CN111414617A - 一种恶意软件检测方法、装置、设备、介质 - Google Patents

一种恶意软件检测方法、装置、设备、介质 Download PDF

Info

Publication number
CN111414617A
CN111414617A CN202010176201.2A CN202010176201A CN111414617A CN 111414617 A CN111414617 A CN 111414617A CN 202010176201 A CN202010176201 A CN 202010176201A CN 111414617 A CN111414617 A CN 111414617A
Authority
CN
China
Prior art keywords
software
malicious
malicious behavior
behavior
detected
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN202010176201.2A
Other languages
English (en)
Inventor
王瑶
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Inspur Intelligent Technology Co Ltd
Original Assignee
Suzhou Inspur Intelligent Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Inspur Intelligent Technology Co Ltd filed Critical Suzhou Inspur Intelligent Technology Co Ltd
Priority to CN202010176201.2A priority Critical patent/CN111414617A/zh
Publication of CN111414617A publication Critical patent/CN111414617A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Stored Programmes (AREA)

Abstract

本申请公开了一种恶意软件检测方法、装置、设备、介质,该方法包括:获取待检测软件的软件行为事件集;将预先构建的恶意行为特征库作为搜索条件,对所述软件行为事件集进行搜索;如果所述软件行为事件集中的软件行为与所述恶意行为特征库中的恶意行为特征相匹配,则判定所述待检测软件为恶意软件。这样通过将构建好的恶意行为特征库作为搜索条件,对待检测软件的软件行为事件集进行搜索便可以检测出待检测软件是否为恶意软件,缩短了恶意软件检测时间,及时检测出恶意软件,提高了恶意软件检测效率和恶意软件检测率。

