本发明专利技术公开了一种漏洞识别方法、设备、存储介质及装置,相较于现有的基于分散存储在恶意样本日志报告的各个角落的恶意样本分析信息无法直接检测恶意样本实际利用的漏洞的方式,本发明专利技术中通过获取目标终端的待检测恶意样本,将所述待检测恶意样本拷贝至沙箱运行环境,所述沙箱运行环境的配置与所述目标终端的配置相同,在所述沙箱运行环境内对所述待检测恶意样本进行恶意代码检测,获得检测结果,根据所述检测结果生成输出日志,并对所述输出日志进行关键词检索,获得检索结果,根据所述检索结果生成所述待检测恶意样本的漏洞识别结果,克服了现有技术中无法直接检测恶意样本实际利用的漏洞的缺陷,从而能够优化漏洞识别过程,以满足客户需求。
【技术实现步骤摘要】
漏洞识别方法、设备、存储介质及装置
本专利技术涉及互联网
,尤其涉及一种漏洞识别方法、设备、存储介质及装置。
技术介绍
目前,恶意样本分析是将恶意样本的具体行为特征、属性、影响行业、范围、恶意样本所属的类型、恶意样本的家族、所属国家以及影响设备等恶意样本分析信息存储,生成恶意样本日志报告。现有技术中,是将上述恶意样本分析信息分散存储在恶意样本日志报告的各个角落。但是,在实际情况下,基于分散存储在恶意样本日志报告的各个角落的恶意样本分析信息无法直接检测恶意样本实际利用的漏洞。上述内容仅用于辅助理解本专利技术的技术方案,并不代表承认上述内容是现有技术。
技术实现思路
本专利技术的主要目的在于提供一种漏洞识别方法、设备、存储介质及装置,旨在解决现有技术中无法优化漏洞识别过程的技术问题。为实现上述目的,本专利技术提供一种漏洞识别方法,所述漏洞识别方法包括以下步骤:获取目标终端的待检测恶意样本,将所述待检测恶意样本拷贝至沙箱运行环境,所述沙箱运行环境的配置与所述目标终端的配置相同;在所述沙箱运行环境内对所述待检测恶意样本进行恶意代码检测,获得检测结果;根据所述检测结果生成输出日志,并对所述输出日志进行关键词检索,获得检索结果;根据所述检索结果生成所述待检测恶意样本的漏洞识别结果。可选地,所述根据所述检测结果生成输出日志,并对所述输出日志进行关键词检索,获得检索结果的步骤,具体包括:根据所述检测结果生成输出日志,并对所述输出日志进行数据清洗,获得待处理日志;根据预设分词模型对所述待处理日志进行分词,获得待检索日志字符;对所述待检索日志字符进行关键词检索,获得检索结果。可选地,所述根据所述检测结果生成输出日志,并对所述输出日志进行数据清洗,获得待处理日志的步骤,具体包括:根据所述检测结果生成输出日志,并对所述输出日志进行分类,获得字符类别;在预设分类表中查找所述字符类别对应的类别权重值,并根据所述类别权重值对所述字符类别进行排序,获得排序结果;根据所述排序结果对所述输出日志进行字符删除,获得待处理日志。可选地,所述根据预设分词模型对所述待处理日志进行分词,获得待检索日志字符的步骤,具体包括:根据预设分词模型确定所述待处理日志的当前字符以及分词属性,并根据所述分词属性生成所述当前字符的基础分值;对所述当前字符进行相关性分析,获得相关性指标值;根据所述当前字符以及所述待处理日志确定分词比值,并根据所述分词比值以及所述相关性指标值对所述基础分值进行调整,获得评价分值;根据所述评价分值对所述待处理日志进行筛选,获得待检索日志字符。可选地,所述对所述待检索日志字符进行关键词检索,获得检索结果的步骤,具体包括:对所述待检索日志字符进行遍历,将遍历到的待检索日志字符作为当前日志字符;判断所述当前日志字符是否为预设关键词,获得判断结果;在对所述待检索日志字符遍历结束后,根据所述判断结果生成检索结果。可选地,所述根据所述检索结果生成所述待检测恶意样本的漏洞识别结果的步骤之后,所述漏洞识别方法还包括:获取所述待检测恶意样本的当前样本信息;根据所述当前样本信息以及所述漏洞识别结果确定目标展示模板;基于所述目标展示模板对所述当前样本信息以及所述漏洞识别结果进行展示。可选地,所述根据所述当前样本信息以及所述漏洞识别结果确定目标展示模板的步骤,具体包括:对所述当前样本信息进行标识提取,获得样本标识,并根据所述样本标识确定所述待检测恶意样本的样本类别;对所述漏洞识别结果进行内容检测,获得所述漏洞识别结果的内容类别;根据所述样本类别以及所述内容类别确定目标展示模板。可选地,所述在所述沙箱运行环境内对所述待检测恶意样本进行恶意代码检测,获得检测结果的步骤,具体包括:在所述沙箱运行环境内对所述待检测恶意样本进行静态安全分析,获得静态安全分析结果;对所述待检测恶意样本进行动态安全分析,获得动态安全分析结果;根据所述静态安全分析结果以及所述动态安全分析结果生成检测结果。可选地,所述在所述沙箱运行环境内对所述待检测恶意样本进行静态安全分析,获得静态安全分析结果的步骤,具体包括:在所述沙箱运行环境内基于预设反病毒脚本对所述待检测恶意样本进行扫描分析,获得脚本分析结果;对所述待检测恶意样本进行特征提取,获得样本特征,并根据所述样本特征生成特征分析结果;基于预设反编译脚本对所述待检测恶意样本进行反编译,获得反编译代码,并对所述反编译代码进行结构分析,获得反编译分析结果;根据所述脚本分析结果、所述特征分析结果以及所述反编译分析结果确定静态安全分析结果。