[发明专利]基于私有网络信息放大的恶意代码自动分析方法及系统

说明书

技术领域

本发明涉及计算机网络安全领域，特别涉及一种基于私有网络信息放大的恶意代码自动分析方法及系统。

背景技术

随着计算机和通信技术的发展，用户信息的安全和保密已成为一个至关重要的问题。计算机网络所具有的开放性、互连性和共享性等特征使网上信息安全存在着先天不足，再加上系统软件中的安全漏洞以及所欠缺的严格管理，致使网络易受攻击，因此网络安全所采取的措施应能全方位地针对各种不同的威胁，保障网络信息的保密性、完整性和可用性。

现有的云检测方案，需要将未知文件上传到云端进行检测，但对于个人或企事业单位存在一些隐私文件或机密文件等，不便于将其上传到其他服务器进行检测，在本地未检出，也不便于进行云检测的情况下，盲目使用文件可能会导致恶意代码运行。

发明内容

本发明提供了一种基于私有网络信息放大的恶意代码自动分析方法及系统，解决了隐私文件无法进行外网上传检测，内网不具备检测能力的问题；使得内网能够通过自学习的方式，提升检测能力，对未知隐私文件进行检测。

一种基于私有网络信息放大的恶意代码自动分析方法，包括：

获取网络传送的文件，通过公有网络的检测系统进行检测，如果判定所述文件为恶意，则进行文件拦截；如果非恶意，则允许文件进入内网用户终端；

私有网络检测系统获取并判断用户终端收到的文件来源是否是已知的，如果是，则所述文件可以安全打开，否则将所述文件进行动态分析；

动态分析：运行并监控所述文件，判断所述文件是否恶意，如果是，则分析所述文件并对文件进行信息放大，同时进行文件过滤并发出告警；否则所述文件可以安全打开；

将放大后的信息部署到私有网络检测系统中，用于对内网进行追踪检测。

所述的方法中，所述运行并监控所述文件，判断所述文件是否恶意具体为：将所述文件传送到指定分析虚拟机，并运行样本，样本运行结束后，输出监控日志，并分析监控日志的行为，如果存在恶意行为，则所述文件为恶意。

所述的方法中，所述分析所述文件并对文件进行信息放大，具体为：总结所述文件的行为模式，提取所述文件的文件特征及行为特征，包括：版本信息、壳信息、网络操作、文件操作及注册表信息。

一种基于私有网络信息放大的恶意代码自动分析系统，包括：

公有网络检测服务器，用于获取网络传送的文件，通过公有网络的检测系统进行检测，如果判定所述文件为恶意，则进行文件拦截；如果非恶意，则允许文件进入内网用户终端；

私有网络检测服务器，包括私有云分析模块、动态分析模块及信息部署模块；

所述私有云分析模块用于获取并判断用户终端收到的文件来源是否是已知的，如果是，则所述文件可以安全打开，否则将所述文件提交到动态分析模块；

所述动态分析模块用于运行并监控所述文件，判断所述文件是否恶意，如果是，则分析所述文件并对文件进行信息放大，同时进行文件过滤并发出告警；否则所述文件可以安全打开；

信息部署模块，用于将放大后的信息部署到私有网络检测服务器中，用于对内网进行追踪检测。

所述的系统中，所述动态分析模块运行并监控所述文件，判断所述文件是否恶意具体为：动态分析模块将所述文件传送到指定分析虚拟机，并运行样本，样本运行结束后，输出监控日志，并分析监控日志的行为，如果存在恶意行为，则所述文件为恶意。

所述的系统中，所述分析所述文件并对文件进行信息放大，具体为：总结所述文件的行为模式，提取所述文件的文件特征及行为特征，包括：版本信息、壳信息、网络操作、文件操作及注册表信息。

本发明提出一种基于私有网络信息放大的恶意代码自动分析方法及系统，通过公有网络的检测系统对文件进行检测，如果判定所述文件为恶意，则进行文件拦截；如果非恶意，则允许文件进入内网用户终端；在利用私有网络检测系统获取并判断用户终端收到的文件来源是否是已知的，如果是未知文件，则将所述文件进行动态分析，如果为恶意则对文件进行信息放大；并将放大后的信息部署到私有网络检测系统中，用于对内网进行追踪检测。本发明能够在保护用户的隐私安全的前提下，保护用户的信息安全，并通过自学习方式提升网络的防御能力，提升用户所在网络环境的安全。