CN107154914B - 样本文件分析方法、装置及系统 - Google Patents
样本文件分析方法、装置及系统 Download PDFInfo
- Publication number
- CN107154914B CN107154914B CN201610119313.8A CN201610119313A CN107154914B CN 107154914 B CN107154914 B CN 107154914B CN 201610119313 A CN201610119313 A CN 201610119313A CN 107154914 B CN107154914 B CN 107154914B
- Authority
- CN
- China
- Prior art keywords
- analysis
- sample
- file
- sample file
- files
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种样本文件分析方法、装置及系统,该方法包括:获取样本文件的环境参数,根据环境参数确定样本文件的用户身份,根据用户身份,配置样本文件的分析策略规则;根据分析策略规则分析样本文件。通过本发明的实施,可以区分样本文件中的重点检测对象,针对重点检测对象尽可能的充分触发待测文件的各种行为进行重点分析,达到重点对象重点分析、以提高重点检测对象检测率的目的,对应的,误报率也得到了明显的控制降低。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种样本文件分析方法、装置及系统。
背景技术
极光攻击、震网攻击、夜龙攻击等重大网络安全事件使得一种具有攻击手法高级、持续时间长、攻击目标明确等特征的攻击类型出现在公众视野中,国际上称之为APT(Advanced Persistent Threat,高级持续性威胁)攻击;这类攻击不仅使用传统的病毒、木马作为攻击手段,而是以邮件等方式进行“先导攻击”,向用户发送精心构造使用0Day漏洞的文件,一旦用户打开相关文件,0Day漏洞就会被触发,攻击代码注入到用户系统,并进行后续下载其它病毒、木马等操作以利长期潜伏作业,而传统防火墙、企业反病毒软件等对此类无特征签名的恶意文件或代码的检测和防护能力非常有限。
APT攻击检测防御技术已成为新一代网络安全的研究热点,其中所采用的检测方式一般分为静态引擎分析、动态引擎分析以及两者合用。为了提高样本的检测有效性,通常都采用先静态引擎分析再动态引擎分析的方法,此种方法首先对样本进行必要的静态检测,一旦发现有异常就可进行防护,如果没有发现异常则进行动态检测,利用两种技术的共同检测来确认样本的威胁程度,从而达到提高样本检测的有效性。
图1为现有样本文件分析流向示意图,如图1所示,进/出网络的网络流量通过旁路镜像方式转换为镜像流量后导出到样本采集设备,样本采集设备对镜像流量进行解析并提取获得样本文件,将提取的样本文件发往静态引擎设备后,由静态引擎设备根据自身的特征库,对每个样本文件进行匹配,对检测出异常的样本文件输出静态分析报告;未检测出异常的样本文件发往动态引擎设备进行分析。动态引擎设备接收到样本文件后,利用独立且受保护的虚拟分析系统模拟实际环境和用户行为对样本文件进行操作,如果样本文件为恶意文件,则可通过恶意文件的操作进行漏洞利用、文件释放、系统修改等攻击行为的识别,实现APT攻击的检测。
如图1所示的传统文件分析引擎对待测样本的处理方式是统一的、无差别的,比如所有的样本顺序进入顺序输出,启动一个虚拟镜像环境,运行2分钟,无人工其他操作,之后输出检测结果,所有样本都采用同一的分析流程。在现有技术条件下,存在漏报与误报的可能,针对待测样本所处的不同环境,比如:待测样本来源自公司高管邮件对比来自普通员工的;来源自管理财务和人力的员工对比来自测试和开发的;来源自公司外部向内部发送的邮件对比内部向外部发送的,不同的环境下误报与漏报可能造成的危害程度差别巨大。
因此,如何提供一种可以解决现有传统文件分析引擎针对所有样本文件采用相同分析策略的样本文件分析方法,是本领域技术人员亟待解决的技术问题。
发明内容
本发明提供了一种样本文件分析方法、装置及系统,以解决现有传统文件分析引擎针对所有样本文件采用相同分析策略的问题。
本发明提供了一种样本文件分析方法,其包括:
获取样本文件的环境参数,根据环境参数确定样本文件的用户身份,根据用户身份,配置样本文件的分析策略规则;
根据分析策略规则分析样本文件。
