WO2018076697A1

WO2018076697A1 - 僵尸特征的检测方法和装置

Info

Publication number: WO2018076697A1
Application number: PCT/CN2017/087170
Authority: WO
Inventors: 蒋武
Original assignee: 华为技术有限公司
Priority date: 2016-10-25
Filing date: 2017-06-05
Publication date: 2018-05-03
Also published as: US20190230097A1; CN107979581B; US10757135B2; EP3509001A4; US20200304521A1; EP3509001A1; EP3509001B1; US11290484B2; ES2829600T3; CN107979581A

Abstract

本发明实施例公开了一种僵尸特征的检测方法和装置。本发明实施例方法包括：获取第一动态行为文件和第二动态行为文件，所述第一动态行为文件为恶意文件在第一沙箱中进行动态行为检测产生的行为文件，所述第二动态行为文件为所述恶意文件在第二沙箱中进行动态行为检测产生的行为文件；根据所述第一动态行为文件和所述第二动态行为文件的共有特征确定所述恶意文件的僵尸特征。

Description

僵尸特征的检测方法和装置

本申请要求于2016年10月25日提交中国专利局、申请号为201610948753.4、发明名称为“僵尸特征的检测方法和装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及计算机安全技术领域，尤其涉及一种僵尸特征的检测方法和装置。

背景技术

僵尸网络(Botnet)是指攻击者使用一种或多种传播手段将大量主机感染僵尸(bot)程序，例如通过向大量主机发送恶意文件，使得主机在接收并运行该恶意文件时感染僵尸程序，从而在攻击者和被感染主机之间形成的一个一对多的控制网络，其中，被感染主机即为僵尸主机，攻击者可以通过命令与控制(Command and Control，C&C)信道一对多地控制僵尸主机。僵尸网络构成一个攻击平台，利用这个平台可以发起各种各样的网络攻击行为，从而导致攻击对象的某些应用系统的瘫痪、个人隐私的泄漏等。比如，利用僵尸网络向攻击对象发送垃圾邮件、窃取机密等网络攻击行为。比起传统的攻击者使用单一主机对攻击对象攻击的行为，僵尸网络可以对攻击对象造成更严重的破坏。

现有技术中，在检测到恶意文件后，通常通过人工分析从恶意文件中识别并提取出僵尸特征，并根据该僵尸特征来对后续接收到的恶意文件进行过滤和阻断。然而，攻击者为了逃避检测，往往较为频繁地修改恶意文件，可以很容易地生成大量变型的恶意文件的。上述提取僵尸特征的方法效率较低，无法大规模普及。

发明内容

本发明实施例提供了一种僵尸特征的检测方法和装置，能够提高提取僵尸特征的效率。

第一方面，本实施例提供一种僵尸特征的检测方法，该僵尸特征的检测方法包括：

步骤A、获取第一动态行为文件和第二动态行为文件；

其中，该第一动态行为文件为恶意文件在第一沙箱中进行动态行为检测产生的行为文件，该第二动态行为文件为该恶意文件在第二沙箱中进行动态行为检测产生的行为文件；

其中，该动态行为检测是指在恶意文件运行的情况下，获取恶意文件运行期间对操作系统发起系统服务请求、文件读写、注册表修改、应用程序编程接口(Application Programming Interface，API)调用、网络访问等一系列行为，并在动态行为文件中记录有每个行为对应的信息，例如文件读写行为，该行为的行为信息包括在执行动作的操作符、涉及的路径等等；

步骤B、根据第一动态行为文件和第二动态行为文件的共有特征确定恶意文件的僵尸特征。

第一方面的实现方案中，通过恶意文件在沙箱中模拟运行，并收集该恶意文件在该运行过程中发生的网络行为的行为文件，也即动态行为文件，以从该动态行为文件中提取出僵尸特征，整个过程可以实现自动化，提高提取僵尸特征的效率；另外，由于是在至少两个沙箱中对同一个恶意文件进行动态行为检测，在提取僵尸特征时从该至少两个沙箱分别输出的动态行为文件之间的共同特征中提取僵尸特征，可以避免提取出的僵尸特征包含不同沙箱在动态行为文件中随机填充的字符串以及用于描述沙箱的信息的字符串(例如沙箱的网络协议地址和端口地址)，提高僵尸特征的准确度。

在第一方面的第一种实现方式中，所述第一动态行为文件包括第一会话报文，所述第二动态行为文件包括第二会话报文，其中，所述第一会话报文的目的网络协议(Internet Protocol，IP)地址与所述第二会话报文的目的IP地址相同、且所述第一会话报文的目的端口与所述第二会话报文的目的端口相同；

所述步骤B包括：

步骤B11、根据所述第一会话报文和所述第二会话报文的共有特征确定所述恶意文件的僵尸特征。

结合第一方面的第一种实现方式，在本第一方面的第二种实现方式中，所述步骤B11包括：

步骤B21、获取第一预置字段；其中，获取第一预置字段的方法有多种，例如，该第一预置字段预先存储在网关设备内的第一配置表中，通过读取第一配置表来确定第一预置字段，可选的，该第一配置表所包括的第一预置字段可以随时更新；可选的，当会话报文为采用超文本传输协议(Hyper Text Transfer Protocol，HTTP)协议封装的应用层报文时，第一预置字段包括payload字段和/或request字段；

步骤B22、判断所述第一会话报文的所述第一预置字段中的内容和所述第二会话报文的所述第一预置字段中的内容是否包含相同的字符串，若包含，确定所述恶意文件的僵尸特征包括所述字符串以及所述字符串在所述第一预置字段中的位置。

结合第一方面的第一种实现方式，在第一方面的第三种实现方式中，所述步骤B11包括：

步骤B31、获取第二预置字段以及所述第二预置字段的预设内容；

其中，获取的方法有多种，可选的，该第二预置字段以及第二预置字段的预设内容预先存储在网关设备内的第二配置表中，通过读取第二配置表来确定第二预置字段以及该第二预置字段的预设内容；可选的，该第二配置表的内容可以随时更新；可选的，当会话报文为采用HTTP封装的应用层报文时，该第二预置字段包括agent字段，agent字段的预设内容包括发出请求的用户信息；

步骤B32、当所述第一会话报文和所述第二会话报文的共有特征中存在所述第二预置字段，且所述共有特征中的第二预置字段的内容和所述预设内容不同时，确定所述僵尸特征包括所述共有特征中的第二预置字段的内容。

