本发明专利技术实施例公开了一种恶意样本的报文信息获取方法、装置、设备及存储介质,该方法包括:获取待测试的恶意样本,并通过离线沙箱运行所述恶意样本;当获取到所述恶意样本发出的网际协议访问请求时,获取所述网际协议访问请求的协议类型,并根据所述网际协议访问请求的协议类型,确定匹配的访问端口;通过所述访问端口,获取所述恶意样本发出的报文信息,实现了恶意样本的报文信息的自动获取,且通过离线沙箱运行恶意样本,保证了报文信息获取的安全性;同时通过访问端口对恶意样本的请求进行反馈,引导恶意样本发出报文信息,实现了对恶意样本的恶意行为信息的获取。
【技术实现步骤摘要】
恶意样本的报文信息获取方法、装置、设备及存储介质
本专利技术实施例涉及网络安全
,尤其涉及一种恶意样本的报文信息获取方法、装置、设备及存储介质。
技术介绍
随着互联网技术的不断发展,存在越来越多的恶意行为对计算机进行攻击并收集敏感信息,因此,对于触发上述恶意行为的恶意样本的研究和分析,对提升网络安全具有重要意义。恶意样本,即故意编制或设置的,对计算机网络或系统存在威胁或潜在威胁的程序代码;目前,对于恶意样本的信息获取,通常是基于沙箱进行的,同时为了避免恶意样本运行过程中,对网络进行攻击,沙箱需要进行隔离处理;然而,沙箱采取隔离后,恶意样本的互联网访问行为被限制,无法获取较为完整的样本数据,捕捉不到相关的网络行为和数据,导致采集的样本动态行为数据不完整,无法实现对恶意样本的准确分析。
技术实现思路
本专利技术实施例提供了一种恶意样本的报文信息获取方法、装置、设备及存储介质,以实现对恶意样本的报文信息的自动获取。第一方面,本专利技术实施例提供了一种恶意样本的报文信息获取方法,包括:获取待测试的恶意样本,并通过离线沙箱运行所述恶意样本;当获取到所述恶意样本发出的网际协议访问请求时,获取所述网际协议访问请求的协议类型,并根据所述网际协议访问请求的协议类型,确定匹配的访问端口;通过所述访问端口,获取所述恶意样本发出的报文信息。第二方面,本专利技术实施例提供了一种恶意样本的报文信息获取装置,包括:样本获取模块,用于获取待测试的恶意样本,并通过离线沙箱运行所述恶意样本;端口确定模块,用于当获取到所述恶意样本发出的网际协议访问请求时,获取所述网际协议访问请求的协议类型,并根据所述网际协议访问请求的协议类型,确定匹配的访问端口;报文信息获取模块,用于通过所述访问端口,获取所述恶意样本发出的报文信息。第三方面,本专利技术实施例提供了一种电子设备,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本专利技术任意实施例所述的恶意样本的报文信息获取方法。第四方面,本专利技术实施例还提供了一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行本专利技术任意实施例所述的恶意样本的报文信息获取方法。本专利技术实施例中公开的技术方案,在获取待测试的恶意样本时,通过离线沙箱运行恶意样本;并在获取到恶意样本发出的网际协议访问请求时,获取当前网际协议访问请求的协议类型,并根据网际协议访问请求的协议类型,确定匹配的访问端口;通过访问端口,获取恶意样本发出的报文信息,实现了恶意样本的报文信息的自动获取,并通过离线沙箱运行恶意样本,保证了报文信息获取的安全性;同时通过访问端口对恶意样本的请求进行反馈,引导恶意样本发出报文信息,实现了对恶意样本的恶意行为信息的获取。附图说明图1是本专利技术实施例一提供的一种恶意样本的报文信息获取方法的流程图;图2是本专利技术实施例二提供的一种恶意样本的报文信息获取方法的流程图;图3是本专利技术实施例三提供的一种恶意样本的报文信息获取装置的结构框图;图4是本专利技术实施例四提供的一种电子设备的结构框图。具体实施方式下面将参照附图更详细地描述本公开的实施例。虽然附图中显示了本公开的某些实施例,然而应当理解的是,本公开可以通过各种形式来实现,而且不应该被解释为限于这里阐述的实施例,相反提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是,本公开的附图及实施例仅用于示例性作用,并非用于限制本公开的保护范围。应当理解,本公开的方法实施方式中记载的各个步骤可以按照不同的顺序执行,和/或并行执行。此外,方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本公开的范围在此方面不受限制。本文使用的术语“包括”及其变形是开放性包括,即“包括但不限于”。术语“基于”是“至少部分地基于”。术语“一个实施例”表示“至少一个实施例”;术语“另一实施例”表示“至少一个另外的实施例”;术语“一些实施例”表示“至少一些实施例”。其他术语的相关定义将在下文描述中给出。需要注意,本公开中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分,并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。