一种恶意样本检测方法及装置制造方法及图纸

本发明专利技术公开了一种恶意样本检测方法，该方法包括以下步骤：接收对目标样本的检测请求；根据目标样本的类型，确定目标应用程序；基于目标应用程序的多个版本和多个操作系统，构建多个运行环境；根据目标样本在各个运行环境中的运行行为，确定目标样本是否为恶意样本。应用本发明专利技术实施例所提供的方法，提高了恶意样本检测准确性，而且无需依赖特定攻击知识，如特定样本或特定漏洞攻击代码的特征，具有较强的通用性。本发明专利技术还公开了一种恶意样本检测装置，具有相应技术效果。

A malicious sample detection method and device

The invention discloses a malicious sample detection method, the method includes the following steps: receiving the target detection sample request; according to the type of target sample, determine the target application; multiple versions of the target application and multiple operating system based on the construction of multiple operation environment; according to the operation behavior of the target sample in each operating environment, determine the target samples are malicious samples. The application method provided by the embodiment of the invention, improve the accuracy of the malicious samples, and without relying on specific attack knowledge, such as the specific characteristics of samples or specific exploit code, has a strong versatility. The invention also discloses a malicious sample detection device, which has the corresponding technical effect.

【技术实现步骤摘要】
一种恶意样本检测方法及装置
本专利技术涉及信息安全
，特别是涉及一种恶意样本检测方法及装置。
技术介绍
随着信息技术、互联网技术的快速发展，信息系统的规模和复杂度逐渐增加，不可避免的会存在漏洞、缺陷，使得网络空间安全形势严峻，出于对政治、商业和经济利益获取的目的，定向攻击、APT(AdvancedPersistentThreat，高级持续威胁)攻击的事件频发，对国家、企业、组织和个人的利益构成了严重威胁。在这类定向攻击、APT攻击等高级威胁中，典型特征是以挂马样本作为初始攻击向量，比如以邮件附件、网址URL等形式向攻击目标发送挂马样本，诱骗攻击目标在其计算机系统上打开挂马样本，从而控制目标计算机系统。针对挂马样本等恶意样本的检测，目前常用的一种方法是，通过在特定的一个沙箱环境中或者攻击目标的真实计算机系统中监控应用程序的运行情况，判断应用程序是否发生异常，从而判定是否受到恶意样本攻击。这种方法需要建立在对特定攻击知识，如对特定应用程序、特定漏洞攻击模式十分清楚的前提下，缺乏对新的漏洞攻击模式的自适应性。而且是在单一的运行环境中分析样本的行为异常，单一的运行环境在让恶意样本触发应用程序漏洞、释放攻击行为方面具有很大局限性，而如挂马样本等恶意样本的这种严重依赖运行环境来释放恶意行为的攻击方式，如果其无法在单一的运行环境中触发漏洞，则将无法被检测到，检测准确性较低，通用性较差。
技术实现思路
本专利技术的目的是提供一种恶意样本检测方法及装置，以提高恶意样本检测准确性，具有较强的通用性。为解决上述技术问题，本专利技术提供如下技术方案：一种恶意样本检测方法，包括：接收对目标样本的检测请求；根据所述目标样本的类型，确定目标应用程序；基于所述目标应用程序的多个版本和多个操作系统，构建多个运行环境；根据所述目标样本在各个运行环境中的运行行为，确定所述目标样本是否为恶意样本。在本专利技术的一种具体实施方式中，所述根据所述目标样本在各个运行环境中的运行行为，确定所述目标样本是否为恶意样本，包括：根据所述目标样本在各个运行环境中的运行行为，确定所述目标样本是否存在行为差异；如果是，则确定所述目标样本为恶意样本。在本专利技术的一种具体实施方式中，所述根据所述目标样本在各个运行环境中的运行行为，确定所述目标样本是否存在行为差异，包括：根据所述目标样本在各个运行环境中的运行行为，确定各运行行为包含的敏感信息，所述敏感信息包括设定的敏感操作、各个敏感操作出现的时序及各个敏感操作对应的操作对象；根据各运行行为包含的敏感信息，确定所述目标样本是否存在行为差异。在本专利技术的一种具体实施方式中，所述敏感操作包括文件创建、内存属性修改、内存映射、内存节创建、进程创建、网络访问中的至少一种。在本专利技术的一种具体实施方式中，所述根据所述目标样本在各个运行环境中的运行行为，确定所述目标样本是否为恶意样本，包括：根据所述目标样本在各个运行环境中的运行行为，确定各运行行为中是否包含设定的高危操作；如果所述目标样本在至少一个运行环境中的运行行为包含所述高危操作，则确定所述目标样本为恶意样本。一种恶意样本检测装置，包括：检测请求接收模块，用于接收对目标样本的检测请求；应用程序确定模块，用于根据所述目标样本的类型，确定目标应用程序；运行环境构建模块，用于基于所述目标应用程序的多个版本和多个操作系统，构建多个运行环境；恶意样本确定模块，用于根据所述目标样本在各个运行环境中的运行行为，确定所述目标样本是否为恶意样本。在本专利技术的一种具体实施方式中，所述恶意样本确定模块，包括：行为差异确定子模块，用于根据所述目标样本在各个运行环境中的运行行为，确定所述目标样本是否存在行为差异，如果是，则触发恶意样本确定子模块；所述恶意样本确定子模块，用于确定所述目标样本为恶意样本。在本专利技术的一种具体实施方式中，所述行为差异确定子模块，具体用于：根据所述目标样本在各个运行环境中的运行行为，确定各运行行为包含的敏感信息，所述敏感信息包括设定的敏感操作、各个敏感操作出现的时序及各个敏感操作对应的操作对象；根据各运行行为包含的敏感信息，确定所述目标样本是否存在行为差异。在本专利技术的一种具体实施方式中，所述敏感操作包括文件创建、内存属性修改、内存映射、内存节创建、进程创建、网络访问中的至少一种。在本专利技术的一种具体实施方式中，所述恶意样本确定模块，具体用于：根据所述目标样本在各个运行环境中的运行行为，确定各运行行为中是否包含设定的高危操作；如果所述目标样本在至少一个运行环境中的运行行为包含所述高危操作，则确定所述目标样本为恶意样本。应用本专利技术实施例所提供的技术方案，在接收到对目标样本的检测请求时，可以根据目标样本的类型，确定目标应用程序，基于目标应用程序的多个版本和多个操作系统，可以构建多个运行环境，根据目标样本在各个运行环境中的运行行为，可以确定目标样本是否为恶意样本。目标应用程序的不同版本之间、不同操作系统之间均存在差异，基于目标应用程序的不同版本和不同操作系统构建的多个运行环境的安全性也存在显著差异，目标样本在具有差异性的运行环境中运行所表现出的成功触发漏洞的行为、实施有效攻击的可能性和触发漏洞失败的行为等具有差异性，根据目标样本在各个运行环境中的运行行为，确定目标样本是否为恶意样本，提高了恶意样本检测准确性，而且无需依赖特定攻击知识，如特定样本或特定漏洞攻击代码的特征，具有较强的通用性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例中恶意样本检测方法的一种实施流程图；图2为本专利技术实施例中恶意样本检测方法的另一种实施流程图；图3为本专利技术实施例中一种恶意样本检测装置的结构示意图。具体实施方式为了使本
的人员更好地理解本专利技术方案，下面结合附图和具体实施方式对本专利技术作进一步的详细说明。显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。本专利技术的核心是提供一种恶意样本检测方法，该方法可以应用于检测平台。检测平台在接收到对目标样本的检测请求时，根据目标样本的类型，确定目标应用程序，基于目标应用程序的多个版本和多个操作系统，构建多个运行环境，根据目标样本在各个运行环境中的运行行为，确定目标样本是否为恶意样本。如挂马样本等恶意样本对运行环境有较强的依赖性，其攻击成功与否依赖于特定的环境配置，尤其是应用程序版本和操作系统版本。本专利技术实施例根据目标样本在各个运行环境中的运行行为，确定目标样本是否为恶意样本，提高了对恶意样本的检测准确性，尤其对于攻击代码未知或者攻击代码变形、加密的挂马样本的检测效果更佳。参见图1所示，为本专利技术实施例所提供的一种恶意样本检测方法的实施流程图，该方法可以包括以下步骤：S110：接收对目标样本的检测请求。在实际应用中，企事业单位的信息系统多是由多个终端构成，根据对信息系统安全的实际需求，在终端运行过程中，如果需要对某个样本进本文档来自技高网...