Description

一种恶意软件检测方法、装置、设备、介质
技术领域
本申请涉及软件安全技术领域,特别涉及一种恶意软件检测方法、装置、设备、介质。
背景技术
随着计算机技术的不断发展,各种各样的软件越来越多,其中就夹杂着很多恶意软件,恶意软件一旦安装到设备上,便会威胁到用户的信息安全,因此需要对恶意软件进行检测,确定出哪些软件是恶意软件,以便减少恶意软件带来的损失。现有的恶意软件检测方法主要包括,一是利用恶意软件黑名单检测恶意软件,二是通过扫描软件二进制文件的特征码进行恶意软件的检测。但恶意软件黑名单并不能覆盖所有的恶意软件,所以会存在很多漏检的情况,降低恶意软件的检测率,而软件二进制文件中的特征码的更新滞后于新恶意软件的更新,所以检测具有时延且检测效率低。
发明内容
有鉴于此,本申请的目的在于提供一种恶意软件检测方法、装置、设备、介质,能够及时检测出恶意软件,提高恶意软件检测效率和恶意软件检测率。
其具体方案如下:
第一方面,本申请公开了一种恶意软件检测方法,应用于Elasticsearch,包括:
获取待检测软件的软件行为事件集;
将预先构建的恶意行为特征库作为搜索条件,对所述软件行为事件集进行搜索;
如果所述软件行为事件集中的软件行为与所述恶意行为特征库中的恶意行为特征相匹配,则判定所述待检测软件为恶意软件。
可选的,所述获取待检测软件的软件行为事件集之后,还包括:
利用JSON文档对所述软件行为事件集进行存储。
可选的,所述获取待检测软件的软件行为事件集,包括:
获取待检测软件的、包括所述待检测软件调用的API名称以及所述待检测软件调用API时的参数的软件行为事件集。
可选的,所述获取待检测软件的软件行为事件集之前,还包括:
获取恶意行为信息,其中,所述恶意行为信息包括恶意行为特征;
对所述恶意行为信息进行预处理,并对预处理后的恶意行为信息按照预设格式进行存储,得到恶意行为特征库。
可选的,所述对所述恶意行为信息进行预处理,并对预处理后的恶意行为信息按照预设格式进行存储,得到恶意行为特征库,包括:
将所述恶意行为信息中的所述恶意行为特征转化为判定查询逻辑;
将包括所述判定查询逻辑的恶意行为信息按照JSON结构进行存储,得到恶意行为特征库。
可选的,所述将所述恶意行为信息中的所述恶意行为特征转化为判定查询逻辑,包括:
将所述恶意行为信息中的所述恶意行为特征转化为Bool Query对应的判定查询逻辑。
可选的,所述将所述恶意行为信息中的所述恶意行为特征转化为判定查询逻辑,包括:
将所述恶意行为信息中的所述恶意行为特征转化为模糊查询对应的判定查询逻辑;
或,将所述恶意行为信息中的所述恶意行为特征转化为区间查询对应的判定查询逻辑;
或,将所述恶意行为信息中的所述恶意行为特征转化为正则查询对应的判定查询逻辑。
第二方面,本申请公开了一种恶意软件检测装置,应用于Elasticsearch,包括:
数据获模块,用于获取待检测软件的软件行为事件集;
搜索模块,用于将预先构建的恶意行为特征库作为搜索条件,对所述软件行为事件集进行搜索;
恶意软件判断模块,用于在所述软件行为事件集中的软件行为与所述恶意行为特征库中的恶意行为特征相匹配时,则判定所述待检测软件为恶意软件。
第三方面,本申请公开了一种恶意软件检测设备,包括:
存储器和处理器;
其中,所述存储器,用于存储计算机程序;
所述处理器,用于执行所述计算机程序,以实现前述公开的恶意软件检测方法。
第四方面,本申请公开了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述公开的恶意软件检测方法。
可见,本申请先获取待检测软件的软件行为事件集,然后将预先构建的恶意行为特征库作为搜索条件,对所述软件行为事件集进行搜索,如果所述软件行为事件集中的软件行为与所述恶意行为特征库中的恶意行为特征相匹配,则判定所述待检测软件为恶意软件。由此可以看出,在本申请中,需要检测软件是否为恶意软件时,先获取待检测软件对应的软件行为事件集,然后利用预先构建出的恶意行为特征库作为搜索条件,对所述软件行为事件集进行搜索,如果所述软件行为事件集中的软件行为与所述恶意行为特征库中的恶意行为特征相匹配,则判定所述待检测软件为恶意软件,这样通过将构建好的恶意行为特征库作为搜索条件,对待检测软件的软件行为事件集进行搜索便可以检测出待检测软件是否为恶意软件,缩短了恶意软件检测时间,及时检测出恶意软件,提高了恶意软件检测效率和恶意软件检测率。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种恶意软件检测方法流程图;
图2为本申请公开的一种具体的恶意软件检测方法流程图;
图3为本申请公开的一种恶意软件检测装置结构示意图;
图4为本申请公开的一种恶意软件检测设备结构图;
图5为本申请公开的一种电子设备结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
