本发明专利技术提出一种基于私有网络信息放大的恶意代码自动分析方法及系统,通过公有网络的检测系统对文件进行检测,如果判定所述文件为恶意,则进行文件拦截;如果非恶意,则允许文件进入内网用户终端;在利用私有网络检测系统获取并判断用户终端收到的文件来源是否是已知的,如果是未知文件,则将所述文件进行动态分析,如果为恶意则对文件进行信息放大;并将放大后的信息部署到私有网络检测系统中,用于对内网进行追踪检测。本发明专利技术能够在保护用户的隐私安全的前提下,保护用户的信息安全,并通过自学习方式提升网络的防御能力,提升用户所在网络环境的安全。
【技术实现步骤摘要】
本专利技术涉及计算机网络安全领域,特别涉及一种基于私有网络信息放大的恶意代码自动分析方法及系统。
技术介绍
随着计算机和通信技术的发展,用户信息的安全和保密已成为一个至关重要的问题。计算机网络所具有的开放性、互连性和共享性等特征使网上信息安全存在着先天不足,再加上系统软件中的安全漏洞以及所欠缺的严格管理,致使网络易受攻击,因此网络安全所采取的措施应能全方位地针对各种不同的威胁,保障网络信息的保密性、完整性和可用性。现有的云检测方案,需要将未知文件上传到云端进行检测,但对于个人或企事业单位存在一些隐私文件或机密文件等,不便于将其上传到其他服务器进行检测,在本地未检出,也不便于进行云检测的情况下,盲目使用文件可能会导致恶意代码运行。
技术实现思路
本专利技术提供了一种基于私有网络信息放大的恶意代码自动分析方法及系统,解决了隐私文件无法进行外网上传检测,内网不具备检测能力的问题;使得内网能够通过自学习的方式,提升检测能力,对未知隐私文件进行检测。一种基于私有网络信息放大的恶意代码自动分析方法,包括:获取网络传送的文件,通过公有网络的检测系统进行检测,如果判定所述文件为恶意,则进行文件拦截;如果非恶意,则允许文件进入内网用户终端;私有网络检测系统获取并判断用户终端收到的文件来源是否是已知的,如果是,则所述文件可以安全打开,否则将所述文件进行动态分析;动态分析:运行并监控所述文件,判断所述文件是否恶意,如果是,则分析所述文件并对文件进行信息放大,同时进行文件过滤并发出告警;否则所述文件可以安全打开;将放大后的信息部署到私有网络检测系统中,用于对内网进行追踪检测。所述的方法中,所述运行并监控所述文件,判断所述文件是否恶意具体为:将所述文件传送到指定分析虚拟机,并运行样本,样本运行结束后,输出监控日志,并分析监控日志的行为,如果存在恶意行为,则所述文件为恶意。所述的方法中,所述分析所述文件并对文件进行信息放大,具体为:总结所述文件的行为模式,提取所述文件的文件特征及行为特征,包括:版本信息、壳信息、网络操作、文件操作及注册表信息。一种基于私有网络信息放大的恶意代码自动分析系统,包括:公有网络检测服务器,用于获取网络传送的文件,通过公有网络的检测系统进行检测,如果判定所述文件为恶意,则进行文件拦截;如果非恶意,则允许文件进入内网用户终端;私有网络检测服务器,包括私有云分析模块、动态分析模块及信息部署模块;所述私有云分析模块用于获取并判断用户终端收到的文件来源是否是已知的,如果是,则所述文件可以安全打开,否则将所述文件提交到动态分析模块;所述动态分析模块用于运行并监控所述文件,判断所述文件是否恶意,如果是,则分析所述文件并对文件进行信息放大,同时进行文件过滤并发出告警;否则所述文件可以安全打开;信息部署模块,用于将放大后的信息部署到私有网络检测服务器中,用于对内网进行追踪检测。所述的系统中,所述动态分析模块运行并监控所述文件,判断所述文件是否恶意具体为:动态分析模块将所述文件传送到指定分析虚拟机,并运行样本,样本运行结束后,输出监控日志,并分析监控日志的行为,如果存在恶意行为,则所述文件为恶意。所述的系统中,所述分析所述文件并对文件进行信息放大,具体为:总结所述文件的行为模式,提取所述文件的文件特征及行为特征,包括:版本信息、壳信息、网络操作、文件操作及注册表信息。本专利技术提出一种基于私有网络信息放大的恶意代码自动分析方法及系统,通过公有网络的检测系统对文件进行检测,如果判定所述文件为恶意,则进行文件拦截;如果非恶意,则允许文件进入内网用户终端;在利用私有网络检测系统获取并判断用户终端收到的文件来源是否是已知的,如果是未知文件,则将所述文件进行动态分析,如果为恶意则对文件进行信息放大;并将放大后的信息部署到私有网络检测系统中,用于对内网进行追踪检测。本专利技术能够在保护用户的隐私安全的前提下,保护用户的信息安全,并通过自学习方式提升网络的防御能力,提升用户所在网络环境的安全。