CN107659540B - 动态行为分析方法、装置、系统及设备 - Google Patents
动态行为分析方法、装置、系统及设备 Download PDFInfo
- Publication number
- CN107659540B CN107659540B CN201610596328.3A CN201610596328A CN107659540B CN 107659540 B CN107659540 B CN 107659540B CN 201610596328 A CN201610596328 A CN 201610596328A CN 107659540 B CN107659540 B CN 107659540B
- Authority
- CN
- China
- Prior art keywords
- information
- environment
- sample
- user equipment
- sample file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 177
- 230000006399 behavior Effects 0.000 claims abstract description 155
- 238000000034 method Methods 0.000 claims abstract description 43
- 230000007613 environmental effect Effects 0.000 claims description 18
- 238000012163 sequencing technique Methods 0.000 claims description 15
- 230000008569 process Effects 0.000 claims description 13
- 230000005540 biological transmission Effects 0.000 claims description 11
- 238000004891 communication Methods 0.000 claims description 5
- 230000010365 information processing Effects 0.000 claims description 2
- 238000005516 engineering process Methods 0.000 abstract description 12
- 238000001514 detection method Methods 0.000 abstract description 9
- 238000010586 diagram Methods 0.000 description 26
- 230000006870 function Effects 0.000 description 12
- 230000032683 aging Effects 0.000 description 8
- 230000011664 signaling Effects 0.000 description 5
- 238000012217 deletion Methods 0.000 description 4
- 230000037430 deletion Effects 0.000 description 4
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 244000035744 Hura crepitans Species 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 239000005441 aurora Substances 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 230000005284 excitation Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000002513 implantation Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
- Automatic Analysis And Handling Materials Therefor (AREA)
Abstract
本发明提供了一种动态行为分析方法、装置、系统及设备,其中,该方法包括:采集样本文件并获取所述样本文件对应的环境信息;根据所述环境信息配置或者选择匹配的镜像环境;在所述镜像环境中对所述样本文件进行动态行为分析。通过本发明,解决了相关技术中的动态行为分析技术可能无法充分激发样本的恶意行为的问题,能够在检测时将样本的恶意行为充分激发,防止了由于检测环境与实际环境不同而导致的漏报情况的出现,克服了安全隐患,提升了用户网络的安全性。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种动态行为分析方法、装置、系统及设备。
背景技术
极光攻击、震网攻击、夜龙攻击、RSA令牌种子窃取等重大网络安全事件使得一种具有攻击手法高级、持续时间长、攻击目标明确等特征的攻击类型出现在公众视野中,国际上称之为APT(Advanced Persistent Threat,高级持续性威胁)攻击。这类攻击不仅使用传统的病毒、木马作为攻击手段,更以邮件等社会工程学方式进行“先导攻击”,向用户发送精心构造使用0Day漏洞的文件。一旦用户打开相关文件,漏洞就会被触发,攻击代码注入到用户系统,并进行后续下载其它病毒、木马等操作以利长期潜伏作业。而传统防火墙、企业反病毒软件等对此类无特征签名的恶意文件或代码的检测和防护能力非常有限。
APT攻击检测防御技术已成为新一代网络安全的研究热点,其中包括两项技术难点:一是如何快速检测利用未知漏洞的攻击,二是如何准确分析攻击的漏洞利用原理。对于如何快速检测利用未知漏洞的攻击,国内外对此展开了一系列研究,提出了多种方法,其中具有代表性的是基于文件或样本的动态行为分析技术。此种技术主要针对APT攻击过程中的恶意代码植入过程,通过沙箱、虚拟机等可控环境动态分析进入受保护系统的可疑样本文件的动态行为,识别恶意行为和攻击代码,阻止恶意代码植入,防止后续破坏行为的发生。此种技术能够在攻击发生前进行检测和防护,从而避免受保护系统受到各种网络攻击的影响。
图1是根据相关技术的动态行为分析技术在实际场景的应用示意图,如图1所示,用户网络的流量通过旁路镜像方式导出到样本采集设备,样本采集设备实时分析进/出网络的数据流量,解析并提取网络流量中的可疑样本文件送入动态行为分析引擎设备中,利用独立且受保护的虚拟分析系统模拟实际环境和用户行为操作可疑样本文件,识别可疑样本文件的漏洞利用、文件释放、系统修改等攻击行为。
