[發(fā)明專利]惡意樣本的報文信息獲取方法、裝置、設(shè)備及存儲介質(zhì)有效
| 申請?zhí)枺?/td> | 202110483448.3 | 申請日: | 2021-04-30 |
| 公開(公告)號: | CN113206850B | 公開(公告)日: | 2022-09-16 |
| 發(fā)明(設(shè)計)人: | 周忠義;傅強(qiáng);阿曼太;梁彧;田野;王杰;楊滿智;蔡琳;金紅;陳曉光 | 申請(專利權(quán))人: | 北京恒安嘉新安全技術(shù)有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40;H04L67/60 |
| 代理公司: | 北京品源專利代理有限公司 11332 | 代理人: | 孟金喆 |
| 地址: | 100098 北京市海淀區(qū)*** | 國省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 惡意 樣本 報文 信息 獲取 方法 裝置 設(shè)備 存儲 介質(zhì) | ||
1.一種惡意樣本的報文信息獲取方法,其特征在于,包括:
獲取待測試的惡意樣本,并通過離線沙箱運(yùn)行所述惡意樣本;
當(dāng)獲取到所述惡意樣本發(fā)出的網(wǎng)際協(xié)議訪問請求時,獲取所述網(wǎng)際協(xié)議訪問請求的協(xié)議類型,并根據(jù)所述網(wǎng)際協(xié)議訪問請求的協(xié)議類型,確定匹配的訪問端口;
通過所述訪問端口,獲取所述惡意樣本發(fā)出的報文信息;
其中,所述通過所述訪問端口,獲取所述惡意樣本發(fā)出的報文信息,包括:
獲取所述惡意樣本發(fā)出的首個報文信息,并根據(jù)所述首個報文信息獲取所述惡意樣本的網(wǎng)絡(luò)行為和回連路徑;
根據(jù)所述首個報文信息的網(wǎng)絡(luò)行為和回連路徑,生成與所述惡意樣本對應(yīng)的日志文件。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述網(wǎng)際協(xié)議訪問請求的協(xié)議類型包括傳輸控制協(xié)議和/或用戶數(shù)據(jù)報協(xié)議。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,若所述網(wǎng)際協(xié)議訪問請求的協(xié)議類型為傳輸控制協(xié)議,則在通過所述訪問端口,獲取所述惡意樣本發(fā)出的報文信息前,還包括:
建立所述訪問端口與所述惡意樣本的通信鏈路。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于,在獲取到所述惡意樣本發(fā)出的網(wǎng)際協(xié)議訪問請求前,還包括:
當(dāng)獲取到所述惡意樣本發(fā)出域名系統(tǒng)請求時,通過域名系統(tǒng)端口,向所述惡意樣本發(fā)送域名系統(tǒng)返回包;其中,所述域名系統(tǒng)返回包中的網(wǎng)際協(xié)議地址為預(yù)設(shè)網(wǎng)際協(xié)議地址。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于,在獲取到所述惡意樣本發(fā)出的網(wǎng)際協(xié)議訪問請求前,還包括:
當(dāng)獲取到所述惡意樣本發(fā)出的公網(wǎng)連接驗證請求時,響應(yīng)所述公網(wǎng)連接驗證請求。
6.根據(jù)權(quán)利要求1所述的方法,其特征在于,在獲取所述惡意樣本發(fā)出的首個報文信息,并根據(jù)所述首個報文信息獲取所述惡意樣本的網(wǎng)絡(luò)行為和回連路徑后,還包括:
構(gòu)造響應(yīng)報文信息,并將所述響應(yīng)報文信息發(fā)送給所述惡意樣本,以使所述惡意樣本根據(jù)所述響應(yīng)報文信息,繼續(xù)發(fā)出其它報文信息,直至所述惡意樣本的代碼邏輯執(zhí)行完畢;
根據(jù)所述惡意樣本發(fā)出的各個報文信息的網(wǎng)絡(luò)行為和回連路徑,生成與所述惡意樣本對應(yīng)的日志文件。
