[发明专利]一种互联网恶意代码处置方法

说明书

技术领域

本发明涉及互联网技术领域，特别是涉及一种互联网恶意代码处置方法。

背景技术

网络在提供便利的信息与资源共享的同时，由于其多样化的传播途径和复杂的应用环境，给用户带来了各种各样的安全风险。恶意代码的入侵则成为近年来广大个人用户使用计算机和智能手机过程中需要面对的首要安全问题。恶意代码入侵轻则浪费系统资源、篡改用户的浏览器或者弹出广告页面，重则盗取用户资料、机密文件，甚至通过毁坏系统文件、格式化硬盘等方式破坏系统，给用户造成巨大的经济损失。对于企业来说，一旦内部敏感信息泄露，或者内部网络遭到破坏，造成的损失都是十分致命的。

在这种背景下，快速的恶意代码分析系统，能够对恶意代码危害行为进行快速有效的识别，并对恶意代码的阻断和清除提供有利依据。恶意代码分析技术主要包含两种：静态分析技术和动态分析技术。

静态分析技术是指在不运行恶意代码的情况下，利用分析工具对恶意代码的静态特征和功能模块进行分析的方法，利用静态分析方法，可以找到恶意代码的特征字符串、特征代码段等，还可以得到恶意代码的功能模块和各个功能模块的流程图。静态分析的好处是可以避免恶意代码执行过程对分析系统的破坏。恶意代码从本质上是由计算机指令构成的，根据分析过程是否考虑构成恶意代码的计算机指令的语义，可以把静态分析方法分成基于代码特征的分析方法和基于代码语义的分析方法两种类型。传统的静态分析，基于代码特征检测的方法已经不能阻止越来越多的未知恶意代码的攻击。现在的恶意代码已经采用了变形、模糊变换、多态等技术，基于特征码的分析方法并不能对恶意代码进行准确的分析，且漏报误报率高。目前，病毒、木马等非法程序的种类迅速增加、变化不断加快，带来的危害日益严重，而特征码的提取又必然滞后于非法程序的出现。

动态分析技术，就是根据程序的动态行为特征（如在注册表设置自启动项等）判断其是否可疑。恶意代码要达到一定的目的，必须会对系统进行某些操作，比如添加启动项、网络连接、创建进程、注册表操作、文件操作等。通过在虚拟环境中执行恶意代码，并记录其运行过程中的各种行为，就可以比较真实的得到有关恶意代码的信息。动态行为分析具有可检测特征码未知的恶意程序的特点，所以成为目前国内外反病毒、反木马等领域研究的热点。

发明内容

本发明要解决的技术问题是提供一种互联网恶意代码处置方法，用以解决现有技术中的对恶意代码漏报误报率高的问题。

为解决上述技术问题，本发明提供一种互联网恶意代码处置方法，包括：

步骤S101，匹配可疑样本，计算可疑样本文件的哈希值，与已分析样本进行对比，判断是否已经分析过，如果是，则直接返回该可疑样本的已有分析结果；如果否，则转步骤S102；

步骤S102，对于未分析过的可疑样本，调用杀毒引擎进行病毒扫描，判断该可疑样本是否属于已知恶意代码，如果是，则获得该恶意代码的信息；如果否，则转步骤S103；

步骤S103，当可疑样本属于未知恶意代码时，进行全面的动态分析，得到恶意代码分析报告。

进一步，当可疑样本的恶意代码为计算机恶意代码时，采用虚拟机技术进行动态分析。

进一步，当可疑样本的恶意代码运行平台为手机恶意代码时，在模拟器或真实手机中运行恶意代码程序，记录下恶意代码运行过程中的动态行为，利用手机的恢复出厂设置功能还原分析环境。

进一步，通过客户端将可疑样本上传到服务器端。

进一步，接收客户端上传的可疑样本后，对可疑样本进行保存，并将可疑样本信息及待处理的分析任务存入客户信息数据库中。

进一步，将可疑样本在虚拟机环境中动态启动，监控其行为活动，分析结束后，将分析结果存入客户信息数据库中。

本发明有益效果如下：

本发明采用静态分析和动态分析相结合的方法，自动化快速的分析计算机系统和智能手机系统的各种恶意代码，生成恶意代码分析报告。报告中给出已知恶意代码的名称、危害等级等信息，对于未知恶意代码能够准确、全面的描述其特征和行为，为研究恶意代码防御和清除方法提供依据。

附图说明

图1是本发明实施例中一种互联网恶意代码处置方法的流程图。

具体实施方式

以下结合附图以及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不限定本发明。

如图1所示，本发明实施例涉及一种互联网恶意代码处置方法，包括：