APT样本的发现方法、装置、电子设备及存储介质与流程

apt样本的发现方法、装置、电子设备及存储介质
技术领域
1.本发明实施例涉及计算机安全领域，特别涉及一种apt样本的发现方法、装置、电子设备及存储介质。


背景技术：

2.随着近年来各行各业都在不断开展信息化与智能化建设，社会信息化水平不断提升，对信息系统的安全防范也提出了新的要求，而apt样本(尤其是高级持续性威胁样本)对于信息系统安全会产生极大的影响。其中，高级持续性威胁(advanced persistent threat，apt)通常是出于商业或政治动机，通过有组织性的精心策划，针对特定的个人、组织或国家进行隐匿而持久的网络攻击活动。
3.相关技术中，apt样本的发现方法主要是动态分析的方法，即利用沙箱或蜜罐的方式运行待测样本，以从待测样本中发现apt样本。


技术实现要素：

4.为了提高apt样本的发现效率，本发明实施例提供了一种apt样本的发现方法、装置、电子设备及存储介质。
5.第一方面，本发明实施例提供了一种apt样本的发现方法，包括：
6.对待测的第一样本进行静态分析，筛选得到存在病毒名的第二样本；
7.基于所述第二样本的病毒名和内容信息，从所述第二样本中筛选得到存在异常行为和敏感信息的第三样本；
8.从所述第三样本中筛选得到apt样本。
9.在一种可能的设计中，所述对待测的第一样本进行静态分析，筛选得到存在病毒名的第二样本，包括：
10.利用静态向量提取技术对待测的第一样本进行分析，得到所述第一样本中存在的所有行为指令；
11.利用反汇编技术对所有行为指令进行分析，得到所有行为指令的指令参数；
12.从所有行为指令的指令参数中筛选得到病毒名，以筛选得到存在病毒名的第二样本。
13.在一种可能的设计中，所述基于所述第二样本的病毒名和内容信息，从所述第二样本中筛选得到存在异常行为和敏感信息的第三样本，包括：
14.提取所述第二样本的病毒名，得到所述病毒名中的核心行为；
15.基于预设的关键词，从所述第二样本的内容信息中，提取包含所述关键词的目标信息；
16.基于所述核心行为和所述目标信息，从所述第二样本中筛选得到存在异常行为和敏感信息的第三样本。
17.在一种可能的设计中，所述基于所述核心行为和所述目标信息，从所述第二样本
中筛选得到存在异常行为和敏感信息的第三样本，包括：
18.利用预先设置好的异常行为库对所述核心行为进行匹配，确定所述核心行为是否是异常行为；
19.利用预先设置好的敏感信息库对所述目标信息进行匹配，确定所述目标信息是否是敏感信息；
20.从所述第二样本中筛选得到存在异常行为和敏感信息的第三样本。
21.在一种可能的设计中，所述从所述第三样本中筛选得到apt样本，包括：
22.获取重点关注行为；
23.从所述第三样本存在的异常行为中筛选出所述重点关注行为，以筛选得到第四样本；其中，所述第四样本存在的异常行为为所述重点关注行为；
24.从所述第四样本中筛选得到apt样本。
25.在一种可能的设计中，所述从所述第四样本中筛选得到apt样本，包括：
26.获取重点关注信息；
27.从所述第四样本存在的敏感信息中筛选出所述重点关注信息，以筛选得到第五样本；其中，所述第五样本存在的敏感信息为所述重点关注信息；
28.从所述第五样本中筛选得到apt样本。
29.在一种可能的设计中，所述从所述第五样本中筛选得到apt样本，包括：
30.对所述第五样本进行动态分析，以筛选得到apt样本。
31.第二方面，本发明实施例还提供了一种apt样本的发现装置，包括：
32.第一筛选模块，用于对待测的第一样本进行静态分析，筛选得到存在病毒名的第二样本；
33.第二筛选模块，用于基于所述第二样本的病毒名和内容信息，从所述第二样本中筛选得到存在异常行为和敏感信息的第三样本；
34.第三筛选模块，用于从所述第三样本中筛选得到apt样本。
35.第三方面，本发明实施例还提供了一种电子设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器执行所述计算机程序时，实现本说明书任一实施例所述的方法。
36.第四方面，本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行本说明书任一实施例所述的方法。
