1.一种恶意软件作者识别方法,其特征在于,所述恶意软件作者识别方法包括以下步骤:
获取待识别用户的用户终端的运行信息;
根据所述运行信息获取所述待识别用户的目标运行特征;
将所述目标运行特征与预设恶意特征进行匹配,获得所述目标运行特征与预设恶意特征之间的特征匹配度;
在所述特征匹配度超过预设匹配度阈值时,将所述待识别用户作为恶意软件作者。
2.如权利要求1所述的恶意软件作者识别方法,其特征在于,所述目标运行特征包括:静态运行特征和动态运行特征。
3.如权利要求2所述的恶意软件作者识别方法,其特征在于,所述静态运行特征包括:用户终端中存在新测试样本、ip地址是境外ip地址、用户终端中存在处于预设位置的可执行文件、运行信息中存在恶意关键词和系统语言包括预设系统语言中的至少一项。
4.如权利要求2所述的恶意软件作者识别方法,其特征在于,所述动态运行特征包括在虚拟机中运行新测试样本,和/或,同名可执行文件的变换频率超过预设变换阈值。
5.如权利要求1-3中任一项所述的恶意软件作者识别方法,其特征在于,所述根据所述运行信息获取所述待识别用户的目标运行特征,具体包括:
根据所述运行信息获取新测试样本;
判断所述新测试样本是否为恶意软件;
在所述新测试样本为恶意软件时,将用户终端中存在新测试样本作为所述待识别用户的目标运行特征。
6.如权利要求1-3中任一项所述的恶意软件作者识别方法,其特征在于,所述根据所述运行信息获取所述待识别用户的目标运行特征,具体包括:
对所述运行信息进行分词处理,获得所述运行信息对应的词语;
获取预设恶意关键词集合,将所述预设恶意关键词集合中的恶意关键词与所述词语分别进行匹配;
若匹配成功,将运行信息中存在恶意关键词作为所述待识别用户的目标运行特征。
7.如权利要求1、2或4中任一项所述的恶意软件作者识别方法,其特征在于,所述根据所述运行信息获取所述待识别用户的目标运行特征,具体包括:
根据所述运行信息获取新测试样本,并根据所述运行信息判断所述用户终端是否有启用虚拟机;
若所述用户终端有启用虚拟机,则判断所述新测试样本是否运行在虚拟机中;
若所述新测试样本运行在虚拟机中,则将在虚拟机中运行新测试样本作为所述待识别用户的目标行为特征。
8.一种恶意软件作者识别设备,其特征在于,所述恶意软件作者识别设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的恶意软件作者识别程序,所述恶意软件作者识别程序被所述处理器执行时实现如权利要求1至7中任一项所述的恶意软件作者识别方法的步骤。
9.一种存储介质,其特征在于,所述存储介质上存储有恶意软件作者识别程序,所述恶意软件作者识别程序被处理器执行时实现如权利要求1至7中任一项所述的恶意软件作者识别方法的步骤。
10.一种恶意软件作者识别装置,其特征在于,所述恶意软件作者识别装置包括:
获取模块,用于获取待识别用户的用户终端的运行信息;
所述获取模块,还用于根据所述运行信息获取所述待识别用户的目标运行特征;
匹配模块,用于将所述目标运行特征与预设恶意特征进行匹配,获得所述目标运行特征与预设恶意特征之间的特征匹配度;
识别模块,用于在所述特征匹配度超过预设匹配度阈值时,将所述待识别用户作为恶意软件作者。