一种网络文件内容恶意行为分析方法技术

本发明专利技术涉及数据处理技术领域，特别是涉及一种网络文件内容恶意行为分析方法

【技术实现步骤摘要】
一种网络文件内容恶意行为分析方法


[0001]本专利技术涉及数据处理
，特别是涉及一种网络文件内容恶意行为分析方法
。

技术介绍

[0002]在网络发展初期，网络是作为一个信息交流的媒介，在自然人之间起到一个桥梁的作用，而当时的恶意行为也不过是恶意行为人对另外一个用户的计算机进行攻击，恶意行为人也没有将现实生活中的恶意行为运用到网络社会中
。
随着计算机技术
、
网络技术的发展，网络准入标准降低，使用网络的自然人逐渐大众化，不再具有相关的网络知识
。
网络技术作为技术黑匣，使用网络的自然人对该技术也不了解，使在网络初期的才有的专业化恶意行为更加泛滥，难以防范
。
除此之外，网络更多的是作为一个为大众所利用的平台，现实社会中的自然人在网络社会中也拥有一个身份，逐渐具有社会的框架，所以在除了早期的恶意行为外衍生出来和现实社会极其相似的恶意行为
。
[0003]然而现有技术中，对于防止恶意行为攻击的方式都是通过构建防火墙
、
入侵检测系统以及路由系统等，以在最大程度上保证来自网络的非法访问以及数据流量攻击，如拒绝服务攻击等，但是区别于传统的攻击方式，现有存在基于网络文件内容的恶意行为攻击方式，由于恶意行为攻击存在于网络文件中，会导致防火墙
、
入侵检测系统难以准确有效地识别，进而会使网络文件内容存在的恶意行为展开的攻击导致一系列的数据外泄，对使用者的客户端造成大量的经济损失，因此，如何提供一种网络文件内容恶意行为分析方法是本领域技术人员急需解决的技术问题
。

