[发明专利]一种恶意软件的检测方法、装置、电子设备及存储介质

说明书

本申请公开了一种恶意软件的检测方法，所述检测方法包括获取客户端向服务器发送的ClientHello信息；其中，所述ClientHello信息包括所述客户端的TLS协议版本、密码套件、扩展项目和密钥加密信息；根据所述ClientHello信息生成所述客户端的TLS指纹信息；判断恶意指纹特征库中是否包括所述客户端的TLS指纹信息；若是，则判定检测到恶意软件。本方法能够提高恶意软件的识别准确率。本申请还公开了一种恶意软件的检测装置、一种存储介质及一种电子设备，具有以上有益效果。

技术领域

本申请涉及网络安全技术领域，特别涉及一种恶意软件的检测方法、装置、一种电子设备及一种存储介质。

背景技术

在网络威胁情报应用领域，通常基于IoC(Indicators of Compromise,入侵指标)对恶意软件进行识别，但是这种基于IoC的恶意软件识别方式往往需要配合文件哈希值(hash)、域名、互联网协议地址(Internet Protocol Address，IP地址)、统一资源标识符(Uniform Resource Identifier，URI)路径、超文本传输协议的用户代理(HTTP User-Agent)、甚至网络通信报文等等多项信息。为了将恶意通信隐藏在合法的通信流量之中，并增加检测难度，越来越多恶意软件使用变化的域名、IP地址以及加密的网络流量来进行伪装，因此传统的基于IoC的恶意软件识别准确率较低。

因此，如何提高恶意软件的识别准确率是本领域技术人员目前需要解决的技术问题。

发明内容

本申请的目的是提供一种恶意软件的检测方法、装置、一种电子设备及一种存储介质，能够提高恶意软件的识别准确率。

为解决上述技术问题，本申请提供一种恶意软件的检测方法，该状态预警方法包括：

获取客户端向服务器发送的ClientHello信息；其中，所述ClientHello信息包括所述客户端的TLS协议版本、密码套件、扩展项目和密钥加密信息；

根据所述ClientHello信息生成所述客户端的TLS指纹信息；

若所述客户端的TLS指纹信息与恶意指纹特征库中的预设指纹信息匹配，则判定检测到恶意软件。

可选的，根据所述ClientHello信息生成所述客户端的TLS指纹信息包括：

计算所述ClientHello信息对应的映射值，并将所述映射值作为所述客户端的TLS指纹信息。

可选的，计算所述ClientHello信息对应的映射值包括；

基于十进制映射函数将所述ClientHello信息映射为对应的十进制数据；

或，基于哈希函数将所述ClientHello信息映射为对应的哈希值。

可选的，计算所述ClientHello信息对应的映射值包括：

将所述客户端的所述TLS协议版本、所述密码套件、所述扩展项目和所述密钥加密信息按照预设顺序排列，得到待映射数据；

按照预设映射方式计算所述待映射数据的映射值。

可选的，所述密钥加密信息包括椭圆曲线加密算法和所述椭圆曲线加密算法对应的椭圆曲线参数。

可选的，还包括：

获取所述服务器向所述客户端发送的ServerHello信息；其中，所述ServerHello信息包括所述服务器的TLS协议版本、密码套件、扩展项目和密钥加密信息；

根据所述ServerHello信息生成所述服务器的TLS指纹信息；