样本动态行为的获取方法、装置、设备及介质与流程

本发明实施例涉及反恶意代码，特别涉及一种样本动态行为的获取方法、装置、设备及介质。

背景技术：

1、传统的动态行为是让样本在沙箱、虚拟机或物理机中运行，通过监控获取其动态行为。因此，当没有沙箱、虚拟机或物理机时，样本无法运行，是无法获取到样本动态行为的；即使有沙箱、虚拟机或物理机，依赖特定输入或环境条件的动态行为也难以获取到。因此，在不运行样本的情况下，现有的样本动态行为的获取方法是无法获取到样本的动态行为的。

2、因此，亟需一种新的样本动态行为的获取方法。

技术实现思路

1、为了解决在不运行样本的情况下，现有的获取方法是无法获取到样本的动态行为的问题，本发明实施例提供了一种样本动态行为的获取方法、装置、设备及介质。

2、一方面，本发明实施例提供了一种样本动态行为的获取方法，包括：

3、对样本进行静态扫描，获取样本的若干个静态向量特征；

4、获取预先建立的动静对应表；其中，所述动静对应表含有若干条输出规则，所述输出规则为至少一个静态向量特征与一个动态行为的对应关系；

5、利用所述样本的若干个静态向量特征，组合匹配所述动静对应表中的输出规则，以获取样本的动态行为。

6、在一种可能的设计中，所述动静对应表是通过如下方式建立的：

7、运行训练集中的每一个训练样本，并监控每一个所述训练样本的动态行为所对应的二进制代码位置，以建立动态行为代码位置表；

8、扫描每一个所述训练样本，以获取每一个所述训练样本的静态向量特征以及各所述静态向量特征对应的二进制代码位置，建立静态向量特征代码位置表；

9、遍历所述动态行为代码位置表，若所述动态行为的二进制代码位置位于所述静态向量特征代码位置表中对应训练样本的所述静态向量特征的二进制代码位置内，表征该静态向量特征内存在该动态行为所需的二进制代码，以建立所述静态向量特征与所述动态行为的对应关系；

10、基于设定阈值策略，从所述训练集的所有对应关系中确定输出规则，建立动静对应表。

11、在一种可能的设计中，阈值包括所述对应关系在所述训练集中的出现次数阈值和出现概率阈值。

12、在一种可能的设计中，所述基于设定阈值策略，从所述训练集的所有对应关系中确定输出规则，建立动静对应表，包括：

13、对所述训练集中所述静态向量特征与所述动态行为的对应关系进行统计分析，确定每一个所述对应关系的出现次数和出现概率；

14、将所述出现次数和所述出现概率分别大于等于所述出现次数阈值和所述出现概率阈值的对应关系确定为输出规则，得到动静对应表。

15、在一种可能的设计中，所述对应关系的出现概率是通过如下公式计算的：

16、

17、式中，为所述对应关系的出现概率，为在所述训练集中当前静态向量特征与当前动态行为的对应关系的出现次数，为在所述训练集中含有当前静态向量特征的对应关系的出现总次数。

18、在一种可能的设计中，阈值是通过如下方式进行动态调整的：

19、针对每一次调整，均执行：

20、获取第一时间段收集的第一样本集和第二时间段收集的第二样本集；所述第二时间段晚于所述第一时间段；

21、运行所述第一样本集中的每一个样本，并对所述第一样本集中的每一个样本进行静态扫描，以分别建立所述第一样本集对应的动态行为代码位置表和静态向量特征代码位置表；

22、遍历所述第一样本集对应的动态行为代码位置表，以基于所述第一样本集中动态行为的二进制代码位置是否位于所述静态向量特征代码位置表中静态向量特征对应的二进制代码位置内，来建立所述第一样本集对应的静态向量特征与动态行为的对应关系；

23、基于当前阈值，从所述第一样本集的所有对应关系中确定输出规则，建立目标动静对应表；

24、分别对所述第二样本集中的每一个样本进行静态扫描，以利用该样本的若干个静态向量特征，组合匹配所述目标动静对应表中的输出规则，确定该样本的动态行为；

25、当所述第二样本集内动态行为的误报率大于预期误报率，则增大当前阈值；

26、当所述第二样本集内动态行为的误报率小于所述预期误报率，则减小当前阈值。

27、另一方面，提供了一种样本动态行为的获取装置，包括：

28、扫描单元，用于对样本进行静态扫描，获取样本的若干个静态向量特征；

29、获取单元，用于获取预先建立的动静对应表；其中，所述动静对应表含有若干条输出规则，所述输出规则为至少一个静态向量特征与一个动态行为的对应关系；

30、匹配单元，用于利用所述样本的若干个静态向量特征，匹配所述动静对应表中的输出规则，以获取样本的动态行为。

31、另一方面，提供了一种计算设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器执行所述计算机程序时，实现本说明书任一实施例所述的方法。

32、另一方面，提供了一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行本说明书任一实施例所述的方法。

33、另一方面，提供了一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现上述所述方法的步骤。

34、本发明实施例提供了一种样本动态行为的获取方法、装置、设备及介质，通过利用静态扫描获取的静态向量特征与预先获取的动静对应表进行匹配，就可以确定出样本的动态行为，相较于传统只能通过让样本在沙箱、虚拟机或物理机中运行来监控获取其动态行为的方式，本方案可以在不运行样本的情况下，仅通过静态扫描获取的静态向量特征与预先获取的动静对应表进行匹配，确定出样本的动态行为，以此来提高静态扫描的判黑准确率。

技术特征：

1.一种样本动态行为的获取方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，阈值包括所述对应关系在所述训练集中的出现次数阈值和出现概率阈值。

3.根据权利要求2所述的方法，其特征在于，所述基于设定阈值策略，从所述训练集的所有对应关系中确定输出规则，建立动静对应表，包括：

4.根据权利要求3所述的方法，其特征在于，所述对应关系的出现概率是通过如下公式计算的：

5.根据权利要求1-4中任一项所述的方法，其特征在于，阈值是通过如下方式进行动态调整的：

6.一种样本动态行为的获取装置，其特征在于，包括：

7.一种计算设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器执行所述计算机程序时，实现如权利要求1-5中任一项所述的方法。

8.一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行权利要求1-5中任一项所述的方法。

9.一种计算机程序产品，其特征在于，包括计算机程序，所述计算机程序被处理器执行时实现权利要求1-5任一所述的方法的步骤。

技术总结本发明实施例涉及反恶意代码技术领域，特别涉及一种样本动态行为的获取方法、装置、设备及介质。方法包括：对样本进行静态扫描，获取样本的若干个静态向量特征；获取预先建立的动静对应表；其中，动静对应表含有若干条输出规则，输出规则为至少一个静态向量特征与一个动态行为的对应关系；利用样本的若干个静态向量特征，组合匹配动静对应表中的输出规则，以获取样本的动态行为。本方案，可以在不运行样本的情况下，仅通过静态扫描获取的静态向量特征与预先获取的动静对应表进行匹配，就可以确定出样本的动态行为，以此来提高静态扫描的判黑准确率。技术研发人员：吕经祥,李石磊,肖新光受保护的技术使用者：北京安天网络安全技术有限公司技术研发日：技术公布日：2024/8/1