WO2018019010A1

WO2018019010A1 - 动态行为分析方法、装置、系统及设备

Info

Publication number: WO2018019010A1
Application number: PCT/CN2017/085187
Authority: WO
Inventors: 王静; 马苏安; 王继刚
Original assignee: 中兴通讯股份有限公司
Priority date: 2016-07-25
Filing date: 2017-05-19
Publication date: 2018-02-01
Also published as: CN107659540A; CN107659540B

Abstract

本文公布一种动态行为分析方法、装置、系统及设备，其中，该方法包括：采集样本文件并获取所述样本文件对应的环境信息；根据所述环境信息配置或者选择匹配的镜像环境；在所述镜像环境中对所述样本文件进行动态行为分析。

Description

动态行为分析方法、装置、系统及设备

技术领域

本申请涉及但不限于通信领域，尤指一种动态行为分析方法、装置、系统及设备。

背景技术

极光攻击、震网攻击、夜龙攻击、RSA令牌种子窃取等重大网络安全事件使得一种具有攻击手法高级、持续时间长、攻击目标明确等特征的攻击类型出现在公众视野中，国际上称之为APT(Advanced Persistent Threat,高级持续性威胁)攻击。这类攻击不仅使用传统的病毒、木马作为攻击手段，更以邮件等社会工程学方式进行“先导攻击”，向用户发送精心构造使用0Day漏洞的文件。一旦用户打开相关文件，漏洞就会被触发，攻击代码注入到用户系统，并进行后续下载其它病毒、木马等操作以利长期潜伏作业。而传统防火墙、企业反病毒软件等对此类无特征签名的恶意文件或代码的检测和防护能力非常有限。

APT攻击检测防御技术已成为新一代网络安全的研究热点，其中包括两项技术难点：一是如何快速检测利用未知漏洞的攻击，二是如何准确分析攻击的漏洞利用原理。对于如何快速检测利用未知漏洞的攻击，国内外对此展开了一系列研究，提出了多种方法，其中具有代表性的是基于文件或样本的动态行为分析技术。此种技术主要针对APT攻击过程中的恶意代码植入过程，通过沙箱、虚拟机等可控环境动态分析进入受保护系统的可疑样本文件的动态行为，识别恶意行为和攻击代码，阻止恶意代码植入，防止后续破坏行为的发生。此种技术能够在攻击发生前进行检测和防护，从而避免受保护系统受到各种网络攻击的影响。

图1是动态行为分析技术在实际场景的应用示意图，如图1所示，用户网络的流量通过旁路镜像方式导出到样本采集设备，样本采集设备实时分析进/出网络的数据流量，解析并提取网络流量中的可疑样本文件送入动态行为分析引擎设备中，利用独立且受保护的虚拟分析系统模拟实际环境和用户行为操作可疑样本文件，识别可疑样本文件的漏洞利用、文件释放、系统修改等攻击行为。

动态行为分析引擎设备接收样本采集设备提交的样本文件，然后根据样本的文件格式和版本发送到不同的虚拟机进行执行。引擎设备模拟用户设备的环境，激发样本的恶意行为。引擎设备支持多样本并发分析，每个样本运行在独立的受控环境中，图2是定制虚拟系统镜像示例的示意图，如图2所示，可以根据不同的部署环境，搭配定制的虚拟系统镜像。由于用户设备环境(例如操作系统、硬件、安装的软件版本)千差万别，将可疑样本文件归类到若干个定制的虚拟系统镜像中与实际的用户PC(Personal Computer，个人计算机)环境还是有一定的差距，不精确的用户环境无法充分激发样本的恶意行为，漏报会造成用户网络的安全隐患。

发明概述

以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。

本发明实施例提供了一种动态行为分析方法、装置、系统及设备，以充分激发在检测时将样本的恶意行为。

根据本发明的一个实施例，提供了一种动态行为分析方法，包括：采集样本文件并获取所述样本文件对应的环境信息；根据所述环境信息配置或者选择匹配的镜像环境；在所述镜像环境中对所述样本文件进行动态行为分析。

在一实施方式中，采集样本文件并获取所述样本文件对应的环境信息包括：采集所述样本文件和所述样本文件所在的流量中的标识信息；根据所述标识信息查询得到所述样本文件对应的环境信息。

在一实施方式中，在根据所述标识信息查询得到所述样本文件对应的环境信息之前，还包括：接收从用户设备传输的所述用户设备的环境信息；将所述用户设备的环境信息进行保存。

在一实施方式中，将所述用户设备的环境信息进行保存包括：将同一用户设备对应的环境信息保存至同一条目中。

在一实施方式中，根据所述标识信息查询得到所述样本文件对应的环境信息包括：根据所述标识信息查询相应的用户设备；将查询到的用户设备对应的环境信息作为根据所述标识信息查询得到所述样本文件对应的环境信息。

在一实施方式中，接收从用户设备传输的所述用户设备的环境信息包括：接收用户设备在首次获取到自身环境信息时，发送的所述环境信息；或者，接收用户设备在发现自身环境信息发生改变时，发送的所述环境信息；或者，接收用户设备周期性发送的所述环境信息。

在一实施方式中，在将所述用户设备的环境信息进行保存之后，还包括：为保存的环境信息分别设置定时器，并在定时器超时后删除对应的环境信息。

在一实施方式中，所述标识信息包括以下至少之一：IP(Internet Protocol，网际协议)地址、MAC(Media Access Control，媒体接入控制)地址、邮件地址。

