买专利、卖专利、专利购买、专利交易、专利出售、高企申报-一种恶意软件检测方法及相关设备

首页

利索能及专利检索

电话：15618600796

查出售查求购

我要发布

专利交易专利求购

一种恶意软件检测方法及相关设备

面议

专利号： 2018108515199

申请人：平安科技(深圳)有限公司

专利类型：发明专利

专利状态：已下证

更新日期：2026-06-16

缴费截止日期：暂无

联系人

专利简介

专利详情

购买说明

摘要:

权利要求书:

1.一种恶意软件检测方法，所述方法应用于预先部署有一个或者多个沙盒的服务器，其特征在于，包括：获取所述一个或者多个沙盒中每个沙盒的第一配置信息和待测软件的第二配置信息，并根据所述每个沙盒的第一配置信息和所述第二配置信息在所述一个或者多个沙盒中确定出与所述待测软件匹配的目标沙盒；

调用所述目标沙盒对所述待测软件进行符号执行分析，以得到所述待测软件各功能各自对应的等价执行路径；

调用所述目标沙盒执行目标等价执行路径，并记录所述待测软件执行所述目标等价执行路径对应的执行轨迹以及调用的系统资源，所述目标等价执行路径为所述待测软件各功能各自对应的等价执行路径中的一个或者多个；

根据所述执行轨迹和所述调用的系统资源确定所述待测软件是否存在恶意行为；

当所述待测软件存在所述恶意行为时，确定所述待测软件为恶意软件，并输出所述待测软件对应的所述恶意行为。

2.根据权利要求1所述的方法，其特征在于，所述获取所述一个或者多个沙盒中每个沙盒的第一配置信息和待测软件的第二配置信息之前，所述方法还包括：对所述一个或者多个沙盒中每个沙盒可调用的系统接口进行汇编指令级别的转译和分片处理，得到转译和分片处理后的目标系统接口；

将所述每个沙盒对应的所述目标系统接口和所述系统接口关联存储至该沙盒的系统接口库中。

3.根据权利要求2所述的方法，其特征在于，所述调用所述目标沙盒对所述待测软件进行符号执行分析，以得到所述待测软件的功能的等价执行路径，包括：在调用所述目标沙盒对所述待测软件进行符号执行分析时，检测执行所述符号分析得到的功能的当前执行路径是否执行至调用所述目标沙盒的系统接口库中的任一所述系统接口；

若执行所述符号分析得到的功能的当前执行路径执行至所述任一系统接口，则结束所述功能的当前执行路径，并生成所述功能的当前执行路径对应的等价执行路径。

4.根据权利要求1所述的方法，其特征在于，所述调用所述目标沙盒动态执行目标等价执行路径，包括：将所述目标等价执行路径对应的输入值数组输入所述目标沙盒的样本程序中，以得到所述目标等价执行路径的执行流；

根据所述目标沙盒中预设的跳转指令对所述执行流进行切片处理，得到一个或者多个执行流片段；

对切片处理后得到的所述一个或者多个执行流片段执行各自对应的预设操作。

5.根据权利要求4所述的方法，其特征在于，所述根据所述目标沙盒当前系统预设的跳转指令对所述执行流进行切片处理，得到一个或者多个执行流片段之后，所述方法还包括：分别在所述一个或者多个执行流片段中的各个执行流片段中引入二进制插桩；

其中，所述记录所述待测软件执行所述等价执行路径对应的执行轨迹以及调用的系统资源，包括：调用所述二进制插桩记录对所述一个或者多个执行流片段执行各自对应的所述预设操作对应的执行轨迹，以及执行各自对应的所述预设操作所调用的系统资源。

6.根据权利要求1所述的方法，其特征在于，所述获取所述一个或者多个沙盒中每个沙盒的第一配置信息和待测软件的第二配置信息之前，所述方法还包括：获取所述样本软件的样本软件特征值，并将所述样本软件特征值与预设软件库中恶意软件的恶意软件特征值进行比较；

若所述样本软件特征值与所述恶意软件特征值匹配，则确定所述样本软件为恶意软件；检测当前检测模式是否为预设检测模式，若当前检测模式为所述预设检测模式，则将所述样本软件确定为待测软件，并触发所述获取所述一个或者多个沙盒中每个沙盒的第一配置信息和待测软件的第二配置信息的步骤；

若所述样本软件特征值与所述恶意软件特征值不匹配，则确定所述样本软件为非恶意软件；将所述样本软件确定为待测软件，并触发所述获取所述一个或者多个沙盒中每个沙盒的第一配置信息和待测软件的第二配置信息的步骤。

7.根据权利要求1-6任一项所述的方法，其特征在于，所述得到所述待测软件各功能各自对应的等价执行路径之后，所述方法还包括：根据预设样本库中各恶意软件执行路径的历史执行频率，将所述各功能各自对应的等价执行路径中的一个或者多个等价执行路径确定为目标等价执行路径，所述目标等价执行路径的历史执行频率大于或者等于预设的执行频率阈值。

8.一种恶意软件检测装置，所述装置配置于预先部署有一个或者多个沙盒的服务器，其特征在于，包括：获取模块，用于获取所述一个或者多个沙盒中每个沙盒的第一配置信息和待测软件的第二配置信息；

确定模块，用于根据所述获取模块获取到的所述每个沙盒的第一配置信息和所述第二配置信息在所述一个或者多个沙盒中确定出与所述待测软件匹配的目标沙盒；

调用模块，用于调用所述目标沙盒对所述待测软件进行符号执行分析，以得到所述待测软件各功能各自对应的等价执行路径；

所述调用模块，还用于调用所述目标沙盒执行目标等价执行路径，并记录所述待测软件执行所述目标等价执行路径对应的执行轨迹以及调用的系统资源，所述目标等价执行路径为所述待测软件各功能各自对应的等价执行路径中的一个或者多个；

所述确定模块，还用于根据所述执行轨迹和所述调用的系统资源确定所述待测软件是否存在恶意行为，当确定出待测软件存在所述恶意行为，则确定所述待测软件为恶意软件；

输出模块，用于当所述确定模块确定出所述待测软件为所述恶意软件时，输出所述待测软件对应的所述恶意行为。

9.一种服务器，其特征在于，包括处理器和存储装置，所述处理器和所述存储装置相互连接，其中，所述存储装置用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，执行如权利要求1-7任一项所述的方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行如权利要求1-7任一项所述的方法。