结合第一方面的第一种实现方式，在第一方面的第四种实现方式中，所述步骤B11包括：

步骤B41、获取预处理操作规则，所述预处理操作规则指示去除报文中的指定字符；

其中，获取预处理操作规则的方法有多种，例如，该预处理操作规则预先存储在网关设备内的第三配置表中，通过读取第三配置表来确定预处理操作规则；可选的，该第三配置表的内容可以随时更新；

其中，该预处理操作规则可以有多种，例如，在会话报文为HTTP报文时，预处理操作规则用于指示去除以下至少一种：会话报文中的HTTP关键字、会话报文中的沙箱的IP地址和端口、会话报文中的中央处理器(Central Processing Unit，CPU)类型这样格式的字符串，其中，HTTP关键字可以为GET、HTTP1.1等字符串；

步骤B42、根据所述预处理操作规则，从所述第一会话报文中获得第一剩余内容，从所述第二会话报文中获得第二剩余内容，所述第一剩余内容为所述第一会话报文中除所述指定字符以外的报文内容，所述第二剩余内容为所述第二会话报文中除所述指定字符以外的报文内容；

步骤B43、根据所述第一剩余内容和所述第二剩余内容的共有特征确定所述恶意文件的僵尸特征。

结合第一方面、第一方面的第一种实现方式、第一方面的第二种实现方式、第一方面的第三种实现方式或者第一方面的第四种实现方式，在第一方面的第五种实现方式中，所述步骤A包括：

步骤A11、获取第一沙箱输出的静态行为文件和动态行为文件，以及第二沙箱输出的静态行为文件和动态行为文件；

其中，所述第一沙箱输出的静态行为文件为待检测文件在所述第一沙箱中进行静态行为检测产生的行为文件，所述第二沙箱输出的静态行为文件为所述待检测文件在所述第二沙箱中进行静态行为检测产生的行为文件，所述第一沙箱输出的动态行为文件为所述待检测文件在所述第一沙箱在所述第一沙箱中进行动态行为检测产生的行为文件，所述第二沙箱输出的动态行为文件为所述待检测文件在所述第二沙箱中进行动态行为检测产生的行为文件；

步骤A12、根据所述第一沙箱输出的静态行为文件和动态行为文件，以及所述第二沙箱输出的静态行为文件和动态行为文件判断所述待检测文件是否为恶意文件；

例如，对第一沙箱和第二沙箱输出的该四个文件中的至少一个异常项进行权重打分，根据打分结果来确定该网络报文是否为恶意文件；

步骤A13、当确定所述待检测文件为恶意文件时，确定所述第一沙箱输出的动态行为文件为所述第一动态行为文件，以及所述第二沙箱输出的动态行为文件为所述第二动态行为文件。

结合第一方面、第一方面的第一种实现方式、第一方面的第二种实现方式、第一方面的第三种实现方式或者第一方面的第四种实现方式，在第一方面的第六种实现方式中，所述步骤A包括：

步骤A21、获取恶意文件；

其中，获取的方法有多种，例如，通过人工分析确定待检测文件为恶意文件，或者，接收其他设备发送的恶意文件；

步骤A22、将所述恶意文件分别输入到第一沙箱和第二沙箱中进行动态行为检测；

步骤A23、获取所述第一沙箱输出的动态行为文件，以及所述第二沙箱输出的动态行为文件。

本发明实施例第二方面提供了一种僵尸特征的检测装置，包括：

获取模块，用于获取第一动态行为文件和第二动态行为文件，所述第一动态行为文件为恶意文件在第一沙箱中进行动态行为检测产生的行为文件，所述第二动态行为文件为所述恶意文件在第二沙箱中进行动态行为检测产生的行为文件；

确定模块，用于根据所述第一动态行为文件和所述第二动态行为文件的共有特征确定所述恶意文件的僵尸特征。

需明确的是，本实施例所提供的所述获取模块用于执行本发明实施例第一方面的步骤A，本实施例所提供的所述确定模块用于执行本发明实施例第一方面的步骤B。

步骤A以及步骤B的具体执行过程请详见本发明实施例第一方面所示，具体在本实施例中不再赘述。

在第二方面的第一种实现方式中，所述第一动态行为文件包括第一会话报文，所述第二动态行为文件包括第二会话报文，其中，所述第一会话报文的目的网络协议IP地址与所述第二会话报文的目的IP地址相同、且所述第一会话报文的目的端口与所述第二会话报文的目的端口相同；

所述确定模块具体用于根据所述第一会话报文和所述第二会话报文的共有特征确定所述恶意文件的僵尸特征。

需明确的是，本实施例所提供的所述确定模块用于执行本发明实施例第一方面的步骤B11。步骤B11的具体执行过程请详见本发明实施例第一方面所示，具体在本实施例中不再赘述。

在第二方面的第二种实现方式中，所述确定模块具体用于：

获取第一预置字段；

判断所述第一会话报文的所述第一预置字段中的内容和所述第二会话报文的所述第一预置字段中的内容是否包含相同的字符串，若包含，确定所述恶意文件的僵尸特征包括所述字符串以及所述字符串在所述第一预置字段中的位置。

需明确的是，本实施例所提供的所述确定模块用于执行本发明实施例第一方面的步骤B21和步骤B22。步骤B21和步骤B22的具体执行过程请详见本发明实施例第一方面所示，具体在本实施例中不再赘述。

在第二方面的第三种实现方式中，所述确定模块具体用于：

获取第二预置字段以及所述第二预置字段的预设内容；

当所述第一会话报文和所述第二会话报文的共有特征中存在所述第二预置字段，且所述共有特征中的第二预置字段的内容和所述预设内容不同时，确定所述僵尸特征包括所述共有特征中的第二预置字段的内容。

需明确的是，本实施例所提供的所述确定模块用于执行本发明实施例第一方面的步骤B31和步骤B32。步骤B31和步骤B32的具体执行过程请详见本发明实施例第一方面所示，具体在本实施例中不再赘述。

在第二方面的第四种实现方式中，所述确定模块具体用于：

获取预处理操作规则，所述预处理操作规则指示去除报文中的指定字符；

根据所述预处理操作规则，从所述第一会话报文中获得第一剩余内容，从所述第二会话报文中获得第二剩余内容，所述第一剩余内容为所述第一会话报文中除所述指定字符以外的报文内容，所述第二剩余内容为所述第二会话报文中除所述指定字符以外的报文内容；

