本发明专利技术公开了一种可疑文件深度分析鉴定方法、系统、设备及介质,其中方法包括以下步骤:客户端获取待鉴定文件特征值并上传到可疑文件深度分析系统中;可疑文件深度分析系统通过多引擎分析组件调用黑、白名单库进行比对查找;多引擎分析组件调用多个第一类引擎对恶意样本进行查杀,若命中黑名单规则,则向客户端下发查询结果,同时将待鉴定文件直接加入黑名单库,并进行存储管理;当多引擎分析组件无法判断样本属性时,则将待鉴定文件作为可疑文件上传到沙箱分析组件,通过虚拟化沙箱运行,使用多个第二类引擎进行深度检测,识别免杀和高级恶意代码。本发明专利技术可最大程度发挥多种检测技术的优势,提升可疑文件的分析识别与鉴定能力。力。力。
【技术实现步骤摘要】
一种可疑文件深度分析鉴定方法、系统、设备及介质
[0001]本专利技术涉及网络信息安全
,尤其涉及一种可疑文件深度分析鉴定方法、系统、设备及介质。
技术介绍
[0002]网络空间对抗形势日趋严峻,网络攻防已成为各国网络攻防对抗的主要战场。网络环境已由单纯互联发展到了泛在网络空间,攻击方式也由单一模式朝着复杂的APT攻击方向发展。通过对过去的APT攻击事件进行汇总分析时可发现,几乎所有的攻击事件中,攻击者在实施攻击时,为了逃避杀毒软件等现有安全产品的查杀,均会采用免杀木马或特种木马,再通过邮件投递、欺骗下载等手段,给目标植入恶意程序。
[0003]然而,传统的大部分可疑文件检测手段都是基于已知文件特征码匹配或签名的方式,由于同一类型的可疑文件特征码相同,且字符串匹配速度极快,因此这种方式以易用、高效获得了业界的推崇,但由于特征码匹配的方式需要预先在数据库中针对每一个可疑文件存储对应的特征码,因此这种方式只能检测已知的威胁文件,且一旦可疑文件对其源码进行过了混淆或加密,就无法被这种方式检测。
[0004]随着网络攻防技术的不断发展,传统的可疑文件检测方法已逐渐被取代,基于行为的动态检测方式成为主流。动态检测主要以虚拟环境实时监控为主,通过模拟用户运行程序时的环境,对可疑文件进行实时监测与跟踪,由于具有极高的检测准确率广受业界推崇,但也因此增加了检测过程的时间成本与系统开销,但对于具有反沙箱机制的可疑文件,会在执行过程中对系统进程进行监控,一旦发现了沙箱或虚拟机进程就不再执行高威胁函数,从而躲避动态检测。
[0005]特征码检测技术面对变种木马或者新出现的病毒,是无法发现并确认的,只有在确认该可疑文件是病毒之后,提取它的特征码并更新特征码库,之后才能够检测出来,而基于行为的动态检测方式需要对可疑文件在系统中的动作进行记录并且对所有的动作综合起来进行分析,无论是记录动作还是分析动作都会占用系统资源,同时也增加了检测的时间,无法满足短时间内大量样本的同时检测。
技术实现思路
[0006]为了实现对网络中大量可疑文件进行自动、准确和快速的识别与鉴定,本专利技术提出一种可疑文件深度分析鉴定方法、系统、设备及介质,通过对计算机可疑文件的相关内容和特点进行研究,将多引擎检测技术、沙箱检测技术、大数据分析技术、威胁情报和人工分析技术进行有机结合,采用“云+端”的设计理念,可最大程度发挥多种检测技术的优势,提升可疑文件的分析识别与鉴定能力。
[0007]本专利技术采用的技术方案如下:
[0008]一种可疑文件深度分析鉴定方法,包括以下步骤:
[0009]S1.客户端获取待鉴定文件特征值并上传到可疑文件深度分析系统中;
[0010]S2.所述可疑文件深度分析系统通过多引擎分析组件调用黑、白名单库进行比对查找,若命中则向客户端返回鉴定结果;若无法鉴定黑白属性,则向客户端下发可疑文件样本命令;
[0011]S3.所述多引擎分析组件调用多个第一类引擎对恶意样本进行查杀,若命中黑名单规则,则向客户端下发查询结果,同时将待鉴定文件直接加入黑名单库,并进行存储管理;
[0012]S4.当所述多引擎分析组件无法判断样本属性时,则将待鉴定文件作为可疑文件上传到沙箱分析组件,通过虚拟化沙箱运行,使用多个第二类引擎进行深度检测,识别免杀和高级恶意代码,并提取样本的详细行为和威胁行为;若鉴定为黑文件即病毒或威胁文件,则向终端下发查询结果,同时将待鉴定文件直接加入黑名单库,并进行存储管理;若鉴定为白文件,则将待鉴定文件添加至白名单库;若鉴定为灰文件即仍不可判定的文件,则将待鉴定文件存储于文件存储服务器中的灰名单库中,等待下一次的分析研判。
[0013]进一步地,所述沙箱分析组件基于静态特征检测和动态行为检测的结果进行综合威胁研判,最终进行结果展示输出。
[0014]进一步地,所述第一类引擎包括云查杀引擎、QVM引擎、鲲鹏引擎、AVE引擎、QEX引擎、CLAMAV引擎、YARA引擎、大蜘蛛引擎、Avast引擎和F
‑
Secure引擎。
[0015]进一步地,所述第二类引擎包括动态行为检测引擎、HASH检测引擎、CVE检测引擎、杀软内容检测引擎、YARA规则检测引擎、机器学习检测与分类引擎。