目前,恶意软件检测方法主要包括,一是利用恶意软件黑名单检测恶意软件,二是通过扫描软件二进制文件的特征码进行恶意软件的检测。但恶意软件黑名单并不能覆盖所有的恶意软件,所以会存在很多漏检的情况,降低恶意软件的检测率,而软件二进制文件中的特征码的更新滞后于新恶意软件的更新,所以检测具有时延且检测效率低。有鉴于此,本申请提出了一种恶意软件检测方法,能够及时检测出恶意软件,提高恶意软件检测效率和恶意软件检测率。
参见图1所示,本申请实施例公开了一种恶意软件检测方法,应用于Elasticsearch,该方法包括:
步骤S11:获取待检测软件的软件行为事件集。
可以理解的是,在检测软件是否为恶意软件之前,需要先获取待检测软件的软件行为事件集,其中,所述软件行为事件集为所述待检测软件从第一次执行之后的所有目标行为事件集,包括但不限于待检测软件从第一次执行之后调用过的所有API(ApplicationProgramming Interface,应用程序编程接口)信息。
步骤S12:将预先构建的恶意行为特征库作为搜索条件,对所述软件行为事件集进行搜索。
在具体的实施过程中,获取到所述软件行为事件集之后,还需要将预先构建的恶意行为特征库作为搜索条件,对所述软件行为事件集进行搜索,以便确定所述待检测软件是否为恶意软件。其中,所述恶意行为特征库为预先根据获取到的恶意行为信息构建的恶意行为特征集合。
步骤S13:如果所述软件行为事件集中的软件行为与所述恶意行为特征库中的恶意行为特征相匹配,则判定所述待检测软件为恶意软件。
可以理解的是,将预先构建的恶意行为特征库作为搜索条件对所述软件行为事件集进行搜索之后,如果所述软件行为事件集中的软件行为与所述恶意行为特征库中的恶意行为特征相匹配,则判定所述待检测软件为恶意软件。具体的,就是如果所述软件行为事件集中有软件行为与所述恶意行为特征库中的恶意行为特征相匹配,则表示所述软件行为事件集中有的软件行为是恶意行为,则所述待检测软件为恶意软件。
可见,本申请先获取待检测软件的软件行为事件集,然后将预先构建的恶意行为特征库作为搜索条件,对所述软件行为事件集进行搜索,如果所述软件行为事件集中的软件行为与所述恶意行为特征库中的恶意行为特征相匹配,则判定所述待检测软件为恶意软件。由此可以看出,在本申请中,需要检测软件是否为恶意软件时,先获取待检测软件对应的软件行为事件集,然后利用预先构建出的恶意行为特征库作为搜索条件,对所述软件行为事件集进行搜索,如果所述软件行为事件集中的软件行为与所述恶意行为特征库中的恶意行为特征相匹配,则判定所述待检测软件为恶意软件,这样通过将构建好的恶意行为特征库作为搜索条件,对待检测软件的软件行为事件集进行搜索便可以检测出待检测软件是否为恶意软件,缩短了恶意软件检测时间,及时检测出恶意软件,提高了恶意软件检测效率和恶意软件检测率。
参见图2所示,本申请实施例公开了一种具体的恶意软件方法,应用于Elasticsearch,该方法包括:
步骤S21:获取恶意行为信息,其中,所述恶意行为信息包括恶意行为特征。
在具体的实施过程中,需要先获取恶意行为信息,以便根据所述恶意行为信息构建恶意行为特征库。其中,所述恶意行为信息包括恶意行为特征。所述恶意行为信息可以来自防火墙等安全设备拦截的恶意行为信息。
步骤S22:对所述恶意行为信息进行预处理,并将预处理后的恶意行为信息按照预设格式进行存储,得到恶意行为特征库。
可以理解的是,在获取到所述恶意行为信息之后,还需要对所述恶意行为信息进行预处理,并将预处理后的恶意行为信息按照预设格式进行存储,得到恶意行为特征库。具体的,所述对所述恶意行为信息进行预处理,并对预处理后的恶意行为信息按照预设格式进行存储,得到恶意行为特征库,包括:将所述恶意行为信息中的所述恶意行为特征转化为判定查询逻辑;将包括所述判定查询逻辑的恶意行为信息按照JSON结构进行存储,得到恶意行为特征库。也即,在获取到所述恶意行为信息之后,将所述恶意行为信息中的恶意行为特征转化为判定查询逻辑,再将包括所述判定查询逻辑的恶意行为信息按照JSON结构进行存储,得到恶意行为特征库。其中,所述将所述恶意行为信息中的所述恶意行为特征转化为判定查询逻辑,包括:将所述恶意行为信息中的所述恶意行为特征转化为Bool Query对应的判定查询逻辑。判定查询逻辑就是将恶意行为特征的查询逻辑转化为Elasticsearch的Query DSL语句,这里用到的是Elasticsearch提供的“Bool Query”,这个查询是多个查询的与或非组合逻辑的查询,“与”对应“must”,“或”对应“should”,“非”对应“must_not”,其中,Query DSL(Domain Specific Language)为查询领域专用语言,DSL指专注于某个应用程序领域的计算机语言。Elasticsearch基于JSON提供了一套完整的查询语言,来执行各种查询,如全文检索、模糊匹配、正则查询等等。例如,一个恶意行为特征,满足一下任意一个条件即可:一是需要调用API a给其第一个参数传递a-p1,同时调用API b给其第三个参数传递b-p3;二是需要调用API c给其第二个参数传递c-p2,则条件一与条件二之间是或(should)关系。
