[发明专利]软件分析方法、装置、计算机设备、介质和程序产品

说明书

本申请涉及一种软件分析方法、装置、计算机设备、存储介质和计算机程序产品，所述方法包括：获取待分析软件的请求信息，将请求信息发送至目标地址；获取目标地址基于请求信息生成的真实响应流量，基于真实流量生成仿真响应流量；将仿真响应流量发送给待分析软件，并获取待分析软件基于仿真响应流量生成的行为数据，解决了相关技术中无互联网环境或待分析软件失去实效性的情况下无法进行恶意软件分析的问题，并实现了恶意软件分析准确性的提高。

技术领域

本申请涉及恶意软件分析技术领域，特别是涉及一种软件分析方法、装置、计算机设备、存储介质和计算机程序产品。

背景技术

随着恶意软件分析技术的发展，目前比较流行的分析方式主要包括静态检测与动态检测。

静态分析通常通过二进制文件的签名、特征码扫描来确认软件是否为恶意，这样的方式通常依赖于特征库，也仅局限于已知的恶意软件，并且目前恶意程序往往会通过加壳或混淆的方式绕过检测。动态分析通常会使用沙箱隔离环境中执行恶意软件，实时监控软件运行情况，进而分析软件运行的行为来判断是否为恶意，这样的方式依赖于恶意软件的实效性，现代恶意软件大多需要通过网络来实施恶意行为。当恶意软件所依赖的网络地址失效后或用户分析环境不允许联网等，这都会导致恶意软件的行为无法分析完全，进而无法检出恶意

然而，目前的静态检测与动态检测分析恶意软件的方法，在无互联网环境或待分析软件失去实效性的情况下无法进行恶意软件分析，存在恶意软件分析准确性较低的问题。

发明内容

基于此，有必要针对上述技术问题，提供一种能够提高恶意软件分析准确性的软件分析方法、装置、计算机设备、存储介质和计算机程序产品。

第一方面，本申请提供了一种软件分析方法，所述方法包括：

获取待分析软件的请求信息，将所述请求信息发送至目标地址；

获取所述目标地址基于所述请求信息生成的真实响应流量，基于所述真实流量生成仿真响应流量；

将所述仿真响应流量发送给所述待分析软件，并获取所述待分析软件基于所述仿真响应流量生成的行为数据。

在其中一个实施例中，所述将所述请求信息发送至目标地址之前包括：

对所述请求数据进行解析，得到目标地址、目标端口以及数据内容。

在其中一个实施例中，将所述请求信息发送至目标地址之后，所述方法还包括：

若所述目标地址无响应，则将所述请求信息与历史流量库进行匹配；

若匹配成功，则录制所述历史流量库中对应的所述响应流量，生成仿真响应流量。

在其中一个实施例中，将所述请求信息发送至目标地址之后，所述方法还包括：

若匹配不成功，则基于所述请求信息确定协议类型；

基于所述协议类型生成所述仿真响应流量。

在其中一个实施例中，所述获取所述待分析软件基于所述仿真响应流量生成的行为数据之后还包括：

将所述仿真响应流量存入历史流量库。

在其中一个实施例中，在获取待分析软件的请求信息之前，所述方法还包括：将所述待分析软件存入虚拟环境，并运行所述待分析软件。

第二方面，本申请提供了一种软件分析装置，所述装置包括：

接收模块，用于获取待分析软件的请求信息；

录制模块，用于将所述请求信息发送至目标地址，获取所述目标地址基于所述请求信息生成的真实响应流量，对所述响应流量进行录制，生成仿真响应流量；