[发明专利]一种恶意程序的检测分析方法及系统

说明书

本发明公开了一种恶意程序的检测分析方法及系统，包括：获取待检测程序，提取其静态文件信息；通过预置的恶意程序查杀工具对待检测程序进行检测，得到程序关联信息和程序检测结果；当待检测程序的程序检测结果为恶意程序时，根据待检测程序的相关信息进行关联查询，得到关联查询结果；所述待检测程序的相关信息包括：待检测程序的静态文件信息和对待检测程序进行检测时所得到的程序关联信息；将所述程序检测结果和关联查询结果整合，生成待检测程序的分析结果。该方法及系统对待检测程序进行检测，形成程序关联信息和程序检测结果，在确定为恶意程序时，进一步形成关联查询结果，并整合到分析结果中，可供病毒分析工程师、安全分析工程师使用。

技术领域

本发明涉及网络安全技术领域，具体涉及一种恶意程序的检测分析方法及系统。

背景技术

随着互联网通信技术的快速发展，各式各样的程序软件已经渗透到了我们日常生活的各个领域。正因为现在是互联网通信技术高速发展的时代，所以各种恶意程序(例如：病毒程序、木马程序等，分别简称为病毒、木马)也在这个时代横行，安全厂商每天都会捕获到大量的恶意程序。在针对恶意程序的样本进行处理时，人工分析是其中一个必不可少的环节，而在处理海量样本的同时，也出现了很多协助病毒分析工程师分析的技术产品。

目前，针对恶意程序的鉴定分析主要有以下几种：

鉴定平台：鉴定平台集中了不同的杀软引擎(亦称杀毒引擎，即杀毒软件引擎)，杀软引擎具有通过程序行为来判断特定程序是否为病毒(包括可疑的)的技术机制，是用于检测和发现病毒的程序。鉴定平台中的病毒库，则是用于存储已经被确认为病毒的程序的标本，杀软引擎用病毒库中的标本去对照机器中的所有程序或文件，看是不是符合这些标本，符合则是病毒，不符合则不一定是病毒。鉴定平台通过杀软引擎，对用户上传的程序样本进行扫描，将各杀软引擎的鉴定结果统计并反馈给用户。

分析平台：在分析工作中，为了知道恶意程序对计算机做了哪些恶意操作，有时会借助沙盘协助分析，通过沙盘这样一个虚拟系统程序，让恶意程序在配置好的沙盘环境中运行，能够捕获到恶意程序的一些动态特征(注册表、文件、网络等等)。

但是，无论是基于病毒库的鉴定平台，还是基于沙盘的分析平台，都只是对恶意程序本身的判定或分析，无法实现对恶意程序的溯源及传播等关联分析，无法为安全分析工程师的安全防御工作提供更多的关联情报信息，安全响应事件工作处理过程中的大量工作仍然需要由人工完成，效率较低，造成安全防御不及时。

发明内容

针对现有技术中存在的缺陷，本发明的目的在于提供一种能够克服上述问题或者至少能够部分地解决上述问题的恶意程序的检测分析方法及系统。

为实现上述目的，本发明采用的技术方案如下：

一种恶意程序的检测分析方法，其特征在于，包括：

获取待检测程序，提取其静态文件信息；

通过预置的恶意程序查杀工具对待检测程序进行检测，得到程序关联信息和程序检测结果；

当待检测程序的程序检测结果为恶意程序时，根据待检测程序的相关信息进行关联查询，得到关联查询结果；

所述待检测程序的相关信息包括：待检测程序的静态文件信息和对待检测程序进行检测时所得到的程序关联信息；

将所述程序检测结果和关联查询结果整合，生成待检测程序的分析结果。

进一步，如上所述的一种恶意程序的检测分析方法，所述静态文件信息包括：程序的属性信息和/或程序的产品描述信息。

进一步，如上所述的一种恶意程序的检测分析方法，所述恶意程序查杀工具包括以下查杀工具中的至少一种：杀毒软件引擎、恶意软件模式匹配工具YARA规则。