一种批量扫描方法、装置、计算设备及存储介质与流程

本发明实施例涉及反恶意代码，特别涉及一种批量扫描方法、装置、计算设备及存储介质。

背景技术：

1、传统的批量扫描方法是根据扫描列表依次扫描每一个样本，基于预先获取的静态规则库与每一个样本的静态向量特征匹配，确定出每一个样本是否为黑样本，以直接依次反馈所有样本的判黑结果。这种批量扫描方法在扫描过程中的检测能力是预先获取的静态规则库决定的，且在扫描过程中并不会基于这一批样本实时更新静态规则库，实时提升检测能力，那么容易因为样本收集延迟导致该次的批量扫描出现漏报情况。

2、因此，亟需一种新的批量扫描方法、装置、计算设备及存储介质。

技术实现思路

1、为了解决传统的批量扫描方法容易因为样本收集延迟导致出现漏报情况的问题，本发明实施例提供了一种批量扫描方法、装置、计算设备及存储介质。

2、一方面，本发明实施例提供了一种批量扫描方法，包括：

3、基于预先获取的规则库，对扫描列表中的样本进行第一次批量扫描；其中，所述规则库至少包括静态规则库；

4、对第一次批量扫描检出的黑样本进行规则挖掘，以对所述规则库进行更新；

5、基于更新后的规则库，对第一次批量扫描检出的白样本进行第二次批量扫描，得到最终检测结果。

6、在一种可能的设计中，所述规则库还包括动态规则库；

7、第一次批量扫描和/或第二次批量扫描是通过如下方式检测每一个样本的：

8、扫描获取当前样本的静态向量特征；

9、基于所述静态规则库和当前样本的静态向量特征，确定当前样本的第一检测结果；

10、获取预先建立的动静对应表；其中，所述动静对应表含有若干条输出规则，所述输出规则为至少一个静态向量特征与一个动态行为的对应关系；

11、利用当前样本的若干个静态向量特征，组合匹配所述动静对应表中的输出规则，以获取当前样本的动态行为；

12、基于所述动态规则库和当前样本的动态行为，确定当前样本的第二检测结果；

13、若所述第一检测结果和所述第二检测结果中至少一个为黑样本，则确定当前样本为黑样本。

14、在一种可能的设计中，所述动静对应表是通过如下方式建立的：

15、运行训练集中的每一个训练样本，并监控每一个所述训练样本的动态行为所对应的二进制代码位置，以建立动态行为代码位置表；

16、扫描每一个所述训练样本，以获取每一个所述训练样本的静态向量特征以及各所述静态向量特征对应的二进制代码位置，建立静态向量特征代码位置表；

17、遍历所述动态行为代码位置表，若所述动态行为的二进制代码位置位于所述静态向量特征代码位置表中对应训练样本的所述静态向量特征的二进制代码位置内，表征该静态向量特征内存在该动态行为所需的二进制代码，以建立所述静态向量特征与所述动态行为的对应关系；

18、基于设定阈值策略，从所述训练集的所有对应关系中确定输出规则，建立动静对应表。

19、在一种可能的设计中，所述规则库还包括与所述静态规则库对应的静态挖掘库；其中，所述静态挖掘库含有各静态向量特征被判黑的累计次数，当所述累计次数超出第一累计阈值时，将对应的静态向量特征输出至所述静态规则库作为判黑规则；

20、所述静态规则库是通过如下方式进行更新的：

21、基于第一次批量扫描检出的黑样本的静态向量特征，更新所述静态挖掘库中对应静态向量特征被判黑的累计次数；

22、确定更新的每一个静态向量特征的累计次数是否超出所述第一累计阈值；

23、若超出，则确定所述静态规则库中是否含有该静态向量特征，若不含有则将该静态向量特征补入所述静态规则库。

24、在一种可能的设计中，所述规则库还包括与所述动态规则库对应的动态挖掘库；其中，所述动态挖掘库含有各动态行为被判黑的累计次数，当所述累计次数超出第二累计阈值时，将对应的动态行为输出至所述动态挖掘库作为判黑规则；

