【技术实现步骤摘要】
本公开涉及网络安全,尤其涉及一种恶意代码的分析与检测方法、装置、设备及存储介质。
技术介绍
1、数据流模式处理技术是一种网络设备在处理网络流量的工作模式,是将相关联的数据包视为一条流并将其整体进行处理,从而提高处理效率和性能,普遍应用于内容过滤和深度包检测等方面。
2、相关技术,采用数据流模式处理技术并依赖恶意代码特征库来检测恶意代码样本的安全防护设备,从获取的恶意代码样本中提取静态特征,将恶意代码样本的静态特征与静态特征库中已知静态特征进行匹配,但是,无论是静态特征还是动态特征,都依赖所对应的静态特征库或者动态行为特征库进行匹配,若静态特征库或者动态行为特征库均无对应特征时,并不能完全说明恶意代码样本为非恶意代码,若确认恶意代码样本为恶意代码时,可能需要更新所对应的静态特征库或者动态行为特征库才能支持对此恶意代码样本的检测,从而导致恶意代码的分析与检测过程繁琐,效率和准确率较低。
技术实现思路
1、有鉴于此,本公开实施例提供了一种恶意代码的分析与检测方法、装置、设备及存储介质,能够无需预先准备环境模拟网络流量中传输、携带恶意代码样本文件,无需安全引擎对网络流量进行分析、还原并检测数据块,不完全依赖更新恶意代码特征库文件的情况下,直接上传恶意代码样本文件就可以自动分析、检测恶意代码样本,提高了恶意代码样本的分析与检测效率和准确率。
2、第一方面,本公开实施例提供了一种恶意代码的分析与检测方法,采用如下技术方案:
3、获取恶意代码样本集中的恶意代码
4、通过nginx代理服务器的扫描进程获取所述目标区域中的所述恶意代码样本,并提取所述恶意代码样本的目标样本特征;
5、将所述目标样本特征与预设恶意代码特征库中的预设样本特征进行匹配,得到匹配结果;
6、当基于所述匹配结果确认所述目标样本特征与所述预设样本特征匹配失败时,通过所述nginx代理服务器的检测进程将所述恶意代码样本发送至外部联动的沙箱进行沙箱检测。
7、在一些实施例中,通过所述nginx代理服务器的检测进程将所述恶意代码样本发送至外部联动的沙箱进行沙箱检测,包括:
8、当沙箱检测的检测结果为匹配成功时,向客户端返回所述恶意代码样本的分析与检测结果;其中,所述分析与检测结果包括以下至少之一:所述恶意代码样本的恶意代码类型、恶意代码文件名称、恶意代码文件类型或恶意代码文件哈希值;
9、基于所述分析与检测结果,更新所述预设恶意代码特征库;
10、删除所述临时共享内存的目标区域中的所述恶意代码样本,释放内存;
11、当沙箱检测的检测结果为匹配失败时,直接删除所述临时共享内存的目标区域中的所述恶意代码样本,释放内存。
12、在一些实施例中,所述方法还包括:
13、检测所述分析与检测结果中任意一项数据的更新信息;
14、基于检测到的所述分析与检测结果中任意一项数据的更新信息,对所述预设恶意代码特征库进行更新。
15、在一些实施例中,将所述目标样本特征与预设恶意代码特征库中的预设样本特征进行匹配,得到匹配结果,包括以下至少之一:
16、将所述目标样本特征中的目标md5哈希值与所述预设恶意代码特征库中的预设md5哈希值进行匹配,得到第一匹配结果;
17、将所述目标样本特征中的目标sha256哈希值与所述预设恶意代码特征库中的预设sha256哈希值进行匹配,得到第二匹配结果。
18、在一些实施例中,所述方法还包括:
19、当基于所述匹配结果确认所述目标样本特征与所述预设样本特征匹配成功时,向客户端返回所述恶意代码样本的分析与检测结果;
20、删除所述临时共享内存的目标区域中的所述恶意代码样本,释放内存。
21、在一些实施例中,所述方法还包括:
22、检测所述预设样本特征的更新信息;
23、基于检测到的所述预设样本特征的更新信息,对所述预设恶意代码特征库进行更新。
24、第二方面,本公开实施例还提供了一种恶意代码的分析与检测装置,采用如下技术方案:
25、获取单元,被配置为获取恶意代码样本集中的恶意代码样本,以及将所述恶意代码样本保存在临时共享内存的目标区域中;
26、特征提取单元,被配置为通过nginx代理服务器的扫描进程获取所述目标区域中的所述恶意代码样本,并提取所述恶意代码样本的目标样本特征;
