式识别模块:用于识别样本格式,识别出PE样本、OFFICE文档样本或EML邮件 样本; 样本同源特征提取模块:用于提取样本的同源特征; 同源特征比对模块:将同源特征与同源特征库比对,如果: 特征匹配,将样本的MD5值更新到同源特征库中; 特征不匹配,将样本的特征与MD5值过滤白名单后加入同源特征库。
[0019] 本发明不局限于上述最佳实施方式,任何人应该得知在本发明的启示下作出的结 构变化或方法改进,凡是与本发明具有相同或相近的技术方案,均落入本发明的保护范围 之内。
【主权项】
1. 一种基于特征的恶意样本类型识别的方法,其特征在于,包括以下步骤: SOI、识别样本格式,识别出PE样本、OFFICE文档样本或EML邮件样本; 502 :提取样本的同源特征; 503 :将同源特征与同源特征库比对,如果: 特征匹配,将样本的MD5值更新到同源特征库中; 特征不匹配,将样本的特征与MD5值过滤白名单后加入同源特征库。2. 根据权利要求1所述的基于特征的恶意样本类型识别的方法,其特征在于,所述的 步骤S02具体为: 对于PE样本,提取动态运行后DNS请求的域名或动态运行后没有DNS请求直接连接的IP地址; 对于OFFICE文档样本,提取动态运行后衍生样本哈希值; 对于EML邮件样本,静态解析出原始发件人地址和IP。3. -种基于特征的恶意样本类型识别的系统,其特征在于,包括以下模块: 样本格式识别模块:用于识别样本格式,识别出PE样本、OFFICE文档样本或EML邮件 样本; 样本同源特征提取模块:用于提取样本的同源特征; 同源特征比对模块:将同源特征与同源特征库比对,如果: 特征匹配,将样本的MD5值更新到同源特征库中; 特征不匹配,将样本的特征与MD5值过滤白名单后加入同源特征库。
【专利摘要】本发明属于信息安全技术领域,具体涉及一种基于特征的恶意样本类型识别的方法与系统;该方法首先通过识别样本的格式,识别出PE样本、OFFICE文档样本或EML邮件样本;再提取样本的同源特征,并将该同源特征与同源特征库比对,如果特征匹配,将样本的MD5值更新到同源特征库中;如果特征不匹配,将样本的特征与MD5值过滤白名单后加入同源特征库;本发明方法不仅使样本之间不再孤立,具有同源属性;而且在样本具有了同源属性后,便于发现具有同源属性样本的共同攻击事件;同时可以通过同源特征分析辅助检测未知的恶意代码。
【IPC分类】G06F21/56
【公开号】CN105488408
【申请号】CN201410845182
【发明人】布宁, 贾雪飞, 白淳升, 李柏松
【申请人】中国信息安全认证中心, 北京安天电子设备有限公司
【公开日】2016年4月13日
【申请日】2014年12月31日
【技术领域】
[0001] 本发明属于信息安全技术领域,具体设及一种基于特征的恶意样本类型识别的方 法与系统。
【背景技术】
[0002] 随着信息技术的飞速发展,计算机恶意代码捕获量越来越多,针对性的有组织的 攻击越来越多,而目前各安全厂商对恶意代码的标记仅采取病毒名命名方式,但样本都没 有具体归类,无法判断样本之间的关系,导致每个样本仅仅作为单一数据,没有形成横向的 关联性。
【发明内容】
[0003] 为了解决上述问题,本发明公开了一种基于特征的恶意样本类型识别的方法,该 方法使样本之间不再孤立,具有同源属性。
[0004] 本发明的目的是运样实现的: 一种基于特征的恶意样本类型识别的方法,包括W下步骤: SOI、识别样本格式,识别出PE样本、OFFICE文档样本或EML邮件样本; 502 :提取样本的同源特征; 503 :将同源特征与同源特征库比对,如果: 特征匹配,将样本的MD5值更新到同源特征库中; 特征不匹配,将样本的特征与MD5值过滤白名单后加入同源特征库。 阳0化]上述基于特征的恶意样本类型识别的方法,所述的步骤S02具体为: 对于PE样本,提取动态运行后DNS请求的域名或动态运行后没有DNS请求直接连接的 IP地址; 对于OFFICE文档样本,提取动态运行后衍生样本哈希值; 对于EML邮件样本,静态解析出原始发件人地址和IP。
[0006] 一种基于特征的恶意样本类型识别的系统,包括W下模块: 样本格式识别模块:用于识别样本格式,识别出PE样本、OFFICE文档样本或EML邮件 样本; 样本同源特征提取模块:用于提取样本的同源特征; 同源特征比对模块:将同源特征与同源特征库比对,如果: 特征匹配,将样本的MD5值更新到同源特征库中; 特征不匹配,将样本的特征与MD5值过滤白名单后加入同源特征库。
