1.一種基于反向追蹤的高威竊密惡意代碼檢測(cè)方法，其特征在于，包括：

步驟1、在系統(tǒng)中預(yù)置文件名或者文件內(nèi)容中包含敏感詞匯的誘餌文件，并創(chuàng)建由敏感詞匯構(gòu)成的關(guān)鍵詞庫(kù)；

步驟2、監(jiān)控誘餌文件，若存在進(jìn)程和/或線程對(duì)所述誘餌文件進(jìn)行非法操作，則執(zhí)行步驟3；

監(jiān)控系統(tǒng)文件，若存在進(jìn)程和/或線程對(duì)系統(tǒng)文件進(jìn)行非法操作，則對(duì)所述系統(tǒng)文件進(jìn)行關(guān)鍵詞庫(kù)匹配，若發(fā)現(xiàn)所述系統(tǒng)文件的文件名或者文件內(nèi)容中存在關(guān)鍵詞庫(kù)中的敏感詞匯，則執(zhí)行步驟3；

步驟3、定位所述進(jìn)程和/或線程，并反向定位與所述進(jìn)程和/或線程相關(guān)的可執(zhí)行文件；

步驟4、針對(duì)所述可執(zhí)行文件進(jìn)行白名單匹配，如果匹配成功則所述可執(zhí)行文件不是高威竊密惡意代碼文件，否則所述可執(zhí)行文件為高威竊密惡意代碼文件，并執(zhí)行步驟5；

步驟5、提取系統(tǒng)中所述進(jìn)程和/或線程以外的其他進(jìn)程和/或線程相關(guān)的文件，并提取敏感目錄文件；所述敏感目錄包括：所述可執(zhí)行文件所在目錄、系統(tǒng)用戶(hù)目錄或者system32目錄；

步驟6、針對(duì)步驟5提取的文件進(jìn)行白名單匹配，如果全部匹配成功則不存在相關(guān)聯(lián)的高威竊密惡意代碼文件，否則，執(zhí)行步驟7；

步驟7、將沒(méi)有匹配成功的文件與步驟4所述的高威竊密惡意代碼文件進(jìn)行關(guān)聯(lián)對(duì)比，對(duì)比成功的文件為相關(guān)聯(lián)的高威竊密惡意代碼文件。

2.如權(quán)利要求1所述的方法，其特征在于，步驟1所述的敏感詞匯包括：國(guó)家政治機(jī)密、國(guó)家軍事機(jī)密、國(guó)家經(jīng)濟(jì)機(jī)密或者企業(yè)技術(shù)機(jī)密中經(jīng)常用到的關(guān)鍵詞。

3.如權(quán)利要求1所述的方法，其特征在于，在執(zhí)行步驟2時(shí)，同時(shí)監(jiān)控系統(tǒng)的網(wǎng)絡(luò)行為，如果存在異常網(wǎng)絡(luò)行為則記錄，當(dāng)存在兩次相同形式的異常網(wǎng)絡(luò)行為時(shí)，則執(zhí)行步驟3定位與所述異常網(wǎng)絡(luò)行為相關(guān)的進(jìn)程和/或線程。

4.如權(quán)利要求3所述的方法，其特征在于，所述的異常網(wǎng)絡(luò)行為包括以下形式：

敏感IP行為，建立敏感IP庫(kù)，記錄各個(gè)敏感IP段，當(dāng)出現(xiàn)敏感IP庫(kù)中的IP行為時(shí)，則認(rèn)為是異常網(wǎng)絡(luò)行為；

異常傳輸行為，當(dāng)監(jiān)控中發(fā)現(xiàn)存在突然的大量網(wǎng)絡(luò)占用或者間斷性的流量升高情況，則認(rèn)為是異常網(wǎng)絡(luò)行為；

異常協(xié)議行為，解析網(wǎng)絡(luò)協(xié)議，當(dāng)存在不是常用的網(wǎng)絡(luò)協(xié)議進(jìn)行數(shù)據(jù)傳輸時(shí)，則認(rèn)為是異常網(wǎng)絡(luò)行為；

異常加密行為，當(dāng)檢測(cè)到不可識(shí)別的加密方法時(shí)，則認(rèn)為是異常網(wǎng)絡(luò)行為。

5.如權(quán)利要求1所述的方法，其特征在于，步驟7中所述的關(guān)聯(lián)對(duì)比包括：靜態(tài)對(duì)比或者動(dòng)態(tài)對(duì)比，當(dāng)存在對(duì)比成功的文件，則記錄所述文件，并將所述文件與剩余的沒(méi)有匹配成功的文件進(jìn)行關(guān)聯(lián)對(duì)比。

6.如權(quán)利要求5所述的方法，其特征在于，所述靜態(tài)對(duì)比包括：文件格式對(duì)比、文件位置對(duì)比、文件大小對(duì)比、版本信息對(duì)比、有無(wú)加殼對(duì)比或者資源大小對(duì)比。

7.如權(quán)利要求5所述的方法，其特征在于，所述動(dòng)態(tài)對(duì)比包括：函數(shù)調(diào)用方法對(duì)比，文件功能對(duì)比、內(nèi)部結(jié)構(gòu)對(duì)比、文件運(yùn)行環(huán)境對(duì)比或者代碼編寫(xiě)風(fēng)格對(duì)比。