样本的安全测试方法、装置和设备制造方法及图纸

本发明专利技术公开了一种样本的安全测试方法、装置和设备。其中，该方法包括：获取预先构造的蜜罐系统，待测试的样本在蜜罐系统确定的运行环境中运行；触发蜜罐系统向正在运行样本的运行环境发送测试数据；如果监控到样本拦截测试数据，并对测试数据进行恶意操作，则确定样本为存在安全漏洞的样本，其中，恶意操作包括对测试数据执行木马操作的行为。本发明专利技术解决了由于现有技术中的病毒不断的升级和变种导致病毒不能被及时发现的技术问题。

Sample safety testing methods, devices and equipment

The invention discloses a security test method, device and equipment for a sample. Among them, the method includes: obtaining the honeypot system pre constructed, tested samples run in the operating environment to determine the honeypot system; honeypot system operating environment to trigger sending test data is running the sample; if the monitoring samples to intercept test data and the test data of malicious operation, determining samples for security loopholes in the sample, which, including the implementation of malicious Trojan operation on test data behavior. The invention solves the technical problem that the virus can not be found in time due to the continuous upgrading of the virus in the existing technology and the variety of the virus.

【技术实现步骤摘要】
样本的安全测试方法、装置和设备
本专利技术涉及软件安全测试领域，具体而言，涉及一种样本的安全测试方法、装置和设备。
技术介绍
在移动互联网高速发展的今天，移动设备给人们的生活带来的诸多便利与变革，但也时刻面临着不同程度的安全风险，其中病毒木马是最为普遍且有效的攻击方式之一。近两年移动端病毒木马数量持续上增，经过最新统计，每日新病毒多达1～2w，迫切的需要一款移动端的动态分析引擎。以目前比较流行的病毒文件“木马”程序作为示例，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种主机的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种主机。木马病毒的产生严重危害着现代网络的安全运行,如占用系统资源，降低电脑效能，危害本机信息安全(盗取QQ帐号、游戏帐号甚至银行帐号)，将本机作为工具来攻击其他设备等。木马程序具有如下特性：a、隐蔽性，如其它所有的病毒一样，木马也是一种病毒，它必需隐藏在系统之中。很多人对木马和远程控制软件b、欺骗性，木马程序要达到其长期隐蔽的目的，就必需借助系统中已有的文件，以防被发现，它经常使用的是常见的文件名或扩展名，如“dll\win\sys\exp本文档来自技高网...

【技术保护点】
一种样本的安全测试设备，其特征在于，包括：模拟器，用于仿真蜜罐系统所运行的运行环境；触发组件，用于触发待测试的样本在所述蜜罐系统确定的运行环境中运行；测试蜜罐，用于模拟向正在运行所述样本的运行环境发送测试数据，如果监控到所述样本拦截所述测试数据，并对所述测试数据进行恶意操作，则确定所述样本为存在安全漏洞的样本，其中，所述恶意操作包括对所述测试数据执行木马操作的行为。