在一实施方式中，所述环境信息包括硬件信息，软件信息和用户信息，其中：所述硬件信息包括以下至少之一：设备的操作系统信息、内存信息、硬盘信息；所述软件信息包括以下至少之一：已安装的软件列表，已安装的每个软件对应的版本；所述用户信息包括以下至少之一：IP地址、MAC地址、用户名/ID(Identity，标识)、邮件地址。

在一实施方式中，在采集所述样本文件并获取所述样本文件所在的流量中的标识信息之后，还包括：根据所述标识信息确定分析所述样本文件的优先级；所述在所述镜像环境中对所述样本文件进行动态行为分析包括：根据所述优先级对所述样本文件进行动态行为分析。

在一实施方式中，根据所述优先级对所述样本文件进行动态行为分析包括以下至少之一：按照优先级对获取到的样本文件进行排序，并依照排序结果对样本文件进行动态行为分析；在进行动态行为分析时，优先级越高的样本文件分析时间越长。

在一实施方式中，根据所述环境信息配置或者选择匹配的镜像环境包括：根据所述环境信息确定用户设备中运行所述样本文件的软件版本和系统参数；根据所述软件版本和系统参数检索匹配的镜像环境；在未检索到所述匹配的镜像环境时，建立相应的镜像环境；在检索到所述匹配的镜像环境时，选择检索到的所述镜像环境。

在一实施方式中，在所述镜像环境中对所述样本文件进行动态行为分析包括：在将相同的样本文件发送至不同的镜像环境中的情况下，将所述相同的样本文件进行合并，并使用预设的典型镜像环境对合并的样本文件进行动态行为分析。

根据本发明的另一实施例，提供了一种动态行为分析装置，包括：获取模块，设置为采集样本文件并获取所述样本文件对应的环境信息；匹配模块，设置为根据所述环境信息配置或者选择匹配的镜像环境；动态行为分析模块，设置为在所述镜像环境中对所述样本文件进行动态行为分析。

在一实施方式中，所述获取模块包括：获取单元，设置为采集所述样本文件并获取所述样本文件所在的流量中的标识信息；查询单元，设置为根据所述标识信息查询得到所述样本文件对应的环境信息。

在一实施方式中，所述装置还包括：接收模块，设置为接收从用户设备传输的所述用户设备的环境信息；保存模块，设置为将所述用户设备的环境信息进行保存。

在一实施方式中，所述保存模块设置为：将同一用户设备对应的环境信息保存至同一条目中。

在一实施方式中，所述查询单元设置为：根据所述标识信息查询相应的用户设备；将查询到的用户设备对应的环境信息作为根据所述标识信息查询得到所述样本文件对应的环境信息。

在一实施方式中，所述接收模块设置为：接收用户设备在首次获取到自身环境信息时，发送的所述环境信息；或者，接收用户设备在发现自身环境信息发生改变时，发送的所述环境信息；或者，接收用户设备周期性发送的所述环境信息。

在一实施方式中，所述保存模块还设置为：为保存的环境信息分别设置定时器，并在定时器超时后删除对应的环境信息。

在一实施方式中，所述标识信息包括以下至少之一：IP地址、MAC地址、邮件地址。

在一实施方式中，所述环境信息包括硬件信息，软件信息和用户信息，其中：所述硬件信息包括以下至少之一：设备的操作系统信息、内存信息、硬盘信息；所述软件信息包括以下至少之一：已安装的软件列表，已安装的每个软件对应的版本；所述用户信息包括以下至少之一：IP地址、MAC地址、用户名/ID、邮件地址。

在一实施方式中，所述装置还包括：确定模块，设置为根据所述标识信息确定分析所述样本文件的优先级；所述动态行为分析模块还设置为根据所述优先级对所述样本文件进行动态行为分析。

在一实施方式中，所述动态行为分析模块包括以下至少之一：排序单元，设置为按照优先级对获取到的样本文件进行排序，并依照排序结果对样本文件进行动态行为分析；定时单元，设置为在进行动态行为分析时，控制优先级越高的样本文件分析时间越长。

在一实施方式中，所述匹配模块包括：确定单元，设置为根据所述环境信息确定用户设备中运行所述样本文件的软件版本和系统参数；检索单元，设置为根据所述软件版本和系统参数检索匹配的镜像环境；建立单元，设置为在未检索到所述匹配的镜像环境时，建立相应的镜像环境；选择单元，设置为在检索到所述匹配的镜像环境时，选择检索到的所述镜像环境。

在一实施方式中，在将相同的样本文件发送至不同的镜像环境中的情况下，所述动态行为分析模块设置为：将所述相同的样本文件进行合并，并使用预设的典型镜像环境对合并的样本文件进行动态行为分析。

根据本发明的另一实施例，还提供了另一种动态行为分析装置，包括：样本管理单元，设置为从流量中采集样本文件和标识信息，并将所述标识信息发送给环境信息存储单元；所述环境信息存储单元，设置为根据所述标识信息查询所述样本文件对应的环境信息，并将所述环境信息反馈给所述样本管理单元；所述样本管理单元还设置为将所述样本文件和所述环境信息发送给动态行为分析引擎；所述动态行为分析引擎，设置为依据所述环境信息选择相应的镜像环境，并在所述镜像环境中启动对所述样本文件的动态行为分析过程。

根据本发明的再一实施例，提供了一种动态行为分析系统，包括用户设备和上述的动态行为分析装置，所述用户设备还包括：发送模块，设置为将所述用户设备自身的环境信息发送给所述动态行为分析装置。

根据本发明的再一实施例，还提供了一种动态行为分析设备，包括：处理器；设置为存储所述处理器可执行指令的存储器；设置为根据所述处理器的控制进行信息收发通信的传输装置；其中，所述处理器设置为执行以下操作：控制所述传输装置采集样本文件并获取所述样本文件对应的环境信息；根据所述环境信息配置或者选择匹配的镜像环境；在所述镜像环境中对所述样本文件进行动态行为分析。