[0016]一种可疑文件深度分析鉴定系统,包括:
[0017]多引擎分析组件,被配置为基于多个第一类引擎对恶意样本进行查杀和鉴定;
[0018]沙箱分析组件,被配置为通过虚拟化沙箱运行,基于多个第二类引擎进行深度检测,识别免杀和高级恶意代码,并提取样本的详细行为和威胁行为;
[0019]黑白名单管理组件,被配置为提供全网黑白名单存储管理服务,接收所述多引擎分析组件和所述沙箱分析组件上报的黑白文件哈希值;
[0020]威胁情报组件,被配置为对所述沙箱分析组件提供本地化API查询接口;
[0021]样本存储管理组件,被配置为对相关文件进行分类存储并提供检索服务,所述相关文件包括正常文件、恶意样本文件、用户上报的文件、多引擎分析组件和沙箱分析组件分析后的文件;
[0022]Web查询组件,被配置为提供可疑程序和病毒的在线查询及分析服务。
[0023]进一步地,所述黑白名单管理组件能够对其他平台提供赋能服务,通过对样本或网址进行黑白级别预置形成自主运营的黑、白名单库。
[0024]进一步地,所述威胁情报组件管理和展示的情报包括失陷检测类情报、IP信誉情报和域名信誉情报。
[0025]进一步地,所述第一类引擎包括云查杀引擎、QVM引擎、鲲鹏引擎、AVE引擎、QEX引擎、CLAMAV引擎、YARA引擎、大蜘蛛引擎、Avast引擎和F
‑
Secure引擎;所述第二类引擎包括动态行为检测引擎、HASH检测引擎、CVE检测引擎、杀软内容检测引擎、YARA规则检测引擎、机器学习检测与分类引擎。
[0026]一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述可疑文件深度分析鉴定方法的步骤。
[0027]一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时实现上述可疑文件深度分析鉴定方法的步骤。
[0028]本专利技术的有益效果在于:
[0029]本专利技术融合了多引擎检测、沙箱检测、大数据分析、威胁情报和人工分析等技术,并以组件和模块的方式对其进行编排和调度,通过规范的、合理的可疑程序鉴定流程,极大的发挥了多种检测技术的优势,减少了网络中已知恶意程序和未知恶意程序的误报和漏报情况。同时,本专利技术具有完备的可持续运营能力,能够将检测结果进行存储和转化,在持续加强计算机可疑程序鉴定能力的同时,还能够为其他平台进行赋能,从而可为整个网络的安全提供保障和辅助支撑。
附图说明
[0030]图1是本专利技术实施例1的可疑文件深度分析鉴定系统框图。
[0031]图2是本专利技术实施例1的可疑文件深度分析鉴定方法流程图。...
【技术保护点】
【技术特征摘要】
1.一种可疑文件深度分析鉴定方法,其特征在于,包括以下步骤:S1.客户端获取待鉴定文件特征值并上传到可疑文件深度分析系统中;S2.所述可疑文件深度分析系统通过多引擎分析组件调用黑、白名单库进行比对查找,若命中则向客户端返回鉴定结果;若无法鉴定黑白属性,则向客户端下发可疑文件样本命令;S3.所述多引擎分析组件调用多个第一类引擎对恶意样本进行查杀,若命中黑名单规则,则向客户端下发查询结果,同时将待鉴定文件直接加入黑名单库,并进行存储管理;S4.当所述多引擎分析组件无法判断样本属性时,则将待鉴定文件作为可疑文件上传到沙箱分析组件,通过虚拟化沙箱运行,使用多个第二类引擎进行深度检测,识别免杀和高级恶意代码,并提取样本的详细行为和威胁行为;若鉴定为黑文件即病毒或威胁文件,则向终端下发查询结果,同时将待鉴定文件直接加入黑名单库,并进行存储管理;若鉴定为白文件,则将待鉴定文件添加至白名单库;若鉴定为灰文件即仍不可判定的文件,则将待鉴定文件存储于文件存储服务器中的灰名单库中,等待下一次的分析研判。2.根据权利要求1所述的可疑文件深度分析鉴定方法,其特征在于,所述沙箱分析组件基于静态特征检测和动态行为检测的结果进行综合威胁研判,最终进行结果展示输出。3.根据权利要求1所述的可疑文件深度分析鉴定方法,其特征在于,所述第一类引擎包括云查杀引擎、QVM引擎、鲲鹏引擎、AVE引擎、QEX引擎、CLAMAV引擎、YARA引擎、大蜘蛛引擎、Avast引擎和F
‑
Secure引擎。4.根据权利要求1所述的可疑文件深度分析鉴定方法,其特征在于,所述第二类引擎包括动态行为检测引擎、HASH检测引擎、CVE检测引擎、杀软内容检测引擎、YARA规则检测引擎、机器学习检测与分类引擎。5.一种可疑文件深度分析鉴定系统,其特征在于,包括:多引擎分析组件,被配置为基于多个第一类引擎对恶意样本进行查杀和鉴定;沙箱分析组件,...
【专利技术属性】
技术研发人员:周佳,张剑,王强,党帅军,杜雪悦,李韬,吴杰,项启,李佳月,冯庚,
申请(专利权)人:中国电子科技集团公司第三十研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。