[发明专利]一种恶意程序防御方法、装置、电子设备及存储介质

说明书

本申请实施例提供一种恶意程序防御方法、装置、电子设备及存储介质，其中，方法包括：获取恶意应用程序；将恶意应用程序移动至安全沙箱进行运行，得到恶意应用程序的基本信息；根据基本信息生成攻击链；获取恶意应用程序的通信数据；根据通信数据和攻击链获取恶意应用程序对应的攻击意图；根据攻击意图获取防御方案；根据防御方案进行防御。在本申请实施例中，通过针对不同的攻击意图提供不同的防御方案，根据防御方案进行防御，能够在对设备进行防护的同时最大化保留设备的工作能力。

技术领域

本申请涉及网络安全技术领域，具体而言，涉及一种恶意程序防御方法、装置、电子设备及计算机可读存储介质。

背景技术

随着信息技术和互联网络的快速发展，国家安全的边界已经超越地理空间的限制，扩展至网络，网络安全成为事关国家安全的重要问题。当前，木马僵尸网络、钓鱼网站等非传统网络安全威胁有增无减，分布式拒绝服务(DDOS)、高级持续威胁(APT)等新型网络攻击愈演愈烈。网络安全威胁的范围和内容不断扩大和演化，网络安全形势与挑战日益严峻复杂。

现有技术的恶意程序防御技术无法进一步识别该恶意程序的攻击意图，无法进一步提供防御方案。

发明内容

本申请实施例的目的在于提供一种恶意程序防御方法、装置、电子设备及存储介质，能够将识别而已程序。

本申请实施例提供了一种恶意程序的防御方法，该方法包括：

获取恶意应用程序；

将所述恶意应用程序移动至安全沙箱进行运行，得到所述恶意应用程序的基本信息；

根据所述基本信息生成攻击链；

获取所述恶意应用程序的通信数据；

根据所述通信数据和所述攻击链获取所述恶意应用程序对应的攻击意图；

根据所述攻击意图获取防御方案；

根据所述防御方案进行防御。

在上述实现过程中，首先获取恶意程序，为了保证能够恶意程序不对计算机产生其他损害性的影响，同时对恶意程序进行分析，将恶意程序移动至沙箱进行运行，在此基础上，可以获取到恶意程序的基本信息。同时，进一步获取恶意程序的通信数据，基于通信数据和上述得到的恶意程序的基本信息可以获取到恶意程序的攻击意图，有了恶意程序的攻击意图，可以根据攻击意图获取相关的防御方案，根据该防御方案可以对设备进行防御。现有技术中通常对不同的恶意程序采取相同的防御方案进行防御，这种防御方式虽然能够对设备进行防护，但是几乎对设备的所有工作能力进行了限制，降低了设备的工作能力，本申请通过针对不同的攻击意图提供不同的防御方案，根据防御方案进行防御，能够在对设备进行防护的同时最大化保留设备的工作能力。

进一步地，所述将所述恶意应用程序移动至安全沙箱进行运行的步骤，包括：

利用多模匹配算法将所述应用程序和Yara规则库进行匹配，得到匹配结果；

若所述匹配结果为是，对所述恶意程序进行处理；

若所述匹配结果为否，将所述恶意应用程序移动至安全沙箱进行运行。

在上述实现过程中，利用多模匹配算法、将恶意应用程序和Yara规则库进行匹配，得到匹配结果，根据匹配结果对该恶意应用程序进行处置。Yara规则库中包括基于已经收集到的恶意程序的多种行为，将恶意程序和该Yara规则库进行匹配可以提高识别恶意程序的精确度，识别该恶意应用程序是否为已知恶意应用程序，如果不是已知恶意应用程序，讲所述恶意应用程序移动至沙箱运行，防止对设备产生危害。

进一步地，在所述根据所述基本信息生成攻击链的步骤之后，还包括：

获取所述攻击链对应的关键信息；