恶意样本的检测方法、装置、电子设备及存储介质制造方法及图纸

本申请提供一种恶意样本的检测方法、装置、电子设备及存储介质，恶意样本的检测方法包括：获取待检测的目标样本；基于预设环境对目标样本进行恶意分析，得到第一分析结果；判断第一分析结果是否符合预设恶意检测标准；若否，则确定预设环境的补充环境，基于补充环境对目标样本进行恶意分析，得到第二分析结果。结合第二分析结果，能够发现目标样本在预设环境中无法发现的行为，进而更加准确地确定出目标样本是否为恶意样本，提高恶意样本检测的准确性。确性。确性。

【技术实现步骤摘要】
恶意样本的检测方法、装置、电子设备及存储介质


[0001]本申请涉及网络安全
，尤其涉及一种恶意样本的检测方法、装置、电子设备及存储介质。

技术介绍

[0002]随着网络在生产生活中的不断深入，网络安全保护变得愈发重要。其中一项保护工作就是防止恶意代码入侵待保护的计算机系统。
[0003]为了防止恶意代码入侵，就需要对恶意代码进行检测。目前，对恶意代码进行检测主要采取的方式为：构建一个虚拟的计算机环境，然后将待检测代码放置于该环境中运行，得到该代码的运行结果，进而通过该代码的运行结果确定该代码是否为恶意代码。如果该代码的运行结果中存在对计算机具有安全威胁的行为，例如：对计算机进行索权的行为，那么就确定该代码为恶意代码，如果该代码的运行结果中都是对计算机进行正常操作的行为，那么就确定该代码不是恶意代码。
[0004]然而，在构建的单一环境中运行代码，该代码可能会在该环境中的表现一切正常，但该代码实际上为恶意代码。而根据该代码的运行结果进行恶意检测，得到的检测结果也是该代码为非恶意代码，但这与该代码的实际情况相反。这样，就会降低恶意代码检测的准确性。

技术实现思路

[0005]本申请实施例的目的是提供一种恶意样本的检测方法、装置、电子设备及存储介质，以提高恶意代码检测的准确性。
[0006]为解决上述技术问题，本申请实施例提供如下技术方案：
[0007]本申请第一方面提供一种恶意样本的检测方法，所述方法包括：获取待检测的目标样本；基于预设环境对所述目标样本进行恶意分析，得到第一分析结果；判断所述第一分析结果是否符合预设恶意检测标准；若否，则确定所述预设环境的补充环境，基于所述补充环境对所述目标样本进行恶意分析，得到第二分析结果。
[0008]本申请第二方面提供一种恶意样本的检测装置，所述装置包括：获取模块，用于获取待检测的目标样本；分析模块，用于基于预设环境对所述目标样本进行恶意分析，得到第一分析结果；判断模块，用于判断所述第一分析结果是否符合预设恶意检测标准；若否，则进入补充模块；补充模块，用于确定所述预设环境的补充环境，基于所述补充环境对所述目标样本进行恶意分析，得到第二分析结果。
[0009]本申请第三方面提供一种电子设备，所述电子设备包括：处理器、存储器、总线；其中，所述处理器、所述存储器通过所述总线完成相互间的通信；所述处理器用于调用所述存储器中的程序指令，以执行第一方面中的方法。
[0010]本申请第四方面提供一种计算机可读存储介质，所述存储介质包括：存储的程序；其中，在所述程序运行时控制所述存储介质所在设备执行第一方面中的方法。
[0011]相较于现有技术，本申请第一方面提供的恶意样本的检测方法，在基于预设环境对待检测的目标样本进行恶意分析，得到第一分析结果后，判断第一分析结果是否符合预设恶意检测标准，若否，说明当前无法确定目标样本是否为恶意样本，继续基于预设环境的补充环境对目标样本进行恶意分析，得到第二分析结果，使得研判方能够基于第一分析结果和第二分析结果准确地确定目标样本是否为恶意样本。相比于仅基于第一分析结果无法准确地确定出目标样本是否为恶意样本，结合第二分析结果，能够发现目标样本在预设环境中无法发现的行为，进而更加准确地确定出目标样本是否为恶意样本，提高恶意样本检测的准确性。
[0012]本申请第二方面提供的恶意样本的检测装置、第三方面提供的电子设备、第四方面提供的计算机可读存储介质，与第一方面提供的恶意样本的检测方法具有相同或相似的有益效果。
附图说明
[0013]通过参考附图阅读下文的详细描述，本申请示例性实施方式的上述以及其他目的、特征和优点将变得易于理解。在附图中，以示例性而非限制性的方式示出了本申请的若干实施方式，相同或对应的标号表示相同或对应的部分，其中：
[0014]图1为本申请实施例中恶意样本的检测方法的流程示意图；
[0015]图2为本申请实施例中分析环境选择的流程示意图；
[0016]图3为本申请实施例中分析状态展示的流程示意图；
[0017]图4为本申请实施例中样本存储的流程示意图；
[0018]图5为本申请实施例中恶意样本的检测方法的整体架构示意图；
[0019]图6为本申请实施例中默认组策略模块的运行过程示意图；
[0020]图7为本申请实施例中恶意样本的检测装置的结构示意图；
[0021]图8为本申请实施例中电子设备的结构示意图。
具体实施方式
[0022]下面将参照附图更详细地描述本申请的示例性实施方式。虽然附图中显示了本申请的示例性实施方式，然而应当理解，可以以各种形式实现本申请而不应被这里阐述的实施方式所限制。相反，提供这些实施方式是为了能够更透彻地理解本申请，并且能够将本申请的范围完整的传达给本领域的技术人员。
[0023]需要注意的是，除非另有说明，本申请使用的技术术语或者科学术语应当为本申请所属领域技术人员所理解的通常意义。
[0024]目前，为了进行恶意代码检测，主要是将待检测的代码放置于某一计算机环境中运行，然后根据运行结果，也就是该代码在计算机中的行为，以及该代码与恶意特征匹配的结果，确定该代码是否为恶意代码。然而，在构建的单一环境中运行代码，该代码可能会在该环境中的表现一切正常，但该代码实际上为恶意代码。而根据该代码的运行结果进行恶意检测，得到的检测结果也是该代码为非恶意代码，但这与该代码的实际情况相反。这样，就会降低恶意代码检测的准确性。
[0025]专利技术人经过研究发现，在某一环境中无法准确地确定待检测的代码是否为恶意代
码，可能是该代码在该环境中进行了较好的隐蔽，如果将该代码放置于另外一个环境中运行，该代码在某些行为上就可能会暴漏出来，因此，可以在代码通过某一环境无法准确地确定是否恶意的情况下，将该代码放置于另一环境中运行，以确定该代码是否为恶意代码。
[0026]有鉴于此，本申请实施例提供了一种恶意样本的检测方法、装置、电子设备及存储介质，在基于预设环境对待检测的目标样本进行恶意分析，得到第一分析结果后，判断第一分析结果是否符合预设恶意检测标准，若否，说明当前无法确定目标样本是否为恶意样本，继续基于预设环境的补充环境对目标样本进行恶意分析，得到第二分析结果，使得研判方能够基于第一分析结果和第二分析结果准确地确定目标样本是否为恶意样本。相比于仅基于第一分析结果无法准确地确定出目标样本是否为恶意样本，结合第二分析结果，能够发现目标样本在预设环境中无法发现的行为，进而更加准确地确定出目标样本是否为恶意样本，提高恶意样本检测的准确性。
[0027]首先，对本申请实施例提供的恶意样本的检测方法进行详细说明。图1为本申请实施例中恶意样本的检测方法的流程示意图，参见图1所示，该方法可以包括：
[0028]S101：获取待检测的目标样本。
[0029]待检测的目标样本，就是需要检测其是否恶意的样本。在实际应用中，目标样本可以是软件代码、可读文件本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种恶意样本的检测方法，其特征在于，所述方法包括：获取待检测的目标样本；基于预设环境对所述目标样本进行恶意分析，得到第一分析结果；判断所述第一分析结果是否符合预设恶意检测标准；若否，则确定所述预设环境的补充环境，基于所述补充环境对所述目标样本进行恶意分析，得到第二分析结果。2.根据权利要求1所述的方法，其特征在于，所述第一分析结果包括静态分析结果和动态分析结果，所述预设恶意检测标准为同一样本的静态分析结果与动态分析结果的恶意结论一致，所述判断所述第一分析结果是否符合预设恶意检测标准，包括：判断所述第一分析结果中的静态分析结果与动态分析结果对于所述目标样本的恶意结论是否一致。3.根据权利要求1所述的方法，其特征在于，所述确定所述预设环境的补充环境，包括：确定所述预设环境的操作系统类型；在所述操作系统类型中，选择与所述预设环境的系统架构差异最大的环境作为所述补充环境。4.根据权利要求1所述的方法，其特征在于，在基于预设环境对所述目标样本进行恶意分析之前，所述方法还包括：判断所述目标样本是否对应有指定的运行环境；若是，则将所述指定的运行环境作为所述预设环境；若否，则确定所述目标样本的目标类型，从每个样本类型及其对应的运行环境中查找出所述目标类型对应的运行环境，将所述目标类型对应的运行环境作为所述预设环境。5.根据权利要求1所述的方法，其特征在于，所述恶意分析包括静态恶意特征分析和动态运行环境分析，所述基于所述补充环境对所述目标样本进行恶意分析，得到第二分析结果，包括：从所述第一分析结果中获取所述目标样本进行静态恶意特征分析得到的静态分析结果；将所述目标样本放置于所述补充环境中进行动态运行环境分析，得到动态分析结果；将所述静态分析结果和所述动态分析结果合并，得到所述第二分析结果。6.根据权利要求5所述的方法，其特征在于，所述第一分析结果的数量为多个，所述从所述第一分析结果中获取所述目标样本进行静态恶意特征分析得到的静态分析结果，包括：从多个第一分析结果的静态分析结果中选择更新时间距离当前时间最近的最新静态分析结果；将所述最新静态分析结果作为所述目标样本进行静态恶意特征分析得到的静态分析结果。7.根据权利要求1至6中任一项所述的方法，在判断所述第一分析结果是否符合预设恶意检测标准之后，所述方法还包括：若第一分析结果符合预设恶意检测标准，则显示所述第一分析结果，以基于所述第一分析结果确定所述目标样本是否为恶意样本；
若第一分析结果不符合预设恶意检测标准，则显示所述第一分析结果和所述第二分析结果，以基于所述第一分析结果和第二分析结果确定所述目标样本是否为恶意样本。8.根据权利要求7所述的方法，其特征在于，在显示所述第一分析结果之后，所述方法还包括：确定所述预设环境的补充环境；基于所述补充环境对所述目标样本进行恶意分析，得到第二分析结果；在所述第一分析结果的对应位置处显示所述第二分析结果。9.根据权利要求7所述的方法，其特征在于，在显示所述第一分析结果和所述第二分析结果之后，所述方法还包括：从已经过恶意检测的样本中获取满足预设回扫条件的回...

【专利技术属性】
技术研发人员：万文杰，谭杨，白敏，汪列军，
申请(专利权)人：奇安信科技集团股份有限公司，
类型：发明
国别省市：