1.一种恶意代码检测方法,其特征在于,包括步骤:
分析待分析样本对象的结构,所述结构包括PE可执行文体结构与文档结构;
当所述待分析样本对象为PE可执行文体结构时,对待分析样本进行静态分析、杀毒软件接口分析、虚拟环境沙箱动态分析以及网络数据分析,获得第一分析结果;
当所述待分析样本对象为文档结构时,对待分析样本进行静态分析,获得第二分析结果;
根据所述第一分析结果或所述第二分析结果,采用恶意代码分类器,检测是否存在恶意代码。
2.根据权利要求1所述的恶意代码检测方法,其特征在于,当所述待分析样本对象为PE可执行文体结构时,对待分析样本进行静态分析包括步骤:
当所述待分析样本对象为PE可执行文体结构时,采用恶意代码API序列威胁因子分析引擎TFAE技术、可机读威胁情报指标技术以及恶意代码家族归类FCSH技术,对待分析样本进行静态分析。
3.根据权利要求2所述的恶意代码检测方法,其特征在于,采用恶意代码API序列威胁因子分析引擎TFAE技术对待分析样本进行静态分析的步骤包括:
对大数据原始恶意软件样本集进行特征工程试验研究;
对特征工程试验研究的数据进行清洗及加工,生成基于恶意API序列威胁因子的数据模型;
以JSON接口交互方式,将所述基于恶意API序列威胁因子的数据模型存储;
验证初始阶段不同批次生成的恶意API序列因子数据模型,判断所述测试样本对象是否存在恶意API序列威胁检测的标注指标;
根据所述标注指标,生成恶意API序列威胁数据模型。
4.根据权利要求2所述的恶意代码检测方法,其特征在于,采用恶意代码家族归类FCSH技术,对待分析样本进行静态分析包括步骤:
获取并导入所述待分析样本对象的地址表,生成FCSH数据值;
对所述FCSH数据值进行检测,提取待分析样本对象的FCSH数据值作为每个分组成员名称;
将所述待分析样本对象的FCSH数据值与预设的数据库存档恶意代码FCSH分类工作组对应的FCSH数据值进行比较;
将所述待分析样本对象的FCSH数据值与所述预设的数据库存档恶意代码FCSH分类工作组对应的FCSH数据值相同的分类组成员归属于同一团体的威胁家族群。
5.根据权利要求1所述的恶意代码检测方法,其特征在于,所述检测是否存在恶意代码的步骤之后还包括:
当存在恶意代码时,提取所述恶意代码的特征;
根据所述恶意代码的特征,生成可机读威胁情报IOC数据标准。
6.一种恶意代码检测系统,其特征在于,包括:
结构分析模块,用于分析待分析样本对象的结构,所述结构包括PE可执行文体结构与文档结构;
第一分析模块,用于当所述待分析样本对象为PE可执行文体结构时,对待分析样本进行静态分析、杀毒软件接口分析、虚拟环境沙箱动态分析以及网络数据分析,获得第一分析结果;
第二分析模块,用于当所述待分析样本对象为文档结构时,对待分析样本进行静态分析,获得第二分析结果;
检测模块,用于根据所述第一分析结果或所述第二分析结果,采用恶意代码分类器,检测是否存在恶意代码。
7.根据权利要求6所述的恶意代码检测系统,其特征在于,第一分析模块具体用于当所述待分析样本对象为PE可执行文体结构时,采用恶意代码API序列威胁因子分析引擎TFAE技术、可机读威胁情报指标技术以及恶意代码家族归类FCSH技术,对待分析样本进行静态分析。
8.根据权利要求7所述的恶意代码检测系统,其特征在于,所述第一分析模块包括:
研究单元,用于对大数据原始恶意软件样本集进行特征工程试验研究;
威胁因子数据模型单元,用于对特征工程试验研究的数据进行清洗及加工,生成基于恶意API序列威胁因子的数据模型;
存储单元,用于以JSON接口交互方式,将所述基于恶意API序列威胁因子的数据模型存储;
判断单元,用于验证初始阶段不同批次生成的恶意API序列因子数据模型,判断所述测试样本对象是否存在恶意API序列威胁检测的标注指标;
威胁数据模型单元,用于根据所述标注指标,生成恶意API序列威胁数据模型。
9.根据权利要求7所述的恶意代码检测系统,其特征在于,所述第一分析模块包括:
获取单元,用于获取并导入所述待分析样本对象的地址表,生成FCSH数据值;
检测单元,用于对所述FCSH数据值进行检测,提取待分析样本对象的FCSH数据值作为每个分组成员名称;
比较单元,用于将所述待分析样本对象的FCSH数据值与预设的数据库存档恶意代码FCSH分类工作组对应的FCSH数据值进行比较;
处理单元,用于将所述待分析样本对象的FCSH数据值与所述预设的数据库存档恶意代码FCSH分类工作组对应的FCSH数据值相同的分类组成员归属于同一团体的威胁家族群。
10.根据权利要求6所述的恶意代码检测系统,其特征在于,还包括:
提取模块,用于当存在恶意代码时,提取所述恶意代码的特征;
生成模块,用于根据所述恶意代码的特征,生成可机读威胁情报IOC数据标准。