根据本发明的又一个实施例，还提供了一种存储介质。该存储介质设置为存储用于执行以下步骤的程序代码：采集样本文件并获取所述样本文件对应的环境信息；根据所述环境信息配置或者选择匹配的镜像环境；在所述镜像环境中对所述样本文件进行动态行为分析。

通过本发明实施例，在采集样本文件的同时将样本文件对应的环境信息也进行了获取，从而能够按照样本文件的环境对样本文件进行动态行为分析，能够在检测时将样本的恶意行为充分激发，防止了由于检测环境与实际环境不同而导致的漏报情况的出现，克服了安全隐患，提升了用户网络的安全性。

在阅读并理解了附图和详细描述后，可以明白其他方面。

附图概述

图1是动态行为分析技术在实际场景的应用示意图；

图2是定制虚拟系统镜像示例的示意图；

图3是根据本发明实施例的动态行为分析方法的流程图；

图4是根据本发明实施例的动态行为分析方法原理的流程图；

图5是根据本发明实施例中环境信息存储单元存储信息示例的示意图；

图6是根据本发明实施例中客户端对环境信息存储单元内容的操作示例的示意图；

图7是根据本发明实施例中样本文件分析的操作流程示意图；

图8是根据本发明实施例的动态行为分析装置的结构框图；

图9是根据本发明实施例的另一种动态行为分析装置的结构框图；

图10是根据本发明实施例的动态行为分析设备的硬件结构框图；

图11是根据本发明实施例中客户端软件的逻辑功能结构示意图；

图12是根据本发明实施例中环境信息存储单元的逻辑功能结构示意图；

图13是根据本发明实施例中样本管理单元的逻辑功能结构示意图；

图14是根据本发明实施例中动态行为分析引擎的逻辑功能结构示意图；

图15是根据本发明实施例的动态行为分析系统的结构框图。

详述

下文中将参考附图并结合实施例来详细说明本申请。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

需要说明的是，本发明实施例的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。

方法实施例

本实施例可以自动获得样本归属用户的设备环境信息，动态行为分析引擎可以在虚拟镜像环境中加载准确的样本激发环境，从而提高恶意样本的检出率。

在本实施例中提供了一种动态行为分析方法，图3是根据本发明实施例的动态行为分析方法的流程图，如图3所示，该流程包括如下步骤：

步骤S302，采集样本文件并获取所述样本文件对应的环境信息；

步骤S304，根据所述环境信息配置或者选择匹配的镜像环境；

步骤S306，在所述镜像环境中对所述样本文件进行动态行为分析。

通过上述步骤，在采集样本文件的同时将样本文件对应的环境信息也进行了获取，从而能够按照样本文件的环境对样本文件进行动态行为分析，能够在检测时将样本的恶意行为充分激发，防止了由于检测环境与实际环境不同而导致的漏报情况的出现，克服了安全隐患，提升了用户网络的安全性。

在一实施方式中，上述步骤的执行主体可以为服务器，或者独立的动态行为分析设备等，但不限于此。

在一实施方式中，上述标识信息可以是以下至少之一：IP地址、媒体接入控制(Media Access Control，简称为MAC)地址、邮件地址。而上述环境信息可以包括硬件信息，软件信息和用户信息，其中：所述硬件信息可以包括但不限于以下至少之一：设备的操作系统信息、内存信息、硬盘信息；所述软件信息可以包括但不限于以下至少之一：已安装的软件列表，已安装的每个软件对应的版本；所述用户信息可以包括但不限于以下至少之一：IP地址、MAC地址、用户名/ID、邮件地址。

作为一种实施方式，在步骤S302中，可以通过以下方式获取样本文件对应的环境信息：

在采集所述样本文件时，采集所述样本文件所在的流量中的标识信息；

将所述标识信息作为索引信息进行查询，进而得到所述样本文件对应的环境信息。

在一实施方式中，在上述步骤S302之前，可以先将每个用户设备的环境信息进行统一保存，以利于上述查询。其中，可以接收从用户设备传输的该用户设备的环境信息，并将所述用户设备的环境信息进行保存。而在上述保存过程中，可以按照用户设备对保存的环境信息进行划分，例如可以将同一用户设备对应的环境信息保存至同一条目中。

而对于用户设备而言，其可以通过但不限于以下几种方式至少之一确定发送自身环境信息的时机：

用户设备在首次获取到自身环境信息时，可以发送所述环境信息；或者，用户设备在发现自身环境信息发生改变时，可以发送所述环境信息；或者，用户设备也可以按照一定周期发送所述环境信息。

在一实施方式中，上述查询过程可以如下：先根据所述标识信息查询到相应的用户设备，然后将查询到的用户设备对应的环境信息作为根据所述标识信息查询得到所述样本文件对应的环境信息。

在一实施方式中，为了避免存储的环境信息由于长时间未更新而过时的情况(比如客户端工作异常)，可以为每个环境信息条目设置定时器(老化定时器)，并在该定时器超时后删除对应的环境信息。

作为一种实施方式，还可以为每个样本文件设置优先级。其中，可以在采集所述样本文件并获取所述样本文件所在的流量中的标识信息之后，根据所述标识信息确定分析所述样本文件的优先级，然后根据所述优先级对所述样本文件进行动态行为分析。

