本发明专利技术的实施例提供了一种恶意软件检测方法、装置、物联网云平台以及计算机可读存储介质,方法包括:检测应用程序的软件行为,确定软件行为是否满足预设规则,在软件行为满足预设规则时,判定软件行为对应的应用程序为恶意软件。由于恶意软件都会包含一些共有的软件行为,基于应用程序的软件行为判定该应用程序是否为恶意软件,从而有效的识别到恶意软件。从而有效的识别到恶意软件。从而有效的识别到恶意软件。
【技术实现步骤摘要】
一种恶意软件检测方法、装置、物联网云平台以及计算机可读存储介质
[0001]本专利技术涉及软件检测领域,具体而言,涉及一种恶意软件检测方法、装置、物联网云平台以及计算机可读存储介质。
技术介绍
[0002]目前的安全行业对恶意软件的检测,往往基于特征码的方式进行,即通过确定恶意软件的特征码在特征库中查找对应的恶意软件。
[0003]上述恶意软件检测方式依赖于特征库,特征库需要实时更新以应对层出不穷的恶意软件,且该种方式仅能检测已知的恶意软件,对于未知恶意软件不具备检测能。由于目前恶意软件的特征码易被修改,当恶意软件的特征码被修改后,则无法对恶意软件进行检测。因此现有技术中,对于恶意软件的检测不够有效。
技术实现思路
[0004]本专利技术的目的在于提供一种恶意软件检测方法、装置、物联网云平台以及计算机可读存储介质,能够有效识别恶意软件。
[0005]为了实现上述目的,本申请实施例采用的技术方案如下:
[0006]第一方面,本申请实施例提供了一种恶意软件检测方法,所述方法包括:
[0007]检测所述应用程序的软件行为;
[0008]针对所述应用程序的软件行为,确定所述软件行为是否满足预设规则;
[0009]在所述软件行为满足所述预设规则时,判定所述软件行为对应的应用程序为恶意软件。
[0010]在可选的实施方式中,所述软件行为包括第一目标报文和第二目标报文的发送行为,所述确定所述软件行为是否满足预设规则的步骤,包括:
[0011]确定所述软件行为中第一目标报文的第一发送时间与第二目标报文的第二发送时间;
[0012]确定所述第一发送时间和所述第二发送时间之间的发送时长;
[0013]在所述发送时长大于第一预设时长且小于第二预设时长时,确定所述软件行为满足预设规则。
[0014]在可选的实施方式中,所述软件行为包括对外流量的发送行为,所述确定所述软件行为是否满足预设规则的步骤,包括:
[0015]实时监测单位时间段内,所述软件行为中对外流量的增长值;
[0016]在所述增长值大于预设增长值的情况下,确定所述软件行为满足预设规则。
[0017]在可选的实施方式中,所述软件行为包括对外流量的发送行为,所述确定所述软件行为是否满足预设规则的步骤,包括:
[0018]确定所述对外流量中是否存在处于同步发送状态的流量;
[0019]在所述软件行为中存在处于同步发送状态的流量的情况下,确定所述处于同步发送状态的流量的数量;
[0020]在所述处于同步发送状态的流量的数量大于第一预设阈值时,确定所述软件行为满足预设规则。
[0021]在可选的实施方式中,所述方法还包括:
[0022]针对每个所述应用程序,确定每个所述应用程序是否执行预设指令;
[0023]在所述应用程序执行所述预设指令的情况下,确定所述应用程序是否获取所述物联网云平台的架构信息;
[0024]在所述应用程序获取所述物联网云平台的架构信息的情况下,确定所述应用程序是否传输包含危险信息的恶意文件;
[0025]若是,则确定该应用程序为恶意软件。
[0026]在可选的实施方式中,所述软件行为包括对外流量的发送行为,所述确定所述软件行为是否满足预设规则的步骤,包括:
[0027]检测所述对外流量中与目标端口对应的目标流量;
[0028]确定所述目标流量中是否存在远程终端协议的请求和安全外壳协议的请求;
[0029]在所述目标流量中存在远程终端协议的请求和安全外壳协议的请求时,确定所述软件行为满足预设规则。
[0030]第二方面,本申请实施例提供了一种恶意软件检测装置,所述装置包括:
[0031]检测模块,用于检测所述应用程序的软件行为;
[0032]确定模块,用于确定所述软件行为是否满足预设规则;
[0033]判定模块,用于在所述软件行为满足所述预设规则时,判定所述软件行为对应的应用程序为恶意软件。
[0034]第三方面,本申请实施例提供了一种物联网云平台,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现恶意软件检测方法的步骤。
