一種惡意軟件處理方法及裝置的制造方法

一種惡意軟件處理方法及裝置的制造方法
【技術領域】
[0001]本發明涉及云安全技術領域，更具體地說，涉及一種惡意軟件處理方法及裝置。
【背景技術】
[0002]伴隨著計算機軟硬件技術的不斷更新發展，新的計算模式也相繼出現，繼并行計算、分布式計算、效用計算、網絡計算等概念之后，又出現了一種嶄新的計算模式-云計算。盡管很多研究機構認為云計算提供了安全可靠的數據存儲計算服務，但是仍然不可避免的收到病毒的侵擾，從而影響了云數據的安全，為企業造成巨大損失。因此云安全成為目前企業普遍關注的問題。
[0003]云安全的概念是通過網狀的大量客戶端對網絡中軟件行為的異常監測，獲取互聯網中的木馬、惡意程序等惡意軟件的最新信息，傳送到服務端端進行自動分析和處理，再把惡意軟件的解決方案分發到每一個客戶端，以供其對惡意軟件進行處理。目前效果較好的用于判斷一軟件是否為惡意軟件的方式為通過軟件簽名的方式，即，通過判斷一軟件的軟件簽名與惡意軟件的軟件簽名是否一致，如果一致，則認為該軟件為惡意軟件。這種方式的準確率在很大程度上取決于利用的軟件簽名是否有效，但是現有的軟件簽名通常僅僅利用對應軟件的單一的指定信息，如指定一段代碼等與惡意軟件的指定信息進行比對，但是，一些未知其為惡意軟件的惡意軟件可以通過加入混淆代碼或者其他簡單的方式使其與已知其為惡意軟件的惡意軟件的比對呈現不一致的結果，進而導致惡意軟件對系統造成破壞。
[0004]綜上所述，現有技術中所利用的軟件簽名存在信息單一、容易失效的問題。

【發明內容】

[0005]本發明的目的是提供一種惡意軟件處理方法及裝置，以解決現有技術中所利用的軟件簽名存在信息單一、容易失效的問題。
[0006]為了實現上述目的，本發明提供如下技術方案:
[0007]一種惡意軟件處理方法，包括:
[0008]對惡意軟件進行降噪處理；
[0009]獲取與所述惡意軟件對應的靜態信息，及與所述惡意軟件對應的信號中包含的互不相交的二進制序列，并基于該二進制序列及該靜態信息生成靜態簽名；
[0010]捕獲所述惡意軟件的動態軌跡，并生成對應的動態簽名；
[0011]將所述惡意軟件的動態簽名及靜態簽名保存至預先設置的惡意軟件比對表中；
[0012]基于所述惡意軟件比對表判斷待測軟件是否為惡意軟件。
[0013]優選的，所述對惡意軟件進行去噪處理，包括:
[0014]舍棄所述惡意軟件中不包含有攻擊代碼的數據。
[0015]優選的，基于所述惡意軟件比對表判斷待測軟件是否為惡意軟件，包括:
[0016]獲取與待測軟件對應的靜態信息，及與所述待測軟件對應的信號中包含的互不相交的二進制序列，并基于該二進制序列及該靜態信息生成待測靜態簽名；
[0017]捕獲所述待測軟件的動態軌跡，并生成對應的待測動態簽名；
[0018]判斷所述惡意軟件比對表中是否存在目標惡意軟件，所述目標惡意軟件的動態簽名與所述待測動態簽名匹配，靜態簽名與所述待測靜態簽名匹配，如果是，則確定所述待測軟件為與所述目標惡意軟件對應的惡意軟件。
[0019]優選的，還包括:
[0020]如果所述惡意軟件比對表中不存在所述目標惡意軟件，則將所述待測軟件發送至云端，由所述云端通過判斷其預先存儲的全文病毒簽名庫中是否存在所述目標惡意軟件，確定所述待測軟件是否為惡意軟件。
[0021 ] 一種惡意軟件處理裝置，包括:
[0022]降噪模塊，用于對惡意軟件進行降噪處理；
[0023]靜態簽名生成模塊，用于獲取與所述惡意軟件對應的靜態信息，及與所述惡意軟件對應的信號中包含的互不相交的二進制序列，并基于該二進制序列及所述靜態信息生成靜態簽名；
[0024]動態簽名生成模塊，用于捕獲所述惡意軟件的動態軌跡，并生成對應的動態簽名；
[0025]保存模塊，用于將所述惡意軟件的動態簽名及靜態簽名保存至預先設置的惡意軟件比對表中；
[0026]判斷模塊，用于基于所述惡意軟件比對表判斷待測軟件是否為惡意軟件。
[0027]優選的，降噪模塊包括:
[0028]降噪單元，用于舍棄所述惡意軟件中不包含有攻擊代碼的數據。
[0029]優選的，判斷模塊包括:
[0030]判斷單元，用于:獲取與待測軟件對應的靜態信息，及與所述待測軟件對應的信號中包含的互不相交的二進制序列，并基于該二進制序列及該靜態信息生成待測靜態簽名；捕獲所述待測軟件的動態軌跡，并生成對應的待測動態簽名；判斷所述惡意軟件比對表中是否存在目標惡意軟件，所述目標惡意軟件的動態簽名與所述待測動態簽名匹配，靜態簽名與所述待測靜態簽名匹配，如果是，則確定所述待測軟件為與所述目標惡意軟件對應的惡意軟件。
[0031]優選的，還包括:
[0032]發送模塊，用于如果所述惡意軟件比對表中不存在所述目標惡意軟件，則將所述待測軟件發送至云端，由所述云端通過判斷其預先存儲的全文病毒簽名庫中是否存在所述目標惡意軟件，確定所述待測軟件是否為惡意軟件。
[0033]本發明提供的一種惡意軟件處理方法及裝置，其中，該方法包括:對惡意軟件進行降噪處理;獲取與所述惡意軟件對應的靜態信息，及與所述惡意軟件對應的信號中包含的互不相交的二進制序列，并基于該二進制序列及該靜態信息生成靜態簽名；捕獲所述惡意軟件的動態軌跡，并生成對應的動態簽名；將所述惡意軟件的動態簽名及靜態簽名保存至預先設置的惡意軟件比對表中；基于所述惡意軟件比對表判斷待測軟件是否為惡意軟件。與現有技術相比，本申請中在對惡意軟件進行去噪處理后，獲取惡意軟件的靜態簽名及動態簽名，并將其存儲在惡意軟件比對表中，進而利用惡意軟件的靜態簽名及動態簽名完成對于未知其是否為惡意軟件的待測軟件的識別，即，本申請中所利用的軟件簽名包括動態簽名及靜態簽名，即包括靜態動態兩方面產生的軟件標簽，不同于現有技術中單一的指定信息，能夠保證軟件簽名的有效性，進而保證對于待測軟件是否為惡意軟件的識別準確性。
【附圖說明】
[0034]為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據提供的附圖獲得其他的附圖。
[0035]圖1為本發明實施例提供的一種惡意軟件處理方法的流程圖；
[0036]圖2為本發明實施例提供的一種惡意軟件方法中對惡意軟件進行去噪后得到的效果示意圖；
[0037]圖3為本發明實施例提供的一種惡意軟件處理裝置的結構示意圖；
[0038]圖4為本發明實施例提供的一種惡意軟件處理方法及裝置的實驗結果示意圖。
【具體實施方式】
[0039]下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基于本發明中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例，都屬于本發明保護的范圍。
[0040]請參閱圖1，其示出了本發明實施例提供的一種惡意軟件處理方法的流程圖，可以包括以下步驟:
[0041 ] SI 1:對惡意軟件進行降噪處理。
[0042]對惡意軟件進行降噪處理，簡單來說，即將惡意軟件中包含的多余的數據進行處理，以減少惡意軟件占用的空間。
[0043]S12:獲取與惡意軟件對應的靜態信息，及與惡意軟件對應的信號中包含的互不相交的二進制序列，并基于該二進制序列及該靜態信息生成靜態簽名。
[0044]需要說明的是，可以通過系統智能轉換器生成惡意軟件的靜態信息，靜態信息可以包括惡意軟件的名稱信號、代碼信息或者其他屬性信息，可以利用機器學習技術收集指定信號中不相交的二進制序列，該信號通常為對惡意軟件進行采集獲取的信號，進而基于靜態信息及二進制序列這些不變的子串信息形成靜態簽名。
[0045]S13:捕獲惡意軟件的動態軌跡，并生成對應的動態簽名。
[0046]可以利用預先設定的模擬器或者沙箱捕捉惡意程序的活動軌跡，即動態軌跡，以生成與動態軌跡對應的動態簽名。
[0047]步驟S12和步驟S13可以同時執行，也可以按照實際需要的順序執行。
[0048]S14:將惡意軟件的動態簽名及靜態簽名保存至預先設置的惡意軟件比對表中。
[0049]惡意軟件比對表中存儲有代表惡意軟件的標記，可以是其名稱信息，以及與該惡意軟件對應的靜態信息及動態信息。
[0050]S15:基于惡意軟件比對表判斷待測軟件是否為惡意軟件。
[0051]本申請中在對惡意軟件進行去噪處理后，獲取惡意軟件的靜態簽名及動態簽名，并將其存儲在惡意軟件比對表中，進而利用惡意軟件的靜態簽名及動態簽名完成對于未知其是否為惡意軟件的待測軟件的識別，即，本申請中所利用的軟件簽名包括動態簽名及靜態簽名，即包括靜態動態兩方面產生的軟件標簽，不同于現有技術中單一的指定信息，能夠保證軟件簽名的有效性，進而保證對于待測軟件是否為惡意軟件的識別準確性。
[0052]本申請通過采用動態靜態兩方面產生惡意軟件的軟件簽名，進而通過動態靜態結合的方式對待測軟件進行鑒別的方法，有效平衡了客戶端和服務器端的內存和資源消耗。并且通過上述方式自動生成的軟件簽名僅僅為傳統軟件簽名的數百分之一，即本申請自動生成的軟件簽名為輕量級的簽名數據，因此，用戶無需安裝龐大的病毒簽名文件，而僅需安裝一輕量級的云簽名。并且，實驗證明，通過本發明實施例提供的上述方法去識別待測軟件，大大提高了對于待測軟件的識別效率，減小了處理惡意軟件的周期，且部署方便，降低了操作成本。
[0053]另外，本發明中考慮到惡意軟件的特點，對惡意軟件進行去噪處理，可以包括:舍棄惡意軟件中不包含有攻擊代碼的數據，即拋棄惡意軟件中的部分數據，而只保留黑客可能會植入攻擊代碼的數據。從而