[发明专利]恶意代码检测方法与系统

说明书

技术领域

本发明涉及网络安全技术领域，特别是涉及恶意代码检测方法与系统。

背景技术

在大数据时代背景下，传统的反恶意代码软件厂商所采用的技术较为单一，随着恶意代码技术的发展，APT(Advanced Persistent Threat，高级持续性威胁)组织为了可以进行持续性的黑客渗透活动，恶意代码工具的形态也发生了较大的变化，传统反病毒厂商的产品已经无法满足及应对现有的恶意代码的攻击威胁。

随着网络环境的日趋复杂，面临着越来越多不确定性因素的安全威胁。先进的恶意软件主要考虑的渗透方式且非常活跃的攻击手法就是通过电子邮件恶意载荷投递进行有组织性的鱼叉式网络钓鱼攻击目标网络。此类针对邮件系统渗透攻击通常使用了已知或未知的零日漏洞触发、生成恶意结构的文件文档发起持续性的网络渗透活动。主要目的是为了窃取内网系统的数据信息与邮件系统环境内的敏感数据资产。攻击者可能重新开发或者修改更新恶意代码实体，可有效躲避企业或相关机构部署安装的传统反病毒安全防御产品的扫描检测。

针对新型且未知的恶意软件或家族成员识别检测效率低下，恶意文件攻击如此常见并有效的主要原因是恶意文件更新快且易于变形。尽管国内目前存在很多产品能够对已被标记的恶意文件能够扫描查杀，但是这些产品往往并不能检测出新型变种的恶意文件。

发明内容

基于此，有必要针对一般恶意文件检测方法检测效果不佳的问题，提供一种检测效果好的恶意代码检测方法与系统。

一种恶意代码检测方法，包括步骤：

分析待分析样本对象的结构，结构包括PE可执行文体结构与文档结构；

当待分析样本对象为PE可执行文体结构时，对待分析样本进行静态分析、杀毒软件接口分析、虚拟环境沙箱动态分析以及网络数据分析，获得第一分析结果；

当待分析样本对象为文档结构时，对待分析样本进行静态分析，获得第二分析结果；

根据第一分析结果或第二分析结果，采用恶意代码分类器，检测是否存在恶意代码。

一种恶意代码检测系统，包括：

结构分析模块，用于分析待分析样本对象的结构，结构包括PE可执行文体结构与文档结构；

第一分析模块，用于当待分析样本对象为PE可执行文体结构时，对待分析样本进行静态分析、杀毒软件接口分析、虚拟环境沙箱动态分析以及网络数据分析，获得第一分析结果；

第二分析模块，用于当待分析样本对象为文档结构时，对待分析样本进行静态分析，获得第二分析结果；

检测模块，用于根据第一分析结果或第二分析结果，采用恶意代码分类器，检测是否存在恶意代码。

本发明恶意代码检测方法与系统，分析待分析样本对象的结构，当为PE可执行文体结构时，对待分析样本进行静态分析、杀毒软件接口分析、虚拟环境沙箱动态分析以及网络数据分析，获得第一分析结果，当为文档结构时，对待分析样本进行静态分析，获得第二分析结果，根据第一分析结果或第二分析结果，采用恶意代码分类器，检测是否存在恶意代码。整个过程中，分析不同样本对象类型的数据结构，采用静态分析、杀毒软件接口分析、虚拟环境沙箱动态分析以及网络数据分析，具备可靠的分析识别能力并且可对网络攻击事件溯源。

附图说明

图1为本发明恶意代码检测方法第一个实施例的流程示意图；

图2为本发明恶意代码检测方法第二个实施例的流程示意图；

图3为本发明恶意代码检测系统第一个实施例的结构示意图；

图4为本发明恶意代码检测系统第二个实施例的结构示意图。

具体实施方式

如图1所示，一种恶意代码检测方法，包括步骤：

S200：分析待分析样本对象的结构，结构包括PE可执行文体结构与文档结构。

获取待分析样本，并且识别待分析样本对象，再进一步分析待分析样本对象的结构，其中，待分析样本对象的结构包括PE(Windows Preinstallation Environment，Windows预安装环境)可执行文体结构和文档结构。PE是Windows这个计算机系统所预先安装的数据。针对不同待分析样本对象的结构需要采用不同的检测、分析方式进行更进一步处理。

S400：当待分析样本对象为PE可执行文体结构时，对待分析样本进行静态分析、杀毒软件接口分析、虚拟环境沙箱动态分析以及网络数据分析，获得第一分析结果。