动态行为分析引擎设备接收样本采集设备提交的样本文件,然后根据样本的文件格式和版本发送到不同的虚拟机进行执行。引擎设备模拟用户设备的环境,激发样本的恶意行为。引擎设备支持多样本并发分析,每个样本运行在独立的受控环境中,图2是根据相关技术的定制虚拟系统镜像示例的示意图,如图2所示,可以根据不同的部署环境,搭配定制的虚拟系统镜像。由于用户设备环境(例如操作系统、硬件、安装的软件版本)千差万别,将可疑样本文件归类到若干个定制的虚拟系统镜像中与实际的用户PC环境还是有一定的差距,不精确的用户环境无法充分激发样本的恶意行为,漏报会造成用户网络的安全隐患。
针对相关技术中的动态行为分析技术可能无法充分激发样本的恶意行为的问题,目前尚未给出相应的解决方案。
发明内容
本发明实施例提供了一种动态行为分析方法、装置、系统及设备,以至少解决相关技术中的动态行为分析技术可能无法充分激发样本的恶意行为的问题。
根据本发明的一个实施例,提供了一种动态行为分析方法,包括:采集样本文件并获取所述样本文件对应的环境信息;根据所述环境信息配置或者选择匹配的镜像环境;在所述镜像环境中对所述样本文件进行动态行为分析。
可选地,采集样本文件并获取所述样本文件对应的环境信息包括:采集所述样本文件和所述样本文件所在的流量中的标识信息;根据所述标识信息查询得到所述样本文件对应的环境信息。
可选地,在根据所述标识信息查询得到所述样本文件对应的环境信息之前,还包括:接收从用户设备传输的所述用户设备的环境信息;将所述用户设备的环境信息进行保存。
可选地,将所述用户设备的环境信息进行保存包括:将同一用户设备对应的环境信息保存至同一条目中。
可选地,根据所述标识信息查询得到所述样本文件对应的环境信息包括:根据所述标识信息查询相应的用户设备;将查询到的用户设备对应的环境信息作为根据所述标识信息查询得到所述样本文件对应的环境信息。
可选地,接收从用户设备传输的所述用户设备的环境信息包括:接收用户设备在首次获取到自身环境信息时,发送的所述环境信息;或者,接收用户设备在发现自身环境信息发生改变时,发送的所述环境信息;或者,接收用户设备周期性发送的所述环境信息。
可选地,在将所述用户设备的环境信息进行保存之后,还包括:为保存的环境信息分别设置定时器,并在定时器超时后删除对应的环境信息。
可选地,所述标识信息包括以下至少之一:IP地址、MAC地址、邮件地址。
可选地,所述环境信息包括硬件信息,软件信息和用户信息,其中:所述硬件信息包括以下至少之一:设备的操作系统信息、内存信息、硬盘信息;所述软件信息包括以下至少之一:已安装的软件列表,已安装的各个软件对应的版本;所述用户信息包括以下至少之一:IP地址、MAC地址、用户名/ID、邮件地址。
可选地,在采集所述样本文件并获取所述样本文件所在的流量中的标识信息之后,还包括:根据所述标识信息确定分析所述样本文件的优先级;根据所述优先级对所述样本文件进行动态行为分析。
可选地,根据所述优先级对所述样本文件进行动态行为分析包括以下至少之一:按照优先级对获取到的样本文件进行排序,并依照排序结果对样本文件进行动态行为分析;在进行动态行为分析时,优先级越高的样本文件分析时间越长。
可选地,根据所述环境信息配置或者选择匹配的镜像环境包括:根据所述环境信息确定用户设备中运行所述样本文件的软件版本和系统参数;根据所述软件版本和系统参数检索匹配的镜像环境;在未检索到所述匹配的镜像环境时,建立相应的镜像环境;在检索到所述匹配的镜像环境时,选择检索到的所述镜像环境。
可选地,在所述镜像环境中对所述样本文件进行动态行为分析包括:在将相同的样本文件发送至不同的镜像环境中的情况下,将所述相同的样本文件进行合并,并使用预设的典型镜像环境对合并的样本文件进行动态行为分析。
根据本发明的另一实施例,提供了一种动态行为分析装置,包括:获取模块,用于采集样本文件并获取所述样本文件对应的环境信息;匹配模块,用于根据所述环境信息配置或者选择匹配的镜像环境;动态行为分析模块,用于在所述镜像环境中对所述样本文件进行动态行为分析。
可选地,所述获取模块包括:获取单元,用于采集所述样本文件并获取所述样本文件所在的流量中的标识信息;查询单元,用于根据所述标识信息查询得到所述样本文件对应的环境信息。
可选地,所述装置还包括:接收模块,用于接收从用户设备传输的所述用户设备的环境信息;保存模块,用于将所述用户设备的环境信息进行保存。
可选地,所述保存模块还用于:将同一用户设备对应的环境信息保存至同一条目中。
可选地,所述查询单元还用于:根据所述标识信息查询相应的用户设备;将查询到的用户设备对应的环境信息作为根据所述标识信息查询得到所述样本文件对应的环境信息。
可选地,所述接收模块还用于:接收用户设备在首次获取到自身环境信息时,发送的所述环境信息;或者,接收用户设备在发现自身环境信息发生改变时,发送的所述环境信息;或者,接收用户设备周期性发送的所述环境信息。
可选地,所述保存模块还用于:为保存的环境信息分别设置定时器,并在定时器超时后删除对应的环境信息。
可选地,所述标识信息包括以下至少之一:IP地址、MAC地址、邮件地址。
可选地,所述环境信息包括硬件信息,软件信息和用户信息,其中:所述硬件信息包括以下至少之一:设备的操作系统信息、内存信息、硬盘信息;所述软件信息包括以下至少之一:已安装的软件列表,已安装的各个软件对应的版本;所述用户信息包括以下至少之一:IP地址、MAC地址、用户名/ID、邮件地址。
可选地,所述装置还包括:确定模块,用于根据所述标识信息确定分析所述样本文件的优先级;所述动态行为分析模块还用于根据所述优先级对所述样本文件进行动态行为分析。
可选地,所述动态行为分析模块包括以下至少之一:排序单元,用于按照优先级对获取到的样本文件进行排序,并依照排序结果对样本文件进行动态行为分析;定时单元,用于在进行动态行为分析时,控制优先级越高的样本文件分析时间越长。
可选地,所述匹配模块包括:确定单元,用于根据所述环境信息确定用户设备中运行所述样本文件的软件版本和系统参数;检索单元,用于根据所述软件版本和系统参数检索匹配的镜像环境;建立单元,用于在未检索到所述匹配的镜像环境时,建立相应的镜像环境;选择单元,用于在检索到所述匹配的镜像环境时,选择检索到的所述镜像环境。
可选地,在将相同的样本文件发送至不同的镜像环境中的情况下,所述动态行为分析模块还用于:将所述相同的样本文件进行合并,并使用预设的典型镜像环境对合并的样本文件进行动态行为分析。
根据本发明的另一实施例,还提供了另一种动态行为分析装置,包括:样本管理单元,用于从流量中采集样本文件和标识信息,并将所述标识信息发送给环境信息存储单元;所述环境信息存储单元,用于根据所述标识信息查询所述样本文件对应的环境信息,并将所述环境信息反馈给所述样本管理单元;所述样本管理单元还用于将所述样本文件和所述环境信息发送给动态行为分析引擎;所述动态行为分析引擎,用于依据所述环境信息选择相应的镜像环境,并在所述镜像环境中启动对所述样本文件的动态行为分析过程。
根据本发明的再一实施例,提供了一种动态行为分析系统,包括用户设备和上述的动态行为分析装置,所述用户设备还包括:发送模块,用于将所述用户设备自身的环境信息发送给所述动态行为分析装置。
根据本发明的再一实施例,还提供了一种动态行为分析设备,包括:处理器;用于存储所述处理器可执行指令的存储器;用于根据所述处理器的控制进行信息收发通信的传输装置;其中,所述处理器用于执行以下操作:控制所述传输装置采集样本文件并获取所述样本文件对应的环境信息;根据所述环境信息配置或者选择匹配的镜像环境;在所述镜像环境中对所述样本文件进行动态行为分析。
