技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別是涉及惡意代碼檢測方法與系統(tǒng)。

背景技術(shù)

在大數(shù)據(jù)時代背景下，傳統(tǒng)的反惡意代碼軟件廠商所采用的技術(shù)較為單一，隨著惡意代碼技術(shù)的發(fā)展，APT(Advanced Persistent Threat，高級持續(xù)性威脅)組織為了可以進行持續(xù)性的黑客滲透活動，惡意代碼工具的形態(tài)也發(fā)生了較大的變化，傳統(tǒng)反病毒廠商的產(chǎn)品已經(jīng)無法滿足及應(yīng)對現(xiàn)有的惡意代碼的攻擊威脅。

隨著網(wǎng)絡(luò)環(huán)境的日趨復(fù)雜，面臨著越來越多不確定性因素的安全威脅。先進的惡意軟件主要考慮的滲透方式且非常活躍的攻擊手法就是通過電子郵件惡意載荷投遞進行有組織性的魚叉式網(wǎng)絡(luò)釣魚攻擊目標(biāo)網(wǎng)絡(luò)。此類針對郵件系統(tǒng)滲透攻擊通常使用了已知或未知的零日漏洞觸發(fā)、生成惡意結(jié)構(gòu)的文件文檔發(fā)起持續(xù)性的網(wǎng)絡(luò)滲透活動。主要目的是為了竊取內(nèi)網(wǎng)系統(tǒng)的數(shù)據(jù)信息與郵件系統(tǒng)環(huán)境內(nèi)的敏感數(shù)據(jù)資產(chǎn)。攻擊者可能重新開發(fā)或者修改更新惡意代碼實體，可有效躲避企業(yè)或相關(guān)機構(gòu)部署安裝的傳統(tǒng)反病毒安全防御產(chǎn)品的掃描檢測。

針對新型且未知的惡意軟件或家族成員識別檢測效率低下，惡意文件攻擊如此常見并有效的主要原因是惡意文件更新快且易于變形。盡管國內(nèi)目前存在很多產(chǎn)品能夠?qū)σ驯粯?biāo)記的惡意文件能夠掃描查殺，但是這些產(chǎn)品往往并不能檢測出新型變種的惡意文件。

發(fā)明內(nèi)容

基于此，有必要針對一般惡意文件檢測方法檢測效果不佳的問題，提供一種檢測效果好的惡意代碼檢測方法與系統(tǒng)。

一種惡意代碼檢測方法，包括步驟：

分析待分析樣本對象的結(jié)構(gòu)，結(jié)構(gòu)包括PE可執(zhí)行文體結(jié)構(gòu)與文檔結(jié)構(gòu)；

當(dāng)待分析樣本對象為PE可執(zhí)行文體結(jié)構(gòu)時，對待分析樣本進行靜態(tài)分析、殺毒軟件接口分析、虛擬環(huán)境沙箱動態(tài)分析以及網(wǎng)絡(luò)數(shù)據(jù)分析，獲得第一分析結(jié)果；

當(dāng)待分析樣本對象為文檔結(jié)構(gòu)時，對待分析樣本進行靜態(tài)分析，獲得第二分析結(jié)果；

根據(jù)第一分析結(jié)果或第二分析結(jié)果，采用惡意代碼分類器，檢測是否存在惡意代碼。

一種惡意代碼檢測系統(tǒng)，包括：

結(jié)構(gòu)分析模塊，用于分析待分析樣本對象的結(jié)構(gòu)，結(jié)構(gòu)包括PE可執(zhí)行文體結(jié)構(gòu)與文檔結(jié)構(gòu)；

第一分析模塊，用于當(dāng)待分析樣本對象為PE可執(zhí)行文體結(jié)構(gòu)時，對待分析樣本進行靜態(tài)分析、殺毒軟件接口分析、虛擬環(huán)境沙箱動態(tài)分析以及網(wǎng)絡(luò)數(shù)據(jù)分析，獲得第一分析結(jié)果；

第二分析模塊，用于當(dāng)待分析樣本對象為文檔結(jié)構(gòu)時，對待分析樣本進行靜態(tài)分析，獲得第二分析結(jié)果；

檢測模塊，用于根據(jù)第一分析結(jié)果或第二分析結(jié)果，采用惡意代碼分類器，檢測是否存在惡意代碼。

本發(fā)明惡意代碼檢測方法與系統(tǒng)，分析待分析樣本對象的結(jié)構(gòu)，當(dāng)為PE可執(zhí)行文體結(jié)構(gòu)時，對待分析樣本進行靜態(tài)分析、殺毒軟件接口分析、虛擬環(huán)境沙箱動態(tài)分析以及網(wǎng)絡(luò)數(shù)據(jù)分析，獲得第一分析結(jié)果，當(dāng)為文檔結(jié)構(gòu)時，對待分析樣本進行靜態(tài)分析，獲得第二分析結(jié)果，根據(jù)第一分析結(jié)果或第二分析結(jié)果，采用惡意代碼分類器，檢測是否存在惡意代碼。整個過程中，分析不同樣本對象類型的數(shù)據(jù)結(jié)構(gòu)，采用靜態(tài)分析、殺毒軟件接口分析、虛擬環(huán)境沙箱動態(tài)分析以及網(wǎng)絡(luò)數(shù)據(jù)分析，具備可靠的分析識別能力并且可對網(wǎng)絡(luò)攻擊事件溯源。

附圖說明

圖1為本發(fā)明惡意代碼檢測方法第一個實施例的流程示意圖；

圖2為本發(fā)明惡意代碼檢測方法第二個實施例的流程示意圖；

圖3為本發(fā)明惡意代碼檢測系統(tǒng)第一個實施例的結(jié)構(gòu)示意圖；

圖4為本發(fā)明惡意代碼檢測系統(tǒng)第二個實施例的結(jié)構(gòu)示意圖。

具體實施方式

如圖1所示，一種惡意代碼檢測方法，包括步驟：

S200：分析待分析樣本對象的結(jié)構(gòu)，結(jié)構(gòu)包括PE可執(zhí)行文體結(jié)構(gòu)與文檔結(jié)構(gòu)。

獲取待分析樣本，并且識別待分析樣本對象，再進一步分析待分析樣本對象的結(jié)構(gòu)，其中，待分析樣本對象的結(jié)構(gòu)包括PE(Windows Preinstallation Environment，Windows預(yù)安裝環(huán)境)可執(zhí)行文體結(jié)構(gòu)和文檔結(jié)構(gòu)。PE是Windows這個計算機系統(tǒng)所預(yù)先安裝的數(shù)據(jù)。針對不同待分析樣本對象的結(jié)構(gòu)需要采用不同的檢測、分析方式進行更進一步處理。

S400：當(dāng)待分析樣本對象為PE可執(zhí)行文體結(jié)構(gòu)時，對待分析樣本進行靜態(tài)分析、殺毒軟件接口分析、虛擬環(huán)境沙箱動態(tài)分析以及網(wǎng)絡(luò)數(shù)據(jù)分析，獲得第一分析結(jié)果。