一种可疑样本的处理方法和装置与流程

本发明涉及互联网技术领域，具体涉及一种可疑样本的处理方法和装置。

背景技术：

随着互联网技术的不断发展，人们对于网络的使用愈加频繁，通过网络可以进行工作、学习、生活、娱乐等多方面的事宜，给人们带来了极大的便利。然而，当前互联网技术中存在漏洞，这些漏洞给恶意开发者以可乘之机，恶意开发者们通过威胁样本利用这些漏洞对各种客户端、服务端所在的终端进行攻击，获取用户的个人信息，威胁用户的信息安全，给用户的人身、财产等方面损失。

因此，如何有效、全面地对互联网中的可疑样本进行挖掘、检测和处理，是当前亟待解决的重要问题。

技术实现要素：

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的可疑样本的处理方法和装置。

依据本发明的一个方面，提供了一种可疑样本的处理方法，包括：

从数据源接收可疑样本数据流；所述可疑样本数据流中包括多个可疑样本；

将接收到的可疑样本投放到沙箱中运行，获得可疑样本对应的运行日志；

对可疑样本对应的运行日志进行分析，获得可疑样本相关的特征信息；

根据可疑样本相关的特征信息和预设规则判断可疑样本是否为威胁样本；

将判定为威胁样本的可疑样本相关的特征信息放入威胁数据库中。

可选地，所述数据源包括：

分布在不同终端上的客户端；

和/或，

第三方安全检测平台。

可选地，当数据源为分布在不同终端上的客户端时，客户端将可疑样本上传到分布式集群中进行存储；

则所述从数据源接收可疑样本数据流包括：从所述分布式集群中读取客户端上传的可疑样本。

可选地，在所述将接收到的可疑样本投放到沙箱中运行之前，该方法进一步包括：对接收到的可疑样本进行筛选；

所述将接收到的可疑样本投放到沙箱中运行，获得可疑样本对应的运行日志包括：将筛选出来的可疑样本投放到沙箱中运行，获得筛选出来的每个可疑样本对应的运行日志。

可选地，所述对接收到的可疑样本进行筛选包括：

对接收到的可疑样本进行去重；

根据可疑样本的关联信息和预设策略，对去重后的可疑样本的优先级进行计算，将优先级高于第一预设阈值的可疑样本筛选出来；

其中，所述可疑样本的关联数据包括如下一种或多种：利用信息、域名信息、网址信息、IP信息、模式化信息。

可选地，在所述对接收到的可疑样本进行筛选之前，该方法进一步包括：

对接收到的可疑样本进行结构化处理，使得接收到的可疑样本的数据结构相统一。

可选地，所述将接收到的可疑样本投放到沙箱中运行，获得可疑样本对应的运行日志包括：

对接收到的可疑样本进行分发调度，将各个可疑样本分发到分布式沙箱系统中，使得各个可疑样本在分布式沙箱系统中并行地运行，获得各个可疑样本对应的运行日志。

可选地，所述对可疑样本对应的运行日志进行分析，获得可疑样本相关的特征信息包括：

将可疑样本对应的运行日志同步到分布式集群中进行存储；

利用分布式集群中的计算框架批量地对可疑样本对应的运行日志进行分析，获得各个可疑样本相关的特征信息。

可选地，可疑样本相关的特征信息包括：

可疑样本的静态特征信息，和/或，可疑样本的行为特征信息。

可选地，在所述获得可疑样本相关的特征信息之后，该方法进一步包括：

对可疑样本相关的特征信息进行结构化处理，使得可疑样本相关的特征信息具有统一的数据结构。

可选地，所述将判定为威胁样本的可疑样本相关的特征信息放入威胁数据库中包括：

根据所述判定为威胁样本的可疑样本相关的特征信息对威胁数据库中原有的数据进行更新。

可选地，该方法进一步包括：

每隔预设时间间隔，从威胁数据库中选取符合预设条件的指定可疑样本相关的特征信息；

将包含所选取的指定可疑样本相关的特征信息的信息推送至数据源，使得各数据源依据所述推送信息进行可疑样本的判断。

可选地，该方法进一步包括：

从各数据源接收反馈信息；所述反馈信息是数据源在依据所述推送信息进行可疑样本的判断的过程中所产生的打点日志。

依据本发明的另一个方面，提供了一种可疑样本的处理装置，包括：

