本申請的實施例涉及計算機(jī)，具體涉及基于蜜罐技術(shù)的惡意代碼識別方法、裝置和電子設(shè)備。

背景技術(shù)：

1、惡意代碼是指能夠在計算機(jī)操作系統(tǒng)中進(jìn)行非授權(quán)操作的代碼段。其會對計算機(jī)操作系統(tǒng)的正常執(zhí)行產(chǎn)生不利影響。例如，以木馬病毒為例，其可以對計算機(jī)操作系統(tǒng)執(zhí)行惡意操作、對數(shù)據(jù)進(jìn)行惡意篡改等。目前，針對惡意代碼，通常是采用基于特征碼匹配的方式進(jìn)行惡意代碼識別。

2、然而，當(dāng)采用上述方式時，經(jīng)常會存在如下技術(shù)問題：

3、惡意代碼往往存在多種形式的變種，其可以通過偽裝的形式隱藏自身的行為路徑，采用特征碼匹配的方式難以對變種的惡意代碼進(jìn)行有效甄別，從而無法對惡意代碼對應(yīng)的非授權(quán)操作進(jìn)行有效預(yù)防。

技術(shù)實現(xiàn)思路

1、本申請的內(nèi)容部分用于以簡要的形式介紹構(gòu)思，這些構(gòu)思將在后面的具體實施方式部分被詳細(xì)描述。本申請的內(nèi)容部分并不旨在標(biāo)識要求保護(hù)的技術(shù)方案的關(guān)鍵特征或必要特征，也不旨在用于限制所要求的保護(hù)的技術(shù)方案的范圍。

2、本申請的一些實施例提出了基于蜜罐技術(shù)的惡意代碼識別方法、裝置、電子設(shè)備和計算機(jī)可讀存儲介質(zhì)，來解決以上背景技術(shù)部分提到的技術(shù)問題中的一項或多項。

3、第一方面，本申請的一些實施例提供了一種基于蜜罐技術(shù)的惡意代碼識別方法，該方法包括：確定是否存在與實時訪問行為對應(yīng)的第一行為路徑信息，其中，上述第一行為路徑信息表征歷史訪問行為對應(yīng)的行為路徑，上述實時訪問行為與上述歷史訪問行為對應(yīng)相同的行為發(fā)起節(jié)點和行為路徑；響應(yīng)于不存在，執(zhí)行以下第一處理步驟：生成針對上述實時訪問行為對應(yīng)的訪問行為特征；根據(jù)上述訪問行為特征和預(yù)先訓(xùn)練的第一惡意代碼識別模型，生成針對上述實時訪問行為對應(yīng)的行為類型，其中，上述行為類型包括：第一行為類型和第二行為類型，上述第一行為類型表征上述實時訪問行為不包含惡意代碼，上述第二行為類型表征上述實時訪問行為包含惡意代碼；響應(yīng)于存在，執(zhí)行以下第二處理步驟：根據(jù)上述實時訪問行為，對上述第一行為路徑信息進(jìn)行路徑更新，以生成第二行為路徑信息；根據(jù)上述第二行為路徑信息和預(yù)先訓(xùn)練的第二惡意代碼識別模型，生成針對上述實時訪問行為對應(yīng)的行為類型；響應(yīng)于上述行為類型為上述第二行為類型，通過蜜罐對上述實時訪問行為進(jìn)行行為控制。

