本發(fā)明實施例公開了一種惡意樣本的報文信息獲取方法、裝置、設備及存儲介質，該方法包括：獲取待測試的惡意樣本，并通過離線沙箱運行所述惡意樣本；當獲取到所述惡意樣本發(fā)出的網際協議訪問請求時，獲取所述網際協議訪問請求的協議類型，并根據所述網際協議訪問請求的協議類型，確定匹配的訪問端口；通過所述訪問端口，獲取所述惡意樣本發(fā)出的報文信息，實現了惡意樣本的報文信息的自動獲取，且通過離線沙箱運行惡意樣本，保證了報文信息獲取的安全性；同時通過訪問端口對惡意樣本的請求進行反饋，引導惡意樣本發(fā)出報文信息，實現了對惡意樣本的惡意行為信息的獲取。

技術領域

本發(fā)明實施例涉及網絡安全技術領域，尤其涉及一種惡意樣本的報文信息獲取方法、裝置、設備及存儲介質。

背景技術

隨著互聯網技術的不斷發(fā)展，存在越來越多的惡意行為對計算機進行攻擊并收集敏感信息，因此，對于觸發(fā)上述惡意行為的惡意樣本的研究和分析，對提升網絡安全具有重要意義。

惡意樣本，即故意編制或設置的，對計算機網絡或系統存在威脅或潛在威脅的程序代碼；目前，對于惡意樣本的信息獲取，通常是基于沙箱進行的，同時為了避免惡意樣本運行過程中，對網絡進行攻擊，沙箱需要進行隔離處理；然而，沙箱采取隔離后，惡意樣本的互聯網訪問行為被限制，無法獲取較為完整的樣本數據，捕捉不到相關的網絡行為和數據，導致采集的樣本動態(tài)行為數據不完整，無法實現對惡意樣本的準確分析。

發(fā)明內容

本發(fā)明實施例提供了一種惡意樣本的報文信息獲取方法、裝置、設備及存儲介質，以實現對惡意樣本的報文信息的自動獲取。

第一方面，本發(fā)明實施例提供了一種惡意樣本的報文信息獲取方法，包括：

獲取待測試的惡意樣本，并通過離線沙箱運行所述惡意樣本；

當獲取到所述惡意樣本發(fā)出的網際協議訪問請求時，獲取所述網際協議訪問請求的協議類型，并根據所述網際協議訪問請求的協議類型，確定匹配的訪問端口；

通過所述訪問端口，獲取所述惡意樣本發(fā)出的報文信息。

第二方面，本發(fā)明實施例提供了一種惡意樣本的報文信息獲取裝置，包括：

樣本獲取模塊，用于獲取待測試的惡意樣本，并通過離線沙箱運行所述惡意樣本；

端口確定模塊，用于當獲取到所述惡意樣本發(fā)出的網際協議訪問請求時，獲取所述網際協議訪問請求的協議類型，并根據所述網際協議訪問請求的協議類型，確定匹配的訪問端口；

報文信息獲取模塊，用于通過所述訪問端口，獲取所述惡意樣本發(fā)出的報文信息。

第三方面，本發(fā)明實施例提供了一種電子設備，包括：

一個或多個處理器；

存儲裝置，用于存儲一個或多個程序，

當所述一個或多個程序被所述一個或多個處理器執(zhí)行，使得所述一個或多個處理器實現本發(fā)明任意實施例所述的惡意樣本的報文信息獲取方法。

第四方面，本發(fā)明實施例還提供了一種包含計算機可執(zhí)行指令的存儲介質，所述計算機可執(zhí)行指令在由計算機處理器執(zhí)行時用于執(zhí)行本發(fā)明任意實施例所述的惡意樣本的報文信息獲取方法。

本發(fā)明實施例中公開的技術方案，在獲取待測試的惡意樣本時，通過離線沙箱運行惡意樣本；并在獲取到惡意樣本發(fā)出的網際協議訪問請求時，獲取當前網際協議訪問請求的協議類型，并根據網際協議訪問請求的協議類型，確定匹配的訪問端口；通過訪問端口，獲取惡意樣本發(fā)出的報文信息，實現了惡意樣本的報文信息的自動獲取，并通過離線沙箱運行惡意樣本，保證了報文信息獲取的安全性；同時通過訪問端口對惡意樣本的請求進行反饋，引導惡意樣本發(fā)出報文信息，實現了對惡意樣本的惡意行為信息的獲取。

附圖說明