7.一種惡意樣本的報文信息獲取裝置,其特征在于,包括:
樣本獲取模塊,用于獲取待測試的惡意樣本,并通過離線沙箱運(yùn)行所述惡意樣本;
端口確定模塊,用于當(dāng)獲取到所述惡意樣本發(fā)出的網(wǎng)際協(xié)議訪問請求時,獲取所述網(wǎng)際協(xié)議訪問請求的協(xié)議類型,并根據(jù)所述網(wǎng)際協(xié)議訪問請求的協(xié)議類型,確定匹配的訪問端口;
報文信息獲取模塊,用于通過所述訪問端口,獲取所述惡意樣本發(fā)出的報文信息;
所述報文信息獲取模塊,包括:
網(wǎng)絡(luò)行為獲取單元,用于獲取所述惡意樣本發(fā)出的首個報文信息,并根據(jù)所述首個報文信息獲取所述惡意樣本的網(wǎng)絡(luò)行為和回連路徑;
日志生成單元,用于根據(jù)所述首個報文信息的網(wǎng)絡(luò)行為和回連路徑,生成與所述惡意樣本對應(yīng)的日志文件。
8.一種電子設(shè)備,其特征在于,包括:
一個或多個處理器;
存儲裝置,用于存儲一個或多個程序,
當(dāng)所述一個或多個程序被所述一個或多個處理器執(zhí)行,使得所述一個或多個處理器實現(xiàn)如權(quán)利要求1-6中任一項所述的惡意樣本的報文信息獲取方法。
9.一種包含計算機(jī)可執(zhí)行指令的存儲介質(zhì),其特征在于,所述計算機(jī)可執(zhí)行指令在由計算機(jī)處理器執(zhí)行時用于執(zhí)行如權(quán)利要求1-6中任一所述的惡意樣本的報文信息獲取方法。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于北京恒安嘉新安全技術(shù)有限公司,未經(jīng)北京恒安嘉新安全技術(shù)有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110483448.3/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 上一篇:一種電容炭及其制備方法
- 下一篇:一種驗電接地機(jī)器人
- 惡意特征數(shù)據(jù)庫的建立方法、惡意對象檢測方法及其裝置
- 用于檢測惡意鏈接的方法及系統(tǒng)
- 惡意信息識別方法、惡意信息識別裝置及系統(tǒng)
- 主動式移動終端惡意軟件網(wǎng)絡(luò)流量數(shù)據(jù)集獲取方法及系統(tǒng)
- 一種大數(shù)據(jù)告警平臺系統(tǒng)及其方法
- 一種追溯惡意進(jìn)程的方法、裝置及存儲介質(zhì)
- 一種相似惡意軟件推薦方法、裝置、介質(zhì)和設(shè)備
- 軟件惡意行為檢測方法及系統(tǒng)
- 惡意樣本增強(qiáng)方法、惡意程序檢測方法及對應(yīng)裝置
- 惡意語音樣本的確定方法、裝置、計算機(jī)設(shè)備和存儲介質(zhì)
- 信息記錄介質(zhì)、信息記錄方法、信息記錄設(shè)備、信息再現(xiàn)方法和信息再現(xiàn)設(shè)備
- 信息記錄裝置、信息記錄方法、信息記錄介質(zhì)、信息復(fù)制裝置和信息復(fù)制方法
- 信息記錄裝置、信息再現(xiàn)裝置、信息記錄方法、信息再現(xiàn)方法、信息記錄程序、信息再現(xiàn)程序、以及信息記錄介質(zhì)
- 信息記錄裝置、信息再現(xiàn)裝置、信息記錄方法、信息再現(xiàn)方法、信息記錄程序、信息再現(xiàn)程序、以及信息記錄介質(zhì)
- 信息記錄設(shè)備、信息重放設(shè)備、信息記錄方法、信息重放方法、以及信息記錄介質(zhì)
- 信息存儲介質(zhì)、信息記錄方法、信息重放方法、信息記錄設(shè)備、以及信息重放設(shè)備
- 信息存儲介質(zhì)、信息記錄方法、信息回放方法、信息記錄設(shè)備和信息回放設(shè)備
- 信息記錄介質(zhì)、信息記錄方法、信息記錄裝置、信息再現(xiàn)方法和信息再現(xiàn)裝置
- 信息終端,信息終端的信息呈現(xiàn)方法和信息呈現(xiàn)程序
- 信息創(chuàng)建、信息發(fā)送方法及信息創(chuàng)建、信息發(fā)送裝置
