WO2017113948A1 - 一种实现样本分析的方法、装置及动态引擎设备 - Google Patents

Abstract

本发明公开了一种实现样本分析的方法、装置及动态引擎设备，包括：按照预设的评估策略对各样本文件对应的一个或一个以上分析信息进行综合评估；根据所有样本文件的综合评估的结果对样本文件进行排序，以确定各样本文件的送检优先级；根据各样本文件的排序发送样本文件到动态分析引擎进行动态分析。本发明方法通过样本文件的分析信息对各样本文件进行综合评估，根据综合评估结果的排序进行动态分析，降低了低威胁性的样本文件对动态引擎设备的占用，提高了样本有效检测的效率。

Description

一种实现样本分析的方法、装置及动态引擎设备 技术领域

本发明涉及安全分析领域，尤指一种实现样本分析的方法、装置及动态引擎设备。

背景技术

极光攻击、震网攻击、夜龙攻击、RSA(RSA是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的。1987年首次公布，当时他们三人都在麻省理工学院工作；RSA就是他们三人姓氏开头字母拼在一起组成的)令牌种子窃取等重大网络安全事件使得一种具有攻击手法高级、持续时间长、攻击目标明确等特征的攻击类型出现在公众视野中，国际上称之为高级持续性威胁攻击(APT，Advanced Persistent Threat)。APT不仅使用传统的病毒、木马作为攻击手段，更以邮件等社会工程学方式进行“先导攻击”，向用户发送精心构造使用0Day(0day是说在最短的时间内迅速地“解锁”，并在网上发布，其真正意思是“即时发布”)漏洞的恶意文件。一旦用户打开恶意文件，漏洞就会被触发，攻击代码注入到用户系统，并进行后续其它病毒的下载、木马操作等，以进行长期潜伏作业。而传统防火墙、企业反病毒软件等对此类无特征签名的恶意文件或恶意文件代码的检测和防护能力非常有限。

APT攻击检测防御技术是新一代网络安全的研究热点；其中，APT攻击所采用的检测方法主要包括：静态引擎分析、动态引擎分析及同时包括静态引擎和动态引擎的分析。为了实现有效的样本检测，同时包括静态引擎和动态引擎的分析得到了广泛的应用，一般的，按照先进行静态引擎分析再进行动态引擎分析的方式进行样本检测，进行静态引擎分析时，如果检测到样本异常，即可根据检测到的异常进行实时防护，对没有发现异常的样本通过动态引擎分析实现异常检测，通过两种分析的结合实现了对 样本威胁程度的确认，提高了样本检测的有效性。图1为现有样本文件分析流向示意图，如图1所示，进/出网络的网络流量通过旁路镜像方式转换为镜像流量后导出到样本采集设备，样本采集设备对镜像流量进行解析并提取获得样本文件，将提取的样本文件发往静态引擎设备后，由静态引擎设备进行静态分析，具体的：根据自身的特征库对每个样本文件进行匹配，对检测出异常的样本文件输出静态分析报告；未检测出异常的样本文件发往动态引擎设备进行动态分析，具体的，动态引擎设备接收到样本文件后，利用独立且受保护的虚拟分析系统模拟实际环境和用户行为对样本文件进行操作，如果样本文件为恶意文件，则可通过恶意文件的操作进行漏洞利用、文件释放、系统修改等攻击行为的识别，实现APT攻击的检测。

在同时包括静态分析和动态分析分析方法中，静态引擎设备的分析可以对存在威胁的样本进行有效的检测，从而减少发往动态引擎设备的样本数量；但是经过静态引擎设备分析后发往动态引擎设备的样本依然十分庞大，在不扩展动态引擎设备性能的条件下，动态引擎设备的资源往往容易被大量的进行威胁性低的样本检测所占用，降低了样本有效检测的效率，高威胁的样本无法实现快速检测；另外，随着时间的增长，动态引擎设备的检测速度也存在无法满足由于样本检测过程中堆积得越来越高的样本文件。

发明内容

为了解决上述技术问题，本发明提供一种实现样本分析的方法、装置及动态引擎设备，能够提高样本有效检测效率。

为了达到本发明目的，本发明提供了一种实现样本分析的方法，包括：对所有样本文件，

按照预设的评估策略对各样本文件对应的一个或一个以上分析信息进行综合评估；

根据所有样本文件的综合评估的结果对样本文件进行排序，以确定各样本文件的送检优先级；

根据各样本文件的排序发送样本文件到动态分析引擎进行动态分析。

可选的，动态分析之前，该方法还包括：

根据各所述样本文件的送检优先级生成各所述样本文件的动态引擎配置参数并发往动态引擎设备，以使动态引擎设备根据所述动态引擎配置参数对各样本文件进行动态分析；或，

所述动态引擎设备接收外部指令，根据接收的外部指令进行各所述样本文件动态引擎配置参数的配置，并根据配置的所述动态引擎配置参数进行各样本文件进行动态引擎分析；或，

所述动态引擎设备按照预先设置的配置策略进行各所述样本文件动态引擎配置参数的配置，并根据配置的所述动态引擎配置参数进行各样本文件的动态分析。

可选的，样本文件为来自前端的样本文件；

所述前端包括：一个或一个以上静态引擎设备、和/或网页WEB端、和/或其他对样本文件进行分析信息输出的服务端。

可选的，预设的评估策略包括：

为所述分析信息中的各分析参数设置相应的评估值；

根据设置的各所述分析参数的评估值对所述样本文件包含的各分析信息分别进行评估统计；

以各所述分析信息的评估统计结果确定各样本文件的综合评估。

可选的，分析参数包括：样本文件是否加壳、和/或样本文件是否为可信任厂商版本、和/或样本文件的文件类型、和/或样本文件为可执行文件时可执行文件熵是否正常、和/或样本文件为可执行文件时可执行文件载入地址是否正常。

