[发明专利]一种实现样本分析的方法、装置及动态引擎设备

权利要求书

1.一种实现样本分析的方法，其特征在于，包括：对所有样本文件，

按照预设的评估策略对各样本文件对应的一个或一个以上分析信息进行综合评估；

根据所有样本文件的综合评估的结果对样本文件进行排序，以确定各样本文件的送检优先级；

根据各样本文件的排序发送样本文件到动态分析引擎进行动态分析。

2.根据权利要求1所述的方法，其特征在于，所述动态分析之前，该方法还包括：

根据各所述样本文件的送检优先级生成各所述样本文件的动态引擎配置参数并发往动态引擎设备，以使动态引擎设备根据所述动态引擎配置参数对各样本文件进行动态分析；或，

所述动态引擎设备接收外部指令，根据接收的外部指令进行各所述样本文件动态引擎配置参数的配置，并根据配置的所述动态引擎配置参数进行各样本文件进行动态引擎分析；或，

所述动态引擎设备按照预先设置的配置策略进行各所述样本文件动态引擎配置参数的配置，并根据配置的所述动态引擎配置参数进行各样本文件的动态分析。

3.根据权利要求1或2所述的方法，其特征在于，所述样本文件为来自前端的样本文件；

所述前端包括：一个或一个以上静态引擎设备、和/或网页WEB端、和/或其他对样本文件进行分析信息输出的服务端。

4.根据权利要求1所述的方法，其特征在于，所述预设的评估策略包括：

为所述分析信息中的各分析参数设置相应的评估值；

根据设置的各所述分析参数的评估值对所述样本文件包含的各分析信息分别进行评估统计；

以各所述分析信息的评估统计结果确定各样本文件的综合评估。

5.根据权利要求4所述的方法，其特征在于，所述分析参数包括：样本文件是否加壳、和/或样本文件是否为可信任厂商版本、和/或样本文件的文件类型、和/或样本文件为可执行文件时可执行文件熵是否正常、和/或样本文件为可执行文件时可执行文件载入地址是否正常。

6.根据权利要求4或5所述的方法，其特征在于，所述确定各样本文件的综合评估包括：

对各样本文件，预先设置样本信息各所述分析信息对应的评估统计相应的综合评估权重；

将所述样本文件的各分析信息的评估统计分别乘以各分析信息相应的所述综合评估权重后进行累加，以累加结果作为样本文件的所述综合评估。

7.根据权利要求6所述的方法，其特征在于，所述对样本文件进行排序包括：

根据所述综合评估的数值大小确定各所述样本文件的优先级高低；

根据各所述样本文件的优先级高低，对所述样本文件按照优先级由高到低的顺序进行排序。

8.根据权利要求1、2、4或5所述的方法，其特征在于，所述进行综合评估之前，该方法还包括：

接收所述样本文件的分析信息，并对各样本文件的分析信息进行区分保存。

9.根据权利要求8所述的方法，其特征在于，所述对各样本文件的分析信息进行区分保存包括：

当接收的所述分析信息为新增样本文件的分析信息时，通过预设的文件标识保存所述新增样本文件的分析信息；

当接收的所述分析信息为已有样本文件的来自不同前端的分析信息时，以已有样本文件的文件标识保存所述分析信息；

当接收的所述分析信息出现异常或超时，删除所述分析信息和所述分析信息的相关记录。

10.根据权利要求9所述的方法，其特征在于，所述对所有样本文件的进行排序具体包括：

基于所述文件标识，根据所有样本文件的综合评估的结果对所述样本文件进行排序。

11.根据权利要求1、2、4或5所述的方法，其特征在于，该方法还包括：

当样本文件的所述综合评估的数值小于预设的评估阈值时，将该样本文件从发往动态分析引擎的排序中删除；

所述综合评估数值的高低与所述送检优先级成正比。

12.根据权利要求1、2、4或5所述的方法，其特征在于，该方法还包括：

排序的所述样本文件的数量大于预设的负载阈值时，按照发往动态分析引擎的排序，将排序在负载阈值之后的样本文件从排序中删除；

所述样本文件按照送检优先级由高到低的顺序进行排序。