本申请适用于网络安全技术领域,提供了一种恶意软件检测与分析方法、装置、设备和可读存储介质,该方法包括:获取待检测软件的特征信息;将特征信息与恶意特征库中的恶意特征信息进行匹配,在确定未匹配到恶意特征信息时,对待检测软件的运行进行监视,获取待检测软件运行过程中的行为信息;将行为信息与恶意行为库中的恶意行为信息进行匹配;在确定匹配到恶意行为信息时,确定待检测软件为恶意软件;在确定未匹配到恶意行为信息时,根据行为信息和特征信息确定待检测软件满足预设条件时,确定待检测软件为恶意软件。该方法提高了恶意软件检测的准确率。检测的准确率。检测的准确率。
【技术实现步骤摘要】
恶意软件检测与分析方法、装置、设备和可读存储介质
[0001]本申请属于网络安全
,尤其涉及一种恶意软件检测与分析方法、装置、设备和可读存储介质。
技术介绍
[0002]恶意软件是一种破坏受害者的工作站、移动设备、服务器和网关的程序。恶意软件可以是各种类型的敌意软件或侵入式软件,包括计算机病毒、蠕虫、特洛伊木马、勒索软件、间谍软件、广告软件、恐吓软件、僵尸程序、rootkit或其他恶意软件。网络罪犯常利用恶意软件攻击个人和组织,实现破坏操作系统、破坏电脑或网络、窃取机密数据、收集个人信息、劫持或敏感隐私数据等操作。因此,对恶意软件进行分析和检测至关重要。
[0003]目前,恶意软件分析方法主要分为静态分析法和动态分析法。
[0004]然而,静态分析识别准确度低,动态分析识别效率低。对此,提出一个识别效率和准确度高的恶意软件检测与分析方法显得尤为重要。
技术实现思路
[0005]本申请提供了一种恶意软件检测与分析方法、装置、设备和可读存储介质,可以提高恶意软件的识别效率,以及保证恶意软件的识别准确度。
[0006]第一方面,本申请提供一种恶意软件检测与分析方法,包括:
[0007]获取待检测软件的特征信息;
[0008]将所述特征信息与恶意特征库中的恶意特征信息进行匹配,在确定未匹配到所述恶意特征信息时,对所述待检测软件的运行进行监视,获取所述待检测软件运行过程中的行为信息;
[0009]将所述行为信息与恶意行为库中的恶意行为信息进行匹配;
[0010]在确定匹配到所述恶意行为信息时,确定所述待检测软件为恶意软件;在确定未匹配到所述恶意行为信息时,根据所述行为信息和所述特征信息确定所述待检测软件满足预设条件时,确定所述待检测软件为恶意软件;
[0011]其中,所述预设条件包括如下至少一项:将超过预设数量的请求数据发送给操作系统、将操作系统的性能参数降低至预设数值、或者存在对用户的隐私数据进行加密。
[0012]在第一方面的一种可能的实现方式中,所述确定所述待检测软件为恶意软件之后,包括:
[0013]通知所述特征信息和/或所述行为信息,以实现对所述待检测软件的预警。
[0014]在第一方面的一种可能的实现方式中,所述通知所述特征信息和/或所述行为信息,包括:
[0015]显示所述特征信息和所述行为信息。
[0016]在第一方面的一种可能的实现方式中,
[0017]所述确定所述待检测软件为恶意软件之后,还包括:
[0018]将所述特征信息作为恶意特征信息添加至所述恶意特征库中,以更新所述恶意特征库;
[0019]将所述行为信息作为恶意行为信息添加至所述恶意行为库中,以更新所述恶意行为库。
[0020]在第一方面的一种可能的实现方式中,
[0021]在确定所述待检测软件不满足预设条件时,所述方法还包括:
[0022]通知所述待检测软件不为恶意软件。
[0023]在第一方面的一种可能的实现方式中,
[0024]在根据所述行为信息和所述特征信息确定所述待检测软件是否满足预设条件之前,所述方法还包括:
[0025]更新所述行为信息;
[0026]根据更新后的所述行为信息和所述特征信息确定所述待检测软件是否满足所述预设条件。
[0027]在第一方面的一种可能的实现方式中,在确定匹配到所述恶意特征信息时,所述方法还包括:
[0028]确定所述待检测软件为恶意软件;
[0029]通知所述特征信息。
[0030]本申请的一种恶意软件检测与分析方法,通过恶意软件分析与检测装置设置恶意特征库和恶意行为库,将待检测软件的特征信息和行为信息与恶意特征库和恶意行为库中的特征信息和行为信息进行匹配,保证检测恶意软件的准确率。保证了恶意软件的识别效率和识别准确度,避免了恶意软件对操作系统的破坏。
[0031]第二方面,本申请提供一种恶意软件分析与检测装置,该装置用于执行上述第一方面或第一方面的任一可能的实现方式中的方法。具体地,该装置包括:
[0032]获取模块,用于获取待检测软件的特征信息;