进一步的,分析策略规则包括分析优先级和分析配置参数,分析配置参数包括:样本分析时间、分析镜像数量及是否人工操作;根据分析策略规则分析样本文件包括:根据样本文件的分析优先级对样本文件进行优先级排序,并依次分析,根据样本文件的分析配置参数启动分析流程。
进一步的,根据样本文件的分析配置参数启动分析流程包括:针对不同的样本文件,根据各样本文件的分析配置参数启动不同的分析流程。
进一步的,根据环境参数确定样本文件的用户身份包括:调用数据库内存储的环境参数与用户身份的对应关系,根据对应关系,确定与环境参数匹配的用户身份。
进一步的,环境参数包括:文件往来方向的内网区或外网区、源IP地址和目标IP地址、发送方与接收方邮箱地址中的至少一个。
进一步的,对应关系包括:内网区或外网区与用户的对应关系、IP地址与用户的对应关系、邮箱地址与用户的对应关系。
本发明提供了一种样本文件分析装置,其包括:
策略规划模块,用于获取样本文件的环境参数,根据环境参数确定样本文件的用户身份,根据用户身份,配置样本文件的分析策略规则;
样本分析模块,用于根据分析策略规则分析样本文件。
进一步的,分析策略规则包括分析优先级和分析配置参数,分析配置参数包括:样本分析时间、分析镜像数量及是否人工操作;样本分析模块包括文件调度单元及文件分析引擎,文件调度单元用于根据样本文件的分析优先级对样本文件进行优先级排序,文件分析引擎用于根据样本文件的分析配置参数启动分析流程。
进一步的,文件分析引擎用于针对不同的样本文件,根据各样本文件的分析配置参数启动不同的分析流程。
进一步的,策略规划模块用于调用数据库内存储的环境参数与用户身份的对应关系,根据对应关系,确定与环境参数匹配的用户身份。
进一步的,环境参数包括:文件往来方向的内网区或外网区、源IP地址和目标IP地址、发送方与接收方邮箱地址中的至少一个。
进一步的,对应关系包括:内网区或外网区与用户的对应关系、IP地址与用户的对应关系、邮箱地址与用户的对应关系。
本发明提供了一种样本文件分析系统,其包括本发明提供的样本文件分析装置。
本发明的有益效果:
本发明提供了一种样本文件分析方法,在接收样本文件时,同时获取各样本文件的环境参数,根据各样本文件的环境参数及数据库中环境参数与用户身份的对应关系,确定样本文件对应的用户,并根据用户不同配置不同的分析策略规则,根据各样本文件的分析策略规则进行分析,这样就可以区分样本文件中的重点检测对象,针对重点检测对象尽可能的充分触发待测文件的各种行为,进行重点分析,达到重点对象重点分析、以提高重点检测对象检测率的目的,对应的,误报率也得到了明显的控制降低,解决了现有传统文件分析引擎针对所有样本文件采用相同分析策略、且分析引擎资源有限,导致的重点检测对象的漏报与误报的问题。
附图说明
图1为现有样本文件分析流向示意图;
图2为本发明第一实施例提供的样本文件分析装置的结构示意图;
图3为本发明第一实施例提供的样本文件分析方法的流程图;
图4为本发明第二实施例提供的样本文件分析装置的结构示意图;
图5为本发明第二实施例提供的样本文件分析方法的流程图;
图6为本发明第三实施例提供的样本文件分析方法的流程图;
图7为本发明第四实施例提供的样本文件分析方法的流程图。
具体实施方式
现通过具体实施方式结合附图的方式对本发明做出进一步的诠释说明。
第一实施例:
图2为本发明第一实施例提供的样本文件分析装置的结构示意图,由图2可知,在本实施例中,本发明提供的样本文件分析装置2包括:
策略规划模块21,用于获取样本文件的环境参数,根据环境参数确定样本文件的用户身份,根据用户身份,配置样本文件的分析策略规则;
样本分析模块22,用于根据分析策略规则分析样本文件。
在一些实施例中,上述实施例中的分析策略规则包括分析优先级和分析配置参数,分析配置参数包括:样本分析时间、分析镜像数量及是否人工操作;样本分析模块22包括文件调度单元及文件分析引擎,文件调度单元用于根据样本文件的分析优先级对样本文件进行优先级排序,文件分析引擎用于根据样本文件的分析配置参数启动分析流程。
在一些实施例中,上述实施例中的文件分析引擎用于针对不同的样本文件,根据各样本文件的分析配置参数启动不同的分析流程。
在一些实施例中,上述实施例中的策略规划模块21用于调用数据库内存储的环境参数与用户身份的对应关系,根据对应关系,确定与环境参数匹配的用户身份。
在一些实施例中,上述实施例中的环境参数包括:文件往来方向的内网区或外网区、源IP地址和目标IP地址、发送方与接收方邮箱地址中的至少一个。
在一些实施例中,上述实施例中的对应关系包括:内网区或外网区与用户的对应关系、IP地址与用户的对应关系、邮箱地址与用户的对应关系。