[0035]第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现所述恶意软件检测方法的步骤。
[0036]本申请具有以下有益效果:
[0037]本申请通过检测应用程序的软件行为,确定软件行为是否满足预设规则,在软件行为满足预设规则时,判定软件行为对应的应用程序为恶意软件。由于恶意软件都会包含一些共有的软件行为,基于应用程序的软件行为判定该应用程序是否为恶意软件,从而有效的识别到恶意软件。
附图说明
[0038]为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本专利技术的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0039]图1为本专利技术实施例提供的物联网云平台的方框示意图;
[0040]图2为本专利技术实施例提供的一种恶意软件检测方法的步骤流程图之一;
[0041]图3为本专利技术实施例提供的一种恶意软件检测方法的步骤流程图之二;
[0042]图4为本专利技术实施例提供的一种恶意软件检测方法的步骤流程图之三;
[0043]图5为本专利技术实施例提供的一种恶意软件检测方法的步骤流程图之四;
[0044]图6为本专利技术实施例提供的一种恶意软件检测方法的步骤流程图之五;
[0045]图7为本专利技术实施例提供的一种恶意软件检测方法的步骤流程图之六;
[0046]图8为本专利技术实施例提供的一种恶意软件检测装置的结构框图。
具体实施方式
[0047]为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本专利技术实施例的组件可以以各种不同的配置来布置和设计。
[0048]因此,以下对在附图中提供的本专利技术的实施例的详细描述并非旨在限制要求保护的本专利技术的范围,而是仅仅表示本专利技术的选定实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0049]应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
[0050]在本专利技术的描述中,需要说明的是,若出现术语“上”、“下”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,或者是该专利技术产品使用时惯常摆放的方位或位置关系,本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种恶意软件检测方法,应用于物联网云平台,所述物联网云平台与应用程序通信连接,其特征在于,所述方法包括:检测所述应用程序的软件行为;确定所述软件行为是否满足预设规则;在所述软件行为满足所述预设规则时,判定所述软件行为对应的应用程序为恶意软件。2.根据权利要求1所述的方法,其特征在于,所述软件行为包括第一目标报文和第二目标报文的发送行为,所述确定所述软件行为是否满足预设规则的步骤,包括:确定所述软件行为中第一目标报文的第一发送时间与第二目标报文的第二发送时间;确定所述第一发送时间和所述第二发送时间之间的发送时长;在所述发送时长大于第一预设时长且小于第二预设时长时,确定所述软件行为满足预设规则。3.根据权利要求1所述的方法,其特征在于,所述软件行为包括对外流量的发送行为,所述确定所述软件行为是否满足预设规则的步骤,包括:实时监测单位时间段内,所述软件行为中对外流量的增长值;在所述增长值大于预设增长值的情况下,确定所述软件行为满足预设规则。4.根据权利要求1所述的方法,其特征在于,所述软件行为包括对外流量的发送行为,所述确定所述软件行为是否满足预设规则的步骤,包括:确定所述对外流量中是否存在处于同步发送状态的流量;在所述软件行为中存在处于同步发送状态的流量的情况下,确定所述处于同步发送状态的流量的数量;在所述处于同步发送状态的流量的数量大于第一预设阈值时,确定所述软件行为满足预设规则。5.根据权利要求1所述的方法,其特征在于,所述方法还包括:确定应用程序是否执行预设指令;在所述应用程序执行所述预设指令的情况下,确定所述应用程序是否获取所述物联网云平台的架构信息;在...
【专利技术属性】
技术研发人员:邱睿,
申请(专利权)人:邱睿,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。