4、第二方面，本申請的一些實施例提供了一種基于蜜罐技術(shù)的惡意代碼識別裝置，裝置包括：確定單元，被配置成確定是否存在與實時訪問行為對應(yīng)的第一行為路徑信息，其中，上述第一行為路徑信息表征歷史訪問行為對應(yīng)的行為路徑，上述實時訪問行為與上述歷史訪問行為對應(yīng)相同的行為發(fā)起節(jié)點和行為路徑；第一執(zhí)行單元，被配置成響應(yīng)于不存在，執(zhí)行以下第一處理步驟：生成針對上述實時訪問行為對應(yīng)的訪問行為特征；根據(jù)上述訪問行為特征和預(yù)先訓(xùn)練的第一惡意代碼識別模型，生成針對上述實時訪問行為對應(yīng)的行為類型，其中，上述行為類型包括：第一行為類型和第二行為類型，上述第一行為類型表征上述實時訪問行為不包含惡意代碼，上述第二行為類型表征上述實時訪問行為包含惡意代碼；第二執(zhí)行單元，被配置成響應(yīng)于存在，執(zhí)行以下第二處理步驟：根據(jù)上述實時訪問行為，對上述第一行為路徑信息進(jìn)行路徑更新，以生成第二行為路徑信息；根據(jù)上述第二行為路徑信息和預(yù)先訓(xùn)練的第二惡意代碼識別模型，生成針對上述實時訪問行為對應(yīng)的行為類型；行為控制單元，被配置成響應(yīng)于上述行為類型為上述第二行為類型，通過蜜罐對上述實時訪問行為進(jìn)行行為控制。

5、第三方面，本申請還提供一種電子設(shè)備，上述電子設(shè)備包括處理器、存儲器、以及存儲在上述存儲器上并可被上述處理器執(zhí)行的計算機(jī)程序，其中上述計算機(jī)程序被上述處理器執(zhí)行時，實現(xiàn)如上述第一方面任一實現(xiàn)方式所描述的方法。

6、第四方面，本申請還提供一種計算機(jī)可讀存儲介質(zhì)，上述計算機(jī)可讀存儲介質(zhì)上存儲有計算機(jī)程序，其中，上述計算機(jī)程序被處理器執(zhí)行時，實現(xiàn)如上述第一方面任一實現(xiàn)方式所描述的方法。

7、本申請的上述各個實施例具有如下有益效果：通過本申請的一些實施例的基于蜜罐技術(shù)的惡意代碼識別方法，實現(xiàn)了針對惡意代碼的有效甄別，提高了針對惡意代碼對應(yīng)的非授權(quán)操作的有效預(yù)防。具體來說，造成無法對惡意代碼進(jìn)行有效甄別的原因在于：惡意代碼往往存在多種形式的變種，其可以通過偽裝的形式隱藏自身的行為路徑，采用特征碼匹配的方式難以對變種的惡意代碼進(jìn)行有效甄別，從而無法對惡意代碼對應(yīng)的非授權(quán)操作進(jìn)行有效預(yù)防?；诖?，本申請的一些實施例的基于蜜罐技術(shù)的惡意代碼識別方法，首先，確定是否存在與實時訪問行為對應(yīng)的第一行為路徑信息，其中，上述第一行為路徑信息表征歷史訪問行為對應(yīng)的行為路徑，上述實時訪問行為與上述歷史訪問行為對應(yīng)相同的行為發(fā)起節(jié)點和行為路徑。實踐中，針對惡意代碼，其往往通過偽裝的形式，以達(dá)到對計算機(jī)操作系統(tǒng)中的內(nèi)容進(jìn)行篡改、收集等目的，因此，其對應(yīng)相應(yīng)的行為執(zhí)行路徑。同時，針對潛伏的惡意代碼，其篡改和收集往往具有一定的頻率。因此，通過判斷是否存在與實時訪問行為對應(yīng)的第一行為路徑信息的方式可以確定存在相同行為路徑的、相同行為發(fā)起節(jié)點的訪問行為。接著，響應(yīng)于不存在，執(zhí)行以下第一處理步驟：第一步，生成針對上述實時訪問行為對應(yīng)的訪問行為特征。依次通過特征角度刻畫實時訪問行為的行為特點。第二步，根據(jù)上述訪問行為特征和預(yù)先訓(xùn)練的第一惡意代碼識別模型，生成針對上述實時訪問行為對應(yīng)的行為類型，其中，上述行為類型包括：第一行為類型和第二行為類型，上述第一行為類型表征上述實時訪問行為不包含惡意代碼，上述第二行為類型表征上述實時訪問行為包含惡意代碼。當(dāng)不存在第一行為路徑信息時，可以表征實時訪問行為為第一次的訪問行為或經(jīng)過偽裝的訪問行為，因此，可以結(jié)合第一惡意代碼識別模型和訪問行為特征，甄別實時訪問行為是否包含惡意代碼。進(jìn)一步，響應(yīng)于存在，執(zhí)行以下第二處理步驟：第一步，根據(jù)上述實時訪問行為，對上述第一行為路徑信息進(jìn)行路徑更新，以生成第二行為路徑信息。當(dāng)存在第一行為路徑信息時，表征存在與實時訪問行為近似的歷史訪問行為，因此，可以將第一行為路徑信息和實時訪問行為相結(jié)合。第二步，根據(jù)上述第二行為路徑信息和預(yù)先訓(xùn)練的第二惡意代碼識別模型，生成針對上述實時訪問行為對應(yīng)的行為類型。以此結(jié)合歷史訪問行為和當(dāng)前訪問行為，從不同時刻的訪問行為角度，分析實時訪問行為是否包含惡意代碼。最后，響應(yīng)于上述行為類型為上述第二行為類型，通過蜜罐對上述實時訪問行為進(jìn)行行為控制。實踐中，當(dāng)包含惡意代碼時，進(jìn)行相應(yīng)的行為控制，避免對計算機(jī)操作系統(tǒng)產(chǎn)生危害。通過此種方式實現(xiàn)了針對惡意代碼的有效甄別，提高了針對惡意代碼對應(yīng)的非授權(quán)操作的有效預(yù)防。

