一种恶意代码检测方法、装置、电子设备及存储介质与流程

技术特征：
1.一种恶意代码检测方法，其特征在于，包括：确定待检代码的基本块的数据信息；基于所述基本块的数据信息，为所述待检代码的基本块建立标签；将所述待检代码的基本块的标签，按照预设标签向量建立规则，建立待检代码的标签向量；将所述待检代码的标签向量，按照预设匹配规则，与预先建立的恶意样本特征库中的恶意样本标签向量进行匹配；若确定所述待检代码的标签向量，与所述恶意样本特征库中的一恶意样本标签向量相匹配，则确定所述待检代码为恶意代码。2.根据权利要求1所述的恶意代码检测方法，其特征在于，所述确定待检代码的基本块的数据信息，包括：确定待检代码的基本块的指令信息和/或应用程序接口信息。3.根据权利要求1所述的恶意代码检测方法，其特征在于，基于所述基本块的数据信息，为所述待检代码的基本块建立标签，包括：基于所述基本块的数据信息的功能特征，为所述待检代码的基本块建立相应的标签。4.根据权利要求1所述的恶意代码检测方法，其特征在于，所述将所述待检代码的基本块的标签，按照预设标签向量建立规则，建立待检代码的标签向量，包括：将所述待检代码的基本块的标签，按照所述基本块在所述待检代码中执行的先后顺序，建立所述待检代码的标签向量。5.根据权利要求1所述的恶意代码检测方法，其特征在于，在确定待检代码的基本块的数据信息之前，所述方法还包括：基于已知样本，建立已知样本的基本块标签库；根据所述已知样本的基本块标签库，建立恶意样本集的恶意样本特征库。6.根据权利要求5所述的恶意代码检测方法，其特征在于，所述基于已知样本，建立已知样本的基本块标签库，包括：确定已知样本中至少两个基本块的数据信息；基于所述至少两个基本块的数据信息，为所述至少两个基本块分别建立标签；基于所述至少两个基本块的标签，建立所述已知样本的基本块标签库。7.根据权利要求5所述的恶意代码检测方法，其特征在于，所述根据所述已知样本的基本块标签库，建立恶意样本集的恶意样本特征库，包括：建立恶意样本集的恶意样本标签向量库，建立白样本集的白样本标签向量库；将所述恶意样本标签向量库中，与所述白样本标签向量库中相匹配的恶意样本标签向量删除，得到恶意样本特征库。8.根据权利要求7所述的恶意代码检测方法，其特征在于，所述恶意样本集包括两个以上的恶意样本，所述两个以上的恶意样本包括第一恶意样本和第二恶意样本；其中，所述建立恶意样本集的恶意样本标签向量库，包括：将第一恶意样本的各基本块，按照预设匹配规则，与所述已知样本的基本块进行匹配，从所述第一恶意样本的各基本块中，确定出与所述已知样本的基本块相匹配的第一基本块，为所述第一基本块建立第一标签；所述第一标签与所述已知样本中与所述第一基本块
相匹配的基本块的标签相同；将第一恶意样本中的各基本块的标签，按照所述预设标签向量建立规则，建立第一恶意样本标签向量；将第二恶意样本的各基本块，按照预设匹配规则，与所述已知样本的基本块进行匹配，从所述第二恶意样本的各基本块中，确定出与所述已知样本的基本块相匹配的第二基本块，为所述第二基本块建立第二标签；所述第二标签与所述已知样本中与所述第二基本块相匹配的基本块的标签相同；将第二恶意样本中的各基本块的标签，按照所述预设标签向量建立规则，建立第二恶意样本标签向量；基于建立的各恶意样本标签向量，建立恶意样本集的恶意样本标签向量库。9.根据权利要求7所述的恶意代码检测方法，其特征在于，所述白样本集包括两个以上的白样本，所述两个以上的白样本包括第一白样本和第二白样本；其中，所述建立白样本集的白样本标签向量库，包括：将第一白样本的各基本块，按照预设匹配规则，与所述已知样本的基本块进行匹配，从所述第一白样本的各基本块中，确定出与所述已知样本的基本块相匹配的第一基本块，为所述第一基本块建立第一标签；所述第一标签与所述已知样本中与所述第一基本块相匹配的基本块的标签相同；将第一白样本中的各基本块的标签，按照所述预设标签向量建立规则，建立第一白样本标签向量；将第二白样本的各基本块，按照预设匹配规则，与所述已知样本的基本块进行匹配，从所述第二白样本的各基本块中，确定出与所述已知样本的基本块相匹配的第二基本块，为所述第二基本块建立第二标签；所述第二标签与所述已知样本中与所述第二基本块相匹配的基本块的标签相同；将第二白样本中的各基本块的标签，按照所述预设标签向量建立规则，建立第二白样本标签向量；基于建立的各白样本标签向量，建立白样本集的白样本标签向量库。10.一种恶意代码检测装置，其特征在于，包括：基本块提取模块，用于确定待检代码的基本块的数据信息；标签建立模块，用于基于所述基本块的数据信息，为所述待检代码的基本块建立标签；标签向量建立模块，用于将所述待检代码的基本块的标签，按照预设标签向量建立规则，建立待检代码的标签向量；标签向量匹配模块，用于将所述待检代码的标签向量，按照预设匹配规则，与预先建立的恶意样本特征库中的恶意样本标签向量进行匹配；恶意代码确定模块，用于若确定所述待检代码的标签向量，与所述恶意样本特征库中的一恶意样本标签向量相匹配，则确定所述待检代码为恶意代码。11.根据权利要求10所述恶意代码检测装置，其特征在于，所述基本块提取模块，具体用于：确定待检代码的基本块的指令信息和/或应用程序接口信息。12.根据权利要求10所述恶意代码检测装置，其特征在于，所述标签建立模块，具体用