25、所述动态规则库是通过如下方式进行更新的：

26、基于第一次批量扫描检出的黑样本的动态行为，更新所述动态挖掘库中对应动态行为被判黑的累计次数；

27、确定更新的每一个动态行为的累计次数是否超出所述第二累计阈值；

28、若超出，则确定所述动态规则库中是否含有该动态行为，若不含有则将该动态行为特征补入所述动态规则库。

29、在一种可能的设计中，对第一次批量扫描检出的黑样本进行规则挖掘，以对所述规则库进行更新，包括：

30、当在服务器进行规则挖掘和规则库更新时，将第一次批量扫描检出的黑样本上传至服务器，进行规则挖掘和规则库更新；

31、当在客户机进行规则挖掘和规则库更新时，将所述规则库对应的挖掘库预先存储至所述客户机，以在所述客户机对第一次批量扫描检出的黑样本进行规则挖掘，以及对所述规则库进行更新。

32、另一方面，提供了一种批量扫描装置，包括：

33、第一扫描单元，用于基于预先获取的规则库，对扫描列表中的样本进行第一次批量扫描；其中，所述规则库至少包括静态规则库；

34、挖掘单元，用于对第一次批量扫描检出的黑样本进行规则挖掘，以对所述规则库进行更新；

35、第二扫描单元，用于基于更新后的规则库，对第一次批量扫描检出的白样本进行第二次批量扫描，得到最终检测结果。

36、另一方面，提供了一种计算设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器执行所述计算机程序时，实现本说明书任一实施例所述的方法。

37、另一方面，提供了一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行本说明书任一实施例所述的方法。

38、另一方面，提供了一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现上述所述方法的步骤。

39、本发明实施例提供了一种批量扫描方法、装置、计算设备及存储介质，通过基于预先获取的规则库，对扫描列表中的样本进行第一次批量扫描，基于检出的黑样本，挖掘规则更新规则库后，再进行第二次批量扫描，在实时提升检测能力的同时，降低因收集延迟导致的漏报。

技术特征：

1.一种批量扫描方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述动静对应表是通过如下方式建立的：

3.根据权利要求1所述的方法，其特征在于，所述规则库还包括与所述静态规则库对应的静态挖掘库；其中，所述静态挖掘库含有各静态向量特征被判黑的累计次数，当所述累计次数超出第一累计阈值时，将对应的静态向量特征输出至所述静态规则库作为判黑规则；

4.根据权利要求1所述的方法，其特征在于，所述规则库还包括与所述动态规则库对应的动态挖掘库；其中，所述动态挖掘库含有各动态行为被判黑的累计次数，当所述累计次数超出第二累计阈值时，将对应的动态行为输出至所述动态挖掘库作为判黑规则；

5.根据权利要求3或4所述的方法，其特征在于，对第一次批量扫描检出的黑样本进行规则挖掘，以对所述规则库进行更新，包括：

6.一种批量扫描装置，其特征在于，包括：

7.一种计算设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器执行所述计算机程序时，实现如权利要求1-5中任一项所述的方法。

8.一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行权利要求1-5中任一项所述的方法。

9.一种计算机程序产品，其特征在于，包括计算机程序，所述计算机程序被处理器执行时实现权利要求1-5任一所述的方法的步骤。

技术总结本发明实施例涉及反恶意代码技术领域，特别涉及一种批量扫描方法、装置、计算设备及存储介质。其中，方法包括：基于预先获取的规则库，对扫描列表中的样本进行第一次批量扫描；其中，规则库至少包括静态规则库；对第一次批量扫描检出的黑样本进行规则挖掘，以对规则库进行更新；基于更新后的规则库，对第一次批量扫描检出的白样本进行第二次批量扫描，得到最终检测结果。本方案，通过基于预先获取的规则库，对扫描列表中的样本进行第一次批量扫描，基于检出的黑样本，挖掘规则更新规则库后，再进行第二次批量扫描，在实时提升检测能力的同时，降低因收集延迟导致的漏报。技术研发人员：吕经祥,李石磊,肖新光受保护的技术使用者：北京安天网络安全技术有限公司技术研发日：技术公布日：2024/8/1