技術(shù)特征：

1.一種基于蜜罐技術(shù)的惡意代碼識別方法，包括：

2.根據(jù)權(quán)利要求1所述的方法，其中，所述確定是否存在與實時訪問行為對應(yīng)的第一行為路徑信息，包括：

3.根據(jù)權(quán)利要求2所述的方法，其中，所述生成針對所述實時訪問行為對應(yīng)的訪問行為特征，包括：

4.根據(jù)權(quán)利要求3所述的方法，其中，所述第一惡意代碼識別模型包括：訪問行為特征提取器和惡意代碼分類器，其中，所述訪問行為特征提取器用于根據(jù)所述實時訪問行為，生成所述訪問行為特征；以及

5.一種基于蜜罐技術(shù)的惡意代碼識別裝置，包括：

6.一種電子設(shè)備，其中，所述電子設(shè)備包括處理器、存儲器、以及存儲在所述存儲器上并可被所述處理器執(zhí)行的計算機(jī)程序，其中所述計算機(jī)程序被所述處理器執(zhí)行時，實現(xiàn)如權(quán)利要求1-4中任一所述的方法的步驟。

7.一種計算機(jī)可讀存儲介質(zhì)，其中，所述計算機(jī)可讀存儲介質(zhì)上存儲有計算機(jī)程序，其中所述計算機(jī)程序被處理器執(zhí)行時，實現(xiàn)如權(quán)利要求1-4中任一所述的方法的步驟。

技術(shù)總結(jié)
本申請的實施例涉及計算機(jī)技術(shù)領(lǐng)域，具體涉及基于蜜罐技術(shù)的惡意代碼識別方法、裝置和電子設(shè)備。該方法的一具體實施方式包括：確定是否存在與實時訪問行為對應(yīng)的第一行為路徑信息；生成針對實時訪問行為對應(yīng)的訪問行為特征；根據(jù)訪問行為特征和預(yù)先訓(xùn)練的第一惡意代碼識別模型，生成針對實時訪問行為對應(yīng)的行為類型；響應(yīng)于存在，根據(jù)實時訪問行為，對第一行為路徑信息進(jìn)行路徑更新；根據(jù)第二行為路徑信息和預(yù)先訓(xùn)練的第二惡意代碼識別模型，生成針對實時訪問行為對應(yīng)的行為類型；響應(yīng)于行為類型為第二行為類型，通過蜜罐對實時訪問行為進(jìn)行行為控制。該實施方式實現(xiàn)了針對惡意代碼的有效甄別，提高了針對惡意代碼對應(yīng)的非授權(quán)操作的有效預(yù)防。

技術(shù)研發(fā)人員：安立培,周黎,陳錦鋒
受保護(hù)的技術(shù)使用者：北京棱線科技有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/12/19