样本文件分析方法、装置及系统与流程

本发明涉及网络安全技术领域，尤其涉及一种样本文件分析方法、装置及系统。

背景技术：

极光攻击、震网攻击、夜龙攻击等重大网络安全事件使得一种具有攻击手法高级、持续时间长、攻击目标明确等特征的攻击类型出现在公众视野中，国际上称之为apt(advancedpersistentthreat,高级持续性威胁)攻击；这类攻击不仅使用传统的病毒、木马作为攻击手段，而是以邮件等方式进行“先导攻击”，向用户发送精心构造使用0day漏洞的文件，一旦用户打开相关文件，0day漏洞就会被触发，攻击代码注入到用户系统，并进行后续下载其它病毒、木马等操作以利长期潜伏作业，而传统防火墙、企业反病毒软件等对此类无特征签名的恶意文件或代码的检测和防护能力非常有限。

apt攻击检测防御技术已成为新一代网络安全的研究热点，其中所采用的检测方式一般分为静态引擎分析、动态引擎分析以及两者合用。为了提高样本的检测有效性，通常都采用先静态引擎分析再动态引擎分析的方法，此种方法首先对样本进行必要的静态检测，一旦发现有异常就可进行防护，如果没有发现异常则进行动态检测，利用两种技术的共同检测来确认样本的威胁程度，从而达到提高样本检测的有效性。

图1为现有样本文件分析流向示意图，如图1所示，进/出网络的网络流量 通过旁路镜像方式转换为镜像流量后导出到样本采集设备，样本采集设备对镜像流量进行解析并提取获得样本文件，将提取的样本文件发往静态引擎设备后，由静态引擎设备根据自身的特征库，对每个样本文件进行匹配，对检测出异常的样本文件输出静态分析报告；未检测出异常的样本文件发往动态引擎设备进行分析。动态引擎设备接收到样本文件后，利用独立且受保护的虚拟分析系统模拟实际环境和用户行为对样本文件进行操作，如果样本文件为恶意文件，则可通过恶意文件的操作进行漏洞利用、文件释放、系统修改等攻击行为的识别，实现apt攻击的检测。

如图1所示的传统文件分析引擎对待测样本的处理方式是统一的、无差别的，比如所有的样本顺序进入顺序输出，启动一个虚拟镜像环境，运行2分钟，无人工其他操作，之后输出检测结果，所有样本都采用同一的分析流程。在现有技术条件下，存在漏报与误报的可能，针对待测样本所处的不同环境，比如：待测样本来源自公司高管邮件对比来自普通员工的；来源自管理财务和人力的员工对比来自测试和开发的；来源自公司外部向内部发送的邮件对比内部向外部发送的，不同的环境下误报与漏报可能造成的危害程度差别巨大。

因此，如何提供一种可以解决现有传统文件分析引擎针对所有样本文件采用相同分析策略的样本文件分析方法，是本领域技术人员亟待解决的技术问题。

技术实现要素：

本发明提供了一种样本文件分析方法、装置及系统，以解决现有传统文件分析引擎针对所有样本文件采用相同分析策略的问题。

本发明提供了一种样本文件分析方法，其包括：

获取样本文件的环境参数,根据环境参数确定样本文件的用户身份,根据用 户身份,配置样本文件的分析策略规则；

根据分析策略规则分析样本文件。

进一步的，分析策略规则包括分析优先级和分析配置参数，分析配置参数包括：样本分析时间、分析镜像数量及是否人工操作；根据分析策略规则分析样本文件包括：根据样本文件的分析优先级对样本文件进行优先级排序，并依次分析，根据样本文件的分析配置参数启动分析流程。

