本申請(qǐng)的實(shí)施例涉及計(jì)算機(jī)，具體涉及基于蜜罐技術(shù)的惡意代碼識(shí)別方法、裝置和電子設(shè)備。

背景技術(shù)：

1、惡意代碼是指能夠在計(jì)算機(jī)操作系統(tǒng)中進(jìn)行非授權(quán)操作的代碼段。其會(huì)對(duì)計(jì)算機(jī)操作系統(tǒng)的正常執(zhí)行產(chǎn)生不利影響。例如，以木馬病毒為例，其可以對(duì)計(jì)算機(jī)操作系統(tǒng)執(zhí)行惡意操作、對(duì)數(shù)據(jù)進(jìn)行惡意篡改等。目前，針對(duì)惡意代碼，通常是采用基于特征碼匹配的方式進(jìn)行惡意代碼識(shí)別。

2、然而，當(dāng)采用上述方式時(shí)，經(jīng)常會(huì)存在如下技術(shù)問題：

3、惡意代碼往往存在多種形式的變種，其可以通過偽裝的形式隱藏自身的行為路徑，采用特征碼匹配的方式難以對(duì)變種的惡意代碼進(jìn)行有效甄別，從而無法對(duì)惡意代碼對(duì)應(yīng)的非授權(quán)操作進(jìn)行有效預(yù)防。

技術(shù)實(shí)現(xiàn)思路

1、本申請(qǐng)的內(nèi)容部分用于以簡(jiǎn)要的形式介紹構(gòu)思，這些構(gòu)思將在后面的具體實(shí)施方式部分被詳細(xì)描述。本申請(qǐng)的內(nèi)容部分并不旨在標(biāo)識(shí)要求保護(hù)的技術(shù)方案的關(guān)鍵特征或必要特征，也不旨在用于限制所要求的保護(hù)的技術(shù)方案的范圍。

2、本申請(qǐng)的一些實(shí)施例提出了基于蜜罐技術(shù)的惡意代碼識(shí)別方法、裝置、電子設(shè)備和計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，來解決以上背景技術(shù)部分提到的技術(shù)問題中的一項(xiàng)或多項(xiàng)。

3、第一方面，本申請(qǐng)的一些實(shí)施例提供了一種基于蜜罐技術(shù)的惡意代碼識(shí)別方法，該方法包括：確定是否存在與實(shí)時(shí)訪問行為對(duì)應(yīng)的第一行為路徑信息，其中，上述第一行為路徑信息表征歷史訪問行為對(duì)應(yīng)的行為路徑，上述實(shí)時(shí)訪問行為與上述歷史訪問行為對(duì)應(yīng)相同的行為發(fā)起節(jié)點(diǎn)和行為路徑；響應(yīng)于不存在，執(zhí)行以下第一處理步驟：生成針對(duì)上述實(shí)時(shí)訪問行為對(duì)應(yīng)的訪問行為特征；根據(jù)上述訪問行為特征和預(yù)先訓(xùn)練的第一惡意代碼識(shí)別模型，生成針對(duì)上述實(shí)時(shí)訪問行為對(duì)應(yīng)的行為類型，其中，上述行為類型包括：第一行為類型和第二行為類型，上述第一行為類型表征上述實(shí)時(shí)訪問行為不包含惡意代碼，上述第二行為類型表征上述實(shí)時(shí)訪問行為包含惡意代碼；響應(yīng)于存在，執(zhí)行以下第二處理步驟：根據(jù)上述實(shí)時(shí)訪問行為，對(duì)上述第一行為路徑信息進(jìn)行路徑更新，以生成第二行為路徑信息；根據(jù)上述第二行為路徑信息和預(yù)先訓(xùn)練的第二惡意代碼識(shí)別模型，生成針對(duì)上述實(shí)時(shí)訪問行為對(duì)應(yīng)的行為類型；響應(yīng)于上述行為類型為上述第二行為類型，通過蜜罐對(duì)上述實(shí)時(shí)訪問行為進(jìn)行行為控制。

