技術(shù)領(lǐng)域

本發(fā)明屬于計(jì)算機(jī)技術(shù)領(lǐng)域，尤其涉及一種惡意代碼樣本自動(dòng)處理的方法及裝置。

背景技術(shù)

惡意代碼（Malicious?code）也稱為惡意軟件（Malware）。惡意代碼為“運(yùn)行在計(jì)算機(jī)上，使系統(tǒng)按照攻擊者意愿執(zhí)行任務(wù)的一組指令”。惡意代碼通過(guò)將指令在隱蔽自身的條件下嵌入到其他代碼中，從而達(dá)到破壞被感染計(jì)算機(jī)上的數(shù)據(jù)信息的完整性、運(yùn)行具有入侵性的程序的目的。惡意代碼的類(lèi)型包括計(jì)算機(jī)病毒（Virus）、蠕蟲(chóng)（Worm）、特洛伊木馬（Trojan?horse）、僵尸網(wǎng)絡(luò)（Botnet）、間諜網(wǎng)絡(luò)（spyware）、后門(mén)（Backdoor）、Rootkitsd等。

當(dāng)前計(jì)算機(jī)惡意代碼正以驚人的速度蔓延開(kāi)來(lái)，對(duì)計(jì)算機(jī)系統(tǒng)的安全構(gòu)成了嚴(yán)重的威脅。早期的反病毒軟件利用惡意代碼的特征碼這一靜態(tài)特征來(lái)識(shí)別和檢測(cè)隱藏在系統(tǒng)中的惡意代碼，起到了一定的效果，但需要實(shí)時(shí)更新惡意代碼的特征碼數(shù)據(jù)庫(kù)，嚴(yán)重占用系統(tǒng)資源。對(duì)于新出現(xiàn)的未知惡意代碼更是無(wú)能為力。原因一方面是新惡意代碼層出不窮；另一方面，許多惡意代碼還在不停衍生出新的變種。

發(fā)明內(nèi)容

鑒于上述問(wèn)題，提出了本發(fā)明以便提供一種克服上述問(wèn)題或者至少部分地解決上述問(wèn)題的惡意代碼樣本自動(dòng)處理的方法及裝置。

依據(jù)本發(fā)明的一個(gè)方面，提供了一種惡意代碼樣本自動(dòng)處理的方法，包括

獲取惡意代碼樣本；

從獲取的所述惡意代碼樣本中提取靜態(tài)特征；

將所述惡意代碼樣本的靜態(tài)特征與靜態(tài)特征庫(kù)中的已知靜態(tài)特征進(jìn)行匹配；

如果根據(jù)所述靜態(tài)特征庫(kù)無(wú)法判斷獲取的惡意代碼樣本是惡意代碼，則繼續(xù)從所述惡意代碼樣本中提取動(dòng)態(tài)行為特征；

將所述惡意代碼樣本的動(dòng)態(tài)行為特征與動(dòng)態(tài)行為特征庫(kù)中的已知?jiǎng)討B(tài)行為特征進(jìn)行匹配；

如果根據(jù)所述動(dòng)態(tài)行為特征庫(kù)判斷出獲取的惡意代碼樣本不是惡意代碼，進(jìn)行誤報(bào)反饋，以提示所述惡意代碼樣本為非惡意代碼。

可選地，所述方法還包括：

如果根據(jù)所述動(dòng)態(tài)行為特征庫(kù)判斷出獲取的惡意代碼樣本是惡意代碼，則將所述惡意代碼樣本標(biāo)識(shí)為惡意代碼。

可選地，在將所述惡意代碼樣本標(biāo)識(shí)為惡意代碼之后，所述方法還包括：

計(jì)算標(biāo)識(shí)為惡意代碼的所述惡意代碼樣本的校驗(yàn)值；

將獲取的所述惡意代碼樣本的校驗(yàn)值發(fā)送至云端服務(wù)器，由所述云端服務(wù)器對(duì)所述惡意代碼樣本的校驗(yàn)值進(jìn)行分類(lèi)存儲(chǔ)。

可選地，所述靜態(tài)特征至少包括以下中的任意一種：所述惡意代碼樣本的二進(jìn)制文件、所述惡意代碼樣本的函數(shù)結(jié)構(gòu)、所述惡意代碼樣本的至少部分字符串以及所述惡意代碼樣本對(duì)應(yīng)的圖標(biāo)；

所述將所述惡意代碼樣本的靜態(tài)特征與靜態(tài)特征庫(kù)中的已知靜態(tài)特征進(jìn)行匹配的步驟包括：

將所述惡意代碼樣本的二進(jìn)制文件與靜態(tài)特征庫(kù)中的已知惡意代碼二進(jìn)制文件進(jìn)行匹配；或者

將所述惡意代碼樣本的函數(shù)結(jié)構(gòu)與靜態(tài)特征庫(kù)中的已知惡意代碼函數(shù)結(jié)構(gòu)進(jìn)行匹配；或者

將所述惡意代碼樣本的至少部分字符串與靜態(tài)特征庫(kù)中的已知惡意代碼字符串進(jìn)行匹配；或者

將所述惡意代碼樣本對(duì)應(yīng)的圖標(biāo)與靜態(tài)特征庫(kù)中的已知惡意代碼圖標(biāo)進(jìn)行匹配。

可選地，所述惡意代碼樣本的動(dòng)態(tài)行為特征至少包括以下中的任意一種：所述惡意代碼樣本的虛擬行為啟發(fā)時(shí)的行為特征、所述惡意代碼樣本的網(wǎng)絡(luò)行為特征和所述惡意代碼樣本的在沙箱中運(yùn)行時(shí)的行為特征；

所述將所述惡意代碼樣本的動(dòng)態(tài)行為特征與動(dòng)態(tài)行為特征庫(kù)中的已知?jiǎng)討B(tài)行為特征進(jìn)行匹配的步驟包括：

將所述惡意代碼樣本的虛擬行為啟發(fā)時(shí)的行為特征與動(dòng)態(tài)行為特征庫(kù)中的已知?jiǎng)討B(tài)行為特征進(jìn)行匹配；或者

將所述惡意代碼樣本的網(wǎng)絡(luò)行為特征與動(dòng)態(tài)行為特征庫(kù)中的已知?jiǎng)討B(tài)行為特征進(jìn)行匹配；或者

將所述惡意代碼樣本的在沙箱中運(yùn)行時(shí)的行為特征與動(dòng)態(tài)行為特征庫(kù)中的已知?jiǎng)討B(tài)行為特征進(jìn)行匹配。

依據(jù)本發(fā)明的另一個(gè)方面，還提供了一種惡意代碼樣本自動(dòng)處理的裝置，包括：

獲取模塊，用于獲取惡意代碼樣本；

靜態(tài)特征提取模塊，用于從獲取的所述惡意代碼樣本中提取靜態(tài)特征；

靜態(tài)特征匹配模塊，用于將所述惡意代碼樣本的靜態(tài)特征與靜態(tài)特征庫(kù)中的已知靜態(tài)特征進(jìn)行匹配；

動(dòng)態(tài)行為特征提取模塊，用于如果根據(jù)所述靜態(tài)特征庫(kù)無(wú)法判斷獲取的惡意代碼樣本是惡意代碼，則繼續(xù)從所述惡意代碼樣本中提取動(dòng)態(tài)行為特征；