在具体的实施过程中,所述将所述恶意行为信息中的所述恶意行为特征转化为判定查询逻辑,包括:将所述恶意行为信息中的所述恶意行为特征转化为模糊查询对应的判定查询逻辑;或,将所述恶意行为信息中的所述恶意行为特征转化为区间查询对应的判定查询逻辑;或,将所述恶意行为信息中的所述恶意行为特征转化为正则查询对应的判定查询逻辑。
将包括所述判定查询逻辑的恶意行为信息按照JSON结构进行存储,得到恶意行为特征库,其中,所述恶意行为信息还可以包括但不限于恶意行为名称、威胁值、类型、描述、最后修改时间以及所述判定查询逻辑等。JSON结构如下:
Figure BDA0002410903480000061
Figure BDA0002410903480000071
其中“dsl”字段是“Percolator”类型,Elasticsearch提供了一种专门用来存储查询语句的字段类型“Percolator”,该字段用于“Percolate Query”,这是Elasticsearch提供的一种用于查询存储的查询逻辑的一种查询。
步骤S23:获取待检测软件的、包括所述待检测软件调用的API名称以及所述待检测软件调用API时的参数的软件行为事件集。
在具体的实施过程中,需要先获取待检测软件的软件行为事件集,其中,所述软件行为事件集可以是所述待检测软件从第一次执行之后所调用过的所有API信息,其中,所述API信息包括API名称以及相应的参数。
步骤S24:利用JSON文档对所述软件行为事件集进行存储。
可以理解的是,在获取到所述待检测软件的软件行为事件集之后,还需要利用JSON文档对所述软件行为事件集进行存储,以便利用所述恶意行文特征库作为搜索条件,对所述软件行为事件集进行搜索。还可以通过列表的方式不断向文档中增加所述待检测软件的软件行为。文档中,软件行为对应的调用API时的参数的数量可以灵活进行调整。JSON文档如下所示:
Figure BDA0002410903480000072
Figure BDA0002410903480000081
其中,UUID为通用唯一识别码(Universally Unique Identifier)。
步骤S25:将预先构建的恶意行为特征库作为搜索条件,对所述软件行为事件集进行搜索。
步骤S26:如果所述软件行为事件集中的软件行为与所述恶意行为特征库中的恶意行为特征相匹配,则判定所述待检测软件为恶意软件。
参见图3所示,本申请实施例公开了一种恶意软件检测装置,应用于Elasticsearch,包括:
数据获模块11,用于获取待检测软件的软件行为事件集;
搜索模块12,用于将预先构建的恶意行为特征库作为搜索条件,对所述软件行为事件集进行搜索;
恶意软件判断模块13,用于在所述软件行为事件集中的软件行为与所述恶意行为特征库中的恶意行为特征相匹配时,则判定所述待检测软件为恶意软件。
可见,本申请先获取待检测软件的软件行为事件集,然后将预先构建的恶意行为特征库作为搜索条件,对所述软件行为事件集进行搜索,如果所述软件行为事件集中的软件行为与所述恶意行为特征库中的恶意行为特征相匹配,则判定所述待检测软件为恶意软件。由此可以看出,在本申请中,需要检测软件是否为恶意软件时,先获取待检测软件对应的软件行为事件集,然后利用预先构建出的恶意行为特征库作为搜索条件,对所述软件行为事件集进行搜索,如果所述软件行为事件集中的软件行为与所述恶意行为特征库中的恶意行为特征相匹配,则判定所述待检测软件为恶意软件,这样通过将构建好的恶意行为特征库作为搜索条件,对待检测软件的软件行为事件集进行搜索便可以检测出待检测软件是否为恶意软件,缩短了恶意软件检测时间,及时检测出恶意软件,提高了恶意软件检测效率和恶意软件检测率。
进一步的,参见图4所示,本申请实施例还公开了一种恶意软件检测设备,包括:处理器21和存储器22。
其中,所述存储器22,用于存储计算机程序;所述处理器21,用于执行所述计算机程序,以实现前述实施例中公开的恶意软件检测方法。
其中,关于上述恶意软件检测方法的具体过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
进一步的,参见图5为本申请实施例提供的一种电子设备20的结构示意图,所述电子设备20可以实现前述实施例中公开的恶意软件检测方法,该电子设备具体可以包括但不限于平板电脑、笔记本电脑或台式电脑等。
通常,本实施例中的电子设备20包括:处理器21和存储器22。
