[发明专利]一种基于主动与被动相结合的恶意代码检测方法及系统

权利要求书

1.一种基于主动与被动相结合的恶意代码检测方法，其特征在于，所述基于主动与被动相结合的恶意代码检测方法包括：

获取待保护系统的原始特征；

根据所述原始特征，建立诱捕系统；

通过所述诱捕系统与所述待保护系统中的程序代码进行深度交互，确定所述待保护系统中的疑似代码；

基于静态分类器，对各疑似代码进行分类，确定所述待保护系统中的恶意代码及初始良性代码；所述静态分类器是预先根据第一训练样本集，采用AdaBoost算法进行训练得到的；所述第一训练样本集中包括多个样本代码及各样本代码的类别；所述类别为恶意代码或良性代码；

针对任一初始良性代码，在动态沙箱中执行所述初始良性代码，确定执行期间的日志文件；

根据所述日志文件，确定所述初始良性代码的动态特征图像；

基于动态分类器，根据所述动态特征图像，确定所述初始良性代码的最终类别；所述最终类别为恶意代码或良性代码；所述动态分类器是预先根据第二训练样本集，对卷积神经网络进行训练得到的；所述第二训练样本集中包括多张样本动态特征图像及各样本动态图像的类别。

2.根据权利要求1所述的基于主动与被动相结合的恶意代码检测方法，其特征在于，所述原始特征包括待保护系统的网络特征、内网资产特征、系统自身特征和交互特征。

3.根据权利要求1所述的基于主动与被动相结合的恶意代码检测方法，其特征在于，所述通过所述诱捕系统与所述待保护系统中的程序代码进行深度交互，确定所述待保护系统中的疑似代码，具体包括：

获取历史恶意代码的攻击路径；

针对待保护系统中的任一程序代码，通过所述诱捕系统与所述程序代码进行深度交互，确定所述程序代码的运行路径；

根据所述攻击路径及所述程序代码的运行路径，判定所述程序代码是否为疑似代码。

4.根据权利要求1所述的基于主动与被动相结合的恶意代码检测方法，其特征在于，所述基于静态分类器，对各疑似代码进行分类，确定所述待保护系统中的恶意代码及初始良性代码，具体包括：

针对任一疑似代码，对所述疑似代码进行加壳检验，判断所述疑似代码是否加壳；

若所述疑似代码已加壳，则对所述疑似代码进行脱壳处理，得到原始代码；若所述疑似代码未加壳，则所述疑似代码为原始代码；

基于静态分类器，根据所述原始代码，确定所述疑似代码的类别。

5.根据权利要求4所述的基于主动与被动相结合的恶意代码检测方法，其特征在于，所述对所述疑似代码进行加壳检验，判断所述疑似代码是否加壳，具体包括：

判断所述疑似代码中导入函数的数量是否小于设定数量阈值，或所述疑似代码的墒值是否高于设定墒值阈值，若是，则所述疑似代码已加壳，否则所述疑似代码未加壳。

6.根据权利要求4所述的基于主动与被动相结合的恶意代码检测方法，其特征在于，所述对所述疑似代码进行脱壳处理，得到原始代码，具体包括：

获取所述疑似代码的加壳方式及加壳版本；

根据所述加壳方式及加壳版本，确定对应的脱壳脚本；

根据所述脱壳脚本对所述疑似代码进行脱壳处理，得到原始代码。

7.根据权利要求1所述的基于主动与被动相结合的恶意代码检测方法，其特征在于，所述动态沙箱基于SandBoxie沙盒计算机程序和BSA沙盒分析工具构建。