4、第二方面，本申請(qǐng)的一些實(shí)施例提供了一種基于蜜罐技術(shù)的惡意代碼識(shí)別裝置，裝置包括：確定單元，被配置成確定是否存在與實(shí)時(shí)訪問行為對(duì)應(yīng)的第一行為路徑信息，其中，上述第一行為路徑信息表征歷史訪問行為對(duì)應(yīng)的行為路徑，上述實(shí)時(shí)訪問行為與上述歷史訪問行為對(duì)應(yīng)相同的行為發(fā)起節(jié)點(diǎn)和行為路徑；第一執(zhí)行單元，被配置成響應(yīng)于不存在，執(zhí)行以下第一處理步驟：生成針對(duì)上述實(shí)時(shí)訪問行為對(duì)應(yīng)的訪問行為特征；根據(jù)上述訪問行為特征和預(yù)先訓(xùn)練的第一惡意代碼識(shí)別模型，生成針對(duì)上述實(shí)時(shí)訪問行為對(duì)應(yīng)的行為類型，其中，上述行為類型包括：第一行為類型和第二行為類型，上述第一行為類型表征上述實(shí)時(shí)訪問行為不包含惡意代碼，上述第二行為類型表征上述實(shí)時(shí)訪問行為包含惡意代碼；第二執(zhí)行單元，被配置成響應(yīng)于存在，執(zhí)行以下第二處理步驟：根據(jù)上述實(shí)時(shí)訪問行為，對(duì)上述第一行為路徑信息進(jìn)行路徑更新，以生成第二行為路徑信息；根據(jù)上述第二行為路徑信息和預(yù)先訓(xùn)練的第二惡意代碼識(shí)別模型，生成針對(duì)上述實(shí)時(shí)訪問行為對(duì)應(yīng)的行為類型；行為控制單元，被配置成響應(yīng)于上述行為類型為上述第二行為類型，通過蜜罐對(duì)上述實(shí)時(shí)訪問行為進(jìn)行行為控制。

5、第三方面，本申請(qǐng)還提供一種電子設(shè)備，上述電子設(shè)備包括處理器、存儲(chǔ)器、以及存儲(chǔ)在上述存儲(chǔ)器上并可被上述處理器執(zhí)行的計(jì)算機(jī)程序，其中上述計(jì)算機(jī)程序被上述處理器執(zhí)行時(shí)，實(shí)現(xiàn)如上述第一方面任一實(shí)現(xiàn)方式所描述的方法。

6、第四方面，本申請(qǐng)還提供一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，上述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上存儲(chǔ)有計(jì)算機(jī)程序，其中，上述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)，實(shí)現(xiàn)如上述第一方面任一實(shí)現(xiàn)方式所描述的方法。

7、本申請(qǐng)的上述各個(gè)實(shí)施例具有如下有益效果：通過本申請(qǐng)的一些實(shí)施例的基于蜜罐技術(shù)的惡意代碼識(shí)別方法，實(shí)現(xiàn)了針對(duì)惡意代碼的有效甄別，提高了針對(duì)惡意代碼對(duì)應(yīng)的非授權(quán)操作的有效預(yù)防。具體來說，造成無法對(duì)惡意代碼進(jìn)行有效甄別的原因在于：惡意代碼往往存在多種形式的變種，其可以通過偽裝的形式隱藏自身的行為路徑，采用特征碼匹配的方式難以對(duì)變種的惡意代碼進(jìn)行有效甄別，從而無法對(duì)惡意代碼對(duì)應(yīng)的非授權(quán)操作進(jìn)行有效預(yù)防?；诖耍旧暾?qǐng)的一些實(shí)施例的基于蜜罐技術(shù)的惡意代碼識(shí)別方法，首先，確定是否存在與實(shí)時(shí)訪問行為對(duì)應(yīng)的第一行為路徑信息，其中，上述第一行為路徑信息表征歷史訪問行為對(duì)應(yīng)的行為路徑，上述實(shí)時(shí)訪問行為與上述歷史訪問行為對(duì)應(yīng)相同的行為發(fā)起節(jié)點(diǎn)和行為路徑。實(shí)踐中，針對(duì)惡意代碼，其往往通過偽裝的形式，以達(dá)到對(duì)計(jì)算機(jī)操作系統(tǒng)中的內(nèi)容進(jìn)行篡改、收集等目的，因此，其對(duì)應(yīng)相應(yīng)的行為執(zhí)行路徑。同時(shí)，針對(duì)潛伏的惡意代碼，其篡改和收集往往具有一定的頻率。因此，通過判斷是否存在與實(shí)時(shí)訪問行為對(duì)應(yīng)的第一行為路徑信息的方式可以確定存在相同行為路徑的、相同行為發(fā)起節(jié)點(diǎn)的訪問行為。接著，響應(yīng)于不存在，執(zhí)行以下第一處理步驟：第一步，生成針對(duì)上述實(shí)時(shí)訪問行為對(duì)應(yīng)的訪問行為特征。依次通過特征角度刻畫實(shí)時(shí)訪問行為的行為特點(diǎn)。第二步，根據(jù)上述訪問行為特征和預(yù)先訓(xùn)練的第一惡意代碼識(shí)別模型，生成針對(duì)上述實(shí)時(shí)訪問行為對(duì)應(yīng)的行為類型，其中，上述行為類型包括：第一行為類型和第二行為類型，上述第一行為類型表征上述實(shí)時(shí)訪問行為不包含惡意代碼，上述第二行為類型表征上述實(shí)時(shí)訪問行為包含惡意代碼。當(dāng)不存在第一行為路徑信息時(shí)，可以表征實(shí)時(shí)訪問行為為第一次的訪問行為或經(jīng)過偽裝的訪問行為，因此，可以結(jié)合第一惡意代碼識(shí)別模型和訪問行為特征，甄別實(shí)時(shí)訪問行為是否包含惡意代碼。進(jìn)一步，響應(yīng)于存在，執(zhí)行以下第二處理步驟：第一步，根據(jù)上述實(shí)時(shí)訪問行為，對(duì)上述第一行為路徑信息進(jìn)行路徑更新，以生成第二行為路徑信息。當(dāng)存在第一行為路徑信息時(shí)，表征存在與實(shí)時(shí)訪問行為近似的歷史訪問行為，因此，可以將第一行為路徑信息和實(shí)時(shí)訪問行為相結(jié)合。第二步，根據(jù)上述第二行為路徑信息和預(yù)先訓(xùn)練的第二惡意代碼識(shí)別模型，生成針對(duì)上述實(shí)時(shí)訪問行為對(duì)應(yīng)的行為類型。以此結(jié)合歷史訪問行為和當(dāng)前訪問行為，從不同時(shí)刻的訪問行為角度，分析實(shí)時(shí)訪問行為是否包含惡意代碼。最后，響應(yīng)于上述行為類型為上述第二行為類型，通過蜜罐對(duì)上述實(shí)時(shí)訪問行為進(jìn)行行為控制。實(shí)踐中，當(dāng)包含惡意代碼時(shí)，進(jìn)行相應(yīng)的行為控制，避免對(duì)計(jì)算機(jī)操作系統(tǒng)產(chǎn)生危害。通過此種方式實(shí)現(xiàn)了針對(duì)惡意代碼的有效甄別，提高了針對(duì)惡意代碼對(duì)應(yīng)的非授權(quán)操作的有效預(yù)防。