在一实施方式中，根据所述优先级对所述样本文件进行动态行为分析可以包括但不限于以下至少之一：

按照优先级对获取到的样本文件进行排序，并依照排序结果对样本文件进行动态行为分析，即优先级高的优先进行动态行为分析；以及

在进行动态行为分析时，优先级越高的样本文件分析时间越长。

作为一种实施方式，上述步骤S304可以按照以下方式实现：根据所述环境信息确定用户设备中运行所述样本文件的软件版本和系统参数；根据所述软件版本和系统参数检索匹配的镜像环境；在未检索到所述匹配的镜像环境时，建立相应的镜像环境；在检索到所述匹配的镜像环境时，选择检索到的所述镜像环境。

作为一种实施方式，上述步骤S306中，如果存在将相同的样本文件发送至不同的镜像环境中的情况，则可以将所述相同的样本文件进行合并，并使用预设的典型镜像环境对合并的样本文件进行动态行为分析。

在以下实施例中，提供了一种动态行为分析方法，该方法可包括如下内容：样本管理单元采集到样本文件后，向环境信息存储单元提供查询索引查询所述样本对应的设备环境信息。样本管理单元依据返回结果确定样本的分析优先级及分析参数(包括设备信息、分析时长等)，连同样本文件发送到动态行为分析引擎。动态行为分析引擎依据分析参数为样本文件选择或者配置镜像执行分析过程。所述环境信息存储单元中的设备环境信息由客户端软件采集后载入，客户端软件监控设备环境，维护相应的存储条目。

下面结合附图对上述方法进行详细说明。

图4是根据本发明实施例的动态行为分析方法原理的流程图，如图4所示，该方法包括如下步骤：

步骤S402，用户设备上安装客户端软件采集设备环境信息，包括但不限于硬件、软件信息、用户信息，例如设备的操作系统、内存、硬盘、安装的软件列表及对应的软件版本、IP地址、MAC地址、用户名/ID、邮件地址等。

步骤S404，客户端软件将采集到的用户设备环境信息上载到环境信息存储单元进行保存，每个用户设备采集到的信息保存到一个条目中。

步骤S406，样本管理单元包括样本文件采集和样本文件对应的环境信息查询功能。在采集样本文件的同时，提取流量中的标识类信息作为索引信息查询环境信息存储单元中的条目，获得样本文件对应的环境信息，标识类信息包括但不限于IP地址、MAC地址、邮件地址等，依据实际应用环境选择使用，本实施例中不做限定。

步骤S408，样本管理单元在完成样本环境信息查询后，确定样本分析优先级及分析参数，将样本文件连同分析参数送入动态行为分析引擎。分析参数包括样本对应用户设备环境的设备信息(软、硬件)、样本分析时长等。分析参数作为样本管理单元和动态行为分析引擎间的接口参数进行传递。

步骤S410，动态行为分析引擎依据样本对应的设备信息配置或者选择匹配的镜像，将样本投入到对应的镜像中运行，充分激发样本的行为。

图5是根据本发明实施例中环境信息存储单元存储信息示例的示意图，如图5所示，环境信息存储单元存储信息可以包括如下内容：

环境信息存储单元将每个客户端采集的环境信息按条目保存，每个条目可以包括如下内容：

1)用户信息

可为用户名、用户ID、用户邮件地址等。环境信息存储单元也可用此参数作为索引检索到样本对应设备的环境信息条目。

2)用户级别

样本管理单元可用此参数信息决定样本送入动态行为分析引擎的优先级及确定分析时间。例如对于网络中的重点用户样本文件优先送入分析引擎并给定较长的分析时间，确保此类用户误报率和漏报率都比较低。

3)IP地址

可为用户设备的IP地址。环境信息存储单元可用此参数作为索引检索到样本对应设备的环境信息条目。

4)MAC地址

可为用户设备的MAC地址。环境信息存储单元可用此参数作为索引检索到样本对应设备的环境信息条目。

5)设备信息

可为用户设备的硬件和软件信息。包括但不限于：CPU、内存、硬盘、软件类型、软件版本等。

图6是根据本发明实施例中客户端对环境信息存储单元内容的操作示例的示意图，如图6所示，客户端对环境信息存储单元内容的操作可以包括如下内容：

环境信息存储单元依据客户端发送的消息对存储的信息进行增加、更新和删除的操作。方式如下：

步骤S602，客户端在第一次检测到设备环境信息(例如设备启动加入网络)或者发现设备环境信息改变(例如重新分配IP地址、硬件配置、软件增删改等)时会触发上送信令的操作。客户端也可以启动定时器周期上送信令，确保环境信息存储单元中的设备环境信息的准确性。

客户端上送信令消息可以采用两种方式，步骤S604为方式一，步骤S606、S608为方式二。

步骤S602，客户端可以自行判定设备环境信息的新建、更新或者删除。其中，当设备初次启动时，客户端采集设备环境信息，向环境信息存储单元发送新建消息，环境信息存储单元根据信息中的设备MAC地址查询数据库，如果没此条目就新建，反之则在已有条目中更新信息。此处的校验措施是为了防止环境信息存储单元中有此设备旧的存储条目而导致后续查询错误；当设备环境信息发生改变时，客户端采集最新的设备环境信息，向环境信息存储单元发送更新消息，环境信息存储单元依据信息中的设备MAC地址查询数据库，检索到相关条目更新条目中的信息内容；当设备关机离网时，客户端发送删除消息，环境信息存储单元依据信息中的设备MAC地址查询数据库，检索到相关条目进行删除。删除消息为客户端可选操作消息，环境信息存储单元可以为每个条目设置老化定时器，如步骤S610所述，在老化定时器超时后删除条目内容。

