樣本文件分析方法、裝置及系統與流程

文檔序號：11236723閱讀：1415來源：國知局

本發明涉及網絡安全技術領域，尤其涉及一種樣本文件分析方法、裝置及系統。

背景技術：

極光攻擊、震網攻擊、夜龍攻擊等重大網絡安全事件使得一種具有攻擊手法高級、持續時間長、攻擊目標明確等特征的攻擊類型出現在公眾視野中，國際上稱之為apt(advancedpersistentthreat,高級持續性威脅)攻擊；這類攻擊不僅使用傳統的病毒、木馬作為攻擊手段，而是以郵件等方式進行“先導攻擊”，向用戶發送精心構造使用0day漏洞的文件，一旦用戶打開相關文件，0day漏洞就會被觸發，攻擊代碼注入到用戶系統，并進行后續下載其它病毒、木馬等操作以利長期潛伏作業，而傳統防火墻、企業反病毒軟件等對此類無特征簽名的惡意文件或代碼的檢測和防護能力非常有限。

apt攻擊檢測防御技術已成為新一代網絡安全的研究熱點，其中所采用的檢測方式一般分為靜態引擎分析、動態引擎分析以及兩者合用。為了提高樣本的檢測有效性，通常都采用先靜態引擎分析再動態引擎分析的方法，此種方法首先對樣本進行必要的靜態檢測，一旦發現有異常就可進行防護，如果沒有發現異常則進行動態檢測，利用兩種技術的共同檢測來確認樣本的威脅程度，從而達到提高樣本檢測的有效性。

圖1為現有樣本文件分析流向示意圖，如圖1所示，進/出網絡的網絡流量通過旁路鏡像方式轉換為鏡像流量后導出到樣本采集設備，樣本采集設備對鏡像流量進行解析并提取獲得樣本文件，將提取的樣本文件發往靜態引擎設備后，由靜態引擎設備根據自身的特征庫，對每個樣本文件進行匹配，對檢測出異常的樣本文件輸出靜態分析報告；未檢測出異常的樣本文件發往動態引擎設備進行分析。動態引擎設備接收到樣本文件后，利用獨立且受保護的虛擬分析系統模擬實際環境和用戶行為對樣本文件進行操作，如果樣本文件為惡意文件，則可通過惡意文件的操作進行漏洞利用、文件釋放、系統修改等攻擊行為的識別，實現apt攻擊的檢測。

如圖1所示的傳統文件分析引擎對待測樣本的處理方式是統一的、無差別的，比如所有的樣本順序進入順序輸出，啟動一個虛擬鏡像環境，運行2分鐘，無人工其他操作，之后輸出檢測結果，所有樣本都采用同一的分析流程。在現有技術條件下，存在漏報與誤報的可能，針對待測樣本所處的不同環境，比如：待測樣本來源自公司高管郵件對比來自普通員工的；來源自管理財務和人力的員工對比來自測試和開發的；來源自公司外部向內部發送的郵件對比內部向外部發送的，不同的環境下誤報與漏報可能造成的危害程度差別巨大。

因此，如何提供一種可以解決現有傳統文件分析引擎針對所有樣本文件采用相同分析策略的樣本文件分析方法，是本領域技術人員亟待解決的技術問題。

技術實現要素：

本發明提供了一種樣本文件分析方法、裝置及系統，以解決現有傳統文件分析引擎針對所有樣本文件采用相同分析策略的問題。

本發明提供了一種樣本文件分析方法，其包括：

獲取樣本文件的環境參數,根據環境參數確定樣本文件的用戶身份,根據用戶身份,配置樣本文件的分析策略規則；

根據分析策略規則分析樣本文件。

進一步的，分析策略規則包括分析優先級和分析配置參數，分析配置參數包括：樣本分析時間、分析鏡像數量及是否人工操作；根據分析策略規則分析樣本文件包括：根據樣本文件的分析優先級對樣本文件進行優先級排序，并依次分析，根據樣本文件的分析配置參數啟動分析流程。

