恶意代码的识别方法、装置、计算机设备及介质

摘要

本发明涉及人工智能技术领域，具体揭露恶意代码的识别方法、装置、计算机设备及介质。该识别方法可包括：对目标代码进行解析，以得到用于作为目标代码标识信息的特征值序列。将特征值序列与预先存储的多个已知值序列分别进行匹配。基于匹配成功的条件识别出目标代码为恶意代码，调用并执行与特征值序列相匹配的已知值序列所对应的对抗脚本。基于匹配失败的条件对目标代码进行分类处理，以确定目标代码所属的类别，进而能确定目标代码是否为恶意代码。本发明通过静态检测和动态检测双重方式实现对恶意代码的准确且快速地识别，极大地提高网络安全性，并能显著降低攻击方蜜罐逃逸的可能性。

说明书

技术领域

本发明涉及人工智能技术领域，能够应用在恶意代码的识别领域中，具体提供了恶意代码的识别方法、装置、计算机设备及介质。

背景技术

随着网络安全技术的不断发展，网络安全人员研发出蜜罐检测技术。通过布置一些主机、网络服务等作为诱饵，以诱导攻击方对这些诱饵进行攻击，并能够对攻击行为进行捕获和分析，进而了解攻击方所使用的工具和方法，推测攻击方的意图和动机；使防御方清晰地了解其所面对的安全威胁，达到采用技术手段增强自身的安全防护能力目的。用于设置诱饵的“蜜罐”作为一种情报收集系统，作为被攻击方进行攻击的对象。

但由于现有技术仍存在局限，对目标代码的识别还不够准确，经常会发生误判的现象。所以如何能够精准地识别出目标代码是否为恶意代码，成为了本领域技术人员亟待解决的技术问题和始终研究的重点。

发明内容

为解决现有技术存在的恶意代码识别成功率不高的问题，本发明能够提供恶意代码的识别方法、装置、计算机设备及介质，以较好地解决现有技术存在的至少一个问题。

为实现上述技术目的，本发明能够提供一种恶意代码的识别方法，该识别方法可包括但不限于如下的至少一个步骤。

对目标代码进行解析，以得到用于作为所述目标代码标识信息的特征值序列。

将所述特征值序列与预先存储的多个已知值序列分别进行匹配。

基于匹配成功的条件识别出所述目标代码为恶意代码，调用并执行与所述特征值序列相匹配的已知值序列所对应的对抗脚本。

基于匹配失败的条件对所述目标代码进行分类处理，以确定所述目标代码所属的类别。

根据目标代码所属的类别确定所述目标代码是否为恶意代码。

进一步地，所述基于匹配失败的条件对所述目标代码进行分类处理可包括：

获取所述目标代码运行时调用的一个或多个应用程序接口。

对所述一个或多个应用程序接口进行归类处理。

依据归类处理结果判断所述目标代码所属的类别。

进一步地，所述对所述一个或多个应用程序接口进行归类处理包括：

调用在先构建的用于区分不同类别的应用程序接口的分类模型。

通过所述分类模型确定所述目标代码运行时调用的一个或多个应用程序接口的归类处理结果。

进一步地，通过所述分类模型确定归类处理结果包括：

利用分类模型对所述一个或多个应用程序接口进行最长公共子序列相似度计算处理。

依据相似度计算结果确定归类处理结果。

进一步地，该识别方法还包括构建分类模型的步骤：

将预设数量恶意代码调用的多个应用程序接口分为训练集和测试集。

利用所述训练集对初始设置的模型进行训练，以及利用测试集对训练后的模型进行测试，以得到所述分类模型。

进一步地，所述根据目标代码所属的类别确定所述目标代码是否为恶意代码包括：

基于所述目标代码属于第一设定类别集合的条件，判断所述目标代码为恶意代码。

基于所述目标代码属于第二设定类别集合的条件，判断所述目标代码为安全代码。

基于所述目标代码属于无确定类别的条件，通知指定的人员进行人工判断。

进一步地，所述判断所述目标代码为恶意代码还包括：

查找与所述目标代码关联度最高的已有恶意代码。

获取用于防御所述已有恶意代码的对抗脚本，通过执行该对抗脚本的方式处理所述目标代码。

为实现上述的技术目的，本发明还能够提供一种恶意代码的识别装置，该装置包括但不限于代码解析模块、特征匹配模块、脚本调用模块、代码分类模块以及代码判断模块。

代码解析模块，用于对目标代码进行解析，以得到用于作为所述目标代码标识信息的特征值序列。

特征匹配模块，用于将所述特征值序列与预先存储的多个已知值序列分别进行匹配。

脚本调用模块，用于基于匹配成功的条件识别出所述目标代码为恶意代码，并用于调用并执行与所述特征值序列相匹配的已知值序列所对应的对抗脚本。

代码分类模块，用于基于匹配失败的条件对所述目标代码进行分类处理，以确定所述目标代码所属的类别。

代码判断模块，用于根据目标代码所属的类别确定所述目标代码是否为恶意代码。

为实现上述的技术目的，本发明还能够提供一种计算机设备，计算机设备包括存储器和处理器，所述存储器中存储有计算机可读指令，所述计算机可读指令被所述处理器执行时，使得所述处理器执行本发明任一实施例所述的恶意代码的识别方法的步骤。

为实现上述的技术目的，本发明还可提供一种存储有计算机可读指令的存储介质，所述计算机可读指令被一个或多个处理器执行时，使得一个或多个处理器执行如本发明任一实施例中的恶意代码的识别方法的步骤。

本发明的有益效果为：

本发明通过静态检测和动态检测双重方式实现对恶意代码的准确且快速地识别，极大地提高网络安全性，并能够显著降低攻击方蜜罐逃逸的可能性。本发明基于静态检测与对抗方案实现对已知恶意代码的有效识别以及欺骗与捕获效果，基于动态检测与对抗方案揭示未知恶意代码与已知恶意代码之间的关联或联系，从而利用应对与目标代码关联度最高的已知恶意代码的方案进行安全防御。因此，本发明不仅能够极大提高网络安全性，而且具备主动识别功能、主动防御功能以及捕获恶意代码功能，能够为个人主机、企业网络系统等用户极大地降低网络入侵风险，且具有实施成本低、应用范围广等突出优点。

附图说明

图1示出了本发明一个或多个实施例中恶意代码的识别方法的流程示意图。

图2示出了本发明另一些实施例中恶意代码的识别方法的流程示意图。

图3示出了本发明一个或多个实施例中结合仿真蜜罐的恶意代码的静态检测架构示意图。

图4示出了本发明一些实施例中恶意代码的识别装置的组成结构示意图。

图5示出了本发明一个或者多个实施例中的计算机设备的内部结构框图。

具体实施方式

下面结合说明书附图对本发明具体提供的恶意代码的识别方法、装置、计算机设备及介质进行详细的解释和说明。

如图1所示，并可结合图2，本发明一个或多个实施例中可提供一种恶意代码的识别方法。该识别方法将静态检测方式和动态检测方式有效地结合，具体地，该恶意代码的识别方法包括但不限于如下的至少一个步骤。

步骤100，对目标代码进行解析，以得到用于作为目标代码标识信息的特征值序列。目标代码标识信息能够用于区分不同的代码或软件，也可理解为软件标识，即目标代码可以是一个软件或一段程序等。

本发明一些实施例中的特征值序列为哈希值，则解析目标代码的过程具体为目标代码的哈希值计算过程。不同哈希值往往对应不同的恶意软件标识和蜜罐逃逸方式，则本发明能通过计算哈希值方式确定攻击方采用的蜜罐逃逸方式。如图3所示，本发明能够通过网络入侵检测系统(NIDS，network intrusion detection system)对目标代码进行获取，进而对目标代码进行解析。网络入侵检测系统可以设置在网关位置或者在蜜罐系统的网络入口处，实现在目标代码进入仿真蜜罐前对目标代码进行检测。

步骤200，将特征值序列与预先存储的多个已知值序列分别进行匹配。本发明一些实施例能够通过Yara工具创建已知值序列，已知值序列用于作为已知的恶意软件的标识。Yara工具属于一种用于识别和分类恶意软件样本的工具，本发明一些实施例利用Yara工具创建对应不同恶意软件的已知哈希值形成已知值序列，已知值序列可存储于图3所示的恶意代码/软件模拟行为库中。另外，已知值序列的创建过程还可以根据历史数据或网络安全人员的经验实现。

本发明可通过目标软件的哈希值匹配过程实现静态检测方案。本发明静态检测过程为：预先积累了恶意代码，并通过已知值序列对不同的恶意代码分别进行标记。当在静态检测过程如果判断出目标代码属于恶意代码(例如步骤300)，则能够针对性地布置仿真蜜罐，以使攻击方误以为成功侵入，进而达到识别出攻击方采用的侵入方式和侵入的目的以及修复当前存在的漏洞等目的。

步骤300，基于匹配成功的条件识别出目标代码为恶意代码，调用并执行与特征值序列相匹配的已知值序列所对应的对抗脚本。如图3所示，本发明调用并执行对抗样本的过程可理解为针对性布置仿真蜜罐的过程。其中，本发明还可在识别出目标代码为已知恶意代码时发出第一类警告，以告知网络安全人员发现了已知恶意代码入侵。

如图3所示，本实施例中的静态检测方案能够识别出已知恶意代码。利用蜜罐控制中心向仿真蜜罐中的脚本执行器中转发与当前恶意代码相对应的对抗脚本，以进行蜜罐系统的快速布置。然后使目标代码进入仿真蜜罐，从而达到迷惑攻击方的目的。基于仿真蜜罐进行对恶意代码的有效捕获，能够实现分析攻击方的攻击目的和攻击方式，达到保护网络安全的目的。

步骤400，基于匹配失败的条件对目标代码进行分类处理，以确定目标代码所属的类别。在匹配失败的条件下，此时存在两种情况：(1)目标代码确实是安全代码，所以能够顺利通过静态检测；(2)目标代码是一种未知的恶意代码，所以静态检测过程无法将其识别出来。所以在目标代码通过静态检测时本发明还能够对目标代码进行动态检测。动态检测属于本发明中对静态检测后的进一步安全防御，该方式能够实现对未知代码进行较好地识别和判断。并可在未知代码可疑度较高时，调用解决与当前未知代码相似度高的已知恶意代码的应对方案，例如调用与当前未知代码相似度高的已知恶意代码的对抗脚本等。该动态检测方案具体说明如下。

如图2所示，本发明一些实施例的步骤400中基于匹配失败的条件对目标代码进行分类处理可包括但不限如下步骤401～步骤403。

步骤401，获取目标代码运行时调用的一个或多个应用程序接口。在具体实施时，本发明可获取目标代码相关所有应用程序接口(Application Programming Interface，API)。应当理解的是，本发明能够用于Windows系统、Linux系统或mac系统等，所以本发明中的应用程序接口可包括但不限于Windows API，本发明可根据实际应用场景进行合理地选择。

步骤402，对一个或多个应用程序接口进行归类处理。在本发明一些改进实施例中，还包括从目标代码调用的多个应用程序接口中筛选出目标应用程序接口的步骤。对于目标代码来说，本发明筛选出的目标应用程序接口的重要程度更高、更能体现出目标代码特性。所以步骤402可以优选对目标应用程序接口进行归类处理。

本发明对一个或多个应用程序接口进行归类处理包括：调用在先构建的用于区分不同类别的应用程序接口的分类模型，通过分类模型确定目标代码运行时调用的一个或多个应用程序接口的归类处理结果，具体优选为目标应用程序接口的归类处理结果。更为具体地，通过分类模型确定归类处理结果包括但不限于：利用分类模型对一个或多个应用程序接口(优选目标应用程序接口)进行最长公共子序列(Longest Common Subsequence，LCS)相似度计算处理，依据相似度计算结果确定归类处理结果。如果与分类模型中提供的应用程序接口的相似度达到设定值，则目标代码调用的应用程序接口归属于风险类别；如果与分类模型中提供的应用程序接口的相似度未达到设定值，则目标代码调用的应用程序接口归属于安全类别。可以理解的是，本发明一个或多个实施例中还包括构建分类模型的步骤：将预设数量恶意代码调用的多个应用程序接口分为训练集(如m个恶意代码)和测试集(如n个恶意代码)，利用训练集对初始设置的模型进行训练，以及利用测试集对训练后的模型进行测试，以得到分类模型。

步骤403，依据归类处理结果判断目标代码所属的类别。即如果归类处理结果为风险类别，则目标代码所属的类别为第一设定类别集合(恶意代码类别)，而如果归类处理结果为安全类别，则目标代码所属的类别为第二设定类别集合(安全代码类别)。本发明能够通过应用程序接口归类方式判断对应的目标代码类别，以实现通过目标代码的具体行为判断目标代码是否为恶意代码。其中，第一设定类别集合包括多种恶意代码的用用程序接口示例集合，第二类别集合包括多种安全代码的应用程序接口示例集合。

