2. 专利
  3. 恶意样本的报文信息获取方法、装置、设备及存储介质与流程

恶意样本的报文信息获取方法、装置、设备及存储介质与流程

专利2022-05-09  117
本发明实施例涉及网络安全
技术领域
:,尤其涉及一种恶意样本的报文信息获取方法、装置、设备及存储介质。
背景技术
::随着互联网技术的不断发展,存在越来越多的恶意行为对计算机进行攻击并收集敏感信息,因此,对于触发上述恶意行为的恶意样本的研究和分析,对提升网络安全具有重要意义。恶意样本,即故意编制或设置的,对计算机网络或系统存在威胁或潜在威胁的程序代码;目前,对于恶意样本的信息获取,通常是基于沙箱进行的,同时为了避免恶意样本运行过程中,对网络进行攻击,沙箱需要进行隔离处理;然而,沙箱采取隔离后,恶意样本的互联网访问行为被限制,无法获取较为完整的样本数据,捕捉不到相关的网络行为和数据,导致采集的样本动态行为数据不完整,无法实现对恶意样本的准确分析。技术实现要素:本发明实施例提供了一种恶意样本的报文信息获取方法、装置、设备及存储介质,以实现对恶意样本的报文信息的自动获取。第一方面,本发明实施例提供了一种恶意样本的报文信息获取方法,包括:获取待测试的恶意样本,并通过离线沙箱运行所述恶意样本;当获取到所述恶意样本发出的网际协议访问请求时,获取所述网际协议访问请求的协议类型,并根据所述网际协议访问请求的协议类型,确定匹配的访问端口;通过所述访问端口,获取所述恶意样本发出的报文信息。第二方面,本发明实施例提供了一种恶意样本的报文信息获取装置,包括:样本获取模块,用于获取待测试的恶意样本,并通过离线沙箱运行所述恶意样本;端口确定模块,用于当获取到所述恶意样本发出的网际协议访问请求时,获取所述网际协议访问请求的协议类型,并根据所述网际协议访问请求的协议类型,确定匹配的访问端口;报文信息获取模块,用于通过所述访问端口,获取所述恶意样本发出的报文信息。第三方面,本发明实施例提供了一种电子设备,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本发明任意实施例所述的恶意样本的报文信息获取方法。第四方面,本发明实施例还提供了一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行本发明任意实施例所述的恶意样本的报文信息获取方法。本发明实施例中公开的技术方案,在获取待测试的恶意样本时,通过离线沙箱运行恶意样本;并在获取到恶意样本发出的网际协议访问请求时,获取当前网际协议访问请求的协议类型,并根据网际协议访问请求的协议类型,确定匹配的访问端口;通过访问端口,获取恶意样本发出的报文信息,实现了恶意样本的报文信息的自动获取,并通过离线沙箱运行恶意样本,保证了报文信息获取的安全性;同时通过访问端口对恶意样本的请求进行反馈,引导恶意样本发出报文信息,实现了对恶意样本的恶意行为信息的获取。附图说明图1是本发明实施例一提供的一种恶意样本的报文信息获取方法的流程图;图2是本发明实施例二提供的一种恶意样本的报文信息获取方法的流程图;图3是本发明实施例三提供的一种恶意样本的报文信息获取装置的结构框图;图4是本发明实施例四提供的一种电子设备的结构框图。具体实施方式下面将参照附图更详细地描述本公开的实施例。虽然附图中显示了本公开的某些实施例,然而应当理解的是,本公开可以通过各种形式来实现,而且不应该被解释为限于这里阐述的实施例,相反提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是,本公开的附图及实施例仅用于示例性作用,并非用于限制本公开的保护范围。应当理解,本公开的方法实施方式中记载的各个步骤可以按照不同的顺序执行,和/或并行执行。此外,方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本公开的范围在此方面不受限制。本文使用的术语“包括”及其变形是开放性包括,即“包括但不限于”。术语“基于”是“至少部分地基于”。术语“一个实施例”表示“至少一个实施例”;术语“另一实施例”表示“至少一个另外的实施例”;术语“一些实施例”表示“至少一些实施例”。其他术语的相关定义将在下文描述中给出。需要注意,本公开中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分,并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。需要注意,本公开中提及的“一个”、“多个”的修饰是示意性而非限制性的,本领域技术人员应当理解,除非在上下文另有明确指出,否则应该理解为“一个或多个”。本公开实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的,而并不是用于对这些消息或信息的范围进行限制。实施例一图1为本发明实施例一提供的一种恶意样本的报文信息获取方法的流程图,本实施例可适用于通过离线沙箱运行待测试的恶意样本,获取恶意样本的报文信息,该方法可以由本发明实施例中的恶意样本的报文信息获取装置来执行,该装置可以通过软件和/或硬件实现,并集成在电子设备中,典型的,可以集成在计算机设备中,该方法具体包括如下步骤:s110、获取待测试的恶意样本,并通过离线沙箱运行所述恶意样本。需要说明的是,通过恶意样本,组织内部或者外部的攻击者可以实现对口令或密钥的获取、对私人通信的记录以及对非法资源访问权限的获取,进而对计算机网络或系统造成不同程度的破坏。因此,通过在离线沙箱中运行上述恶意样本,获取其对应的网络攻击行为(例如,非法资源的下载和系统文件的更改),并对恶意代码进行溯源,可以实现对后续相同类型恶意样本的网络攻击的防范,提升了计算机网络的安全性。其中,待测试的恶意样本,可以为在网络中获取的现有恶意样本,或者为通过本地的防火墙或安全软件截获的恶意程序;可选的,在本发明实施例中,在获取到待测试的恶意样本后,可以首先对恶意样本进行初始的静态检测;即不运行恶意样本,仅对恶意样本对应源程序的语法、结构、过程和接口信息进行检查,以获取当前恶意样本的静态特征;对于同一恶意样本家族代码的复用会导致恶意样本作者或团队的编码具有编码相似性,通过将当前恶意样本的静态特征与已知的恶意样本的静态特征进行相似性的对比,可实现对当前恶意样本所属家族或类别的识别。进一步的,通过离线沙箱运行当前待测试的恶意样本,以获取恶意样本的动态特征,通过动态特征对恶意样本进行识别,可进一步提升对恶意样本的识别准确度;其中,沙箱,为一种按照安全策略限制程序行为的执行环境,本发明实施例中,采用沙箱对恶意样本进行自动化分析;离线沙箱,为运行在一个物理隔离或访问限制的网络环境的沙箱,可以实现对恶意样本的域名系统请求信息的获取;恶意样本在离线沙箱中运行时,无法访问互联网,可以避免在对恶意样本进行动态测试时,对现实网络或系统造成实质性的攻击;具体的,在计算机中划分一定的存储空间,通过容器或虚拟机搭建恶意样本的虚拟执行环境,并捕捉和记录恶意样本运行的行为,进而实现对恶意样本的动态行为分析。特别的,本发明实施例中,在一台计算机中,可以运行多个离线沙箱,进而实现对多个恶意样本的同时测试,提升了对恶意样本的测试效率。s120、当获取到所述恶意样本发出的网际协议访问请求时,获取所述网际协议访问请求的协议类型,并根据所述网际协议访问请求的协议类型,确定匹配的访问端口。网际协议访问请求,为恶意样本发送的,针对特定网际协议(internetprotocol,ip)地址进行访问的请求信息,可以包括访问请求的具体内容,例如,针对特定资源的下载,或者对本地特定资源的上传。具体的,在通过离线沙箱对恶意样本进行运行后,若恶意样本中已包括需要访问的目标ip地址,恶意样本会直接向目标ip地址发送对应的ip访问请求;离线沙箱对当前恶意样本的ip访问请求进行截获,并对获取的请求信息进行内容解析,以获取请求信息对应的协议类型;进一步的,沙箱所在的计算机设备中预先构建了多个模拟端口,在根据协议类型确定对应的访问端口后,可以根据预先建立的协议类型与访问端口的映射关系,根据获取到的当前恶意样本的协议类型,查找匹配的映射关系,进而获取匹配的访问端口。通过在获取到ip访问请求时,确定对应的协议类型以及匹配的访问端口,实现了对与恶意样本对应的访问端口的获取,进而实现了对当前的请求信息对应的反馈信息的生成;其中,恶意样本发出的网际协议访问请求,可以通过iptables进行截取;iptables,为基于linux操作系统平台的防火墙软件,可实现对网际协议地址、端口和协议等访问请求的允许、阻止和转发控制。其中,网际协议访问请求的协议类型可以包括传输控制协议和/或用户数据报协议;传输控制协议(transmissioncontrolprotocol,tcp),为一种基于字节流的可靠传输层通信协议,可以建立客户端与服务器间的可靠链接,数据传输更加可靠,安全性更高;用户数据报协议(userdatagramprotocol,udp),为一种支持无连接的传输层传输协议,即应用程序无需建立与服务器的连接,即可向服务器发送封装完成的ip数据报文,数据传输速度更快,效率更高。tcp和udp为传输层的两个主要协议,互为补充;本发明实施例,针对不同协议类型的ip访问请求,预先建立匹配的访问端口,实现了对基于不同协议类型的访问请求的处理与反馈。可选的,在本发明实施例中,在获取到所述恶意样本发出的网际协议访问请求前,还可以包括:当获取到所述恶意样本发出域名系统请求时,通过域名系统端口,向所述恶意样本发送域名系统返回包;其中,所述域名系统返回包中的网际协议地址为预设网际协议地址。其中,域名系统(domainnamesystem,dns)请求,为恶意样本发送至特定域名地址的,以获取当前域名地址对应的ip地址的请求信息;域名系统端口,为预先建立的用于对dns请求进行处理与反馈的模拟端口。具体的,若恶意样本中不包括需要访问的目标ip地址,仅包括访问的目标域名,恶意样本会根据目标域名,生成对应的dns请求发送至目标域名地址,以获取与目标域名对应的目标ip地址;离线沙箱对恶意样本发送的dns请求进行截获,并转发至对应的dns端口;dns端口在接收到离线沙箱转发的dns请求后,生成包含预设网际协议地址的返回包,并通过离线沙箱转发至当前运行的恶意样本;通过dns端口已将恶意样本想要访问的真实ip地址,修改为预设ip地址,恶意样本在接收到返回包后,会将预设ip地址作为后续进行数据传输的目标ip地址,并向预设ip地址发送后续的ip访问请求;其中,预设网际协议地址,为预先设置的代替dns请求对应实际ip地址的ip地址,可以为计算机设备的本地ip地址。通过离线沙箱对恶意样本的dns请求进行截获和转发,并通过域名系统端口对dns请求进行处理和反馈,使得恶意样本将预设ip地址作为目标ip地址,进而发送后续的请求信息,实现了对恶意样本的行为数据的获取。可选的,在本发明实施例中,在获取到所述恶意样本发出的网际协议访问请求前,还可以包括:当获取到所述恶意样本发出的公网连接验证请求时,响应所述公网连接验证请求。其中,公网连接验证请求,为恶意样本对当前所处的互联网环境进行判断验证的请求;特别的,部分恶意样本会对当前的网络环境进行验证,以判断当前是否处于联网状态;只有在确定当前处于联网状态时,才会发送后续的请求报文信息,故当计算机设备在通过离线沙箱,获取到恶意样本发出的公网连接验证请求后,将其转发至对应的模拟端口;模拟端口在获取到对应的公网连接验证请求后,生成对应的响应信息,并通过离线沙箱反馈至恶意样本。通过对恶意样本的公网连接验证请求进行响应,使得恶意样本确认处于联网状态,进而可实现对后续请求信息的获取。s130、通过所述访问端口,获取所述恶意样本发出的报文信息。其中,报文信息,为恶意样本发送的,包含恶意样本实际网络行为信息的报文数据;通过恶意样本的报文信息,可获取恶意样本的网络访问行为,进而可以实现对恶意样本的网络行为分析。具体的,在根据恶意样本的网际协议访问请求的协议类型,确定匹配的访问端口后,通过离线沙箱对恶意样本后续的报文信息进行截获,并转发至当前访问端口;进而通过当前访问端口,获取离线沙箱转发的报文信息。特别的,获取恶意样本发出的报文信息的方式,与当前报文信息所基于的通信协议类型相关,例如,报文信息基于udp协议,则可以直接通过匹配的访问端口,获取当前报文信息,无需建立访问端口与恶意样本间的稳定通信链路。通过访问端口,获取恶意样本的报文信息,实现了对恶意样本的报文信息的获取,进而通过对报文信息进行分析,实现了对恶意样本的恶意行为的获取。可选的,在本发明实施例中,若所述网际协议访问请求的协议类型为传输控制协议,则在通过所述访问端口,获取所述恶意样本发出的报文信息前,还可以包括:建立所述访问端口与所述恶意样本的通信链路。其中,若当前网际协议访问请求的协议类型为传输控制协议,在进行正式的报文信息传输之前,需要通过“三次握手”建立访问端口与恶意样本的通信链路;具体的,在获取到ip访问请求后,对当前ip访问请求进行解析,以获取ip访问请求的协议类型;当确定ip访问请求基于tcp协议时,则通过当前访问端口对“三次握手”过程进行模拟并生成对应的反馈信息,以建立当前访问端口与恶意样本间的tcp通信链路;通过建立访问端口与恶意样本的通信链路,实现了对基于tcp协议的报文信息的获取。可选的,在本发明实施例中,所述通过所述请求端口,获取所述恶意样本发出的报文信息,可以包括:获取所述恶意样本发出的首个报文信息,并根据所述首个报文信息获取所述恶意样本的网络行为和回连路径;根据所述首个报文信息的网络行为和回连路径,生成与所述恶意样本对应的日志文件。其中,网络行为,为恶意样本访问网络时执行的操作,例如,对非法资源的访问或下载;回连路径,为恶意样本获取的网络访问数据的返回存储路径;通过恶意样本的回连路径,可对恶意样本的ip地址进行溯源与追踪,进而可以对攻击者进行定位与追责。具体的,恶意样本的首个报文信息通常包括其恶意行为,在本发明实施例中,在获取恶意样本发出的首个正式报文信息后,可以不对获取的报文信息进行后续的反馈,即只获取恶意样本的首个报文信息;并通过对获取的首个报文信息进行内容解析,以获取其对应的网络行为和回连路径;进而建立恶意样本的标识、网络行为和回连路径的映射关系,并根据建立的映射关系,生成与恶意样本对应的日志文件。通过获取恶意样本的首个报文信息,并获取对应的网络行为和回连路径,进而生成对应的日志文件;减少了获取的报文信息的数据量,提升了获取待测试的恶意样本对应的恶意网络行为的速度,进而提升了对恶意样本进行测试的效率。本发明实施例中公开的技术方案,在获取待测试的恶意样本时,通过离线沙箱运行恶意样本;并在获取到恶意样本发出的网际协议访问请求时,获取当前网际协议访问请求的协议类型,并根据网际协议访问请求的协议类型,确定匹配的访问端口;通过访问端口,获取恶意样本发出的报文信息,实现了恶意样本的报文信息的自动获取,通过离线沙箱运行恶意样本,保证了报文信息获取的安全性;同时通过访问端口对恶意样本的请求进行反馈,引导恶意样本发出报文信息,实现了对恶意样本的恶意网络行为信息的获取。实施例二图2为本发明实施例二提供的一种恶意样本的报文信息获取方法的流程图,本实施例在上述实施例的基础上进行具体化,在本实施例中,通过对恶意样本的首个报文信息进行反馈,以获取恶意样本的更加准确的网络行为信息,进而获取与恶意样本对应的日志文件,该方法具体包括:s210、获取待测试的恶意样本,并通过离线沙箱运行所述恶意样本。s220、当获取到所述恶意样本发出的网际协议访问请求时,获取所述网际协议访问请求的协议类型,并根据所述网际协议访问请求的协议类型,确定匹配的访问端口。s230、获取所述恶意样本发出的首个报文信息,并根据所述首个报文信息获取所述恶意样本的网络行为和回连路径。s240、构造响应报文信息,并将所述响应报文信息发送给所述恶意样本,以使所述恶意样本根据所述响应报文信息,继续发出其它报文信息,直至所述恶意样本的代码逻辑执行完毕。具体的,在获取到恶意样本发出的首个报文信息,并根据首个报文信息获取到当前恶意样本的网络行为和回连路径后;通过访问端口,根据恶意样本的网络行为构造匹配的响应报文信息,并将构造的响应报文信息反馈至恶意样本,例如,当恶意样本的网络行为为上传数据时,通过访问端口给予确定上传成功的反馈信息,此时反馈信息中不含具体的反馈数据;又如,当恶意样本的网络行为为下载特定数据时,通过访问端口将本地存储的虚假信息(例如,页面、数据资源包等)反馈至对应的回连路径,特别的,可以根据特定的网络行为,对虚假数据进行对应的修改;恶意样本在接收到响应报文信息后,发送后续的报文信息;重复上述过程,直至恶意样本完全执行完毕。通过构造恶意样本的报文信息对应的响应报文信息,使得恶意样本进行后续报文信息的发送,实现了对恶意样本的完整报文信息的获取,进而实现了对恶意样本的完整网络行为的获取。其中,在判断当前恶意样本是否完全执行完毕时,可以包括若在预设时间内未获取到后续的报文信息,则确定当前恶意样本执行完毕;或者通过离线沙箱监测当前恶意样本的代码执行进度,若确定代码执行完毕,则确定当前恶意样本执行完毕。通过对恶意样本的执行进度进行判断,进而在确定恶意样本完全执行完毕后,结束对当前恶意样本的测试,实现了对恶意样本的测试分析的终止。s250、根据所述恶意样本发出的各个报文信息的网络行为和回连路径,生成与所述恶意样本对应的日志文件。具体的,对获取的恶意样本的每个报文信息进行解析,以获取报文信息中的负载部分,即传输的实际信息;进而获取每个报文信息的网络行为和回连路径,并根据获取的网络行为和回连路径生成对应的日志文件。可选的,在本发明实施例中,在获取到各个报文信息的网络行为和回连路径后,还可以包括:对获取的全部网络行为和回连路径进行筛选,以获取无重复的网络行为和回连路径,并根据筛选后的网络行为和回连路径生成与恶意样本对应日志文件。通过获取恶意样本的各个报文信息对应的网络行为和回连路径,并生成对应的日志文件,提升了对恶意样本进行测试的准确度,实现了更加准确的恶意样本的网络访问行为的获取。本发明实施例中公开的技术方案,在获取到恶意样本发出的首个报文信息,并根据首个报文信息获取到恶意样本的网络行为和回连路径后,构造响应报文信息,并将响应报文信息发送给恶意样本,以使恶意样本根据响应报文信息,继续发出其它报文信息,直至恶意样本的代码逻辑执行完毕;并根据恶意样本发出的各个报文信息的网络行为和回连路径,生成与恶意样本对应的日志文件,实现了恶意样本的完整报文信息的自动获取,同时通过根据各个报文信息的网络行为和回连路径,生成对应的日志文件,实现了与恶意样本对应的日志文件的获取,并提升了获取的日志文件的准确度。实施例三图3是本发明实施例三所提供的一种恶意样本的报文信息获取装置的结构框图,该装置具体包括:样本获取模块301、端口确定模块302和报文信息获取模块303;样本获取模块301,用于获取待测试的恶意样本,并通过离线沙箱运行所述恶意样本;端口确定模块302,用于当获取到所述恶意样本发出的网际协议访问请求时,获取所述网际协议访问请求的协议类型,并根据所述网际协议访问请求的协议类型,确定匹配的访问端口;报文信息获取模块303,用于通过所述访问端口,获取所述恶意样本发出的报文信息。本发明实施例中公开的技术方案,在获取待测试的恶意样本时,通过离线沙箱运行恶意样本;并在获取到恶意样本发出的网际协议访问请求时,获取当前网际协议访问请求的协议类型,并根据网际协议访问请求的协议类型,确定匹配的访问端口;通过访问端口,获取恶意样本发出的报文信息,实现了恶意样本的报文信息的自动获取,通过离线沙箱运行恶意样本,保证了报文信息获取的安全性;同时通过访问端口对恶意样本的请求进行反馈,引导恶意样本发出报文信息,实现了对恶意样本的恶意行为信息的获取。可选的,在上述技术方案的基础上,所述网际协议访问请求的协议类型包括传输控制协议和/或用户数据报协议。可选的,在上述技术方案的基础上,恶意样本的报文信息获取装置,还包括:链路建立模块,用于若所述网际协议访问请求的协议类型为传输控制协议,则在通过所述访问端口,获取所述恶意样本发出的报文信息前,建立所述访问端口与所述恶意样本的通信链路。可选的,在上述技术方案的基础上,恶意样本的报文信息获取装置,还包括:返回包发送模块,用于当获取到所述恶意样本发出域名系统请求时,通过域名系统端口,向所述恶意样本发送域名系统返回包;其中,所述域名系统返回包中的网际协议地址为预设网际协议地址。可选的,在上述技术方案的基础上,恶意样本的报文信息获取装置,还包括:请求响应模块,用于当获取到所述恶意样本发出的公网连接验证请求时,响应所述公网连接验证请求。可选的,在上述技术方案的基础上,报文信息获取模块303,包括:网络行为获取单元,用于获取所述恶意样本发出的首个报文信息,并根据所述首个报文信息获取所述恶意样本的网络行为和回连路径;日志生成单元,用于根据所述首个报文信息的网络行为和回连路径,生成与所述恶意样本对应的日志文件。可选的,在上述技术方案的基础上,报文信息获取模块303,还包括:响应报文构造单元,用于构造响应报文信息,并将所述响应报文信息发送给所述恶意样本,以使所述恶意样本根据所述响应报文信息,继续发出其它报文信息,直至所述恶意样本的代码逻辑执行完毕。可选的,在上述技术方案的基础上,日志生成单元,具体用于根据所述恶意样本发出的各个报文信息的网络行为和回连路径,生成与所述恶意样本对应的日志文件。上述装置可执行本发明任意实施例所提供的恶意样本的报文信息获取方法,具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节,可参见本发明任意实施例提供的方法。实施例四图4为本发明实施例四提供的一种电子设备的结构示意图。图4示出了适于用来实现本发明实施方式的示例性电子设备12的框图。图4显示的电子设备12仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。如图4所示,电子设备12以通用计算设备的形式表现。电子设备12的组件可以包括但不限于:一个或者多个处理器或者处理单元16,存储器28,连接不同系统组件(包括存储器28和处理单元16)的总线18。总线18表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(isa)总线,微通道体系结构(mac)总线,增强型isa总线、视频电子标准协会(vesa)局域总线以及外围组件互连(pci)总线。电子设备12典型地包括多种计算机系统可读介质。这些介质可以是任何能够被电子设备12访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。存储器28可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(ram)30和/或高速缓存存储器32。电子设备12可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统34可以用于读写不可移动的、非易失性磁介质(图4未显示,通常称为“硬盘驱动器”)。尽管图4中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如cd-rom,dvd-rom或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线18相连。存储器28可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。具有一组(至少一个)程序模块42的程序/实用工具40,可以存储在例如存储器28中,这样的程序模块42包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块42通常执行本发明所描述的实施例中的功能和/或方法。电子设备12也可以与一个或多个外部设备14(例如键盘、指向设备、显示器24等)通信,还可与一个或者多个使得用户能与该电子设备12交互的设备通信,和/或与使得该电子设备12能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口22进行。并且,电子设备12还可以通过网络适配器20与一个或者多个网络(例如局域网(lan),广域网(wan)和/或公共网络,例如因特网)通信。如图所示,网络适配器20通过总线18与电子设备12的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备12使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。处理单元16通过运行存储在存储器28中的程序,从而执行各种功能应用以及数据处理,例如实现本发明任意实施例提供的恶意样本的报文信息获取方法。也即:获取待测试的恶意样本,并通过离线沙箱运行所述恶意样本;当获取到所述恶意样本发出的网际协议访问请求时,获取所述网际协议访问请求的协议类型,并根据所述网际协议访问请求的协议类型,确定匹配的访问端口;通过所述访问端口,获取所述恶意样本发出的报文信息。实施例五本发明实施例五还提供了一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行本发明任意实施例所述的恶意样本的报文信息获取方法,该方法包括:获取待测试的恶意样本,并通过离线沙箱运行所述恶意样本;当获取到所述恶意样本发出的网际协议访问请求时,获取所述网际协议访问请求的协议类型,并根据所述网际协议访问请求的协议类型,确定匹配的访问端口;通过所述访问端口,获取所述恶意样本发出的报文信息。本发明实施例的计算机存储介质,可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于无线、电线、光缆、rf等等,或者上述的任意合适的组合。可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如java、smalltalk、c ,还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(lan)或广域网(wan)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。当前第1页1 2 3 当前第1页1 2 3 
技术特征:

1.一种恶意样本的报文信息获取方法,其特征在于,包括:

获取待测试的恶意样本,并通过离线沙箱运行所述恶意样本;

当获取到所述恶意样本发出的网际协议访问请求时,获取所述网际协议访问请求的协议类型,并根据所述网际协议访问请求的协议类型,确定匹配的访问端口;

通过所述访问端口,获取所述恶意样本发出的报文信息。

2.根据权利要求1所述的方法,其特征在于,所述网际协议访问请求的协议类型包括传输控制协议和/或用户数据报协议。

3.根据权利要求2所述的方法,其特征在于,若所述网际协议访问请求的协议类型为传输控制协议,则在通过所述访问端口,获取所述恶意样本发出的报文信息前,还包括:

建立所述访问端口与所述恶意样本的通信链路。

4.根据权利要求1所述的方法,其特征在于,在获取到所述恶意样本发出的网际协议访问请求前,还包括:

当获取到所述恶意样本发出域名系统请求时,通过域名系统端口,向所述恶意样本发送域名系统返回包;其中,所述域名系统返回包中的网际协议地址为预设网际协议地址。

5.根据权利要求1所述的方法,其特征在于,在获取到所述恶意样本发出的网际协议访问请求前,还包括:

当获取到所述恶意样本发出的公网连接验证请求时,响应所述公网连接验证请求。

6.根据权利要求1所述的方法,其特征在于,所述通过所述请求端口,获取所述恶意样本发出的报文信息,包括:

获取所述恶意样本发出的首个报文信息,并根据所述首个报文信息获取所述恶意样本的网络行为和回连路径;

根据所述首个报文信息的网络行为和回连路径,生成与所述恶意样本对应的日志文件。

7.根据权利要求6所述的方法,其特征在于,在获取所述恶意样本发出的首个报文信息,并根据所述首个报文信息获取所述恶意样本的网络行为和回连路径后,还包括:

构造响应报文信息,并将所述响应报文信息发送给所述恶意样本,以使所述恶意样本根据所述响应报文信息,继续发出其它报文信息,直至所述恶意样本的代码逻辑执行完毕;

根据所述恶意样本发出的各个报文信息的网络行为和回连路径,生成与所述恶意样本对应的日志文件。

8.一种恶意样本的报文信息获取装置,其特征在于,包括:

样本获取模块,用于获取待测试的恶意样本,并通过离线沙箱运行所述恶意样本;

端口确定模块,用于当获取到所述恶意样本发出的网际协议访问请求时,获取所述网际协议访问请求的协议类型,并根据所述网际协议访问请求的协议类型,确定匹配的访问端口;

报文信息获取模块,用于通过所述访问端口,获取所述恶意样本发出的报文信息。

9.一种电子设备,其特征在于,包括:

一个或多个处理器;

存储装置,用于存储一个或多个程序,

当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一项所述的恶意样本的报文信息获取方法。

10.一种包含计算机可执行指令的存储介质,其特征在于,所述计算机可执行指令在由计算机处理器执行时用于执行如权利要求1-7中任一所述的恶意样本的报文信息获取方法。

技术总结
本发明实施例公开了一种恶意样本的报文信息获取方法、装置、设备及存储介质,该方法包括:获取待测试的恶意样本,并通过离线沙箱运行所述恶意样本;当获取到所述恶意样本发出的网际协议访问请求时,获取所述网际协议访问请求的协议类型,并根据所述网际协议访问请求的协议类型,确定匹配的访问端口;通过所述访问端口,获取所述恶意样本发出的报文信息,实现了恶意样本的报文信息的自动获取,且通过离线沙箱运行恶意样本,保证了报文信息获取的安全性;同时通过访问端口对恶意样本的请求进行反馈,引导恶意样本发出报文信息,实现了对恶意样本的恶意行为信息的获取。

技术研发人员:周忠义;傅强;阿曼太;梁彧;田野;王杰;杨满智;蔡琳;金红;陈晓光
受保护的技术使用者:北京恒安嘉新安全技术有限公司
技术研发日:2021.04.30
技术公布日:2021.08.03

转载请注明原文地址:https://doc.8miu.com/read-2209.html

专利

最新回复(0)