一种恶意类检测方法、系统、装置、设备及介质与流程

1.本技术涉及计算机技术领域，尤其涉及一种恶意类检测方法、系统、装置、设备及介质。


背景技术：

2.随着国家和各大企业对网络安全的逐渐重视，黑客攻击人员在面对各大安全厂商的防御策略时，传统的有文件落地的攻击技术的生存空间越来越小，无文件落地的攻击技术逐渐成为一种新的攻击趋势。
3.目前，针对无文件攻击的检测方法通常不具备实时检测能力，而且不够轻量，通用性和可扩展性较差，检测效果也不是很理想，如何实现一种高可用、轻量级且具有良好的通用性和可扩展性的无文件攻击检测方法是当前网络安全技术领域需要解决的问题。


技术实现要素：

4.本技术实施例提供了一种恶意类检测方法、系统、装置、设备及介质，用以解决现有技术中的无文件攻击检测方法不够轻量、通用性和可扩展性较差、检测时效和检测效果不理想的问题。
5.本技术实施例提供的技术方案如下：一方面，本技术实施例提供了一种恶意类检测方法，应用于恶意类检测服务器，该恶意类检测方法包括：接收程序运行设备上的恶意类检测客户端监测到程序运行设备加载了新类时发送的程序运行设备中的各新类的第一属性信息；基于程序运行设备中的各新类的第一属性信息，调用存储在第一指定区域的可疑类过滤规则，对程序运行设备中的各新类是否为可疑类进行检测，得到程序运行设备中的各可疑类；将程序运行设备中的各可疑类的第二属性信息发送至恶意类检测客户端，以触发恶意类检测客户端对程序运行设备中的各可疑类的字节码进行转储；基于恶意类检测客户端发送的程序运行设备中的各可疑类的字节码，调用存储在第二指定区域的恶意类检测模型，对程序运行设备中的各可疑类是否为恶意类进行检测，得到程序运行设备中的各恶意类。
6.另一方面，本技术实施例还提供了另一种恶意类检测方法，应用于程序运行设备上的恶意类检测客户端，该恶意类检测方法包括：监测到程序运行设备加载了新类时，获取程序运行设备中的各新类的第一属性信息并发送至恶意类检测服务器，以触发恶意类检测服务器基于程序运行设备中的各新类的第一属性信息，对程序运行设备中的各新类是否为可疑类进行检测；接收到恶意类检测服务器检测出程序运行设备中的各可疑类时发送的程序运行设备中的各可疑类的第二属性信息时，对程序运行设备中的各可疑类的字节码进行转储并
发送至恶意类检测服务器，以触发恶意类检测服务器基于程序运行设备中的各可疑类的字节码，对程序运行设备中的各可疑类是否为恶意类进行检测。
7.另一方面，本技术实施例还提供了一种恶意类检测系统，包括：程序运行设备上的恶意类检测客户端，以及恶意类检测服务器；恶意类检测客户端，用于监测到程序运行设备加载了新类时，获取程序运行设备中的各新类的第一属性信息并发送至恶意类检测服务器；以及接收到恶意类检测服务器发送的程序运行设备中的各可疑类的第二属性信息时，对程序运行设备中的各可疑类的字节码进行转储并发送至恶意类检测服务器；恶意类检测服务器，用于接收到恶意类检测客户端发送的程序运行设备中的各新类的第一属性信息时，基于程序运行设备中的各新类的第一属性信息，调用存储在第一指定区域的可疑类过滤规则，对程序运行设备中的各新类是否为可疑类进行检测，得到程序运行设备中的各可疑类，并将程序运行设备中的各可疑类的第二属性信息发送至恶意类检测客户端；以及基于恶意类检测客户端发送的程序运行设备中的各可疑类的字节码，调用存储在第二指定区域的恶意类检测模型，对程序运行设备中的各可疑类是否为恶意类进行检测，得到程序运行设备中的各恶意类。
8.另一方面，本技术实施例还提供了一种恶意类检测装置，应用于恶意类检测服务器，该恶意类检测装置包括：信息接收单元，用于接收程序运行设备上的恶意类检测客户端监测到程序运行设备加载了新类时发送的程序运行设备中的各新类的第一属性信息；可疑类检测单元，用于基于程序运行设备中的各新类的第一属性信息，调用存储在第一指定区域的可疑类过滤规则，对程序运行设备中的各新类是否为可疑类进行检测，得到程序运行设备中的各可疑类；触发转储单元，用于将程序运行设备中的各可疑类的第二属性信息发送至恶意类检测客户端，以触发恶意类检测客户端对程序运行设备中的各可疑类的字节码进行转储；恶意类检测单元，用于基于恶意类检测客户端发送的程序运行设备中的各可疑类的字节码，调用存储在第二指定区域的恶意类检测模型，对程序运行设备中的各可疑类是否为恶意类进行检测，得到程序运行设备中的各恶意类。