进一步的，根据样本文件的分析配置参数启动分析流程包括：针对不同的样本文件，根据各样本文件的分析配置参数启动不同的分析流程。

进一步的，根据环境参数确定样本文件的用户身份包括：调用数据库内存储的环境参数与用户身份的对应关系，根据对应关系，确定与环境参数匹配的用户身份。

进一步的，环境参数包括：文件往来方向的内网区或外网区、源ip地址和目标ip地址、发送方与接收方邮箱地址中的至少一个。

进一步的，对应关系包括：内网区或外网区与用户的对应关系、ip地址与用户的对应关系、邮箱地址与用户的对应关系。

本发明提供了一种样本文件分析装置，其包括：

策略规划模块，用于获取样本文件的环境参数,根据环境参数确定样本文件的用户身份,根据用户身份,配置样本文件的分析策略规则；

样本分析模块，用于根据分析策略规则分析样本文件。

进一步的，分析策略规则包括分析优先级和分析配置参数，分析配置参数包括：样本分析时间、分析镜像数量及是否人工操作；样本分析模块包括文件调度单元及文件分析引擎，文件调度单元用于根据样本文件的分析优先级对样本文件进行优先级排序，文件分析引擎用于根据样本文件的分析配置参数启动分 析流程。

进一步的，文件分析引擎用于针对不同的样本文件，根据各样本文件的分析配置参数启动不同的分析流程。

进一步的，策略规划模块用于调用数据库内存储的环境参数与用户身份的对应关系，根据对应关系，确定与环境参数匹配的用户身份。

进一步的，环境参数包括：文件往来方向的内网区或外网区、源ip地址和目标ip地址、发送方与接收方邮箱地址中的至少一个。

进一步的，对应关系包括：内网区或外网区与用户的对应关系、ip地址与用户的对应关系、邮箱地址与用户的对应关系。

本发明提供了一种样本文件分析系统，其包括本发明提供的样本文件分析装置。

本发明的有益效果：

本发明提供了一种样本文件分析方法，在接收样本文件时，同时获取各样本文件的环境参数，根据各样本文件的环境参数及数据库中环境参数与用户身份的对应关系，确定样本文件对应的用户，并根据用户不同配置不同的分析策略规则，根据各样本文件的分析策略规则进行分析，这样就可以区分样本文件中的重点检测对象，针对重点检测对象尽可能的充分触发待测文件的各种行为，进行重点分析，达到重点对象重点分析、以提高重点检测对象检测率的目的，对应的，误报率也得到了明显的控制降低，解决了现有传统文件分析引擎针对所有样本文件采用相同分析策略、且分析引擎资源有限，导致的重点检测对象的漏报与误报的问题。

附图说明

图1为现有样本文件分析流向示意图；

图2为本发明第一实施例提供的样本文件分析装置的结构示意图；

图3为本发明第一实施例提供的样本文件分析方法的流程图；

图4为本发明第二实施例提供的样本文件分析装置的结构示意图；

图5为本发明第二实施例提供的样本文件分析方法的流程图；

图6为本发明第三实施例提供的样本文件分析方法的流程图；

图7为本发明第四实施例提供的样本文件分析方法的流程图。

具体实施方式

现通过具体实施方式结合附图的方式对本发明做出进一步的诠释说明。

第一实施例：

图2为本发明第一实施例提供的样本文件分析装置的结构示意图，由图2可知，在本实施例中，本发明提供的样本文件分析装置2包括：

策略规划模块21，用于获取样本文件的环境参数,根据环境参数确定样本文件的用户身份,根据用户身份,配置样本文件的分析策略规则；

样本分析模块22，用于根据分析策略规则分析样本文件。

在一些实施例中，上述实施例中的分析策略规则包括分析优先级和分析配置参数，分析配置参数包括：样本分析时间、分析镜像数量及是否人工操作；样本分析模块22包括文件调度单元及文件分析引擎，文件调度单元用于根据样本文件的分析优先级对样本文件进行优先级排序，文件分析引擎用于根据样本文件的分析配置参数启动分析流程。