【技术特征摘要】
1.一种样本的安全测试设备，其特征在于，包括：模拟器，用于仿真蜜罐系统所运行的运行环境；触发组件，用于触发待测试的样本在所述蜜罐系统确定的运行环境中运行；测试蜜罐，用于模拟向正在运行所述样本的运行环境发送测试数据，如果监控到所述样本拦截所述测试数据，并对所述测试数据进行恶意操作，则确定所述样本为存在安全漏洞的样本，其中，所述恶意操作包括对所述测试数据执行木马操作的行为。2.根据权利要求1所述的安全测试设备，其特征在于，所述模拟器运行在虚拟机或真机中。3.根据权利要求1或2所述的安全测试设备，其特征在于，如果监控到所述样本拦截所述测试数据，并读取发送所述测试数据的发送对象，则确定所述恶意操作为对所述测试数据执行了远程控制的行为；如果监控到所述样本拦截所述测试数据，并读取所述测试数据中的关键词，则确定所述恶意操作为对所述测试数据执行了窃取数据的行为；如果监控到所述样本拦截所述测试数据，并将所述测试数据或所述测试数据中的关键词按照预设的渠道转发至目标地址，则确定所述恶意操作为对所述测试数据执行了信息泄露的行为；如果监控到所述样本拦截所述测试数据，并对所述测试数据和/或运行所述测试数据的运行环境的参数按照预设条件进行更改或删除，则确定所述恶意操作为对所述测试数据执行了攻击行为。4.根据权利要求3所述的安全测试设备，其特征在于，所述测试数据包括如下任意一种或多种类型的模拟的蜜罐数据：模拟的短信数据、彩信信息、即时通信数据和网络信息。5.一种样本识别方法，其特征在于，待识别样本所在的计算设备称为样本计算设备，所述样本计算设备包括第一单元，该第一单元用于处理测试数据，该方法包括：确定待识别样本在所述计算设备中运行而得到的样本进程；向所述样本计算设备的第一单元发送测试数据；如果监控到所述样本进程拦截所述测试数据，并对所述测试数据进行预定类型操作，则识别所述样本为存在安全漏洞的样本。6.根据权利要求5所述的方法，其特征在于，所述预定类型操作为恶意操作，其中，所述恶意操作包括对所述测试数据执行木马操作的行为。7.一种样本识别方法，其特征在于，待识别样本所在的计算设备称为样本计算设备，所述样本计算设备包括第一单元，该第一单元用于处理测试数据，该方法包括：确定待识别样本在所述计算设备中运行而得到的样本所在的目标进程；向所述样本计算设备的第一单元发送测试数据；如果监控到所述目标进程拦截所述测试数据，并对所述测试数据进行预定类型操作，则识别所述样本为存在安全漏洞的样本。8.一种样本测试方法，其特征在于，包括：如果待测试的样本在测试系统确定的运行环境中开始运行，向正在运行所述样本的运行环境发送测试数据，所述运行环境至少包括：模拟用户层的行为数据和模拟真机的属性特征；如果所述测试系统监控到所述样本拦截所述测试数据，且所述样本对所述测试数据进行预定类型操作，则确定所述样本为存在安全漏洞的样本。9.根据权利要求8所述的方法，其特征在于，所述预定类型操作为恶意操作，其中，所述恶意操作包括对所述测试数据执行木马操作的行为。10.一种样本的安全测试方法，其特征在于，包括：获取预先构造的蜜罐系统，待测试的样本在所述蜜罐系统确定的运行环境中运行；触发所述蜜罐系统向正在运行所述样本的运行环境发送测试数据；如果监控到所述样本拦截所述测试数据，并对所述测试数据进行恶意操作，则确定所述样本为存在安全漏洞的样本，其中，所述恶意操作包括对所述测试数据执行木马操作的行为。11.根据权利要求10所述的方法，其特征在于，如果监控到所述样本拦截所述测试数据，并对所述测试数据进行恶意操作，则确定所述样本为存在安全漏洞的样本，包括：如果监控到所述样本拦截所述测试数据，并读取发送所述测试数据的发送对象，则确定所述恶意操作为对所述测试数据执行了远程控制的行为；如果监控到所述样本拦截所述测试数据，并读取所述测试数据中的关键词，则确定所述恶意操作为对所述测试数据执行了窃取数据的行为；如果监控到所述样本拦截所述测试数据，并将所述测试数据或所述测试数据中的关键词按照预设的渠道转发至目标地址，则确定所述恶意操作为对所述测试数据执行了信息泄露的行为；如果监控到所述样本拦截所述测试数据，并对所述测试数据和/或运行所述测试数据的运行环境的参数按照预设条件进行更改或删除，则确定所述恶意操作为对所述测试数据执行了攻击行为。12.根据权利要...

【专利技术属性】
技术研发人员：汪海，肖天明，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY