恶意样本的检测方法、装置、电子设备及存储介质与流程

本申请涉及网络安全，尤其涉及一种恶意样本的检测方法、装置、电子设备及存储介质。

背景技术：

1、随着网络在生产生活中的不断深入，网络安全保护变得愈发重要。其中一项保护工作就是防止恶意代码入侵待保护的计算机系统。

2、为了防止恶意代码入侵，就需要对恶意代码进行检测。目前，对恶意代码进行检测主要采取的方式为：构建一个虚拟的计算机环境，然后将待检测代码放置于该环境中运行，得到该代码的运行结果，进而通过该代码的运行结果确定该代码是否为恶意代码。如果该代码的运行结果中存在对计算机具有安全威胁的行为，例如：对计算机进行索权的行为，那么就确定该代码为恶意代码，如果该代码的运行结果中都是对计算机进行正常操作的行为，那么就确定该代码不是恶意代码。

3、然而，在构建的单一环境中运行代码，该代码可能会在该环境中的表现一切正常，但该代码实际上为恶意代码。而根据该代码的运行结果进行恶意检测，得到的检测结果也是该代码为非恶意代码，但这与该代码的实际情况相反。这样，就会降低恶意代码检测的准确性。

技术实现思路

1、本申请实施例的目的是提供一种恶意样本的检测方法、装置、电子设备及存储介质，以提高恶意代码检测的准确性。

2、为解决上述技术问题，本申请实施例提供如下技术方案：

3、本申请第一方面提供一种恶意样本的检测方法，所述方法包括：获取待检测的目标样本；基于预设环境对所述目标样本进行恶意分析，得到第一分析结果；判断所述第一分析结果是否符合预设恶意检测标准；若否，则确定所述预设环境的补充环境，基于所述补充环境对所述目标样本进行恶意分析，得到第二分析结果。

4、本申请第二方面提供一种恶意样本的检测装置，所述装置包括：获取模块，用于获取待检测的目标样本；分析模块，用于基于预设环境对所述目标样本进行恶意分析，得到第一分析结果；判断模块，用于判断所述第一分析结果是否符合预设恶意检测标准；若否，则进入补充模块；补充模块，用于确定所述预设环境的补充环境，基于所述补充环境对所述目标样本进行恶意分析，得到第二分析结果。

5、本申请第三方面提供一种电子设备，所述电子设备包括：处理器、存储器、总线；其中，所述处理器、所述存储器通过所述总线完成相互间的通信；所述处理器用于调用所述存储器中的程序指令，以执行第一方面中的方法。

6、本申请第四方面提供一种计算机可读存储介质，所述存储介质包括：存储的程序；其中，在所述程序运行时控制所述存储介质所在设备执行第一方面中的方法。

7、相较于现有技术，本申请第一方面提供的恶意样本的检测方法，在基于预设环境对待检测的目标样本进行恶意分析，得到第一分析结果后，判断第一分析结果是否符合预设恶意检测标准，若否，说明当前无法确定目标样本是否为恶意样本，继续基于预设环境的补充环境对目标样本进行恶意分析，得到第二分析结果，使得研判方能够基于第一分析结果和第二分析结果准确地确定目标样本是否为恶意样本。相比于仅基于第一分析结果无法准确地确定出目标样本是否为恶意样本，结合第二分析结果，能够发现目标样本在预设环境中无法发现的行为，进而更加准确地确定出目标样本是否为恶意样本，提高恶意样本检测的准确性。

8、本申请第二方面提供的恶意样本的检测装置、第三方面提供的电子设备、第四方面提供的计算机可读存储介质，与第一方面提供的恶意样本的检测方法具有相同或相似的有益效果。

技术特征：

1.一种恶意样本的检测方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述第一分析结果包括静态分析结果和动态分析结果，所述预设恶意检测标准为同一样本的静态分析结果与动态分析结果的恶意结论一致，所述判断所述第一分析结果是否符合预设恶意检测标准，包括：

3.根据权利要求1所述的方法，其特征在于，所述确定所述预设环境的补充环境，包括：

4.根据权利要求1所述的方法，其特征在于，在基于预设环境对所述目标样本进行恶意分析之前，所述方法还包括：

5.根据权利要求1所述的方法，其特征在于，所述恶意分析包括静态恶意特征分析和动态运行环境分析，所述基于所述补充环境对所述目标样本进行恶意分析，得到第二分析结果，包括：

6.根据权利要求5所述的方法，其特征在于，所述第一分析结果的数量为多个，所述从所述第一分析结果中获取所述目标样本进行静态恶意特征分析得到的静态分析结果，包括：

7.根据权利要求1至6中任一项所述的方法，在判断所述第一分析结果是否符合预设恶意检测标准之后，所述方法还包括：

8.根据权利要求7所述的方法，其特征在于，在显示所述第一分析结果之后，所述方法还包括：

9.根据权利要求7所述的方法，其特征在于，在显示所述第一分析结果和所述第二分析结果之后，所述方法还包括：

10.根据权利要求7所述的方法，其特征在于，在显示所述第一分析结果，或者，显示所述第一分析结果和所述第二分析结果之前，所述方法还包括：

11.根据权利要求7所述的方法，其特征在于，在显示所述第一分析结果和所述第二分析结果之前，所述方法还包括：

12.根据权利要求7所述的方法，其特征在于，在显示所述第一分析结果和所述第二分析结果之前，所述方法还包括：

13.一种恶意样本的检测装置，其特征在于，所述装置包括：

14.一种电子设备，其特征在于，所述电子设备包括：处理器、存储器、总线；其中，所述处理器、所述存储器通过所述总线完成相互间的通信；所述处理器用于调用所述存储器中的程序指令，以执行如权利要求1至12中任一项所述的方法。

15.一种计算机可读存储介质，其特征在于，所述存储介质包括：存储的程序；其中，在所述程序运行时控制所述存储介质所在设备执行如权利要求1至12中任一项所述的方法。

技术总结
本申请提供一种恶意样本的检测方法、装置、电子设备及存储介质，恶意样本的检测方法包括：获取待检测的目标样本；基于预设环境对目标样本进行恶意分析，得到第一分析结果；判断第一分析结果是否符合预设恶意检测标准；若否，则确定预设环境的补充环境，基于补充环境对目标样本进行恶意分析，得到第二分析结果。结合第二分析结果，能够发现目标样本在预设环境中无法发现的行为，进而更加准确地确定出目标样本是否为恶意样本，提高恶意样本检测的准确性。

技术研发人员：万文杰,谭杨,白敏,汪列军
受保护的技术使用者：奇安信科技集团股份有限公司
技术研发日：
技术公布日：2024/1/15