CN106934285A - 一种实现样本分析的方法、装置及动态引擎设备 - Google Patents
一种实现样本分析的方法、装置及动态引擎设备 Download PDFInfo
- Publication number
- CN106934285A CN106934285A CN201511027438.XA CN201511027438A CN106934285A CN 106934285 A CN106934285 A CN 106934285A CN 201511027438 A CN201511027438 A CN 201511027438A CN 106934285 A CN106934285 A CN 106934285A
- Authority
- CN
- China
- Prior art keywords
- sample file
- sample
- file
- analysis
- dynamic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Automatic Analysis And Handling Materials Therefor (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种实现样本分析的方法、装置及动态引擎设备,包括:按照预设的评估策略对各样本文件对应的一个或一个以上分析信息进行综合评估;根据所有样本文件的综合评估的结果对样本文件进行排序,以确定各样本文件的送检优先级;根据各样本文件的排序发送样本文件到动态分析引擎进行动态分析。本发明方法通过样本文件的分析信息对各样本文件进行综合评估,根据综合评估结果的排序进行动态分析,降低了低威胁性的样本文件对动态引擎设备的占用,提高了样本有效检测的效率。
Description
技术领域
本发明涉及安全分析领域,尤指一种实现样本分析的方法、装置及动态引擎设备。
背景技术
极光攻击、震网攻击、夜龙攻击、RSA(RSA是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(LeonardAdleman)一起提出的。1987年首次公布,当时他们三人都在麻省理工学院工作;RSA就是他们三人姓氏开头字母拼在一起组成的)令牌种子窃取等重大网络安全事件使得一种具有攻击手法高级、持续时间长、攻击目标明确等特征的攻击类型出现在公众视野中,国际上称之为高级持续性威胁攻击(APT,Advanced Persistent Threat)。APT不仅使用传统的病毒、木马作为攻击手段,更以邮件等社会工程学方式进行“先导攻击”,向用户发送精心构造使用0Day(0day是说在最短的时间内迅速地“解锁”,并在网上发布,其真正意思是“即时发布”)漏洞的恶意文件。一旦用户打开恶意文件,漏洞就会被触发,攻击代码注入到用户系统,并进行后续其它病毒的下载、木马操作等,以进行长期潜伏作业。而传统防火墙、企业反病毒软件等对此类无特征签名的恶意文件或恶意文件代码的检测和防护能力非常有限。
APT攻击检测防御技术是新一代网络安全的研究热点;其中,APT攻击所采用的检测方法主要包括:静态引擎分析、动态引擎分析及同时包括静态引擎和动态引擎的分析。为了实现有效的样本检测,同时包括静态引擎和动态引擎的分析得到了广泛的应用,一般的,按照先进行静态引擎分析再进行动态引擎分析的方式进行样本检测,进行静态引擎分析时,如果检测到样本异常,即可根据检测到的异常进行实时防护,对没有发现异常的样本通过动态引擎分析实现异常检测,通过两种分析的结合实现了对样本威胁程度的确认,提高了样本检测的有效性。图1为现有样本文件分析流向示意图,如图1所示,进/出网络的网络流量通过旁路镜像方式转换为镜像流量后导出到样本采集设备,样本采集设备对镜像流量进行解析并提取获得样本文件,将提取的样本文件发往静态引擎设备后,由静态引擎设备进行静态分析,具体的:根据自身的特征库对每个样本文件进行匹配,对检测出异常的样本文件输出静态分析报告;未检测出异常的样本文件发往动态引擎设备进行动态分析,具体的,动态引擎设备接收到样本文件后,利用独立且受保护的虚拟分析系统模拟实际环境和用户行为对样本文件进行操作,如果样本文件为恶意文件,则可通过恶意文件的操作进行漏洞利用、文件释放、系统修改等攻击行为的识别,实现APT攻击的检测。
在同时包括静态分析和动态分析分析方法中,静态引擎设备的分析可以对存在威胁的样本进行有效的检测,从而减少发往动态引擎设备的样本数量;但是经过静态引擎设备分析后发往动态引擎设备的样本依然十分庞大,在不扩展动态引擎设备性能的条件下,动态引擎设备的资源往往容易被大量的进行威胁性低的样本检测所占用,降低了样本有效检测的效率,高威胁的样本无法实现快速检测;另外,随着时间的增长,动态引擎设备的检测速度也存在无法满足由于样本检测过程中堆积得越来越高的样本文件。
发明内容
为了解决上述技术问题,本发明提供一种实现样本分析的方法、装置及动态引擎设备,能够提高样本有效检测效率。
为了达到本发明目的,本发明提供了一种实现样本分析的方法,包括:对所有样本文件,
按照预设的评估策略对各样本文件对应的一个或一个以上分析信息进行综合评估;
根据所有样本文件的综合评估的结果对样本文件进行排序,以确定各样本文件的送检优先级;
根据各样本文件的排序发送样本文件到动态分析引擎进行动态分析。
可选的,动态分析之前,该方法还包括:
根据各所述样本文件的送检优先级生成各所述样本文件的动态引擎配置参数并发往动态引擎设备,以使动态引擎设备根据所述动态引擎配置参数对各样本文件进行动态分析;或,
所述动态引擎设备接收外部指令,根据接收的外部指令进行各所述样本文件动态引擎配置参数的配置,并根据配置的所述动态引擎配置参数进行各样本文件进行动态引擎分析;或,
所述动态引擎设备按照预先设置的配置策略进行各所述样本文件动态引擎配置参数的配置,并根据配置的所述动态引擎配置参数进行各样本文件的动态分析。
可选的,样本文件为来自前端的样本文件;
所述前端包括:一个或一个以上静态引擎设备、和/或网页WEB端、和/或其他对样本文件进行分析信息输出的服务端。
可选的,预设的评估策略包括:
为所述分析信息中的各分析参数设置相应的评估值;