進一步的，根據樣本文件的分析配置參數啟動分析流程包括：針對不同的樣本文件，根據各樣本文件的分析配置參數啟動不同的分析流程。

進一步的，根據環境參數確定樣本文件的用戶身份包括：調用數據庫內存儲的環境參數與用戶身份的對應關系，根據對應關系，確定與環境參數匹配的用戶身份。

進一步的，環境參數包括：文件往來方向的內網區或外網區、源ip地址和目標ip地址、發送方與接收方郵箱地址中的至少一個。

進一步的，對應關系包括：內網區或外網區與用戶的對應關系、ip地址與用戶的對應關系、郵箱地址與用戶的對應關系。

本發明提供了一種樣本文件分析裝置，其包括：

策略規劃模塊，用于獲取樣本文件的環境參數,根據環境參數確定樣本文件的用戶身份,根據用戶身份,配置樣本文件的分析策略規則；

樣本分析模塊，用于根據分析策略規則分析樣本文件。

進一步的，分析策略規則包括分析優先級和分析配置參數，分析配置參數包括：樣本分析時間、分析鏡像數量及是否人工操作；樣本分析模塊包括文件調度單元及文件分析引擎，文件調度單元用于根據樣本文件的分析優先級對樣本文件進行優先級排序，文件分析引擎用于根據樣本文件的分析配置參數啟動分析流程。

進一步的，文件分析引擎用于針對不同的樣本文件，根據各樣本文件的分析配置參數啟動不同的分析流程。

進一步的，策略規劃模塊用于調用數據庫內存儲的環境參數與用戶身份的對應關系，根據對應關系，確定與環境參數匹配的用戶身份。

進一步的，環境參數包括：文件往來方向的內網區或外網區、源ip地址和目標ip地址、發送方與接收方郵箱地址中的至少一個。

進一步的，對應關系包括：內網區或外網區與用戶的對應關系、ip地址與用戶的對應關系、郵箱地址與用戶的對應關系。

本發明提供了一種樣本文件分析系統，其包括本發明提供的樣本文件分析裝置。

本發明的有益效果：

本發明提供了一種樣本文件分析方法，在接收樣本文件時，同時獲取各樣本文件的環境參數，根據各樣本文件的環境參數及數據庫中環境參數與用戶身份的對應關系，確定樣本文件對應的用戶，并根據用戶不同配置不同的分析策略規則，根據各樣本文件的分析策略規則進行分析，這樣就可以區分樣本文件中的重點檢測對象，針對重點檢測對象盡可能的充分觸發待測文件的各種行為，進行重點分析，達到重點對象重點分析、以提高重點檢測對象檢測率的目的，對應的，誤報率也得到了明顯的控制降低，解決了現有傳統文件分析引擎針對所有樣本文件采用相同分析策略、且分析引擎資源有限，導致的重點檢測對象的漏報與誤報的問題。

附圖說明

圖1為現有樣本文件分析流向示意圖；

圖2為本發明第一實施例提供的樣本文件分析裝置的結構示意圖；

圖3為本發明第一實施例提供的樣本文件分析方法的流程圖；

圖4為本發明第二實施例提供的樣本文件分析裝置的結構示意圖；

圖5為本發明第二實施例提供的樣本文件分析方法的流程圖；

圖6為本發明第三實施例提供的樣本文件分析方法的流程圖；

圖7為本發明第四實施例提供的樣本文件分析方法的流程圖。

具體實施方式

現通過具體實施方式結合附圖的方式對本發明做出進一步的詮釋說明。

第一實施例：

圖2為本發明第一實施例提供的樣本文件分析裝置的結構示意圖，由圖2可知，在本實施例中，本發明提供的樣本文件分析裝置2包括：

策略規劃模塊21，用于獲取樣本文件的環境參數,根據環境參數確定樣本文件的用戶身份,根據用戶身份,配置樣本文件的分析策略規則；

樣本分析模塊22，用于根據分析策略規則分析樣本文件。

在一些實施例中，上述實施例中的分析策略規則包括分析優先級和分析配置參數，分析配置參數包括：樣本分析時間、分析鏡像數量及是否人工操作；樣本分析模塊22包括文件調度單元及文件分析引擎，文件調度單元用于根據樣本文件的分析優先級對樣本文件進行優先級排序，文件分析引擎用于根據樣本文件的分析配置參數啟動分析流程。

在一些實施例中，上述實施例中的文件分析引擎用于針對不同的樣本文件，根據各樣本文件的分析配置參數啟動不同的分析流程。

在一些實施例中，上述實施例中的策略規劃模塊21用于調用數據庫內存儲的環境參數與用戶身份的對應關系，根據對應關系，確定與環境參數匹配的用戶身份。

在一些實施例中，上述實施例中的環境參數包括：文件往來方向的內網區或外網區、源ip地址和目標ip地址、發送方與接收方郵箱地址中的至少一個。

在一些實施例中，上述實施例中的對應關系包括：內網區或外網區與用戶的對應關系、ip地址與用戶的對應關系、郵箱地址與用戶的對應關系。

對應的，本發明提供了一種樣本文件分析系統，其包括本發明提供的樣本文件分析裝置2。

圖3為本發明第一實施例提供的樣本文件分析方法的流程圖，由圖3可知，在本實施例中，本發明提供的樣本文件分析方法包括以下步驟：

s301：獲取樣本文件的環境參數,根據環境參數確定樣本文件的用戶身份,根據用戶身份,配置樣本文件的分析策略規則；

s302：根據分析策略規則分析樣本文件。

在一些實施例中，上述實施例中的分析策略規則包括分析優先級和分析配置參數，分析配置參數包括：樣本分析時間、分析鏡像數量及是否人工操作；對應的，根據分析策略分析樣本文件包括：根據樣本文件的分析優先級對樣本文件進行優先級排序，根據樣本文件的分析配置參數啟動分析流程。

在一些實施例中，上述實施例中的根據樣本文件的分析配置參數啟動分析流程包括：針對不同的樣本文件，根據各樣本文件的分析配置參數啟動不同的分析流程。

在一些實施例中，上述實施例中的根據環境參數確定樣本文件的用戶身份包括：調用數據庫內存儲的環境參數與用戶身份的對應關系，根據對應關系，確定與環境參數匹配的用戶身份。

在一些實施例中，上述實施例中的環境參數包括：文件往來方向的內網區或外網區、源ip地址和目標ip地址、發送方與接收方郵箱地址中的至少一個。

在一些實施例中，上述實施例中的對應關系包括：內網區或外網區與用戶的對應關系、ip地址與用戶的對應關系、郵箱地址與用戶的對應關系。

現結合具體應用場景對本發明做進一步的詮釋說明。

第二實施例：

針對現有技術條件下惡意文件漏報與誤報可能造成的危害程度差別巨大這一問題，提出了一種在平衡文件分析引擎資源消耗的前提下，實現差別式的文件分析與調度策略，針對重點對象樣本優先送入分析引擎，增加其虛擬鏡像環境個數，增加每個鏡像的運行時間，并增加人工操作等，以保證文件行為的充分觸發，有效提高了需要重點檢測對象的檢測率，同時其誤報率也得到了明顯的降低。

為了解決上述技術問題，本發明提供一種樣本文件分析裝置，能夠提高重點檢測對象的檢測率，同時降低其誤報率。如圖4所示，樣本文件分析裝置包括：信息采集單元41負責還原網絡流量并采集待測樣本文件的各種通信參數，并和待測文件一起送入規則策略單元；規則策略單元42依據接收的信息，查詢數據庫單元43預先配置的信息，獲得文件所屬的通信參數與員工角色、職務等的對應關系，綜合制定差別式的文件分析處理規則，包括樣本優先級信息并生成相應的差別式的配置參數，并和文件一起送入文件調度單元44；文件調度單元44中根據傳入的樣本優先級信息將樣本進行排序，并按優先級高低順序將文件與配置參數一起傳入文件分析引擎45；文件分析引擎根據傳入的配置參數的不同做差別式的文件分析處理，以保證重點檢測對象文件行為的充分觸發。

具體的，信息采集單元41采集的通信參數包括但不限于ip源地址、發送與接收者郵箱地址、文件往來方向等。

具體的，數據庫單元43預先配置的信息包括但不限于ip地址與員工角色、職務對應信息，郵箱地址與員工角色、職務對應信息，ip地址公司內外網區分等。

具體的，規則策略單元42生成的樣本優先級信息和差別式的配置參數。其中樣本優先級信息用于文件調度單元44的具體樣本排序操作；差別式的配置參數用于文件分析引擎45啟動不同的分析流程。

具體的，文件分析引擎45差別式文件處理，根據傳入的配置參數的不同，啟動不同的分析流程，包括但不限于增加重點檢測對象的檢測時間、增加運行環境鏡像個數以及增加人工操作等。

圖5為第二實施例的流程圖，如圖5可知，在本實施例中，本發明提供的樣本文件分析方法包括如下步驟：

s501，對導入的網絡流量進行文件還原和通信參數采集，采集的信息可以分為多種，包括但不限于ip源地址與目的地址、發送與接收者郵箱地址、文件往來方向等。

s502，查詢預設置的數據庫(包括但不限于ip地址與員工角色、職務對應信息，郵箱地址與員工角色、職務對應信息，ip地址公司內外網區分等)，獲得文件所屬的通信參數與員工角色、職務等的對應關系。

s503，根據文件所屬的對應關系制定差別式的文件分析規則策略，并生成相應的差別式的配置參數。具體的，當采集的郵件所屬角色為公司高管，優先級別就置為最高的4(最高4，最低1)，配置參數就置為時間time＝8(分鐘)，運行鏡像個數count＝4，人工操作flag＝1(值為1表示需要人工操作，0表示不需要人工操作)；當采集的郵件所屬角色為普通員工，優先級別就置為最低的1，配置參數就置為時間time＝2(分鐘)，運行鏡像個數count＝1，人工操作flag＝0。當采集的郵件所屬職務為財務、資產類管理，優先級別就置為3，配置參數就置為時間time＝6(分鐘)，鏡像個數count＝3，人工操作flag＝1；當采集的郵件所屬職務為開發、測試類，優先級別就置為1，配置參數就置為時間time＝2(分鐘)，鏡像個數count＝1，人工操作flag＝0。當采集的郵件所屬環境為公司外部向內部發送的，優先級別就置為2，配置參數就置為時間time＝4(分鐘)，鏡像個數count＝2，人工操作flag＝0；當采集的郵件所屬環境為公司內部向外部發送的，優先級別就置為1，配置參數就置為時間time＝2(分鐘)，鏡像個數count＝1，人工操作flag＝0。取各種情況下輸出優先級最高的情況作為最終的分析策略和配置參數。

s504，根據分析策略將待測文件按優先級高低進行排列，依次按優先級高低順序將待測樣本和對應的配置參數送入分析引擎進行文件分析。

s505，文件分析引擎根據傳入的配置參數，啟動差別式的文件分析流程。比如接收參數為time＝8,count＝4,flag＝1時，分析引擎同時啟動4個不同的環境鏡像，每個分析時間為8分鐘，并增加人工操作，以充分觸發待測樣本文件的各種行為，生成更加完整的樣本文件行為日志報告，以達到提高重點檢測對象檢測率的目的。

通過本實施例的實例，提高了重點檢測對象文件的檢測率，同時降低其誤報率。

現結合2個運用場景對本發明做進一步的詮釋說明。

第三實施例：

圖6為本發明第三實施例提供的樣本文件分析方法的流程圖，如圖6可知，在本實施例中，本發明提供的樣本文件分析方法包括：

s601，信息采集單元通過對網絡流量還原和信息采集，將樣本文件和各種通信參數發送給規則策略單元。

s602，在數據庫單元做查詢操作，查詢預置的數據庫(包括但不限于ip地址與員工角色、職務對應信息，郵箱地址與員工角色、職務對應信息，ip地址公司內外網區分等)，得出文件所屬通信參數與員工角色、職務等的對應關系。

s603，規則策略單元根據樣本文件所對應的員工角色、職務關系，制定文件分析規則策略優先級。

s604，規則策略單元生成對應的配置參數。

具體的，當采集的郵件所屬角色為公司高管，優先級別就置為最高的4(最高4，最低1)，配置參數就置為時間time＝8(分鐘)，運行鏡像個數count＝4，人工操作flag＝1(值為1表示需要人工操作，0表示不需要人工操作)；當采集的郵件所屬角色為普通員工，優先級別就置為最低的1，配置參數就置為時間time＝2(分鐘)，運行鏡像個數count＝1，人工操作flag＝0。當采集的郵件所屬職務為財務、資產類管理，優先級別就置為3，配置參數就置為時間time＝6(分鐘)，鏡像個數count＝3，人工操作flag＝1；當采集的郵件所屬職務為開發、測試類，優先級別就置為1，配置參數就置為時間time＝2(分鐘)，鏡像個數count＝1，人工操作flag＝0。當采集的郵件所屬環境為公司外部向內部發送的，優先級別就置為2，配置參數就置為時間time＝4(分鐘)，鏡像個數count＝2，人工操作flag＝0；當采集的郵件所屬環境為公司內部向外部發送的，優先級別就置為1，配置參數就置為時間time＝2(分鐘)，鏡像個數count＝1，人工操作flag＝0。取各種情況下輸出優先級最高的情況作為最終的分析策略和配置參數。