9.另一方面，本技术实施例还提供了另一种恶意类检测装置，应用于程序运行设备上的恶意类检测客户端，该恶意类检测装置包括：信息获取单元，用于监测到程序运行设备加载了新类时，获取程序运行设备中的各新类的第一属性信息并发送至恶意类检测服务器，以触发恶意类检测服务器基于程序运行设备中的各新类的第一属性信息，对程序运行设备中的各新类是否为可疑类进行检测；转储执行单元，用于接收到恶意类检测服务器检测出程序运行设备中的各可疑类时发送的程序运行设备中的各可疑类的第二属性信息时，对程序运行设备中的各可疑类的字节码进行转储并发送至恶意类检测服务器，以触发恶意类检测服务器基于程序运行设备中的各可疑类的字节码，对程序运行设备中的各可疑类是否为恶意类进行检测。
10.另一方面，本技术实施例还提供了一种恶意类检测设备，包括：存储器、处理器和存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现本技术实施例提供的应用于恶意类检测服务器的恶意类检测方法，或者实现本技术实施例提供的
应用于恶意类检测客户端的恶意类检测方法。
11.另一方面，本技术实施例还提供了一种计算机可读存储介质，计算机可读存储介质存储有计算机指令，计算机指令被处理器执行时实现本技术实施例提供的应用于恶意类检测服务器的恶意类检测方法，或者实现本技术实施例提供的应用于恶意类检测客户端的恶意类检测方法。
12.本技术实施例的有益效果如下：本技术实施例中，一方面，通过在程序运行设备上注入恶意类检测客户端，可以利用恶意类检测客户端监测程序运行设备的新类加载操作，从而可以在监测到程序运行设备加载了新类时触发恶意类检测流程，进而可以实现对恶意类的及时检测，另一方面，通过恶意类检测服务器与恶意类检测客户端的相互协作来检测恶意类，不仅可以实现轻量级的恶意类检测，还可以提高恶意类检测的通用性，而且，通过在第一指定区域存储可疑类过滤规则以及在第二指定区域存储恶意类检测模型，可以实现对可疑类过滤规则的动态增删和修改以及对恶意类检测模型的动态升级，从而可以提高恶意类检测的灵活性和可扩展性，此外，通过可疑类过滤规则和恶意类检测引擎进行两次检测，可以提高恶意类检测的准确度。
13.本技术的其它特征和优点将在随后的说明书中阐述，并且，部分地可以从说明书中变得显而易见，或者通过实施本技术而了解。本技术的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中特别指出的结构来实现和获得。
附图说明
14.此处所说明的附图用来提供对本技术的进一步理解，构成本技术的一部分，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：图1为本技术实施例中恶意类检测系统的系统架构示意图；图2为本技术实施例中恶意类检测方法的交互流程示意图；图3为本技术实施例中恶意类检测方法的具体流程示意图；图4为本技术实施例中一恶意类检测装置的功能结构示意图；图5为本技术实施例中另一恶意类检测装置的功能结构示意图；图6为本技术实施例中恶意类检测设备的硬件结构示意图。
具体实施方式
15.为了使本技术的目的、技术方案及有益效果更加清楚明白，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，并不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
16.为便于本领域技术人员更好地理解本技术，下面先对本技术涉及的技术用语进行简单介绍。
17.>程序运行设备，为运行可执行程序的设备，本技术实施例中，程序运行设备包括但不限于虚拟机、服务器、终端设备等，例如，程序运行设备可以是运行java程序的java虚拟机。
