[发明专利]检测恶意代码样本的网络行为的方法及系统

权利要求书

1.一种检测恶意代码样本的网络行为的方法，其特征在于，包括：

步骤1，获取恶意代码样本，并存储所述恶意代码样本；

步骤2，将所述恶意代码样本输入虚拟机，运行所述恶意代码样本，获得所述恶意代码样本的网络数据；

步骤3，解析所述恶意代码样本的网络数据获得关键信息数据，依据所述关键信息数据中的命令进行连接，并追踪所述连接之后的行为；

步骤4，输出追踪结果。

2.如权利要求1所述的检测恶意代码样本的网络行为的方法，其特征在于，

所述步骤1进一步为，

步骤21，使用网络爬虫获得urls列表，如果urls列表为exe列表，则所述urls列表中的文件为待存储的恶意代码样本；

步骤22，将所述恶意代码样本存储到数据库。

3.如权利要求2所述的检测恶意代码样本的网络行为的方法，其特征在于，

所述步骤21还包括，

步骤31，如果urls列表不为exe列表，则将所述urls列表输入蜜罐系统；

步骤32，如果蜜罐系统的返回结果为exe文件，则所述exe文件为待存储的恶意代码样本。

4.如权利要求2所述的检测恶意代码样本的网络行为的方法，其特征在于，

所述步骤22之后还包括：

步骤41，通过恶意代码样本交互获得恶意代码样本，将所述恶意代码样本存储到数据库。

5.如权利要求1所述的检测恶意代码样本的网络行为的方法，其特征在于，

所述步骤2进一步为，

步骤51，访问所述数据库，获取恶意代码样本，将恶意代码样本输入虚拟机中；

步骤52，虚拟机运行所述恶意代码样本，记录网络数据，对所述记录持续预设时长。

6.如权利要求1所述的检测恶意代码样本的网络行为的方法，其特征在于，

所述步骤3进一步为，

步骤61，按网络数据包的格式解析所述恶意代码样本的网络数据，获得关键信息数据；

步骤62，读取所述关键信息数据中的命令，组成命令表，依据命令表中连接相关命令和命令参数进行连接，如果连接成功，则执行步骤63，如果连接失败，则将此次未成功连接记录加入追踪结果，执行步骤4；

步骤63，对命令表中命令的行为进行追踪，将结果加入追踪结果中。

7.如权利要求6所述的检测恶意代码样本的网络行为的方法，其特征在于，

所述步骤62进一步为，

步骤71，读取所述关键信息数据中的命令，组成命令表；

步骤72，根据命令表中连接相关命令以及命令参数中的IP地址和TCP端口进行连接；

步骤73，如果连接成功，则执行所述步骤63；如果所述连接未成功，则判断尝试连接次数是否超过预设次数，如果超过，则连接失败，将此次未成功连接记录加入追踪结果，执行所述步骤4；如果没有超过，执行所述步骤72。

8.如权利要求7所述的检测恶意代码样本的网络行为的方法，其特征在于，

所述步骤3开始执行时还包括，开始对追踪时间计时；

所述步骤73中连接失败，将此次未成功连接记录加入追踪结果，执行步骤4进一步为，

步骤81，判断追踪时间是否超过预设时长，如果是，则将此次未成功连接记录加入追踪结果，执行所述步骤4；否则，等待预设等待时长后，执行步骤72。