根据设置的各所述分析参数的评估值对所述样本文件包含的各分析信息分别进行评估统计;
以各所述分析信息的评估统计结果确定各样本文件的综合评估。
可选的,分析参数包括:样本文件是否加壳、和/或样本文件是否为可信任厂商版本、和/或样本文件的文件类型、和/或样本文件为可执行文件时可执行文件熵是否正常、和/或样本文件为可执行文件时可执行文件载入地址是否正常。
可选的,确定各样本文件的综合评估包括:
对各样本文件,预先设置样本信息各所述分析信息对应的评估统计相应的综合评估权重;
将所述样本文件的各分析信息的评估统计分别乘以各分析信息相应的所述综合评估权重后进行累加,以累加结果作为样本文件的所述综合评估。
可选的,对样本文件进行排序包括:
根据所述综合评估的数值大小确定各所述样本文件的优先级高低;
根据各所述样本文件的优先级高低,对所述样本文件按照优先级由高到低的顺序进行排序。
可选的,进行综合评估之前,该方法还包括:
接收样本文件的分析信息,并对各样本文件的分析信息进行区分保存。
可选的,对各样本文件的分析信息进行区分保存包括:
当接收的所述分析信息为新增样本文件的分析信息时,通过预设的文件标识保存所述新增样本文件的分析信息;
当接收的所述分析信息为已有样本文件的来自不同前端的分析信息时,以已有样本文件的文件标识保存所述分析信息;
当接收的所述分析信息出现异常或超时,删除所述分析信息和所述分析信息的相关记录。
可选的,对所有样本文件的进行排序具体包括:
基于所述文件标识,根据所有样本文件的综合评估的结果对所述样本文件进行排序。
可选的,该方法还包括:
当样本文件的所述综合评估的数值小于预设的评估阈值时,将该样本文件从发往动态分析引擎的排序中删除;
所述综合评估数值的高低与所述送检优先级成正比。
可选的,该方法还包括:
排序的所述样本文件的数量大于预设的负载阈值时,按照发往动态分析引擎的排序,将排序在负载阈值之后的样本文件从排序中删除;
所述样本文件按照送检优先级由高到低的顺序进行排序。
可选的,该方法还包括:按照第一预设周期,对样本文件的排序中已完成所述动态分析的样本文件的相关信息进行处理。
可选的,该方法还包括:按照第二预设周期,对已完成所述动态分析的所述样本文件的分析结果进行清理。
可选的,动态引擎配置参数包括:所述动态引擎设备对各样本文件的分析时长和分析环境。
另一方面,本申请还提供一种实现样本分析的装置,包括:评估单元、确定单元及送检单元;其中,
评估单元用于,按照预设的评估策略对各样本文件对应的一个或一个以上分析信息进行综合评估;
确定单元用于,根据所有样本文件的综合评估的结果对样本文件进行排序,以确定各样本文件的送检优先级;
送检单元用于,根据各样本文件的排序发送样本文件到动态分析引擎进行动态分析。
可选的,该装置还包括生成配置单元用于,所述动态分析之前,根据各所述样本文件的送检优先级生成各所述样本文件的动态引擎配置参数并发往动态引擎设备,以使动态引擎设备根据所述动态引擎配置参数对各样本文件进行动态分析;
所述动态引擎配置参数包括:所述动态引擎设备对各样本文件的分析时长和分析环境。
可选的,样本文件为来自前端的样本文件;
所述前端包括:一个或一个以上静态引擎设备、和/或网页WEB端、和/或其他对样本文件进行分析信息输出的服务端。
可选的,评估单元具体用于,
为所述分析信息中的各分析参数设置相应的评估值;
根据设置的各所述分析参数的评估值对所述样本文件包含的各分析信息分别进行评估统计,
以各所述分析信息的评估统计结果确定各样本文件的综合评估;
分析参数包括:样本文件是否加壳、和/或样本文件是否为可信任厂商版本、和/或样本文件的文件类型、和/或样本文件为可执行文件时可执行文件熵是否正常、和/或样本文件为可执行文件时可执行文件载入地址是否正常。
可选的,评估单元具体用于,
为所述分析信息中的各分析参数设置相应的评估值;
根据设置的各所述分析参数的评估值对所述样本文件包含的各分析信息分别进行评估统计,
对各样本文件,预先设置样本信息各所述分析信息对应的评估统计相应的综合评估权重;
将所述样本文件的各分析信息的评估统计分别乘以各分析信息相应的所述综合评估权重后进行累加,以累加结果作为样本文件的所述综合评估。
可选的,确定单元具体用于,
根据所述综合评估的数值大小确定各所述样本文件的优先级高低;
根据各所述样本文件的优先级高低,对所述样本文件按照优先级由高到低的顺序进行排序,以确定各样本文件的送检优先级。
可选的,该装置还包括接收保存单元,用于所述进行综合评估之前,接收所述样本文件的分析信息,并对各样本文件的分析信息进行区分保存。
可选的,接收保存单元具体用于,所述进行综合评估之前,
当接收的所述分析信息为新增样本文件的分析信息时,通过预设的文件标识保存所述新增样本文件的分析信息;
当接收的所述分析信息为已有样本文件的来自不同前端的分析信息时,以已有样本文件的文件标识保存所述分析信息;
当接收的所述分析信息出现异常或超时,删除所述分析信息和所述分析信息的相关记录。
可选的,确定单元具体用于,基于所述文件标识,根据所有样本文件的综合评估的结果对所述样本文件进行排序。
可选的,该装置还包括第一删除单元用于,
当样本文件的所述综合评估的数值小于预设的评估阈值时,将该样本文件从发往动态分析引擎的排序中删除;
所述综合评估数值的高低与所述送检优先级成正比。
可选的,该装置还包括第二删除单元用于,
排序的所述样本文件的数量大于预设的负载阈值时,按照发往动态分析引擎的排序,将排序在负载阈值之后的样本文件从排序中删除;
所述样本文件按照送检优先级由高到低的顺序进行排序。
可选的,该装置还包括第一周期清理单元,用于按照第一预设周期,对样本文件的排序中已完成所述动态分析的样本文件的相关信息进行处理。
可选的,该装置还包括第二周期清理单元,用于按照第二预设周期,对已完成所述动态分析的所述样本文件的分析结果进行清理。
还一方面,本申请还提供一种实现样本分析的动态引擎设备,包括:接收单元、配置单元和分析单元;其中,
接收单元用于,接收按照综合评估进行排序的样本文件;
配置单元用于,根据接收的外部指令或预先设置的配置策略进行各所述样本文件动态引擎配置参数的配置;
分析单元用于,根据配置的所述动态引擎配置参数进行各样本文件进行动态分析。