18.>恶意类检测系统，为检测程序运行设备中的恶意类的系统，本技术实施例中，恶意类检测系统至少包括程序运行设备上的恶意类检测客户端以及恶意类检测服务器；其中：恶意类检测客户端，为注入在程序运行设备上用于监测新类加载操作并获取新类的属性信息和字节码的可执行程序，实际应用中，恶意类检测客户端以可执行程序压缩包的形式注入到程序运行设备中，具体可以注入到程序运行设备执行的各个进程中，例如，可以将用于监测新类加载操作并获取新类的属性信息和字节码的jar包注入到java虚拟机执行的各个进程中；恶意类检测服务器，为对程序运行设备中的各新类进行可疑类检测和恶意类检测的后台运行设备。
19.值得说的是，本技术实施例中，恶意类检测系统还可以包括可疑类检测引擎和恶意类检测引擎；其中，可疑类检测引擎可以是恶意类检测服务器的内部组件，也可以是独立于恶意类检测服务器的外部设备，用于检测程序运行设备中的各新类是否为可疑类；恶意类检测引擎可以是恶意类检测服务器的内部组件，也可以是独立于恶意类检测服务器的外部设备，用于检测程序运行设备中的各可疑类是否为恶意类。
20.>第一属性信息，为描述类的各属性的信息，本技术实施例中，第一属性信息包括但不限于类名、副类名、路径名、接口名、类加载器声明、注释等。
21.>第二属性信息，为表征类的唯一标识的信息，本技术实施例中，第二属性信息包括但不限于类名等。
22.>可疑类过滤规则，为用于检测可疑类的规则，本技术实施例中，可疑类过滤规则包括但不限于第一属性信息中没有类路径、第一属性信息中包含实现了过滤器、监听器或容器等功能的接口名等。
23.>恶意类检测模型，为对各样本类的字节码以及各样本类是否属于恶意类的真实标注进行机器学习获得的用于根据类的字节码检测该类是否属于恶意类的神经网络模型。
24.>第一指定区域，为用于存储可疑类过滤规则的区域，本技术实施例中，第一指定区域可以是内存、数据库等。
25.>第二指定区域，为用于存储恶意类检测模型的区域，本技术实施例中，第二指定区域可以是内存、数据库等。实际应用中，第一指定区域和第二指定区域可以是同一存储区域也可以是不同存储区域，本技术不作限定。
26.>可执行程序压缩包，为对恶意类检测客户端的可执行程序进行压缩得到的压缩包，例如，可执行程序压缩包可以是jar包。
27.>钩子加载函数，为用于监测程序运行设备的新类加载操作的hook函数，本技术实施例中，钩子加载函数可以被注入到程序运行设备执行的各进程中。
28.>第一回调函数，为用于获取第一属性信息的transform回调函数。
29.>第二回调函数，为用于转储字节码的transform回调函数。
30.需要说明的是，本技术实施例中提及的“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样的用语在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，本技术实施例中提及的“和/或”，描述的是关联对象的关联关系，表示可以存在三种关系，例如，a
和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
31.在介绍了本技术涉及的技术用语后，接下来，对本技术实施例的应用场景和设计思想进行简单介绍。
32.为了解决目前的无文件攻击检测方法不够轻量、通用性和可扩展性较差、检测时效和检测效果不理想的问题，本技术实施例中，通过在程序运行设备上注入恶意类检测客户端，利用恶意类检测客户端对程序运行设备的新类加载操作进行实时监测，当监测到程序运行设备加载了新类时，利用恶意类检测服务器对程序运行设备中的各新类是否为可疑类进行检测后，进一步对程序运行设备中的各可疑类是否为恶意类进行检测。这样，通过在恶意类检测客户端监测程序运行设备加载了新类时触发对程序运行设备中的所有新类进行恶意类检测，不仅可以实现对恶意类的及时检测，还可以实现对恶意类的全方位检测，而且，通过恶意类检测服务器与恶意类检测客户端的相互协作来检测恶意类，不仅可以实现轻量级的恶意类检测，还可以提高恶意类检测的通用性，此外，通过对程序运行设备中的所有新类进行可疑类和恶意类两次检测，可以提高恶意类检测的准确度。