[0007] 有益效果: 第一、本发明使样本之间不再孤立,具有同源属性; 第二、在样本具有了同源属性后,便于发现具有同源属性样本的共同攻击事件. 第Ξ、可W通过同源特征分析辅助检测未知的恶意代码。
【附图说明】
[0008] 图1是本发明基于特征的恶意样本类型识别方法流程图。
[0009] 图2是本发明基于特征的恶意样本类型识别系统示意图。
【具体实施方式】
[0010] 下面结合附图对本发明【具体实施方式】作进一步详细描述。
[0011] 具体实施例一 本实施例是基于特征的恶意样本类型识别的方法实施例。
[0012] 本实施例的基于特征的恶意样本类型识别的方法,流程图如图1所示。该方法包 括W下步骤: SOI、识别样本格式,识别出PE样本、OFFICE文档样本或EML邮件样本; 502 :提取样本的同源特征; 503 :将同源特征与同源特征库比对,如果: 特征匹配,将样本的MD5值更新到同源特征库中; 特征不匹配,将样本的特征与MD5值过滤白名单后加入同源特征库。
[0013] 上述基于特征的恶意样本类型识别的方法,举例说明步骤S03中特征匹配的情 况。
[0014] 更新前的同源特征库如表1所示: 表1更新前的同源特征库
更新后的同源特征库如表2所示,表2中第3列的"F6CAB949FA4EA3DC3714672B7D BC0329"为更新值。
[0015] 表2更新后的同源特征库
上述基于特征的恶意样本类型识别的方法,举例说明步骤S03中特征不匹配的情况。
[0016] 更新前的同源特征库如表1所示,而更新后的同源特征库如表3所示,表3中最后 一行的所有信息均为更新值。
[0017] 表3更新后的同源特征库
具体实施例二 本实施例是基于特征的恶意样本类型识别的系统实施例。
[0018] 本实施例的基于特征的恶意样本类型识别的系统,如图2所示。该系统包括W下 板块: 样本格式识别模块:用于识别样本格式,识别出PE样本、OFFICE文档样本或EML邮件 样本; 样本同源特征提取模块:用于提取样本的同源特征; 同源特征比对模块:将同源特征与同源特征库比对,如果: 特征匹配,将样本的MD5值更新到同源特征库中; 特征不匹配,将样本的特征与MD5值过滤白名单后加入同源特征库。
[0019] 本发明不局限于上述最佳实施方式,任何人应该得知在本发明的启示下作出的结 构变化或方法改进,凡是与本发明具有相同或相近的技术方案,均落入本发明的保护范围 之内。
【主权项】
1. 一种基于特征的恶意样本类型识别的方法,其特征在于,包括以下步骤: SOI、识别样本格式,识别出PE样本、OFFICE文档样本或EML邮件样本; 502 :提取样本的同源特征; 503 :将同源特征与同源特征库比对,如果: 特征匹配,将样本的MD5值更新到同源特征库中; 特征不匹配,将样本的特征与MD5值过滤白名单后加入同源特征库。2. 根据权利要求1所述的基于特征的恶意样本类型识别的方法,其特征在于,所述的 步骤S02具体为: 对于PE样本,提取动态运行后DNS请求的域名或动态运行后没有DNS请求直接连接的IP地址; 对于OFFICE文档样本,提取动态运行后衍生样本哈希值; 对于EML邮件样本,静态解析出原始发件人地址和IP。3. -种基于特征的恶意样本类型识别的系统,其特征在于,包括以下模块: 样本格式识别模块:用于识别样本格式,识别出PE样本、OFFICE文档样本或EML邮件 样本; 样本同源特征提取模块:用于提取样本的同源特征; 同源特征比对模块:将同源特征与同源特征库比对,如果: 特征匹配,将样本的MD5值更新到同源特征库中; 特征不匹配,将样本的特征与MD5值过滤白名单后加入同源特征库。
【专利摘要】本发明属于信息安全技术领域,具体涉及一种基于特征的恶意样本类型识别的方法与系统;该方法首先通过识别样本的格式,识别出PE样本、OFFICE文档样本或EML邮件样本;再提取样本的同源特征,并将该同源特征与同源特征库比对,如果特征匹配,将样本的MD5值更新到同源特征库中;如果特征不匹配,将样本的特征与MD5值过滤白名单后加入同源特征库;本发明方法不仅使样本之间不再孤立,具有同源属性;而且在样本具有了同源属性后,便于发现具有同源属性样本的共同攻击事件;同时可以通过同源特征分析辅助检测未知的恶意代码。
【IPC分类】G06F21/56
【公开号】CN105488408
【申请号】CN201410845182
【发明人】布宁, 贾雪飞, 白淳升, 李柏松
【申请人】中国信息安全认证中心, 北京安天电子设备有限公司
【公开日】2016年4月13日
【申请日】2014年12月31日
最新回复(0)