本发明专利技术提出了一种信息检测方法及装置、电子设备和计算机可读存储介质,该方法包括:识别样本文件中的目标算法;根据所述目标算法在所述样本文件中的算法地址,在所述算法地址处获取所述目标算法的算法参数和参数地址;基于所述目标算法的算法类型、算法参数和参数地址,仿真运行所述目标算法,得到仿真结果;采用预定检测方式,检测所述仿真结果是否异常。本发明专利技术的技术方案,能够快捷有效地检测样本文件的安全性,便于准确识别恶意代码,保护计算机网络安全。网络安全。网络安全。
【技术实现步骤摘要】
信息检测方法及装置、电子设备和计算机可读存储介质
[0001]本专利技术涉及计算机网络安全
,尤其涉及一种信息检测方法及装置、电子设备和计算机可读存储介质。
技术介绍
[0002]随着互联网的飞速发展,网络安全事件层出不穷,计算机网络安全时刻面临危险。对此,可通过对恶意代码特征码进行识别的方式和/或通过启发式检测技术对恶意代码进行检测。然而,这种方式在面对恶意代码采用动态获取函数地址、恶意代码对函数名称进行刻意混淆等较为复杂的情况下,难以有效识别恶意代码。另外,攻击者为了避免恶意代码被检测出来,往往通过加密算法对恶意代码进行伪装,以避过常规的安全检测。而若想要全面检测这些情况,往往需要人工检测的介入,费时费力。
[0003]因此,如何全面有效地检出恶意代码,成为目前亟待解决的技术问题。
技术实现思路
[0004]本专利技术实施例提供了一种信息检测方法及装置、电子设备和计算机可读存储介质,旨在解决相关技术中恶意代码检测方式无法全面有效地检出恶意代码的技术问题。
[0005]第一方面,本专利技术实施例提供了一种信息检测方法,包括:识别样本文件中的目标算法;根据所述目标算法在所述样本文件中的算法地址,在所述算法地址处获取所述目标算法的算法参数和参数地址;基于所述目标算法的算法类型、算法参数和参数地址,仿真运行所述目标算法,得到仿真结果;采用预定检测方式,检测所述仿真结果是否异常。
[0006]在本专利技术上述实施例中,可选地,基于预设的算法特征库,识别样本文件中的目标算法,所述算法特征库包括YARA规则、开源算法库中所述预设算法的函数入口特征值以及所述预设算法的关联代码。
[0007]在本专利技术上述实施例中,可选地,在所述基于预设的算法特征库,识别样本文件中的目标算法之前,还包括:对于每种预设算法,根据所述预设算法的算法特征值、已知恶意软件家族使用过的所述预设算法的算法特征以及所述预设算法在开源时于不同编译条件下产生的机器码,生成所述预设算法对应的YARA规则。
[0008]在本专利技术上述实施例中,可选地,所述基于预设的算法特征库,识别样本文件中的目标算法的步骤,包括:检测所述样本文件是否符合所述算法特征库内的YARA规则;在所述样本文件符合所述算法特征库内的任一所述YARA规则时,确定所述样本文件中的所述目标算法为所述YARA规则对应的预设算法;和/或;所述基于预设的算法特征库,识别样本文件中的目标算法的步骤,包括:检测所述样本文件中是否具有与所述算法特征库中的所述函数入口特征值相匹配的目标特征值;在检测到与所述函数入口特征值相匹配的目标特征值时,将所述函数入口特征值所属的所述预设算法确定为所述样本文件中的所述目标算法;和/或;所述基于预设的算法特征库,识别样本文件中的目标算法的步骤,包括:对所述样本文件模拟执行所述算法特征库中所述预设算法的关联代码;若执行所述关联代码所得的结
果为内容可识别的有效数据,则将所述关联代码所属的所述预设算法确定为所述样本文件中的所述目标算法。
[0009]在本专利技术上述实施例中,可选地,所述采用预定检测方式,检测所述仿真结果是否异常,包括:若所述仿真结果的数据类型包括字符串类型,在检测到所述仿真结果具有敏感字段时,或在检测到所述仿真结果中多个敏感字段的加权和大于或等于指定阈值时,确定所述仿真结果异常。
[0010]在本专利技术上述实施例中,可选地,所述采用预定检测方式,检测所述仿真结果是否异常,包括:若所述仿真结果的数据类型包括代码类型,在检测到所述仿真结果包括预设恶意代码特征码时,确定所述仿真结果异常;若所述仿真结果的数据类型包括代码类型,在检测到所述仿真结果包括预设恶意代码特征码,且所述仿真结果包括加密算法时,执行所述识别样本文件中的目标算法的步骤,用以识别所述仿真结果中的所述加密算法。
[0011]在本专利技术上述实施例中,可选地,所述采用预定检测方式,检测所述仿真结果是否异常的步骤,包括:若所述仿真结果的数据类型包括PE类型,以所述仿真结果作为样本文件,执行所述识别样本文件中的目标算法的步骤。
[0012]在本专利技术上述实施例中,可选地,所述采用预定检测方式,检测所述仿真结果是否异常的步骤,包括:若所述仿真结果的数据类型包括地址类型,跳转至所述仿真结果指示的目标地址,以所述目标地址处的数据作为样本文件,执行所述识别样本文件中的目标算法的步骤。
[0013]第二方面,本专利技术实施例提供了一种信息检测装置,包括:目标算法识别单元,用于识别样本文件中的目标算法;反汇编单元,用于根据所述目标算法在所述样本文件中的算法地址,在所述算法地址处获取所述目标算法的算法参数和参数地址;仿真检测单元,用于基于所述目标算法的算法类型、算法参数和参数地址,仿真运行所述目标算法,得到仿真结果;异常判断单元,用于采用预定检测方式,检测所述仿真结果是否异常。
[0014]在本专利技术上述实施例中,可选地,基于预设的算法特征库,识别样本文件中的目标算法,所述算法特征库包括YARA规则、开源算法库中所述预设算法的函数入口特征值以及所述预设算法的关联代码。
[0015]在本专利技术上述实施例中,可选地,还包括:YARA规则生成单元,用于在所述目标算法识别单元识别样本文件中的目标算法之前,对于每种预设算法,根据所述预设算法的算法特征值、已知恶意软件家族使用过的所述预设算法的算法特征以及所述预设算法在开源时于不同编译条件下产生的机器码,生成所述预设算法对应的YARA规则。
[0016]在本专利技术上述实施例中,可选地,所述目标算法识别单元用于:检测所述样本文件是否符合所述算法特征库内的YARA规则;在所述样本文件符合所述算法特征库内的任一所述YARA规则时,确定所述样本文件中的所述目标算法为所述YARA规则对应的预设算法;和/或;检测所述样本文件中是否具有与所述算法特征库中的所述函数入口特征值相匹配的目标特征值;在检测到与所述函数入口特征值相匹配的目标特征值时,将所述函数入口特征值所属的所述预设算法确定为所述样本文件中的所述目标算法;和/或;对所述样本文件模拟执行所述算法特征库中所述预设算法的关联代码;若执行所述关联代码所得的结果为内容可识别的有效数据,则将所述关联代码所属的所述预设算法确定为所述样本文件中的所述目标算法。
[0017]在本专利技术上述实施例中,可选地,所述异常判断单元用于:若所述仿真结果的数据类型包括字符串类型,在检测到所述仿真结果具有敏感字段时,或在检测到所述仿真结果中多个敏感字段的加权和大于或等于指定阈值时,确定所述仿真结果异常。
[0018]在本专利技术上述实施例中,可选地,所述异常判断单元用于:若所述仿真结果的数据类型包括代码类型,在检测到所述仿真结果包括预设恶意代码特征码时,确定所述仿真结果异常;若所述仿真结果的数据类型包括代码类型,在检测到所述仿真结果包括预设恶意代码特征码,且所述仿真结果包括加密算法时,执行所述目标算法识别单元,通过所述目标算法识别单元识别所述仿真结果中的所述加密算法。
[0019]在本专利技术本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种信息检测方法,其特征在于,包括:识别样本文件中的目标算法;根据所述目标算法在所述样本文件中的算法地址,在所述算法地址处获取所述目标算法的算法参数和参数地址;基于所述目标算法的算法类型、算法参数和参数地址,仿真运行所述目标算法,得到仿真结果;采用预定检测方式,检测所述仿真结果是否异常。2.根据权利要求1所述的信息检测方法,其特征在于,基于预设的算法特征库,识别样本文件中的目标算法;所述算法特征库包括YARA规则、开源算法库中所述预设算法的函数入口特征值以及所述预设算法的关联代码。3.根据权利要求2所述的信息检测方法,其特征在于,在所述基于预设的算法特征库,识别样本文件中的目标算法之前,还包括:对于每种预设算法,根据所述预设算法的算法特征值、已知恶意软件家族使用过的所述预设算法的算法特征以及所述预设算法在开源时于不同编译条件下产生的机器码,生成所述预设算法对应的YARA规则。4.根据权利要求3所述的信息检测方法,其特征在于,所述基于预设的算法特征库,识别样本文件中的目标算法的步骤,包括:检测所述样本文件是否符合所述算法特征库内的YARA规则;在所述样本文件符合所述算法特征库内的任一所述YARA规则时,确定所述样本文件中的所述目标算法为所述YARA规则对应的预设算法;和/或;检测所述样本文件中是否具有与所述算法特征库中的所述函数入口特征值相匹配的目标特征值;在检测到与所述函数入口特征值相匹配的目标特征值时,将所述函数入口特征值所属的所述预设算法确定为所述样本文件中的所述目标算法;和/或;对所述样本文件模拟执行所述算法特征库中所述预设算法的关联代码;若执行所述关联代码所得的结果为内容可识别的有效数据,则将所述关联代码所属的所述预设算法确定为所述样本文件中的所述目标算法。5.根据权利要求1所述的信息检测方法,其特征在于,所述采用预定检测方式,检测所述仿真结果是否异常,包括:若所述仿真结果的数据类型包括字符串类型,在检测到所述仿真结果具有敏感字段时,或在检测...
【专利技术属性】
技术研发人员:梅凯,白淳升,
申请(专利权)人:安天科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。