根据第一剩余内容和第二剩余内容的共有特征确定所述恶意文件的僵尸特征。

需明确的是，本实施例所提供的所述确定模块用于执行本发明实施例第一方面的步骤B41、步骤B42和步骤B43。步骤B41、步骤B42和步骤B43的具体执行过程请详见本发明实施例第一方面所示，具体在本实施例中不再赘述。

结合第二方面、第二方面的第一种实现方式、第二方面的第二种实现方式、第二方面的第三种实现方式或者第二方面的第四种实现方式，在第二方面的第五种实现方式中，所述获取模块具体用于：

获取第一沙箱输出的静态行为文件和动态行为文件，以及第二沙箱输出的静态行为文件和动态行为文件，其中，所述第一沙箱输出的静态行为文件为待检测文件在所述第一沙箱中进行静态行为检测产生的行为文件，所述第二沙箱输出的静态行为文件为所述待检测文件在所述第二沙箱中进行静态行为检测产生的行为文件，所述第一沙箱输出的动态行为文件为所述待检测文件在所述第一沙箱在所述第一沙箱中进行动态行为检测产生的行为文件，所述第二沙箱输出的动态行为文件为所述待检测文件在所述第二沙箱中进行动态行为检测产生的行为文件；

根据所述第一沙箱输出的静态行为文件和动态行为文件，以及所述第二沙箱输出的静态行为文件和动态行为文件判断所述待检测文件是否为恶意文件；

当确定所述待检测文件为恶意文件时，确定所述第一沙箱输出的动态行为文件为所述第一动态行为文件，以及所述第二沙箱输出的动态行为文件为所述第二动态行为文件。

需明确的是，本实施例所提供的所述确定模块用于执行本发明实施例第一方面的步骤A11、步骤A12和步骤A13。步骤A11、步骤A12和步骤A13的具体执行过程请详见本发明实施例第一方面所示，具体在本实施例中不再赘述。

结合第二方面、第二方面的第一种实现方式、第二方面的第二种实现方式、第二方面的第三种实现方式或者第二方面的第四种实现方式，在第二方面的第六种实现方式中，所述获取模块具体用于：

获取恶意文件；

将所述恶意文件分别输入到第一沙箱和第二沙箱中进行动态行为检测；

获取所述第一沙箱输出的动态行为文件，以及所述第二沙箱输出的动态行为文件。

需明确的是，本实施例所提供的所述确定模块用于执行本发明实施例第一方面的步骤A21、步骤A22和步骤A23。步骤A21、步骤A22和步骤A23的具体执行过程请详见本发明实施例第一方面所示，具体在本实施例中不再赘述。

本实施例中，僵尸特征的检测装置在沙箱中对恶意文件进行动态行为检测，通过沙箱收集该恶意文件在运行过程中发生的所有网络行为并输出该网络行为的动态行为文件，并从该动态行为文件中提取出僵尸特征，这样可以提取出僵尸通信的签名，有助于实现基于通信特征签名来检测恶意文件，避免了各种僵尸变形版本文件的干扰而导致的误报和漏报的情况；另外，由于是在至少两个沙箱中对同一个恶意文件进行动态行为检测，在提取僵尸特征时从该至少两个沙箱分别输出的动态行为文件之间的共同特征中提取僵尸特征，可以避免提取出的僵尸特征包含不同沙箱在动态行为文件中随机填充的字符串以及用于描述沙箱的信息的字符串(例如沙箱的IP地址和端口地址)，提高僵尸特征的准确度。

本发明实施例第三方面提供了一种网关设备，包括：

一个或多个处理器、存储器、通信总线、以及一个或多个程序，所述处理器和所述存储器通过所述通信总线相连；

其中所述一个或多个程序被存储在所述存储器中，所述一个或多个程序包括指令，所述指令当被所述网关设备执行时使所述网关设备执行如本发明实施例第一方面至本发明实施例第一方面第六种实现方式任一项所述的方法。

本发明实施例第四方面提供了一种存储一个或多个程序的计算机可读存储介质，所述一个或多个程序包括指令，所述指令当被网关设备执行时使所述网关设备执行如本发明实施例第一方面至本发明实施例第一方面第六种实现方式任一项所述的方法。

附图说明

图1为本发明的僵尸特征的检测方法的一个实施例的流程示意图；

图2为本发明的通信系统的一个实施例的结构示意图；

图3为网关设备中用于进行僵尸木马检测的模块的结构示意图；

图4为本发明的僵尸特征的检测装置的一个实施例的结构示意图；

图5为本发明的网关设备的一个实施例的结构示意图。

具体实施方式

下面以图1为例对本实施例提供的僵尸特征的检测方法进行解释说明。请参阅图1，图1为本发明的僵尸特征的检测方法的一个实施例的流程示意图。本发明实施例的执行主体为一种计算机设备。可选地，该计算机设备可以是通用网关设备、家庭网关设备、路由器、网关设备管理器等等。通用网关设备可以为接入网的网关设备、企业网关设备防火墙、交换机等等，在此不做限制。本实施例将上述设备统称为“网关设备”。

本实施例中，以执行主体为网关设备为例对方案进行介绍。网关设备在接收到业务报文后，从中确定出用以承载同一个文件的一系列业务报文，也可以称之为用以承载同一个文件的会话，并对该系列业务报文进行重组还原，以得到该系列报文的载荷部分携带的文件。当网关设备确定一个文件为恶意文件后，采用本实施例中的僵尸特征的检测方法来检测出该恶意文件的僵尸特征，以便于将得到的僵尸特征同步给网络中的其他硬件防火墙设备、或者安装于个人计算机中的杀毒软件，从而提高对恶意文件的检测效果，提升网络的安全防护水平。

如图1所示，本实施例的僵尸特征的检测方法包括以下步骤。

101、网关设备获取第一动态行为文件和第二动态行为文件。

本实施例中，第一动态行为文件为恶意文件在第一沙箱中进行动态行为检测产生的行为文件，第二动态行为文件为该恶意文件在第二沙箱中进行动态行为检测产生的行为文件。其中，恶意文件指的是僵尸网络中攻击者用于将被攻击主机感染为僵尸主机的文件。沙箱是一种虚拟系统程序，沙箱的目的是提供一种安全机制，为执行中的程序提供隔离环境。在沙箱中运行的程序不会对硬件产生永久性的影响。本实施例中，通过在沙箱中对恶意文件进行动态行为检测，模拟运行恶意文件后该恶意文件对被攻击主机所产生的网络行为，并在该网络行为中所产生的行为文件中查找该恶意文件的僵尸特征。