33.在介绍了本技术实施例的应用场景和设计思想之后，下面对本技术实施例提供的技术方案进行详细说明。
34.本技术实施例提供了一种恶意类检测系统，参阅图1所示，本技术实施例提供的恶意类检测系统100至少包括：程序运行设备上的恶意类检测客户端110，以及恶意类检测服务器120；恶意类检测客户端110，用于监测到程序运行设备加载了新类时，获取程序运行设备中的各新类的第一属性信息并发送至恶意类检测服务器120；以及接收到恶意类检测服务器120发送的程序运行设备中的各可疑类的第二属性信息时，对程序运行设备中的各可疑类的字节码进行转储并发送至恶意类检测服务器120；恶意类检测服务器120，用于接收到恶意类检测客户端110发送的程序运行设备中的各新类的第一属性信息时，基于程序运行设备中的各新类的第一属性信息，调用存储在第一指定区域的可疑类过滤规则，对程序运行设备中的各新类是否为可疑类进行检测，得到程序运行设备中的各可疑类，并将程序运行设备中的各可疑类的第二属性信息发送至恶意类检测客户端110；以及基于恶意类检测客户端110发送的程序运行设备中的各可疑类的字节码，调用存储在第二指定区域的恶意类检测模型，对程序运行设备中的各可疑类是否为恶意类进行检测，得到程序运行设备中的各恶意类。
35.在一种可能的实施方式中，恶意类检测服务器120，还用于在接收程序运行设备上的恶意类检测客户端110监测到程序运行设备加载了新类时发送的程序运行设备中的各新类的第一属性信息之前，确定程序运行设备满足插针条件时，采用插针技术，将恶意类检测客户端110的可执行程序压缩包注入至程序运行设备。
36.在一种可能的实施方式中，恶意类检测客户端110，具体用于利用钩子加载函数监测到程序运行设备加载了新类时，将程序运行设备的标准类文件与当前类文件进行匹配，得到程序运行设备中的各新类；利用第一回调函数获取程序运行设备中各新类的第一属性信息。
37.在一种可能的实施方式中，恶意类检测服务器120，具体用于将程序运行设备中的
各新类的第一属性信息发送至可疑类检测引擎130，以触发可疑类检测引擎130基于程序运行设备中的各新类的第一属性信息，调用存储在第一指定区域的可疑类过滤规则，对程序运行设备中的各新类是否为可疑类进行检测。
38.在一种可能的实施方式中，恶意类检测客户端110，具体用于利用第二回调函数获取程序运行设备中的各可疑类的字节码。
39.在一种可能的实施方式中，恶意类检测服务器120，具体用于将程序运行设备中的各可疑类的字节码发送至恶意类检测引擎140，以触发恶意类检测引擎140基于程序运行设备中的各可疑类的字节码，调用存储在第二指定区域的恶意类检测模型，对程序运行设备中的各可疑类是否为恶意类进行检测。
40.下面结合如图1所示的恶意类检测系统100，对本技术实施例提供的恶意类检测方法进行详细说明，参阅图2所示，本技术实施例提供的恶意类检测方法的交互流程如下：步骤201：恶意类检测客户端110监测到程序运行设备加载了新类时，获取程序运行设备中的各新类的第一属性信息。
41.实际应用中，为了能够实现对新类加载操作的实时监测以及新类的属性信息和字节码的获取，恶意类检测服务器120可以在确定程序运行设备满足插针条件时，采用插针技术，将恶意类检测客户端110的可执行程序压缩包注入至程序运行设备，具体的，恶意类检测服务器120可以在确定程序运行设备运行的源码版本符合插针要求时，确定程序运行设备满足插针条件，并进一步采用插针技术，将恶意类检测客户端110的可执行程序压缩包注入至程序运行设备执行的各个进程中，从而通过运行注入在程序运行设备的各个进程中的可执行程序压缩包，实现恶意类检测客户端110的功能。
42.进一步的，恶意类检测客户端110利用钩子加载函数监测到程序运行设备加载了新类时，可以将程序运行设备的标准类文件与当前类文件进行匹配，得到程序运行设备中的各新类，并利用第一回调函数获取程序运行设备中各新类的第一属性信息。
43.步骤202：恶意类检测客户端110将程序运行设备中的各新类的第一属性信息发送至恶意类检测服务器120。