37.本发明实施例提供了一种apt样本的发现方法、装置、电子设备及存储介质，通过对待测的第一样本进行静态分析，筛选得到存在病毒名的第二样本，如此实现了样本的第一次筛选；然后，基于第二样本的病毒名和内容信息，从第二样本中筛选得到存在异常行为和敏感信息的第三样本，如此实现了样本的第二次筛选；最后，从经过两次筛选得到的第三样本中，进行进一步的筛选，得到最终想要的apt样本。综上，上述方案通过对待测的第一样本进行逐级筛选，可以减少apt样本发现的样本量，如此可以提高apt样本的发现效率。
附图说明
38.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现
有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。
39.图1是本发明一实施例提供的一种apt样本的发现方法流程图；
40.图2是本发明一实施例提供的另一种apt样本的发现方法流程图；
41.图3是本发明一实施例提供的一种电子设备的硬件架构图；
42.图4是本发明一实施例提供的一种apt样本的发现装置结构图。
具体实施方式
43.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例，基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其它实施例，都属于本发明保护的范围。
44.如前所述，相关技术中，apt样本的发现方法主要是动态分析的方法，即利用沙箱或蜜罐的方式运行待测样本，以从待测样本中发现apt样本。
45.发明人在研发过程中发现：这种动态分析的方法虽然可以有效检测出 apt样本，但是由于其是利用沙箱或蜜罐的方式来运行待测样本，因此其分析性能较低，无法有效应对当前日益增多的海量待测样本的检测需求。
46.为了解决该技术问题，发明人考虑可以通过对待测样本进行逐级筛选，以获得更接近apt样本的高可疑度样本，即将大概率不是apt样本的样本从海量的待测样本中剔除，这样就可以减少apt样本发现的样本量，并提高了apt样本的发现效率。
47.下面描述以上构思的具体实现方式。
48.请参考图1，本发明实施例提供了一种apt样本的发现方法，该方法包括：
49.步骤100：对待测的第一样本进行静态分析，筛选得到存在病毒名的第二样本；
50.步骤102：基于第二样本的病毒名和内容信息，从第二样本中筛选得到存在异常行为和敏感信息的第三样本；
51.步骤104：从第三样本中筛选得到apt样本。
52.本发明实施例中，通过对待测的第一样本进行静态分析，筛选得到存在病毒名的第二样本，如此实现了样本的第一次筛选；然后，基于第二样本的病毒名和内容信息，从第二样本中筛选得到存在异常行为和敏感信息的第三样本，如此实现了样本的第二次筛选；最后，从经过两次筛选得到的第三样本中，进行进一步的筛选，得到最终想要的apt样本。综上，上述方案通过对待测的第一样本进行逐级筛选，可以减少apt样本发现的样本量，如此可以提高apt样本的发现效率。
53.下面描述图1所示的各个步骤的执行方式。
54.针对步骤100：
55.静态分析的方法一般是用来鉴定待测样本的黑灰，且通常只能检测出待测样本中是否存在病毒名，但对于该样本是否是apt样本无法进行进一步的判定。
56.在一些实施方式中，步骤100可以包括：
57.利用静态向量提取技术对待测的第一样本进行分析，得到第一样本中存在的所有
行为指令；
58.利用反汇编技术对所有行为指令进行分析，得到所有行为指令的指令参数；
59.从所有行为指令的指令参数中筛选得到病毒名，以筛选得到存在病毒名的第二样本。
60.在该实施方式中，静态分析的方法具体是利用静态向量提取技术来得到第一样本中存在的所有行为指令，以及利用反汇编技术来得到所有行为指令的指令参数，然后基于得到的指令参数筛选出病毒名。其中，静态向量提取技术和反汇编技术是本领域技术人员所熟知的技术，在此不进行赘述。当然，静态分析的方法除了上述提及的具体技术可以实现外，还存在其它的技术可以实现，在此不进行赘述。
61.在一些实施方式中，行为指令包括如下中的至少一种类型：
62.服务指令、文件指令、窗口指令、注册表指令、进程指令、算法指令、通信指令和钩子指令。
63.其中，服务指令是指操作系统提供的可用于修改系统服务的相关指令，例如：创建服务、删除服务、启动服务、停止服务等；窗口指令是指系统或者软件提供的可以被其它软件使用的窗口操作相关指令，例如：创建窗口、销毁窗口、弹出窗口以及移动窗口等；进程指令是指操作系统提供的可用于修改系统进程的相关指令，例如：创建进程、监控进程、遍历进程、终止进程等；算法相关指令是指软程序所使用的标准或者非标准的加密算法，例如：对称加密算法、非对称加密算法、摘要算法等；通信指令是指系统或者程序提供的通信相关指令，例如：初始化通信、创建套接字、发送数据、接收数据等；钩子指令是操作系统提供的可供其它程序使用的获取或者修改操作系统功能的相关指令，比如创建钩子、释放钩子等。