其中,处理器21可以包括一个或多个处理核心,比如四核心处理器、八核心处理器等。处理器21可以采用DSP(digital signal processing,数字信号处理)、FPGA(field-programmable gate array,现场可编程们阵列)、PLA(programmable logic array,可编程逻辑阵列)中的至少一种硬件来实现。处理器21也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称CPU(central processing unit,中应处理器);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器21可以集成有GPU(graphics processing unit,图像处理器),GPU用于负责显示屏所需要显示的图像的渲染和绘制。一些实施例中,处理器21可以包括AI(artificialintelligence,人工智能)处理器,该AI处理器用于处理有关机器学习的计算操作。
存储器22可以包括一个或多个计算机可读存储介质,计算机可读存储介质可以是非暂态的。存储器22还可以包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。本实施例中,存储器22至少用于存储以下计算机程序221,其中,该计算机程序被处理器21加载并执行之后,能够实现前述任一实施例中公开的恶意软件检测方法步骤。另外,存储器22所存储的资源还可以包括操作***222和数据223等,存储方式可以是短暂存储也可以是永久存储。其中,操作***222可以是Windows、Unix、Linux等。数据223可以包括各种各样的数据。
在一些实施例中,电子设备20还可包括有显示屏23、输入输出接口24、通信接口25、传感器26、电源27以及通信总线28。
本技术领域人员可以理解,图5中示出的结构并不构成对电子设备20的限定,可以包括比图示更多或更少的组件。
进一步的,本申请实施例还公开了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现以下步骤:
获取待检测软件的软件行为事件集;将预先构建的恶意行为特征库作为搜索条件,对所述软件行为事件集进行搜索;如果所述软件行为事件集中的软件行为与所述恶意行为特征库中的恶意行为特征相匹配,则判定所述待检测软件为恶意软件。
可见,本申请先获取待检测软件的软件行为事件集,然后将预先构建的恶意行为特征库作为搜索条件,对所述软件行为事件集进行搜索,如果所述软件行为事件集中的软件行为与所述恶意行为特征库中的恶意行为特征相匹配,则判定所述待检测软件为恶意软件。由此可以看出,在本申请中,需要检测软件是否为恶意软件时,先获取待检测软件对应的软件行为事件集,然后利用预先构建出的恶意行为特征库作为搜索条件,对所述软件行为事件集进行搜索,如果所述软件行为事件集中的软件行为与所述恶意行为特征库中的恶意行为特征相匹配,则判定所述待检测软件为恶意软件,这样通过将构建好的恶意行为特征库作为搜索条件,对待检测软件的软件行为事件集进行搜索便可以检测出待检测软件是否为恶意软件,缩短了恶意软件检测时间,及时检测出恶意软件,提高了恶意软件检测效率和恶意软件检测率。
本实施例中,所述计算机可读存储介质中保存的计算机子程序被处理器执行时,可以具体实现以下步骤:利用JSON文档对所述软件行为事件集进行存储。
本实施例中,所述计算机可读存储介质中保存的计算机子程序被处理器执行时,可以具体实现以下步骤:获取待检测软件的、包括所述待检测软件调用的API名称以及所述待检测软件调用API时的参数的软件行为事件集。
本实施例中,所述计算机可读存储介质中保存的计算机子程序被处理器执行时,可以具体实现以下步骤:获取恶意行为信息,其中,所述恶意行为信息包括恶意行为特征;对所述恶意行为信息进行预处理,并对预处理后的恶意行为信息按照预设格式进行存储,得到恶意行为特征库。
本实施例中,所述计算机可读存储介质中保存的计算机子程序被处理器执行时,可以具体实现以下步骤:将所述恶意行为信息中的所述恶意行为特征转化为判定查询逻辑;将包括所述判定查询逻辑的恶意行为信息按照JSON结构进行存储,得到恶意行为特征库。
本实施例中,所述计算机可读存储介质中保存的计算机子程序被处理器执行时,可以具体实现以下步骤:将所述恶意行为信息中的所述恶意行为特征转化为Bool Query对应的判定查询逻辑。
本实施例中,所述计算机可读存储介质中保存的计算机子程序被处理器执行时,可以具体实现以下步骤:将所述恶意行为信息中的所述恶意行为特征转化为模糊查询对应的判定查询逻辑;或,将所述恶意行为信息中的所述恶意行为特征转化为区间查询对应的判定查询逻辑;或,将所述恶意行为信息中的所述恶意行为特征转化为正则查询对应的判定查询逻辑。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或者操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得一系列包含其他要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本申请所提供的一种恶意软件检测方法、装置、设备、介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。