44.实际应用中，恶意类检测客户端110可以通过套接字，将程序运行设备中的各新类的第一属性信息发送至恶意类检测服务器120。
45.步骤203：恶意类检测服务器120接收到恶意类检测客户端110发送的程序运行设备中的各新类的第一属性信息时，基于程序运行设备中的各新类的第一属性信息，调用存储在第一指定区域的可疑类过滤规则，对程序运行设备中的各新类是否为可疑类进行检测，得到程序运行设备中的各可疑类。
46.实际应用中，为了提高可疑类过滤规则配置的灵活性和可扩展性，可疑类过滤规则可以存储在可疑类检测引擎130的第一指定区域中，在具体实施时，恶意类检测服务器120接收到恶意类检测客户端110发送的程序运行设备中的各新类的第一属性信息后，可以通过进程间通信，将程序运行设备中的各新类的第一属性信息发送至可疑类检测引擎130，通过可疑类检测引擎130基于程序运行设备中的各新类的第一属性信息，调用存储在第一指定区域的可疑类过滤规则，对程序运行设备中的各新类是否为可疑类进行检测，得到程序运行设备中的各可疑类后返回至恶意类检测服务器120，具体的，可疑类检测引擎130可以通过进程间通信，将程序运行设备中的各可疑类发送至恶意类检测服务器120，恶意类检
测服务器120即获得了程序运行设备中的各可疑类。
47.步骤204：恶意类检测服务器120将程序运行设备中的各可疑类的第二属性信息发送至恶意类检测客户端110。
48.实际应用中，恶意类检测服务器120同样可以通过套接字，将程序运行设备中的各可疑类的第二属性信息发送至恶意类检测客户端110。
49.步骤205：恶意类检测客户端110接收到恶意类检测服务器120发送的程序运行设备中的各可疑类的第二属性信息时，对程序运行设备中的各可疑类的字节码进行转储。
50.实际应用中，恶意类检测客户端110接收到恶意类检测服务器120发送的程序运行设备中的各可疑类的第二属性信息时，可以利用第二回调函数对程序运行设备中的各可疑类的字节码进行转储，从而获得程序运行设备中的各可疑类的字节码。
51.步骤206：恶意类检测客户端110将转储的程序运行设备中的各可疑类的字节码发送至恶意类检测服务器120。
52.实际应用中，恶意类检测客户端110可以通过套接字，将程序运行设备中的各可疑类的字节码发送至恶意类检测服务器120。
53.步骤207：恶意类检测服务器120接收到恶意类检测客户端110发送的程序运行设备中的各可疑类的字节码时，基于程序运行设备中的各可疑类的字节码，调用存储在第二指定区域的恶意类检测模型，对程序运行设备中的各可疑类是否为恶意类进行检测，得到程序运行设备中的各恶意类。
54.实际应用中，为了提高恶意类检测模型配置的灵活性和可扩展性，恶意类检测模型可以存储在恶意类检测引擎140的第二指定区域中，在具体实施时，恶意类检测服务器120接收到恶意类检测客户端110发送的程序运行设备中的各可疑类的字节码后，可以将程序运行设备中的各可疑类的字节码发送至恶意类检测引擎140，通过恶意类检测引擎140基于程序运行设备中的各可疑类的字节码，调用存储在第二指定区域的恶意类检测模型，对程序运行设备中的各可疑类是否为恶意类进行检测，得到程序运行设备中的各恶意类后返回至恶意类检测服务器120，具体的，恶意类检测引擎140可以通过进程间通信，将程序运行设备中的各恶意类发送至恶意类检测服务器120，恶意类检测服务器120即获得了程序运行设备中的各恶意类。
55.下面以“对java虚拟机进行java恶意类检测”为具体应用场景，对本技术实施例提供的恶意类检测方法作进一步详细说明。
56.实际应用中，为了能够实现对java虚拟机的新类加载操作的监测以及新类的属性信息和字节码的获取，恶意类检测服务器120可以在确定java虚拟机运行的java源码版本符合java插针技术要求时，采用java插针技术，将恶意类检测客户端110的jar包注入至java虚拟机的各个进程中，从而通过运行注入在程序运行设备的各个进程中的可执行程序压缩包，实现恶意类检测客户端110的功能，进而可以通过恶意类检测客户端110、恶意类检测服务器120、可疑类检测引擎130和恶意类检测引擎140的相互协作，实现对java虚拟机的java恶意类的检测，具体的，参阅图3所示，本技术实施例提供的恶意类检测方法的具体流程如下：步骤301：恶意类检测客户端110利用钩子加载函数监测到java虚拟机加载了新类时，将java虚拟机的标准类文件与当前类文件进行匹配，得到java虚拟机中的各新类。
