一种恶意文件威胁分析平台及恶意文件威胁分析方法技术

本发明专利技术涉及一种恶意文件威胁分析平台及恶意文件威胁分析方法，以输入和输出模块获取待检测文件，以综合性多维度处理模块对待检测文件进行综合性多维度处理，以威胁情报感知模块建立威胁库，基于综合性多维度处理的信息进行威胁分析，最后由输入和输出模块生成威胁分析报告并输出。本发明专利技术基于B/S架构的恶意文件威胁分析平台，系统性定位恶意文件威胁，快速识别已知或未知的风险，节省分析的时间，将大量繁复的工作自动化，精准高效的识别威胁，综合评定分析结果，自动生成分析报告，能为非专业人士提供快速分析文件威胁的能力，并尽可能的为分析人员提供各个维度的威胁信息，简化分析过程。

A malicious file threat analysis platform and method

【技术实现步骤摘要】
一种恶意文件威胁分析平台及恶意文件威胁分析方法
本专利技术涉及电数字数据处理的
，特别涉及一种恶意文件威胁分析平台及恶意文件威胁分析方法。
技术介绍
随着互联网的发展，网络上的威胁层出不穷，且朝着隐蔽性更强、范围更广的趋势发展。新出现的未知恶意样本不计其数，对大量的样本进行威胁判别变得越来越繁复，恶意文件的分析方式主要包括：静态分析，对恶意文件的静态结构、字符串、静态关联信息、代码等进行提取识别分析；动态沙箱分析，将恶意文件放入沙箱中运行，记录运行过程中的信息，提取关联信息进行分析识别；多引擎检测，搜集多家安全公司的检测引擎进行检测识别；及威胁情报感知，收集内外部威胁情报信息，对文件以及关联信息进行感知识别。事实上，在对恶意文件进行威胁分析的过程中，往往需要对恶意文件的各个维度进行综合判别，传统的分析往往需要介入大量的人力；当面对网络上大量的恶意文件威胁时，传统的分析方法就变得捉襟见肘，难以在短时间内完成对恶意文件的识别分析；同时，精确分析往往还需要一些基于大量数据检索的威胁判别方式，如威胁库匹配、本文档来自技高网...

【技术保护点】
1.一种恶意文件威胁分析方法，其特征在于：所述方法包括以下步骤：/n步骤1：获取待检测文件；/n步骤2：对待检测文件进行综合性多维度处理；/n步骤3：建立威胁库，基于综合性多维度处理的信息进行威胁分析；/n步骤4：生成威胁分析报告并输出。/n

【技术特征摘要】
1.一种恶意文件威胁分析方法，其特征在于：所述方法包括以下步骤：
步骤1：获取待检测文件；
步骤2：对待检测文件进行综合性多维度处理；
步骤3：建立威胁库，基于综合性多维度处理的信息进行威胁分析；
步骤4：生成威胁分析报告并输出。


2.根据权利要求1所述的一种恶意文件威胁分析方法，其特征在于：所述步骤1中，待检测文件通过浏览器或自定义接口上传。


3.根据权利要求1所述的一种恶意文件威胁分析方法，其特征在于：所述步骤2中，综合性多维度处理包括：
静态分析，基于待检测文件的类型提取用于识别威胁的静态数据，所述静态数据包括用于关联信息分析的静态关联IOC信息；
动态沙箱运行分析，提取待检测文件运行时生成的运行信息，所述运行信息包括用于关联信息分析的动态关联信息；
多引擎检测，用于获取多引擎检测结果。


4.根据权利要求3所述的一种恶意文件威胁分析方法，其特征在于：所述静态分析包括以下步骤：
步骤2.1.1：判断待检测文件类型；
步骤2.1.2：基于待检测文件类型提取静态信息，进行静态信息检测分析；
步骤2.1.3：基于提取的静态信息，进行关联IOC信息提取，存入数据库。


5.根据权利要求4所述的一种恶意文件威胁分析方法，其特征在于：所述待检测文件类型中，恶意文件类型包括文档类恶意文件和程序类恶意文件；对文档类恶意文件提取的静态信息包括宏代码、嵌入文件信息、shellcode信息；对程序类恶意文件提取的静态信息包括程序结构信息、字符串、yara规则检测。


6.根据权利要求3所述的一种恶意文件威胁分析方法，其特征在于：所述动态沙箱运行分析包括以下步骤：
步骤2.2.1：将所述待检测文件以沙箱运行，记录沙箱运行信息；
步骤2.2.2：对沙箱运行信...

【专利技术属性】
技术研发人员：吕杰，范渊，吴卓群，
申请(专利权)人：杭州安恒信息技术股份有限公司，
类型：发明
国别省市：浙江;33