[发明专利]样本程序恶意程度自动识别方法及装置

说明书

本发明实施例提供一种样本程序恶意程度自动识别方法及装置，所述方法包括：获取样本程序；对所述样本程序进行静态分析，获取静态分析结果；对所述样本程序进行动态分析，获取动态分析结果；基于所述静态分析结果和/或所述动态分析结果，对所述样本程序进行情报分析，获取情报分析结果；根据所述静态分析结果、所述动态分析结果和所述情报分析结果，确定所述样本程序的恶意程度。本发明实施例综合了考虑静态分析结果、动态分析结果和情报分析结果，从而克服了依靠单一手段分析样本程序进而导致分析结果准确度不高的缺陷，本发明实施例能够提高样本程序分析结果的准确度。

技术领域

本发明涉及计算机技术领域，尤其涉及一种样本程序恶意程度自动识别方法及装置。

背景技术

网络攻击是黑客或者病毒木马等对电子设备发起的攻击，通过窃取文件等给用户带来了巨大损失。

在对高级持续性威胁(Advanced Persistent Threat，APT)团伙进行追踪发现时，主要依据网络传播中的恶意文件、钓鱼邮件等攻击进行上下文关联分析。攻击者利用恶意程序对网络及信息系统进行入侵控制，达到窃取敏感数据和破坏系统和网络环境的目的，亟待提高对企业网络中传播的恶意样本检测分析能力。

然而，目前在对恶意样本进行检测分析时，通常只采用较为单一的检测分析方式，从而使得检测分析结果的准确度不高。

发明内容

针对现有技术中的问题，本发明实施例提供一种样本程序恶意程度自动识别方法及装置。

具体地，本发明实施例提供了以下技术方案：

第一方面，本发明实施例提供了一种样本程序恶意程度自动识别方法，包括：

获取样本程序；

对所述样本程序进行静态分析，获取静态分析结果；

对所述样本程序进行动态分析，获取动态分析结果；

基于所述静态分析结果和/或所述动态分析结果，对所述样本程序进行情报分析，获取情报分析结果；

根据所述静态分析结果、所述动态分析结果和所述情报分析结果，确定所述样本程序的恶意程度。

进一步地，对所述样本程序进行静态分析，获取静态分析结果，具体包括：

采用至少一种静态分析方法对所述样本程序进行静态分析，获取所述样本程序的静态分析结果；其中，所述静态分析结果包括恶意类型和/或恶意家族类型。

进一步地，对所述样本程序进行动态分析，获取动态分析结果，具体包括：

在系统、沙箱或虚拟机中运行所述样本程序，获取所述样本程序在运行过程中产生的动态行为特征；其中，所述动态行为特征包括：主机行为、网络行为、衍生文件和开机自启动项中的一种或多种；

根据所述动态行为特征以及预设的规则库，获取动态分析结果；其中，所述动态分析结果包括：是否包含非法主机行为、可疑网络行为、可疑衍生文件和非法开机自启动项中的一种或多种。

进一步地，基于所述静态分析结果和/或所述动态分析结果，对所述样本程序进行情报分析，获取情报分析结果，具体包括：

基于所述样本程序在进行动态分析中产生的可疑网络行为，根据所述可疑网络行为确定与所述可疑网络行为匹配的攻陷指标IOC信息，并将所述攻陷指标IOC信息与失陷检测情报进行匹配，获取失陷检测情报匹配结果；

基于所述样本程序在进行动态分析中产生的衍生文件，将所述衍生文件的哈希值与文件信誉情报进行匹配，获取文件信誉情报匹配结果；

基于所述样本程序在进行静态分析中确定的恶意家族类型，将所述恶意家族类型与恶意家族情报进行匹配，获取恶意家族情报匹配结果；