技術(shù)特征：

1.一種基于蜜罐技術(shù)的惡意代碼識(shí)別方法，包括：

2.根據(jù)權(quán)利要求1所述的方法，其中，所述確定是否存在與實(shí)時(shí)訪問行為對(duì)應(yīng)的第一行為路徑信息，包括：

3.根據(jù)權(quán)利要求2所述的方法，其中，所述生成針對(duì)所述實(shí)時(shí)訪問行為對(duì)應(yīng)的訪問行為特征，包括：

4.根據(jù)權(quán)利要求3所述的方法，其中，所述第一惡意代碼識(shí)別模型包括：訪問行為特征提取器和惡意代碼分類器，其中，所述訪問行為特征提取器用于根據(jù)所述實(shí)時(shí)訪問行為，生成所述訪問行為特征；以及

5.一種基于蜜罐技術(shù)的惡意代碼識(shí)別裝置，包括：

6.一種電子設(shè)備，其中，所述電子設(shè)備包括處理器、存儲(chǔ)器、以及存儲(chǔ)在所述存儲(chǔ)器上并可被所述處理器執(zhí)行的計(jì)算機(jī)程序，其中所述計(jì)算機(jī)程序被所述處理器執(zhí)行時(shí)，實(shí)現(xiàn)如權(quán)利要求1-4中任一所述的方法的步驟。

7.一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其中，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上存儲(chǔ)有計(jì)算機(jī)程序，其中所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)，實(shí)現(xiàn)如權(quán)利要求1-4中任一所述的方法的步驟。

技術(shù)總結(jié)
本申請(qǐng)的實(shí)施例涉及計(jì)算機(jī)技術(shù)領(lǐng)域，具體涉及基于蜜罐技術(shù)的惡意代碼識(shí)別方法、裝置和電子設(shè)備。該方法的一具體實(shí)施方式包括：確定是否存在與實(shí)時(shí)訪問行為對(duì)應(yīng)的第一行為路徑信息；生成針對(duì)實(shí)時(shí)訪問行為對(duì)應(yīng)的訪問行為特征；根據(jù)訪問行為特征和預(yù)先訓(xùn)練的第一惡意代碼識(shí)別模型，生成針對(duì)實(shí)時(shí)訪問行為對(duì)應(yīng)的行為類型；響應(yīng)于存在，根據(jù)實(shí)時(shí)訪問行為，對(duì)第一行為路徑信息進(jìn)行路徑更新；根據(jù)第二行為路徑信息和預(yù)先訓(xùn)練的第二惡意代碼識(shí)別模型，生成針對(duì)實(shí)時(shí)訪問行為對(duì)應(yīng)的行為類型；響應(yīng)于行為類型為第二行為類型，通過蜜罐對(duì)實(shí)時(shí)訪問行為進(jìn)行行為控制。該實(shí)施方式實(shí)現(xiàn)了針對(duì)惡意代碼的有效甄別，提高了針對(duì)惡意代碼對(duì)應(yīng)的非授權(quán)操作的有效預(yù)防。

技術(shù)研發(fā)人員：安立培,周黎,陳錦鋒
受保護(hù)的技術(shù)使用者：北京棱線科技有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/12/19