57.步骤302：恶意类检测客户端110利用第一transform回调函数获取java虚拟机中各新类的第一属性信息。
58.步骤303：恶意类检测客户端110通过套接字，将java虚拟机中各新类的第一属性信息发送至恶意类检测服务器120。
59.步骤304：恶意类检测服务器120通过进程间通信，将java虚拟机中的各新类的第一属性信息发送至可疑类检测引擎130。
60.步骤305：可疑类检测引擎130基于java虚拟机中的各新类的第一属性信息，调用存储在第一指定区域的可疑类过滤规则，对java虚拟机中的各新类是否为java可疑类进行检测，得到java虚拟机中的各java可疑类。
61.步骤306：可疑类检测引擎130通过进程间通信，将java虚拟机中的各java可疑类的第二属性信息返回至恶意类检测服务器120。
62.步骤307：恶意类检测服务器120通过套接字，将java虚拟机中的各java可疑类的第二属性信息发送至恶意类检测客户端110。
63.步骤308：恶意类检测客户端110基于java虚拟机中的各java可疑类的第二属性信息，利用第二transform回调函数获取java虚拟机中的各java可疑类的字节码。
64.步骤309：恶意类检测客户端110通过套接字，将java虚拟机中的各java可疑类的字节码发送至恶意类检测服务器120。
65.步骤310：恶意类检测服务器120通过进程间通信，将java虚拟机中的各java可疑类的字节码发送至恶意类检测引擎140。
66.步骤311：恶意类检测引擎140基于java虚拟机中的各java可疑类的字节码，调用存储在第二指定区域的恶意类检测模型，对java虚拟机中的各java可疑类是否为java恶意类进行检测，得到java虚拟机中的各java恶意类。
67.步骤312：恶意类检测引擎140通过进程间通信，将java虚拟机中的各java恶意类返回至恶意类检测服务器120。
68.基于上述实施例，本技术实施例提供了一种恶意类检测装置，应用于恶意类检测服务器120，参阅图4所示，本技术实施例提供的恶意类检测装置400至少包括：信息接收单元401，用于接收程序运行设备上的恶意类检测客户端110监测到程序运行设备加载了新类时发送的程序运行设备中的各新类的第一属性信息；可疑类检测单元402，用于基于程序运行设备中的各新类的第一属性信息，调用存储在第一指定区域的可疑类过滤规则，对程序运行设备中的各新类是否为可疑类进行检测，得到程序运行设备中的各可疑类；触发转储单元403，用于将程序运行设备中的各可疑类的第二属性信息发送至恶意类检测客户端110，以触发恶意类检测客户端110对程序运行设备中的各可疑类的字节码进行转储；恶意类检测单元404，用于基于恶意类检测客户端110发送的程序运行设备中的各可疑类的字节码，调用存储在第二指定区域的恶意类检测模型，对程序运行设备中的各可疑类是否为恶意类进行检测，得到程序运行设备中的各恶意类。
69.在一种可能的实施方式中，本技术实施例提供的恶意类检测装置400还包括：程序插针单元405，用于确定程序运行设备满足插针条件时，采用插针技术，将恶
意类检测客户端110的可执行程序压缩包注入至程序运行设备。
70.在一种可能的实施方式中，基于程序运行设备中的各新类的第一属性信息，调用存储在第一指定区域的可疑类过滤规则，对程序运行设备中的各新类是否为可疑类进行检测时，可疑类检测单元402具体用于：将程序运行设备中的各新类的第一属性信息发送至可疑类检测引擎130，以触发可疑类检测引擎130基于程序运行设备中的各新类的第一属性信息，调用存储在第一指定区域的可疑类过滤规则，对程序运行设备中的各新类是否为可疑类进行检测。