对应的,本发明提供了一种样本文件分析系统,其包括本发明提供的样本文件分析装置2。
图3为本发明第一实施例提供的样本文件分析方法的流程图,由图3可知,在本实施例中,本发明提供的样本文件分析方法包括以下步骤:
S301:获取样本文件的环境参数,根据环境参数确定样本文件的用户身份,根据用户身份,配置样本文件的分析策略规则;
S302:根据分析策略规则分析样本文件。
在一些实施例中,上述实施例中的分析策略规则包括分析优先级和分析配置参数,分析配置参数包括:样本分析时间、分析镜像数量及是否人工操作;对应的,根据分析策略分析样本文件包括:根据样本文件的分析优先级对样本文件进行优先级排序,根据样本文件的分析配置参数启动分析流程。
在一些实施例中,上述实施例中的根据样本文件的分析配置参数启动分析流程包括:针对不同的样本文件,根据各样本文件的分析配置参数启动不同的分析流程。
在一些实施例中,上述实施例中的根据环境参数确定样本文件的用户身份包括:调用数据库内存储的环境参数与用户身份的对应关系,根据对应关系,确定与环境参数匹配的用户身份。
在一些实施例中,上述实施例中的环境参数包括:文件往来方向的内网区或外网区、源IP地址和目标IP地址、发送方与接收方邮箱地址中的至少一个。
在一些实施例中,上述实施例中的对应关系包括:内网区或外网区与用户的对应关系、IP地址与用户的对应关系、邮箱地址与用户的对应关系。
现结合具体应用场景对本发明做进一步的诠释说明。
第二实施例:
针对现有技术条件下恶意文件漏报与误报可能造成的危害程度差别巨大这一问题,提出了一种在平衡文件分析引擎资源消耗的前提下,实现差别式的文件分析与调度策略,针对重点对象样本优先送入分析引擎,增加其虚拟镜像环境个数,增加每个镜像的运行时间,并增加人工操作等,以保证文件行为的充分触发,有效提高了需要重点检测对象的检测率,同时其误报率也得到了明显的降低。
为了解决上述技术问题,本发明提供一种样本文件分析装置,能够提高重点检测对象的检测率,同时降低其误报率。如图4所示,样本文件分析装置包括:信息采集单元41负责还原网络流量并采集待测样本文件的各种通信参数,并和待测文件一起送入规则策略单元;规则策略单元42依据接收的信息,查询数据库单元43预先配置的信息,获得文件所属的通信参数与员工角色、职务等的对应关系,综合制定差别式的文件分析处理规则,包括样本优先级信息并生成相应的差别式的配置参数,并和文件一起送入文件调度单元44;文件调度单元44中根据传入的样本优先级信息将样本进行排序,并按优先级高低顺序将文件与配置参数一起传入文件分析引擎45;文件分析引擎根据传入的配置参数的不同做差别式的文件分析处理,以保证重点检测对象文件行为的充分触发。
具体的,信息采集单元41采集的通信参数包括但不限于ip源地址、发送与接收者邮箱地址、文件往来方向等。
具体的,数据库单元43预先配置的信息包括但不限于ip地址与员工角色、职务对应信息,邮箱地址与员工角色、职务对应信息,ip地址公司内外网区分等。
具体的,规则策略单元42生成的样本优先级信息和差别式的配置参数。其中样本优先级信息用于文件调度单元44的具体样本排序操作;差别式的配置参数用于文件分析引擎45启动不同的分析流程。
具体的,文件分析引擎45差别式文件处理,根据传入的配置参数的不同,启动不同的分析流程,包括但不限于增加重点检测对象的检测时间、增加运行环境镜像个数以及增加人工操作等。
图5为第二实施例的流程图,如图5可知,在本实施例中,本发明提供的样本文件分析方法包括如下步骤:
S501,对导入的网络流量进行文件还原和通信参数采集,采集的信息可以分为多种,包括但不限于ip源地址与目的地址、发送与接收者邮箱地址、文件往来方向等。
S502,查询预设置的数据库(包括但不限于ip地址与员工角色、职务对应信息,邮箱地址与员工角色、职务对应信息,ip地址公司内外网区分等),获得文件所属的通信参数与员工角色、职务等的对应关系。
S503,根据文件所属的对应关系制定差别式的文件分析规则策略,并生成相应的差别式的配置参数。具体的,当采集的邮件所属角色为公司高管,优先级别就置为最高的4(最高4,最低1),配置参数就置为时间time=8(分钟),运行镜像个数count=4,人工操作flag=1(值为1表示需要人工操作,0表示不需要人工操作);当采集的邮件所属角色为普通员工,优先级别就置为最低的1,配置参数就置为时间time=2(分钟),运行镜像个数count=1,人工操作flag=0。当采集的邮件所属职务为财务、资产类管理,优先级别就置为3,配置参数就置为时间time=6(分钟),镜像个数count=3,人工操作flag=1;当采集的邮件所属职务为开发、测试类,优先级别就置为1,配置参数就置为时间time=2(分钟),镜像个数count=1,人工操作flag=0。当采集的邮件所属环境为公司外部向内部发送的,优先级别就置为2,配置参数就置为时间time=4(分钟),镜像个数count=2,人工操作flag=0;当采集的邮件所属环境为公司内部向外部发送的,优先级别就置为1,配置参数就置为时间time=2(分钟),镜像个数count=1,人工操作flag=0。取各种情况下输出优先级最高的情况作为最终的分析策略和配置参数。
