[发明专利]恶意代码自动分析方法及系统

权利要求书

1.恶意代码自动分析方法，其特征在于，包括以下步骤：

第一步：样本匹配：计算样本文件的HASH值，同原始分析的样本进行对比判断是否曾分析过，如果分析过则直接返回以前的分析结果，缩短分析时间；

第二步：对于未分析过的样本，调用杀毒引擎进行病毒扫描，判断恶意代码是否是已知恶意代码，对于已知恶意代码，获得其恶意代码名称、种类、危害等级信息；

第三步：对于未知恶意代码样本，进行更加全面的动态分析，根据恶意代码运行的平台不同分为计算机恶意代码和手机恶意代码；对于计算机恶意代码，采用虚拟机技术进行动态分析；对于智能手机病毒，在模拟器或真实手机中运行恶意代码程序，记录下恶意代码运行过程中的动态行为，利用手机的恢复出厂设置功能还原分析环境。

2.如权利要求1所述的恶意代码自动分析方法，其特征在于，该方法采用分布式系统以全局方式管理系统资源，当用户提交一个作业时，分布式系统在系统中选择服务器，将用户的任务提交给该服务器，过程中用户不会意识到有多个服务器的存在。

3.如权利要求1或2所述的恶意代码自动分析方法，其特征在于，该方法采用同一功能对应多个服务器的方法，由多个功能服务器同时执行接收到的不同任务，任务的分发由控制中心负责，分布式服务器分为MD5匹配服务器、扫描服务器、分析服务器；控制中心进行任务分配时根据任务的种类先找到对应类型的服务器，将新任务分配给待处理任务数目最小的服务器。

4.如权利要求3所述的恶意代码自动分析方法，其特征在于，所述的分布式服务器同一类服务器有多个。

5.恶意代码自动分析系统，其特征在于，包括客户端浏览器、控制中心、样本接收和登记模块、样本处理模块、报告生成模块、客户信息数据库；样本处理模块包括样本扫描模块和样本分析模块；其中用户通过客户端浏览器登录到恶意代码分析系统网站，将可疑样本通过HTTP上传到服务器端，接收服务器端返回的恶意代码分析报告；控制中心负责协调各个模块处理流程，包括对各个模块下达处理命令以及接收命令完成结果，是分布式系统进行任务调度的管理模块；样本接收和登记模块接收客户端上传的样本信息，将样本文件保存到本地磁盘，并将样本信息及待处理的分析任务存入数据库中；样本扫描模块：负责将用户新上传的样本和以前分析过的样本进行匹配，如果匹配成功则直接返回以前的分析结果，匹配未成功的样本通过杀毒引擎扫描，判断是否是已知恶意代码，如果是则返回恶意代码的名称信息；样本分析模块进行样本特征分析，在虚拟机等环境中将样本动态启动，监控其行为活动，分析结束后，将分析结果存入客户信息数据库中；报告生成模块在收到控制中心下达的报告生成命令后，从客户信息数据库中读出相关信息，生成报告，并将报告返回到客户端浏览器；客户信息数据库保存客户上传的样本信息，扫描分析结果也存入客户信息数据库中，分析报告最终也是根据该数据库的相关内容生成的。