【技术实现步骤摘要】
恶意样本检测方法、装置、系统及存储介质
本专利技术涉及网络安全
,尤其涉及一种恶意样本检测方法、装置、系统及存储介质。
技术介绍
互联网时代的到来为人们的生活、学习和工作带来了极大的便利,但同时也伴随着越来越重要的网络安全问题,越来越多的恶意软件在网络上肆意横行,为人们的生活、学习和工作带来了很大的隐患,各大安全厂商都在寻求更好的恶意文件检测方法。现有技术中的恶意样本动态行为分析,是将恶意样本运行于真实的计算机运行环境,通过分析日志信息来进行恶意样本判别的一种分析方法。但是当前绝大多数恶意软件、病毒或后门都具有时间维度潜伏特性,即感染宿主机器之后不会立即进行恶意操作,而是先潜伏起来运行一段时间后,才会执行恶意行为,动态行为分析的分析时间是固定的,而且相对较短,这样就很难捕获恶意样本的恶意行为,除非消耗大量的无用等待时间,以降低效率的方式增加分析正确率,即使这样,一些有长期潜伏行为的恶意样本,因为不可能无限期等待下去,是无法获取其恶意行为的。
技术实现思路
本专利技术的主要目的在于提供...
【技术保护点】
1.一种恶意样本检测方法,其特征在于,所述恶意样本检测方法应用于虚拟机,所述恶意样本检测方法包括以下步骤:/n启动所述虚拟机的时间变速模式,获取被测样本在所述虚拟机的时间变速模式下的记录日志;/n分析在所述时间变速模式下的记录日志是否存在恶意行为;/n若所述记录日志存在恶意行为,则根据所述时间变速模式的类型判断所述被测样本的时间维度潜伏行为类型。/n
【技术特征摘要】
1.一种恶意样本检测方法,其特征在于,所述恶意样本检测方法应用于虚拟机,所述恶意样本检测方法包括以下步骤:
启动所述虚拟机的时间变速模式,获取被测样本在所述虚拟机的时间变速模式下的记录日志;
分析在所述时间变速模式下的记录日志是否存在恶意行为;
若所述记录日志存在恶意行为,则根据所述时间变速模式的类型判断所述被测样本的时间维度潜伏行为类型。
2.如权利要求1所述的恶意样本检测方法,其特征在于,所述时间变速模式包括线性变速模式,所述启动所述虚拟机的时间变速模式,获取被测样本在所述虚拟机的时间变速模式下的记录日志的步骤之前包括:
设置线性变速模式的第一起始时刻、第一结束时刻和线性变速倍数;
所述启动所述虚拟机的时间变速模式,获取被测样本在所述虚拟机的时间变速模式下的记录日志的步骤包括:
在所述第一起始时刻启动所述线性变速模式;
以预设正常速率的线性变速倍数的运行速率运行所述虚拟机至所述第一结束时刻;
获取所述被测样本在所述第一起始时刻与所述第一结束时刻之间的记录日志,作为被测样本在所述线性变速模式下的记录日志。
3.如权利要求1所述的恶意样本检测方法,其特征在于,所述时间变速模式包括跳变变速模式,所述启动所述虚拟机的时间变速模式,获取被测样本在所述虚拟机的时间变速模式下的记录日志的步骤之前包括:
设置跳变变速模式的第二起始时刻、第二结束时刻、跳过时间和第三结束时刻;
所述启动所述虚拟机的时间变速模式,获取被测样本在所述虚拟机的时间变速模式下的记录日志的步骤包括:
在所述第二起始时刻启动所述跳变变速模式;
控制所述虚拟机跳过所述跳过时间运行至所述第二结束时刻;
在所述第二结束时刻,控制所述虚拟机以所述预设正常速率运行至第三结束时刻;
获取所述被测样本在所述第二结束时刻和所述第三结束时刻之间的记录日志,作为被测样本在所述跳变变速模式下的记录日志。
4.如权利要求2或3所述的恶意样本检测方法,其特征在于,所述启动所述虚拟机的时间变速模式,获取被测样本在所述虚拟机的时间变速模式下的记录日志的步骤之前还包括:
以所述预设正常速率运行所述虚拟机,获取所述被测样本的记录日志;
分析在所述预设正常速率下的记录日志是否存在恶意行为;
若在所述预设正常速率下的记录日志存在恶意行...
【专利技术属性】
技术研发人员:周海生,马苏安,郝林成,徐洲,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。