【技术保护点】
一种恶意样本检测方法，其特征在于，包括：接收对目标样本的检测请求；根据所述目标样本的类型，确定目标应用程序；基于所述目标应用程序的多个版本和多个操作系统，构建多个运行环境；根据所述目标样本在各个运行环境中的运行行为，确定所述目标样本是否为恶意样本。

【技术特征摘要】
1.一种恶意样本检测方法，其特征在于，包括：接收对目标样本的检测请求；根据所述目标样本的类型，确定目标应用程序；基于所述目标应用程序的多个版本和多个操作系统，构建多个运行环境；根据所述目标样本在各个运行环境中的运行行为，确定所述目标样本是否为恶意样本。2.根据权利要求1所述的恶意样本检测方法，其特征在于，所述根据所述目标样本在各个运行环境中的运行行为，确定所述目标样本是否为恶意样本，包括：根据所述目标样本在各个运行环境中的运行行为，确定所述目标样本是否存在行为差异；如果是，则确定所述目标样本为恶意样本。3.根据权利要求2所述的恶意样本检测方法，其特征在于，所述根据所述目标样本在各个运行环境中的运行行为，确定所述目标样本是否存在行为差异，包括：根据所述目标样本在各个运行环境中的运行行为，确定各运行行为包含的敏感信息，所述敏感信息包括设定的敏感操作、各个敏感操作出现的时序及各个敏感操作对应的操作对象；根据各运行行为包含的敏感信息，确定所述目标样本是否存在行为差异。4.根据权利要求3所述的恶意样本检测方法，其特征在于，所述敏感操作包括文件创建、内存属性修改、内存映射、内存节创建、进程创建、网络访问中的至少一种。5.根据权利要求1所述的恶意样本检测方法，其特征在于，所述根据所述目标样本在各个运行环境中的运行行为，确定所述目标样本是否为恶意样本，包括：根据所述目标样本在各个运行环境中的运行行为，确定各运行行为中是否包含设定的高危操作；如果所述目标样本在至少一个运行环境中的运行行为包含所述高危操作，则确定所述目标样本为恶意样本。...

【专利技术属性】
技术研发人员：梁玉，李凯，古亮，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：广东,44