Claims (10)

1.一种恶意软件检测方法,其特征在于,应用于Elasticsearch,包括:
获取待检测软件的软件行为事件集;
将预先构建的恶意行为特征库作为搜索条件,对所述软件行为事件集进行搜索;
如果所述软件行为事件集中的软件行为与所述恶意行为特征库中的恶意行为特征相匹配,则判定所述待检测软件为恶意软件。
2.根据权利要求1所述的恶意软件检测方法,其特征在于,所述获取待检测软件的软件行为事件集之后,还包括:
利用JSON文档对所述软件行为事件集进行存储。
3.根据权利要求1所述的恶意软件检测方法,其特征在于,所述获取待检测软件的软件行为事件集,包括:
获取待检测软件的、包括所述待检测软件调用的API名称以及所述待检测软件调用API时的参数的软件行为事件集。
4.根据权利要求1所述的恶意软件检测方法,其特征在于,所述获取待检测软件的软件行为事件集之前,还包括:
获取恶意行为信息,其中,所述恶意行为信息包括恶意行为特征;
对所述恶意行为信息进行预处理,并对预处理后的恶意行为信息按照预设格式进行存储,得到恶意行为特征库。
5.根据权利要求4所述的恶意软件检测方法,其特征在于,所述对所述恶意行为信息进行预处理,并对预处理后的恶意行为信息按照预设格式进行存储,得到恶意行为特征库,包括:
将所述恶意行为信息中的所述恶意行为特征转化为判定查询逻辑;
将包括所述判定查询逻辑的恶意行为信息按照JSON结构进行存储,得到恶意行为特征库。
6.根据权利要求5所述的恶意软件检测方法,其特征在于,所述将所述恶意行为信息中的所述恶意行为特征转化为判定查询逻辑,包括:
将所述恶意行为信息中的所述恶意行为特征转化为Bool Query对应的判定查询逻辑。
7.根据权利要求5所述的恶意软件检测方法,其特征在于,所述将所述恶意行为信息中的所述恶意行为特征转化为判定查询逻辑,包括:
将所述恶意行为信息中的所述恶意行为特征转化为模糊查询对应的判定查询逻辑;
或,将所述恶意行为信息中的所述恶意行为特征转化为区间查询对应的判定查询逻辑;
或,将所述恶意行为信息中的所述恶意行为特征转化为正则查询对应的判定查询逻辑。
8.一种恶意软件检测装置,其特征在于,应用于Elasticsearch,包括:
数据获模块,用于获取待检测软件的软件行为事件集;
搜索模块,用于将预先构建的恶意行为特征库作为搜索条件,对所述软件行为事件集进行搜索;
恶意软件判断模块,用于在所述软件行为事件集中的软件行为与所述恶意行为特征库中的恶意行为特征相匹配时,则判定所述待检测软件为恶意软件。
9.一种恶意软件检测设备,其特征在于,包括:
存储器和处理器;
其中,所述存储器,用于存储计算机程序;
所述处理器,用于执行所述计算机程序,以实现权利要求1至7任一项所述的恶意软件检测方法。
10.一种计算机可读存储介质,其特征在于,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的恶意软件检测方法。
CN202010176201.2A 2020-03-13 2020-03-13 一种恶意软件检测方法、装置、设备、介质 Withdrawn CN111414617A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010176201.2A CN111414617A (zh) 2020-03-13 2020-03-13 一种恶意软件检测方法、装置、设备、介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010176201.2A CN111414617A (zh) 2020-03-13 2020-03-13 一种恶意软件检测方法、装置、设备、介质