在一些实施例中，上述实施例中的文件分析引擎用于针对不同的样本文件， 根据各样本文件的分析配置参数启动不同的分析流程。

在一些实施例中，上述实施例中的策略规划模块21用于调用数据库内存储的环境参数与用户身份的对应关系，根据对应关系，确定与环境参数匹配的用户身份。

在一些实施例中，上述实施例中的环境参数包括：文件往来方向的内网区或外网区、源ip地址和目标ip地址、发送方与接收方邮箱地址中的至少一个。

在一些实施例中，上述实施例中的对应关系包括：内网区或外网区与用户的对应关系、ip地址与用户的对应关系、邮箱地址与用户的对应关系。

对应的，本发明提供了一种样本文件分析系统，其包括本发明提供的样本文件分析装置2。

图3为本发明第一实施例提供的样本文件分析方法的流程图，由图3可知，在本实施例中，本发明提供的样本文件分析方法包括以下步骤：

s301：获取样本文件的环境参数,根据环境参数确定样本文件的用户身份,根据用户身份,配置样本文件的分析策略规则；

s302：根据分析策略规则分析样本文件。

在一些实施例中，上述实施例中的分析策略规则包括分析优先级和分析配置参数，分析配置参数包括：样本分析时间、分析镜像数量及是否人工操作；对应的，根据分析策略分析样本文件包括：根据样本文件的分析优先级对样本文件进行优先级排序，根据样本文件的分析配置参数启动分析流程。

在一些实施例中，上述实施例中的根据样本文件的分析配置参数启动分析流程包括：针对不同的样本文件，根据各样本文件的分析配置参数启动不同的分析流程。

在一些实施例中，上述实施例中的根据环境参数确定样本文件的用户身份包 括：调用数据库内存储的环境参数与用户身份的对应关系，根据对应关系，确定与环境参数匹配的用户身份。

在一些实施例中，上述实施例中的环境参数包括：文件往来方向的内网区或外网区、源ip地址和目标ip地址、发送方与接收方邮箱地址中的至少一个。

在一些实施例中，上述实施例中的对应关系包括：内网区或外网区与用户的对应关系、ip地址与用户的对应关系、邮箱地址与用户的对应关系。

现结合具体应用场景对本发明做进一步的诠释说明。

第二实施例：

针对现有技术条件下恶意文件漏报与误报可能造成的危害程度差别巨大这一问题，提出了一种在平衡文件分析引擎资源消耗的前提下，实现差别式的文件分析与调度策略，针对重点对象样本优先送入分析引擎，增加其虚拟镜像环境个数，增加每个镜像的运行时间，并增加人工操作等，以保证文件行为的充分触发，有效提高了需要重点检测对象的检测率，同时其误报率也得到了明显的降低。

为了解决上述技术问题，本发明提供一种样本文件分析装置，能够提高重点检测对象的检测率，同时降低其误报率。如图4所示，样本文件分析装置包括：信息采集单元41负责还原网络流量并采集待测样本文件的各种通信参数，并和待测文件一起送入规则策略单元；规则策略单元42依据接收的信息，查询数据库单元43预先配置的信息，获得文件所属的通信参数与员工角色、职务等的对应关系，综合制定差别式的文件分析处理规则，包括样本优先级信息并生成相应的差别式的配置参数，并和文件一起送入文件调度单元44；文件调度单元44中根据传入的样本优先级信息将样本进行排序，并按优先级高低顺序将文 件与配置参数一起传入文件分析引擎45；文件分析引擎根据传入的配置参数的不同做差别式的文件分析处理，以保证重点检测对象文件行为的充分触发。

具体的，信息采集单元41采集的通信参数包括但不限于ip源地址、发送与接收者邮箱地址、文件往来方向等。

具体的，数据库单元43预先配置的信息包括但不限于ip地址与员工角色、职务对应信息，邮箱地址与员工角色、职务对应信息，ip地址公司内外网区分等。

具体的，规则策略单元42生成的样本优先级信息和差别式的配置参数。其中样本优先级信息用于文件调度单元44的具体样本排序操作；差别式的配置参数用于文件分析引擎45启动不同的分析流程。

具体的，文件分析引擎45差别式文件处理，根据传入的配置参数的不同，启动不同的分析流程，包括但不限于增加重点检测对象的检测时间、增加运行环境镜像个数以及增加人工操作等。