71.在一种可能的实施方式中，基于恶意类检测客户端110发送的程序运行设备中的各可疑类的字节码，调用存储在第二指定区域的恶意类检测模型，对程序运行设备中的各可疑类是否为恶意类进行检测时，恶意类检测单元404具体用于：将程序运行设备中的各可疑类的字节码发送至恶意类检测引擎140，以触发恶意类检测引擎140基于程序运行设备中的各可疑类的字节码，调用存储在第二指定区域的恶意类检测模型，对程序运行设备中的各可疑类是否为恶意类进行检测。
72.此外，本技术实施例还提供了另一种恶意类检测装置，应用于程序运行设备上的恶意类检测客户端110，参阅图5所示，本技术实施例提供的恶意类检测装置500至少包括：信息获取单元501，用于监测到程序运行设备加载了新类时，获取程序运行设备中的各新类的第一属性信息并发送至恶意类检测服务器120，以触发恶意类检测服务器120基于程序运行设备中的各新类的第一属性信息，对程序运行设备中的各新类是否为可疑类进行检测；转储执行单元502，用于接收到恶意类检测服务器120检测出程序运行设备中的各可疑类时发送的程序运行设备中的各可疑类的第二属性信息时，对程序运行设备中的各可疑类的字节码进行转储并发送至恶意类检测服务器120，以触发恶意类检测服务器120基于程序运行设备中的各可疑类的字节码，对程序运行设备中的各可疑类是否为恶意类进行检测。
73.在一种可能的实施方式中，监测到程序运行设备加载了新类时，获取程序运行设备中的各新类的第一属性信息时，信息获取单元501具体用于：利用钩子加载函数监测到程序运行设备加载了新类时，将程序运行设备的标准类文件与当前类文件进行匹配，得到程序运行设备中的各新类；利用第一回调函数获取程序运行设备中各新类的第一属性信息。
74.在一种可能的实施方式中，对程序运行设备中的各可疑类的字节码进行转储时，转储执行单元502具体用于：利用第二回调函数获取程序运行设备中的各可疑类的字节码。
75.需要说明的是，本技术实施例提供的两种恶意类检测装置解决技术问题的原理与本技术实施例提供的恶意类检测方法相似，因此，本技术实施例提供的两种恶意类检测装置的实施可以参见本技术实施例提供的恶意类检测方法的实施，重复之处不再赘述。
76.在介绍了本技术实施例提供的恶意类检测系统、方法和装置之后，接下来，对本技术实施例提供的恶意类检测设备进行简单介绍。
77.参阅图6所示，本技术实施例提供的恶意类检测设备600至少包括：处理器601、存储器602和存储在存储器602上并可在处理器601上运行的计算机程序，处理器601执行计算
机程序时实现本技术实施例提供的应用于恶意类检测服务器的恶意类检测方法，或者实现本技术实施例提供的应用于恶意类检测客户端的恶意类检测方法。
78.本技术实施例提供的恶意类检测设备600还可以包括连接不同组件（包括处理器601和存储器602）的总线603。其中，总线603表示几类总线结构中的一种或多种，包括存储器总线、外围总线、局域总线等。
79.存储器602可以包括易失性存储器形式的可读介质，例如随机存储器（random access memory，ram）6021和/或高速缓存存储器6022，还可以进一步包括只读存储器（read only memory，rom）6023。
80.存储器602还可以包括具有一组（至少一个）程序模块6024的程序工具6025，程序模块6024包括但不限于：操作子系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。
81.恶意类检测设备600也可以与一个或多个外部设备604（例如键盘、遥控器等）通信，还可以与一个或者多个使得用户能与恶意类检测设备600交互的设备通信（例如手机、电脑等），和/或，与使得恶意类检测设备600与一个或多个其它恶意类检测设备600进行通信的任何设备（例如路由器、调制解调器等）通信。这种通信可以通过输入/输出（input /output，i/o）接口605进行。并且，恶意类检测设备600还可以通过网络适配器606与一个或者多个网络（例如局域网（local area network，lan），广域网（wide area network，wan）和/或公共网络，例如因特网）通信。如图6所示，网络适配器606通过总线603与恶意类检测设备600的其它模块通信。应当理解，尽管图6中未示出，可以结合恶意类检测设备600使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、磁盘阵列（redundant arrays of independent disks，raid）子系统、磁带驱动器以及数据备份存储子系统等。
