本發明提出了一種惡意代碼自動處置方法及系統，包括：捕獲網絡數據包，根據報文內容對實體文件進行還原；掃描還原的實體文件，判斷是否存在惡意樣本；若存在惡意樣本，則對惡意樣本的危害等級和傳播方式進行判定；根據危害等級和傳播方式，通過既定算法從處置方案庫中選擇響應的方法，并將響應方法傳送給網絡側和終端側設備。本發明各環節互相連接，形成一個閉環控制流，依據算法自動確定下一步的操作，減少了人工干涉和處置時間。

技術領域

本發明涉及信息安全技術領域，尤其涉及一種惡意代碼自動處置方法及系統。

背景技術

現有惡意代碼處置的過程中，所需的各項數據來源于不同的設備，處置的過程需要人工執行，并根據效果修改處置方案后進行二次處置，最終實現基本終止惡意代碼傳播的目的。在這個過程中，惡意代碼樣本的來源和傳播情況由文件還原設備提供，判定、傳播方式分析由檢測設備和人工綜合判定，阻斷傳播由網絡設備進行或者在各終端人工執行。各環節互相獨立，溝通連接目前依賴于人工操作，效率較低，并且依賴于工作人員的經驗，較難大規模推廣。

發明內容

針對上述現有技術中存在的問題，本發明提出了一種惡意代碼自動處置方法及系統。具體發明內容包括：

一種惡意代碼自動處置方法，包括：

捕獲網絡數據包，根據報文內容對實體文件進行還原；

掃描還原的實體文件，判斷是否存在惡意樣本；

若存在惡意樣本，則對惡意樣本的危害等級和傳播方式進行判定；

根據危害等級和傳播方式，通過既定算法從處置方案庫中選擇響應的方法，并將響應方法傳送給網絡側和終端側設備；在選擇響應方法時，大原則為危害等級評估越高，越傾向于使用見效快、覆蓋面廣的方法，反之則選擇負面影響小的方法；主要選擇依據則是根據惡意樣本的傳播方式選擇能夠阻斷傳播的方法。

進一步地，所述若存在惡意樣本，則對惡意樣本的危害等級和傳播方式進行判定，具體為：若存在惡意樣本，則進一步判斷惡意樣本是否為已知；若為已知，則通過惡意樣本數據庫匹配獲取所述惡意樣本的危害等級和傳播方式；否則，對所述惡意樣本進行動靜態快速分析，得到其危害等級和傳播方式。

進一步地，將響應方法傳送給網絡側和終端側設備后，若惡意樣本仍然繼續傳播，則從所述處置方案庫中重新選擇響應方法，并再次傳送給網絡側和終端側設備；若經過規定時間后，惡意樣本的傳播依然沒有被控制，則向管理員發出報警信號。

進一步地，將每次處置的過程信息及采取的響應方法動態加入處置方案庫，且對處置方案庫中的數據進行機器學習；減少處置方案庫數據冗余的同時，自動學習出最佳的處置策略，當系統發現有新樣本的時候，可以根據既定算法給出更加貼合的處置方案。

一種惡意代碼自動處置系統，包括：

流量還原模塊，用于捕獲網絡數據包，根據報文內容對實體文件進行還原；

惡意判定模塊，用于掃描還原的實體文件，判斷是否存在惡意樣本；

綜合分析模塊，用于若存在惡意樣本，則對惡意樣本的危害等級和傳播方式進行判定；

方案下發模塊，用于根據危害等級和傳播方式，通過既定算法從處置方案庫中選擇響應的方法，并將響應方法傳送給網絡側和終端側設備；在選擇響應方法時，大原則為危害等級評估越高，越傾向于使用見效快、覆蓋面廣的方法，反之則選擇負面影響小的方法；主要選擇依據則是根據惡意樣本的傳播方式選擇能夠阻斷傳播的方法。

進一步地，所惡意判定模塊具體用于：若存在惡意樣本，則進一步判斷惡意樣本是否為已知；若為已知，則通過惡意樣本數據庫匹配獲取所述惡意樣本的危害等級和傳播方式；否則，對所述惡意樣本進行動靜態快速分析，得到其危害等級和傳播方式。