64.此外，指令参数指的是行为指令的名称，例如服务指令中的服务名称、文件指令中的文件名称、窗口指令中的窗口名称、注册表指令中的注册表名称、进程指令中的进程名称、算法指令中的算法名称、通信指令中的通信名称和钩子指令中的钩子名称。
65.针对步骤102：
66.在经过步骤100中静态分析的方法进行第一次筛选后，第一样本中如果没有通过病毒名对异常行为进行判定(即对病毒名进一步判定，确定病毒名中是否有能体现是异常行为的字段)，此时对于第一样本的判定结果较为单一(即只能判定为黑或灰)，而无法对第一样本进行进一步的筛选，这不利于提高apt样本的发现效率。
67.在一些实施方式中，步骤102可以包括：
68.步骤a1、提取第二样本的病毒名，得到病毒名中的核心行为；
69.步骤a2、基于预设的关键词，在第二样本的内容信息中，提取包含关键词的目标信息；
70.步骤a3、基于核心行为和目标信息，从第二样本中筛选得到存在异常行为和敏感信息的第三样本。
71.在该实施方式中，不仅根据提取病毒名中的核心行为来进行异常行为的判定，还根据内容提取的结果进行敏感信息的匹配，如此可以减少需要被分析的样本量，从而提高了apt样本的发现效率。
72.其中，预设的关键词可以是军工、政府、高校、企业等领域的关键词，在此不进行限定。
73.需要说明的是，待测样本不一定存在病毒名，存在病毒名的样本的核心行为也不一定属于异常行为；同理，待测样本不一定存在内容信息(即为空样本)，存在内容信息的样本中的内容信息也不一定含有敏感的目标信息。因此，可以基于待测样本的核心行为和目标信息对待测样本进行进一步筛选。
74.相关技术中，对样本的内容信息的分析，比较局限于样本的类型，例如这种样本通常是邮件、复合文档、pdf、脚本等，样本中包含有例如unicode、 utf-8、gbk等字符编码中文字符、拼音、中式英语、拼音缩写、资源语言特征、其它与中文语言相关联的内容信息，而对于二进制可执行文件的分析则无能为力。
75.但是，上述实施方式是同时基于病毒名的核心行为和内容信息中的目标信息，来实现第二样本的筛选，从而可以利用基于病毒名的核心行为的判定方式来弥补针对二进制可执行文件的内容判定的不足，进而可以实现对几乎所有的文件类型的样本的分析检测。
76.进一步地，在一些实施方式中，步骤a3可以包括：
77.利用预先设置好的异常行为库对核心行为进行匹配，确定核心行为是否是异常行为；
78.利用预先设置好的敏感信息库对目标信息进行匹配，确定目标信息是否是敏感信息；
79.从第二样本中筛选得到存在异常行为和敏感信息的第三样本。
80.在该实施方式中，通过预先设置好的异常行为库和敏感信息库，分别对第二样本中的核心行为和目标信息进行判定，以从第二样本中筛选得到存在异常行为和敏感信息的第三样本，从而快速完成样本的筛选。
81.举例来说，病毒名为trojan[backdoor]/win32.small.ml，提取病毒名中的核心行为是backdoor，通过异常行为库对backdoor进行判定，判定的结果为属于异常行为，且该异常行为为“数据异常/资源异常/网络资源/域名”。病毒名为trojan[phishing]/pdf.agent.ndp，提取病毒名中的核心行为是 phishing，通过异常行为库对phishing进行判定，判定的结果为不属于异常行为。
[0082]
需要说明的是，异常行为库和敏感信息库均是基于历史数据构建的。其中，异常行为库是基于历史核心行为和异常行为的标签进行构建的，即该异常行为库是一个映射关系表，通过比对输入的核心行为，确定是否有异常行为的标签的输出结果。
[0083]
当然，对第二样本中的核心行为和目标信息进行判定的方式皆可以基于其它方式，例如机器学习模型的判定方式。其中，对第二样本中的核心行为进行判定的方式可以基于神经网络模型，即将核心行为作为输入以及将异常行为的标签作为输出，训练神经网络模型，得到核心行为判定模型，从而可以利用该异常行为判定模型来判断每一个核心行为是否为异常行为。然而，异常行为库的判定方式相比较机器学习模型的判定方式可以有效保证判断的准确率；而且由于异常行为较为分散，如果采用机器学习模型的判定方式容易造成模型的膨胀。其中，对第二样本中的目标信息进行判定的方式可以基于决策树模型，采用决策树模型进行目标信息的多模匹配，可以提高目标信息的匹配效率。