82.需要说明的是，图6所示的恶意类检测设备600仅仅是一个示例，不应对本技术实施例的功能和使用范围带来任何限制。
83.下面对本技术实施例提供的计算机可读存储介质进行简单介绍。本技术实施例提供的计算机可读存储介质存储有计算机指令，该计算机指令被处理器执行时实现本技术实施例提供的应用于恶意类检测服务器的恶意类检测方法，或者实现本技术实施例提供的应用于恶意类检测客户端的恶意类检测方法。具体地，该可执行程序可以内置或者安装在恶意类检测设备600中，这样，恶意类检测设备600就可以通过执行内置或者安装的可执行程序实现本技术实施例提供的应用于恶意类检测服务器的恶意类检测方法，或者实现本技术实施例提供的应用于恶意类检测客户端的恶意类检测方法。
84.此外，本技术实施例提供的应用于恶意类检测服务器的恶意类检测方法还可以实现为一种程序产品，该程序产品包括程序代码，当该程序产品可以在恶意类检测服务器上运行时，该程序代码用于使恶意类检测服务器执行本技术实施例提供的应用于恶意类检测服务器的恶意类检测方法。当然，本技术实施例提供的应用于恶意类检测客户端的恶意类检测方法也可以实现为一种程序产品，该程序产品包括程序代码，当该程序产品可以在程序运行设备上运行时，该程序代码用于使程序运行设备执行本技术实施例提供的应用于恶意类检测客户端的恶意类检测方法。
85.本技术实施例提供的程序产品可以采用一个或多个可读介质的任意组合，其中，
可读介质可以是可读信号介质或者可读存储介质，而可读存储介质可以是但不限于是电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合，具体地，可读存储介质的更具体的例子（非穷举的列表）包括：具有一个或多个导线的电连接、便携式盘、硬盘、ram、rom、可擦式可编程只读存储器（erasable programmable read only memory，eprom）、光纤、便携式紧凑盘只读存储器（compact disc read
‑
only memory，cd
‑
rom）、光存储器件、磁存储器件、或者上述的任意合适的组合。
86.本技术实施例提供的程序产品可以采用cd
‑
rom并包括程序代码，还可以在计算设备上运行。然而，本技术实施例提供的程序产品不限于此，在本技术实施例中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
87.应当注意，尽管在上文详细描述中提及了装置的若干单元或子单元，但是这种划分仅仅是示例性的并非强制性的。实际上，根据本技术的实施方式，上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之，上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。
88.此外，尽管在附图中以特定顺序描述了本技术方法的操作，但是，这并非要求或者暗示必须按照该特定顺序来执行这些操作，或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。
89.尽管已描述了本技术的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本技术范围的所有变更和修改。
90.显然，本领域的技术人员可以对本技术实施例进行各种改动和变型而不脱离本技术实施例的精神和范围。这样，倘若本技术实施例的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。