The invention discloses a malicious sample detection method, the method includes the following steps: receiving the target detection sample request; according to the type of target sample, determine the target application; multiple versions of the target application and multiple operating system based on the construction of multiple operation environment; according to the operation behavior of the target sample in each operating environment, determine the target samples are malicious samples. The application method provided by the embodiment of the invention, improve the accuracy of the malicious samples, and without relying on specific attack knowledge, such as the specific characteristics of samples or specific exploit code, has a strong versatility. The invention also discloses a malicious sample detection device, which has the corresponding technical effect.
【技术实现步骤摘要】
一种恶意样本检测方法及装置
本专利技术涉及信息安全
,特别是涉及一种恶意样本检测方法及装置。
技术介绍
随着信息技术、互联网技术的快速发展,信息系统的规模和复杂度逐渐增加,不可避免的会存在漏洞、缺陷,使得网络空间安全形势严峻,出于对政治、商业和经济利益获取的目的,定向攻击、APT(AdvancedPersistentThreat,高级持续威胁)攻击的事件频发,对国家、企业、组织和个人的利益构成了严重威胁。在这类定向攻击、APT攻击等高级威胁中,典型特征是以挂马样本作为初始攻击向量,比如以邮件附件、网址URL等形式向攻击目标发送挂马样本,诱骗攻击目标在其计算机系统上打开挂马样本,从而控制目标计算机系统。针对挂马样本等恶意样本的检测,目前常用的一种方法是,通过在特定的一个沙箱环境中或者攻击目标的真实计算机系统中监控应用程序的运行情况,判断应用程序是否发生异常,从而判定是否受到恶意样本攻击。这种方法需要建立在对特定攻击知识,如对特定应用程序、特定漏洞攻击模式十分清楚的前提下,缺乏对新的漏洞攻击模式的自适应性。而且是在单一的运行环境中分析样本的行为异常,单一的运行环境在让恶意样本触发应用程序漏洞、释放攻击行为方面具有很大局限性,而如挂马样本等恶意样本的这种严重依赖运行环境来释放恶意行为的攻击方式,如果其无法在单一的运行环境中触发漏洞,则将无法被检测到,检测准确性较低,通用性较差。
技术实现思路
本专利技术的目的是提供一种恶意样本检测方法及装置,以提高恶意样本检测准确性,具有较强的通用性。为解决上述技术问题,本专利技术提供如下技术方案:一种恶意样本检测方法,包括: ...
【技术保护点】
一种恶意样本检测方法,其特征在于,包括:接收对目标样本的检测请求;根据所述目标样本的类型,确定目标应用程序;基于所述目标应用程序的多个版本和多个操作系统,构建多个运行环境;根据所述目标样本在各个运行环境中的运行行为,确定所述目标样本是否为恶意样本。
【技术特征摘要】
1.一种恶意样本检测方法,其特征在于,包括:接收对目标样本的检测请求;根据所述目标样本的类型,确定目标应用程序;基于所述目标应用程序的多个版本和多个操作系统,构建多个运行环境;根据所述目标样本在各个运行环境中的运行行为,确定所述目标样本是否为恶意样本。2.根据权利要求1所述的恶意样本检测方法,其特征在于,所述根据所述目标样本在各个运行环境中的运行行为,确定所述目标样本是否为恶意样本,包括:根据所述目标样本在各个运行环境中的运行行为,确定所述目标样本是否存在行为差异;如果是,则确定所述目标样本为恶意样本。3.根据权利要求2所述的恶意样本检测方法,其特征在于,所述根据所述目标样本在各个运行环境中的运行行为,确定所述目标样本是否存在行为差异,包括:根据所述目标样本在各个运行环境中的运行行为,确定各运行行为包含的敏感信息,所述敏感信息包括设定的敏感操作、各个敏感操作出现的时序及各个敏感操作对应的操作对象;根据各运行行为包含的敏感信息,确定所述目标样本是否存在行为差异。4.根据权利要求3所述的恶意样本检测方法,其特征在于,所述敏感操作包括文件创建、内存属性修改、内存映射、内存节创建、进程创建、网络访问中的至少一种。5.根据权利要求1所述的恶意样本检测方法,其特征在于,所述根据所述目标样本在各个运行环境中的运行行为,确定所述目标样本是否为恶意样本,包括:根据所述目标样本在各个运行环境中的运行行为,确定各运行行为中是否包含设定的高危操作;如果所述目标样本在至少一个运行环境中的运行行为包含所述高危操作,则确定所述目标样本为恶意样本。...
【专利技术属性】
技术研发人员:梁玉,李凯,古亮,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。