本申請公開了一種惡意軟件檢測方法、裝置、設備、介質，該方法包括：獲取待檢測軟件的軟件行為事件集；將預先構建的惡意行為特征庫作為搜索條件，對所述軟件行為事件集進行搜索；如果所述軟件行為事件集中的軟件行為與所述惡意行為特征庫中的惡意行為特征相匹配，則判定所述待檢測軟件為惡意軟件。這樣通過將構建好的惡意行為特征庫作為搜索條件，對待檢測軟件的軟件行為事件集進行搜索便可以檢測出待檢測軟件是否為惡意軟件，縮短了惡意軟件檢測時間，及時檢測出惡意軟件，提高了惡意軟件檢測效率和惡意軟件檢測率。

技術領域

本申請涉及軟件安全技術領域，特別涉及一種惡意軟件檢測方法、裝置、設備、介質。

背景技術

隨著計算機技術的不斷發展，各種各樣的軟件越來越多，其中就夾雜著很多惡意軟件，惡意軟件一旦安裝到設備上，便會威脅到用戶的信息安全，因此需要對惡意軟件進行檢測，確定出哪些軟件是惡意軟件，以便減少惡意軟件帶來的損失。現有的惡意軟件檢測方法主要包括，一是利用惡意軟件黑名單檢測惡意軟件，二是通過掃描軟件二進制文件的特征碼進行惡意軟件的檢測。但惡意軟件黑名單并不能覆蓋所有的惡意軟件，所以會存在很多漏檢的情況，降低惡意軟件的檢測率，而軟件二進制文件中的特征碼的更新滯后于新惡意軟件的更新，所以檢測具有時延且檢測效率低。

發明內容

有鑒于此，本申請的目的在于提供一種惡意軟件檢測方法、裝置、設備、介質，能夠及時檢測出惡意軟件，提高惡意軟件檢測效率和惡意軟件檢測率。

其具體方案如下：

第一方面，本申請公開了一種惡意軟件檢測方法，應用于Elasticsearch，包括：

獲取待檢測軟件的軟件行為事件集；

將預先構建的惡意行為特征庫作為搜索條件，對所述軟件行為事件集進行搜索；

如果所述軟件行為事件集中的軟件行為與所述惡意行為特征庫中的惡意行為特征相匹配，則判定所述待檢測軟件為惡意軟件。

可選的，所述獲取待檢測軟件的軟件行為事件集之后，還包括：

利用JSON文檔對所述軟件行為事件集進行存儲。

可選的，所述獲取待檢測軟件的軟件行為事件集，包括：

獲取待檢測軟件的、包括所述待檢測軟件調用的API名稱以及所述待檢測軟件調用API時的參數的軟件行為事件集。

可選的，所述獲取待檢測軟件的軟件行為事件集之前，還包括：

獲取惡意行為信息，其中，所述惡意行為信息包括惡意行為特征；

對所述惡意行為信息進行預處理，并對預處理后的惡意行為信息按照預設格式進行存儲，得到惡意行為特征庫。

可選的，所述對所述惡意行為信息進行預處理，并對預處理后的惡意行為信息按照預設格式進行存儲，得到惡意行為特征庫，包括：

將所述惡意行為信息中的所述惡意行為特征轉化為判定查詢邏輯；

將包括所述判定查詢邏輯的惡意行為信息按照JSON結構進行存儲，得到惡意行為特征庫。

可選的，所述將所述惡意行為信息中的所述惡意行為特征轉化為判定查詢邏輯，包括：

將所述惡意行為信息中的所述惡意行為特征轉化為Bool Query對應的判定查詢邏輯。

可選的，所述將所述惡意行為信息中的所述惡意行為特征轉化為判定查詢邏輯，包括：

將所述惡意行為信息中的所述惡意行為特征轉化為模糊查詢對應的判定查詢邏輯；

或，將所述惡意行為信息中的所述惡意行為特征轉化為區間查詢對應的判定查詢邏輯；