与现有技术相比,本申请技术方案包括:按照预设的评估策略对各样本文件对应的一个或一个以上分析信息进行综合评估;根据所有样本文件的综合评估的结果对样本文件进行排序,以确定各样本文件的送检优先级;根据各样本文件的排序发送样本文件到动态分析引擎进行动态分析。本发明方法通过样本文件的分析信息对各样本文件进行综合评估,根据综合评估结果的排序进行动态分析,降低了低威胁性的样本文件对动态引擎设备的占用,提高了样本有效检测的效率。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为现有样本文件分析流向示意图;
图2为本发明实施例实现样本文件分析的方法的流程图;
图3为本发明实施例实现样本分析的装置的结构框图;
图4为本发明实施例实现样本分析的动态引擎设备的结构框图;
图5为本发明应用示例的方法流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
图2为本发明实施例实现样本文件分析的方法的流程图,如图2所示,包括:
步骤200、按照预设的评估策略对各样本文件对应的一个或一个以上分析信息进行综合评估。
可选的,本发明实施例样本文件为来自前端的样本文件;
前端包括:一个或一个以上静态引擎设备、和/或网页WEB端、和/或其他对样本文件进行分析信息输出的服务端。
本步骤中,预设的评估策略包括:
为分析信息中的各分析参数设置相应的评估值;
根据设置的各分析参数的评估值对样本文件包含的各分析信息分别进行评估统计,
以各分析信息的评估统计结果确定各样本文件的综合评估。
可选的,分析参数包括:样本文件是否加壳、和/或样本文件是否为可信任厂商版本、和/或样本文件的文件类型、和/或样本文件为可执行文件时可执行文件熵是否正常、和/或样本文件为可执行文件时可执行文件载入地址是否正常。
需要说明的是,为各分析参数设置相应的评估值可以根据本领域技术人员的经验分析进行确定;送检优先级可以通过样本文件的文件优先级或样本文件的威胁程度高低确定;例如、如果威胁程度高通过评估值高来表示,则样本文件加壳时比样本文件未加壳时威胁程度更高,以此为依据设置分析参数为样本文件是否加壳时的评估值可以是:样本文件加壳,评估值为1;样本文件未加壳,评估值为0;同理,样本文件为可信任厂商版本,威胁程度低,可以设置评估值为0;样本文件不是可信任厂商版本,威胁程度高,可以设置评估值为1;样本文件为可执行文件时可执行文件熵正常,威胁程度低,可以设置评估值为0;样本文件为可执行文件时可执行文件熵不正常,威胁程度高,可以设置评估值为1;样本文件为可执行文件时可执行文件载入地址正常,威胁程度低,可以设置评估值为0;样本文件为可执行文件时可执行文件载入地址不正常,威胁程度高,可以设置评估值为1;另外,不同分析参数的评估值可以不同,例如样本文件加壳时,标识威胁程度高,可以采用评估值为1表示;样本文件不是可信任厂商版本,威胁程度也为高,可以设置与样本文件加壳不一样的评估值表示,例如设置评估值为1.2。
另外,当只有样本文件的文件类型一个分析参数时,本发明实施例可以以样本文件的文件类型的优先级等级进行综合评估,即以样本文件的文件类型的评估值高低作为优先级等级的判断依据。
进一步地,确定各样本文件的综合评估包括:
对各样本文件,预先设置样本信息各分析信息对应的评估统计相应的综合评估权重;
将样本文件的各分析信息的评估统计分别乘以各分析信息相应的综合评估权重后进行累加,以累加结果作为样本文件的综合评估。
需要说明的是,各分析信息的综合评估权重可以根据分析信息包含的分析参数是否详尽,以及分析参数与威胁程度高低分析的关联程度进行分析确定,分析参数越详尽,综合评估权重越高;分析参数与威胁程度关联性越强,综合评估权重越高,具体综合评估权重数值设置可以根据本领域技术人员根据实际情况进行分析设置。
步骤201、根据所有样本文件的综合评估的结果对样本文件进行排序,以确定各样本文件的送检优先级;
可选的,
对样本文件进行排序包括:
根据综合评估的数值大小确定各样本文件的优先级高低;
根据各样本文件的优先级高低,对样本文件按照优先级由高到低的顺序进行排序。
步骤202、根据各样本文件的排序发送样本文件到动态分析引擎进行动态分析。
动态分析之前,本发明实施例方法还包括:
根据各样本文件的送检优先级生成各样本文件的动态引擎配置参数并发往动态引擎设备,以使动态引擎设备根据动态引擎配置参数对各样本文件进行动态分析;或,
动态引擎设备接收外部指令,根据接收的外部指令进行各样本文件动态引擎配置参数的配置,并根据配置的动态引擎配置参数进行各样本文件进行动态分析;或,
动态引擎设备按照预先设置的配置策略进行各所述样本文件动态引擎配置参数的配置,并根据配置的所述动态引擎配置参数进行各样本文件的动态分析。
需要说明的是,如果样本文件的综合评估数值高表示样本文件的送检优先级高,则动态引擎配置参数中的分析时长较送检优先级低的样本文件的分析时长更长,分析环境较送检优先级低的样本文件的分析环境更多。通过更长的分析时长及更多的分析环境可以增强对样本文件的检测,确定样本文件是否包含恶意文件;预先设置的配置策略或外部指令基于以上对分析时长和分析环境的配置进行设置。
进行综合评估之前,本发明实施例方法还包括:
接收样本文件的分析信息,并对各样本文件的分析信息进行区分保存。
可选的,对各样本文件的分析信息进行区分保存包括:
当接收的分析信息为新增样本文件的分析信息时,通过预设的文件标识保存新增样本文件的分析信息;
当接收的分析信息为已有样本文件的来自不同前端的分析信息时,以已有样本文件的文件标识保存分析信息;
当接收的分析信息出现异常或超时,删除分析信息和分析信息的相关记录。
可选的,对所有样本文件的进行排序具体包括:
基于文件标识,根据所有样本文件的综合评估的结果对样本文件进行排序。
本发明实施例方法还包括:
当样本文件的综合评估的数值小于预设的评估阈值时,将该样本文件从发往动态分析引擎的排序中删除;
综合评估数值的高低与送检优先级成正比。
需要说明的是,评估阈值的大小根据动态引擎设备的实时分析能力进行确定,如果动态引擎设备分析能力足以进行所有样本文件的分析时,则评估阈值可以设定为足够小,评估阈值的设定是为了对动态引擎设备无法满足分析实时性需求的样本文件进行删除,避免样本文件堆积。另外,如果综合评估高低与送检优先级高低成反比时,综合评估大于定义的新定义的评估阈值的样本文件进行从排序中的删除处理。
本发明实施例方法还包括:
排序的样本文件的数量大于预设的负载阈值时,按照发往动态分析引擎的排序,将排序在负载阈值之后的样本文件从排序中删除;
样本文件按照送检优先级由高到低的顺序进行排序。
需要说明的是,负载阈值的大小根据动态引擎设备的实时分析能力进行确定,负载阈值的设定是为了对动态引擎设备无法满足分析实时性需求的样本文件进行删除,避免样本文件堆积。
本发明实施例方法还包括:按照第一预设周期,对样本文件的排序中已完成动态分析的样本文件的相关信息进行处理。
需要说明的是,这里样本文件的相关信息一般是指保存样本文件综合评估值时,样本文件的文件标识、综合评估等数据库信息,进行处理可以是进行删除处理。第一预设周期根据内存大小、动态引擎设备的分析能力进行确定,内存越大,第一预设周期越大;动态引擎设备的分析能力越强,第一预设周期越小。具体设置可以根据本领域技术人员根据实际分析进行设置。
本发明实施例方法还包括:按照第二预设周期,对已完成动态分析的样本文件的分析结果进行清理。
需要说明的是,第二预设周期主要根据磁盘大小进行设置,一般的,磁盘越大,第二预设周期越大;第二预设周期大小的具体设置可以根据本领域技术人员根据实际分析进行确定。
本发明方法通过样本文件的分析信息对各样本文件进行综合评估,根据综合评估结果的排序进行动态分析,降低了低威胁性的样本文件对动态引擎设备的占用,提高了样本有效检测的效率。
图3为本发明实施例实现样本分析的装置的结构框图,如图3所示,包括:评估单元、确定单元及送检单元;其中,
评估单元用于,按照预设的评估策略对各样本文件对应的一个或一个以上分析信息进行综合评估;这里,样本文件为来自前端的样本文件;
前端包括:一个或一个以上静态引擎设备、和/或网页WEB端、和/或其他对样本文件进行分析信息输出的服务端。
评估单元具体用于,
为分析信息中的各分析参数设置相应的评估值;
根据设置的各分析参数的评估值对样本文件包含的各分析信息分别进行评估统计,
以各分析信息的评估统计结果确定各样本文件的综合评估;
分析参数包括:样本文件是否加壳、和/或样本文件是否为可信任厂商版本、和/或样本文件的文件类型、和/或样本文件为可执行文件时可执行文件熵是否正常、和/或样本文件为可执行文件时可执行文件载入地址是否正常。
评估单元具体用于,
为分析信息中的各分析参数设置相应的评估值;
根据设置的各分析参数的评估值对样本文件包含的各分析信息分别进行评估统计,
对各样本文件,预先设置样本信息各分析信息对应的评估统计相应的综合评估权重;
将样本文件的各分析信息的评估统计分别乘以各分析信息相应的综合评估权重后进行累加,以累加结果作为样本文件的综合评估。
确定单元用于,根据所有样本文件的综合评估的结果对样本文件进行排序,以确定各样本文件的送检优先级;
确定单元具体用于,
根据综合评估的数值大小确定各样本文件的优先级高低;
根据各样本文件的优先级高低,对样本文件按照优先级由高到低的顺序进行排序,以确定各样本文件的送检优先级。
确定单元具体用于,根据综合评估的数值大小确定各样本文件的优先级高低;
基于文件标识,根据各样本文件的优先级高低对样本文件按照优先级由高到低的顺序进行排序。
送检单元用于,根据各样本文件的排序发送样本文件到动态分析引擎进行动态分析。
本发明装置还包括生成配置单元用于,动态分析之前,根据各样本文件的送检优先级生成各样本文件的动态引擎配置参数并发往动态引擎设备,以使动态引擎设备根据动态引擎配置参数对各样本文件进行动态分析。
本发明实施例装置还包括接收保存单元,用于进行综合评估之前,接收样本文件的分析信息,并对各样本文件的分析信息进行区分保存。
接收保存单元具体用于,进行综合评估之前,
当接收的分析信息为新增样本文件的分析信息时,通过预设的文件标识保存新增样本文件的分析信息;
当接收的分析信息为已有样本文件的来自不同前端的分析信息时,以已有样本文件的文件标识保存分析信息;
当接收的分析信息出现异常或超时,删除分析信息和分析信息的相关记录。
本发明实施例装置还包括第一删除单元用于,
当样本文件的综合评估的数值小于预设的评估阈值时,将该样本文件从发往动态分析引擎的排序中删除;
综合评估数值的高低与送检优先级成正比。
本发明实施例装置还包括第二删除单元用于,
排序的样本文件的数量大于预设的负载阈值时,按照发往动态分析引擎的排序,将排序在负载阈值之后的样本文件从排序中删除;
样本文件按照送检优先级由高到低的顺序进行排序。
本发明实施例装置还包括第一周期清理单元,用于按照第一预设周期,对样本文件的排序中已完成动态分析的样本文件的相关信息进行处理。
本发明实施例装置还包括第二周期清理单元,用于按照第二预设周期,对已完成动态分析的样本文件的分析结果进行清理。
需要说明的是,本发明实施例装置可以独立存在,与动态引擎设备进行通信连接,也可以直接与动态分析引擎进行融合设置。
图4为本发明实施例实现样本分析的动态引擎设备的结构框图,如图4所示,包括:接收单元、配置单元和分析单元;其中,
接收单元用于,接收按照综合评估进行排序的样本文件;
配置单元用于,根据接收的外部指令或预先设置的配置策略进行各样本文件动态引擎配置参数的配置;
分析单元用于,根据配置的动态引擎配置参数进行各样本文件进行动态分析。
以下通过具体应用示例对本发明方法进行清楚详细的说明,应用示例仅用于陈述本发明,并不用于限定本发明方法的保护范围。
应用示例
本应用示例送检优先级根据威胁程度高低确定,并假设分析参数评估值高表示威胁程度高,相应的分析信息综合评估数值高时,威胁程度高;样本文件的综合评估数值低时,威胁程度低;
本应用示例进行综合评估计算时,根据分析信息中分析参数的种类多少设定各分析信息的综合评估权重,即分析信息中分析参数越多,综合评估权重数值越大;
图5为本发明应用示例的方法流程图,如图5所示,包括:
步骤500、接收样本文件的分析信息,并对各样本文件的分析信息进行区分保存。
可选的,对各样本文件的分析信息进行区分保存包括:
当接收的分析信息为新增样本文件的分析信息时,通过预设的文件标识保存新增样本文件的分析信息;
