[发明专利]样本分析方法、装置及存储介质

说明书

技术领域

本发明涉及互联网及信息安全技术领域，尤其涉及一种基于聚类运算的大规模样本分析方法、装置及存储介质。

背景技术

随着互联网技术的发展，为了保证网络信息安全，需要对海量的恶意样本进行分析，并从海量样本的分析中发现新型的恶意攻击技术，以便采取相应的反恶意攻击措施。

在即时通讯的网络管理平台上，用户每日需要上传成千上万的样本，这对后台的分析工程师来说极具挑战。而且，很多样本非常相似，虽然其恶意行为相同，但样本并非完全一致，使得分析工程师经常不得不进行重复分析。

目前，分析工程师手工分析样本的低效性已远远无法满足海量样本分析所要求的时效性。

现有的一种解决方案是：借助网站在线分析平台对样本进行分析，分析工程师将样本提交网站在线分析平台，一定时间后（数分钟至数小时不等）查看分析结果。此种在线分析技术中，在后台搭建有少量的服务器，使用沙箱技术来实现样本的分析，通过前台提供网页让访问者提交和上传所要分析的样本。这种方式虽然可大大提高人工详细分析的效率，但是，在分析的过程中需要人手工将样本提交上传至网站，而这些提供在线分析的网站通常对提交的样本数量有限制，难以实现自动化的操作，使得每日分析的样本量仍然非常有限。

现有的另一种解决方案是：使用多台服务器组建分析集群，利用沙箱或者虚拟机技术来进行海量样本分析，该方法不需要人工提交样本，而且分析的效率可以通过增加服务器的数量来进行提升。这种方式相比提交网站在线分析样本的方式，虽然分析效率得以大大提升，但是，当所要处理的样本数量远远超出预定的处理量时，该方案则很难通过增加和扩展计算能力来满足要求，因为需要的服务器数量过于庞大，成本将难以控制。

现有的三种样本分析方案的对比结果如下表1所示：

病毒样本分析技术每日样本处理量人机交互方式手工详细分析1 - 10全人工操作提交网站在线分析300左右需要人工提交样本多服务器组建分析集群10 – 100万全自动操作

表1

由上表1可以看出：目前分析效率最高的多服务器组建分析集群的分析方式每日处样本理量为100万左右， 而目前网络管理平台上每日新上传的样本已经达到1000万的量级，而且还会继续快速增长，因此，简单的在多服务器组建分析集群的技术上，继续叠加服务器以增加分析能力的方案已不可行。

发明内容

本发明的主要目的在于提供一种样本分析方法、装置及存储介质，旨在提高样本分析效率，降低系统成本。

为了达到上述目的，本发明提出一种样本分析方法，包括以下步骤：

接收上传的样本，对所述样本进行过滤处理；

对过滤处理后的样本进行归类处理；

对归类处理后的样本按照对应的类别进行分析。

优选地，所述对样本进行过滤处理的步骤包括：

过滤掉所述样本组成的样本集中不符合预定分析条件的样本。

本发明还提出一种样本分析装置，包括：

过滤模块，用于接收上传的样本，对所述样本进行过滤处理；

聚类模块，用于对过滤处理后的样本进行归类处理；

分析模块，用于对归类处理后的样本按照对应的类别进行分析。