本發明實施例提供一種樣本程序惡意程度自動識別方法及裝置，所述方法包括：獲取樣本程序；對所述樣本程序進行靜態分析，獲取靜態分析結果；對所述樣本程序進行動態分析，獲取動態分析結果；基于所述靜態分析結果和/或所述動態分析結果，對所述樣本程序進行情報分析，獲取情報分析結果；根據所述靜態分析結果、所述動態分析結果和所述情報分析結果，確定所述樣本程序的惡意程度。本發明實施例綜合了考慮靜態分析結果、動態分析結果和情報分析結果，從而克服了依靠單一手段分析樣本程序進而導致分析結果準確度不高的缺陷，本發明實施例能夠提高樣本程序分析結果的準確度。

技術領域

本發明涉及計算機技術領域，尤其涉及一種樣本程序惡意程度自動識別方法及裝置。

背景技術

網絡攻擊是黑客或者病毒木馬等對電子設備發起的攻擊，通過竊取文件等給用戶帶來了巨大損失。

在對高級持續性威脅(Advanced?Persistent?Threat，APT)團伙進行追蹤發現時，主要依據網絡傳播中的惡意文件、釣魚郵件等攻擊進行上下文關聯分析。攻擊者利用惡意程序對網絡及信息系統進行入侵控制，達到竊取敏感數據和破壞系統和網絡環境的目的，亟待提高對企業網絡中傳播的惡意樣本檢測分析能力。

然而，目前在對惡意樣本進行檢測分析時，通常只采用較為單一的檢測分析方式，從而使得檢測分析結果的準確度不高。

發明內容

針對現有技術中的問題，本發明實施例提供一種樣本程序惡意程度自動識別方法及裝置。

具體地，本發明實施例提供了以下技術方案：

第一方面，本發明實施例提供了一種樣本程序惡意程度自動識別方法，包括：

獲取樣本程序；

對所述樣本程序進行靜態分析，獲取靜態分析結果；

對所述樣本程序進行動態分析，獲取動態分析結果；

基于所述靜態分析結果和/或所述動態分析結果，對所述樣本程序進行情報分析，獲取情報分析結果；

根據所述靜態分析結果、所述動態分析結果和所述情報分析結果，確定所述樣本程序的惡意程度。

進一步地，對所述樣本程序進行靜態分析，獲取靜態分析結果，具體包括：

采用至少一種靜態分析方法對所述樣本程序進行靜態分析，獲取所述樣本程序的靜態分析結果；其中，所述靜態分析結果包括惡意類型和/或惡意家族類型。

進一步地，對所述樣本程序進行動態分析，獲取動態分析結果，具體包括：

在系統、沙箱或虛擬機中運行所述樣本程序，獲取所述樣本程序在運行過程中產生的動態行為特征；其中，所述動態行為特征包括：主機行為、網絡行為、衍生文件和開機自啟動項中的一種或多種；

根據所述動態行為特征以及預設的規則庫，獲取動態分析結果；其中，所述動態分析結果包括：是否包含非法主機行為、可疑網絡行為、可疑衍生文件和非法開機自啟動項中的一種或多種。

進一步地，基于所述靜態分析結果和/或所述動態分析結果，對所述樣本程序進行情報分析，獲取情報分析結果，具體包括：

基于所述樣本程序在進行動態分析中產生的可疑網絡行為，根據所述可疑網絡行為確定與所述可疑網絡行為匹配的攻陷指標IOC信息，并將所述攻陷指標IOC信息與失陷檢測情報進行匹配，獲取失陷檢測情報匹配結果；

基于所述樣本程序在進行動態分析中產生的衍生文件，將所述衍生文件的哈希值與文件信譽情報進行匹配，獲取文件信譽情報匹配結果；

基于所述樣本程序在進行靜態分析中確定的惡意家族類型，將所述惡意家族類型與惡意家族情報進行匹配，獲取惡意家族情報匹配結果；