样本接收单元，适于从数据源接收可疑样本数据流；所述可疑样本数据流中包括多个可疑样本；

运行处理单元，适于将接收到的可疑样本投放到沙箱中运行，获得可疑样本对应的运行日志；

结果分析单元，适于对可疑样本对应的运行日志进行分析，获得可疑样本相关的特征信息；根据可疑样本相关的特征信息和预设规则判断可疑样本是否为威胁样本；

样本处置单元，适于将判定为威胁样本的可疑样本相关的特征信息放入威胁数据库中。

可选地，所述数据源包括：

分布在不同终端上的客户端；

和/或，

第三方安全检测平台。

可选地，当数据源为分布在不同终端上的客户端时，客户端将可疑样本上传到分布式集群中进行存储；

所述样本接收单元，适于从所述分布式集群中读取客户端上传的可疑样本。

可选地，所述运行处理单元，进一步适于在所述将接收到的可疑样本投放到沙箱中运行之前，对接收到的可疑样本进行筛选；

则所述运行处理单元，适于将筛选出来的可疑样本投放到沙箱中运行，获得筛选出来的每个可疑样本对应的运行日志。

可选地，所述运行处理单元，适于对接收到的可疑样本进行去重；根据可疑样本的关联信息和预设策略，对去重后的可疑样本的优先级进行计算，将优先级高于第一预设阈值的可疑样本筛选出来；

其中，所述可疑样本的关联数据包括如下一种或多种：利用信息、域名信息、网址信息、IP信息、模式化信息。

可选地，所述运行处理单元，进一步适于在所述对接收到的可疑样本进行筛选之前，对接收到的可疑样本进行结构化处理，使得接收到的可疑样本的数据结构相统一。

可选地，所述运行处理单元，适于对接收到的可疑样本进行分发调度，将各个可疑样本分发到分布式沙箱系统中，使得各个可疑样本在分布式沙箱系统中并行地运行，获得各个可疑样本对应的运行日志。

可选地，所述结果分析单元，适于将可疑样本对应的运行日志同步到分布式集群中进行存储；利用分布式集群中的计算框架批量地对可疑样本对应的运行日志进行分析，获得各个可疑样本相关的特征信息。

可选地，可疑样本相关的特征信息包括：

可疑样本的静态特征信息，和/或，可疑样本的行为特征信息。

可选地，所述结果分析单元，进一步适于在所述获得可疑样本相关的特征信息之后，对可疑样本相关的特征信息进行结构化处理，使得可疑样本相关的特征信息具有统一的数据结构。

可选地，所述样本处置单元，适于根据所述判定为威胁样本的可疑样本相关的特征信息对威胁数据库中原有的数据进行更新。

可选地，所述样本处置单元，进一步适于每隔预设时间间隔，从威胁数据库中选取符合预设条件的指定可疑样本相关的特征信息；将包含所选取的指定可疑样本相关的特征信息的信息推送至数据源，使得各数据源依据所述推送信息进行可疑样本的判断。

可选地，所述样本处置单元，进一步适于从各数据源接收反馈信息；所述反馈信息是数据源在依据所述推送信息进行可疑样本的判断的过程中所产生的打点日志。

由上述可知，根据本发明的技术方案将从数据源接收的可疑样本投放到沙箱中运行，通过运行日志来记录可疑样本在沙箱中的运行过程，通过对可疑样本在沙箱中的运行过程的分析可以获知可疑样本相关的特征信息，进而可以明确地判定可疑样本是否是具有威胁的威胁样本，并将威胁样本的全部相关特征信息放入威胁数据库中作为已知威胁数据的补充和更新，形成了一个具有正向反馈的生态环境式的威胁数据监控中心，具有以下有益效果：从数据源收集海量可疑样本，保证数据样本的来源稳定；以沙箱作为虚拟载体运行可疑样本，清晰地记录可疑样本的所有运行轨迹，根据该运行轨迹可以更加全面地获得可疑样本相关的特征信息；在判定一个可疑样本为威胁样本时，利用每次分析得到的该可疑样本相关的全面的特征信息来不断循环迭代地补充更新威胁数据库中现有的该可疑样本的特征信息；而威胁数据库中的数据数量、数据种类、数据准确度地不断累积，为后续依据威胁数据库所进行的信息安全防护提供愈来愈有力的支撑。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了根据本发明一个实施例的一种可疑样本的处理方法的流程图；

图2示出了根据本发明一个实施例的一种可疑样本的处理方法的架构图；

图3示出了根据本发明一个实施例的一种可疑样本的处理方法的数据流转图；

图4示出了根据本发明一个实施例的一种可疑样本的处理装置的示意图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

图1示出了根据本发明一个实施例的一种可疑样本的处理方法的流程图。如图1所示，该方法包括：

步骤S110，从数据源接收可疑样本数据流；所述可疑样本数据流中包括多个可疑样本。

步骤S120，将接收到的可疑样本投放到沙箱中运行，获得可疑样本对应的运行日志。

步骤S130，对可疑样本对应的运行日志进行分析，获得可疑样本相关的特征信息。

步骤S140，根据可疑样本相关的特征信息和预设规则判断可疑样本是否为威胁样本。

步骤S150，将判定为威胁样本的可疑样本相关的特征信息放入威胁数据库中。

可见，图1所示的方法将从数据源接收的可疑样本投放到沙箱中运行，通过运行日志来记录可疑样本在沙箱中的运行过程，通过对可疑样本在沙箱中的运行过程的分析可以获知可疑样本相关的特征信息，进而可以明确地判定可疑样本是否是具有威胁的威胁样本，并将威胁样本的全部相关特征信息放入威胁数据库中作为已知威胁数据的补充和更新，形成了一个具有正向反馈的生态环境式的威胁数据监控中心，具有以下有益效果：从数据源收集海量可疑样本，保证数据样本的来源稳定；以沙箱作为虚拟载体运行可疑样本，清晰地记录可疑样本的所有运行轨迹，根据该运行轨迹可以更加全面地获得可疑样本相关的特征信息；在判定一个可疑样本为威胁样本时，利用每次分析得到的该可疑样本相关的全面的特征信息来不断循环迭代地补充更新威胁数据库中现有的该可疑样本的特征信息；而威胁数据库中的数据数量、数据种类、数据准确度地不断累积，为后续依据威胁数据库所进行的信息安全防护提供愈来愈有力的支撑。

其中，通过分析可疑样本对应的运行日志得到的可疑样本相关的特征信息包括：可疑样本的静态特征信息，和/或，可疑样本的行为特征信息。也就是说，对于放入沙箱中运行的每个可疑样本，无论是该可疑样本的静态特征，还是该可疑样本在运行过程中的动态行为特征，均可以被解构出来，均可以从本方案的视角观察到，即掌握了一个可疑样本的完整的档案，进而对于该可疑样本是不是具有威胁的威胁样本、如果是威胁样本如何对该可疑样本进行预防、查杀等问题均可以找到准确的答案。

随着本方案的不断实施，所掌握的可疑样本的档案不断被完善，即威胁数据库中的数据不断被完善。在本发明的一个实施例中，上述步骤S150将判定为威胁样本的可疑样本相关的特征信息放入威胁数据库中包括：根据所述判定为威胁样本的可疑样本相关的特征信息对威胁数据库中原有的数据进行更新。

在本发明的一个实施例中，数据源可以是本方案的分布于不同终端上的客户端，客户端对于可疑样本进行打点记录，本方案所接收到的可疑样本可以是由各个客户端上传的可疑样本；数据源也可以是与本方案合作的第三方安全检测平台，本方案所接收到的可疑样本可以是由该第三方安全检测平台检测后上传的可疑样本；数据源也可以是其他产品的客户端或者部署于其他产品的客户端上的热补丁，本方案所接收到的可疑样本可以是由其他产品的客户端或者部署于其他产品的客户端上的热补丁上传的可疑样本；此外，本方案所接收到的可疑样本数据流中还可以包括通过爬虫从各种网站上爬取的可疑样本。

其中，当数据源为分布在不同终端上的客户端时，客户端将可疑样本上传到分布式集群中进行存储；则图1所示步骤S110从数据源接收可疑样本数据流包括：从所述分布式集群中读取客户端上传的可疑样本。

通常，由于从数据源接收到的可疑样本数据流中可疑样本数目众多，其中不乏重复冗余无价值的可疑样本，因此，为了提高本方案运转效率，减少无意义地资源占用，在本发明的一个实施例中，在步骤S120将接收到的可疑样本投放到沙箱中运行之前，图1所示的方法进一步包括：对接收到的可疑样本进行筛选，将有价值的可疑样本筛选出来投放到沙箱中运行，获得筛选出来的每个可疑样本对应的运行日志。对筛选出来的每个可疑样本的运行日志进行分析，以获得更有价值的可疑样本相关的特征信息，以推动后续处理的正向反馈行进。

具体地，上述对接收到的可疑样本进行筛选包括：对接收到的可疑样本进行去重；根据可疑样本的关联信息和预设策略，对去重后的可疑样本的优先级进行计算，将优先级高于第一预设阈值的可疑样本筛选出来。其中，可疑通过比对接收到的可疑样本的标识信息来找出重复的可疑样本，完成去重操作；以及，可疑样本的关联信息即是可疑样本在当前已知的一些特征信息，其中，所述可疑样本的关联数据包括如下一种或多种：利用信息、域名信息、网址信息、IP信息、模式化信息等，随着本方案的不断实施，可疑样本的关联信息会不断被扩充，对于去重后的每个可疑样本，根据当前已知的该可疑样本的特征信息计算该可疑样本的优先级，例如，一个可疑样本的关联信息包括：url地址，则需要判断该url地址是否命中预置的重要网址列表(该重要网址列表中包括与政府网站相关的可疑样本的url地址)，是则，增加该可疑样本的优先级，否则不变。将各个可疑样本的优先级进行比较，筛选出优先级较高的可疑样本，作为有价值的可疑样本。

进一步地，由于来自不同数据源的可疑样本的格式不同，因此在上述对接收到的可疑样本进行筛选之前，本方案进一步包括：对接收到的可疑样本进行结构化处理，使得接收到的可疑样本的数据结构相统一，以利于后续的去重和筛选。

在本发明的一个实施例中，上述步骤S130对可疑样本对应的运行日志进行分析，获得可疑样本相关的特征信息包括：将可疑样本对应的运行日志同步到分布式集群中进行存储；利用分布式集群中的计算框架批量地对可疑样本对应的运行日志进行分析，获得各个可疑样本相关的特征信息。

在本发明的一个实施例中，图1所示的方法进一步包括：每隔预设时间间隔，从威胁数据库中选取符合预设条件的指定可疑样本相关的特征信息；将包含所选取的指定可疑样本相关的特征信息的信息推送至数据源，使得各数据源依据所述推送信息进行可疑样本的判断。

以及，在向数据源推送信息之后，该方案进一步包括：从各数据源接收反馈信息；所述反馈信息是数据源在依据所述推送信息进行可疑样本的判断的过程中所产生的打点日志。

图2示出了根据本发明一个实施例的一种可疑样本的处理方法的架构图。如图2所示，在本实施例中，数据源包括：对可疑样本进行打点记录的客户端、第三方安全检测平台“VT数据源&其他”以及部署于其他产品的客户端上的热补丁“网盾热补”。其中，分布于不同终端的客户端将可疑样本上传至Hadoop分布式集群的HDFS分布式文件系统中进行存储，本方案通过从HDFS中读取可疑样本来接收来自客户端的可疑样本。在接收到来自不同数据源的可疑样本之后，对接收到的可疑样本进行结构化，将数据结构统一的可疑样本放入检测任务数据筛选模块；检测任务数据筛选模块从可疑样本中筛选出有价值的可疑样本，其筛选依据为可疑样本的关联信息，将筛选出来的每一个可疑样本作为一条待处理任务发送至分析任务模块；本实施例中，分析任务模块由ElasticSearch分布式搜索引擎来实现的，为了提高后续处理效率，分析任务模块将需要立即进行处理的待处理任务(如优先级高于预定阈值的可疑样本以及当天的可疑样本)下发至任务分发调度模块；任务分发调度模块对接收到的可疑样本进行分发调度，将各个可疑样本分发到分布式沙箱系统中，使得各个可疑样本在分布式沙箱系统中并行地运行，获得各个可疑样本对应的运行日志；其中分发规则可以依据可疑样本所述的类型，将0Day漏洞相关的可疑样本、NDay漏洞相关的可疑样本以及恶意软件相关的可疑样本分发到分布式沙箱系统中，该分布式沙箱系统具体基于Mongodb集群搭建。

将各个可疑样本对应的运行日志作为结果数据回传到结果缓存区进行缓存，对于结果数据进行分类派发，派发至结果数据分析判定筛选模块执行对可疑样本对应的运行日志进行分析获得可疑样本相关的特征信息、根据可疑样本相关的特征信息和预设规则判断可疑样本是否为威胁样本、以及将判定为威胁样本的可疑样本筛选出来的过程；在图2所示的实施例中，上述对结果数据进行分类派发至结果数据分析判定筛选模块的过程具体为：将可疑样本对应的运行日志同步到Hadoop分布式集群中进行存储，利用Hadoop分布式集群中的MapReduce计算框架批量地对可疑样本对应的运行日志进行分析，获得各个可疑样本相关的特征信息；进一步地，还可以利用Hadoop分布式集群中的MapReduce计算框架根据可疑样本相关的特征信息判断可疑样本是否为威胁样本，并将判定为威胁样本的可疑样本筛选出来，将判定为威胁样本的可疑样本相关的特征信息放入威胁数据库中，以对威胁数据库进行补充和完善。

进一步地，如图2所示，每天从威胁数据库中选取符合预设条件的指定可疑样本相关的特征信息作为每日威胁数据推送到各个数据源，使得各数据源依据所述推送信息进行可疑样本的判断，以及，从各数据源接收反馈信息；所述反馈信息是数据源在依据所述推送信息进行可疑样本的判断的过程中所产生的打点日志。

图3示出了根据本发明一个实施例的一种可疑样本的处理方法的数据流转图。如图3所示，整个数据流转过程说明如下：分布于不同终端的客户端从用户处收集可疑样本，将可疑样本上传到Hadoop分布式集群中进行存储，利用Hadoop分布式集群中的MapReduce计算框架批量地对接收到的可疑样本进行去重、筛选和结构化处理，得到待处理的可疑样本作为待处理任务，利用ElasticSearch分布式搜索引擎进行任务分发，分发到分布式沙箱中进行运行，得到各可疑样本对应的运行日志作为结果数据，进行结果数据分析，得到每个可疑样本相关的特征信息，根据规则进行规则化判定，判断可疑样本是否为威胁样本，如果可疑样本不是威胁样本，看是否需要重新投放到沙箱中运行，如果不需要则放弃该可疑样本，如果需要则将该可疑样本重新投放到沙箱中运行；如果可疑样本是威胁样本，结构化该可疑样本相关的特征信息，再放入到威胁数据库中，从威胁数据库中筛选出符合推送条件的可疑样本相关的特征信息并推送至相应的数据源作为威胁分析依据，并接收数据源的反馈结果。

可以看到，在本方案中，从数据源接收可疑样本，对可疑样本进行检测实现对威胁数据库的补充更新，威胁数据库向数据源推送补充更新后的可疑样本相关的特征信息，数据源根据该推送的可疑样本相关的特征信息进行打点记录，更精确地拦截、记录可疑样本并上传，以及向威胁数据库反馈推送结果，形成了正反馈闭环，能够不断地扩充完善本方案所构建的威胁数据监控中心，该威胁数据监控中心能够通过威胁数据库建立起关于各种类型的威胁样本的完整的特征信息的管理，所管理的威胁样本的特征信息越完善清晰，越能够找到预防查杀威胁样本的策略，并可以及时将预防查杀威胁样本的策略统一推送到数据源中对于各个数据源的预防查杀策略进行统一的调整，建立起非常严密的安全防护机制，从更高的格局保障互联网信息安全。

图4示出了根据本发明一个实施例的一种可疑样本的处理装置的示意图。如图4所示，该可疑样本的处理装置400包括：

样本接收单元410，适于从数据源接收可疑样本数据流；所述可疑样本数据流中包括多个可疑样本。

运行处理单元420，适于将接收到的可疑样本投放到沙箱中运行，获得可疑样本对应的运行日志。

结果分析单元430，适于对可疑样本对应的运行日志进行分析，获得可疑样本相关的特征信息；根据可疑样本相关的特征信息和预设规则判断可疑样本是否为威胁样本。

样本处置单元440，适于将判定为威胁样本的可疑样本相关的特征信息放入威胁数据库中。

可见，图4所示的装置将从数据源接收的可疑样本投放到沙箱中运行，通过运行日志来记录可疑样本在沙箱中的运行过程，通过对可疑样本在沙箱中的运行过程的分析可以获知可疑样本相关的特征信息，进而可以明确地判定可疑样本是否是具有威胁的威胁样本，并将威胁样本的全部相关特征信息放入威胁数据库中作为已知威胁数据的补充和更新，形成了一个具有正向反馈的生态环境式的威胁数据监控中心，具有以下有益效果：从数据源收集海量可疑样本，保证数据样本的来源稳定；以沙箱作为虚拟载体运行可疑样本，清晰地记录可疑样本的所有运行轨迹，根据该运行轨迹可以更加全面地获得可疑样本相关的特征信息；在判定一个可疑样本为威胁样本时，利用每次分析得到的该可疑样本相关的全面的特征信息来不断循环迭代地补充更新威胁数据库中现有的该可疑样本的特征信息；而威胁数据库中的数据数量、数据种类、数据准确度地不断累积，为后续依据威胁数据库所进行的信息安全防护提供愈来愈有力的支撑。

在本发明的一个实施例中，数据源包括：分布在不同终端上的客户端；和/或，第三方安全检测平台。其中，当数据源为分布在不同终端上的客户端时，客户端将可疑样本上传到分布式集群中进行存储；样本接收单元410，适于从所述分布式集群中读取客户端上传的可疑样本。

在本发明的一个实施例中，运行处理单元420，进一步适于在所述将接收到的可疑样本投放到沙箱中运行之前，对接收到的可疑样本进行筛选；则所述运行处理单元420，适于将筛选出来的可疑样本投放到沙箱中运行，获得筛选出来的每个可疑样本对应的运行日志。

具体地，运行处理单元420，适于对接收到的可疑样本进行去重；根据可疑样本的关联信息和预设策略，对去重后的可疑样本的优先级进行计算，将优先级高于第一预设阈值的可疑样本筛选出来；其中，所述可疑样本的关联数据包括如下一种或多种：利用信息、域名信息、网址信息、IP信息、模式化信息。

以及，运行处理单元420，进一步适于在所述对接收到的可疑样本进行筛选之前，对接收到的可疑样本进行结构化处理，使得接收到的可疑样本的数据结构相统一。

在本发明的一个实施例中，运行处理单元420，适于对接收到的可疑样本进行分发调度，将各个可疑样本分发到分布式沙箱系统中，使得各个可疑样本在分布式沙箱系统中并行地运行，获得各个可疑样本对应的运行日志。

在本发明的一个实施例中，结果分析单元430，适于将可疑样本对应的运行日志同步到分布式集群中进行存储；利用分布式集群中的计算框架批量地对可疑样本对应的运行日志进行分析，获得各个可疑样本相关的特征信息。

在本发明的一个实施例中，可疑样本相关的特征信息包括：可疑样本的静态特征信息，和/或，可疑样本的行为特征信息。

在本发明的一个实施例中，结果分析单元430，进一步适于在所述获得可疑样本相关的特征信息之后，对可疑样本相关的特征信息进行结构化处理，使得可疑样本相关的特征信息具有统一的数据结构。

在本发明的一个实施例中，样本处置单元440，适于根据所述判定为威胁样本的可疑样本相关的特征信息对威胁数据库中原有的数据进行更新。

在本发明的一个实施例中，样本处置单元440，进一步适于每隔预设时间间隔，从威胁数据库中选取符合预设条件的指定可疑样本相关的特征信息；将包含所选取的指定可疑样本相关的特征信息的信息推送至数据源，使得各数据源依据所述推送信息进行可疑样本的判断。