其中，获取第一动态行为文件和第二动态行为的方法有多种。

在一种可能的实施方式中，网关设备首先检测出恶意文件。检测恶意文件的方法有多种，下面对其中的一种进行举例描述。网关设备获取待检测文件，将待检测文件分别输入到第一沙箱和第二沙箱中。其中，该第一沙箱和第二沙箱可以位于网关设备内，也可以位于网关设备以外的其他设备之内，在此不做限制。

其中，网关设备获取待检测文件的方法有多种。例如，网关设备将接收到的同一个会话的多个网络报文进行重组还原，生成一个完整的文件，将该文件作为待检测文件。待检测文件可以是通过邮件协议报文发送的作为邮件附件的文件，也可以是通过超文本传输协议发送的作为网页插件的文件。可替代地，网关设备在生成一个完整的文件后，判断该文件是否为疑似恶意文件，若是，则确定该文件待检测文件。其中，判断文件是否为疑似恶意文件的方法有多种，例如，网关设备确定该文件是否为可移植的可执行的(Portable Executable，PE)文件，若是，确定该文件为疑似恶意文件。又例如，网关设备将文件的统一资源定位符(Uniform Resource Locator，URL)和本地预存有的僵尸URL进行匹配，若匹配成功，则可直接确定该文件为恶意文件，也即将该文件从待检测文件中排除。这样，可以减少待检测文件的数量，提高僵尸特征检测的效率。

沙箱对待检测文件进行两类检测，分别为静态行为检测和动态行为检测。静态行为检测是指在待检测文件未运行的情况下，通过分析待检测文件的代码内容和代码结构来获得待检测文件的参数。静态行为检测的一种常见方式为确定待检测文件代码所属文件类型，并依照该文件类型对应数据结构，读取待检测文件预定位置中的数据。采用这种方式可以得到待检测文件的文件名称、文件大小、版本信息、数字签名等信息。静态行为检测的另一种常见方式是将待检测文件的代码与预先存储的已知特征进行匹配，如果匹配一致，则确认待检测文件中包含该已知特征。

动态行为检测是指在待检测文件运行的情况下，获取待检测文件运行期间对操作系统发起系统服务请求、文件读写、注册表修改、API调用、网络访问等一系列行为，并在动态行为文件中记录有每个行为对应的信息，例如文件读写行为，该行为的行为信息包括在执行动作的操作符、涉及的路径等等。

该待检测文件在每一个沙箱中进行静态行为检测，并输出待检测文件在静态行为检测中产生的行为文件，也即静态行为文件。

该待检测文件还在每一个沙箱中进行动态行为检测，并输出该待检测文件在动行为检测中产生的行为文件，也即动态行为文件。可选的，每个沙箱所输出的动态行为文件中包含有待检测文件发送过接收的网络报文数据，可选的，该动态行为文件还包含有任务ID、文件名称、动态行为序列、动态行为操作对象等其他数据。

获取到第一沙箱输出的静态行为文件和动态行为文件，以及第二沙箱输出的静态行为文件和动态行为文件后，根据该四个文件判断该待检测文件是否为恶意文件。具体的，对第一沙箱和第二沙箱输出的该四个文件中的至少一个异常项进行权重打分，根据打分结果来确定该网络报文是否为恶意文件。确定恶意文件的方法为现有技术，在此不多做赘述。当确定该待检测文件为恶意文件时，确定第一沙箱输出的动态行为文件为第一动态行为文件，以及第二沙箱输出的动态行为文件为第二动态行为文件。

实际应用中，可能存在沙箱对恶意文件进行动态行为检测时没有输出动态行为文件的情况，这表示该恶意文件在沙箱中没有网络行为。因此，可选的，可将该恶意文件改判为非恶意文件。

在本实施例的另一种可能的实施方式中，网关设备先采用其他方法检测文件以判断是否为恶意文件，例如通过人工分析等。当确定该文件为恶意文件时，将该恶意文件分别输入到第一沙箱和第二沙箱中进行动态行为检测，并获取该第一沙箱输出的动态行为文件，作为第一动态行为文件，以及获取第二沙箱输出的动态行为文件，作为第二动态行为文件。

102、网关设备根据第一动态行为文件和第二动态行为文件的共有特征确定恶意文件的僵尸特征。

本实施例中，根据第一动态行为文件和第二动态行为文件的共有特征确定僵尸特征的方法有多种。

例如，获取第一预置字段，判断第一动态行为文件的第一预置字段中的内容和第二动态行为文件的第一预置字段中的内容是否包含相同的字符串，若包含，确定恶意文件的僵尸特征包括该相同的字符串以及该字符串在第一预置字段中的位置。其中，获取第一预置字段的方法有多种，例如，该第一预置字段预先存储在网关设备内的第一配置表中，通过读取第一配置表来确定第一预置字段，可选的，该第一配置表所包括的第一预置字段可以随时更新。

本实施例中的字段可以是指有固定结构的动态行为文件的指定存储位置。在表2所示结构的动态行为文件中，字段可以是指一级项目中的任务ID、动态行为序列、动态行为操作对象等等。当动态行为文件中包含网络报文数据时，字段也可以是指按照规定协议封装的会话报文中的字段。

例如，当会话报文为采用HTTP协议封装的应用层报文时，第一预置字段包括payload字段和/或request字段。

又例如，获取第二预置字段以及该第二预置字段的预设内容。获取的方法有多种，可选的，该第二预置字段以及第二预置字段的预设内容预先存储在网关设备内的第二配置表中，通过读取第二配置表来确定第二预置字段以及该第二预置字段的预设内容。可选的，该第二配置表的内容可以随时更新。可选的，该第二预置字段为可能被僵尸程序所修改的字段，该第二预置字段的预设内容为该第二预置字段在正常报文中的常规内容。

当在第一动态行为文件和第二动态行为文件的共有特征中存在该第二预置字段，且该共有特征中的第二预置字段的内容和预设内容不同时，确定恶意文件的僵尸特征包括该共有特征中的第二预置字段的内容。

可选的，当会话报文为采用HTTP协议封装的应用层报文时，该第二预置字段包括agent字段，agent字段的预设内容包括发出请求的用户信息。

实际应用中，僵尸网络中在生成恶意文件时，同一类恶意文件的payload字段都是一样的，由于黑客可以配置定义request字段和/或agent字段，因此不同的僵尸网络中request字段和/或agent字段可能不同。因此，在检测僵尸特征时，可先通过匹配payload字段来确定僵尸特征，然后再通过匹配request字段和/或agent字段，来将检测到的僵尸特征归为不同僵尸网络的僵尸特征。