当接收的分析信息为已有样本文件的来自不同前端的分析信息时,以已有样本文件的文件标识保存分析信息;
当接收的分析信息出现异常或超时,删除分析信息和分析信息的相关记录。
本应用示例,样本文件为来自前端的样本文件;前端包括:一个或一个以上静态引擎设备、和/或网页WEB端、和/或其他对样本文件进行分析信息输出的服务端。
步骤501、对所有样本文件,按照预设的评估策略对各样本文件包含的一个或一个以上分析信息进行综合评估;
这里,预设的评估策略包括:
为分析信息中的各分析参数设置相应的评估值;
根据设置的各分析参数的评估值对样本文件包含的各分析信息分别进行评估统计;
对各样本文件,预先设置样本信息各分析信息对应的评估统计相应的综合评估权重;
将样本文件的各分析信息的评估统计分别乘以各分析信息相应的综合评估权重后进行累加,以累加结果作为样本文件的综合评估。
可选的,分析参数包括:样本文件是否加壳、和/或样本文件是否为可信任厂商版本、和/或样本文件的文件类型、和/或样本文件为可执行文件时可执行文件熵是否正常、和/或样本文件为可执行文件时可执行文件载入地址是否正常。
本应用示例设定:样本文件加壳时,威胁程度高,评估值为1;样本文件未加壳,威胁程度低,评估值为0;样本文件为可信任厂商版本,威胁程度低,设置评估值为0;样本文件不是可信任厂商版本,威胁程度高,设置评估值为1;样本文件为可执行文件时可执行文件熵正常,威胁程度低,设置评估值为0;样本文件为可执行文件时可执行文件熵不正常,威胁程度高,设置评估值为1;样本文件为可执行文件时可执行文件载入地址正常,威胁程度低,设置评估值为0;样本文件为可执行文件时可执行文件载入地址不正常,威胁程度高,设置评估值为1;应用示例中不同分析参数的评估值可以不同,例如、样本文件加壳时,标识威胁程度高,可以采用评估值为1表示;样本文件不是可信任厂商版本,威胁程度也为高,可以设置与样本文件加壳不一样的评估值表示,例如设置评估值为1.2。
步骤502、根据所有样本文件的综合评估的结果对样本文件进行排序;这里,通过综合评估的排序可以确定各样本文件的送检优先级;
本应用示例,综合评估数值高时表示威胁程度高,因此,按照综合评估数值由高到低排序是指是将样本文件按照威胁程度由高到低进行排序,相应的送检优先级也是由高到低进行排序;
本应用示例,基于文件标识,可以根据文件标识对样本文件的综合评估的数值大小进行排序。及通过数据库记录文件标识及评分,进行样本文件的排序。
步骤503、当样本文件的综合评估的数值小于预设的评估阈值时,将该样本文件从发往动态分析引擎的排序中删除;
本应用示例,评估阈值的大小根据动态引擎设备的实时分析能力进行确定,如果动态引擎设备分析能力足以进行所有样本文件的分析时,则评估阈值可以设定为足够小,评估阈值的设定是为了对动态引擎设备无法满足分析实时性需求的样本文件进行删除,避免样本文件堆积。另外,如果综合评分高低与威胁程度高低成反比时,综合评分大于定义的另一评估阈值的样本文件进行从排序中的删除处理。
步骤504、排序的样本文件的数量大于预设的负载阈值时,按照发往动态分析引擎的排序,将排序在负载阈值之后的样本文件从排序中删除。
这里,样本文件的排序按照威胁程度有大到小顺序进行,即样本文件按照送检优先级由高到低的顺序进行排序。
需要说明的是,负载阈值的大小根据动态引擎设备的实时分析能力进行确定,负载阈值的设定是为了对动态引擎设备无法满足分析实时性需求的样本文件进行删除,避免样本文件堆积。
步骤505、根据各样本文件的送检优先级生成各样本文件的动态引擎配置参数并发往动态引擎设备。
动态引擎配置参数包括:动态引擎设备对各样本文件的分析时长和分析环境。
步骤506、根据各样本文件的排序发送样本文件到动态分析引擎进行动态分析。
本应用示例方法还包括:
按照第一预设周期,对样本文件的排序中已完成动态引擎分析的样本文件的相关信息进行处理。
按照第二预设周期,对已完成动态引擎分析的样本文件的分析结果进行清理。
虽然本发明所揭露的实施方式如上,但所述的内容仅为便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属领域内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式及细节上进行任何的修改与变化,但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
Claims (29)
1.一种实现样本分析的方法,其特征在于,包括:对所有样本文件,
按照预设的评估策略对各样本文件对应的一个或一个以上分析信息进行综合评估;
根据所有样本文件的综合评估的结果对样本文件进行排序,以确定各样本文件的送检优先级;
根据各样本文件的排序发送样本文件到动态分析引擎进行动态分析。
2.根据权利要求1所述的方法,其特征在于,所述动态分析之前,该方法还包括:
根据各所述样本文件的送检优先级生成各所述样本文件的动态引擎配置参数并发往动态引擎设备,以使动态引擎设备根据所述动态引擎配置参数对各样本文件进行动态分析;或,
所述动态引擎设备接收外部指令,根据接收的外部指令进行各所述样本文件动态引擎配置参数的配置,并根据配置的所述动态引擎配置参数进行各样本文件进行动态引擎分析;或,
所述动态引擎设备按照预先设置的配置策略进行各所述样本文件动态引擎配置参数的配置,并根据配置的所述动态引擎配置参数进行各样本文件的动态分析。
3.根据权利要求1或2所述的方法,其特征在于,所述样本文件为来自前端的样本文件;
所述前端包括:一个或一个以上静态引擎设备、和/或网页WEB端、和/或其他对样本文件进行分析信息输出的服务端。
4.根据权利要求1所述的方法,其特征在于,所述预设的评估策略包括:
为所述分析信息中的各分析参数设置相应的评估值;
根据设置的各所述分析参数的评估值对所述样本文件包含的各分析信息分别进行评估统计;
以各所述分析信息的评估统计结果确定各样本文件的综合评估。
5.根据权利要求4所述的方法,其特征在于,所述分析参数包括:样本文件是否加壳、和/或样本文件是否为可信任厂商版本、和/或样本文件的文件类型、和/或样本文件为可执行文件时可执行文件熵是否正常、和/或样本文件为可执行文件时可执行文件载入地址是否正常。
6.根据权利要求4或5所述的方法,其特征在于,所述确定各样本文件的综合评估包括:
对各样本文件,预先设置样本信息各所述分析信息对应的评估统计相应的综合评估权重;
将所述样本文件的各分析信息的评估统计分别乘以各分析信息相应的所述综合评估权重后进行累加,以累加结果作为样本文件的所述综合评估。
7.根据权利要求6所述的方法,其特征在于,所述对样本文件进行排序包括:
根据所述综合评估的数值大小确定各所述样本文件的优先级高低;
根据各所述样本文件的优先级高低,对所述样本文件按照优先级由高到低的顺序进行排序。
8.根据权利要求1、2、4或5所述的方法,其特征在于,所述进行综合评估之前,该方法还包括:
接收所述样本文件的分析信息,并对各样本文件的分析信息进行区分保存。
9.根据权利要求8所述的方法,其特征在于,所述对各样本文件的分析信息进行区分保存包括:
当接收的所述分析信息为新增样本文件的分析信息时,通过预设的文件标识保存所述新增样本文件的分析信息;
当接收的所述分析信息为已有样本文件的来自不同前端的分析信息时,以已有样本文件的文件标识保存所述分析信息;
当接收的所述分析信息出现异常或超时,删除所述分析信息和所述分析信息的相关记录。
10.根据权利要求9所述的方法,其特征在于,所述对所有样本文件的进行排序具体包括:
基于所述文件标识,根据所有样本文件的综合评估的结果对所述样本文件进行排序。
11.根据权利要求1、2、4或5所述的方法,其特征在于,该方法还包括:
当样本文件的所述综合评估的数值小于预设的评估阈值时,将该样本文件从发往动态分析引擎的排序中删除;
所述综合评估数值的高低与所述送检优先级成正比。
12.根据权利要求1、2、4或5所述的方法,其特征在于,该方法还包括:
排序的所述样本文件的数量大于预设的负载阈值时,按照发往动态分析引擎的排序,将排序在负载阈值之后的样本文件从排序中删除;
所述样本文件按照送检优先级由高到低的顺序进行排序。
13.根据权利要求1、2、4或5所述的方法,其特征在于,该方法还包括:按照第一预设周期,对样本文件的排序中已完成所述动态分析的样本文件的相关信息进行处理。
14.根据权利要求1、2、4或5所述的方法,其特征在于,该方法还包括:按照第二预设周期,对已完成所述动态分析的所述样本文件的分析结果进行清理。
15.根据权利要求2所述的方法,其特征在于,所述动态引擎配置参数包括:所述动态引擎设备对各样本文件的分析时长和分析环境。
16.一种实现样本分析的装置,其特征在于,包括:评估单元、确定单元及送检单元;其中,
评估单元用于,按照预设的评估策略对各样本文件对应的一个或一个以上分析信息进行综合评估;
确定单元用于,根据所有样本文件的综合评估的结果对样本文件进行排序,以确定各样本文件的送检优先级;
送检单元用于,根据各样本文件的排序发送样本文件到动态分析引擎进行动态分析。
17.根据权利要求16所述的装置,其特征在于,该装置还包括生成配置单元用于,所述动态分析之前,根据各所述样本文件的送检优先级生成各所述样本文件的动态引擎配置参数并发往动态引擎设备,以使动态引擎设备根据所述动态引擎配置参数对各样本文件进行动态分析;
所述动态引擎配置参数包括:所述动态引擎设备对各样本文件的分析时长和分析环境。
18.根据权利要求16或17所述的装置,其特征在于,所述样本文件为来自前端的样本文件;
所述前端包括:一个或一个以上静态引擎设备、和/或网页WEB端、和/或其他对样本文件进行分析信息输出的服务端。
19.根据权利要求16所述的装置,其特征在于,所述评估单元具体用于,
为所述分析信息中的各分析参数设置相应的评估值;
根据设置的各所述分析参数的评估值对所述样本文件包含的各分析信息分别进行评估统计,
以各所述分析信息的评估统计结果确定各样本文件的综合评估;
所述分析参数包括:样本文件是否加壳、和/或样本文件是否为可信任厂商版本、和/或样本文件的文件类型、和/或样本文件为可执行文件时可执行文件熵是否正常、和/或样本文件为可执行文件时可执行文件载入地址是否正常。
20.根据权利要求19所述的装置,其特征在于,所述评估单元具体用于,
为所述分析信息中的各分析参数设置相应的评估值;
根据设置的各所述分析参数的评估值对所述样本文件包含的各分析信息分别进行评估统计,
对各样本文件,预先设置样本信息各所述分析信息对应的评估统计相应的综合评估权重;
将所述样本文件的各分析信息的评估统计分别乘以各分析信息相应的所述综合评估权重后进行累加,以累加结果作为样本文件的所述综合评估。
21.根据权利要求20所述的装置,其特征在于,所述确定单元具体用于,
根据所述综合评估的数值大小确定各所述样本文件的优先级高低;
根据各所述样本文件的优先级高低,对所述样本文件按照优先级由高到低的顺序进行排序,以确定各样本文件的送检优先级。
22.根据权利要求16、17、19或20所述的装置,其特征在于,该装置还包括接收保存单元,用于所述进行综合评估之前,接收所述样本文件的分析信息,并对各样本文件的分析信息进行区分保存。
23.根据权利要求22所述的装置,其特征在于,所述接收保存单元具体用于,所述进行综合评估之前,
当接收的所述分析信息为新增样本文件的分析信息时,通过预设的文件标识保存所述新增样本文件的分析信息;
当接收的所述分析信息为已有样本文件的来自不同前端的分析信息时,以已有样本文件的文件标识保存所述分析信息;
当接收的所述分析信息出现异常或超时,删除所述分析信息和所述分析信息的相关记录。
24.根据权利要求23所述的装置,其特征在于,所述确定单元具体用于,基于所述文件标识,根据所有样本文件的综合评估的结果对所述样本文件进行排序。
25.根据权利要求16、17、19或20所述的装置,其特征在于,该装置还包括第一删除单元用于,
当样本文件的所述综合评估的数值小于预设的评估阈值时,将该样本文件从发往动态分析引擎的排序中删除;
所述综合评估数值的高低与所述送检优先级成正比。
26.根据权利要求16、17、19或20所述的装置,其特征在于,该装置还包括第二删除单元用于,
排序的所述样本文件的数量大于预设的负载阈值时,按照发往动态分析引擎的排序,将排序在负载阈值之后的样本文件从排序中删除;
所述样本文件按照送检优先级由高到低的顺序进行排序。
