[发明专利]一种恶意代码检测的方法、装置及系统

权利要求书

1.一种恶意代码检测的方法，其特征在于，包括：

获取NIDS基于规则匹配生成的包括恶意代码疑似事件的相关攻击事件信息；其中，所述相关攻击事件信息包括事件ID、时间、受害者MAC、受害者IP、受害者端口、攻击者IP、攻击者端口、协议类型、恶意代码名称、恶意代码样本md5、访问url；

根据NIDS预设规则将所述相关攻击事件信息下发至终端侧与进程端口号关联，以获取与进程相关的关键信息；其中，所述与进程相关的关键信息包括内存使用、网络连接、文件及注册表操作；

收集终端侧的恶意代码事件信息及相关样本文件，并将收集的恶意代码事件信息及相关样本文件发送至NIDS，供NIDS进行恶意代码事件判定；其中，所述相关样本文件包括所述与进程相关的关键信息，NIDS根据所述恶意代码事件信息及相关样本文件、并利用多维数据融合分析和数据挖掘技术对恶意代码事件进行判定；

获取经NIDS判定确定后的恶意代码事件和相关处置指令，并将其发送至终端侧受害者主机上的终端探针，供终端探针执行相关处置动作；其中，所述相关处置动作包括对恶意代码威胁行为的阻断、隔离、清除。

2.根据权利要求1所述的一种恶意代码检测的方法，其特征在于，所述恶意代码疑似事件，基于NIDS对接入互联网出入口原始网络流量，根据恶意代码特征库模式匹配或动态行为分析方法，确认、匹配并输出威胁事件及相关特征，通过与恶意代码知识库的对比对威胁事件进行分析生成。

3.根据权利要求2所述的一种恶意代码检测的方法，其特征在于，所述威胁事件通过NIDS以预置加密秘钥进行加密、压缩处理。

4.根据权利要求1所述的一种恶意代码检测的方法，其特征在于，所述将收集的恶意代码事件信息及相关样本文件发送至NIDS包括：

向NIDS发起文件发送请求；

获取NIDS根据所述请求随机生成的一次性会话token；

根据所述一次性会话token生成用于请求终端侧所述恶意代码事件信息和所述相关样本文件的uri，并将其发送至NIDS，供NIDS根据所述一次性会话token及终端侧生成的uri，获取所述恶意代码事件信息和所述相关样本文件。

5.一种恶意代码检测的装置，布置于服务器，其特征在于，包括：

信息获取模块，用于获取NIDS基于规则匹配生成的包括恶意代码疑似事件的相关攻击事件信息；其中，所述相关攻击事件信息包括事件ID、时间、受害者MAC、受害者IP、受害者端口、攻击者IP、攻击者端口、协议类型、恶意代码名称、恶意代码样本md5、访问url；

关联模块，用于根据NIDS预设规则将所述相关攻击事件信息下发至终端侧与进程端口号关联，以获取与进程相关的关键信息；其中，所述与进程相关的关键信息包括内存使用、网络连接、文件及注册表操作；

收集模块，用于收集终端侧的恶意代码事件信息及相关样本文件，并将收集的恶意代码事件信息及相关样本文件发送至NIDS，供NIDS进行恶意代码事件判定；其中，所述相关样本文件包括所述与进程相关的关键信息，NIDS根据所述恶意代码事件信息及相关样本文件、并利用多维数据融合分析和数据挖掘技术对恶意代码事件进行判定；

指令获取模块，用于获取经NIDS判定确定后的恶意代码事件和相关处置指令，并将其发送至终端侧受害者主机上的终端探针，供终端探针执行相关处置动作；其中，所述相关处置动作包括对恶意代码威胁行为的阻断、隔离、清除。