[发明专利]一种恶意文件威胁分析平台及恶意文件威胁分析方法

权利要求书

1.一种恶意文件威胁分析方法，其特征在于：所述方法包括以下步骤：

步骤1：获取待检测文件；

步骤2：对待检测文件进行综合性多维度处理；

步骤3：建立威胁库，基于综合性多维度处理的信息进行威胁分析；

步骤4：生成威胁分析报告并输出。

2.根据权利要求1所述的一种恶意文件威胁分析方法，其特征在于：所述步骤1中，待检测文件通过浏览器或自定义接口上传。

3.根据权利要求1所述的一种恶意文件威胁分析方法，其特征在于：所述步骤2中，综合性多维度处理包括：

静态分析，基于待检测文件的类型提取用于识别威胁的静态数据，所述静态数据包括用于关联信息分析的静态关联IOC信息；

动态沙箱运行分析，提取待检测文件运行时生成的运行信息，所述运行信息包括用于关联信息分析的动态关联信息；

多引擎检测，用于获取多引擎检测结果。

4.根据权利要求3所述的一种恶意文件威胁分析方法，其特征在于：所述静态分析包括以下步骤：

步骤2.1.1：判断待检测文件类型；

步骤2.1.2：基于待检测文件类型提取静态信息，进行静态信息检测分析；

步骤2.1.3：基于提取的静态信息，进行关联IOC信息提取，存入数据库。

5.根据权利要求4所述的一种恶意文件威胁分析方法，其特征在于：所述待检测文件类型中，恶意文件类型包括文档类恶意文件和程序类恶意文件；对文档类恶意文件提取的静态信息包括宏代码、嵌入文件信息、shellcode信息；对程序类恶意文件提取的静态信息包括程序结构信息、字符串、yara规则检测。

6.根据权利要求3所述的一种恶意文件威胁分析方法，其特征在于：所述动态沙箱运行分析包括以下步骤：

步骤2.2.1：将所述待检测文件以沙箱运行，记录沙箱运行信息；

步骤2.2.2：对沙箱运行信息进行威胁分析；

步骤2.2.3：在提取的沙箱运行信息中进行关联IOC信息提取，存入数据库。

7.根据权利要求3所述的一种恶意文件威胁分析方法，其特征在于：所述多引擎检测包括以下步骤：

步骤2.3.1：对所述待检测文件进行执行至少2个杀毒引擎检测，获取检测结果；

步骤2.3.2：提取关联的恶意文件家族信息，基于检测结果中的检测恶意结果占比，共同进行威胁分析判别；

步骤2.3.3：将多引擎检测结果存入数据库。

8.根据权利要求1所述的一种恶意文件威胁分析方法，其特征在于：所述步骤3包括以下步骤：

步骤3.1：建立威胁库，实时获取内部和外部的威胁情报，存入所述威胁库；

步骤3.2：提取当前待检测文件的索引信息，与威胁库中的威胁情报进行匹配，生成匹配结果A；

步骤3.3：提取数据库中的关联信息索引信息，与威胁库中的威胁情报进行匹配，生成匹配结果B；

步骤3.4：结合所述综合性多维度处理的处理结果，若当前待检测文件为恶意文件，则将当前恶意文件的威胁信息录入威胁库，完成威胁库迭代。

9.根据权利要求8所述的一种恶意文件威胁分析方法，其特征在于：所述文件索引信息包括文件整体hash和各区段部分hash。

10.一种采用权利要求1~9之一所述的恶意文件威胁分析方法的恶意文件威胁分析平台，其特征在于：所述平台包括：

一输入和输出模块，用于实现待检测文件上传并查看恶意文件的威胁分析报告；

一综合性多维度处理模块，用于对上传的待检测文件实现静态分析、动态沙箱运行分析和多引擎检测；

一威胁情报感知模块，用于对待检测文件进行威胁库信息匹配、对综合性多维度处理模块输出的结果进行关联信息分析，判断待检测文件关联信息是否已经在已知威胁中；

一威胁库，用于存储实时更新及迭代的威胁情报。