步骤S606，客户端在满足步骤S602所述条件时就采集设备环境信息上载到环境信息存储单元中，不做新建、更新的消息区分。可选定义删除消息。

步骤S608，环境信息存储单元依据信息中的设备MAC地址查询数据库，如果存在此条目就更新，如果不存在此条目就新建条目存储环境信息。删除消息为客户端可选操作消息，环境信息存储单元可以为每个条目设置老化定时器，如步骤S610所述，在老化定时器超时后删除条目内容。

步骤S610，为了避免环境信息存储单元中信息由于长时间未更新而过时的情况(比如客户端工作异常)，环境信息存储单元可以为每个条目设置老化定时器，在老化定时器超时后删除条目内容。后续采集到的样本查询不到的设备环境就在默认的虚拟环境中运行。

图7是根据本发明实施例中样本文件分析的操作流程示意图，如图7所示，样本文件分析的操作流程步骤可以如下：

步骤S702，样本管理单元具有流量协议解析和文件还原的功能。样本管理单元除了从流量中提取样本文件之外还需要确定查询索引用于向环境信息存储单元查询样本对应的设备环境。例如，对于路由器旁路的流量，样本管理单元解析其中的IP地址可以确定样本文件发送的目的主机设备。对于交换机旁路的流量，样本管理单元解析其中的MAC地址可以确定样本文件发送的目的主机设备。对于支持简单邮件传输协议(Simple Mail Transfer Protocol，简称为SMTP)协议的邮件流量，样本管理单元解析其中的收件人地址可以确定样本文件发送的目的地。查询索引信息可以根据实际情况灵活确定，本实施例中不做限定。

步骤S704，样本管理单元向环境信息存储单元发送查询消息，消息中携带查询的索引信息，也即样本文件归属流量中的IP地址、MAC地址或者邮件地址。

步骤S706，环境信息存储单元采用索引信息检索存储条目，找到条目中的设备信息、用户信息、用户级别。

步骤S708，环境信息存储单元向样本管理单元反馈查询结果。

步骤S710，样本管理单元依据反馈结果中的用户级别确定文件的分析等级。对于重点用户的样本文件需要依据策略在样本分析队列中进行调度并需要确定样本分析参数，例如重点用户的样本文件优先送入动态行为分析引擎，并设置较长的分析时间，确保较低的误报和漏报率。实际的应用策略可根据实际情况定义，本实施例中不做限定。

步骤S712，样本管理单元将样本、样本对应的设备信息以及为样本确定的分析时长等接口参数发送给动态行为分析引擎。样本管理单元可优化样本送检过程，对于发送到不同用户设备环境的相同样本做合并处理，指示典型的设备环境信息，达到全面分析的同时避免相同样本进行大量重复分析。例如一个pdf文档被通过邮件发送到多个收件人，这些收件人设备安装的pdf版本可能有各种情况，那么样本管理单元就在设备信息中指示pdf版本的集合，动态行为分析引擎在各种pdf版本的镜像中执行该文件。

动态行为分析引擎依据样本对应的设备信息、样本分析时长等参数配置或者选择相应的镜像，镜像环境中运行样本，记录样本行为。其中，动态行为分析引擎确定待测样本的文件类型，并通过设备信息、样本分析时长等参数确定样本所属用户环境中用于运行该文件的软件版本和系统参数。动态行为分析引擎依据上述软件版本和系统参数检索镜像，有合适的镜像即在此镜像中启动文件分析过程，没有合适的镜像即上述条件参数配置新的镜像环境并在其中启动文件分析过程。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明实施例的技术方案可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

装置实施例

在本实施例中提供了一种动态行为分析装置，该装置用于实现上述实施例及实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置可以以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图8是根据本发明实施例的动态行为分析装置的结构框图，如图8所示，该装置包括：

获取模块82，设置为采集样本文件并获取所述样本文件对应的环境信息；匹配模块84，与获取模块82相连，设置为根据所述环境信息配置或者选择匹配的镜像环境；动态行为分析模块86，与匹配模块84相连，设置为在所述镜像环境中对所述样本文件进行动态行为分析。

在一实施方式中，所述获取模块82可以包括：获取单元，设置为获取所述样本文件和所述样本文件所在的流量中的标识信息；查询单元，设置为根据所述标识信息查询得到所述样本文件对应的环境信息。

在一实施方式中，所述装置还可以包括：接收模块，设置为接收从用户设备传输的所述用户设备的环境信息；保存模块，与获取模块82相连，设置为将所述用户设备的环境信息进行保存。

在一实施方式中，所述保存模块可以设置为将同一用户设备对应的环境信息保存至同一条目中。

在一实施方式中，所述查询单元可以设置为：根据所述标识信息查询相应的用户设备；将查询到的用户设备对应的环境信息作为根据所述标识信息查询得到所述样本文件对应的环境信息。

在一实施方式中，所述接收模块可以设置为：接收用户设备在首次获取到自身环境信息时，发送的所述环境信息；或者，接收用户设备在发现自身环境信息发生改变时，发送的所述环境信息；或者，接收用户设备周期性发送的所述环境信息。

在一实施方式中，所述保存模块还可以设置为：为保存的环境信息分别设置定时器，并在定时器超时后删除对应的环境信息。

在一实施方式中，所述标识信息可以包括以下至少之一：IP地址、MAC地址、邮件地址。

在一实施方式中，所述环境信息可以包括硬件信息，软件信息和用户信息，其中：所述硬件信息可以包括但不限于以下至少之一：设备的操作系统信息、内存信息、硬盘信息；所述软件信息可以包括但不限于以下至少之一：已安装的软件列表，已安装的每个软件对应的版本；所述用户信息可以包括但不限于以下至少之一：IP地址、MAC地址、用户名/ID、邮件地址。

在一实施方式中，所述装置还可以包括：确定模块，与获取模块82和动态行为分析模块86相连，设置为根据所述标识信息确定分析所述样本文件的优先级；所述动态行为分析模块86可以设置为根据所述优先级对所述样本文件进行动态行为分析。

在一实施方式中，所述动态行为分析模块86还可以包括以下至少之一：排序单元，设置为按照优先级对获取到的样本文件进行排序，并依照排序结果对样本文件进行动态行为分析；定时单元，设置为在进行动态行为分析时，控制优先级越高的样本文件分析时间越长。

在一实施方式中，所述匹配模块84可以包括：确定单元，设置为根据所述环境信息确定用户设备中运行所述样本文件的软件版本和系统参数；检索单元，设置为根据所述软件版本和系统参数检索匹配的镜像环境；建立单元，设置为在未检索到所述匹配的镜像环境时，建立相应的镜像环境；选择单元，设置为在检索到所述匹配的镜像环境时，选择检索到的所述镜像环境。

在一实施方式中，在将相同的样本文件发送至不同的镜像环境中的情况下，所述动态行为分析模块86还可以设置为将所述相同的样本文件进行合并，并使用预设的典型镜像环境对合并的样本文件进行动态行为分析。

在本实施例中，还提供了另一种动态行为分析装置，图9是根据本发明实施例的另一种动态行为分析装置的结构框图，如图9所示，该装置包括：样本管理单元92，设置为从流量中采集样本文件和标识信息，并将所述标识信息发送给环境信息存储单元94；所述环境信息存储单元94，设置为根据所述标识信息查询所述样本文件对应的环境信息，并将所述环境信息反馈给所述样本管理单元92；所述样本管理单元92还设置为将所述样本文件和所述环境信息发送给动态行为分析引擎96；所述动态行为分析引擎96，设置为依据所述环境信息选择相应的镜像环境，并在所述镜像环境中启动对所述样本文件的动态行为分析过程。

需要说明的是，上述各个模块是可以通过软件或硬件来实现的，对于后者，可以通过以下方式实现，但不限于此：上述模块均位于同一处理器中；或者，上述各个模块以任意组合的形式分别位于不同的处理器中。

在本实施例中，还提供了一种动态行为分析设备，图10是根据本发明实施例的动态行为分析设备的硬件结构框图，如图10所示，动态行为分析设备100可以包括一个或多个(图中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)；设置为存储所述处理器可执行指令的存储器104；以及设置为根据所述处理器102的控制进行信息收发通信的传输装置106。本领域普通技术人员可以理解，图10所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，动态行为分析设备100还可包括比图10中所示更多或者更少的组件，或者具有与图10所示不同的配置。

存储器104可设置为存储应用软件的软件程序以及模块，如本发明实施例中的动态行为分析方法对应的程序指令/模块，处理器102通过运行存储在存储器104内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的方法。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至动态行为分析设备100。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输装置106设置为经由一个网络接收或者发送数据。上述的网络实例可包括动态行为分析设备100的通信供应商提供的无线网络。在一个实例中，传输装置106包括一个网络适配器(Network Interface Controller，NIC)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输装置106可以为射频(Radio Frequency，RF)模块，其设置为通过无线方式与互联网进行通讯。

其中，所述处理器104设置为执行以下操作：

控制所述传输装置106采集样本文件并获取所述样本文件对应的环境信息；

根据所述环境信息配置或者选择匹配的镜像环境；

在所述镜像环境中对所述样本文件进行动态行为分析。

下面结合方法实施例中的实施例进行说明，下面参考附图对方法实施例中的实施例所给出的功能模块进行更详细的说明。图11是根据本发明实施例中客户端软件的逻辑功能结构示意图，如图11所示，客户端的逻辑功能说明如下：

模块1102：设备环境信息采集模块，采集用户设备环境信息。包括但不限于硬件、软件信息、用户信息，例如设备的操作系统、内存、硬盘、安装的软件列表及对应的软件版本、IP地址、MAC地址、用户名/ID、邮件地址等。

模块1104：判断模块，判定用户设备环境状态，在第一次检测到设备环境信息或者发现设备环境信息改变时触发模块1106上送设备环境信息。判断模块还判定周期定时器是否超时，在定时器超时情况下触发模块1106上送设备环境信息。判断模块判定用户设备离网后，可选触发模块1106发送设备环境信息删除命令。

判断模块可以依据上述场景判定设备环境信息的新建、更新或者删除，触发模块1106发出对应的信令消息承载上送的设备环境信息。

判断模块也可以在判定上述新建或者更新用户设备环境状态后触发模块1106发出上送命令承载上送的设备环境信息，不做新建、更新的消息区分。

模块1106：发送模块，将采集到的设备环境信息发送到环境信息存储单元。根据模块1104的指示发送相应的消息承载设备环境信息。

图12是根据本发明实施例中环境信息存储单元的逻辑功能结构示意图，如图12所示，环境信息存储单元的逻辑功能说明如下：

模块1202：接收模块，接收客户端软件发送的设备环境信息及信令。

模块1204：操作模块，依据设备环境信息中的设备MAC地址查询模块1206。如果存在对应的条目就更新，如果不存在此条目就新建。如果客户端提供删除命令，那么就删除对应的条目。操作模块也可以为每个存储模块的条目设置老化定时器，在定时器超时后删除模块1206中对应的条目。

模块1206：存储模块，存储图5定义的存储信息。接收模块1204的操作指示对存储信息进行新建、更新和删除操作。接收模块1208的查询操作指示，提供查询索引对应的存储信息。

模块1208：查询模块，接收样本管理单元的查询消息，依据消息中的查询索引查询模块1206的存储信息，向样本管理单元反馈查询结果。

图13是根据本发明实施例中样本管理单元的逻辑功能结构示意图，如图13所示，样本管理单元的逻辑功能说明如下：

模块1302：确定模块，确定样本对应设备环境信息的查询索引。查询索引来源于流量中的标识类信息，包括但不限于IP地址、MAC地址、邮件地址等，依据实际应用环境选择使用，本申请不做限定。例如，如果样本流量来源是路由器，采用IP地址作为查询索引；如果样本流量来源是交换机，采用MAC地址作为查询索引；如果样本流量来源于邮件流量，采用邮件地址作为查询索引。模块1304返回用户信息和用户等级后，依据策略(可配置，不做限定)确定样本送入分析队列的优先级及样本分析时长等参数。确定模块将确定后的参数信息连同样本信息发送到模块1306。

模块1304，查询模块，向环境信息存储单元发送查询消息，携带查询索引，并接收返回的设备信息及用户信息。

模块1306，发送模块，依据队列优先级参数确定样本的发送顺序，向动态行为分析引擎发送消息，消息中携带样本、样本对应的设备信息及样本分析时长等参数。

图14是根据本发明实施例中动态行为分析引擎的逻辑功能结构示意图，如图14所示，动态行为分析引擎的逻辑功能说明如下：

模块1402：接收模块，接收样本管理单元发送的待检样本、样本对应的设备信息及样本分析时长等参数。

模块1404：确定模块，依据样本类型确定样本所属用户环境中设置为运行该文件的软件版本，依据设备信息确定运行该文件的系统参数，如内存大小、CPU主频、操作系统版本等。确定模块依据软件版本(如office03、office07、pdf8等等)和系统参数检索已存在的镜像，如有对应合适的镜像即选择此镜像用于执行文件分析过程；如果没有合适的镜像，将上述条件参数(包括软件版本、系统参数)发送给配置模块。

模块1406：配置模块，根据条件参数配置新的镜像环境用于执行文件分析过程。配置模块还设置为根据样本分析时长参数配置镜像对文件的检测时间。

模块1408：发送模块，将文件送入确定模块指定的镜像或者配置模块生成的新的镜像。

系统实施例

在本实施例中，提供了一种动态行为分析系统，图15是根据本发明实施例的动态行为分析系统的结构框图，如图15所示，该系统包括用户设备152和如图8或图9中的动态行为分析装置154(结构可以参考图8或图9，图15中未示出)，所述用户设备152还包括：

发送模块1522，设置为将所述用户设备自身的环境信息发送给所述动态行为分析装置154。

存储介质实施例

本发明的实施例还提供了一种存储介质。在本实施例中，上述存储介质可以被设置为存储用于执行以下步骤的程序代码：

步骤S304，根据所述环境信息配置或者选择匹配的镜像环境；

在本实施例中，上述存储介质可以包括但不限于：U盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

本实施例中的示例可以参考上述实施例及实施方式中所描述的示例，本实施例在此不再赘述。

上述的本发明实施例的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明实施例不限制于任何特定的硬件和软件结合。

以上所述仅为本发明的实施例而已，并不用于限制本申请，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

工业实用性

Claims

一种动态行为分析方法，包括：

采集样本文件并获取所述样本文件对应的环境信息；

根据所述环境信息配置或者选择匹配的镜像环境；

在所述镜像环境中对所述样本文件进行动态行为分析。
根据权利要求1所述的方法，其中，采集样本文件并获取所述样本文件对应的环境信息包括：

采集所述样本文件和所述样本文件所在的流量中的标识信息；

根据所述标识信息查询得到所述样本文件对应的环境信息。
根据权利要求2所述的方法，其中，在根据所述标识信息查询得到所述样本文件对应的环境信息之前，还包括：

接收从用户设备传输的所述用户设备的环境信息；

将所述用户设备的环境信息进行保存。
根据权利要求3所述的方法，其中，将所述用户设备的环境信息进行保存包括：

将同一用户设备对应的环境信息保存至同一条目中。
根据权利要求3所述的方法，其中，根据所述标识信息查询得到所述样本文件对应的环境信息包括：

根据所述标识信息查询相应的用户设备；

将查询到的用户设备对应的环境信息作为根据所述标识信息查询得到所述样本文件对应的环境信息。
根据权利要求3所述的方法，其中，接收从用户设备传输的所述用户设备的环境信息包括：

接收用户设备在首次获取到自身环境信息时，发送的所述环境信息；或者，

接收用户设备在发现自身环境信息发生改变时，发送的所述环境信息；或者，

接收用户设备周期性发送的所述环境信息。
根据权利要求3所述的方法，其中，在将所述用户设备的环境信息进行保存之后，还包括：

为保存的环境信息分别设置定时器，并在定时器超时后删除对应的环境信息。
根据权利要求2所述的方法，其中，所述标识信息包括以下至少之一：

网际协议IP地址、媒体接入控制MAC地址、邮件地址。
根据权利要求1至8中任一项所述的方法，其中，所述环境信息包括硬件信息，软件信息和用户信息，其中：

所述硬件信息包括以下至少之一：设备的操作系统信息、内存信息、硬盘信息；

所述软件信息包括以下至少之一：已安装的软件列表，已安装的每个软件对应的版本；

所述用户信息包括以下至少之一：IP地址、MAC地址、用户名/标识ID、邮件地址。
根据权利要求2至8中任一项所述的方法，其中，在采集所述样本文件并获取所述样本文件所在的流量中的标识信息之后，还包括：

根据所述标识信息确定分析所述样本文件的优先级；

所述在所述镜像环境中对所述样本文件进行动态行为分析包括：根据所述优先级对所述样本文件进行动态行为分析。
根据权利要求10所述的方法，其中，根据所述优先级对所述样本文件进行动态行为分析包括以下至少之一：

按照优先级对获取到的样本文件进行排序，并依照排序结果对样本文件进行动态行为分析；

在进行动态行为分析时，优先级越高的样本文件分析时间越长。
根据权利要求1至8中任一项所述的方法，其中，根据所述环境信息配置或者选择匹配的镜像环境包括：

根据所述环境信息确定用户设备中运行所述样本文件的软件版本和系统参数；

根据所述软件版本和系统参数检索匹配的镜像环境；

在未检索到所述匹配的镜像环境时，建立相应的镜像环境；

在检索到所述匹配的镜像环境时，选择检索到的所述镜像环境。
根据权利要求1至8中任一项所述的方法，其中，在所述镜像环境中对所述样本文件进行动态行为分析包括：

在将相同的样本文件发送至不同的镜像环境中的情况下，将所述相同的样本文件进行合并，并使用预设的典型镜像环境对合并的样本文件进行动态行为分析。
一种动态行为分析装置，包括：

获取模块，设置为采集样本文件并获取所述样本文件对应的环境信息；

匹配模块，设置为根据所述环境信息配置或者选择匹配的镜像环境；

动态行为分析模块，设置为在所述镜像环境中对所述样本文件进行动态行为分析。
根据权利要求14所述的装置，其中，所述获取模块包括：

获取单元，设置为采集所述样本文件并获取所述样本文件所在的流量中的标识信息；

查询单元，设置为根据所述标识信息查询得到所述样本文件对应的环境信息。
根据权利要求15所述的装置，其中，所述装置还包括：

接收模块，设置为接收从用户设备传输的所述用户设备的环境信息；

保存模块，设置为将所述用户设备的环境信息进行保存。
根据权利要求16所述的装置，其中，所述保存模块设置为：

将同一用户设备对应的环境信息保存至同一条目中。
根据权利要求16所述的装置，其中，所述查询单元设置为：

根据所述标识信息查询相应的用户设备；

将查询到的用户设备对应的环境信息作为根据所述标识信息查询得到所述样本文件对应的环境信息。
根据权利要求16所述的装置，其中，所述接收模块设置为：

接收用户设备在首次获取到自身环境信息时，发送的所述环境信息；或者，

接收用户设备在发现自身环境信息发生改变时，发送的所述环境信息；或者，

接收用户设备周期性发送的所述环境信息。
根据权利要求16所述的装置，其中，所述保存模块还设置为：

为保存的环境信息分别设置定时器，并在定时器超时后删除对应的环境信息。
根据权利要求15所述的装置，其中，所述标识信息包括以下至少之一：

IP地址、MAC地址、邮件地址。
根据权利要求14至21中任一项所述的装置，其中，所述环境信息包括硬件信息，软件信息和用户信息，其中：

所述硬件信息包括以下至少之一：设备的操作系统信息、内存信息、硬盘信息；

所述软件信息包括以下至少之一：已安装的软件列表，已安装的每个软件对应的版本；

所述用户信息包括以下至少之一：网际协议IP地址、媒体接入控制MAC地址、用户名/标识ID、邮件地址。
根据权利要求15至21中任一项所述的装置，其中，所述装置还包括：

确定模块，设置为根据所述标识信息确定分析所述样本文件的优先级；

所述动态行为分析模块设置为根据所述优先级对所述样本文件进行动态行为分析。
根据权利要求23所述的装置，其中，所述动态行为分析模块包括以下至少之一：

排序单元，设置为按照优先级对获取到的样本文件进行排序，并依照排序结果对样本文件进行动态行为分析；

定时单元，设置为在进行动态行为分析时，控制优先级越高的样本文件分析时间越长。
根据权利要求14至21中任一项所述的装置，其中，所述匹配模块包括：

确定单元，设置为根据所述环境信息确定用户设备中运行所述样本文件的软件版本和系统参数；

检索单元，设置为根据所述软件版本和系统参数检索匹配的镜像环境；

建立单元，设置为在未检索到所述匹配的镜像环境时，建立相应的镜像环境；

选择单元，设置为在检索到所述匹配的镜像环境时，选择检索到的所述镜像环境。
根据权利要求14至21中任一项所述的装置，其中，在将相同的样本文件发送至不同的镜像环境中的情况下，所述动态行为分析模块设置为：

将所述相同的样本文件进行合并，并使用预设的典型镜像环境对合并的样本文件进行动态行为分析。
一种动态行为分析装置，包括：

样本管理单元，设置为从流量中采集样本文件和标识信息，并将所述标识信息发送给环境信息存储单元；

所述环境信息存储单元，设置为根据所述标识信息查询所述样本文件对应的环境信息，并将所述环境信息反馈给所述样本管理单元；

所述样本管理单元还设置为将所述样本文件和所述环境信息发送给动态行为分析引擎；

所述动态行为分析引擎，设置为依据所述环境信息选择相应的镜像环境，并在所述镜像环境中启动对所述样本文件的动态行为分析过程。
一种动态行为分析系统，包括用户设备和如权利要求14至27中任一项所述的动态行为分析装置，所述用户设备还包括：

发送模块，设置为将所述用户设备自身的环境信息发送给所述动态行为分析装置。
一种动态行为分析设备，包括：

处理器；

设置为存储所述处理器可执行指令的存储器；

设置为根据所述处理器的控制进行信息收发通信的传输装置；

其中，所述处理器设置为执行以下操作：

控制所述传输装置采集样本文件并获取所述样本文件对应的环境信息；

根据所述环境信息配置或者选择匹配的镜像环境；

在所述镜像环境中对所述样本文件进行动态行为分析。