本实施例中，每个沙箱所输出的动态行为文件中包含有网络报文数据，，该网络报文数据包含在恶意文件动态行为检测过程中所产生的、沙箱与不同的通信对象之间的会话报文。在确定僵尸特征时，可以从动态行为文件的多个会话报文中查找僵尸特征。

由于第一动态行为文件和第二动态行为文件是同一个恶意文件在不同沙箱中进行动态行为检测的结果文件，该两个动态行为文件中的各会话报文为第一沙箱和第二沙箱与同一批通信对象之间的会话报文。该同一批会话对象包括n个通信对象，n为正整数。对于其中的第i个通信对象(i为大于等于1且小于等于n的任意一个正整数)，第一动态行为文件中包括第一沙箱与该第i个对象之间的会话报文，且该会话报文的五元组中的源IP地址和源端口分别为第一沙箱的IP地址和端口，目的IP地址和目的端口分别为该第i个对象的IP地址和端口；第二动态行为文件中包括第二沙箱与该第i个对象之间的会话报文，且该会话报文的五元组中的源IP地址和源端口分别为第二沙箱的IP地址和端口，目的IP地址和目的端口分别为该第i个对象的IP地址和端口。

由于会话报文中携带有沙箱随机填充的字符串以及用于描述沙箱的信息的字符串(例如沙箱的IP地址和端口地址)等等字符串，这些字符串确定不会是僵尸特征，因此，优选的，在查找僵尸特征时，根据第一动态行为文件和第二动态行为文件的共有特征确定恶意文件的僵尸特征，避免了确定出的僵尸特征中包含这些字符串。具体的，根据第一动态行为文件中的第一会话报文和第二动态行为文件中的第二会话报文的共有特征确定所述恶意文件的僵尸特征，其中，该第一会话报文和第二会话报文分别为在第一沙箱和第二沙箱与同一个通信对象的会话报文，也即第一会话报文中的目的IP地址与第二会话报文的目的IP地址相同，且第一会话报文的目的端口与第二会话报文的目的端口相同。

因此，在确定恶意文件的僵尸特征之前，首先对第一动态行为文件中的各会话报文与第二动态行为文件中的各会话报文进行配对，以确定出第一动态行为文件和第二动态行为文件中对应同一个通信对象的会话报文。配对的方法有多种，例如，对第一动态行为文件中的第一会话报文，获取该第一会话报文的目的IP地址和目的端口后，在第二动态行为文件中遍历所有会话报文，以查找出具有相同的目的IP地址和目的端口的会话报文，也即第二会话报文。

本实施例中，根据第一会话报文和第二会话报文的共有特征确恶意文件的僵尸特征的方法有多种。例如，首先获取第一会话报文和第二会话报文的共有特征，再从该共有特征中查找僵尸特征。又例如，首先确定第一会话报文中出现僵尸特征的位置(为描述方便，称为第一位置)和第二会话报文中出现僵尸特征的位置(为描述方便，称为第二位置)，再获取第一位置处的报文内容和第二位置处的报文内容的共有特征，根据该共有特征确定僵尸特征。其中，该第一位置和第二位置可以为上文所描述的payload字段、request字段、agent字段中的至少一项。

优选的，本实施例中，在根据第一会话报文和第二会话报文的共有特征确定僵尸特征的过程中，包括对第一会话报文和第二会话报文进行预处理的步骤，以对第一会话报文和第二会话报文中明确不是僵尸特征的一些字符串先进行标记，以便在对第一会话报文和第二会话报文进行比较以获取该两个会话报文的共有特征时不对该标记的字符进行比较，提高获取共有特征的效率。下面对根据第一会话报文和第二会话报文的共有特征确定僵尸特征的其中的一种方法进行举例说明。

获取预处理操作规则，所述预处理操作规则指示去除报文中的指定字符。根据所述预处理操作规则，从所述第一会话报文中获得第一剩余内容，从所述第二会话报文中获得第二剩余内容，所述第一剩余内容为所述第一会话报文中除所述指定字符以外的报文内容，所述第二剩余内容为所述第二会话报文中除所述指定字符以外的报文内容。根据第一剩余内容和第二剩余内容的共有特征确定所述恶意文件的僵尸特征。

其中，获取预处理操作规则的方法有多种，例如，该预处理操作规则预先存储在网关设备内的第三配置表中，通过读取第三配置表来确定预处理操作规则；可选的，该第三配置表的内容可以随时更新。

其中，该预处理操作规则可以有多种，例如，在会话报文为HTTP报文时，预处理操作规则用于指示去除以下至少一种：会话报文中的HTTP关键字、会话报文中的沙箱的IP地址和端口、会话报文中的CPU类型这样格式的字符串，其中，HTTP关键字可以为GET、HTTP1.1等字符串。在此不作限制。

可选地，本实施例中，网关设备内还预先设置有协议白名单，该协议白名单上存储有至少一条传输层协议。可选的，该协议白名单可以随时更新。在获取第一动态行为文件和第二动态行为文件的共有特征之前，当确定该两个动态行为文件中存在特定会话报文时，确定该特定会话报文中不包括僵尸特征，在获取第一动态行为文件和第二动态行为文件的共有特征时将该特定会话报文排除，其中，该特定会话报文指的是五元组中的传输层协议位于该协议白名单内的会话报文。这样，可以减少用于获取共有特征的会话报文，提高确定僵尸特征的效率。

本实施例中，通过恶意文件在沙箱中模拟运行，并收集该恶意文件在该运行过程中发生的网络行为的行为文件，也即动态行为文件，以从该动态行为文件中提取出僵尸特征，整个过程可以实现自动化，提高提取僵尸特征的效率；另外，由于是在至少两个沙箱中对同一个恶意文件进行动态行为检测，在提取僵尸特征时从该至少两个沙箱分别输出的动态行为文件之间的共同特征中提取僵尸特征，可以避免提取出的僵尸特征包含不同沙箱在动态行为文件中随机填充的字符串以及用于描述沙箱的信息的字符串(例如沙箱的网络协议地址和端口地址)，提高僵尸特征的准确度。

为方便理解，下面结合一个实际应用场景对本实施例的僵尸特征的检测方法进行举例描述。

请参阅图2，图2为本发明的通信系统的一个实施例的结构示意图。本实施例中，通信系统包括至少一个网关设备和一个网络安全设备202。为描述方便，下面以该至少一个网关设备中的网关设备201进行举例描述。网关设备201在接收到业务报文后，从中确定出用以承载同一个文件的一系列业务报文，也可以称之为用以承载同一个文件的会话，并对该系列业务报文进行重组还原，以得到该系列报文的载荷部分携带的文件。当网关设备201确定一个文件疑似为恶意文件时，将该文件作为待检测文件，分别输入到至少两个本地沙箱中。

