一种恶意软件检测方法及相关设备技术

本发明专利技术实施例公开了一种恶意软件检测方法及相关设备，所述方法包括：获取一个或者多个沙盒中每个沙盒的第一配置信息和待测软件的第二配置信息，并根据每个沙盒的第一配置信息和第二配置信息在一个或者多个沙盒中确定出与待测软件匹配的目标沙盒，进而调用目标沙盒对待测软件进行符号执行分析，以得到待测软件各功能各自对应的等价执行路径，并调用目标沙盒执行目标等价执行路径，并记录待测软件执行目标等价执行路径对应的执行轨迹以及调用的系统资源，进而根据执行轨迹和调用的系统资源确定待测软件是否存在恶意行为，当待测软件存在恶意行为时，确定待测软件为恶意软件，并输出待测软件对应的恶意行为，有利于提高恶意软件检测的细粒度。

【技术实现步骤摘要】
一种恶意软件检测方法及相关设备
本专利技术涉及计算机
，尤其涉及一种恶意软件检测方法及相关设备。
技术介绍
随着计算机技术的飞速发展，各种网站、移动终端以及移动终端上app服务的广泛应用，服务器系统的安全性问题越来越受到重视，各种恶意软件层出不穷。目前市面上的恶意软件检测主要分为动态和静态两种：静态检测需要事先收集已知恶意软件的特征信息，对于最新出现的恶意软件和已有恶意软件的变种检测效果并不强；动态检测则主要在沙盒环境中运行样本并收集软件的行为特征从而判断是否会造成危害，而目前恶意软件大多具备对沙盒环境的检测能力，沙盒环境和实际生产环境还有着比较大的区别导致恶意软件不会触发恶意行为，对恶意软件行为检测能力过弱，细粒度不足。
技术实现思路
本专利技术实施例提供了一种恶意软件检测方法及相关设备，可以分析出恶意软件存在的恶意行为，有利于提高恶意软件检测的细粒度。第一方面，本专利技术实施例提供了一种恶意软件检测方法，该方法包括：获取所述一个或者多个沙盒中每个沙盒的第一配置信息和待测软件的第二配置信息，并根据所述每个沙盒的第一配置信息和所述第二配置信息在所述一个或者多个沙盒中确定出与所述待测本文档来自技高网...

【技术保护点】
1.一种恶意软件检测方法，所述方法应用于预先部署有一个或者多个沙盒的服务器，其特征在于，包括：获取所述一个或者多个沙盒中每个沙盒的第一配置信息和待测软件的第二配置信息，并根据所述每个沙盒的第一配置信息和所述第二配置信息在所述一个或者多个沙盒中确定出与所述待测软件匹配的目标沙盒；调用所述目标沙盒对所述待测软件进行符号执行分析，以得到所述待测软件各功能各自对应的等价执行路径；调用所述目标沙盒执行目标等价执行路径，并记录所述待测软件执行所述目标等价执行路径对应的执行轨迹以及调用的系统资源，所述目标等价执行路径为所述待测软件各功能各自对应的等价执行路径中的一个或者多个；根据所述执行轨迹和所述调用的系统...

【技术特征摘要】
1.一种恶意软件检测方法，所述方法应用于预先部署有一个或者多个沙盒的服务器，其特征在于，包括：获取所述一个或者多个沙盒中每个沙盒的第一配置信息和待测软件的第二配置信息，并根据所述每个沙盒的第一配置信息和所述第二配置信息在所述一个或者多个沙盒中确定出与所述待测软件匹配的目标沙盒；调用所述目标沙盒对所述待测软件进行符号执行分析，以得到所述待测软件各功能各自对应的等价执行路径；调用所述目标沙盒执行目标等价执行路径，并记录所述待测软件执行所述目标等价执行路径对应的执行轨迹以及调用的系统资源，所述目标等价执行路径为所述待测软件各功能各自对应的等价执行路径中的一个或者多个；根据所述执行轨迹和所述调用的系统资源确定所述待测软件是否存在恶意行为；当所述待测软件存在所述恶意行为时，确定所述待测软件为恶意软件，并输出所述待测软件对应的所述恶意行为。2.根据权利要求1所述的方法，其特征在于，所述获取所述一个或者多个沙盒中每个沙盒的第一配置信息和待测软件的第二配置信息之前，所述方法还包括：对所述一个或者多个沙盒中每个沙盒可调用的系统接口进行汇编指令级别的转译和分片处理，得到转译和分片处理后的目标系统接口；将所述每个沙盒对应的所述目标系统接口和所述系统接口关联存储至该沙盒的系统接口库中。3.根据权利要求2所述的方法，其特征在于，所述调用所述目标沙盒对所述待测软件进行符号执行分析，以得到所述待测软件的功能的等价执行路径，包括：在调用所述目标沙盒对所述待测软件进行符号执行分析时，检测执行所述符号分析得到的功能的当前执行路径是否执行至调用所述目标沙盒的系统接口库中的任一所述系统接口；若执行所述符号分析得到的功能的当前执行路径执行至所述任一系统接口，则结束所述功能的当前执行路径，并生成所述功能的当前执行路径对应的等价执行路径。4.根据权利要求1所述的方法，其特征在于，所述调用所述目标沙盒动态执行目标等价执行路径，包括：将所述目标等价执行路径对应的输入值数组输入所述目标沙盒的样本程序中，以得到所述目标等价执行路径的执行流；根据所述目标沙盒中预设的跳转指令对所述执行流进行切片处理，得到一个或者多个执行流片段；对切片处理后得到的所述一个或者多个执行流片段执行各自对应的预设操作。5.根据权利要求4所述的方法，其特征在于，所述根据所述目标沙盒当前系统预设的跳转指令对所述执行流进行切片处理，得到一个或者多个执行流片段之后，所述方法还包括：分别在所述一个或者多个执行流片段中的各个执行流片段中引入二进制插桩；其中，所述记录所述待测软件执行所述等价执行路径对应的执行轨迹以及调用的系统资源，包括：调用所述二进制插桩记录对所述一个或者多个执行流片段执行各自对应的所述预设操作对应的执行轨迹，以及执行各自对应的所述预设操作所调用的系统资源。6.根据权利要...

【专利技术属性】
技术研发人员：郑彪，
申请(专利权)人：平安科技深圳有限公司，
类型：发明
国别省市：广东,44