[发明专利]确定漏洞利用样本文件的方法和设备

权利要求书

1.一种确定漏洞利用样本文件的方法，其特征在于，包括：

响应于检测到的漏洞利用行为，查找在所述漏洞利用行为之前的预定时间内与所述漏洞利用行为相关的可疑文件；其中，漏洞利用行为通过部署主动防御监控点进行监控；漏洞利用行为包括疑似漏洞利用样本中包含的漏洞利用代码在存在漏洞的终端设备环境中被触发或漏洞利用代码被触发执行包括恶意代码在内的任意代码；

基于用于描述在所述漏洞利用行为之前的所述预定时间内与所述可疑文件相关联的文件信息，对与所述可疑文件相关联的行为链进行分析，其中所述行为链包括与所述可疑文件相关联的行为的集合；以及

基于对所述行为链进行分析的分析结果，从所述可疑文件中确定触发所述漏洞利用行为的漏洞利用样本文件。

2.根据权利要求1所述的方法，其特征在于，所述文件信息包括以下至少一种信息：所述可疑文件的统一资源定位符、所述可疑文件的文件关系链的信息以及与所述可疑文件相关联的异常行为的信息。

3.根据权利要求2所述的方法，其特征在于，对与所述可疑文件相关联的行为链进行分析的操作，包括：

根据所述统一资源定位符的信息和/或所述文件关系链的信息，确定所述可疑文件的文件来源。

4.根据权利要求3所述的方法，其特征在于，从所述可疑文件中确定所述漏洞利用样本文件的操作，包括：

将文件来源为非法来源的所述可疑文件确定为所述漏洞利用样本文件。

5.根据权利要求2所述的方法，其特征在于，对与所述可疑文件相关联的行为链进行分析的操作，包括：

根据所述统一资源定位符的信息和/或所述文件关系链的信息，确定所述可疑文件的链网行为。

6.根据权利要求5所述的方法，其特征在于，从所述可疑文件中确定所述漏洞利用样本文件的操作，包括：

将链网行为中存在非法行为的所述可疑文件确定为所述漏洞利用样本文件。

7.一种确定漏洞利用样本文件的设备，其特征在于，所述设备包括：

采集模块，用于响应于检测到的漏洞利用行为，查找在所述漏洞利用行为之前的预定时间内与所述漏洞利用行为相关的可疑文件；其中，漏洞利用行为通过部署主动防御监控点进行监控；漏洞利用行为包括疑似漏洞利用样本中包含的漏洞利用代码在存在漏洞的终端设备环境中被触发或漏洞利用代码被触发执行包括恶意代码在内的任意代码；

分析模块，对与所述可疑文件相关联的行为链进行分析，其中所述行为链包括与所述可疑文件相关联的行为的集合；以及

确定模块，用于基于对所述行为链进行分析的分析结果，从所述可疑文件中确定触发所述漏洞利用行为的漏洞利用样本文件；

所述分析模块包括：

文件信息确定模块，用于根据所述可疑文件，确定与所述可疑文件相关联的文件信息，其中所述文件信息用于描述在所述漏洞利用行为之前的所述预定时间内，与所述可疑文件相关的信息；以及

可疑文件分析模块，用于基于所述文件信息，对与所述可疑文件相关联的行为链进行分析。

8.根据权利要求7所述的设备，其特征在于，所述可疑文件分析模块包括：

第一分析子模块，用于根据统一资源定位符的信息和/或文件关系链的信息，确定所述可疑文件的文件来源。

9.根据权利要求8所述的设备，其特征在于，所述确定模块包括：

第一确定子模块，用于将文件来源为非法来源的所述可疑文件确定为所述漏洞利用样本文件。

10.根据权利要求7所述的设备，其特征在于，所述可疑文件分析模块还包括：

第二分析子模块，用于根据统一资源定位符的信息和/或文件关系链的信息，确定所述可疑文件的链网行为。

11.根据权利要求10所述的设备，其特征在于，所述确定模块包括：

第二确定子模块，用于将链网行为中存在非法行为的所述可疑文件确定为所述漏洞利用样本文件。