27、特征匹配单元,被配置为将所述目标样本特征与预设恶意代码特征库中的预设样本特征进行匹配,得到匹配结果;
28、沙箱检测单元,被配置为当基于所述匹配结果确认所述目标样本特征与所述预设样本特征匹配失败时,通过所述nginx代理服务器的检测进程将所述恶意代码样本发送至外部联动的沙箱进行沙箱检测。
29、在一些实施例中,所述沙箱检测单元包括:
30、结果返回模块,被配置为当沙箱检测的检测结果为匹配成功时,向客户端返回所述恶意代码样本的分析与检测结果;其中,所述分析与检测结果包括以下至少之一:所述恶意代码样本的恶意代码类型、恶意代码文件名称、恶意代码文件类型或恶意代码文件哈希值;
31、更新模块,被配置为基于所述分析与检测结果,更新所述预设恶意代码特征库;
32、第一删除模块,被配置为删除所述临时共享内存的目标区域中的所述恶意代码样本,释放内存;
33、第二删除模块,被配置为当沙箱检测的检测结果为匹配失败时,直接删除所述临时共享内存的目标区域中的所述恶意代码样本,释放内存。
34、第三方面,本公开实施例还提供了一种电子设备,采用如下技术方案:
35、所述电子设备包括:
36、至少一个处理器;以及,
37、与所述至少一个处理器通信连接的存储器;其中,
38、所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行以上任一所述的恶意代码的分析与检测方法。
39、第四方面,本公开实施例还提供了一种计算机可读存储介质,该计算机可读存储介质存储计算机指令,该计算机指令用于使计算机执行以上任一所述的恶意代码的分析与检测方法。
40、本公开实施例提供的一种恶意代码的分析与检测方法,能够无需预先准备环境模拟网络流量中传输、携带恶意代码样本文件,无需安全引擎对网络流量进行分析、还原并检测数据块,不完全依赖更新恶意代码特征库文件的情况下,直接上传恶意代码样本就可以自动分析、检测恶意代码样本,并可以在目标样本特征与预设样本特征匹配失败时,通过nginx代理服务器的检测进程将恶意代码样本发送至外部联动的沙箱进行进一步的沙箱检测,提高了恶意代码样本的分析与检测效率和准确率。
41、上述说明仅是本公开技术方案的概本文档来自技高网...
【技术保护点】
1.一种恶意代码的分析与检测方法,其特征在于,包括:
2.根据权利要求1所述的恶意代码的分析与检测方法,其特征在于,通过所述Nginx代理服务器的检测进程将所述恶意代码样本发送至外部联动的沙箱进行沙箱检测,包括:
3.根据权利要求2所述的恶意代码的分析与检测方法,其特征在于,所述方法还包括:
4.根据权利要求1所述的恶意代码的分析与检测方法,其特征在于,将所述目标样本特征与预设恶意代码特征库中的预设样本特征进行匹配,得到匹配结果,包括以下至少之一:
5.根据权利要求1所述的恶意代码的分析与检测方法,其特征在于,所述方法还包括:
6.根据权利要求1所述的恶意代码的分析与检测方法,其特征在于,所述方法还包括:
7.一种恶意代码的分析与检测装置,其特征在于,包括:
8.根据权利要求7所述的恶意代码的分析与检测方法,其特征在于,所述沙箱检测单元包括:
9.一种电子设备,其特征在于,所述电子设备包括:
10.一种计算机可读存储介质,其特征在于,该计算机可读存储介质存储计算机指令,该计
...【技术特征摘要】
1.一种恶意代码的分析与检测方法,其特征在于,包括:
2.根据权利要求1所述的恶意代码的分析与检测方法,其特征在于,通过所述nginx代理服务器的检测进程将所述恶意代码样本发送至外部联动的沙箱进行沙箱检测,包括:
3.根据权利要求2所述的恶意代码的分析与检测方法,其特征在于,所述方法还包括:
4.根据权利要求1所述的恶意代码的分析与检测方法,其特征在于,将所述目标样本特征与预设恶意代码特征库中的预设样本特征进行匹配,得到匹配结果,包括以下至少之一:
5.根据权利要求1所述的恶意代码...
【专利技术属性】
技术研发人员:付壮壮,
申请(专利权)人:北京天融信网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。