其中，样本处置单元440，进一步适于从各数据源接收反馈信息；所述反馈信息是数据源在依据所述推送信息进行可疑样本的判断的过程中所产生的打点日志。

其中，图4所示的装置的实施例与上文中图1-图3所描述的各实施例对应相同，上文中已经有详细说明，在此不再赘述。

综上所述，本发明的技术方案将从数据源接收的可疑样本投放到沙箱中运行，通过运行日志来记录可疑样本在沙箱中的运行过程，通过对可疑样本在沙箱中的运行过程的分析可以获知可疑样本相关的特征信息，进而可以明确地判定可疑样本是否是具有威胁的威胁样本，并将威胁样本的全部相关特征信息放入威胁数据库中作为已知威胁数据的补充和更新，形成了一个具有正向反馈的生态环境式的威胁数据监控中心，具有以下有益效果：从数据源收集海量可疑样本，保证数据样本的来源稳定；以沙箱作为虚拟载体运行可疑样本，清晰地记录可疑样本的所有运行轨迹，根据该运行轨迹可以更加全面地获得可疑样本相关的特征信息；在判定一个可疑样本为威胁样本时，利用每次分析得到的该可疑样本相关的全面的特征信息来不断循环迭代地补充更新威胁数据库中现有的该可疑样本的特征信息；而威胁数据库中的数据数量、数据种类、数据准确度地不断累积，为后续依据威胁数据库所进行的信息安全防护提供愈来愈有力的支撑。

需要说明的是：

在此提供的算法和显示不与任何特定计算机、虚拟装置或者其它设备固有相关。各种通用装置也可以与基于在此的示教一起使用。根据上面的描述，构造这类装置所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的可疑样本的处理装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

