本申請公開了一種惡意文件檢測的方法，包括：利用靜態參數與本地威脅情報庫進行匹配；判斷待檢測文件是否為惡意文件；若否，則令待檢測文件在沙箱中運行，并獲取運行過程中產生的動態參數；利用動態參數與本地威脅情報庫進行匹配，并根據得到的第二匹配結果判定待檢測文件是否為惡意文件。本申請令待檢測文件在沙箱中運行，只要待檢測文件在運行過程中產生了可疑的動態參數，就將其標記為惡意文件，解決了現有技術中對于未知的、新出現的惡意文件無法立即防御的問題，降低了惡意文件檢測漏報率，提高了網絡防御的及時性。本申請同時還提供了一種惡意文件檢測的系統、設備及可讀存儲介質，具有上述有益效果。

技術領域

本申請涉及惡意文件檢測領域，特別涉及一種惡意文件檢測的方法、系統、設備及可讀存儲介質。

背景技術

隨著以定向威脅攻擊、惡意挖礦、勒索病毒等新型威脅和攻擊的不斷增長，網絡威脅正在迅速惡性演變，攻擊手段與攻擊渠道的多元化，對網絡安全人員的分析與處理能力提出了更高的要求。企業和組織在防范外部的攻擊過程中越發需要依靠充分、高效、精準的安全威脅情報作為支撐，以幫助其更好的發現和應對這些新型威脅。

目前惡意文件檢測的方法大致分為兩種：一種是基于病毒特征庫的靜態檢測方法，另一種是利用沙箱運行文件，分析文件運行過程中的動態行為的檢測方法，然而兩種方法對于未知的、新出現的惡意文件無法立即防御，導致惡意文件檢測的漏報率較高。

因此，如何降低惡意文件檢測的漏報率是本領域技術人員目前需要解決的技術問題。

發明內容

本申請的目的是提供一種惡意文件檢測的方法、系統、設備及可讀存儲介質，用于降低惡意文件檢測的漏報率。

為解決上述技術問題，本申請提供一種惡意文件檢測的方法，該方法包括：

獲取待檢測文件的靜態參數，并利用所述靜態參數與本地威脅情報庫進行匹配，得到第一匹配結果；

根據所述第一匹配結果判斷所述待檢測文件是否為惡意文件；

若否，則令所述待檢測文件在沙箱中運行，并獲取運行過程中產生的動態參數；

利用所述動態參數與所述本地威脅情報庫進行匹配，并根據得到的第二匹配結果判定所述待檢測文件是否為所述惡意文件。

可選的，令所述待檢測文件在沙箱中運行，并獲取運行過程中產生的動態參數，包括：

獲取所述待檢測文件在所述沙箱中運行時網絡連接的目標地址；

獲取所述待檢測文件在所述沙箱中運行時創建的臨時文件，并計算所述臨時文件的Hash值。

可選的，獲取所述待檢測文件在所述沙箱中運行時網絡連接的目標地址，包括：

記錄所述待檢測文件運行時調用的網絡應用程序接口以及對應的調用參數，并根據所述網絡應用程序接口以及所述調用參數確定所述目標地址。

可選的，獲取所述待檢測文件在所述沙箱中運行時網絡連接的目標地址，包括：

捕捉所述待檢測文件運行時的網絡流量，并通過解析所述網絡流量得到所述目標地址。

可選的，當所述待檢測文件為所述惡意文件時，還包括：

從所述本地威脅情報庫中獲取所述待檢測文件的威脅類型及威脅信息。

可選的，所述威脅類型包括釣魚地址、垃圾郵件、僵尸網絡、礦池、黑產IP、蠕蟲、勒索軟件、漏洞利用、惡意軟件、DDOS攻擊、TOR代理中的至少一項；

所述威脅信息包括威脅程度、所屬黑客組織、所屬病毒家族、域名注冊信息中的至少一項。