s605，規則策略單元將樣本文件、策略優先級和對應的配置參數發送給文件調度單元。

s606，文件調度單元接收樣本文件、策略優先級和對應的配置參數，并根據策略優先級將樣本文件排序。

s607，文件調度單元按優先級高低順序依次將樣本文件和配置參數送往分析引擎。

s608，文件分析引擎接收傳入的樣本文件和配置參數。

s609，文件分析引擎根據配置參數啟動不同的分析流程，包括鏡像個數、分析時間、人工操作等。

s610，輸出文件檢測報告，分析結束。

第四實施例：

圖7為本發明第四實施例提供的樣本文件分析方法的流程圖，如圖7可知，在本實施例中，本發明提供的樣本文件分析方法包括：

s701，信息采集單元對網絡流量進行信息采集，將樣本文件對應的各種通信參數發送給規則策略單元。

s702，信息采集單元對網絡流量進行流量還原得到待測樣本文件，并將樣本文件發送到文件調度單元。

s703，在數據庫單元做查詢操作，查詢預置的數據庫(包括但不限于ip地址與員工角色、職務對應信息，郵箱地址與員工角色、職務對應信息，ip地址公司內外網區分等)，得出文件所屬通信參數與員工角色、職務等的對應關系。

s704，規則策略單元根據樣本文件所對應的員工角色、職務關系，制定文件分析規則策略優先級。

s705，規則策略單元生成對應的配置參數。

s706，規則策略單元將文件策略優先級和對應的配置參數發送給文件調度單元。

s707，文件調度單元接收信息采集單元傳入的樣本文件，接收規則策略單元傳入的文件策略優先級和對應的配置參數，最后根據策略優先級將樣本文件排序。

s708，文件調度單元按優先級高低順序依次將樣本文件和配置參數送往分析引擎。

s709，文件分析引擎接收傳入的樣本文件和配置參數。

s710，文件分析引擎根據配置參數啟動不同的分析流程，包括鏡像個數、分析時間、人工操作等。

s711，輸出文件檢測報告，分析結束。

綜上可知，通過本發明的實施，至少存在以下有益效果：

本發明提供了一種樣本文件分析方法，在接收樣本文件時，同時獲取各樣本文件的環境參數，根據各樣本文件的環境參數及預先配置的環境參與與用戶身份的對應關系，確定樣本文件對應的用戶，并根據用戶不同配置不同的分析策略規則，根據各樣本文件的分析策略規則進行分析，這樣就可以區分樣本文件中的重點檢測對象，針對重點檢測對象盡可能的充分觸發待測文件的各種行為，進行重點分析，達到重點對象重點分析、以提高重點檢測對象檢測率的目的，對應的，誤報率也得到了明顯的控制降低，解決了現有傳統文件分析引擎針對所有樣本文件采用相同分析策略、且分析引擎資源有限，導致的重點檢測對象的漏報與誤報的問題。

顯然，本領域的技術人員應該明白，上述本發明的各模塊或各步驟可以用通用的計算裝置來實現，它們可以集中在單個的計算裝置上，或者分布在多個計算裝置所組成的網絡上，可選地，它們可以用計算裝置可執行的程序代碼來實現，從而，可以將它們存儲在存儲介質(rom/ram、磁碟、光盤)中由計算裝置來執行，并且在某些情況下，可以以不同于此處的順序執行所示出或描述的步驟，或者將它們分別制作成各個集成電路模塊，或者將它們中的多個模塊或步驟制作成單個集成電路模塊來實現。所以，本發明不限制于任何特定的硬件和軟件結合。

以上僅是本發明的具體實施方式而已，并非對本發明做任何形式上的限制，凡是依據本發明的技術實質對以上實施方式所做的任意簡單修改、等同變化、結合或修飾，均仍屬于本發明技術方案的保護范圍。

完整全部詳細技術資料下載

當前第1頁1 2