其中，网关设备201确定一个文件为疑似恶意文件的方法有多种。例如，网关设备201首先对会话中携带的文件的URL和本地预存有的僵尸URL进行匹配，若匹配成功，则可直接确定该网络报文为恶意文件；若匹配不成功，进一步确定该网络报文是否为可移植的可执行的(Portable Executable，PE)文件，若是，确定该文件为疑似恶意文件。

请参阅图3，图3为网关设备201中用于进行僵尸木马检测的模块的结构示意图。网关设备201包括至少两个沙箱、威胁判定模块、僵尸特征检测模块、管控模块和沙箱管理模块。沙箱、威胁判定模块、僵尸特征检测模块、管控模块和沙箱管理模块为利用软件程序实现的功能模块。其中，管控模块用于管理威胁判定模块和僵尸特征检测模块，沙箱管理模块用于执行创建、关闭和监控沙箱等操作。

当网关设备201得到待检测文件后，沙箱管理模块创建沙箱1和沙箱2，网关设备将该待检测文件分别输入到沙箱1和沙箱2中。网关设备201的沙箱1和沙箱2分别接收到待检测文件后，对该网络报文执行静态行为检测和动态行为检测，并将检测结果输入得到威胁判定模块中。具体的，沙箱1将该网络报文的静态行为文件1和动态行为文件1输入到威胁判定模块中，沙箱2输出该网络报文的静态行为文件2和动态行为文件2输入到威胁判定模块中。

如下表1所示，下表1为静态行为文件的结构的一种实施例的示意图。

表1

如下表2所示，下表2为动态行为文件的结构的一种实施例的示意图。

表2

威胁判定模块根据该静态行为文件1和2、动态行为文件1和2确定待检测文件是否为恶意文件。具体的，威胁判定模块对该四个文件中的异常项进行权重打分，根据打分结果判定网络报文是否为恶意文件。具体如何权重打分为现有技术，在此不再赘述。

威胁判定模块将判定结果发送给管控模块，以便管控模块将该判定结果通知至沙箱管理模块。若判定结果指示该网络报文不是恶意文件，那么沙箱管理模块将沙箱1和沙箱2关闭。若判定结果指示该网络报文是恶意文件，那么威胁判定模块将所接收到的恶意文件的动态行为文件1和2发送至管控模块，以便管控模块将该两个文件转发至僵尸特征检测模块。

僵尸特征引擎接收到恶意文件的动态行为文件1和2后，获取动态行为文件1中的所有会话报文，以及动态行为文件2中的所有会话报文。僵尸特征引擎获取协议白名单，该协议白名单上存储有至少一条传输层协议。僵尸特征引擎标记出动态行为文件1和2中所有传输层协议位于该协议白名单上的会话报文，并对动态行为文件1中的未被标记的会话报文依次进行编号，以及对动态行为文件2中未被标记的会话报文依次进行编号，其中，动态行为文件1和2之间具有相同的目的IP地址且具有相同的目的端口的会话报文的编号相同。在检测僵尸特征时，对动态行为文件1和2中任意一个编号相同的两个会话报文，解析出每个会话报文中的关键特征，该关键特征包括payload字段、request字段和agent字段。具体的，下面以动态行为文件1中编号为1和动态行为文件2中编号为1的两个会话报文为例进行说明。

动态行为文件1中编号为1的会话报文的内容如下：

GET/ip.txt HTTP1.1

User-Agent:Huai_Huai

Host:2.2.2.3

Cache-Control：no-cache

HTTP/1.1 200 OK

Content-Type：text/plain

Content-Range：bytes 0-18/19

Content-Length：19

Server：HFS 2.1d

Accept-Ranges：bytes

Content-Disposition：filename＝“ip.txt”

Last-Modified:Sat,12 May 2007

02:16:42 GMT

kvo2.2.2.60:8000kid

动态行为文件2中编号为1的会话报文的内容如下：

GET/ip.txt HTTP1.1

User-Agent:Huai_Huai

Host:2.2.2.3

Cache-Control：no-cache

HTTP/1.1 200 OK

Content-Type：text/plain

Content-Range：bytes 0-18/19

Content-Length：19

Server：HFS 2.1d

Accept-Ranges：bytes

Content-Disposition：filename＝“ip.txt”

Last-Modified:Sat,12 May 2007

02:17:15 GMT

kvo2.2.2.18:8000kid

对上述两个会话报文，采用以下几种方式来检测会话报文中的僵尸特征。

方式一：

对上述两个会话报文进行协议识别，解析出payload字段如下：

动态行为文件1中编号为1的会话报文：Packet1.HTTP.payload＝kvo2.2.2.60:8000kid；

动态行为文件2中编号为1的会话报文：Packet2.HTTP.payload＝kvo2.2.2.18:8000kid。

根据预处理操作规则对payload字段进行预处理，其中，预处理操作规则指示去除将该字段中的沙箱的IP：端口“2.2.2.60:8000”这类型字符串，具体的，也即在后续获取该两个报文的共有特征时去除“2.2.2.60:8000”这段字符串。

对该两个会话报文中的payload字段，比较该两个字段中是否分别包含相同的字符串，可以得到该字符串为kvo和kid，以及kvo在payload字段中的位置为起始地址为0处，以及kid在payload字段中的位置为倒数地址为0处。那么僵尸特征包含payload字段中的kvo和kid，以及该两个字符串的在payload字段中的位置。

方式二：

对上述两个会话报文进行协议识别，解析出request字段如下：

动态行为文件1中编号为1的会话报文：Packet1.HTTP.requst＝GET/ip.txt HTTP/1.1。

动态行为文件2中编号为1的会话报文：Packet2.HTTP.requst＝GET/ip.txt HTTP/1.1。

根据预处理操作规则对request字段进行预处理，其中，预处理操作规则指示去除该字段中的HTTP关键字“GET”和“HTTP/1.1”，具体的，也即在后续获取该两个报文的共有特征时去除“GET”和“HTTP/1.1”这两段字符串。

对该两个会话报文中的request字段，比较该两个字段中是否存在相同的特征串，可以得到该字符串为/ip.txt，以及该字符串在request字段中的位置为起始地址为0处，那么僵尸特征包含request字段中的字符串/ip.txt，以及该字符串在request字段中的位置。