27.根据权利要求16、17、19或20所述的装置,其特征在于,该装置还包括第一周期清理单元,用于按照第一预设周期,对样本文件的排序中已完成所述动态分析的样本文件的相关信息进行处理。
28.根据权利要求16、17、19或20所述的装置,其特征在于,该装置还包括第二周期清理单元,用于按照第二预设周期,对已完成所述动态分析的所述样本文件的分析结果进行清理。
29.一种实现样本分析的动态引擎设备,其特征在于,包括:接收单元、配置单元和分析单元;其中,
接收单元用于,接收按照综合评估进行排序的样本文件;
配置单元用于,根据接收的外部指令或预先设置的配置策略进行各所述样本文件动态引擎配置参数的配置;
分析单元用于,根据配置的所述动态引擎配置参数进行各样本文件进行动态分析。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201511027438.XA CN106934285A (zh) | 2015-12-31 | 2015-12-31 | 一种实现样本分析的方法、装置及动态引擎设备 |
| PCT/CN2016/102884 WO2017113948A1 (zh) | 2015-12-31 | 2016-10-21 | 一种实现样本分析的方法、装置及动态引擎设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201511027438.XA CN106934285A (zh) | 2015-12-31 | 2015-12-31 | 一种实现样本分析的方法、装置及动态引擎设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106934285A true CN106934285A (zh) | 2017-07-07 |
Family
ID=59224456
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201511027438.XA Withdrawn CN106934285A (zh) | 2015-12-31 | 2015-12-31 | 一种实现样本分析的方法、装置及动态引擎设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN106934285A (zh) |
| WO (1) | WO2017113948A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110391018A (zh) * | 2018-04-20 | 2019-10-29 | 豪夫迈·罗氏有限公司 | 分析测试结果的及时可用性 |
| CN111259451A (zh) * | 2020-01-23 | 2020-06-09 | 奇安信科技集团股份有限公司 | 文件安全等级鉴定方法及装置 |
| CN114386034A (zh) * | 2021-12-21 | 2022-04-22 | 中国电子科技集团公司第三十研究所 | 动态迭代的多引擎融合恶意代码检测方法、设备及介质 |
| CN115327065A (zh) * | 2022-10-17 | 2022-11-11 | 中大智能科技股份有限公司 | 一种水利水电工程样本检测方法及系统 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111385281B (zh) * | 2019-12-26 | 2022-04-22 | 中科信息安全共性技术国家工程研究中心有限公司 | 一种基于资源负载均衡的自动化漏洞挖掘系统及方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101833575A (zh) * | 2010-04-27 | 2010-09-15 | 南京邮电大学 | 一种网络病毒报告排序方法 |
| CN101894230A (zh) * | 2010-07-14 | 2010-11-24 | 国网电力科学研究院 | 一种基于静态和动态分析技术的主机系统安全评估方法 |
| CN102137115A (zh) * | 2011-04-22 | 2011-07-27 | 南京邮电大学 | 通信网恶意代码攻击效果评估方法 |
| CN103685150A (zh) * | 2012-09-03 | 2014-03-26 | 腾讯科技(深圳)有限公司 | 上传文件的方法和装置 |
| CN103825888A (zh) * | 2014-02-17 | 2014-05-28 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
| US20150096022A1 (en) * | 2013-09-30 | 2015-04-02 | Michael Vincent | Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103902883B (zh) * | 2013-09-24 | 2017-01-11 | 北京安天电子设备有限公司 | 一种基于驱动级程序的apt预防方法及系统 |
| US9769189B2 (en) * | 2014-02-21 | 2017-09-19 | Verisign, Inc. | Systems and methods for behavior-based automated malware analysis and classification |
-
2015
- 2015-12-31 CN CN201511027438.XA patent/CN106934285A/zh not_active Withdrawn
-
2016
- 2016-10-21 WO PCT/CN2016/102884 patent/WO2017113948A1/zh active Application Filing
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101833575A (zh) * | 2010-04-27 | 2010-09-15 | 南京邮电大学 | 一种网络病毒报告排序方法 |