[0084]
针对步骤104：
[0085]
筛选得到的第三样本已经是相对于相关技术的方法进行进一步筛选的样本，此时的样本量已经可以满足动态分析或人工分析。但是由于样本分析方可能有自身重点关注的
异常行为(例如重点关注网络资源的异常，而对其它资源的异常并不关注)，也可能有自身重点关注的敏感信息(例如重点关注军工这一敏感信息，而对其它敏感信息并不关注)。因此，可以根据样本分析方的重点关注行为和重点关注信息来对第三样本进行进一步的筛选。
[0086]
在一些实施方式中，步骤104可以包括：
[0087]
步骤b1、获取重点关注行为；
[0088]
步骤b2、从第三样本存在的异常行为中筛选出重点关注行为，以筛选得到第四样本；其中，第四样本存在的异常行为为重点关注行为；
[0089]
步骤b3、从第四样本中筛选得到apt样本。
[0090]
进一步地，在一些实施方式中，步骤b3可以包括：
[0091]
步骤b31、获取重点关注信息；
[0092]
步骤b32、从第四样本存在的敏感信息中筛选出重点关注信息，以筛选得到第五样本；其中，第五样本存在的敏感信息为重点关注信息；
[0093]
步骤b33、从第五样本中筛选得到apt样本。
[0094]
可以理解的是，在另一些实施方式中，步骤104可以包括：
[0095]
步骤b1、获取重点关注信息；
[0096]
步骤b2、从第三样本存在的敏感信息中筛选出重点关注信息，以筛选得到第四样本；其中，第四样本存在的敏感信息为重点关注信息；
[0097]
步骤b3、从第四样本中筛选得到apt样本。
[0098]
进一步地，在另一些实施方式中，步骤b3可以包括：
[0099]
步骤b31、获取重点关注行为；
[0100]
步骤b32、从第四样本存在的异常行为中筛选出重点关注行为，以筛选得到第五样本；其中，第五样本存在的异常行为为重点关注行为；
[0101]
步骤b33、从第五样本中筛选得到apt样本。
[0102]
在上述四个实施方式中，根据样本分析方的重点关注行为和重点关注信息来对第三样本进行进一步的筛选，可以进一步减少需要被分析的样本量，从而降低动态分析或人工分析的工作量，提高了apt样本的发现效率。
[0103]
在一些实施方式中，步骤b33可以包括：
[0104]
对第五样本进行动态分析，以筛选得到apt样本。
[0105]
可以理解的是，动态分析即为利用沙箱或蜜罐的方式进行样本分析。当然，也可以对第五样本进行人工分析，来筛选得到apt样本。
[0106]
综上，通过对待测的第一样本进行静态分析，筛选得到存在病毒名的第二样本，如此实现了样本的第一次筛选；然后，基于第二样本的病毒名和内容信息，从第二样本中筛选得到存在异常行为和敏感信息的第三样本，如此实现了样本的第二次筛选；最后，从经过两次筛选得到的第三样本中，进行进一步的筛选，得到最终想要的apt样本。综上，上述方案通过对待测的第一样本进行逐级筛选，可以减少apt样本发现的样本量，如此可以提高apt 样本的发现效率。
[0107]
图2示出根据另一个实施例的apt样本的发现方法的流程图。参见图2，该方法包括：
[0108]
步骤200：利用静态向量提取技术对待测的第一样本进行分析，得到第一样本中存在的所有行为指令；
[0109]
步骤202：利用反汇编技术对所有行为指令进行分析，得到所有行为指令的指令参数；
[0110]
步骤204：从所有行为指令的指令参数中筛选得到病毒名，以筛选得到存在病毒名的第二样本；
[0111]
步骤206：提取第二样本的病毒名，得到病毒名中的核心行为；
[0112]
步骤208：基于预设的关键词，从第二样本的内容信息中，提取包含关键词的目标信息；
[0113]
步骤210：利用预先设置好的异常行为库对核心行为进行匹配，确定核心行为是否是异常行为；
[0114]
步骤212：利用预先设置好的敏感信息库对目标信息进行匹配，确定目标信息是否是敏感信息；
[0115]
步骤214：从第二样本中筛选得到存在异常行为和敏感信息的第三样本；
[0116]
步骤216：获取重点关注行为；
[0117]
步骤218：从第三样本存在的异常行为中筛选出重点关注行为，以筛选得到第四样本；
[0118]
步骤220：获取重点关注信息；
[0119]
步骤222：从第四样本存在的敏感信息中筛选出重点关注信息，以筛选得到第五样本；
[0120]
步骤224：对第五样本进行动态分析，以筛选得到apt样本。
[0121]