根据本发明的又一个实施例,还提供了一种存储介质。该存储介质设置为存储用于执行以下步骤的程序代码:采集样本文件并获取所述样本文件对应的环境信息;根据所述环境信息配置或者选择匹配的镜像环境;在所述镜像环境中对所述样本文件进行动态行为分析。。
通过本发明,在采集样本文件的同时将样本文件对应的环境信息也进行了获取,从而能够按照样本文件的环境对样本文件进行动态行为分析,可以解决相关技术中的动态行为分析技术可能无法充分激发样本的恶意行为的问题,能够在检测时将样本的恶意行为充分激发,防止了由于检测环境与实际环境不同而导致的漏报情况的出现,克服了安全隐患,提升了用户网络的安全性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据相关技术的动态行为分析技术在实际场景的应用示意图;
图2是根据相关技术的定制虚拟系统镜像示例的示意图;
图3是根据本发明实施例的动态行为分析方法的流程图;
图4是根据本发明优选实施例的动态行为分析方法原理的流程图;
图5是根据本发明优选实施例中环境信息存储单元存储信息示例的示意图;
图6是根据本发明优选实施例中客户端对环境信息存储单元内容的操作示例的示意图;
图7是根据本发明优选实施例中样本文件分析的操作流程示意图;
图8是根据本发明实施例的动态行为分析装置的结构框图;
图9是根据本发明实施例的另一种动态行为分析装置的结构框图;
图10是根据本发明实施例的动态行为分析设备的硬件结构框图;
图11是根据本发明优选实施例中客户端软件的逻辑功能结构示意图;
图12是根据本发明优选实施例中环境信息存储单元的逻辑功能结构示意图;
图13是根据本发明优选实施例中样本管理单元的逻辑功能结构示意图;
图14是根据本发明优选实施例中动态行为分析引擎的逻辑功能结构示意图;
图15是根据本发明实施例的动态行为分析系统的结构框图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
方法实施例
本实施例针对相关技术中动态行为分析引擎对可疑样本的执行环境与实际用户设备环境不能准确匹配的情况,提出一种方案。通过本方案可以自动获得样本归属用户的设备环境信息,动态行为分析引擎可以在虚拟镜像环境中加载准确的样本激发环境,从而提高恶意样本的检出率。
在本实施例中提供了一种动态行为分析方法,图3是根据本发明实施例的动态行为分析方法的流程图,如图3所示,该流程包括如下步骤:
步骤S302,采集样本文件并获取所述样本文件对应的环境信息;
步骤S304,根据所述环境信息配置或者选择匹配的镜像环境;
步骤S306,在所述镜像环境中对所述样本文件进行动态行为分析。
通过上述步骤,在采集样本文件的同时将样本文件对应的环境信息也进行了获取,从而能够按照样本文件的环境对样本文件进行动态行为分析,解决了相关技术中的动态行为分析技术可能无法充分激发样本的恶意行为的问题,能够在检测时将样本的恶意行为充分激发,防止了由于检测环境与实际环境不同而导致的漏报情况的出现,克服了安全隐患,提升了用户网络的安全性。
可选地,上述步骤的执行主体可以为服务器,或者独立的动态行为分析设备等,但不限于此。
可选地,上述标识信息可以是以下至少之一:IP地址、媒体接入控制(MediaAccess Control,简称为MAC)地址、邮件地址。而上述环境信息可以包括硬件信息,软件信息和用户信息,其中:所述硬件信息可以包括但不限于以下至少之一:设备的操作系统信息、内存信息、硬盘信息;所述软件信息可以包括但不限于以下至少之一:已安装的软件列表,已安装的各个软件对应的版本;所述用户信息可以包括但不限于以下至少之一:IP地址、MAC地址、用户名/ID、邮件地址。
作为一种优选实施方式,在步骤S302中,可以通过以下方式获取样本文件对应的环境信息:
在采集所述样本文件时,采集所述样本文件所在的流量中的标识信息;
将所述标识信息作为索引信息进行查询,进而得到所述样本文件对应的环境信息。
可选地,在上述步骤S302之前,可以先将各个用户设备的环境信息进行统一保存,以利于上述查询。具体地,可以接收从用户设备传输的该用户设备的环境信息,并将所述用户设备的环境信息进行保存。而在上述保存过程中,可以按照用户设备对保存的环境信息进行划分,例如可以将同一用户设备对应的环境信息保存至同一条目中。
而对于用户设备而言,其可以通过但不限于以下几种方式至少之一确定发送自身环境信息的时机:
用户设备在首次获取到自身环境信息时,可以发送所述环境信息;或者,用户设备在发现自身环境信息发生改变时,可以发送所述环境信息;或者,用户设备也可以按照一定周期发送所述环境信息。
可选地,上述查询过程可以具体如下:先根据所述标识信息查询到相应的用户设备,然后将查询到的用户设备对应的环境信息作为根据所述标识信息查询得到所述样本文件对应的环境信息。
可选地,为了避免存储的环境信息由于长时间未更新而过时的情况(比如客户端工作异常),可以为每个环境信息条目设置定时器(老化定时器),并在该定时器超时后删除对应的环境信息。
作为一种优选实施方式,还可以为每个样本文件设置优先级。具体地,可以在采集所述样本文件并获取所述样本文件所在的流量中的标识信息之后,根据所述标识信息确定分析所述样本文件的优先级,然后根据所述优先级对所述样本文件进行动态行为分析。
可选地,根据所述优先级对所述样本文件进行动态行为分析可以包括但不限于以下至少之一:
按照优先级对获取到的样本文件进行排序,并依照排序结果对样本文件进行动态行为分析,即优先级高的优先进行动态行为分析;以及
在进行动态行为分析时,优先级越高的样本文件分析时间越长。
作为一种优选实施方式,上述步骤S304可以按照以下方式实现:根据所述环境信息确定用户设备中运行所述样本文件的软件版本和系统参数;根据所述软件版本和系统参数检索匹配的镜像环境;在未检索到所述匹配的镜像环境时,建立相应的镜像环境;在检索到所述匹配的镜像环境时,选择检索到的所述镜像环境。
作为一种优选实施方式,上述步骤S306中,如果存在将相同的样本文件发送至不同的镜像环境中的情况,则可以将所述相同的样本文件进行合并,并使用预设的典型镜像环境对合并的样本文件进行动态行为分析。
下面结合优选实施例进行说明,以下优选实施例结合了上述实施例及其优选实施方式。
在以下优选实施例中,提供了一种动态行为分析方法,该方法具体包括如下内容:样本管理单元采集到样本文件后,向环境信息存储单元提供查询索引查询所述样本对应的设备环境信息。样本管理单元依据返回结果确定样本的分析优先级及分析参数(包括设备信息、分析时长等),连同样本文件发送到动态行为分析引擎。动态行为分析引擎依据分析参数为样本文件选择或者配置镜像执行分析过程。所述环境信息存储单元中的设备环境信息由客户端软件采集后载入,客户端软件监控设备环境,维护相应的存储条目。
下面结合附图对上述方法进行详细说明。
图4是根据本发明优选实施例的动态行为分析方法原理的流程图,如图4所示,该方法包括如下步骤:
步骤S402,用户设备上安装客户端软件采集设备环境信息,具体包括但不限于硬件、软件信息、用户信息,例如设备的操作系统、内存、硬盘、安装的软件列表及对应的软件版本、IP地址、MAC地址、用户名/ID、邮件地址等。
步骤S404,客户端软件将采集到的用户设备环境信息上载到环境信息存储单元进行保存,每个用户设备采集到的信息保存到一个条目中。
步骤S406,样本管理单元包括样本文件采集和样本文件对应的环境信息查询功能。在采集样本文件的同时,提取流量中的标识类信息作为索引信息查询环境信息存储单元中的条目,获得样本文件对应的具体环境信息,标识类信息包括但不限于IP地址、MAC地址、邮件地址等,具体依据实际应用环境选择使用,本实施例中不做具体限定。
步骤S408,样本管理单元在完成样本环境信息查询后,确定样本分析优先级及分析参数,将样本文件连同分析参数送入动态行为分析引擎。分析参数包括样本对应用户设备环境的设备信息(软、硬件)、样本分析时长等。分析参数作为样本管理单元和动态行为分析引擎间的接口参数进行传递。
步骤S410,动态行为分析引擎依据样本对应的设备信息配置或者选择匹配的镜像,将样本投入到对应的镜像中运行,充分激发样本的行为。
图5是根据本发明优选实施例中环境信息存储单元存储信息示例的示意图,如图5所示,环境信息存储单元存储信息具体可以包括如下内容:
环境信息存储单元将每个客户端采集的环境信息按条目保存,每个条目可以包括如下内容:
1)用户信息
具体可为用户名、用户ID、用户邮件地址等。环境信息存储单元也可用此参数作为索引检索到样本对应具体设备的环境信息条目。
2)用户级别
样本管理单元可用此参数信息决定样本送入动态行为分析引擎的优先级及确定分析时间。例如对于网络中的重点用户样本文件优先送入分析引擎并给定较长的分析时间,确保此类用户误报率和漏报率都比较低。
3)IP地址
具体可为用户设备的IP地址。环境信息存储单元可用此参数作为索引检索到样本对应具体设备的环境信息条目。
4)MAC地址
具体额可为用户设备的MAC地址。环境信息存储单元可用此参数作为索引检索到样本对应具体设备的环境信息条目。
5)设备信息
具体可为用户设备的硬件和软件信息。包括但不限于:CPU、内存、硬盘、软件类型、软件版本等。
图6是根据本发明优选实施例中客户端对环境信息存储单元内容的操作示例的示意图,如图6所示,客户端对环境信息存储单元内容的操作具体可以包括如下内容:
环境信息存储单元依据客户端发送的消息对存储的信息进行增加、更新和删除的操作。具体方式如下:
步骤S602,客户端在第一次检测到设备环境信息(例如设备启动加入网络)或者发现设备环境信息改变(例如重新分配IP地址、硬件配置、软件增删改等)时会触发上送信令的操作。客户端也可以启动定时器周期上送信令,确保环境信息存储单元中的设备环境信息的准确性。
客户端上送信令消息可以采用两种方式,步骤S604为方式一,步骤S606、S608为方式二。
步骤S602,客户端可以自行判定设备环境信息的新建、更新或者删除。具体的,当设备初次启动时,客户端采集设备环境信息,向环境信息存储单元发送新建消息,环境信息存储单元根据信息中的设备MAC地址查询数据库,如果没此条目就新建,反之则在已有条目中更新信息。此处的校验措施是为了防止环境信息存储单元中有此设备旧的存储条目而导致后续查询错误;当设备环境信息发生改变时,客户端采集最新的设备环境信息,向环境信息存储单元发送更新消息,环境信息存储单元依据信息中的设备MAC地址查询数据库,检索到相关条目更新条目中的信息内容;当设备关机离网时,客户端发送删除消息,环境信息存储单元依据信息中的设备MAC地址查询数据库,检索到相关条目进行删除。删除消息为客户端可选操作消息,环境信息存储单元可以为每个条目设置老化定时器,如步骤S610所述,在老化定时器超时后删除条目内容。
步骤S606,客户端在满足步骤S602所述条件时就采集设备环境信息上载到环境信息存储单元中,不做新建、更新的消息区分。可选定义删除消息。
步骤S608,环境信息存储单元依据信息中的设备MAC地址查询数据库,如果存在此条目就更新,如果不存在此条目就新建条目存储环境信息。删除消息为客户端可选操作消息,环境信息存储单元可以为每个条目设置老化定时器,如步骤S610所述,在老化定时器超时后删除条目内容。
步骤S610,为了避免环境信息存储单元中信息由于长时间未更新而过时的情况(比如客户端工作异常),环境信息存储单元可以为每个条目设置老化定时器,在老化定时器超时后删除条目内容。后续采集到的样本查询不到具体的设备环境就在默认的虚拟环境中运行。
图7是根据本发明优选实施例中样本文件分析的操作流程示意图,如图7所示,样本文件分析的操作流程具体步骤可以如下:
步骤S702,样本管理单元具有流量协议解析和文件还原的功能。样本管理单元除了从流量中提取样本文件之外还需要确定查询索引用于向环境信息存储单元查询样本对应的设备环境。例如,对于路由器旁路的流量,样本管理单元解析其中的IP地址可以确定样本文件发送的目的主机设备。对于交换机旁路的流量,样本管理单元解析其中的MAC地址可以确定样本文件发送的目的主机设备。对于支持简单邮件传输协议(Simple MailTransfer Protocol,简称为SMTP)协议的邮件流量,样本管理单元解析其中的收件人地址可以确定样本文件发送的目的地。查询索引信息可以根据实际情况灵活确定,本实施例中不做限定。
步骤S704,样本管理单元向环境信息存储单元发送查询消息,消息中携带查询的索引信息,也即样本文件归属流量中的IP地址、MAC地址或者邮件地址。
步骤S706,环境信息存储单元采用索引信息检索存储条目,找到条目中的设备信息、用户信息、用户级别。
步骤S708,环境信息存储单元向样本管理单元反馈查询结果。
步骤S710,样本管理单元依据反馈结果中的用户级别确定文件的分析等级。对于重点用户的样本文件需要依据策略在样本分析队列中进行调度并需要确定样本分析参数,例如重点用户的样本文件优先送入动态行为分析引擎,并设置较长的分析时间,确保较低的误报和漏报率。具体的应用策略可根据实际情况定义,本实施例中不做限定。
步骤S712,样本管理单元将样本、样本对应的设备信息以及为样本确定的分析时长等接口参数发送给动态行为分析引擎。样本管理单元可优化样本送检过程,对于发送到不同用户设备环境的相同样本做合并处理,指示典型的设备环境信息,达到全面分析的同时避免相同样本进行大量重复分析。例如一个pdf文档被通过邮件发送到多个收件人,这些收件人设备安装的pdf版本可能有各种情况,那么样本管理单元就在设备信息中指示pdf版本的集合,动态行为分析引擎在各种pdf版本的镜像中执行该文件。
动态行为分析引擎依据样本对应的设备信息、样本分析时长等参数配置或者选择相应的镜像,镜像环境中运行样本,记录样本行为。具体的,动态行为分析引擎确定待测样本的文件类型,并通过设备信息、样本分析时长等参数确定样本所属用户环境中用于运行该文件的软件版本和系统参数。动态行为分析引擎依据上述软件版本和系统参数检索镜像,有合适的镜像即在此镜像中启动文件分析过程,没有合适的镜像即上述条件参数配置新的镜像环境并在其中启动文件分析过程。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
装置实施例
在本实施例中提供了一种动态行为分析装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图8是根据本发明实施例的动态行为分析装置的结构框图,如图8所示,该装置包括:
获取模块82,用于采集样本文件并获取所述样本文件对应的环境信息;匹配模块84,与获取模块82相连,用于根据所述环境信息配置或者选择匹配的镜像环境;动态行为分析模块86,与匹配模块84相连,用于在所述镜像环境中对所述样本文件进行动态行为分析。
可选地,所述获取模块82可以包括:获取单元,用于获取所述样本文件和所述样本文件所在的流量中的标识信息;查询单元,用于根据所述标识信息查询得到所述样本文件对应的环境信息。
可选地,所述装置还可以包括:接收模块,用于接收从用户设备传输的所述用户设备的环境信息;保存模块,与获取模块82相连,用于将所述用户设备的环境信息进行保存。
可选地,所述保存模块还可以用于将同一用户设备对应的环境信息保存至同一条目中。
可选地,所述查询单元还可以用于:根据所述标识信息查询相应的用户设备;将查询到的用户设备对应的环境信息作为根据所述标识信息查询得到所述样本文件对应的环境信息。
可选地,所述接收模块还可以用于:接收用户设备在首次获取到自身环境信息时,发送的所述环境信息;或者,接收用户设备在发现自身环境信息发生改变时,发送的所述环境信息;或者,接收用户设备周期性发送的所述环境信息。
可选地,所述保存模块还可以用于:为保存的环境信息分别设置定时器,并在定时器超时后删除对应的环境信息。
可选地,所述标识信息可以包括以下至少之一:IP地址、MAC地址、邮件地址。
可选地,所述环境信息可以包括硬件信息,软件信息和用户信息,其中:所述硬件信息可以包括但不限于以下至少之一:设备的操作系统信息、内存信息、硬盘信息;所述软件信息可以包括但不限于以下至少之一:已安装的软件列表,已安装的各个软件对应的版本;所述用户信息可以包括但不限于以下至少之一:IP地址、MAC地址、用户名/ID、邮件地址。
可选地,所述装置还可以包括:确定模块,与获取模块82和动态行为分析模块86相连,用于根据所述标识信息确定分析所述样本文件的优先级;所述动态行为分析模块86还可以用于根据所述优先级对所述样本文件进行动态行为分析。
可选地,所述动态行为分析模块86还可以包括以下至少之一:排序单元,用于按照优先级对获取到的样本文件进行排序,并依照排序结果对样本文件进行动态行为分析;定时单元,用于在进行动态行为分析时,控制优先级越高的样本文件分析时间越长。
可选地,所述匹配模块84可以包括:确定单元,用于根据所述环境信息确定用户设备中运行所述样本文件的软件版本和系统参数;检索单元,用于根据所述软件版本和系统参数检索匹配的镜像环境;建立单元,用于在未检索到所述匹配的镜像环境时,建立相应的镜像环境;选择单元,用于在检索到所述匹配的镜像环境时,选择检索到的所述镜像环境。
可选地,在将相同的样本文件发送至不同的镜像环境中的情况下,所述动态行为分析模块86还可以用于将所述相同的样本文件进行合并,并使用预设的典型镜像环境对合并的样本文件进行动态行为分析。
在本实施例中,还提供了另一种动态行为分析装置,图9是根据本发明实施例的另一种动态行为分析装置的结构框图,如图9所示,该装置包括:样本管理单元92,用于从流量中采集样本文件和标识信息,并将所述标识信息发送给环境信息存储单元94;所述环境信息存储单元94,用于根据所述标识信息查询所述样本文件对应的环境信息,并将所述环境信息反馈给所述样本管理单元92;所述样本管理单元92还用于将所述样本文件和所述环境信息发送给动态行为分析引擎96;所述动态行为分析引擎96,用于依据所述环境信息选择相应的镜像环境,并在所述镜像环境中启动对所述样本文件的动态行为分析过程。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
在本实施例中,还提供了一种动态行为分析设备,图10是根据本发明实施例的动态行为分析设备的硬件结构框图,如图10所示,动态行为分析设备100可以包括一个或多个(图中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置);用于存储所述处理器可执行指令的存储器104;以及用于根据所述处理器102的控制进行信息收发通信的传输装置106。本领域普通技术人员可以理解,图10所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,动态行为分析设备100还可包括比图10中所示更多或者更少的组件,或者具有与图10所示不同的配置。
存储器104可用于存储应用软件的软件程序以及模块,如本发明实施例中的动态行为分析方法对应的程序指令/模块,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至动态行为分析设备100。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括动态行为分析设备100的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
其中,所述处理器104用于执行以下操作:
控制所述传输装置106采集样本文件并获取所述样本文件对应的环境信息;
根据所述环境信息配置或者选择匹配的镜像环境;
在所述镜像环境中对所述样本文件进行动态行为分析。
下面结合方法实施例中的优选实施例进行说明,具体地,下面参考附图对方法实施例中的优选实施例所给出的功能模块进行更详细的说明。图11是根据本发明优选实施例中客户端软件的逻辑功能结构示意图,如图11所示,客户端的逻辑功能说明具体如下:
模块1102:设备环境信息采集模块,采集用户设备环境信息。具体包括但不限于硬件、软件信息、用户信息,例如设备的操作系统、内存、硬盘、安装的软件列表及对应的软件版本、IP地址、MAC地址、用户名/ID、邮件地址等。
模块1104:判断模块,判定用户设备环境状态,在第一次检测到设备环境信息或者发现设备环境信息改变时触发模块1106上送设备环境信息。判断模块还判定周期定时器是否超时,在定时器超时情况下触发模块1106上送设备环境信息。判断模块判定用户设备离网后,可选触发模块1106发送设备环境信息删除命令。
判断模块可以依据上述场景判定设备环境信息的新建、更新或者删除,触发模块1106发出对应的信令消息承载上送的设备环境信息。
判断模块也可以在判定上述新建或者更新用户设备环境状态后触发模块1106发出上送命令承载上送的设备环境信息,不做新建、更新的消息区分。
模块1106:发送模块,将采集到的设备环境信息发送到环境信息存储单元。根据模块1104的指示发送相应的消息承载设备环境信息。
图12是根据本发明优选实施例中环境信息存储单元的逻辑功能结构示意图,如图12所示,环境信息存储单元的逻辑功能说明具体如下:
模块1202:接收模块,接收客户端软件发送的设备环境信息及信令。
模块1204:操作模块,依据设备环境信息中的设备MAC地址查询模块1206。如果存在对应的条目就更新,如果不存在此条目就新建。如果客户端提供删除命令,那么就删除对应的条目。操作模块也可以为每个存储模块的条目设置老化定时器,在定时器超时后删除模块1206中对应的条目。
模块1206:存储模块,存储图5定义的存储信息。接收模块1204的操作指示对存储信息进行新建、更新和删除操作。接收模块1208的查询操作指示,提供查询索引对应的存储信息。
模块1208:查询模块,接收样本管理单元的查询消息,依据消息中的查询索引查询模块1206的存储信息,向样本管理单元反馈查询结果。
图13是根据本发明优选实施例中样本管理单元的逻辑功能结构示意图,如图13所示,样本管理单元的逻辑功能说明具体如下:
模块1302:确定模块,确定样本对应设备环境信息的查询索引。查询索引来源于流量中的标识类信息,包括但不限于IP地址、MAC地址、邮件地址等,具体依据实际应用环境选择使用,本发明不做限定。例如,如果样本流量来源是路由器,采用IP地址作为查询索引;如果样本流量来源是交换机,采用MAC地址作为查询索引;如果样本流量来源于邮件流量,采用邮件地址作为查询索引。模块1304返回用户信息和用户等级后,依据策略(可配置,不做具体限定)确定样本送入分析队列的优先级及样本分析时长等参数。确定模块将确定后的参数信息连同样本信息发送到模块1306。
模块1304,查询模块,向环境信息存储单元发送查询消息,携带查询索引,并接收返回的设备信息及用户信息。
模块1306,发送模块,依据队列优先级参数确定样本的发送顺序,向动态行为分析引擎发送消息,消息中携带样本、样本对应的设备信息及样本分析时长等参数。
图14是根据本发明优选实施例中动态行为分析引擎的逻辑功能结构示意图,如图14所示,动态行为分析引擎的逻辑功能说明具体如下:
模块1402:接收模块,接收样本管理单元发送的待检样本、样本对应的设备信息及样本分析时长等参数。
模块1404:确定模块,依据样本类型确定样本所属用户环境中用于运行该文件的软件版本,依据设备信息确定运行该文件的系统参数,如内存大小、CPU主频、操作系统版本等。确定模块依据软件版本(如office03、office07、pdf8等等)和系统参数检索已存在的镜像,如有对应合适的镜像即选择此镜像用于执行文件分析过程;如果没有合适的镜像,将上述条件参数(包括软件版本、系统参数)发送给配置模块。
模块1406:配置模块,根据条件参数配置新的镜像环境用于执行文件分析过程。配置模块还用于根据样本分析时长参数配置镜像对文件的检测时间。
模块1408:发送模块,将文件送入确定模块指定的镜像或者配置模块生成的新的镜像。
系统实施例
在本实施例中,提供了一种动态行为分析系统,图15是根据本发明实施例的动态行为分析系统的结构框图,如图15所示,该系统包括用户设备152和如图8或图9中的动态行为分析装置154(具体结构可以参考图8或图9,图15中未示出),所述用户设备152还包括:
发送模块1522,用于将所述用户设备自身的环境信息发送给所述动态行为分析装置154。
存储介质实施例
本发明的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的程序代码:
步骤S302,采集样本文件并获取所述样本文件对应的环境信息;
步骤S304,根据所述环境信息配置或者选择匹配的镜像环境;
步骤S306,在所述镜像环境中对所述样本文件进行动态行为分析。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (25)
1.一种动态行为分析方法,其特征在于,包括:
采集样本文件并获取所述样本文件对应的环境信息,包括:采集所述样本文件和所述样本文件所在的流量中的标识信息;根据所述标识信息查询得到所述样本文件对应的环境信息,包括:根据所述标识信息查询相应的用户设备;将查询到的用户设备对应的环境信息作为根据所述标识信息查询得到所述样本文件对应的环境信息;
根据所述环境信息配置或者选择匹配的镜像环境;
在所述镜像环境中对所述样本文件进行动态行为分析。
2.根据权利要求1所述的方法,其特征在于,在根据所述标识信息查询得到所述样本文件对应的环境信息之前,还包括:
接收从用户设备传输的所述用户设备的环境信息;
将所述用户设备的环境信息进行保存。
3.根据权利要求2所述的方法,其特征在于,将所述用户设备的环境信息进行保存包括:
将同一用户设备对应的环境信息保存至同一条目中。
4.根据权利要求2所述的方法,其特征在于,接收从用户设备传输的所述用户设备的环境信息包括:
接收用户设备在首次获取到自身环境信息时,发送的所述环境信息;或者,
接收用户设备在发现自身环境信息发生改变时,发送的所述环境信息;或者,
接收用户设备周期性发送的所述环境信息。
5.根据权利要求2所述的方法,其特征在于,在将所述用户设备的环境信息进行保存之后,还包括:
为保存的环境信息分别设置定时器,并在定时器超时后删除对应的环境信息。
6.根据权利要求1所述的方法,其特征在于,所述标识信息包括以下至少之一:
IP地址、MAC地址、邮件地址。
7.根据权利要求1至6中任一项所述的方法,其特征在于,所述环境信息包括硬件信息,软件信息和用户信息,其中:
所述硬件信息包括以下至少之一:设备的操作系统信息、内存信息、硬盘信息;
所述软件信息包括以下至少之一:已安装的软件列表,已安装的各个软件对应的版本;
所述用户信息包括以下至少之一:IP地址、MAC地址、用户名/ID、邮件地址。
8.根据权利要求1至6中任一项所述的方法,其特征在于,在采集所述样本文件并获取所述样本文件所在的流量中的标识信息之后,还包括:
根据所述标识信息确定分析所述样本文件的优先级;
根据所述优先级对所述样本文件进行动态行为分析。
9.根据权利要求8所述的方法,其特征在于,根据所述优先级对所述样本文件进行动态行为分析包括以下至少之一:
按照优先级对获取到的样本文件进行排序,并依照排序结果对样本文件进行动态行为分析;
在进行动态行为分析时,优先级越高的样本文件分析时间越长。
10.根据权利要求1至6中任一项所述的方法,其特征在于,根据所述环境信息配置或者选择匹配的镜像环境包括:
根据所述环境信息确定用户设备中运行所述样本文件的软件版本和系统参数;
根据所述软件版本和系统参数检索匹配的镜像环境;
在未检索到所述匹配的镜像环境时,建立相应的镜像环境;
在检索到所述匹配的镜像环境时,选择检索到的所述镜像环境。
11.根据权利要求1至6中任一项所述的方法,其特征在于,在所述镜像环境中对所述样本文件进行动态行为分析包括:
在将相同的样本文件发送至不同的镜像环境中的情况下,将所述相同的样本文件进行合并,并使用预设的典型镜像环境对合并的样本文件进行动态行为分析。
12.一种动态行为分析装置,其特征在于,包括:
获取模块,用于采集样本文件并获取所述样本文件对应的环境信息,包括:获取单元,用于采集所述样本文件并获取所述样本文件所在的流量中的标识信息;查询单元,用于根据所述标识信息查询得到所述样本文件对应的环境信息,其中,所述查询单元还用于:根据所述标识信息查询相应的用户设备;将查询到的用户设备对应的环境信息作为根据所述标识信息查询得到所述样本文件对应的环境信息;
匹配模块,用于根据所述环境信息配置或者选择匹配的镜像环境;
动态行为分析模块,用于在所述镜像环境中对所述样本文件进行动态行为分析。
13.根据权利要求12所述的装置,其特征在于,所述装置还包括:
接收模块,用于接收从用户设备传输的所述用户设备的环境信息;
保存模块,用于将所述用户设备的环境信息进行保存。
14.根据权利要求13所述的装置,其特征在于,所述保存模块还用于:
将同一用户设备对应的环境信息保存至同一条目中。
15.根据权利要求13所述的装置,其特征在于,所述接收模块还用于:
接收用户设备在首次获取到自身环境信息时,发送的所述环境信息;或者,
接收用户设备在发现自身环境信息发生改变时,发送的所述环境信息;或者,
接收用户设备周期性发送的所述环境信息。
16.根据权利要求13所述的装置,其特征在于,所述保存模块还用于:
为保存的环境信息分别设置定时器,并在定时器超时后删除对应的环境信息。
17.根据权利要求12所述的装置,其特征在于,所述标识信息包括以下至少之一:
IP地址、MAC地址、邮件地址。
18.根据权利要求12至17中任一项所述的装置,其特征在于,所述环境信息包括硬件信息,软件信息和用户信息,其中:
所述硬件信息包括以下至少之一:设备的操作系统信息、内存信息、硬盘信息;
所述软件信息包括以下至少之一:已安装的软件列表,已安装的各个软件对应的版本;
所述用户信息包括以下至少之一:IP地址、MAC地址、用户名/ID、邮件地址。
19.根据权利要求12至17中任一项所述的装置,其特征在于,所述装置还包括:
确定模块,用于根据所述标识信息确定分析所述样本文件的优先级;
所述动态行为分析模块还用于根据所述优先级对所述样本文件进行动态行为分析。
20.根据权利要求19所述的装置,其特征在于,所述动态行为分析模块包括以下至少之一:
排序单元,用于按照优先级对获取到的样本文件进行排序,并依照排序结果对样本文件进行动态行为分析;
定时单元,用于在进行动态行为分析时,控制优先级越高的样本文件分析时间越长。
21.根据权利要求12至17中任一项所述的装置,其特征在于,所述匹配模块包括:
确定单元,用于根据所述环境信息确定用户设备中运行所述样本文件的软件版本和系统参数;
检索单元,用于根据所述软件版本和系统参数检索匹配的镜像环境;
建立单元,用于在未检索到所述匹配的镜像环境时,建立相应的镜像环境;
选择单元,用于在检索到所述匹配的镜像环境时,选择检索到的所述镜像环境。
22.根据权利要求12至17中任一项所述的装置,其特征在于,在将相同的样本文件发送至不同的镜像环境中的情况下,所述动态行为分析模块还用于:
将所述相同的样本文件进行合并,并使用预设的典型镜像环境对合并的样本文件进行动态行为分析。
23.一种动态行为分析装置,其特征在于,包括:
样本管理单元,用于从流量中采集样本文件和标识信息,并将所述标识信息发送给环境信息存储单元;
所述环境信息存储单元,用于根据所述标识信息查询所述样本文件对应的环境信息,并将所述环境信息反馈给所述样本管理单元,包括:根据所述标识信息查询相应的用户设备;将查询到的用户设备对应的环境信息作为根据所述标识信息查询得到所述样本文件对应的环境信息;
所述样本管理单元还用于将所述样本文件和所述环境信息发送给动态行为分析引擎;
所述动态行为分析引擎,用于依据所述环境信息选择相应的镜像环境,并在所述镜像环境中启动对所述样本文件的动态行为分析过程。
24.一种动态行为分析系统,其特征在于,包括用户设备和如权利要求12至23中任一项所述的动态行为分析装置,所述用户设备还包括:
发送模块,用于将所述用户设备自身的环境信息发送给所述动态行为分析装置。
25.一种动态行为分析设备,其特征在于,包括:
处理器;
用于存储所述处理器可执行指令的存储器;
用于根据所述处理器的控制进行信息收发通信的传输装置;
其中,所述处理器用于执行以下操作:
控制所述传输装置采集样本文件并获取所述样本文件对应的环境信息,包括:采集所述样本文件和所述样本文件所在的流量中的标识信息;根据所述标识信息查询得到所述样本文件对应的环境信息,包括:根据所述标识信息查询相应的用户设备;将查询到的用户设备对应的环境信息作为根据所述标识信息查询得到所述样本文件对应的环境信息;
根据所述环境信息配置或者选择匹配的镜像环境;
在所述镜像环境中对所述样本文件进行动态行为分析。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610596328.3A CN107659540B (zh) | 2016-07-25 | 2016-07-25 | 动态行为分析方法、装置、系统及设备 |
| PCT/CN2017/085187 WO2018019010A1 (zh) | 2016-07-25 | 2017-05-19 | 动态行为分析方法、装置、系统及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610596328.3A CN107659540B (zh) | 2016-07-25 | 2016-07-25 | 动态行为分析方法、装置、系统及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107659540A CN107659540A (zh) | 2018-02-02 |
| CN107659540B true CN107659540B (zh) | 2021-01-26 |
Family
ID=61016316
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610596328.3A Active CN107659540B (zh) | 2016-07-25 | 2016-07-25 | 动态行为分析方法、装置、系统及设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN107659540B (zh) |
| WO (1) | WO2018019010A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI682644B (zh) * | 2019-01-07 | 2020-01-11 | 中華電信股份有限公司 | 網路節點的移動防護方法及網路防護伺服器 |
| CN113127869B (zh) * | 2019-12-31 | 2024-02-13 | 奇安信科技集团股份有限公司 | 鉴定环境追踪方法及系统 |
| CN113392400A (zh) * | 2020-03-12 | 2021-09-14 | 北京沃东天骏信息技术有限公司 | 运行环境的检测方法、装置和系统 |
| CN117093994A (zh) * | 2023-09-18 | 2023-11-21 | 卫士通(广州)信息安全技术有限公司 | 一种疑似病毒文件分析方法、系统、设备及可存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101645119A (zh) * | 2008-08-07 | 2010-02-10 | 中国科学院软件研究所 | 一种基于虚拟硬件环境的恶意代码自动分析方法及系统 |
