一种通用型恶意样本的分类方法、装置、介质及设备与流程

所属的技术人员能够理解，本技术的各个方面可以实现为系统、方法或程序产品。因此，本技术的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。根据本技术的这种实施方式的电子设备。电子设备仅仅是一个示例，不应对本技术实施例的功能和使用范围带来任何限制。电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于：上述至少一个处理器、上述至少一个储存器、连接不同系统组件(包括储存器和处理器)的总线。其中，所述储存器存储有程序代码，所述程序代码可以被所述处理器执行，使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本技术各种示例性实施方式的步骤。储存器可以包括易失性储存器形式的可读介质，例如随机存取储存器(ram)和/或高速缓存储存器，还可以进一步包括只读储存器(rom)。储存器还可以包括具有一组(至少一个)程序模块的程序/实用工具，这样的程序模块包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。总线可以为表示几类总线结构中的一种或多种，包括储存器总线或者储存器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。电子设备也可以与一个或多个外部设备(例如键盘、指向设备、蓝牙设备等)通信，还可与一个或者多个使得用户能与该电子设备交互的设备通信，和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口进行。并且，电子设备还可以通过网络适配器与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。网络适配器通过总线与电子设备的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是cd-rom，u盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。在本公开的示例性实施例中，还提供了一种计算机可读存储介质，其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中，本技术的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当所述程序产品在终端设备上运行时，所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本技术各种示例性实施方式的步骤。所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、rf等等，或者上述的任意合适的组合。可以以一种或多种程序设计语言的任意组合来编写用于执行本技术操作的程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如java、c++等，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(lan)或广域网(wan)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。此外，上述附图仅是根据本技术示例性实施例的方法所包括的处理的示意性说明，而不是限制目的。易于理解，上述附图所示的处理并不表明或限制这些处理的时间顺序。另外，也易于理解，这些处理可以是例如在多个模块中同步或异步执行的。应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本公开的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本的技术人员在本技术揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应以权利要求的保护范围为准。

背景技术：

1、传统的静态威胁情报分析系统大多是依靠特征向量扫描的方式与已有的病毒库进行匹配，从而确定恶意样本的分类和病毒名。或是基于机器学习模型训练的方式对恶意样本按照学习到的逻辑进行匹配，从而确定恶意样本的病毒家族、威胁分类和病毒名。但是，存在恶意样本无法在病毒库中匹配到对应行为的情况，以及存在对一些恶意样本的可疑行为无法按照学习到的逻辑进行匹配的情况。由此，现有的威胁分析方式仅仅只会给出通用型、启发式等笼统的分类和病毒名。由于，该笼统的分类和病毒名无实际的威胁评价指导意义，所以需要安全分析人员对这一类的恶意样本全部进行再次分析，以确保安全。

2、但是，随着恶意样本的数量日益增多，这种静态威胁情报分析系统的处理方式往往会产生大量的通用型恶意样本。在该情况下会严重影响安全分析人员对情报的分析响应速度。

技术实现思路

1、针对上述技术问题，本发明采用的技术方案为：

2、根据本发明的一个方面，提供了一种通用型恶意样本的分类方法，该方法包括如下步骤：

3、获取目标恶意样本。

4、根据每一目标恶意样本具有的可疑特征，生成每一目标恶意样本对应的恶意标签。恶意标签用于表示目标恶意样本的威胁强度。

5、根据恶意标签，对目标恶意样本进行威胁类别划分。

6、在本发明中，进一步的，获取目标恶意样本，包括：

7、获取多个待测样本。

8、对多个待测样本进行静态威胁情报分析处理，生成至少一个目标恶意样本，静态威胁情报分析处理用于判定待测样本的威胁级别及病毒名。目标恶意样本为不具有明确威胁级别及病毒名的待测样本。

9、在本发明中，进一步的，每一目标恶意样本具有至少一个可疑特征。

10、根据每一目标恶意样本具有的可疑特征，生成每一目标恶意样本对应的恶意标签，包括：

11、获取特征标签映射表。特征标签映射表用于记录可疑特征与恶意标签之间的对应关系。可疑特征所表示的可疑级别与恶意标签表示的威胁强度正相关。

12、根据特征标签映射表及每一目标恶意样本具有的可疑特征，确定每一目标恶意样本对应的恶意标签，每一可疑特征对应一个恶意标签。

13、在本发明中，进一步的，特征标签映射表满足如下条件：

14、若可疑特征为互斥体特征或特殊字符串特征，则恶意标签为低级恶意标签。

15、若可疑特征为修改注册表特征或修改文件特征，则恶意标签为中级恶意标签。

16、若可疑特征为衍生新文件路径特征或衍生新文件名特征或访问新url特征，则恶意标签为高级恶意标签。

17、在本发明中，进一步的，高级恶意标签、中级恶意标签及低级恶意标签分别对应的威胁类别依次降低。

18、在本发明中，进一步的，方法还包括：

19、根据目标恶意样本的恶意标签对应的威胁类别，确定对目标恶意样本的处理优先级。

20、在本发明中，进一步的，根据目标恶意样本的恶意标签对应的威胁类别，确定对目标恶意样本的处理优先级，包括：

21、若目标恶意样本仅具有低级恶意标签，则目标恶意样本的处理优先级最低。

22、根据本发明的第二个方面，提供了一种通用型恶意样本的分类装置，该装置包括：

23、获取模块，用于获取目标恶意样本。

24、标签生成模块，用于根据每一目标恶意样本具有的可疑特征，生成每一目标恶意样本对应的恶意标签。恶意标签用于表示目标恶意样本的威胁强度。

25、类别划分模块，用于根据恶意标签，对目标恶意样本进行威胁类别划分。

26、根据本发明的第三个方面，提供了一种非瞬时性计算机可读存储介质，非瞬时性计算机可读存储介质存储有计算机程序，计算机程序被处理器执行时实现上述的一种通用型恶意样本的分类方法。

27、根据本发明的第四个方面，提供了一种电子设备，包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序，处理器执行计算机程序时实现上述的一种通用型恶意样本的分类方法。

28、本发明至少具有以下有益效果：

29、本发明根据每一目标恶意样本具有的可疑特征，对每一目标恶意样本再次进行威胁类别划分。由此，可以判断出每一目标恶意样本对应的威胁强度的高低。由此，安全分析人员在面对大量的具有笼统的分类和病毒名的目标恶意样本时，可以根据每一目标恶意样本对应的威胁类别进行优先级排序，以将具有更高威胁强度的目标恶意样本进行更为优先的分析处理，而对具有较低威胁强度的目标恶意样本选择性放弃处理或者延迟分析处理。由此，使得安全分析人员可以更加有针对性的开展分析工作。由此可以提升安全分析人员对于情报的识别速度，提高对于通用型恶意代码的分析响应速度。