1.一種惡意代碼檢測方法,其特征在于,包括步驟:
分析待分析樣本對象的結構,所述結構包括PE可執行文體結構與文檔結構;
當所述待分析樣本對象為PE可執行文體結構時,對待分析樣本進行靜態分析、殺毒軟件接口分析、虛擬環境沙箱動態分析以及網絡數據分析,獲得第一分析結果;
當所述待分析樣本對象為文檔結構時,對待分析樣本進行靜態分析,獲得第二分析結果;
根據所述第一分析結果或所述第二分析結果,采用惡意代碼分類器,檢測是否存在惡意代碼。
2.根據權利要求1所述的惡意代碼檢測方法,其特征在于,當所述待分析樣本對象為PE可執行文體結構時,對待分析樣本進行靜態分析包括步驟:
當所述待分析樣本對象為PE可執行文體結構時,采用惡意代碼API序列威脅因子分析引擎TFAE技術、可機讀威脅情報指標技術以及惡意代碼家族歸類FCSH技術,對待分析樣本進行靜態分析。
3.根據權利要求2所述的惡意代碼檢測方法,其特征在于,采用惡意代碼API序列威脅因子分析引擎TFAE技術對待分析樣本進行靜態分析的步驟包括:
對大數據原始惡意軟件樣本集進行特征工程試驗研究;
對特征工程試驗研究的數據進行清洗及加工,生成基于惡意API序列威脅因子的數據模型;
以JSON接口交互方式,將所述基于惡意API序列威脅因子的數據模型存儲;
驗證初始階段不同批次生成的惡意API序列因子數據模型,判斷所述測試樣本對象是否存在惡意API序列威脅檢測的標注指標;
根據所述標注指標,生成惡意API序列威脅數據模型。
4.根據權利要求2所述的惡意代碼檢測方法,其特征在于,采用惡意代碼家族歸類FCSH技術,對待分析樣本進行靜態分析包括步驟:
獲取并導入所述待分析樣本對象的地址表,生成FCSH數據值;
對所述FCSH數據值進行檢測,提取待分析樣本對象的FCSH數據值作為每個分組成員名稱;
將所述待分析樣本對象的FCSH數據值與預設的數據庫存檔惡意代碼FCSH分類工作組對應的FCSH數據值進行比較;
將所述待分析樣本對象的FCSH數據值與所述預設的數據庫存檔惡意代碼FCSH分類工作組對應的FCSH數據值相同的分類組成員歸屬于同一團體的威脅家族群。
5.根據權利要求1所述的惡意代碼檢測方法,其特征在于,所述檢測是否存在惡意代碼的步驟之后還包括:
當存在惡意代碼時,提取所述惡意代碼的特征;
根據所述惡意代碼的特征,生成可機讀威脅情報IOC數據標準。
6.一種惡意代碼檢測系統,其特征在于,包括:
結構分析模塊,用于分析待分析樣本對象的結構,所述結構包括PE可執行文體結構與文檔結構;
第一分析模塊,用于當所述待分析樣本對象為PE可執行文體結構時,對待分析樣本進行靜態分析、殺毒軟件接口分析、虛擬環境沙箱動態分析以及網絡數據分析,獲得第一分析結果;
第二分析模塊,用于當所述待分析樣本對象為文檔結構時,對待分析樣本進行靜態分析,獲得第二分析結果;
檢測模塊,用于根據所述第一分析結果或所述第二分析結果,采用惡意代碼分類器,檢測是否存在惡意代碼。
7.根據權利要求6所述的惡意代碼檢測系統,其特征在于,第一分析模塊具體用于當所述待分析樣本對象為PE可執行文體結構時,采用惡意代碼API序列威脅因子分析引擎TFAE技術、可機讀威脅情報指標技術以及惡意代碼家族歸類FCSH技術,對待分析樣本進行靜態分析。
8.根據權利要求7所述的惡意代碼檢測系統,其特征在于,所述第一分析模塊包括:
研究單元,用于對大數據原始惡意軟件樣本集進行特征工程試驗研究;
威脅因子數據模型單元,用于對特征工程試驗研究的數據進行清洗及加工,生成基于惡意API序列威脅因子的數據模型;
存儲單元,用于以JSON接口交互方式,將所述基于惡意API序列威脅因子的數據模型存儲;
判斷單元,用于驗證初始階段不同批次生成的惡意API序列因子數據模型,判斷所述測試樣本對象是否存在惡意API序列威脅檢測的標注指標;
威脅數據模型單元,用于根據所述標注指標,生成惡意API序列威脅數據模型。
9.根據權利要求7所述的惡意代碼檢測系統,其特征在于,所述第一分析模塊包括:
獲取單元,用于獲取并導入所述待分析樣本對象的地址表,生成FCSH數據值;
檢測單元,用于對所述FCSH數據值進行檢測,提取待分析樣本對象的FCSH數據值作為每個分組成員名稱;
比較單元,用于將所述待分析樣本對象的FCSH數據值與預設的數據庫存檔惡意代碼FCSH分類工作組對應的FCSH數據值進行比較;
處理單元,用于將所述待分析樣本對象的FCSH數據值與所述預設的數據庫存檔惡意代碼FCSH分類工作組對應的FCSH數據值相同的分類組成員歸屬于同一團體的威脅家族群。
10.根據權利要求6所述的惡意代碼檢測系統,其特征在于,還包括:
提取模塊,用于當存在惡意代碼時,提取所述惡意代碼的特征;
生成模塊,用于根據所述惡意代碼的特征,生成可機讀威脅情報IOC數據標準。