S504,根据分析策略将待测文件按优先级高低进行排列,依次按优先级高低顺序将待测样本和对应的配置参数送入分析引擎进行文件分析。
S505,文件分析引擎根据传入的配置参数,启动差别式的文件分析流程。比如接收参数为time=8,count=4,flag=1时,分析引擎同时启动4个不同的环境镜像,每个分析时间为8分钟,并增加人工操作,以充分触发待测样本文件的各种行为,生成更加完整的样本文件行为日志报告,以达到提高重点检测对象检测率的目的。
通过本实施例的实例,提高了重点检测对象文件的检测率,同时降低其误报率。
现结合2个运用场景对本发明做进一步的诠释说明。
第三实施例:
图6为本发明第三实施例提供的样本文件分析方法的流程图,如图6可知,在本实施例中,本发明提供的样本文件分析方法包括:
S601,信息采集单元通过对网络流量还原和信息采集,将样本文件和各种通信参数发送给规则策略单元。
S602,在数据库单元做查询操作,查询预置的数据库(包括但不限于ip地址与员工角色、职务对应信息,邮箱地址与员工角色、职务对应信息,ip地址公司内外网区分等),得出文件所属通信参数与员工角色、职务等的对应关系。
S603,规则策略单元根据样本文件所对应的员工角色、职务关系,制定文件分析规则策略优先级。
S604,规则策略单元生成对应的配置参数。
具体的,当采集的邮件所属角色为公司高管,优先级别就置为最高的4(最高4,最低1),配置参数就置为时间time=8(分钟),运行镜像个数count=4,人工操作flag=1(值为1表示需要人工操作,0表示不需要人工操作);当采集的邮件所属角色为普通员工,优先级别就置为最低的1,配置参数就置为时间time=2(分钟),运行镜像个数count=1,人工操作flag=0。当采集的邮件所属职务为财务、资产类管理,优先级别就置为3,配置参数就置为时间time=6(分钟),镜像个数count=3,人工操作flag=1;当采集的邮件所属职务为开发、测试类,优先级别就置为1,配置参数就置为时间time=2(分钟),镜像个数count=1,人工操作flag=0。当采集的邮件所属环境为公司外部向内部发送的,优先级别就置为2,配置参数就置为时间time=4(分钟),镜像个数count=2,人工操作flag=0;当采集的邮件所属环境为公司内部向外部发送的,优先级别就置为1,配置参数就置为时间time=2(分钟),镜像个数count=1,人工操作flag=0。取各种情况下输出优先级最高的情况作为最终的分析策略和配置参数。
S605,规则策略单元将样本文件、策略优先级和对应的配置参数发送给文件调度单元。
S606,文件调度单元接收样本文件、策略优先级和对应的配置参数,并根据策略优先级将样本文件排序。
S607,文件调度单元按优先级高低顺序依次将样本文件和配置参数送往分析引擎。
S608,文件分析引擎接收传入的样本文件和配置参数。
S609,文件分析引擎根据配置参数启动不同的分析流程,包括镜像个数、分析时间、人工操作等。
S610,输出文件检测报告,分析结束。
第四实施例:
图7为本发明第四实施例提供的样本文件分析方法的流程图,如图7可知,在本实施例中,本发明提供的样本文件分析方法包括:
S701,信息采集单元对网络流量进行信息采集,将样本文件对应的各种通信参数发送给规则策略单元。
S702,信息采集单元对网络流量进行流量还原得到待测样本文件,并将样本文件发送到文件调度单元。
S703,在数据库单元做查询操作,查询预置的数据库(包括但不限于ip地址与员工角色、职务对应信息,邮箱地址与员工角色、职务对应信息,ip地址公司内外网区分等),得出文件所属通信参数与员工角色、职务等的对应关系。
S704,规则策略单元根据样本文件所对应的员工角色、职务关系,制定文件分析规则策略优先级。
S705,规则策略单元生成对应的配置参数。