| CN102741824A (zh) * | 2009-12-15 | 2012-10-17 | 迈克菲股份有限公司 | 用于行为沙箱化的系统和方法 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1330131C (zh) * | 2005-06-10 | 2007-08-01 | 广东省电信有限公司研究院 | 一种交互式的网络蠕虫检测系统和方法 |
| CN101834760B (zh) * | 2010-05-20 | 2013-01-30 | 杭州华三通信技术有限公司 | 一种基于ips设备的攻击检测方法及ips设备 |
| US8806646B1 (en) * | 2011-04-27 | 2014-08-12 | Twitter, Inc. | Detecting malware in mobile sites |
| US9185128B2 (en) * | 2013-08-30 | 2015-11-10 | Bank Of America Corporation | Malware analysis methods and systems |
| CN103778373B (zh) * | 2014-01-10 | 2017-02-08 | 深圳市深信服电子科技有限公司 | 病毒检测方法及装置 |
| CN105187224B (zh) * | 2014-06-17 | 2018-05-01 | 腾讯科技(深圳)有限公司 | 入侵检测方法和装置 |
| CN105260662A (zh) * | 2014-07-17 | 2016-01-20 | 南京曼安信息科技有限公司 | 一种未知应用漏洞威胁检测装置及方法 |
| CN104410617B (zh) * | 2014-11-21 | 2018-04-17 | 西安邮电大学 | 一种云平台的信息安全攻防体系架构 |
| CN105187395B (zh) * | 2015-08-10 | 2018-10-23 | 济南大学 | 基于接入路由器进行恶意软件网络行为检测的方法及系统 |
-
2016
- 2016-07-25 CN CN201610596328.3A patent/CN107659540B/zh active Active
-
2017
- 2017-05-19 WO PCT/CN2017/085187 patent/WO2018019010A1/zh active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101645119A (zh) * | 2008-08-07 | 2010-02-10 | 中国科学院软件研究所 | 一种基于虚拟硬件环境的恶意代码自动分析方法及系统 |
| CN102741824A (zh) * | 2009-12-15 | 2012-10-17 | 迈克菲股份有限公司 | 用于行为沙箱化的系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107659540A (zh) | 2018-02-02 |
| WO2018019010A1 (zh) | 2018-02-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10812513B1 (en) | Correlation and consolidation holistic views of analytic data pertaining to a malware attack | |
| CN107659540B (zh) | 动态行为分析方法、装置、系统及设备 | |
| US10121000B1 (en) | System and method to detect premium attacks on electronic networks and electronic devices | |
| CN102970272B (zh) | 用于病毒检测的方法、装置和云服务器 | |
| EP3373179B1 (en) | Information processing device, information processing method, and information processing program | |
| CN110719291A (zh) | 一种基于威胁情报的网络威胁识别方法及识别系统 | |
| CA3001282C (en) | Log information generation apparatus and recording medium, and log information extraction apparatus and recording medium | |
| JP6408395B2 (ja) | ブラックリストの管理方法 | |
| JP2018531527A (ja) | ネットワークトラフィックにおけるアプリケーション情報を識別するための方法および装置 | |
| CN111625841B (zh) | 一种病毒处理方法、装置及设备 | |
| CN107682361B (zh) | 网站漏洞扫描方法、装置、计算机设备及存储介质 | |
| US20090012966A1 (en) | Network configuration restoration method and system | |
| EP3767508A1 (en) | Method, apparatus, and system for detecting malicious file | |
| JP2019153894A (ja) | 通信制御装置、通信制御方法および通信制御プログラム | |
| JP2015179979A (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
| CN113961936A (zh) | 可信白名单建设方法、系统、装置和计算机设备 | |
| CN104317672A (zh) | 一种系统文件修复的方法、装置及系统 | |
| CN113098852B (zh) | 一种日志处理方法及装置 | |
| CN110392032B (zh) | 检测异常url的方法、装置及存储介质 | |
| CN114301659A (zh) | 网络攻击预警方法、系统、设备及存储介质 | |
| CN108173889A (zh) | 用户数据处理方法及用户数据处理装置 | |
| CN112583789B (zh) | 被非法登录的登录接口确定方法、装置及设备 | |
| CN106506270B (zh) | 一种ping报文处理方法及装置 | |
| CN110224975B (zh) | Apt信息的确定方法及装置、存储介质、电子装置 | |
| US20230022044A1 (en) | ANALYSIS DEVICE, AND METHOD FOR DETECTING MALWARE IN AN iOS DEVICE |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |