[发明专利]一种恶意软件的检测方法、装置、电子设备及存储介质

权利要求书

1.一种恶意软件的检测方法，其特征在于，包括：

获取客户端向服务器发送的ClientHello信息；其中，所述ClientHello信息包括所述客户端的TLS协议版本、密码套件、扩展项目和密钥加密信息；

根据所述ClientHello信息生成所述客户端的TLS指纹信息；

判断恶意指纹特征库中是否包括所述客户端的TLS指纹信息；

若是，则判定检测到恶意软件。

2.根据权利要求1所述检测方法，其特征在于，根据所述ClientHello信息生成所述客户端的TLS指纹信息包括：

计算所述ClientHello信息对应的映射值，并将所述映射值作为所述客户端的TLS指纹信息。

3.根据权利要求2所述检测方法，其特征在于，计算所述ClientHello信息对应的映射值包括；

基于十进制映射函数将所述ClientHello信息映射为对应的十进制数据；

或，基于哈希函数将所述ClientHello信息映射为对应的哈希值。

4.根据权利要求2所述检测方法，其特征在于，计算所述ClientHello信息对应的映射值包括：

将所述客户端的所述TLS协议版本、所述密码套件、所述扩展项目和所述密钥加密信息按照预设顺序排列，得到待映射数据；

按照预设映射方式计算所述待映射数据的映射值。

5.根据权利要求1所述检测方法，其特征在于，所述密钥加密信息包括椭圆曲线加密算法和所述椭圆曲线加密算法对应的椭圆曲线参数。

6.根据权利要求1至5任一项所述检测方法，其特征在于，还包括：

获取所述服务器向所述客户端发送的ServerHello信息；其中，所述ServerHello信息包括所述服务器的TLS协议版本、密码套件、扩展项目和密钥加密信息；

根据所述ServerHello信息生成所述服务器的TLS指纹信息；

若所述服务器的TLS指纹信息与所述恶意指纹体征库中的预设指纹信息匹配，则判定检测到恶意软件。

7.根据权利要求6任一项所述检测方法，其特征在于，还包括：

若所述服务器的TLS指纹信息和所述客户端的TLS指纹信息均为所述恶意指纹体征库中的预设指纹信息，则生成恶意软件报警信息，并将所述恶意软件报警信息的置信度设置为最大值。

8.一种恶意软件的检测装置，其特征在于，包括：

信息获取模块，用于获取客户端向服务器发送的ClientHello信息；其中，所述ClientHello信息包括所述客户端的TLS协议版本、密码套件、扩展项目和密钥加密信息；

指纹生成模块，用于根据所述ClientHello信息生成所述客户端的TLS指纹信息；

检测模块，用于判断恶意指纹特征库中是否包括所述客户端的TLS指纹信息；若是，则判定检测到恶意软件。

9.一种电子设备，其特征在于，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器调用所述存储器中的计算机程序时实现如权利要求1至7任一项所述恶意软件的检测方法的步骤。

10.一种存储介质，其特征在于，所述存储介质中存储有计算机可执行指令，所述计算机可执行指令被处理器加载并执行时，实现如上权利要求1至7任一项所述恶意软件的检测方法的步骤。