方式三：

对上述两个会话报文进行协议识别，解析出agent字段如下：

动态行为文件1中编号为1的会话报文：Packet1.HTTP.Agent＝Huai_Huai。

动态行为文件2中编号为1的会话报文：Packet2.HTTP.Agent＝Huai_Huai。

对该两个会话报文中的agent字段，比较该两个字段中是否存在相同的特征串，可以得到该字符串为Huai_Huai，由于该字符串和agent字段的预设内容不同，因此确定僵尸特征包含agent字段中的字符串Huai_Huai。

僵尸特征检测模块将动态行为文件1和2中任意一个编号相同的两个会话报文中的僵尸特征检测出来后，将该僵尸特征描述出来，形成规则条目，并发送给管控模块。

管控模块将规则条目发送至网络安全设备202。网络安全设备202收集来自各个网关设备的规则条目，并提供僵尸特征数据下载的功能，以便其他设备能够从该网络安全设备202下载僵尸特征数据并存储，使得网关设备可以根据该僵尸特征数据识别文件是否为恶意文件。

上面对本实施例的僵尸特征的检测方法进行了描述，下面将对本实施例的僵尸特征的检测装置进行描述。

请参阅图4，图4为本实施例的僵尸特征的检测装置的一个实施例的结构示意图。本实施例中，僵尸特征的检测装置400包括：

获取模块401，用于获取第一动态行为文件和第二动态行为文件，所述第一动态行为文件为恶意文件在第一沙箱中进行动态行为检测产生的行为文件，所述第二动态行为文件为所述恶意文件在第二沙箱中进行动态行为检测产生的行为文件；

确定模块402，用于根据所述第一动态行为文件和所述第二动态行为文件的共有特征确定所述恶意文件的僵尸特征。

在本实施例的一些可能的实施方式中，所述第一动态行为文件包括第一会话报文，所述第二动态行为文件包括第二会话报文，其中，所述第一会话报文的目的网络协议IP地址与所述第二会话报文的目的IP地址相同、且所述第一会话报文的目的端口与所述第二会话报文的目的端口相同；

确定模块402具体用于根据所述第一会话报文和所述第二会话报文的共有特征确定所述恶意文件的僵尸特征。

在上述实施方式中，可选的，确定模块402具体用于：

获取第一预置字段；

在上述实施方式中，可选的，确定模块402具体用于：

获取第二预置字段以及所述第二预置字段的预设内容；

在本实施例的一些可能的实施方式中，获取模块401具体用于：

获取恶意文件；

图4所示的僵尸特征的检测装置可以通过集成于计算机设备中的软件或硬件实现，该装置可以实现的其他附加功能请参照方法实施例中对网关设备的描述，在这里不再赘述。

上面从单元化功能实体的角度对本实施例中的僵尸特征的检测装置进行了描述，下面从硬件处理的角度对本实施例中的僵尸特征的检测装置进行描述。

请参阅图5，图5为本实施例的网关设备的一个实施例的结构示意图。本实施例中，网关设备500包括：

一个或多个处理器502、存储器501、通信总线503，所述处理器502和所述存储器501通过所述通信总线503相连；

其中一个或多个程序被存储在所述存储器501中，所述一个或多个程序包括指令，所述指令当被所述网关设备执行时使所述网关设备执行以下操作：

获取第一动态行为文件和第二动态行为文件，所述第一动态行为文件为恶意文件在第一沙箱中进行动态行为检测产生的行为文件，所述第二动态行为文件为所述恶意文件在第二沙箱中进行动态行为检测产生的行为文件；

根据所述第一动态行为文件和所述第二动态行为文件的共有特征确定所述恶意文件的僵尸特征。

可选的，所述第一动态行为文件包括第一会话报文，所述第二动态行为文件包括第二会话报文，其中，所述第一会话报文的目的网络协议IP地址与所述第二会话报文的目的IP地址相同、且所述第一会话报文的目的端口与所述第二会话报文的目的端口相同；

所述根据所述第一动态行为文件和所述第二动态行为文件的共有特征确定所述恶意文件的僵尸特征，包括：

根据所述第一会话报文和所述第二会话报文的共有特征确定所述恶意文件的僵尸特征。

可选的，所述根据所述第一会话报文和所述第二会话报文的共有特征确定所述恶意文件的僵尸特征，包括：

根据所述第一剩余内容和所述第二剩余内容的共有特征确定所述恶意文件的僵尸特征。

可选的，所述根据所述第一动态行为文件和所述第二动态行为文件的共有特征确定所述恶意文件的僵尸特征，包括：

获取第一预置字段；

获取第二预置字段以及所述第二预置字段的预设内容；

可选的，所述获取第一动态行为文件和第二动态行为文件，包括：

获取恶意文件；

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的网关设备500的具体工作过程，可以参考前述方法实施例中对网关设备的相关描述，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

本实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上实施例仅用以说明本实施例的技术方案，而非对其限制。尽管参照前述实施例的详细说明，本领域的普通技术人员可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离各实施例技术方案的范围。

Claims

一种僵尸特征的检测方法，其特征在于，包括：

获取第一动态行为文件和第二动态行为文件，所述第一动态行为文件为恶意文件在第一沙箱中进行动态行为检测产生的行为文件，所述第二动态行为文件为所述恶意文件在第二沙箱中进行动态行为检测产生的行为文件；

根据所述第一动态行为文件和所述第二动态行为文件的共有特征确定所述恶意文件的僵尸特征。
根据权利要求1所述的僵尸特征的检测方法，其特征在于，所述第一动态行为文件包括第一会话报文，所述第二动态行为文件包括第二会话报文，其中，所述第一会话报文的目的网络协议IP地址与所述第二会话报文的目的IP地址相同、且所述第一会话报文的目的端口与所述第二会话报文的目的端口相同；

所述根据所述第一动态行为文件和所述第二动态行为文件的共有特征确定所述恶意文件的僵尸特征，包括：

根据所述第一会话报文和所述第二会话报文的共有特征确定所述恶意文件的僵尸特征。
根据权利要求2所述的僵尸特征的检测方法，其特征在于，所述根据所述第一会话报文和所述第二会话报文的共有特征确定所述恶意文件的僵尸特征，包括：

获取预处理操作规则，所述预处理操作规则指示去除报文中的指定字符；

根据所述预处理操作规则，从所述第一会话报文中获得第一剩余内容，从所述第二会话报文中获得第二剩余内容，所述第一剩余内容为所述第一会话报文中除所述指定字符以外的报文内容，所述第二剩余内容为所述第二会话报文中除所述指定字符以外的报文内容；

