【技术实现步骤摘要】
一种可疑文件深度分析鉴定方法、系统、设备及介质
[0001]本专利技术涉及网络信息安全
,尤其涉及一种可疑文件深度分析鉴定方法、系统、设备及介质。
技术介绍
[0002]网络空间对抗形势日趋严峻,网络攻防已成为各国网络攻防对抗的主要战场。网络环境已由单纯互联发展到了泛在网络空间,攻击方式也由单一模式朝着复杂的APT攻击方向发展。通过对过去的APT攻击事件进行汇总分析时可发现,几乎所有的攻击事件中,攻击者在实施攻击时,为了逃避杀毒软件等现有安全产品的查杀,均会采用免杀木马或特种木马,再通过邮件投递、欺骗下载等手段,给目标植入恶意程序。
[0003]然而,传统的大部分可疑文件检测手段都是基于已知文件特征码匹配或签名的方式,由于同一类型的可疑文件特征码相同,且字符串匹配速度极快,因此这种方式以易用、高效获得了业界的推崇,但由于特征码匹配的方式需要预先在数据库中针对每一个可疑文件存储对应的特征码,因此这种方式只能检测已知的威胁文件,且一旦可疑文件对其源码进行过了混淆或加密,就无法被这种方式检测。
[0004]随...
【技术保护点】
【技术特征摘要】
1.一种可疑文件深度分析鉴定方法,其特征在于,包括以下步骤:S1.客户端获取待鉴定文件特征值并上传到可疑文件深度分析系统中;S2.所述可疑文件深度分析系统通过多引擎分析组件调用黑、白名单库进行比对查找,若命中则向客户端返回鉴定结果;若无法鉴定黑白属性,则向客户端下发可疑文件样本命令;S3.所述多引擎分析组件调用多个第一类引擎对恶意样本进行查杀,若命中黑名单规则,则向客户端下发查询结果,同时将待鉴定文件直接加入黑名单库,并进行存储管理;S4.当所述多引擎分析组件无法判断样本属性时,则将待鉴定文件作为可疑文件上传到沙箱分析组件,通过虚拟化沙箱运行,使用多个第二类引擎进行深度检测,识别免杀和高级恶意代码,并提取样本的详细行为和威胁行为;若鉴定为黑文件即病毒或威胁文件,则向终端下发查询结果,同时将待鉴定文件直接加入黑名单库,并进行存储管理;若鉴定为白文件,则将待鉴定文件添加至白名单库;若鉴定为灰文件即仍不可判定的文件,则将待鉴定文件存储于文件存储服务器中的灰名单库中,等待下一次的分析研判。2.根据权利要求1所述的可疑文件深度分析鉴定方法,其特征在于,所述沙箱分析组件基于静态特征检测和动态行为检测的结果进行综合威胁研判,最终进行结果展示输出。3.根据权利要求1所述的可疑文件深度分析鉴定方法,其特征在于,所述第一类引擎包括云查杀引擎、QVM引擎、鲲鹏引擎、AVE引擎、QEX引擎、CLAMAV引擎、YARA引擎、大蜘蛛引擎、Avast引擎和F
‑
Secure引擎。4.根据权利要求1所述的可疑文件深度分析鉴定方法,其特征在于,所述第二类引擎包括动态行为检测引擎、HASH检测引擎、CVE检测引擎、杀软内容检测引擎、YARA规则检测引擎、机器学习检测与分类引擎。5.一种可疑文件深度分析鉴定系统,其特征在于,包括:多引擎分析组件,被配置为基于多个第一类引擎对恶意样本进行查杀和鉴定;沙箱分析组件,...
【专利技术属性】
技术研发人员:周佳,张剑,王强,党帅军,杜雪悦,李韬,吴杰,项启,李佳月,冯庚,
申请(专利权)人:中国电子科技集团公司第三十研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。