图5为第二实施例的流程图，如图5可知，在本实施例中，本发明提供的样本文件分析方法包括如下步骤：

s501，对导入的网络流量进行文件还原和通信参数采集，采集的信息可以分为多种，包括但不限于ip源地址与目的地址、发送与接收者邮箱地址、文件往来方向等。

s502，查询预设置的数据库(包括但不限于ip地址与员工角色、职务对应信息，邮箱地址与员工角色、职务对应信息，ip地址公司内外网区分等)，获得文件所属的通信参数与员工角色、职务等的对应关系。

s503，根据文件所属的对应关系制定差别式的文件分析规则策略，并生成 相应的差别式的配置参数。具体的，当采集的邮件所属角色为公司高管，优先级别就置为最高的4(最高4，最低1)，配置参数就置为时间time＝8(分钟)，运行镜像个数count＝4，人工操作flag＝1(值为1表示需要人工操作，0表示不需要人工操作)；当采集的邮件所属角色为普通员工，优先级别就置为最低的1，配置参数就置为时间time＝2(分钟)，运行镜像个数count＝1，人工操作flag＝0。当采集的邮件所属职务为财务、资产类管理，优先级别就置为3，配置参数就置为时间time＝6(分钟)，镜像个数count＝3，人工操作flag＝1；当采集的邮件所属职务为开发、测试类，优先级别就置为1，配置参数就置为时间time＝2(分钟)，镜像个数count＝1，人工操作flag＝0。当采集的邮件所属环境为公司外部向内部发送的，优先级别就置为2，配置参数就置为时间time＝4(分钟)，镜像个数count＝2，人工操作flag＝0；当采集的邮件所属环境为公司内部向外部发送的，优先级别就置为1，配置参数就置为时间time＝2(分钟)，镜像个数count＝1，人工操作flag＝0。取各种情况下输出优先级最高的情况作为最终的分析策略和配置参数。

s504，根据分析策略将待测文件按优先级高低进行排列，依次按优先级高低顺序将待测样本和对应的配置参数送入分析引擎进行文件分析。

s505，文件分析引擎根据传入的配置参数，启动差别式的文件分析流程。比如接收参数为time＝8,count＝4,flag＝1时，分析引擎同时启动4个不同的环境镜像，每个分析时间为8分钟，并增加人工操作，以充分触发待测样本文件的各种行为，生成更加完整的样本文件行为日志报告，以达到提高重点检测对象检测率的目的。

通过本实施例的实例，提高了重点检测对象文件的检测率，同时降低其误 报率。

现结合2个运用场景对本发明做进一步的诠释说明。

第三实施例：

图6为本发明第三实施例提供的样本文件分析方法的流程图，如图6可知，在本实施例中，本发明提供的样本文件分析方法包括：

s601，信息采集单元通过对网络流量还原和信息采集，将样本文件和各种通信参数发送给规则策略单元。

s602，在数据库单元做查询操作，查询预置的数据库(包括但不限于ip地址与员工角色、职务对应信息，邮箱地址与员工角色、职务对应信息，ip地址公司内外网区分等)，得出文件所属通信参数与员工角色、职务等的对应关系。

s603，规则策略单元根据样本文件所对应的员工角色、职务关系，制定文件分析规则策略优先级。

s604，规则策略单元生成对应的配置参数。

具体的，当采集的邮件所属角色为公司高管，优先级别就置为最高的4(最高4，最低1)，配置参数就置为时间time＝8(分钟)，运行镜像个数count＝4，人工操作flag＝1(值为1表示需要人工操作，0表示不需要人工操作)；当采集的邮件所属角色为普通员工，优先级别就置为最低的1，配置参数就置为时间time＝2(分钟)，运行镜像个数count＝1，人工操作flag＝0。当采集的邮件所属职务为财务、资产类管理，优先级别就置为3，配置参数就置为时间time＝6(分钟)，镜像个数count＝3，人工操作flag＝1；当采集的邮件所属职务为开发、测试类，优先级别就置为1，配置参数就置为时间time＝2(分钟)，镜像个数count＝1，人工操作flag＝0。当采集的邮件所属环境为公司外部向内部发 送的，优先级别就置为2，配置参数就置为时间time＝4(分钟)，镜像个数count＝2，人工操作flag＝0；当采集的邮件所属环境为公司内部向外部发送的，优先级别就置为1，配置参数就置为时间time＝2(分钟)，镜像个数count＝1，人工操作flag＝0。取各种情况下输出优先级最高的情况作为最终的分析策略和配置参数。