可选的，确定各样本文件的综合评估包括：

对各样本文件，预先设置样本信息各所述分析信息对应的评估统计相应的综合评估权重；

将所述样本文件的各分析信息的评估统计分别乘以各分析信息相应的所述综合评估权重后进行累加，以累加结果作为样本文件的所述综合评估。

可选的，对样本文件进行排序包括：

根据所述综合评估的数值大小确定各所述样本文件的优先级高低；

根据各所述样本文件的优先级高低，对所述样本文件按照优先级由高到低的顺序进行排序。

可选的，进行综合评估之前，该方法还包括：

接收样本文件的分析信息，并对各样本文件的分析信息进行区分保存。

可选的，对各样本文件的分析信息进行区分保存包括：

当接收的所述分析信息为新增样本文件的分析信息时，通过预设的文件标识保存所述新增样本文件的分析信息；

当接收的所述分析信息为已有样本文件的来自不同前端的分析信息时，以已有样本文件的文件标识保存所述分析信息；

当接收的所述分析信息出现异常或超时，删除所述分析信息和所述分析信息的相关记录。

可选的，对所有样本文件的进行排序具体包括：

基于所述文件标识，根据所有样本文件的综合评估的结果对所述样本文件进行排序。

可选的，该方法还包括：

当样本文件的所述综合评估的数值小于预设的评估阈值时，将该样本文件从发往动态分析引擎的排序中删除；

所述综合评估数值的高低与所述送检优先级成正比。

可选的，该方法还包括：

排序的所述样本文件的数量大于预设的负载阈值时，按照发往动态分析引擎的排序，将排序在负载阈值之后的样本文件从排序中删除；

所述样本文件按照送检优先级由高到低的顺序进行排序。

该方法还该方法还包括：按照第一预设周期，对样本文件的排序中已完成所述动态分析的样本文件的相关信息进行处理。

可选的，该方法还包括：按照第二预设周期，对已完成所述动态分析的所述样本文件的分析结果进行清理。

可选的，动态引擎配置参数包括：所述动态引擎设备对各样本文件的分析时长和分析环境。

另一方面，本申请还提供一种实现样本分析的装置，包括：评估单元、确定单元及送检单元；其中，

评估单元设置为，按照预设的评估策略对各样本文件对应的一个或一个以上分析信息进行综合评估；

确定单元设置为，根据所有样本文件的综合评估的结果对样本文件进行排序，以确定各样本文件的送检优先级；

送检单元设置为，根据各样本文件的排序发送样本文件到动态分析引擎进行动态分析。

可选的，该装置还包括生成配置单元设置为，所述动态分析之前，根据各所述样本文件的送检优先级生成各所述样本文件的动态引擎配置参数并发往动态引擎设备，以使动态引擎设备根据所述动态引擎配置参数对各样本文件进行动态分析；

所述动态引擎配置参数包括：所述动态引擎设备对各样本文件的分析时长和分析环境。

可选的，样本文件为来自前端的样本文件；

所述前端包括：一个或一个以上静态引擎设备、和/或网页WEB端、和/或其他对样本文件进行分析信息输出的服务端。

可选的，评估单元具体设置为，

为所述分析信息中的各分析参数设置相应的评估值；

根据设置的各所述分析参数的评估值对所述样本文件包含的各分析信息分别进行评估统计，

以各所述分析信息的评估统计结果确定各样本文件的综合评估；

分析参数包括：样本文件是否加壳、和/或样本文件是否为可信任厂商版本、和/或样本文件的文件类型、和/或样本文件为可执行文件时可执行文件熵是否正常、和/或样本文件为可执行文件时可执行文件载入地址是否正常。

可选的，评估单元具体设置为，

为所述分析信息中的各分析参数设置相应的评估值；

根据设置的各所述分析参数的评估值对所述样本文件包含的各分析信息分别进行评估统计，

对各样本文件，预先设置样本信息各所述分析信息对应的评估统计相应的综合评估权重；

将所述样本文件的各分析信息的评估统计分别乘以各分析信息相应的所述综合评估权重后进行累加，以累加结果作为样本文件的所述综合评估。

可选的，确定单元具体设置为，

根据所述综合评估的数值大小确定各所述样本文件的优先级高低；

根据各所述样本文件的优先级高低，对所述样本文件按照优先级由高到低的顺序进行排序，以确定各样本文件的送检优先级。

可选的，该装置还包括接收保存单元，设置为所述进行综合评估之前，接收所述样本文件的分析信息，并对各样本文件的分析信息进行区分保存。

可选的，接收保存单元具体设置为，所述进行综合评估之前，

当接收的所述分析信息为新增样本文件的分析信息时，通过预设的文件标识保存所述新增样本文件的分析信息；

当接收的所述分析信息为已有样本文件的来自不同前端的分析信息时，以已有样本文件的文件标识保存所述分析信息；

当接收的所述分析信息出现异常或超时，删除所述分析信息和所述分析信息的相关记录。

可选的，确定单元具体设置为，基于所述文件标识，根据所有样本文件的综合评估的结果对所述样本文件进行排序。

可选的，该装置还包括第一删除单元设置为，

当样本文件的所述综合评估的数值小于预设的评估阈值时，将该样本文件从发往动态分析引擎的排序中删除；

所述综合评估数值的高低与所述送检优先级成正比。

可选的，该装置还包括第二删除单元设置为，

排序的所述样本文件的数量大于预设的负载阈值时，按照发往动态分析引擎的排序，将排序在负载阈值之后的样本文件从排序中删除；

所述样本文件按照送检优先级由高到低的顺序进行排序。

该装置还该装置还包括第一周期清理单元，设置为按照第一预设周期，对样本文件的排序中已完成所述动态分析的样本文件的相关信息进行处理。

可选的，该装置还包括第二周期清理单元，设置为按照第二预设周期，对已完成所述动态分析的所述样本文件的分析结果进行清理。

还一方面，本申请还提供一种实现样本分析的动态引擎设备，包括：接收单元、配置单元和分析单元；其中，

接收单元设置为，接收按照综合评估进行排序的样本文件；

根据接收的外部根据接收的外部指令或预先设置的配置策略进行各所述样本文件动态引擎配置参数的配置；

分析单元设置为，根据配置的所述动态引擎配置参数进行各样本文件进行动态分析。

根据本发明的又一个实施例，还提供了一种存储介质。该存储介质设置为存储用于执行以下步骤的程序代码：

按照预设的评估策略对各样本文件对应的一个或一个以上分析信息进行综合评估；根据所有样本文件的综合评估的结果对样本文件进行排序，以确定各样本文件的送检优先级；根据各样本文件的排序发送样本文件到动态分析引擎进行动态分析。

可选地，存储介质还设置为存储用于执行以下步骤的程序代码：

根据各所述样本文件的送检优先级生成各所述样本文件的动态引擎配置参数并发往动态引擎设备，以使动态引擎设备根据所述动态引擎配置参数对各样本文件进行动态分析；或，所述动态引擎设备接收外部指令，根据接收的外部指令进行各所述样本文件动态引擎配置参数的配置，并根据配置的所述动态引擎配置参数进行各样本文件进行动态引擎分析；或，所述动态引擎设备按照预先设置的配置策略进行各所述样本文件动态引擎配置参数的配置，并根据配置的所述动态引擎配置参数进行各样本文件的动态分析。

与现有技术相比，本申请技术方案包括：按照预设的评估策略对各样本文件对应的一个或一个以上分析信息进行综合评估；根据所有样本文件的综合评估的结果对样本文件进行排序，以确定各样本文件的送检优先级；根据各样本文件的排序发送样本文件到动态分析引擎进行动态分析。本发明方法通过样本文件的分析信息对各样本文件进行综合评估，根据综合评估结果的排序进行动态分析，降低了低威胁性的样本文件对动态引擎设备的占用，提高了样本有效检测的效率。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为现有样本文件分析流向示意图；

图2为本发明实施例实现样本文件分析的方法的流程图；

图3为本发明实施例实现样本分析的装置的结构框图；

图4为本发明实施例实现样本分析的动态引擎设备的结构框图；

图5为本发明应用示例的方法流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

图2为本发明实施例实现样本文件分析的方法的流程图，如图2所示，包括：

步骤200、按照预设的评估策略对各样本文件对应的一个或一个以上分析信息进行综合评估。

可选的，本发明实施例样本文件为来自前端的样本文件；

前端包括：一个或一个以上静态引擎设备、和/或网页WEB端、和/或其他对样本文件进行分析信息输出的服务端。

本步骤中，预设的评估策略包括：

为分析信息中的各分析参数设置相应的评估值；

根据设置的各分析参数的评估值对样本文件包含的各分析信息分别进行评估统计，

以各分析信息的评估统计结果确定各样本文件的综合评估。

可选的，分析参数包括：样本文件是否加壳、和/或样本文件是否为可信任厂商版本、和/或样本文件的文件类型、和/或样本文件为可执行文件时可执行文件熵是否正常、和/或样本文件为可执行文件时可执行文件载入地址是否正常。

需要说明的是，为各分析参数设置相应的评估值可以根据本领域技术人员的经验分析进行确定；送检优先级可以通过样本文件的文件优先级或样本文件的威胁程度高低确定；例如、如果威胁程度高通过评估值高来表示，则样本文件加壳时比样本文件未加壳时威胁程度更高，以此为依据设置分析参数为样本文件是否加壳时的评估值可以是：样本文件加壳，评估值为1；样本文件未加壳，评估值为0；同理，样本文件为可信任厂商版本，威胁程度低，可以设置评估值为0；样本文件不是可信任厂商版本，威胁程度高，可以设置评估值为1；样本文件为可执行文件时可执行文件熵正常，威胁程度低，可以设置评估值为0；样本文件为可执行文件时可执行文件熵不正常，威胁程度高，可以设置评估值为1；样本文件为可执行文件时可执行文件载入地址正常，威胁程度低，可以设置评估值为0；样本文件为可执行文件时可执行文件载入地址不正常，威胁程度高，可以设置评估值为1；另外，不同分析参数的评估值可以不同，例如样本文件加壳时，标识威胁程度高，可以采用评估值为1表示；样本文件不是可信任厂商版本，威胁程度也为高，可以设置与样本文件加壳不一样的评估值表示，例如设置评估值为1.2。

另外，当只有样本文件的文件类型一个分析参数时，本发明实施例可以以样本文件的文件类型的优先级等级进行综合评估，即以样本文件的文件类型的评估值高低作为优先级等级的判断依据。

进一步地，确定各样本文件的综合评估包括：

对各样本文件，预先设置样本信息各分析信息对应的评估统计相应的综合评估权重；

将样本文件的各分析信息的评估统计分别乘以各分析信息相应的综 合评估权重后进行累加，以累加结果作为样本文件的综合评估。

需要说明的是，各分析信息的综合评估权重可以根据分析信息包含的分析参数是否详尽，以及分析参数与威胁程度高低分析的关联程度进行分析确定，分析参数越详尽，综合评估权重越高；分析参数与威胁程度关联性越强，综合评估权重越高，具体综合评估权重数值设置可以根据本领域技术人员根据实际情况进行分析设置。

步骤201、根据所有样本文件的综合评估的结果对样本文件进行排序，以确定各样本文件的送检优先级；

可选的，

对样本文件进行排序包括：

根据综合评估的数值大小确定各样本文件的优先级高低；

根据各样本文件的优先级高低，对样本文件按照优先级由高到低的顺序进行排序。

步骤202、根据各样本文件的排序发送样本文件到动态分析引擎进行动态分析。

动态分析之前，本发明实施例方法还包括：

根据各样本文件的送检优先级生成各样本文件的动态引擎配置参数并发往动态引擎设备，以使动态引擎设备根据动态引擎配置参数对各样本文件进行动态分析；或，

动态引擎设备接收外部指令，根据接收的外部指令进行各样本文件动态引擎配置参数的配置，并根据配置的动态引擎配置参数进行各样本文件进行动态分析；或，

动态引擎设备按照预先设置的配置策略进行各所述样本文件动态引擎配置参数的配置，并根据配置的所述动态引擎配置参数进行各样本文件的动态分析。

需要说明的是，如果样本文件的综合评估数值高表示样本文件的送检 优先级高，则动态引擎配置参数中的分析时长较送检优先级低的样本文件的分析时长更长，分析环境较送检优先级低的样本文件的分析环境更多。通过更长的分析时长及更多的分析环境可以增强对样本文件的检测，确定样本文件是否包含恶意文件；预先设置的配置策略或外部指令基于以上对分析时长和分析环境的配置进行设置。

进行综合评估之前，本发明实施例方法还包括：

接收样本文件的分析信息，并对各样本文件的分析信息进行区分保存。

可选的，对各样本文件的分析信息进行区分保存包括：

当接收的分析信息为新增样本文件的分析信息时，通过预设的文件标识保存新增样本文件的分析信息；

当接收的分析信息为已有样本文件的来自不同前端的分析信息时，以已有样本文件的文件标识保存分析信息；

当接收的分析信息出现异常或超时，删除分析信息和分析信息的相关记录。

可选的，对所有样本文件的进行排序具体包括：

基于文件标识，根据所有样本文件的综合评估的结果对样本文件进行排序。

本发明实施例方法还包括：

当样本文件的综合评估的数值小于预设的评估阈值时，将该样本文件从发往动态分析引擎的排序中删除；

综合评估数值的高低与送检优先级成正比。

需要说明的是，评估阈值的大小根据动态引擎设备的实时分析能力进行确定，如果动态引擎设备分析能力足以进行所有样本文件的分析时，则评估阈值可以设定为足够小，评估阈值的设定是为了对动态引擎设备无法满足分析实时性需求的样本文件进行删除，避免样本文件堆积。另外，如 果综合评估高低与送检优先级高低成反比时，综合评估大于定义的新定义的评估阈值的样本文件进行从排序中的删除处理。

本发明实施例方法还包括：

排序的样本文件的数量大于预设的负载阈值时，按照发往动态分析引擎的排序，将排序在负载阈值之后的样本文件从排序中删除；

样本文件按照送检优先级由高到低的顺序进行排序。

需要说明的是，负载阈值的大小根据动态引擎设备的实时分析能力进行确定，负载阈值的设定是为了对动态引擎设备无法满足分析实时性需求的样本文件进行删除，避免样本文件堆积。

本发明实施例方法还包括：按照第一预设周期，对样本文件的排序中已完成动态分析的样本文件的相关信息进行处理。

内存大小、动态引擎设备的分析能力进行确定，内存越大，第一预设周期越大；动态引擎设备的分析能力越强，第一预设周期越小。具体设置可以根据本领域技术人员根据实际分内存大小、动态引擎设备的分析能力进行确定，内存越大，第一预设周期越大；动态引擎设备的分析能力越强，第一预设周期越小。具体设置可以根据本领域技术人员根据实际分析进行设置。

本发明实施例方法还包括：按照第二预设周期，对已完成动态分析的样本文件的分析结果进行清理。

第二预设周期大小的具体设置可以根据本领域技术人员根据实际分析进行确定。第二预设周期大小的第二预设周期大小的具体设置可以根据本领域技术人员根据实际分析进行确定。

本发明方法通过样本文件的分析信息对各样本文件进行综合评估，根据综合评估结果的排序进行动态分析，降低了低威胁性的样本文件对动态引擎设备的占用，提高了样本有效检测的效率。

图3为本发明实施例实现样本分析的装置的结构框图，如图3所示， 包括：评估单元、确定单元及送检单元；其中，

评估单元设置为，按照预设的评估策略对各样本文件对应的一个或一个以上分析信息进行综合评估；这里，样本文件为来自前端的样本文件；

前端包括：一个或一个以上静态引擎设备、和/或网页WEB端、和/或其他对样本文件进行分析信息输出的服务端。

评估单元具体设置为，

为分析信息中的各分析参数设置相应的评估值；

根据设置的各分析参数的评估值对样本文件包含的各分析信息分别进行评估统计，

以各分析信息的评估统计结果确定各样本文件的综合评估；

分析参数包括：样本文件是否加壳、和/或样本文件是否为可信任厂商版本、和/或样本文件的文件类型、和/或样本文件为可执行文件时可执行文件熵是否正常、和/或样本文件为可执行文件时可执行文件载入地址是否正常。

评估单元具体设置为，

为分析信息中的各分析参数设置相应的评估值；

根据设置的各分析参数的评估值对样本文件包含的各分析信息分别进行评估统计，

对各样本文件，预先设置样本信息各分析信息对应的评估统计相应的综合评估权重；

将样本文件的各分析信息的评估统计分别乘以各分析信息相应的综合评估权重后进行累加，以累加结果作为样本文件的综合评估。

确定单元设置为，根据所有样本文件的综合评估的结果对样本文件进行排序，以确定各样本文件的送检优先级；

确定单元具体设置为，

根据综合评估的数值大小确定各样本文件的优先级高低；

根据各样本文件的优先级高低，对样本文件按照优先级由高到低的顺序进行排序，以确定各样本文件的送检优先级。

确定单元具体设置为，根据综合评估的数值大小确定各样本文件的优先级高低；

基于文件标识，根据各样本文件的优先级高低对样本文件按照优先级由高到低的顺序进行排序。

送检单元设置为，根据各样本文件的排序发送样本文件到动态分析引擎进行动态分析。

本发明装置还包括生成配置单元设置为，动态分析之前，根据各样本文件的送检优先级生成各样本文件的动态引擎配置参数并发往动态引擎设备，以使动态引擎设备根据动态引擎配置参数对各样本文件进行动态分析。

本发明实施例装置还包括接收保存单元，设置为进行综合评估之前，接收样本文件的分析信息，并对各样本文件的分析信息进行区分保存。

接收保存单元具体设置为，进行综合评估之前，

当接收的分析信息为新增样本文件的分析信息时，通过预设的文件标识保存新增样本文件的分析信息；

当接收的分析信息为已有样本文件的来自不同前端的分析信息时，以已有样本文件的文件标识保存分析信息；

当接收的分析信息出现异常或超时，删除分析信息和分析信息的相关记录。

本发明实施例装置还包括第一删除单元设置为，

当样本文件的综合评估的数值小于预设的评估阈值时，将该样本文件从发往动态分析引擎的排序中删除；

综合评估数值的高低与送检优先级成正比。

本发明实施例装置还包括第二删除单元设置为，

排序的样本文件的数量大于预设的负载阈值时，按照发往动态分析引擎的排序，将排序在负载阈值之后的样本文件从排序中删除；

样本文件按照送检优先级由高到低的顺序进行排序。

本发明实施例装置还包括第一周期清理单元，设置为按照第一预设周期，对样本文件的排序中已完成动态分析的样本文件的相关信息进行处理。

本发明实施例装置还包括第二周期清理单元，设置为按照第二预设周期，对已完成动态分析的样本文件的分析结果进行清理。

需要说明的是，本发明实施例装置可以独立存在，与动态引擎设备进行通信连接，也可以直接与动态分析引擎进行融合设置。

图4为本发明实施例实现样本分析的动态引擎设备的结构框图，如图4所示，包括：接收单元、配置单元和分析单元；其中，

接收单元设置为，接收按照综合评估进行排序的样本文件；

根据接收的外部根据接收的外部指令或预先设置的配置策略进行各样本文件动态引擎配置参数的配置；

分析单元设置为，根据配置的动态引擎配置参数进行各样本文件进行动态分析。

以下通过具体应用示例对本发明方法进行清楚详细的说明，应用示例仅用于陈述本发明，并不用于限定本发明方法的保护范围。

应用示例

本应用示例送检优先级根据威胁程度高低确定，并假设分析参数评估值高表示威胁程度高，相应的分析信息综合评估数值高时，威胁程度高；样本文件的综合评估数值低时，威胁程度低；

本应用示例进行综合评估计算时，根据分析信息中分析参数的种类多少设定各分析信息的综合评估权重，即分析信息中分析参数越多，综合评 估权重数值越大；

应用示例的方应用示例的方法流程图，如图5所示，包括：

步骤500、接收样本文件的分析信息，并对各样本文件的分析信息进行区分保存。

可选的，对各样本文件的分析信息进行区分保存包括：

当接收的分析信息为新增样本文件的分析信息时，通过预设的文件标识保存新增样本文件的分析信息；

当接收的分析信息为已有样本文件的来自不同前端的分析信息时，以已有样本文件的文件标识保存分析信息；

当接收的分析信息出现异常或超时，删除分析信息和分析信息的相关记录。

本应用示例，样本文件为来自前端的样本文件；前端包括：一个或一个以上静态引擎设备、和/或网页WEB端、和/或其他对样本文件进行分析信息输出的服务端。

按照预设的评估策略对各样本文按照预设的评估策略对各样本文件包含的一个或一个以上分析信息进行综合评估；

这里，预设的评估策略包括：

为分析信息中的各分析参数设置相应的评估值；

根据设置的各分析参数的评估值对样本文件包含的各分析信息分别进行评估统计；

对各样本文件，预先设置样本信息各分析信息对应的评估统计相应的综合评估权重；

将样本文件的各分析信息的评估统计分别乘以各分析信息相应的综合评估权重后进行累加，以累加结果作为样本文件的综合评估。

可选的，分析参数包括：样本文件是否加壳、和/或样本文件是否为可信任厂商版本、和/或样本文件的文件类型、和/或样本文件为可执行文件 时可执行文件熵是否正常、和/或样本文件为可执行文件时可执行文件载入地址是否正常。

本应用示例设定：样本文件加壳时，威胁程度高，评估值为1；样本文件未加壳，威胁程度低，评估值为0；样本文件为可信任厂商版本，威胁程度低，设置评估值为0；样本文件不是可信任厂商版本，威胁程度高，设置评估值为1；样本文件为可执行文件时可执行文件熵正常，威胁程度低，设置评估值为0；样本文件为可执行文件时可执行文件熵不正常，威胁程度高，设置评估值为1；样本文件为可执行文件时可执行文件载入地址正常，威胁程度低，设置评估值为0；样本文件为可执行文件时可执行文件载入地址不正常，威胁程度高，设置评估值为1；应用示例中不同分析参数的评估值可以不同，例如、样本文件加壳时，标识威胁程度高，可以采用评估值为1表示；样本文件不是可信任厂商版本，威胁程度也为高，可以设置与样本文件加壳不一样的评估值表示，例如设置评估值为1.2。

步骤502、根据所有样本文件的综合评估的结果对样本文件进行排序；这里，通过综合评估的排序可以确定各样本文件的送检优先级；

本应用示例，综合评估数值高时表示威胁程度高，因此，按照综合评估数值由高到低排序是指是将样本文件按照威胁程度由高到低进行排序，相应的送检优先级也是由高到低进行排序；

本应用示例，基于文件标识，可以根据文件标识对样本文件的综合评估的数值大小进行排序。及通过数据库记录文件标识及评分，进行样本文件的排序。

步骤503、当样本文件的综合评估的数值小于预设的评估阈值时，将该样本文件从发往动态分析引擎的排序中删除；

本应用示例，评估阈值的大小根据动态引擎设备的实时分析能力进行确定，如果动态引擎设备分析能力足以进行所有样本文件的分析时，则评估阈值可以设定为足够小，评估阈值的设定是为了对动态引擎设备无法满足分析实时性需求的样本文件进行删除，避免样本文件堆积。另外，如果 综合评分高低与威胁程度高低成反比时，综合评分大于定义的另一评估阈值的样本文件进行从排序中的删除处理。

步骤504、排序的样本文件的数量大于预设的负载阈值时，按照发往动态分析引擎的排序，将排序在负载阈值之后的样本文件从排序中删除。

这里，样本文件的排序按照威胁程度有大到小顺序进行，即样本文件按照送检优先级由高到低的顺序进行排序。

需要说明的是，负载阈值的大小根据动态引擎设备的实时分析能力进行确定，负载阈值的设定是为了对动态引擎设备无法满足分析实时性需求的样本文件进行删除，避免样本文件堆积。

步骤505、根据各样本文件的送检优先级生成各样本文件的动态引擎配置参数并发往动态引擎设备。

动态引擎配置参数包括：动态引擎设备对各样本文件的分析时长和分析环境。

步骤506、根据各样本文件的排序发送样本文件到动态分析引擎进行动态分析。

本应用示例方法还包括：

按照第一预设周期，对样本文件的排序中已完成动态引擎分析的样本文件的相关信息进行处理。

按照第二预设周期，对已完成动态引擎分析的样本文件的分析结果进行清理。

可选地，本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例，本实施例在此不再赘述。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执 行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

工业实用性

通过本发明实施例的方案，按照预设的评估策略对各样本文件对应的一个或一个以上分析信息进行综合评估；根据所有样本文件的综合评估的结果对样本文件进行排序，以确定各样本文件的送检优先级；根据各样本文件的排序发送样本文件到动态分析引擎进行动态分析。本发明方法通过样本文件的分析信息对各样本文件进行综合评估，根据综合评估结果的排序进行动态分析，降低了低威胁性的样本文件对动态引擎设备的占用，提高了样本有效检测的效率。

Claims (29)

1. 一种实现样本分析的方法，包括：对所有样本文件，

   按照预设的评估策略对各样本文件对应的一个或一个以上分析信息进行综合评估；

   根据所有样本文件的综合评估的结果对样本文件进行排序，以确定各样本文件的送检优先级；

   根据各样本文件的排序发送样本文件到动态分析引擎进行动态分析。
2. 根据权利要求1所述的方法，其中，所述动态分析之前，该方法还包括：

   根据各所述样本文件的送检优先级生成各所述样本文件的动态引擎配置参数并发往动态引擎设备，以使动态引擎设备根据所述动态引擎配置参数对各样本文件进行动态分析；或，

   所述动态引擎设备接收外部指令，根据接收的外部指令进行各所述样本文件动态引擎配置参数的配置，并根据配置的所述动态引擎配置参数进行各样本文件进行动态引擎分析；或，

   所述动态引擎设备按照预先设置的配置策略进行各所述样本文件动态引擎配置参数的配置，并根据配置的所述动态引擎配置参数进行各样本文件的动态分析。
3. 根据权利要求1或2所述的方法，其中，所述样本文件为来自前端的样本文件；

   所述前端包括：一个或一个以上静态引擎设备、和/或网页WEB端、和/或其他对样本文件进行分析信息输出的服务端。
4. 根据权利要求1所述的方法，其中，所述预设的评估策略包括：

   为所述分析信息中的各分析参数设置相应的评估值；

   根据设置的各所述分析参数的评估值对所述样本文件包含的各分析信息分别进行评估统计；

   以各所述分析信息的评估统计结果确定各样本文件的综合评估。
5. 根据权利要求4所述的方法，其中，所述分析参数包括：样本文件是否加壳、和/或样本文件是否为可信任厂商版本、和/或样本文件的文件类型、和/或样本文件为可执行文件时可执行文件熵是否正常、和/或样本文件为可执行文件时可执行文件载入地址是否正常。
6. 根据权利要求4或5所述的方法，其中，所述确定各样本文件的综合评估包括：

   对各样本文件，预先设置样本信息各所述分析信息对应的评估统计相应的综合评估权重；

   将所述样本文件的各分析信息的评估统计分别乘以各分析信息相应的所述综合评估权重后进行累加，以累加结果作为样本文件的所述综合评估。
7. 根据权利要求6所述的方法，其中，所述对样本文件进行排序包括：

   根据所述综合评估的数值大小确定各所述样本文件的优先级高低；

   根据各所述样本文件的优先级高低，对所述样本文件按照优先级由高到低的顺序进行排序。
8. 根据权利要求1、2、4或5所述的方法，其中，所述进行综合评估之前，该方法还包括：

   接收所述样本文件的分析信息，并对各样本文件的分析信息进行区分保存。
9. 根据权利要求8所述的方法，其中，所述对各样本文件的分析信息进行区分保存包括：

   当接收的所述分析信息为新增样本文件的分析信息时，通过预设的文件标识保存所述新增样本文件的分析信息；

   当接收的所述分析信息为已有样本文件的来自不同前端的分析信息时，以已有样本文件的文件标识保存所述分析信息；

   当接收的所述分析信息出现异常或超时，删除所述分析信息和所述分析信息的相关记录。
10. 根据权利要求9所述的方法，其中，所述对所有样本文件的进行排序具体包括：

    基于所述文件标识，根据所有样本文件的综合评估的结果对所述样本文件进行排序。
11. 根据权利要求1、2、4或5所述的方法，其中，该方法还包括：

    当样本文件的所述综合评估的数值小于预设的评估阈值时，将该样本文件从发往动态分析引擎的排序中删除；

    所述综合评估数值的高低与所述送检优先级成正比。
12. 根据权利要求1、2、4或5所述的方法，其中，该方法还包括：

    排序的所述样本文件的数量大于预设的负载阈值时，按照发往动态分析引擎的排序，将排序在负载阈值之后的样本文件从排序中删除；

    所述样本文件按照送检优先级由高到低的顺序进行排序。
13. 根据权利要求1、2、4或5所述的方法，其中，该方法还包括：按照第一预设周期，对样本文件的排序中已完成所述动态分析的样本文件的相关信息进行处理。
14. 根据权利要求1、2、4或5所述的方法，其中，该方法还包括：按照第二预设周期，对已完成所述动态分析的所述样本文件的分析结果进行清理。
15. 根据权利要求2所述的方法，其中，所述动态引擎配置参数包括：所述动态引擎设备对各样本文件的分析时长和分析环境。
16. 一种实现样本分析的装置，包括：评估单元、确定单元及送检单元；其中，

    评估单元设置为，按照预设的评估策略对各样本文件对应的一个或一个以上分析信息进行综合评估；

    确定单元设置为，根据所有样本文件的综合评估的结果对样本文件进行排序，以确定各样本文件的送检优先级；

    送检单元设置为，根据各样本文件的排序发送样本文件到动态分析引擎进行动态分析。
17. 根据权利要求16所述的装置，其中，该装置还包括生成配置单元设置为，所述动态分析之前，根据各所述样本文件的送检优先级生成各所述样本文件的动态引擎配置参数并发往动态引擎设备，以使动态引擎设备根据所述动态引擎配置参数对各样本文件进行动态分析；

    所述动态引擎配置参数包括：所述动态引擎设备对各样本文件的分析时长和分析环境。
18. 根据权利要求16或17所述的装置，其中，所述样本文件为来自前端的样本文件；

    所述前端包括：一个或一个以上静态引擎设备、和/或网页WEB端、和/或其他对样本文件进行分析信息输出的服务端。
19. 根据权利要求16所述的装置，其中，所述评估单元具体设 置为，

    为所述分析信息中的各分析参数设置相应的评估值；

    根据设置的各所述分析参数的评估值对所述样本文件包含的各分析信息分别进行评估统计，

    以各所述分析信息的评估统计结果确定各样本文件的综合评估；

    所述分析参数包括：样本文件是否加壳、和/或样本文件是否为可信任厂商版本、和/或样本文件的文件类型、和/或样本文件为可执行文件时可执行文件熵是否正常、和/或样本文件为可执行文件时可执行文件载入地址是否正常。
20. 根据权利要求19所述的装置，其中，所述评估单元具体设置为，

    为所述分析信息中的各分析参数设置相应的评估值；

    根据设置的各所述分析参数的评估值对所述样本文件包含的各分析信息分别进行评估统计，

    对各样本文件，预先设置样本信息各所述分析信息对应的评估统计相应的综合评估权重；

    将所述样本文件的各分析信息的评估统计分别乘以各分析信息相应的所述综合评估权重后进行累加，以累加结果作为样本文件的所述综合评估。
21. 根据权利要求20所述的装置，其中，所述确定单元具体设置为，

    根据所述综合评估的数值大小确定各所述样本文件的优先级高低；

    根据各所述样本文件的优先级高低，对所述样本文件按照优先级由高到低的顺序进行排序，以确定各样本文件的送检优先级。
22. 根据权利要求16、17、19或20所述的装置，其中，该装置还包括接收保存单元，设置为所述进行综合评估之前，接收所述样本文件的分析信息，并对各样本文件的分析信息进行区分保存。
23. 根据权利要求22所述的装置，其中，所述接收保存单元具体设置为，所述进行综合评估之前，

    当接收的所述分析信息为新增样本文件的分析信息时，通过预设的文件标识保存所述新增样本文件的分析信息；

    当接收的所述分析信息为已有样本文件的来自不同前端的分析信息时，以已有样本文件的文件标识保存所述分析信息；

    当接收的所述分析信息出现异常或超时，删除所述分析信息和所述分析信息的相关记录。
24. 根据权利要求23所述的装置，其中，所述确定单元具体设置为，基于所述文件标识，根据所有样本文件的综合评估的结果对所述样本文件进行排序。
25. 根据权利要求16、17、19或20所述的装置，其中，该装置还包括第一删除单元设置为，

    当样本文件的所述综合评估的数值小于预设的评估阈值时，将该样本文件从发往动态分析引擎的排序中删除；

    所述综合评估数值的高低与所述送检优先级成正比。
26. 根据权利要求16、17、19或20所述的装置，其中，该装置还包括第二删除单元设置为，

    排序的所述样本文件的数量大于预设的负载阈值时，按照发往动态分析引擎的排序，将排序在负载阈值之后的样本文件从排序中删除；

    所述样本文件按照送检优先级由高到低的顺序进行排序。
27. 根据权利要求16、17、19或20所述的装置，其中，该装置还包括第一周期清理单元，设置为按照第一预设周期，对样本文件的排序中已完成所述动态分析的样本文件的相关信息进行处理。
28. 根据权利要求16、17、19或20所述的装置，其中，该装置还包括第二周期清理单元，设置为按照第二预设周期，对已完成所述动态分析的所述样本文件的分析结果进行清理。
29. 一种实现样本分析的动态引擎设备，包括：接收单元、配置单元和分析单元；其中，

    接收单元设置为，接收按照综合评估进行排序的样本文件；

    配置单元设置为，根据接收的外部指令或预先设置的配置策略进行各所述样本文件动态引擎配置参数的配置；

    分析单元设置为，根据配置的所述动态引擎配置参数进行各样本文件进行动态分析。

Images