举例来说，假设第一样本有10000个，经过静态分析后筛选得到6000 个第二样本；然后对第二样本进行基于核心行为和文本内容的筛选，得到100 个第三样本；再对第三样本进行基于重点关注行为和重点关注信息的筛选，得到10个第五样本；最后对第五样本进行动态分析，得到3个apt样本。因此，上述发现方法可以大幅度提高apt样本的发现效率，尤其是基于核心行为和文本内容的筛选对样本筛选效率的提高最为明显。
[0122]
如图3、图4所示，本发明实施例提供了一种apt样本的发现装置。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言，如图3所示，为本发明实施例提供的一种apt样本的发现装置所在电子设备的一种硬件架构图，除了图3所示的处理器、内存、网络接口、以及非易失性存储器之外，实施例中装置所在的电子设备通常还可以包括其它硬件，如负责处理报文的转发芯片等等。以软件实现为例，如图4 所示，作为一个逻辑意义上的装置，是通过其所在电子设备的cpu将非易失性存储器中对应的计算机程序读取到内存中运行形成的。
[0123]
如图4所示，本实施例提供的一种apt样本的发现装置，包括：
[0124]
第一筛选模块400，用于对待测的第一样本进行静态分析，筛选得到存在病毒名的第二样本；
[0125]
第二筛选模块402，用于基于第二样本的病毒名和内容信息，从第二样本中筛选得到存在异常行为和敏感信息的第三样本；
[0126]
第三筛选模块404，用于从第三样本中筛选得到apt样本。
[0127]
在本发明实施例中，第一筛选模块400可用于执行上述方法实施例中的步骤100，第二筛选模块402可用于执行上述方法实施例中的步骤102，第三筛选模块404可用于执行上述方法实施例中的步骤104。
[0128]
在本发明的一个实施例中，第一筛选模块400，用于执行如下操作：
[0129]
利用静态向量提取技术对待测的第一样本进行分析，得到第一样本中存在的所有行为指令；
[0130]
利用反汇编技术对所有行为指令进行分析，得到所有行为指令的指令参数；
[0131]
从所有行为指令的指令参数中筛选得到病毒名，以筛选得到存在病毒名的第二样本。
[0132]
在本发明的一个实施例中，第二筛选模块402，用于执行如下操作：
[0133]
提取第二样本的病毒名，得到病毒名中的核心行为；
[0134]
基于预设的关键词，从第二样本的内容信息中，提取包含关键词的目标信息；
[0135]
基于核心行为和目标信息，从第二样本中筛选得到存在异常行为和敏感信息的第三样本。
[0136]
在本发明的一个实施例中，第二筛选模块402在执行基于核心行为和目标信息，从第二样本中筛选得到存在异常行为和敏感信息的第三样本时，用于执行如下操作：
[0137]
利用预先设置好的异常行为库对核心行为进行匹配，确定核心行为是否是异常行为；
[0138]
利用预先设置好的敏感信息库对目标信息进行匹配，确定目标信息是否是敏感信息；
[0139]
从第二样本中筛选得到存在异常行为和敏感信息的第三样本。
[0140]
在本发明的一个实施例中，第三筛选模块404，用于执行如下操作：
[0141]
获取重点关注行为；
[0142]
从第三样本存在的异常行为中筛选出重点关注行为，以筛选得到第四样本；其中，第四样本存在的异常行为为重点关注行为；
[0143]
从第四样本中筛选得到apt样本。
[0144]
在本发明的一个实施例中，第三筛选模块404在执行从第四样本中筛选得到apt样本时，用于执行如下操作：
[0145]
获取重点关注信息；
[0146]
从第四样本存在的敏感信息中筛选出重点关注信息，以筛选得到第五样本；其中，第五样本存在的敏感信息为重点关注信息；
[0147]
从第五样本中筛选得到apt样本。
[0148]
在本发明的一个实施例中，第三筛选模块404在执行从第五样本中筛选得到apt样本时，用于执行如下操作：
[0149]
对第五样本进行动态分析，以筛选得到apt样本。
[0150]
可以理解的是，本发明实施例示意的结构并不构成对一种apt样本的发现装置的具体限定。在本发明的另一些实施例中，一种apt样本的发现装置可以包括比图示更多或者更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
[0151]
上述装置内的各模块之间的信息交互、执行过程等内容，由于与本发明方法实施例基于同一构思，具体内容可参见本发明方法实施例中的叙述，此处不再赘述。
[0152]
本发明实施例还提供了一种电子设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器执行所述计算机程序时，实现本发明任一实施例中的一种apt样本的发现方法。
[0153]
本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序在被处理器执行时，使所述处理器执行本发明任一实施例中的一种apt样本的发现方法。
[0154]
具体地，可以提供配有存储介质的系统或者装置，在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码，且使该系统或者装置的计算机(或cpu或mpu)读出并执行存储在存储介质中的程序代码。
[0155]
在这种情况下，从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能，因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
[0156]
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如 cd-rom、cd-r、cd-rw、dvd-rom、dvd-ram、dvd-rw、dvd+rw)、磁带、非易失性存储卡和rom。可选择地，可以由通信网络从服务器计算机上下载程序代码。
[0157]
此外，应该清楚的是，不仅可以通过执行计算机所读出的程序代码，而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作，从而实现上述实施例中任意一项实施例的功能。
[0158]
此外，可以理解的是，将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中，随后基于程序代码的指令使安装在扩展板或者扩展模块上的cpu 等来执行部分和全部实际操作，从而实现上述实施例中任一实施例的功能。
[0159]
综上所述，本发明提供了一种apt样本的发现方法、装置、电子设备及存储介质，本发明至少具有如下有益效果：
[0160]
1、在本发明的一个实施例中，通过对待测的第一样本进行静态分析，筛选得到存在病毒名的第二样本，如此实现了样本的第一次筛选；然后，基于第二样本的病毒名和内容信息，从第二样本中筛选得到存在异常行为和敏感信息的第三样本，如此实现了样本的第二次筛选；最后，从经过两次筛选得到的第三样本中，进行进一步的筛选，得到最终想要的apt样本。综上，上述方案通过对待测的第一样本进行逐级筛选，可以减少apt样本发现的样本量，如此可以提高apt样本的发现效率。
[0161]
2、在本发明的一个实施例中，不仅根据提取病毒名中的核心行为来进行异常行为的判定，还根据内容信息提取的结果进行敏感信息的匹配，如此可以减少需要被分析的样本量，从而提高了apt样本的发现效率。
[0162]
3、在本发明的一个实施例中，通过预先设置好的异常行为库和敏感信息库，分别对第二样本中的核心行为和目标信息进行判定，以从第二样本中筛选得到存在异常行为和敏感信息的第三样本，从而快速完成样本的筛选。
[0163]
4、在本发明的一个实施例中，根据样本分析方的重点关注行为和重点关注信息来对第三样本进行进一步的筛选，可以进一步减少需要被分析的样本量，从而降低动态分析
或人工分析的工作量，提高了apt样本的发现效率。
[0164]
需要说明的是，在本文中，诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其它变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其它要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
…”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
[0165]
本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储在计算机可读取的存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：rom、ram、磁碟或者光盘等各种可以存储程序代码的介质中。
[0166]
最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。