公开(公告)号：CN117034275B

公开(公告)日：2023-12-22

申请号：CN202311303198.6

申请日：2023-10-10

Applicant: 北京安天网络安全技术有限公司

Inventor： 封元华 ,  康学斌 ,  肖新光

IPC: G06F21/56 ,  G06F18/24 ,  G06F18/23

Abstract: 本发明提供了一种基于Yara引擎的恶意文件检测方法、设备及介质，涉及恶意文件检测领域，所述方法包括：获取待检测文件A；若A的若干预设特征与预设Yara引擎的检测规则库中的任一检测规则符合预设的匹配条件，则将A确定为恶意文件；获取若干已知的恶意文件；根据每一恶意文件的属性，对所有的已知恶意文件进行聚类，以得到恶意文件组集B；获取B中每一恶意文件组对应的目标操作码分词列表集EB；获取B中每一恶意文件组对应的目标特殊字符串列表HB；根据EB和HB生成若干目标检测规则；通过预设Yara引擎将所有的目标检测规则进行加载，以得到所述检测规则库；本发明能够提高检测规则库的生成效率。

公开(公告)号：CN117034275A

公开(公告)日：2023-11-10

申请号：CN202311303198.6

申请日：2023-10-10

Applicant: 北京安天网络安全技术有限公司

Inventor： 封元华 ,  康学斌 ,  肖新光

IPC: G06F21/56 ,  G06F18/24 ,  G06F18/23

Abstract: 本发明提供了一种基于Yara引擎的恶意文件检测方法、设备及介质，涉及恶意文件检测领域，所述方法包括：获取待检测文件A；若A的若干预设特征与预设Yara引擎的检测规则库中的任一检测规则符合预设的匹配条件，则将A确定为恶意文件；获取若干已知的恶意文件；根据每一恶意文件的属性，对所有的已知恶意文件进行聚类，以得到恶意文件组集B；获取B中每一恶意文件组对应的目标操作码分词列表集EB；获取B中每一恶意文件组对应的目标特殊字符串列表HB；根据EB和HB生成若干目标检测规则；通过预设Yara引擎将所有的目标检测规则进行加载，以得到所述检测规则库；本发明能够提高检测规则库的生成效率。