[0033]第一确定模块,用于将所述特征信息与恶意特征库中的恶意特征信息进行匹配,在确定未匹配到所述恶意特征信息时,对所述待检测软件的运行进行监视,获取所述待检测软件运行过程中的行为信息;
[0034]第二确定模块,用于执行如下步骤:
[0035]将所述行为信息与恶意行为库中的恶意行为信息进行匹配;
[0036]在确定匹配到所述恶意行为信息时,确定所述待检测软件为恶意软件;
[0037]在确定未匹配到所述恶意行为信息时,根据所述行为信息和所述特征信息确定所述待检测软件满足预设条件时,确定所述待检测软件为恶意软件;
[0038]其中,所述预设条件包括如下至少一项:将超过预设数量的请求数据发送给操作系统、将操作系统的性能参数降低至预设数值、或者存在对用户的隐私数据进行加密。
[0039]第三方面,本申请提供一种终端设备,该设备包括存储器与处理器。该存储器用于存储指令;该处理器执行该存储器存储的指令,使得该设备执行第一方面或第一方面的任一可能的实现方式中恶意软件分析与检测方法。
[0040]第四方面,本申请提供一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当该指令在计算机上运行时,使得计算机执行第一方面或第一方面的任一可能的
实现方式中恶意软件分析与检测方法。
[0041]第五方面,提供一种包含指令的计算机程序产品,当该指令在设备上运行时,使得设备执行第一方面或第一方面的任一可能的实现方式中恶意软件分析与检测方法。
[0042]可以理解的是,上述第二方面至第五方面的有益效果可以参见上述第一方面中的相关描述,在此不再赘述。
附图说明
[0043]为了更清楚地说明本申请中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0044]图1是本申请一实施例提供的恶意软件检测与分析方法的流程示意图;
[0045]图2是本申请一实施例提供的恶意软件检测与分析方法的流程示意图;
[0046]图3是本申请一实施例提供的恶意软件检测与分析方法的流程示意图;
[0047]图4是本申请一实施例提供的恶意软件检测与分析方法的流程示意图
[0048]图5是本申请一实施例提供的恶意软件检测与分析装置的结构示意图;
[0049]图6是本申请一实施例提供的终端设备的结构示意图。
具体实施方式
[0050]以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本申请。然而,本领域的技术人员应当清楚,在没本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种恶意软件检测与分析方法,其特征在于,包括:获取待检测软件的特征信息;将所述特征信息与恶意特征库中的恶意特征信息进行匹配,在确定未匹配到所述恶意特征信息时,对所述待检测软件的运行进行监视,获取所述待检测软件运行过程中的行为信息;将所述行为信息与恶意行为库中的恶意行为信息进行匹配;在确定匹配到所述恶意行为信息时,确定所述待检测软件为恶意软件;在确定未匹配到所述恶意行为信息时,根据所述行为信息和所述特征信息确定所述待检测软件满足预设条件时,确定所述待检测软件为恶意软件;其中,所述预设条件包括如下至少一项:将超过预设数量的请求数据发送给操作系统、将操作系统的性能参数降低至预设数值、或者存在对用户的隐私数据进行加密。2.如权利要求1所述的方法,其特征在于,所述确定所述待检测软件为恶意软件之后,包括:通知所述特征信息和/或所述行为信息,以实现对所述待检测软件的预警。3.如权利要求2所述的方法,其特征在于,通知所述特征信息和/或所述行为信息,包括:显示所述特征信息和所述行为信息。4.如权利要求1至3中任一所述的方法,其特征在于,所述确定所述待检测软件为恶意软件之后,还包括:将所述特征信息作为恶意特征信息添加至所述恶意特征库中,以更新所述恶意特征库;将所述行为信息作为恶意行为信息添加至所述恶意行为库中,以更新所述恶意行为库。5.如权利要求1所述的方法,其特征在于,在确定所述待检测软件不满足预设条件时,所述方法还包括:通知所述待检测软件不为恶意软件。6.如权利要求1所述的方法,其特征在于,在根据所述行为信息和所述特征...
【专利技术属性】
技术研发人员:崔登祺,万彬彬,巩潇,李梦玮,赵郑斌,
申请(专利权)人:中国软件评测中心工业和信息化部软件与集成电路促进中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。