需要注意,本公开中提及的“一个”、“多个”的修饰是示意性而非限制性的,本领域技术人员应当理解,除非在上下文另有明确指出,否则应该理解为“一个或多个”。本公开实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的,而并不是用于对这些消息或信息的范围进行限制。实施例一图1为本专利技术实施例一提供的一种恶意样本的报文信息获取方法的流程图,本实施例可适用于通过离线沙箱运行待测试的恶意样本,获取恶意样本的报文信息,该方法可以由本专利技术实施例中的恶意样本的报文信息获取装置来执行,该装置可以通过软件和/或硬件实现,并集成在电子设备中,典型的,可以集成在计算机设备中,该方法具体包括如下步骤:S110、获取待测试的恶意样本,并通过离线沙箱运行所述恶意样本。需要说明的是,通过恶意样本,组织内部或者外部的攻击者可以实现对口令或密钥的获取、对私人通信的记录以及对非法资源访问权限的获取,进而对计算机网络或系统造成不同程度的破坏。因此,通过在离线沙箱中运行上述恶意样本,获取其对应的网络攻击行为(例如,非法资源的下载和系统文件的更改),并对恶意代码进行溯源,可以实现对后续相同类型恶意样本的网络攻击的防范,提升了计算机网络的安全性。其中,待测试的恶意样本,可以为在网络中获取的现有恶意样本,或者为通过本地的防火墙或安全软件截获的恶意程序;可选的,在本专利技术实施例中,在获取到待测试的恶意样本后,可以首先对恶意样本进行初始的静态检测;即不运行恶意样本,仅对恶意样本对应源程序的语法、结构、过程和接口信息进行检查,以获取当前恶意样本的静态特征;对于同一恶意样本家族代码的复用会导致恶意样本作者或团队的编码具有编码相似性,通过将当前恶意样本的静态特征与已知的恶意样本的静态特征进行相似性的对比,可实现对当前恶意样本所属家族或类别的识别。进一步的,通过离线沙箱运行当前待测试的恶意样本,以获取恶意样本的动态特征,通过动态特征对恶意样本进行识别,可进一步提升对恶意样本的识别准确度;其中,沙箱,为一种按照安全策略限制程序行为的执行环境,本专利技术实施例中,采用沙箱对恶意样本进行自动化分析;离线沙箱,为运行在一个物理隔离或访问限制的网络环境的沙箱,可以实现对恶意样本的域名系统请求信息的获取;恶意样本在离线沙箱中运行时,无法访问互联网,可以避免在对恶意样本进行动态测试时,对现实网络或系统造成实质性的攻击;具体的,在计算机中划分一定的存储空间,通过容器或虚拟机搭建恶意样本的虚拟执行环境,并捕捉和记录恶意样本运行的行为,进而实现对恶意样本的动态行为分析。特别的,本专利技术本文档来自技高网...
【技术保护点】
1.一种恶意样本的报文信息获取方法,其特征在于,包括:/n获取待测试的恶意样本,并通过离线沙箱运行所述恶意样本;/n当获取到所述恶意样本发出的网际协议访问请求时,获取所述网际协议访问请求的协议类型,并根据所述网际协议访问请求的协议类型,确定匹配的访问端口;/n通过所述访问端口,获取所述恶意样本发出的报文信息。/n
【技术特征摘要】
1.一种恶意样本的报文信息获取方法,其特征在于,包括:
获取待测试的恶意样本,并通过离线沙箱运行所述恶意样本;
当获取到所述恶意样本发出的网际协议访问请求时,获取所述网际协议访问请求的协议类型,并根据所述网际协议访问请求的协议类型,确定匹配的访问端口;
通过所述访问端口,获取所述恶意样本发出的报文信息。
2.根据权利要求1所述的方法,其特征在于,所述网际协议访问请求的协议类型包括传输控制协议和/或用户数据报协议。
3.根据权利要求2所述的方法,其特征在于,若所述网际协议访问请求的协议类型为传输控制协议,则在通过所述访问端口,获取所述恶意样本发出的报文信息前,还包括:
建立所述访问端口与所述恶意样本的通信链路。
4.根据权利要求1所述的方法,其特征在于,在获取到所述恶意样本发出的网际协议访问请求前,还包括:
当获取到所述恶意样本发出域名系统请求时,通过域名系统端口,向所述恶意样本发送域名系统返回包;其中,所述域名系统返回包中的网际协议地址为预设网际协议地址。
5.根据权利要求1所述的方法,其特征在于,在获取到所述恶意样本发出的网际协议访问请求前,还包括:
当获取到所述恶意样本发出的公网连接验证请求时,响应所述公网连接验证请求。
6.根据权利要求1所述的方法,其特征在于,所述通过所述请求端口,获取所述恶意样本发出的报文信息,包括:
获取所述恶意样本发出的首个报文信息,并根据所述首个报文信息获取所述恶意样本的网络行为和...
【专利技术属性】
技术研发人员:周忠义,傅强,阿曼太,梁彧,田野,王杰,杨满智,蔡琳,金红,陈晓光,
申请(专利权)人:北京恒安嘉新安全技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。