[发明专利]一种恶意代码捕获方法及系统

说明书

技术领域

本发明涉及网络信息安全技术领域，尤其涉及一种恶意代码捕获方法及系统。

背景技术

网络蠕虫、特洛伊木马、僵尸网络等恶意代码层出不穷，给网络信息安全带来了巨大危害。为了更好地分析与检测恶意代码，防御者首先应该研究获取大量互联网中恶意代码的方法，蜜罐与蜜网技术应运而生、逐步兴起。蜜罐技术是指防御者通过提供虚拟的或真实的主机、服务器以及其他智能终端，或者模拟相关服务，用于被攻击者扫描、入侵，进而达到获取相关恶意代码的目的。蜜网是由若干个有相互关系的蜜罐组成的具有一定拓扑结构的网络，它可以被看作是大规模分布式部署的蜜罐系统。一般来说，蜜罐不作为正常的主机、服务器以及其他智能终端来使用，它主要用于吸引攻击者入侵，根据捕获的攻击信息来分析检测，进而设计相关防御策略，进而阻止或削弱攻击者的危害。

传统的蜜罐可分为三类：虚拟蜜罐、虚拟机蜜罐和物理蜜罐。虚拟蜜罐是通过模拟网络拓扑、操作系统以及网络服务等来诱骗攻击者入侵。这类蜜罐虽然占用资源少，但交互能力低，只能捕获低交互的恶意代码，如部分网络蠕虫。虚拟机蜜罐是通过虚拟机设计某些漏洞或弱点，来诱骗攻击者入侵。这类蜜罐的优势在于节省资源，并且支持一定的交互，并能够获取较完整的攻击信息，但容易被攻击者利用虚拟机检测技术发现，失去捕获恶意代码的作用。物理蜜罐是通过使用真实设备，设计某些漏洞或弱点，来诱骗攻击者入侵，这类蜜罐能够与攻击者进行高度交互，不易被察觉，但物理蜜罐成本很高，不宜大规模部署。

在蜜罐与蜜网技术中，如何在单位时间内捕获更多恶意代码是其核心问题之一，而这一问题与恶意代码传播手段有着密切关系。一般来说，恶意代码的传播手段可以分为两大类：一类是利用漏洞传播，另一类是利用社会工程学传播。漏洞传播不需要与受害者进行交互，传统的蜜罐技术多基于此类传播手段设计。社会工程学传播是通过对受害者本能反应、好奇心、信任、贪婪等弱点进行分析利用，达到欺骗入侵的目的，其传播过程需要用户的参与。随着网络服务与应用的发展，社会工程学传播呈现多样化、复杂化的趋势。近些年，越来越多的恶意代码采用此类传播手段（即社会工程学传播），如Koobface、震网(Stuxnet)、Zues等。

现有的蜜罐能够很好地捕获基于漏洞传播的恶意代码，而对于某些基于社会工程学传播的恶意代码，还缺乏高效的捕获方法，尤其是基于Email网络的利用社会工程学传播的恶意代码。此类恶意代码沿着Email网络的脉络进行传播，将带有恶意代码或者带有其访问方式的陷阱邮件推送到用户邮箱，诱使受害者执行陷阱邮件中的恶意代码，或者根据其提供的方式访问(如网页链接下载)恶意代码并执行，进而达到入侵受害者计算机的目的。此类恶意代码往往利用受害者邮箱发送陷阱邮件给受害者的Email好友，进而感染更多的Email用户。

可以看出，上述恶意代码可能利用Email网络中用户之间的信任关系进行传播。Email网络是一种由邮箱用户通过邮件联系形成的社交网络，也是复杂网络的一种重要应用类型。研究者通常将复杂网络抽象成图来进行分析，对于上述的Email网络，每个用户邮箱用“点”来表示，用户间的邮件及数量用“边”与“权值”来表示(若某两个用户间没有邮件，则相应的两点间无边)。在社交网络中，网络平均距离较小，聚集系数较大，节点度呈现指数分布。

然而，现有的蜜罐与蜜网技术尚未充分考虑基于Email网络利用社会工程学传播的恶意代码，并且没有利用上述社交网络特征进行设计，以捕获更多传播类型的恶意代码。可见，现有的蜜罐与蜜网技术不能对基于Email网络利用社会工程学传播的恶意代码进行大规模的有效的捕获。

发明内容

本发明所要解决的技术问题是提供一种恶意代码捕获方法及系统，提高对基于Email网络利用社会工程学传播的恶意代码的捕获能力。

为解决上述技术问题，本发明提出了一种恶意代码捕获方法，包括：

从多种电子邮件数据源中获取邮件数据；

解析所述邮件数据，将所述邮件数据中根据设定的漏报率无法排除的文件记录为可疑文件，并将该可疑文件保存到可疑文件数据库中；

利用恶意代码特征数据库和人工检测对所述可疑文件进行检测，将检测结果为异常的可疑文件保存到所述恶意代码样本数据库。

进一步地，上述恶意代码捕获方法还可具有以下特点，还包括：

从所述恶意代码样本数据库中获取恶意代码样本，在沙箱中运行该恶意代码样本，记录该恶意代码样本的特征信息并保存到所述恶意代码特征数据库。