为了保护用户的隐私和信息安全,本专利技术提出了一种既能提升计算机在网络环境下的病毒防御能力又能有效的保证个人、企事业单位的信息安全的解决方案,搭建私有网络动态分析系统,当有不能公开的、安全性未知的文件,如个人隐私文件以及企事业机密文件等,就可以将它提交到部署在私有网络的动态分析系统里面,分析它的行为模式,提取恶意代码的特征,将提取的更多更全面的特征部署到私有网络检测系统进行全网追踪,这同时又达到了一种机器自学习的效果,这样既保证了文件安全性,又提升了计算机在网络环境里的病毒防御能力。附图说明为了更清楚地说明本专利技术或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术一种基于私有网络信息放大的恶意代码自动分析方法流程图;图2为本专利技术一种基于私有网络信息放大的恶意代码自动分析系统结构示意图。具体实施方式为了使本
的人员更好地理解本专利技术实施例中的技术方案,并使本专利技术的上述目的、特征和优点能够更加明显易懂,下面结合附图对本专利技术中技术方案作进一步详细的说明。本专利技术提供了一种基于私有网络信息放大的恶意代码自动分析方法及系统,解决了隐私文件无法进行外网上传检测,内网不具备检测能力的问题;使得内网能够通过自学习的方式,提升检测能力,对未知隐私文件进行检测。一种基于私有网络信息放大的恶意代码自动分析方法,如图1所示,包括:S101:获取网络传送的文件,通过公有网络的检测系统进行检测,如果判定所述文件为恶意,则进行文件拦截;如果非恶意,则允许文件进入内网用户终端;其中网络传送的文件,可以为下载到的文件或邮件附件等;公有网络检测系统可以使用已知的任何一款检测产品;S102:私有网络检测系统获取并判断用户终端收到的文件来源是否是已知的,如果是,则所述文件可以安全打开,否则执行S103;S103:动态分析:运行并监控所述文件,判断所述文件是否恶意,如果是,则分析所述文件并对文件进行信息放大,同时进行文件过滤并发出告警;否则所述文件可以安全打开;S104:将放大后的信息部署到私有网络检测系统中,用于对内网进行追踪检测。所述的方法中,所述运行并监控所述文件,判断所述文件是否恶意具体为:将所述文件传送到指定分析虚拟机,并运行样本,样本运行结束后,输出监控日志,并分析监控日志的行为,如果存在恶意行为,则所述文件为恶意。分析通过机器自主学习总结恶意文件的行为模式特征。所述的方法中,所述分析所述文件并对文件进行信息放大,具体为:总结所述文件的行为模式,提取所述文件的文件特征及行为特征,包括:版本信息、壳信息、网络操作、文件操作及注册表信息。本专利技术还提供了一种基于私有网络信息放大的恶意代码自动分析系统本文档来自技高网...
【技术保护点】
一种基于私有网络信息放大的恶意代码自动分析方法,其特征在于,包括:获取网络传送的文件,通过公有网络的检测系统进行检测,如果判定所述文件为恶意,则进行文件拦截;如果非恶意,则允许文件进入内网用户终端;私有网络检测系统获取并判断用户终端收到的文件来源是否是已知的,如果是,则所述文件可以安全打开,否则将所述文件进行动态分析;动态分析:运行并监控所述文件,判断所述文件是否恶意,如果是,则分析所述文件并对文件进行信息放大,同时进行文件过滤并发出告警;否则所述文件可以安全打开;将放大后的信息部署到私有网络检测系统中,用于对内网进行追踪检测。
【技术特征摘要】
1.一种基于私有网络信息放大的恶意代码自动分析方法,其特征在于,包括:
获取网络传送的文件,通过公有网络的检测系统进行检测,如果判定所述文件为恶意,则进行文件拦截;如果非恶意,则允许文件进入内网用户终端;
私有网络检测系统获取并判断用户终端收到的文件来源是否是已知的,如果是,则所述文件可以安全打开,否则将所述文件进行动态分析;
动态分析:运行并监控所述文件,判断所述文件是否恶意,如果是,则分析所述文件并对文件进行信息放大,同时进行文件过滤并发出告警;否则所述文件可以安全打开;
将放大后的信息部署到私有网络检测系统中,用于对内网进行追踪检测。
2.如权利要求1所述的方法,其特征在于,所述运行并监控所述文件,判断所述文件是否恶意具体为:将所述文件传送到指定分析虚拟机,并运行样本,样本运行结束后,输出监控日志,并分析监控日志的行为,如果存在恶意行为,则所述文件为恶意。
3.如权利要求1所述的方法,其特征在于,所述分析所述文件并对文件进行信息放大,具体为:总结所述文件的行为模式,提取所述文件的文件特征及行为特征,包括:版本信息、壳信息、网络操作、文件操作及注册表信息。
4.一种基于私有网络信息放大的恶意代码自动分析系统,其特征在于,包括:
公有网络...
【专利技术属性】
技术研发人员:康学斌,廖伟,关墨辰,何公道,
申请(专利权)人:哈尔滨安天科技股份有限公司,
类型:发明
国别省市:黑龙江;23
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。