可选地,所述对所述待检测恶意样本进行特征提取,获得样本特征,并根据所述样本特征生成特征分析结果的步骤,具体包括:对所述待检测恶意样本进行特征提取,获得样本特征;根据所述样本特征对所述待检测恶意样本进行信息筛选,获得文件格式信息以及字符串信息;基于所述字符串信息确定所述待检测恶意样本的功能信息以及结构信息;根据所述文件格式信息、所述功能信息以及所述结构信息生成特征分析结果。可选地,所述对所述待检测恶意样本进行动态安全分析,获得动态安全分析结果的步骤,具体包括:在接收到动态安全分析指令时,控制所述待检测恶意样本运行,并获取当前系统信息以及所述待检测恶意样本的当前运行数据;根据所述当前系统信息以及前一时间的历史系统信息确定当前系统变化信息;根据所述当前运行数据对所述待检测恶意样本进行动态行为监控,获得行为监控数据;根据所述当前系统变化信息以及所述行为监控数据生成动态安全分析结果。可选地,所述根据所述检测结果生成输出日志,并对所述输出日志进行关键词检索,获得检索结果的步骤之后,所述漏洞识别方法还包括:根据所述待检测恶意样本以及所述检索结果生成漏洞数据表;将所述漏洞数据表存入预设漏洞数据库。此外,为实现上述目的,本专利技术还提出一种漏洞识别设备,所述漏洞识别设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的漏洞识别程序,所述漏洞识别程序配置为实现如上文所述的漏洞识别方法的步骤。此外,为实现上述目的,本专利技术还提出一种存储介质,所述存储介质上存储有漏洞识别程序,所述漏洞识别程序被处理器执行时实现如上文所述的漏洞识别方法的步骤。此外,为实现上述目的,本专利技术还提出一种漏洞识别装置,所述漏洞识别装置包括:获取模块、分析模块、检索模块和生成模块;所述获取模块,用于获取目标终端的待检测恶意样本,将所述待检测恶意样本拷贝至沙箱运行环境,所述沙箱运行环境的配置与所述目标终端的配置相同;所述分析模块,用于在所述沙箱运行环境内对所述待检测恶意样本进行恶意代码检测,获得检测结果;所述检索模块,用于根据所述本文档来自技高网...
【技术保护点】
1.一种漏洞识别方法,其特征在于,所述漏洞识别方法包括以下步骤:/n获取目标终端的待检测恶意样本,将所述待检测恶意样本拷贝至沙箱运行环境,所述沙箱运行环境的配置与所述目标终端的配置相同;/n在所述沙箱运行环境内对所述待检测恶意样本进行恶意代码检测,获得检测结果;/n根据所述检测结果生成输出日志,并对所述输出日志进行关键词检索,获得检索结果;/n根据所述检索结果生成所述待检测恶意样本的漏洞识别结果。/n
【技术特征摘要】
1.一种漏洞识别方法,其特征在于,所述漏洞识别方法包括以下步骤:
获取目标终端的待检测恶意样本,将所述待检测恶意样本拷贝至沙箱运行环境,所述沙箱运行环境的配置与所述目标终端的配置相同;
在所述沙箱运行环境内对所述待检测恶意样本进行恶意代码检测,获得检测结果;
根据所述检测结果生成输出日志,并对所述输出日志进行关键词检索,获得检索结果;
根据所述检索结果生成所述待检测恶意样本的漏洞识别结果。
2.如权利要求1所述的漏洞识别方法,其特征在于,所述根据所述检测结果生成输出日志,并对所述输出日志进行关键词检索,获得检索结果的步骤,具体包括:
根据所述检测结果生成输出日志,并对所述输出日志进行数据清洗,获得待处理日志;
根据预设分词模型对所述待处理日志进行分词,获得待检索日志字符;
对所述待检索日志字符进行关键词检索,获得检索结果。
3.如权利要求2所述的漏洞识别方法,其特征在于,所述根据所述检测结果生成输出日志,并对所述输出日志进行数据清洗,获得待处理日志的步骤,具体包括:
根据所述检测结果生成输出日志,并对所述输出日志进行分类,获得字符类别;
在预设分类表中查找所述字符类别对应的类别权重值,并根据所述类别权重值对所述字符类别进行排序,获得排序结果;
根据所述排序结果对所述输出日志进行字符删除,获得待处理日志。
4.如权利要求2所述的漏洞识别方法,其特征在于,所述根据预设分词模型对所述待处理日志进行分词,获得待检索日志字符的步骤,具体包括:
根据预设分词模型确定所述待处理日志的当前字符以及分词属性,并根据所述分词属性生成所述当前字符的基础分值;
对所述当前字符进行相关性分析,获得相关性指标值;
根据所述当前字符以及所述待处理日志确定分词比值,并根据所述分词比值以及所述相关性指标值对所述基础分值进行调整,获得评价分值;
根据所述评价分值对所述待处理日志进行筛选,获得待检索日志字符。
5.如权利要求2所述的漏洞识别方法,其特征在于,所述对所述待检索日志字符进行关键词检索,获得检索结果的步骤,具体包括:
...
【专利技术属性】
技术研发人员:马帅,
申请(专利权)人:北京鸿腾智能科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。