[发明专利]一种样本行为获取方法、装置、存储介质及电子设备

说明书

本发明的实施例公开一种样本行为获取方法、装置、计算机可读存储介质及电子设备，涉及信息安全技术，能够提升样本行为检测精度。所述样本行为获取方法包括：监测样本对端口的监听行为；若监测到所述样本对所述端口具有监听行为，构建与所述端口的连接；获取所述样本对截取的基于所述连接传输至所述端口的数据的样本行为。本发明适用于提升对执行过程中有端口监听行为的样本的行为采集能力。

技术领域

本发明涉及信息安全技术，尤其涉及一种样本行为获取方法、装置、存储介质及电子设备。

背景技术

随着互联网技术的快速发展，网络上的数据流量越来越多，使得一些恶意软件通过网络攻击，能够非法获取用户的数据流量，从而给用户的网络信息安全带来极大的危害，并严重危害了网络安全环境。

为了维护互联网络安全，需要对恶意软件的网络攻击行为进行有效防范。目前，通常采用动态沙箱的方法对疑似恶意软件(样本)行为进行检测及分析，由于恶意软件在运行过程中存在端口监听的行为，端口监听行为是指恶意软件在运行过程中监听某一端口等待客户端连接的行为。通过监听端口，在等待到客户端的连接后，可以接收传输至该端口的数据，从而对来自该端口的数据进行截取，通过获取并分析该恶意软件对截取数据的处理行为，可以最终确定该疑似恶意软件是否为恶意软件。

但该样本行为获取方法，由于网络环境的局限，例如，当动态沙箱所处的网络环境不能够访问外网(公网/互联网)，或者，动态沙箱系统操作系统的限制，例如，由于操作系统中防火墙限制或IP地址配置存在问题时，将导致样本处于一孤立的网络环境中，样本监听的端口无法与外界进行通信，使得样本监听的端口接收不到来自外界的任何数据，进而不会触发样本对截取数据的后续处理流程，无法获取该样本的样本行为，例如，对截取数据的操作行为，而这些数据操作行为有可能是危险的，从而在动态沙箱的样本行为获取方法中，该相关数据操作危险行为被遗漏，降低了动态沙箱的检测精度，影响动态沙箱的行为检测能力。

发明内容

有鉴于此，本发明实施例提供一种样本行为获取方法、装置、存储介质及电子设备，能够提升样本行为检测精度，以解决现有的样本行为获取方法中，由于网络环境的局限或操作系统的限制不能采集样本行为导致的样本行为检测精度低的技术问题。

第一方面，本发明实施例提供一种样本行为获取方法，包括：

监测样本对端口的监听行为；

若监测到所述样本对所述端口具有监听行为，构建与所述端口的连接；其中，所述构建与所述端口的连接，包括：向accept()函数注册预先设置的hook函数；在确定所述样本对所述端口具有监听行为后，触发所述hook函数取消对所述accept()函数的阻塞状态；向所述accept()函数返回一新套接字标识号，以使所述accept()函数依据所述新套接字标识号，构建所述端口和所述hook函数的连接；其中，所述触发所述hook函数取消对所述accept()函数的阻塞状态包括：触发所述hook函数构建一虚拟客户端；依据所述hook函数中的自定义逻辑，通过所述虚拟客户端向所述accept()函数发送连接请求，以使所述accept()函数接收到所述连接请求后，取消阻塞状态；

获取所述样本对截取的基于所述连接传输至所述端口的数据的样本行为。

结合第一方面，在第一方面的第一种实施方式中，所述监测样本对端口的监听行为包括：

向listen()函数注册预先设置的hook函数，以使所述hook函数监测对所述listen()函数的调用行为。

结合第一方面，在第一方面的第二种实施方式中，所述监测样本对端口的监听行为包括：

利用注入方法将预先设置的hook函数注入到样本进程中，以监测所述样本进程对端口的监听行为。

结合第一方面的第一种实施方式或第二种实施方式，在第一方面的第三种实施方式中，所述若监测到所述样本对所述端口具有监听行为包括：