步骤500，根据目标代码所属的类别确定目标代码是否为恶意代码。在本发明一些具体的实施例中，根据目标代码所属的类别确定目标代码是否为恶意代码包括但不限于如下的步骤：基于目标代码属于第一设定类别集合的条件，判断目标代码为恶意代码。其中，判断目标代码为恶意代码还包括：查找与目标代码关联度最高的已有恶意代码，获取用于防御该已有恶意代码的对抗脚本，通过执行该对抗脚本的方式处理当前目标代码。其中，确定与目标代码关联度最高的已有恶意代码步骤包括：获取与目标代码具有至少一个相同应用程序接口的全部已有恶意代码，计算这些已有恶意代码与目标代码之间具有的相同应用程序接口的数量，将其中具有相同应用接口程序数量最多的恶意代码作为关联度最高的已有恶意代码。本发明一些实施例可在本步骤中识别出目标代码为恶意代码时发出第二类警告，以告知网络安全人员发现了未知恶意代码入侵。基于目标代码属于第二设定类别集合的条件，则判断目标代码为安全代码。而基于目标代码属于无确定类别的条件，则通知指定的人员进行人工判断；采用人工干预方式进行单独处理，能够进一步提高本发明恶意代码识别的准确率，提高本发明的网络安全防御水平。

如图4所示，本发明一个或多个实施例能够提供一种恶意代码的识别装置，该恶意代码的识别装置包括但不限于代码解析模块、特征匹配模块、脚本调用模块、代码分类模块以及代码判断模块。

代码解析模块用于对目标代码进行解析，以得到用于作为目标代码标识信息的特征值序列。

特征匹配模块用于将特征值序列与预先存储的多个已知值序列分别进行匹配。

脚本调用模块用于基于匹配成功的条件识别出目标代码为恶意代码，并用于调用并执行与特征值序列相匹配的已知值序列所对应的对抗脚本。

代码分类模块用于基于匹配失败的条件对目标代码进行分类处理，以确定目标代码所属的类别。代码分类模块具体可以包括接口获取子模块、归类处理子模块及类别判断子模块。

接口获取子模块用于获取目标代码运行时调用的一个或多个应用程序接口。归类处理子模块用于对上述一个或多个应用程序接口进行归类处理。归类处理子模块具体用于调用在先构建的用于区分不同类别的应用程序接口的分类模型，以及用于通过分类模型确定目标代码运行时调用的一个或多个应用程序接口的归类处理结果。本发明一些实施例中的归类处理子模块具体用于利用分类模型对一个或多个应用程序接口进行最长公共子序列相似度计算处理，以及用于依据相似度计算结果确定归类处理结果。本发明还可以包括模型建立模块，模型建立模块用于将预设数量恶意代码调用的多个应用程序接口分为训练集和测试集，并用于利用训练集对初始设置的模型进行训练，以及利用测试集对训练后的模型进行测试，以得到如上分类模型。类别判断子模块用于依据归类处理结果判断目标代码所属的类别。

代码判断模块用于根据目标代码所属的类别确定目标代码是否为恶意代码。代码判断模块可具体用于基于目标代码属于第一设定类别集合的条件判断目标代码为恶意代码，或者用于基于目标代码属于第二设定类别集合的条件判断目标代码为安全代码，或者用于基于目标代码属于无确定类别的条件通知指定的人员进行人工判断。判断目标代码为恶意代码条件下，代码判断模块还可以包括查找子模块和防御子模块。查找子模块用于查找与目标代码关联度最高的已有恶意代码。防御子模块可用于获取用于防御已有恶意代码的对抗脚本，以及用于通过执行该对抗脚本的方式处理被识别为恶意代码的目标代码。