本发明公开了A1、一种可疑样本的处理方法，其中，包括：

从数据源接收可疑样本数据流；所述可疑样本数据流中包括多个可疑样本；

将接收到的可疑样本投放到沙箱中运行，获得可疑样本对应的运行日志；

对可疑样本对应的运行日志进行分析，获得可疑样本相关的特征信息；

根据可疑样本相关的特征信息和预设规则判断可疑样本是否为威胁样本；

将判定为威胁样本的可疑样本相关的特征信息放入威胁数据库中。

A2、如A1所述的方法，其中，所述数据源包括：

分布在不同终端上的客户端；

和/或，

第三方安全检测平台。

A3、如A2所述的方法，其中，当数据源为分布在不同终端上的客户端时，客户端将可疑样本上传到分布式集群中进行存储；

则所述从数据源接收可疑样本数据流包括：从所述分布式集群中读取客户端上传的可疑样本。

A4、如A1所述的方法，其中，在所述将接收到的可疑样本投放到沙箱中运行之前，该方法进一步包括：对接收到的可疑样本进行筛选；

所述将接收到的可疑样本投放到沙箱中运行，获得可疑样本对应的运行日志包括：将筛选出来的可疑样本投放到沙箱中运行，获得筛选出来的每个可疑样本对应的运行日志。

A5、如A4所述的方法，其中，所述对接收到的可疑样本进行筛选包括：

对接收到的可疑样本进行去重；

根据可疑样本的关联信息和预设策略，对去重后的可疑样本的优先级进行计算，将优先级高于第一预设阈值的可疑样本筛选出来；

其中，所述可疑样本的关联数据包括如下一种或多种：利用信息、域名信息、网址信息、IP信息、模式化信息。

A6、如A4所述的方法，其中，在所述对接收到的可疑样本进行筛选之前，该方法进一步包括：

对接收到的可疑样本进行结构化处理，使得接收到的可疑样本的数据结构相统一。

A7、如A1所述的方法，其中，所述将接收到的可疑样本投放到沙箱中运行，获得可疑样本对应的运行日志包括：

对接收到的可疑样本进行分发调度，将各个可疑样本分发到分布式沙箱系统中，使得各个可疑样本在分布式沙箱系统中并行地运行，获得各个可疑样本对应的运行日志。

A8、如A1所述的方法，其中，所述对可疑样本对应的运行日志进行分析，获得可疑样本相关的特征信息包括：

将可疑样本对应的运行日志同步到分布式集群中进行存储；

利用分布式集群中的计算框架批量地对可疑样本对应的运行日志进行分析，获得各个可疑样本相关的特征信息。

A9、如A1所述的方法，其中，可疑样本相关的特征信息包括：

可疑样本的静态特征信息，和/或，可疑样本的行为特征信息。

A10、如A1所述的方法，其中，在所述获得可疑样本相关的特征信息之后，该方法进一步包括：

对可疑样本相关的特征信息进行结构化处理，使得可疑样本相关的特征信息具有统一的数据结构。

A11、如A1所述的方法，其中，所述将判定为威胁样本的可疑样本相关的特征信息放入威胁数据库中包括：

根据所述判定为威胁样本的可疑样本相关的特征信息对威胁数据库中原有的数据进行更新。

A12、如A1所述的方法，其中，该方法进一步包括：

每隔预设时间间隔，从威胁数据库中选取符合预设条件的指定可疑样本相关的特征信息；

将包含所选取的指定可疑样本相关的特征信息的信息推送至数据源，使得各数据源依据所述推送信息进行可疑样本的判断。

A13、如A12所述的方法，其中，该方法进一步包括：

从各数据源接收反馈信息；所述反馈信息是数据源在依据所述推送信息进行可疑样本的判断的过程中所产生的打点日志。

本发明还公开了B14、一种可疑样本的处理装置，其中，包括：

样本接收单元，适于从数据源接收可疑样本数据流；所述可疑样本数据流中包括多个可疑样本；

运行处理单元，适于将接收到的可疑样本投放到沙箱中运行，获得可疑样本对应的运行日志；

结果分析单元，适于对可疑样本对应的运行日志进行分析，获得可疑样本相关的特征信息；根据可疑样本相关的特征信息和预设规则判断可疑样本是否为威胁样本；

样本处置单元，适于将判定为威胁样本的可疑样本相关的特征信息放入威胁数据库中。

B15、如B14所述的装置，其中，所述数据源包括：

分布在不同终端上的客户端；

和/或，

第三方安全检测平台。

B16、如B15所述的装置，其中，当数据源为分布在不同终端上的客户端时，客户端将可疑样本上传到分布式集群中进行存储；

所述样本接收单元，适于从所述分布式集群中读取客户端上传的可疑样本。

B17、如B14所述的装置，其中，

所述运行处理单元，进一步适于在所述将接收到的可疑样本投放到沙箱中运行之前，对接收到的可疑样本进行筛选；

则所述运行处理单元，适于将筛选出来的可疑样本投放到沙箱中运行，获得筛选出来的每个可疑样本对应的运行日志。

B18、如B17所述的装置，其中，

所述运行处理单元，适于对接收到的可疑样本进行去重；根据可疑样本的关联信息和预设策略，对去重后的可疑样本的优先级进行计算，将优先级高于第一预设阈值的可疑样本筛选出来；

其中，所述可疑样本的关联数据包括如下一种或多种：利用信息、域名信息、网址信息、IP信息、模式化信息。

B19、如B17所述的装置，其中，

所述运行处理单元，进一步适于在所述对接收到的可疑样本进行筛选之前，对接收到的可疑样本进行结构化处理，使得接收到的可疑样本的数据结构相统一。

B20、如B14所述的装置，其中，

所述运行处理单元，适于对接收到的可疑样本进行分发调度，将各个可疑样本分发到分布式沙箱系统中，使得各个可疑样本在分布式沙箱系统中并行地运行，获得各个可疑样本对应的运行日志。

B21、如B14所述的装置，其中，

所述结果分析单元，适于将可疑样本对应的运行日志同步到分布式集群中进行存储；利用分布式集群中的计算框架批量地对可疑样本对应的运行日志进行分析，获得各个可疑样本相关的特征信息。

B22、如B14所述的装置，其中，可疑样本相关的特征信息包括：

可疑样本的静态特征信息，和/或，可疑样本的行为特征信息。

B23、如B14所述的装置，其中，

所述结果分析单元，进一步适于在所述获得可疑样本相关的特征信息之后，对可疑样本相关的特征信息进行结构化处理，使得可疑样本相关的特征信息具有统一的数据结构。

B24、如B14所述的装置，其中，

所述样本处置单元，适于根据所述判定为威胁样本的可疑样本相关的特征信息对威胁数据库中原有的数据进行更新。

B25、如B14所述的装置，其中，

所述样本处置单元，进一步适于每隔预设时间间隔，从威胁数据库中选取符合预设条件的指定可疑样本相关的特征信息；将包含所选取的指定可疑样本相关的特征信息的信息推送至数据源，使得各数据源依据所述推送信息进行可疑样本的判断。

B26、如B25所述的装置，其中，

所述样本处置单元，进一步适于从各数据源接收反馈信息；所述反馈信息是数据源在依据所述推送信息进行可疑样本的判断的过程中所产生的打点日志。