技术实现思路

[0004]本专利技术的目的是提供一种网络文件内容恶意行为分析方法，本专利技术通过静态分析结合动态分析的组合式分析的方式，并与预设恶意行为规则相匹配确定网络文件内容是否包含恶意行为，改善了可以针对不同恶意行为载体的分析形式，也提高了对网络文件内容恶意行为分析的准确性
。
[0005]为了实现上述目的，本专利技术提供了如下的技术方案：一种网络文件内容恶意行为分析方法，包括：获取网络文件并解析所述网络文件得到所述网络文件内容，对所述网络文件内容进行处理分析，所述处理分析包括静态分析和动态分析；根据所述静态分析和所述动态分析的分析结果，采用轮询的方式确定所述网络文件内容是否与若干预设恶意行为规则相匹配；根据所述网络文件内容与若干所述预设恶意行为规则相匹配的结果，确定所述网络文件内容的恶意行为，并根据预设安全等级序列确定所述网络文件内容的恶意行为的安全等级；根据所述安全等级对所述网络文件内容进行预警
。
[0006]在本申请的一些实施例中，所述对所述网络文件内容进行静态分析包括：对所述网络文件内容进行静态分析，当所述静态分析的结果为所述网络文件内容中包含恶意程序时，采用轮询的方式确定所述网络文件内容是否与若干预设恶意行为规则相匹配，并确定所述网络文件内容的恶意行为，当所述静态分析的结果为所述网络文件内容中不包含恶意程序时，停止对所述网络文件内容进行的所述静态分析
。
[0007]在本申请的一些实施例中，所述对所述网络文件内容进行动态分析包括：通过沙箱对所述所述网络文件内容进行运行，统计所述网络文件内容在所述沙箱运行中所产生的恶意行为，根据所述恶意行为并通过若干所述预设恶意行为规则对所述网络文件内容进行分析，当所述动态分析的结果为所述网络文件内容中包含恶意程序时，采用轮询的方式确定所述网络文件内容是否与若干预设恶意行为规则相匹配，并确定所述网络文件内容的恶意行为，当所述动态分析的结果为所述网络文件内容中不包含恶意程序时，停止对所述网络文件内容进行的所述动态分析
。
[0008]在本申请的一些实施例中，预先设定有预设恶意行为规则相匹配个数矩阵
T0
和预设安全等级矩阵
A
，对于所述预设安全等级矩阵
A
，设定
A(A1,A2,A3,A4)
，其中
A1
为第一预设安全等级，
A2
为第二预设安全等级，
A3
为第三预设安全等级，
A4
为第四预设安全等级，且
A1
＜
A2
＜
A3
＜
A4
；对于所述预设恶意行为规则相匹配个数矩阵
T0
，设定
T0(T01,T02,T03,T04),
其中，
T01
为第一预设恶意行为规则相匹配个数，
T02
为第二预设恶意行为规则相匹配个数，
T03
为第三预设恶意行为规则相匹配个数，
T04
为第四预设恶意行为规则相匹配个数，且
1≤T01
＜
T02
＜
T03
＜
T04
；根据所述网络文件内容匹配到的所述预设恶意行为规则的个数
N
与所述预设恶意行为规则相匹配个数矩阵
T0
之间的关系选定相应的安全等级作为所述网络文件内容的恶意行为的安全等级；当
N
＜
T01
时，选定所述第一预设安全等级
A1
作为所述网络文件内容的恶意行为的安全等级；当
T01≤N
＜
T02
，选定所述第二预设安全等级
A2
作为所述网络文件内容的恶意行为的安全等级；当
T02≤N
＜
T03
，选定所述第三预设安全等级
A3
作为所述网络文件内容的恶意行为的安全等级；当
T03≤N
＜
T04
，选定所述第四预设安全等级
A4
作为所述网络文件内容的恶意行为的安全等级
。
[0009]在本申请的一些实施例中，所述静态分析还包括：分析所述网络文件内容的格式；根据所述网络文件内容的格式的分析结果对所述网络文件内容的源代码进行静态分析，并确定所述网络文件内容的若干静态子元素，以及各所述静态子元素之间的调用关系
。
[0010]在本申请的一些实施例中，所述动态分析还包括：分析所述网络文件内容的格式；根据所述网络文件内容的格式的分析结果对所述网络文件内容的源代码进行动态分析，并确定所述网络文件内容的若干动态子元素，以及各所述动态子元素之间的调用
关系
。
[0011]在本申请的一些实施例中，通过全文
hash
的可信文件识别方式
、
基于数字签名识别方式
、
基于模糊
hash
的家族识别方式以及通过静态扫描引擎方式中的至少一种方式对所述网络文件内容进行静态分析
。
[0012]在本申请的一些实施例中，通过行为模式匹配方式以及启发式算法的方式中的至少一种方式对所述网络文件内容进行动态分析本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种网络文件内容恶意行为分析方法，其特征在于，包括：获取网络文件并解析所述网络文件得到所述网络文件内容，对所述网络文件内容进行处理分析，所述处理分析包括静态分析和动态分析；根据所述静态分析和所述动态分析的分析结果，采用轮询的方式确定所述网络文件内容是否与若干预设恶意行为规则相匹配；根据所述网络文件内容与若干所述预设恶意行为规则相匹配的结果，确定所述网络文件内容的恶意行为，并根据预设安全等级序列确定所述网络文件内容的恶意行为的安全等级；根据所述安全等级对所述网络文件内容进行预警
。2.
根据权利要求1所述的一种网络文件内容恶意行为分析方法，其特征在于，所述对所述网络文件内容进行静态分析包括：对所述网络文件内容进行静态分析，当所述静态分析的结果为所述网络文件内容中包含恶意程序时，采用轮询的方式确定所述网络文件内容是否与若干预设恶意行为规则相匹配，并确定所述网络文件内容的恶意行为，当所述静态分析的结果为所述网络文件内容中不包含恶意程序时，停止对所述网络文件内容进行的所述静态分析
。3.
根据权利要求1所述的一种网络文件内容恶意行为分析方法，其特征在于，所述对所述网络文件内容进行动态分析包括：通过沙箱对所述所述网络文件内容进行运行，统计所述网络文件内容在所述沙箱运行中所产生的恶意行为，根据所述恶意行为并通过若干所述预设恶意行为规则对所述网络文件内容进行分析，当所述动态分析的结果为所述网络文件内容中包含恶意程序时，采用轮询的方式确定所述网络文件内容是否与若干预设恶意行为规则相匹配，并确定所述网络文件内容的恶意行为，当所述动态分析的结果为所述网络文件内容中不包含恶意程序时，停止对所述网络文件内容进行的所述动态分析
。4.
根据权利要求1所述的一种网络文件内容恶意行为分析方法，其特征在于，预先设定有预设恶意行为规则相匹配个数矩阵
T0
和预设安全等级矩阵
A
，对于所述预设安全等级矩阵
A
，设定
A(A1,A2,A3,A4)
，其中
A1
为第一预设安全等级，
A2
为第二预设安全等级，
A3
为第三预设安全等级，
A4
为第四预设安全等级，且
A1
＜
A2
＜
A3
＜
A4
；对于所述预设恶意行为规则相匹配个数矩阵
T0
，设定
T0(T01,T02,T03,T04),
其中，
T01
为第一预设恶意行为规则相匹配个数，
T02
为第二预设恶意行为规则相匹配个数，
T03
为第三预设恶意行为规则相匹配个数，
T04
为第四预设恶意行为规则相匹配个数，且
1≤T01
＜
T02<...

【专利技术属性】
技术研发人员：蒋文超，王今是，韩硕，王宇飞，潘中英，张涛，胡静，罗贤锋，徐衍斐，孙涛，
申请(专利权)人：中国华能集团有限公司北京招标分公司，
类型：发明
国别省市：