| CN101894230A (zh) * | 2010-07-14 | 2010-11-24 | 国网电力科学研究院 | 一种基于静态和动态分析技术的主机系统安全评估方法 |
| CN102137115A (zh) * | 2011-04-22 | 2011-07-27 | 南京邮电大学 | 通信网恶意代码攻击效果评估方法 |
| CN103685150A (zh) * | 2012-09-03 | 2014-03-26 | 腾讯科技(深圳)有限公司 | 上传文件的方法和装置 |
| US20150096022A1 (en) * | 2013-09-30 | 2015-04-02 | Michael Vincent | Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses |
| CN103825888A (zh) * | 2014-02-17 | 2014-05-28 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110391018A (zh) * | 2018-04-20 | 2019-10-29 | 豪夫迈·罗氏有限公司 | 分析测试结果的及时可用性 |
| CN111259451A (zh) * | 2020-01-23 | 2020-06-09 | 奇安信科技集团股份有限公司 | 文件安全等级鉴定方法及装置 |
| CN114386034A (zh) * | 2021-12-21 | 2022-04-22 | 中国电子科技集团公司第三十研究所 | 动态迭代的多引擎融合恶意代码检测方法、设备及介质 |
| CN115327065A (zh) * | 2022-10-17 | 2022-11-11 | 中大智能科技股份有限公司 | 一种水利水电工程样本检测方法及系统 |
| CN115327065B (zh) * | 2022-10-17 | 2022-12-27 | 中大智能科技股份有限公司 | 一种水利水电工程样本检测方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2017113948A1 (zh) | 2017-07-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106934285A (zh) | 一种实现样本分析的方法、装置及动态引擎设备 | |
| US8935785B2 (en) | IP prioritization and scoring system for DDoS detection and mitigation | |
| Chae et al. | Feature selection for intrusion detection using NSL-KDD | |
| CN109873811A (zh) | 基于攻击ip画像的网络安全防护方法及其网络安全防护系统 | |
| EP2816773B1 (en) | Method for calculating and analysing risks and corresponding device | |
| JP6574332B2 (ja) | データ分析システム | |
| US20120124666A1 (en) | Method for detecting and preventing a ddos attack using cloud computing, and server | |
| CN108289088A (zh) | 基于业务模型的异常流量检测系统及方法 | |
| Bhushan et al. | Hypothesis test for low-rate DDoS attack detection in cloud computing environment | |
| CN108696543B (zh) | 基于深度森林的分布式反射拒绝服务攻击检测、防御方法 | |
| US20090013407A1 (en) | Intrusion detection system/intrusion prevention system with enhanced performance | |
| CN108416665B (zh) | 数据交互方法、装置、计算机设备和存储介质 | |
| CN111786950A (zh) | 基于态势感知的网络安全监控方法、装置、设备及介质 | |
| CN106599688A (zh) | 一种基于应用类别的安卓恶意软件检测方法 | |
| CN107682341A (zh) | Cc攻击的防护方法及装置 | |
| CN106611120A (zh) | 一种风险防控系统的评估方法及装置 | |
| CN103067218A (zh) | 一种高速网络数据包内容分析装置 | |
| CN107181726A (zh) | 网络威胁事件评估方法及装置 | |
| CN110336835A (zh) | 恶意行为的检测方法、用户设备、存储介质及装置 | |
| Abbasi et al. | Machine learning-based EDoS attack detection technique using execution trace analysis | |
| CN108183884B (zh) | 一种网络攻击判定方法及装置 | |
| CN107426132A (zh) | 网络攻击的检测方法和装置 | |
| CN112702321B (zh) | 分布式交易限流方法、装置、设备及存储介质 | |
| CN116938600B (zh) | 威胁事件的分析方法、电子设备及存储介质 | |
| Liu et al. | A clusterized firewall framework for cloud computing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20170707 |