根据所述第一剩余内容和所述第二剩余内容的共有特征确定所述恶意文件的僵尸特征。
根据权利要求2所述的僵尸特征的检测方法，其特征在于，所述根据所述第一会话报文和所述第二会话报文的共有特征确定所述恶意文件的僵尸特征，包括：

获取第一预置字段；

判断所述第一会话报文的所述第一预置字段中的内容和所述第二会话报文的所述第一预置字段中的内容是否包含相同的字符串，若包含，确定所述恶意文件的僵尸特征包括所述字符串以及所述字符串在所述第一预置字段中的位置。
根据权利要求2所述的僵尸特征的检测方法，其特征在于，所述根据所述第一会话报文和所述第二会话报文的共有特征确定所述恶意文件的僵尸特征，包括：

获取第二预置字段以及所述第二预置字段的预设内容；

当所述第一会话报文和所述第二会话报文的共有特征中存在所述第二预置字段，且所述共有特征中的第二预置字段的内容和所述预设内容不同时，确定所述僵尸特征包括所述共有特征中的第二预置字段的内容。
根据权利要求1至5任一项所述的僵尸特征的检测方法，其特征在于，所述获取第一动态行为文件和第二动态行为文件，包括：

获取第一沙箱输出的静态行为文件和动态行为文件，以及第二沙箱输出的静态行为文件和动态行为文件，其中，所述第一沙箱输出的静态行为文件为待检测文件在所述第一沙箱中进行静态行为检测产生的行为文件，所述第二沙箱输出的静态行为文件为所述待检测文件在所述第二沙箱中进行静态行为检测产生的行为文件，所述第一沙箱输出的动态行为文件为所述待检测文件在所述第一沙箱在所述第一沙箱中进行动态行为检测产生的行为文件，所述第二沙箱输出的动态行为文件为所述待检测文件在所述第二沙箱中进行动态行为检测产生的行为文件；

根据所述第一沙箱输出的静态行为文件和动态行为文件，以及所述第二沙箱输出的静态行为文件和动态行为文件判断所述待检测文件是否为恶意文件；

当确定所述待检测文件为恶意文件时，确定所述第一沙箱输出的动态行为文件为所述第一动态行为文件，以及所述第二沙箱输出的动态行为文件为所述第二动态行为文件。
根据权利要求1至5任一项所述的僵尸特征的检测方法，其特征在于，所述获取第一动态行为文件和第二动态行为文件，包括：

获取恶意文件；

将所述恶意文件分别输入到第一沙箱和第二沙箱中进行动态行为检测；

获取所述第一沙箱输出的动态行为文件，以及所述第二沙箱输出的动态行为文件。
一种僵尸特征的检测装置，其特征在于，包括：

获取模块，用于获取第一动态行为文件和第二动态行为文件，所述第一动态行为文件为恶意文件在第一沙箱中进行动态行为检测产生的行为文件，所述第二动态行为文件为所述恶意文件在第二沙箱中进行动态行为检测产生的行为文件；

确定模块，用于根据所述第一动态行为文件和所述第二动态行为文件的共有特征确定所述恶意文件的僵尸特征。
根据权利要求8所述的僵尸特征的检测装置，其特征在于，所述第一动态行为文件包括第一会话报文，所述第二动态行为文件包括第二会话报文，其中，所述第一会话报文的目的网络协议IP地址与所述第二会话报文的目的IP地址相同、且所述第一会话报文的目的端口与所述第二会话报文的目的端口相同；

所述确定模块具体用于根据所述第一会话报文和所述第二会话报文的共有特征确定所述恶意文件的僵尸特征。
根据权利要求9所述的僵尸特征的检测装置，其特征在于，所述确定模块具体用于：

获取预处理操作规则，所述预处理操作规则指示去除报文中的指定字符；

根据所述预处理操作规则，从所述第一会话报文中获得第一剩余内容，从所述第二会话报文中获得第二剩余内容，所述第一剩余内容为所述第一会话报文中除所述指定字符以外的报文内容，所述第二剩余内容为所述第二会话报文中除所述指定字符以外的报文内容；

根据第一剩余内容和第二剩余内容的共有特征确定所述恶意文件的僵尸特征。
根据权利要求9所述的僵尸特征的检测装置，其特征在于，所述确定模块具体用于：

获取第一预置字段；

判断所述第一会话报文的所述第一预置字段中的内容和所述第二会话报文的所述第一预置字段中的内容是否包含相同的字符串，若包含，确定所述恶意文件的僵尸特征包括所述字符串以及所述字符串在所述第一预置字段中的位置。
根据权利要求9所述的僵尸特征的检测装置，其特征在于，所述确定模块具体用于：

获取第二预置字段以及所述第二预置字段的预设内容；

当所述第一会话报文和所述第二会话报文的共有特征中存在所述第二预置字段，且所述共有特征中的第二预置字段的内容和所述预设内容不同时，确定所述僵尸特征包括所述共有特征中的第二预置字段的内容。
根据权利要求8至12任一项所述的僵尸特征的检测装置，其特征在于，所述获取模块具体用于：

获取第一沙箱输出的静态行为文件和动态行为文件，以及第二沙箱输出的静态行为文件和动态行为文件，其中，所述第一沙箱输出的静态行为文件为待检测文件在所述第一沙箱中进行静态行为检测产生的行为文件，所述第二沙箱输出的静态行为文件为所述待检测文件在所述第二沙箱中进行静态行为检测产生的行为文件，所述第一沙箱输出的动态行为文件为所述待检测文件在所述第一沙箱在所述第一沙箱中进行动态行为检测产生的行为文件，所述第二沙箱输出的动态行为文件为所述待检测文件在所述第二沙箱中进行动态行为检测产生的行为文件；

根据所述第一沙箱输出的静态行为文件和动态行为文件，以及所述第二沙箱输出的静态行为文件和动态行为文件判断所述待检测文件是否为恶意文件；

当确定所述待检测文件为恶意文件时，确定所述第一沙箱输出的动态行为文件为所述第一动态行为文件，以及所述第二沙箱输出的动态行为文件为所述第二动态行为文件。
根据权利要求8至12任一项所述的僵尸特征的检测装置，其特征在于，所述获取模块具体用于：

获取恶意文件；

将所述恶意文件分别输入到第一沙箱和第二沙箱中进行动态行为检测；

获取所述第一沙箱输出的动态行为文件，以及所述第二沙箱输出的动态行为文件。