[发明专利]一种木马文件溯源方法、系统及设备

权利要求书

1.一种木马文件溯源方法，其特征在于，所述方法包括：

接收新采样木马文件；

对新采样木马文件进行样本数据解析；

提取标签项作为木马文件基因特征；及

将提取的标签项发送至云端威胁情报中心服务器进行三因子模型分析与综合评判，判明采样木马文件的基因属性和来源；

所述三因子模型从静态指纹基因、隐态指纹基因和动态行为指纹基因三个角度刻画木马文件的溯源基因，所述静态指纹基因、所述隐态指纹基因和所述动态行为指纹基因分别刻画木马文件的静态文件特征、隐态思维特征和动态行为特征；所述静态指纹基因包括如下6个标签项：PE文件基本信息标签、编译信息标签、数字签名信息标签、窗口资源信息标签、PDB路径标签、导出函数标签；所述隐态指纹基因包括如下3个标签项：自有算法标签、功能函数标签、编程习惯及风格标签；及所述动态行为指纹基因包括如下10个标签项：基础标签、窗口资源标签、注入类型标签、键盘记录标签、网络事件标签、主动攻击标签、自启动标签、自拷贝标签、文件属性标签、系统属性标签。

2.一种木马文件溯源方法，其特征在于，所述方法包括：

从木马文件基因特征提取终端接收提取的标签项；

从多源信息库获取多源数据信息，所述多源数据信息包括刻画木马文件的静态文件特征、隐态思维特征和动态行为特征；

依据三因子模型所包含基因项对新采样木马文件进行特征匹配分析，形成新的木马文件基因；所述三因子模型从静态指纹基因、隐态指纹基因和动态行为指纹基因三个角度刻画木马文件的溯源基因，所述静态指纹基因、所述隐态指纹基因和所述动态行为指纹基因分别刻画木马文件的静态文件特征、隐态思维特征和动态行为特征；所述静态指纹基因包括如下6个标签项：PE文件基本信息标签、编译信息标签、数字签名信息标签、窗口资源信息标签、PDB路径标签、导出函数标签；所述隐态指纹基因包括如下3个标签项：自有算法标签、功能函数标签、编程习惯及风格标签；及所述动态行为指纹基因包括如下10个标签项：基础标签、窗口资源标签、注入类型标签、键盘记录标签、网络事件标签、主动攻击标签、自启动标签、自拷贝标签、文件属性标签、系统属性标签；

采用多源数据综合评判算法进行综合评判打分和阈值计算，输出计算结果判明新采样木马文件的基因属性；及

访问云端黑客指纹档案库获取黑客组织信息和木马基因数据，判明新采样木马文件的来源；

其中，所述采用多源数据综合评判算法进行综合评判打分和阈值计算之前，所述方法包括，基于新的木马文件基因进行多源数据融合。

3.如权利要求2所述的方法，其特征在于，所述依据三因子模型所包含基因项对新采样木马文件进行特征匹配分析，包括：

静态指纹分析；

隐态指纹分析；及

动态行为指纹分析。

4.如权利要求3所述的方法，其特征在于，每个标签项包含一个或多个资源项及木马文件检测及溯源中的若干数据指标，各个标签项覆盖的主要数据指标如下列表所述：

5.如权利要求2至4中任一项所述的方法，其特征在于，所述方法还包括：

采用机器学习算法进行样本学习和数据调整，原始数据经大量已知样本训练后各项数值趋近最优化形成溯源分析模型；

通过溯源分析模型对最新木马文件分析结束后，提供木马样本和反馈结果至样本训练，整理数据、调整规则，并实时输出溯源分析模型；及

通过样本分析、样本训练的内部循环自动实现样本处理和新规则学习，完成自动化木马文件检测及溯源。