Publications (1)

Publication Number Publication Date
CN111414617A true CN111414617A (zh) 2020-07-14

Family

ID=71491031

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010176201.2A Withdrawn CN111414617A (zh) 2020-03-13 2020-03-13 一种恶意软件检测方法、装置、设备、介质

Country Status (1)

Country Link
CN (1) CN111414617A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113010892A (zh) * 2021-03-26 2021-06-22 支付宝(杭州)信息技术有限公司 小程序恶意行为检测方法和装置
CN114969741A (zh) * 2022-06-07 2022-08-30 中国软件评测中心(工业和信息化部软件与集成电路促进中心) 恶意软件检测与分析方法、装置、设备和可读存储介质
CN114969731A (zh) * 2022-03-28 2022-08-30 慧之安信息技术股份有限公司 基于操作***的恶意软件检测方法和装置

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113010892A (zh) * 2021-03-26 2021-06-22 支付宝(杭州)信息技术有限公司 小程序恶意行为检测方法和装置
CN114969731A (zh) * 2022-03-28 2022-08-30 慧之安信息技术股份有限公司 基于操作***的恶意软件检测方法和装置
CN114969741A (zh) * 2022-06-07 2022-08-30 中国软件评测中心(工业和信息化部软件与集成电路促进中心) 恶意软件检测与分析方法、装置、设备和可读存储介质

Similar Documents

Publication Publication Date Title
CN111414617A (zh) 一种恶意软件检测方法、装置、设备、介质
US10778704B2 (en) Systems and methods for phishing and brand protection
US20160294867A1 (en) Method and system for security protection of account information
AU2014312473A1 (en) Apparatus and method for displaying chart in electronic device
CN106227585B (zh) 一种应用程序启动方法、装置及设备
CN103092604A (zh) 一种应用程序分类方法和装置
CN102968338A (zh) 用于电子设备的应用程序分类的方法、装置及电子设备
CN104978180B (zh) 一种未处理事件的提示方法、装置及移动终端
CN109492399B (zh) 风险文件检测方法、装置及计算机设备
CN106776610B (zh) 一种广告弹窗拦截方法及装置
CN113542442B (zh) 一种恶意域名检测方法、装置、设备及存储介质
AU2017268604B2 (en) Accumulated retrieval processing method, device, terminal, and storage medium
CN113805962A (zh) 应用页面的显示方法、装置以及电子设备
CN106789973B (zh) 页面的安全性检测方法及终端设备
CN113992615B (zh) 撤回消息的显示方法、装置、电子设备及存储介质
CN104182479B (zh) 一种处理信息的方法及装置
JP6294349B2 (ja) タブボタンの管理
KR101595936B1 (ko) 백신과 컴퓨터 최적화 기능을 구비한 컴퓨터 최적화 방법, 최적화 서버 및 컴퓨터 판독 가능한 기록매체
CN109240773B (zh) 解决房间串数据的方法、装置、终端及可读存储介质
US20120246723A1 (en) Windows kernel alteration searching method
WO2020132991A1 (zh) 应用推送方法、装置、移动终端及存储介质
CN106657316B (zh) 一种消息撤回方法及装置
CN113810342B (zh) 一种入侵检测方法、装置、设备、介质
CN108171014B (zh) 一种rtf可疑文件的检测方法、***及存储介质
WO2019153986A1 (zh) 应用的展示方法、装置、存储介质及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication

Application publication date: 20200714

WW01 Invention patent application withdrawn after publication