具体的,当采集的邮件所属角色为公司高管,优先级别就置为最高的4(最高4,最低1),配置参数就置为时间time=8(分钟),运行镜像个数count=4,人工操作flag=1(值为1表示需要人工操作,0表示不需要人工操作);当采集的邮件所属角色为普通员工,优先级别就置为最低的1,配置参数就置为时间time=2(分钟),运行镜像个数count=1,人工操作flag=0。当采集的邮件所属职务为财务、资产类管理,优先级别就置为3,配置参数就置为时间time=6(分钟),镜像个数count=3,人工操作flag=1;当采集的邮件所属职务为开发、测试类,优先级别就置为1,配置参数就置为时间time=2(分钟),镜像个数count=1,人工操作flag=0。当采集的邮件所属环境为公司外部向内部发送的,优先级别就置为2,配置参数就置为时间time=4(分钟),镜像个数count=2,人工操作flag=0;当采集的邮件所属环境为公司内部向外部发送的,优先级别就置为1,配置参数就置为时间time=2(分钟),镜像个数count=1,人工操作flag=0。取各种情况下输出优先级最高的情况作为最终的分析策略和配置参数。
S706,规则策略单元将文件策略优先级和对应的配置参数发送给文件调度单元。
S707,文件调度单元接收信息采集单元传入的样本文件,接收规则策略单元传入的文件策略优先级和对应的配置参数,最后根据策略优先级将样本文件排序。
S708,文件调度单元按优先级高低顺序依次将样本文件和配置参数送往分析引擎。
S709,文件分析引擎接收传入的样本文件和配置参数。
S710,文件分析引擎根据配置参数启动不同的分析流程,包括镜像个数、分析时间、人工操作等。
S711,输出文件检测报告,分析结束。
综上可知,通过本发明的实施,至少存在以下有益效果:
本发明提供了一种样本文件分析方法,在接收样本文件时,同时获取各样本文件的环境参数,根据各样本文件的环境参数及预先配置的环境参与与用户身份的对应关系,确定样本文件对应的用户,并根据用户不同配置不同的分析策略规则,根据各样本文件的分析策略规则进行分析,这样就可以区分样本文件中的重点检测对象,针对重点检测对象尽可能的充分触发待测文件的各种行为,进行重点分析,达到重点对象重点分析、以提高重点检测对象检测率的目的,对应的,误报率也得到了明显的控制降低,解决了现有传统文件分析引擎针对所有样本文件采用相同分析策略、且分析引擎资源有限,导致的重点检测对象的漏报与误报的问题。
显然,本领域的技术人员应该明白,上述本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储介质(ROM/RAM、磁碟、光盘)中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。所以,本发明不限制于任何特定的硬件和软件结合。
以上仅是本发明的具体实施方式而已,并非对本发明做任何形式上的限制,凡是依据本发明的技术实质对以上实施方式所做的任意简单修改、等同变化、结合或修饰,均仍属于本发明技术方案的保护范围。
Claims (11)
1.一种样本文件分析方法,其特征在于,包括:
获取样本文件的环境参数,根据所述环境参数确定所述样本文件的用户身份,根据所述用户身份,配置所述样本文件的分析策略规则;所述分析策略规则包括分析优先级和分析配置参数,所述分析配置参数包括:样本分析时间、分析镜像数量及是否人工操作;
根据所述样本文件的分析优先级对样本文件进行优先级排序,根据样本文件的分析配置参数启动分析流程。
2.如权利要求1所述的样本文件分析方法,其特征在于,所述根据样本文件的分析配置参数启动分析流程包括:针对不同的样本文件,根据各样本文件的分析配置参数启动不同的分析流程。
3.如权利要求1至2任一项所述的样本文件分析方法,其特征在于,所述根据所述环境参数确定所述样本文件的用户身份包括:调用数据库内存储的环境参数与用户身份的对应关系,根据所述对应关系,确定与所述环境参数匹配的用户身份。
4.如权利要求3所述的样本文件分析方法,其特征在于,所述环境参数包括:文件往来方向的内网区或外网区、源IP地址和目标IP地址、发送方与接收方邮箱地址中的至少一个。
5.如权利要求4所述的样本文件分析方法,其特征在于,所述对应关系包括:内网区或外网区与用户的对应关系、IP地址与用户的对应关系、邮箱地址与用户的对应关系。
6.一种样本文件分析装置,其特征在于,包括:
策略规划模块,用于获取所述样本文件的环境参数,根据所述环境参数确定所述样本文件的用户身份,根据所述用户身份,配置所述样本文件的分析策略规则;所述分析策略规则包括分析优先级和分析配置参数,所述分析配置参数包括:样本分析时间、分析镜像数量及是否人工操作;
样本分析模块,所述样本分析模块包括文件调度单元及文件分析引擎,所述文件调度单元用于根据所述样本文件的分析优先级对样本文件进行优先级排序,所述文件分析引擎用于根据样本文件的分析配置参数启动分析流程。
7.如权利要求6所述的样本文件分析装置,其特征在于,所述文件分析引擎用于针对不同的样本文件,根据各样本文件的分析配置参数启动不同的分析流程。
8.如权利要求6至7任一项所述的样本文件分析装置,其特征在于,所述策略规划模块用于调用数据库内存储的环境参数与用户身份的对应关系,根据所述对应关系,确定与所述环境参数匹配的用户身份。
9.如权利要求8所述的样本文件分析装置,其特征在于,所述环境参数包括:文件往来方向的内网区或外网区、源IP地址和目标IP地址、发送方与接收方邮箱地址中的至少一个。
10.如权利要求9所述的样本文件分析装置,其特征在于,所述对应关系包括:内网区或外网区与用户的对应关系、IP地址与用户的对应关系、邮箱地址与用户的对应关系。
11.一种样本文件分析系统,其特征在于,包括如权利要求6至10任一项所述的样本文件分析装置。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610119313.8A CN107154914B (zh) | 2016-03-02 | 2016-03-02 | 样本文件分析方法、装置及系统 |
| PCT/CN2017/073931 WO2017148280A1 (zh) | 2016-03-02 | 2017-02-17 | 样本文件分析方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610119313.8A CN107154914B (zh) | 2016-03-02 | 2016-03-02 | 样本文件分析方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107154914A CN107154914A (zh) | 2017-09-12 |
| CN107154914B true CN107154914B (zh) | 2020-12-04 |
Family
ID=59743485
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610119313.8A Active CN107154914B (zh) | 2016-03-02 | 2016-03-02 | 样本文件分析方法、装置及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN107154914B (zh) |
| WO (1) | WO2017148280A1 (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101431449A (zh) * | 2008-11-04 | 2009-05-13 | 中国科学院计算技术研究所 | 一种网络流量清洗系统 |
| CN103825888A (zh) * | 2014-02-17 | 2014-05-28 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
| CN104253798A (zh) * | 2013-06-27 | 2014-12-31 | 中兴通讯股份有限公司 | 一种网络安全监控方法和系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8925082B2 (en) * | 2012-08-22 | 2014-12-30 | International Business Machines Corporation | Cooperative intrusion detection ecosystem for IP reputation-based security |
-
2016
- 2016-03-02 CN CN201610119313.8A patent/CN107154914B/zh active Active
-
2017
- 2017-02-17 WO PCT/CN2017/073931 patent/WO2017148280A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101431449A (zh) * | 2008-11-04 | 2009-05-13 | 中国科学院计算技术研究所 | 一种网络流量清洗系统 |
