[发明专利]一种恶意文件威胁分析平台及恶意文件威胁分析方法

说明书

本发明涉及一种恶意文件威胁分析平台及恶意文件威胁分析方法，以输入和输出模块获取待检测文件，以综合性多维度处理模块对待检测文件进行综合性多维度处理，以威胁情报感知模块建立威胁库，基于综合性多维度处理的信息进行威胁分析，最后由输入和输出模块生成威胁分析报告并输出。本发明基于B/S架构的恶意文件威胁分析平台，系统性定位恶意文件威胁，快速识别已知或未知的风险，节省分析的时间，将大量繁复的工作自动化，精准高效的识别威胁，综合评定分析结果，自动生成分析报告，能为非专业人士提供快速分析文件威胁的能力，并尽可能的为分析人员提供各个维度的威胁信息，简化分析过程。

技术领域

本发明涉及电数字数据处理的技术领域，特别涉及一种恶意文件威胁分析平台及恶意文件威胁分析方法。

背景技术

随着互联网的发展，网络上的威胁层出不穷，且朝着隐蔽性更强、范围更广的趋势发展。新出现的未知恶意样本不计其数，对大量的样本进行威胁判别变得越来越繁复，恶意文件的分析方式主要包括：

静态分析，对恶意文件的静态结构、字符串、静态关联信息、代码等进行提取识别分析；

动态沙箱分析，将恶意文件放入沙箱中运行，记录运行过程中的信息，提取关联信息进行分析识别；

多引擎检测，搜集多家安全公司的检测引擎进行检测识别；

及威胁情报感知，收集内外部威胁情报信息，对文件以及关联信息进行感知识别。

事实上，在对恶意文件进行威胁分析的过程中，往往需要对恶意文件的各个维度进行综合判别，传统的分析往往需要介入大量的人力；当面对网络上大量的恶意文件威胁时，传统的分析方法就变得捉襟见肘，难以在短时间内完成对恶意文件的识别分析；同时，精确分析往往还需要一些基于大量数据检索的威胁判别方式，如威胁库匹配、关联IOC信息分析等，这是人工无法完成的。

基于此，现有技术中主要还是通过静态分析和动态沙箱行为分析手段进行恶意文件威胁判别，存在着以下缺点：

（1）无法对大量关联IOC信息进行分析；在对恶意文件进行静态分析和动态沙箱分析时，大量静态和动态的关联信息往往很难进一步威胁判别，比如当恶意程序存在动态回连的关联域名时，此时关联域名的威胁度其实也是判别恶意文件的重要线索；

（2）生成综合威胁分析结果需要多个维度综合统一判断；传统多个维度分离分析很难进行综合评定，并且往往无法对各个维度都进行分析，无法生成全方位的威胁报告；

（3）对各个维度分析往往消耗大量人力成本。

发明内容

为了解决现有技术中存在的问题，本发明提供一种优化的恶意文件威胁分析平台及恶意文件威胁分析方法。

本发明所采用的技术方案是，一种恶意文件威胁分析方法，所述方法包括以下步骤：

步骤1：获取待检测文件；

步骤2：对待检测文件进行综合性多维度处理；

步骤3：建立威胁库，基于综合性多维度处理的信息进行威胁分析；

步骤4：生成威胁分析报告并输出。

优选地，所述步骤1中，待检测文件通过浏览器或自定义接口上传。

优选地，所述步骤2中，综合性多维度处理包括：

静态分析，基于待检测文件的类型提取用于识别威胁的静态数据，所述静态数据包括用于关联信息分析的静态关联IOC信息；

动态沙箱运行分析，提取待检测文件运行时生成的运行信息，所述运行信息包括用于关联信息分析的动态关联信息；

多引擎检测，用于获取多引擎检测结果。