本發明的實施例公開一種樣本行為獲取方法、裝置、計算機可讀存儲介質及電子設備，涉及信息安全技術，能夠提升樣本行為檢測精度。所述樣本行為獲取方法包括：監測樣本對端口的監聽行為；若監測到所述樣本對所述端口具有監聽行為，構建與所述端口的連接；獲取所述樣本對截取的基于所述連接傳輸至所述端口的數據的樣本行為。本發明適用于提升對執行過程中有端口監聽行為的樣本的行為采集能力。

技術領域

本發明涉及信息安全技術，尤其涉及一種樣本行為獲取方法、裝置、存儲介質及電子設備。

背景技術

隨著互聯網技術的快速發展，網絡上的數據流量越來越多，使得一些惡意軟件通過網絡攻擊，能夠非法獲取用戶的數據流量，從而給用戶的網絡信息安全帶來極大的危害，并嚴重危害了網絡安全環境。

為了維護互聯網絡安全，需要對惡意軟件的網絡攻擊行為進行有效防范。目前，通常采用動態沙箱的方法對疑似惡意軟件(樣本)行為進行檢測及分析，由于惡意軟件在運行過程中存在端口監聽的行為，端口監聽行為是指惡意軟件在運行過程中監聽某一端口等待客戶端連接的行為。通過監聽端口，在等待到客戶端的連接后，可以接收傳輸至該端口的數據，從而對來自該端口的數據進行截取，通過獲取并分析該惡意軟件對截取數據的處理行為，可以最終確定該疑似惡意軟件是否為惡意軟件。

但該樣本行為獲取方法，由于網絡環境的局限，例如，當動態沙箱所處的網絡環境不能夠訪問外網(公網/互聯網)，或者，動態沙箱系統操作系統的限制，例如，由于操作系統中防火墻限制或IP地址配置存在問題時，將導致樣本處于一孤立的網絡環境中，樣本監聽的端口無法與外界進行通信，使得樣本監聽的端口接收不到來自外界的任何數據，進而不會觸發樣本對截取數據的后續處理流程，無法獲取該樣本的樣本行為，例如，對截取數據的操作行為，而這些數據操作行為有可能是危險的，從而在動態沙箱的樣本行為獲取方法中，該相關數據操作危險行為被遺漏，降低了動態沙箱的檢測精度，影響動態沙箱的行為檢測能力。

發明內容

有鑒于此，本發明實施例提供一種樣本行為獲取方法、裝置、存儲介質及電子設備，能夠提升樣本行為檢測精度，以解決現有的樣本行為獲取方法中，由于網絡環境的局限或操作系統的限制不能采集樣本行為導致的樣本行為檢測精度低的技術問題。

第一方面，本發明實施例提供一種樣本行為獲取方法，包括：

監測樣本對端口的監聽行為；

若監測到所述樣本對所述端口具有監聽行為，構建與所述端口的連接；其中，所述構建與所述端口的連接，包括：向accept()函數注冊預先設置的hook函數；在確定所述樣本對所述端口具有監聽行為后，觸發所述hook函數取消對所述accept()函數的阻塞狀態；向所述accept()函數返回一新套接字標識號，以使所述accept()函數依據所述新套接字標識號，構建所述端口和所述hook函數的連接；其中，所述觸發所述hook函數取消對所述accept()函數的阻塞狀態包括：觸發所述hook函數構建一虛擬客戶端；依據所述hook函數中的自定義邏輯，通過所述虛擬客戶端向所述accept()函數發送連接請求，以使所述accept()函數接收到所述連接請求后，取消阻塞狀態；

獲取所述樣本對截取的基于所述連接傳輸至所述端口的數據的樣本行為。

結合第一方面，在第一方面的第一種實施方式中，所述監測樣本對端口的監聽行為包括：

向listen()函數注冊預先設置的hook函數，以使所述hook函數監測對所述listen()函數的調用行為。

結合第一方面，在第一方面的第二種實施方式中，所述監測樣本對端口的監聽行為包括：

利用注入方法將預先設置的hook函數注入到樣本進程中，以監測所述樣本進程對端口的監聽行為。

結合第一方面的第一種實施方式或第二種實施方式，在第一方面的第三種實施方式中，所述若監測到所述樣本對所述端口具有監聽行為包括：