如图5所示，本发明一个或多个实施例还能够提供一种计算机设备，该计算机设备包括存储器和处理器，存储器中存储有计算机可读指令，计算机可读指令被处理器执行时，使得处理器执行本发明任一实施例的恶意代码的识别方法的步骤。其中，恶意代码的识别方法可包括但不限于如下的至少一个步骤。步骤100，对目标代码进行解析，以得到用于作为目标代码标识信息的特征值序列。步骤200，将特征值序列与预先存储的多个已知值序列分别进行匹配。步骤300，基于匹配成功的条件识别出目标代码为恶意代码，调用并执行与特征值序列相匹配的已知值序列所对应的对抗脚本。步骤400，基于匹配失败的条件对目标代码进行分类处理，以确定目标代码所属的类别。基于匹配失败的条件对目标代码进行分类处理包括步骤401～步骤403：步骤401，获取目标代码运行时调用的一个或多个应用程序接口。步骤402，对一个或多个应用程序接口进行归类处理。具体地，对一个或多个应用程序接口进行归类处理包括：调用在先构建的用于区分不同类别的应用程序接口的分类模型，通过分类模型确定目标代码运行时调用的一个或多个应用程序接口的归类处理结果。更为具体地，通过分类模型确定归类处理结果包括：利用分类模型对一个或多个应用程序接口进行最长公共子序列相似度计算处理，依据相似度计算结果确定归类处理结果。可理解的是，本发明一个或多个实施例中还包括构建分类模型的步骤：将预设数量恶意代码调用的多个应用程序接口分为训练集和测试集，利用训练集对初始设置的模型进行训练，以及利用测试集对训练后的模型进行测试，以得到分类模型。步骤403，依据归类处理结果判断目标代码所属的类别。步骤500，根据目标代码所属的类别确定目标代码是否为恶意代码。在本发明一些具体的实施例中，根据目标代码所属的类别确定目标代码是否为恶意代码包括：基于目标代码属于第一设定类别集合的条件，判断目标代码为恶意代码。其中，判断目标代码为恶意代码还包括：查找与目标代码关联度最高的已有恶意代码，获取用于防御已有恶意代码的对抗脚本，通过执行该对抗脚本的方式处理目标代码。基于目标代码属于第二设定类别集合的条件，判断目标代码为安全代码。基于目标代码属于无确定类别的条件，通知指定的人员进行人工判断。

本发明还可提供一种存储有计算机可读指令的存储介质，计算机可读指令被一个或多个处理器执行时，使得一个或多个处理器执行本发明任一实施例的恶意代码的识别方法的步骤。其中，恶意代码的识别方法可包括但不限于如下的至少一个步骤。步骤100，对目标代码进行解析，以得到用于作为目标代码标识信息的特征值序列。步骤200，将特征值序列与预先存储的多个已知值序列分别进行匹配。步骤300，基于匹配成功的条件识别出目标代码为恶意代码，调用并执行与特征值序列相匹配的已知值序列所对应的对抗脚本。步骤400，基于匹配失败的条件对目标代码进行分类处理，以确定目标代码所属的类别。基于匹配失败的条件对目标代码进行分类处理包括步骤401～步骤403：步骤401，获取目标代码运行时调用的一个或多个应用程序接口。步骤402，对一个或多个应用程序接口进行归类处理。具体地，对一个或多个应用程序接口进行归类处理包括：调用在先构建的用于区分不同类别的应用程序接口的分类模型，通过分类模型确定目标代码运行时调用的一个或多个应用程序接口的归类处理结果。更为具体地，通过分类模型确定归类处理结果包括：利用分类模型对一个或多个应用程序接口进行最长公共子序列相似度计算处理，依据相似度计算结果确定归类处理结果。可理解的是，本发明一个或多个实施例中还包括构建分类模型的步骤：将预设数量恶意代码调用的多个应用程序接口分为训练集和测试集，利用训练集对初始设置的模型进行训练，以及利用测试集对训练后的模型进行测试，以得到分类模型。步骤403，依据归类处理结果判断目标代码所属的类别。步骤500，根据目标代码所属的类别确定目标代码是否为恶意代码。在本发明一些具体的实施例中，根据目标代码所属的类别确定目标代码是否为恶意代码包括：基于目标代码属于第一设定类别集合的条件，判断目标代码为恶意代码。其中，判断目标代码为恶意代码还包括：查找与目标代码关联度最高的已有恶意代码，获取用于防御已有恶意代码的对抗脚本，通过执行该对抗脚本的方式处理目标代码。基于目标代码属于第二设定类别集合的条件，判断目标代码为安全代码。基于目标代码属于无确定类别的条件，通知指定的人员进行人工判断。

在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读存储介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，"计算机可读存储介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。所述计算机可读存储介质可以是非易失性，也可以是易失性的。计算机可读存储介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布线的电连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(RAM，Random Access Memory)，只读存储器(ROM，Read-Only Memory)，可擦除可编辑只读存储器(EPROM，ErasableProgrammable Read-Only Memory，或闪速存储器)，光纤装置，以及便携式光盘只读存储器(CDROM，Compact Disc Read-Only Memory)。另外，计算机可读存储介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。

应当理解，本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如，如果用硬件来实现，和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(PGA，Programmable Gate Array)，现场可编程门阵列(FPGA，Field Programmable Gate Array)等。

在本说明书的描述中，参考术语“本实施例”、“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

本发明可用于众多通用或专用的计算机系统环境或配置中。例如：个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。本发明可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明实质内容上所作的任何修改、等同替换和简单改进等，均应包含在本发明的保护范围之内。