于：基于所述基本块的数据信息的功能特征，为所述待检代码的基本块建立相应的标签。13.根据权利要求10所述恶意代码检测装置，其特征在于，所述标签向量建立模块，具体用于：将所述待检代码的基本块的标签，按照所述基本块在所述待检代码中执行的先后顺序，建立所述待检代码的标签向量。14.根据权利要求10所述恶意代码检测装置，其特征在于，还包括：基本块标签库建立模块，用于基于已知样本，建立已知样本的基本块标签库；恶意样本特征库建立模块，用于根据所述已知样本的基本块标签库，建立恶意样本集的恶意样本特征库。15.根据权利要求14所述恶意代码检测装置，其特征在于，所述基本块标签库建立模块，具体用于：确定已知样本中至少两个基本块的数据信息；基于所述至少两个基本块的数据信息，为所述至少两个基本块分别建立标签；基于所述至少两个基本块的标签，建立所述已知样本的基本块标签库。16.根据权利要求14所述恶意代码检测装置，其特征在于，所述恶意样本特征库建立模块，具体用于：建立恶意样本集的恶意样本标签向量库，建立白样本集的白样本标签向量库；将所述恶意样本标签向量库中，与所述白样本标签向量库中相匹配的恶意样本标签向量删除，得到恶意样本特征库。17.根据权利要求16所述恶意代码检测装置，其特征在于，所述恶意样本集包括两个以上的恶意样本，所述两个以上的恶意样本包括第一恶意样本和第二恶意样本；其中，所述建立恶意样本集的恶意样本标签向量库，包括：将第一恶意样本的各基本块，按照预设匹配规则，与所述已知样本的基本块进行匹配，从所述第一恶意样本的各基本块中，确定出与所述已知样本的基本块相匹配的第一基本块，为所述第一基本块建立第一标签；所述第一标签与所述已知样本中与所述第一基本块相匹配的基本块的标签相同；将第一恶意样本中的各基本块的标签，按照所述预设标签向量建立规则，建立第一恶意样本标签向量；将第二恶意样本的各基本块，按照预设匹配规则，与所述已知样本的基本块进行匹配，从所述第二恶意样本的各基本块中，确定出与所述已知样本的基本块相匹配的第二基本块，为所述第二基本块建立第二标签；所述第二标签与所述已知样本中与所述第二基本块相匹配的基本块的标签相同；将第二恶意样本中的各基本块的标签，按照所述预设标签向量建立规则，建立第二恶意样本标签向量；基于建立的各恶意样本标签向量，建立恶意样本集的恶意样本标签向量库。18.根据权利要求16所述恶意代码检测装置，其特征在于，所述白样本集包括两个以上的白样本，所述两个以上的白样本包括第一白样本和第二白样本；其中，所述建立白样本集的白样本标签向量库，包括：
将第一白样本的各基本块，按照预设匹配规则，与所述已知样本的基本块进行匹配，从所述第一白样本的各基本块中，确定出与所述已知样本的基本块相匹配的第一基本块，为所述第一基本块建立第一标签；所述第一标签与所述已知样本中与所述第一基本块相匹配的基本块的标签相同；将第一白样本中的各基本块的标签，按照所述预设标签向量建立规则，建立第一白样本标签向量；将第二白样本的各基本块，按照预设匹配规则，与所述已知样本的基本块进行匹配，从所述第二白样本的各基本块中，确定出与所述已知样本的基本块相匹配的第二基本块，为所述第二基本块建立第二标签；所述第二标签与所述已知样本中与所述第二基本块相匹配的基本块的标签相同；将第二白样本中的各基本块的标签，按照所述预设标签向量建立规则，建立第二白样本标签向量；基于建立的各白样本标签向量，建立白样本集的白样本标签向量库。19.一种电子设备，其特征在于，包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上；电源电路，用于为上述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述权利要求1-9中任一项所述的恶意代码检测方法。20.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述权利要求1-9中任一项所述的恶意代码检测方法。

技术总结
本发明实施例公开一种恶意代码检测方法、装置、电子设备及存储介质，涉及计算机网络安全技术领域。为解决无法检测已知病毒样本的变种而发明。所述恶意代码检测方法，包括确定待检代码的基本块的数据信息；基于所述基本块的数据信息，为所述待检代码的基本块建立标签；将所述待检代码的基本块的标签，按照预设标签向量建立规则，建立待检代码的标签向量；将所述待检代码的标签向量，按照预设匹配规则，与预先建立的恶意样本特征库中的恶意样本标签向量进行匹配；若确定所述待检代码的标签向量，与所述恶意样本特征库中的一恶意样本标签向量相匹配，则确定所述待检代码为恶意代码。适用于检测代码中是否包含恶意代码的应用场景。景。景。


技术研发人员：张启迪 董雷
受保护的技术使用者：安天科技集团股份有限公司
技术研发日：2021.11.24
技术公布日：2022/2/18