s605，规则策略单元将样本文件、策略优先级和对应的配置参数发送给文件调度单元。

s606，文件调度单元接收样本文件、策略优先级和对应的配置参数，并根据策略优先级将样本文件排序。

s607，文件调度单元按优先级高低顺序依次将样本文件和配置参数送往分析引擎。

s608，文件分析引擎接收传入的样本文件和配置参数。

s609，文件分析引擎根据配置参数启动不同的分析流程，包括镜像个数、分析时间、人工操作等。

s610，输出文件检测报告，分析结束。

第四实施例：

图7为本发明第四实施例提供的样本文件分析方法的流程图，如图7可知，在本实施例中，本发明提供的样本文件分析方法包括：

s701，信息采集单元对网络流量进行信息采集，将样本文件对应的各种通信参数发送给规则策略单元。

s702，信息采集单元对网络流量进行流量还原得到待测样本文件，并将样本文件发送到文件调度单元。

s703，在数据库单元做查询操作，查询预置的数据库(包括但不限于ip地址与员工角色、职务对应信息，邮箱地址与员工角色、职务对应信息，ip地址公司内外网区分等)，得出文件所属通信参数与员工角色、职务等的对应关系。

s704，规则策略单元根据样本文件所对应的员工角色、职务关系，制定文件分析规则策略优先级。

s705，规则策略单元生成对应的配置参数。

具体的，当采集的邮件所属角色为公司高管，优先级别就置为最高的4(最高4，最低1)，配置参数就置为时间time＝8(分钟)，运行镜像个数count＝4，人工操作flag＝1(值为1表示需要人工操作，0表示不需要人工操作)；当采集的邮件所属角色为普通员工，优先级别就置为最低的1，配置参数就置为时间time＝2(分钟)，运行镜像个数count＝1，人工操作flag＝0。当采集的邮件所属职务为财务、资产类管理，优先级别就置为3，配置参数就置为时间time＝6(分钟)，镜像个数count＝3，人工操作flag＝1；当采集的邮件所属职务为开发、测试类，优先级别就置为1，配置参数就置为时间time＝2(分钟)，镜像个数count＝1，人工操作flag＝0。当采集的邮件所属环境为公司外部向内部发送的，优先级别就置为2，配置参数就置为时间time＝4(分钟)，镜像个数count＝2，人工操作flag＝0；当采集的邮件所属环境为公司内部向外部发送的，优先级别就置为1，配置参数就置为时间time＝2(分钟)，镜像个数count＝1，人工操作flag＝0。取各种情况下输出优先级最高的情况作为最终的分析策略和配置参数。

s706，规则策略单元将文件策略优先级和对应的配置参数发送给文件调度单元。

s707，文件调度单元接收信息采集单元传入的样本文件，接收规则策略单 元传入的文件策略优先级和对应的配置参数，最后根据策略优先级将样本文件排序。

s708，文件调度单元按优先级高低顺序依次将样本文件和配置参数送往分析引擎。

s709，文件分析引擎接收传入的样本文件和配置参数。

s710，文件分析引擎根据配置参数启动不同的分析流程，包括镜像个数、分析时间、人工操作等。

s711，输出文件检测报告，分析结束。

综上可知，通过本发明的实施，至少存在以下有益效果：

本发明提供了一种样本文件分析方法，在接收样本文件时，同时获取各样本文件的环境参数，根据各样本文件的环境参数及预先配置的环境参与与用户身份的对应关系，确定样本文件对应的用户，并根据用户不同配置不同的分析策略规则，根据各样本文件的分析策略规则进行分析，这样就可以区分样本文件中的重点检测对象，针对重点检测对象尽可能的充分触发待测文件的各种行为，进行重点分析，达到重点对象重点分析、以提高重点检测对象检测率的目的，对应的，误报率也得到了明显的控制降低，解决了现有传统文件分析引擎针对所有样本文件采用相同分析策略、且分析引擎资源有限，导致的重点检测对象的漏报与误报的问题。

显然，本领域的技术人员应该明白，上述本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储介质(rom/ram、磁碟、光盘)中由计算装 置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。所以，本发明不限制于任何特定的硬件和软件结合。

以上仅是本发明的具体实施方式而已，并非对本发明做任何形式上的限制，凡是依据本发明的技术实质对以上实施方式所做的任意简单修改、等同变化、结合或修饰，均仍属于本发明技术方案的保护范围。