[发明专利]一种实现样本分析的方法、装置及动态引擎设备

说明书

技术领域

本发明涉及安全分析领域，尤指一种实现样本分析的方法、装置及动态引擎设备。

背景技术

极光攻击、震网攻击、夜龙攻击、RSA(RSA是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的。1987年首次公布，当时他们三人都在麻省理工学院工作；RSA就是他们三人姓氏开头字母拼在一起组成的)令牌种子窃取等重大网络安全事件使得一种具有攻击手法高级、持续时间长、攻击目标明确等特征的攻击类型出现在公众视野中，国际上称之为高级持续性威胁攻击(APT，Advanced Persistent Threat)。APT不仅使用传统的病毒、木马作为攻击手段，更以邮件等社会工程学方式进行“先导攻击”，向用户发送精心构造使用0Day(0day是说在最短的时间内迅速地“解锁”，并在网上发布，其真正意思是“即时发布”)漏洞的恶意文件。一旦用户打开恶意文件，漏洞就会被触发，攻击代码注入到用户系统，并进行后续其它病毒的下载、木马操作等，以进行长期潜伏作业。而传统防火墙、企业反病毒软件等对此类无特征签名的恶意文件或恶意文件代码的检测和防护能力非常有限。

APT攻击检测防御技术是新一代网络安全的研究热点；其中，APT攻击所采用的检测方法主要包括：静态引擎分析、动态引擎分析及同时包括静态引擎和动态引擎的分析。为了实现有效的样本检测，同时包括静态引擎和动态引擎的分析得到了广泛的应用，一般的，按照先进行静态引擎分析再进行动态引擎分析的方式进行样本检测，进行静态引擎分析时，如果检测到样本异常，即可根据检测到的异常进行实时防护，对没有发现异常的样本通过动态引擎分析实现异常检测，通过两种分析的结合实现了对样本威胁程度的确认，提高了样本检测的有效性。图1为现有样本文件分析流向示意图，如图 1所示，进/出网络的网络流量通过旁路镜像方式转换为镜像流量后导出到样本采集设备，样本采集设备对镜像流量进行解析并提取获得样本文件，将提取的样本文件发往静态引擎设备后，由静态引擎设备进行静态分析，具体的：根据自身的特征库对每个样本文件进行匹配，对检测出异常的样本文件输出静态分析报告；未检测出异常的样本文件发往动态引擎设备进行动态分析，具体的，动态引擎设备接收到样本文件后，利用独立且受保护的虚拟分析系统模拟实际环境和用户行为对样本文件进行操作，如果样本文件为恶意文件，则可通过恶意文件的操作进行漏洞利用、文件释放、系统修改等攻击行为的识别，实现APT攻击的检测。

在同时包括静态分析和动态分析分析方法中，静态引擎设备的分析可以对存在威胁的样本进行有效的检测，从而减少发往动态引擎设备的样本数量；但是经过静态引擎设备分析后发往动态引擎设备的样本依然十分庞大，在不扩展动态引擎设备性能的条件下，动态引擎设备的资源往往容易被大量的进行威胁性低的样本检测所占用，降低了样本有效检测的效率，高威胁的样本无法实现快速检测；另外，随着时间的增长，动态引擎设备的检测速度也存在无法满足由于样本检测过程中堆积得越来越高的样本文件。

发明内容

为了解决上述技术问题，本发明提供一种实现样本分析的方法、装置及动态引擎设备，能够提高样本有效检测效率。

为了达到本发明目的，本发明提供了一种实现样本分析的方法，包括：对所有样本文件，

按照预设的评估策略对各样本文件对应的一个或一个以上分析信息进行综合评估；

根据所有样本文件的综合评估的结果对样本文件进行排序，以确定各样本文件的送检优先级；

根据各样本文件的排序发送样本文件到动态分析引擎进行动态分析。

可选的，动态分析之前，该方法还包括：

根据各所述样本文件的送检优先级生成各所述样本文件的动态引擎配置 参数并发往动态引擎设备，以使动态引擎设备根据所述动态引擎配置参数对各样本文件进行动态分析；或，

所述动态引擎设备接收外部指令，根据接收的外部指令进行各所述样本文件动态引擎配置参数的配置，并根据配置的所述动态引擎配置参数进行各样本文件进行动态引擎分析；或，

所述动态引擎设备按照预先设置的配置策略进行各所述样本文件动态引擎配置参数的配置，并根据配置的所述动态引擎配置参数进行各样本文件的动态分析。

可选的，样本文件为来自前端的样本文件；

所述前端包括：一个或一个以上静态引擎设备、和/或网页WEB端、和/或其他对样本文件进行分析信息输出的服务端。

可选的，预设的评估策略包括：