| CN104253798A (zh) * | 2013-06-27 | 2014-12-31 | 中兴通讯股份有限公司 | 一种网络安全监控方法和系统 |
| CN103825888A (zh) * | 2014-02-17 | 2014-05-28 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107154914A (zh) | 2017-09-12 |
| WO2017148280A1 (zh) | 2017-09-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10218740B1 (en) | Fuzzy hash of behavioral results | |
| US10467411B1 (en) | System and method for generating a malware identifier | |
| US9106692B2 (en) | System and method for advanced malware analysis | |
| CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
| US20130312092A1 (en) | System and method for forensic cyber adversary profiling, attribution and attack identification | |
| Schindler | Anomaly detection in log data using graph databases and machine learning to defend advanced persistent threats | |
| CN110519150B (zh) | 邮件检测方法、装置、设备、系统及计算机可读存储介质 | |
| CN106790313A (zh) | 入侵防御方法及装置 | |
| CN111510463B (zh) | 异常行为识别系统 | |
| CN110210213A (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
| CN110149318B (zh) | 邮件元数据的处理方法及装置、存储介质、电子装置 | |
| US20150317476A1 (en) | Distributed Pattern Discovery | |
| CN111859374B (zh) | 社会工程学攻击事件的检测方法、装置以及系统 | |
| Roy et al. | Applicability of rough set technique for data investigation and optimization of intrusion detection system | |
| Buchyk et al. | Devising a method of protection against zero-day attacks based on an analytical model of changing the state of the network sandbox | |
| CN110912887B (zh) | 一种基于Bro的APT监测系统和方法 | |
| WO2018019010A1 (zh) | 动态行为分析方法、装置、系统及设备 | |
| US20190190930A1 (en) | Method and System For Detecting Movement of Malware and Other Potential Threats | |
| CN113098852B (zh) | 一种日志处理方法及装置 | |
| JPWO2017217247A1 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| CN108040075B (zh) | 一种apt攻击检测系统 | |
| CN107766737B (zh) | 一种数据库审计方法 | |
| CN117195168A (zh) | 异常访问识别方法以及装置 | |
| CN110224975B (zh) | Apt信息的确定方法及装置、存储介质、电子装置 | |
| CN107154914B (zh) | 样本文件分析方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |