一种可疑文件深度分析鉴定方法、系统、设备及介质与流程

1.本发明涉及网络信息安全技术领域，尤其涉及一种可疑文件深度分析鉴定方法、系统、设备及介质。


背景技术：

2.网络空间对抗形势日趋严峻，网络攻防已成为各国网络攻防对抗的主要战场。网络环境已由单纯互联发展到了泛在网络空间，攻击方式也由单一模式朝着复杂的apt攻击方向发展。通过对过去的apt攻击事件进行汇总分析时可发现，几乎所有的攻击事件中，攻击者在实施攻击时，为了逃避杀毒软件等现有安全产品的查杀，均会采用免杀木马或特种木马，再通过邮件投递、欺骗下载等手段，给目标植入恶意程序。
3.然而，传统的大部分可疑文件检测手段都是基于已知文件特征码匹配或签名的方式，由于同一类型的可疑文件特征码相同，且字符串匹配速度极快，因此这种方式以易用、高效获得了业界的推崇，但由于特征码匹配的方式需要预先在数据库中针对每一个可疑文件存储对应的特征码，因此这种方式只能检测已知的威胁文件，且一旦可疑文件对其源码进行过了混淆或加密，就无法被这种方式检测。
4.随着网络攻防技术的不断发展，传统的可疑文件检测方法已逐渐被取代，基于行为的动态检测方式成为主流。动态检测主要以虚拟环境实时监控为主，通过模拟用户运行程序时的环境，对可疑文件进行实时监测与跟踪，由于具有极高的检测准确率广受业界推崇，但也因此增加了检测过程的时间成本与系统开销，但对于具有反沙箱机制的可疑文件，会在执行过程中对系统进程进行监控，一旦发现了沙箱或虚拟机进程就不再执行高威胁函数，从而躲避动态检测。
5.特征码检测技术面对变种木马或者新出现的病毒，是无法发现并确认的，只有在确认该可疑文件是病毒之后，提取它的特征码并更新特征码库，之后才能够检测出来，而基于行为的动态检测方式需要对可疑文件在系统中的动作进行记录并且对所有的动作综合起来进行分析，无论是记录动作还是分析动作都会占用系统资源，同时也增加了检测的时间，无法满足短时间内大量样本的同时检测。


技术实现要素：

6.为了实现对网络中大量可疑文件进行自动、准确和快速的识别与鉴定，本发明提出一种可疑文件深度分析鉴定方法、系统、设备及介质，通过对计算机可疑文件的相关内容和特点进行研究，将多引擎检测技术、沙箱检测技术、大数据分析技术、威胁情报和人工分析技术进行有机结合，采用“云+端”的设计理念，可最大程度发挥多种检测技术的优势，提升可疑文件的分析识别与鉴定能力。
7.本发明采用的技术方案如下：
8.一种可疑文件深度分析鉴定方法，包括以下步骤：
9.s1.客户端获取待鉴定文件特征值并上传到可疑文件深度分析系统中；
10.s2.所述可疑文件深度分析系统通过多引擎分析组件调用黑、白名单库进行比对查找，若命中则向客户端返回鉴定结果；若无法鉴定黑白属性，则向客户端下发可疑文件样本命令；
11.s3.所述多引擎分析组件调用多个第一类引擎对恶意样本进行查杀，若命中黑名单规则，则向客户端下发查询结果，同时将待鉴定文件直接加入黑名单库，并进行存储管理；
12.s4.当所述多引擎分析组件无法判断样本属性时，则将待鉴定文件作为可疑文件上传到沙箱分析组件，通过虚拟化沙箱运行，使用多个第二类引擎进行深度检测，识别免杀和高级恶意代码，并提取样本的详细行为和威胁行为；若鉴定为黑文件即病毒或威胁文件，则向终端下发查询结果，同时将待鉴定文件直接加入黑名单库，并进行存储管理；若鉴定为白文件，则将待鉴定文件添加至白名单库；若鉴定为灰文件即仍不可判定的文件，则将待鉴定文件存储于文件存储服务器中的灰名单库中，等待下一次的分析研判。
13.进一步地，所述沙箱分析组件基于静态特征检测和动态行为检测的结果进行综合威胁研判，最终进行结果展示输出。
14.进一步地，所述第一类引擎包括云查杀引擎、qvm引擎、鲲鹏引擎、ave引擎、qex引擎、clamav引擎、yara引擎、大蜘蛛引擎、avast引擎和f-secure引擎。
15.进一步地，所述第二类引擎包括动态行为检测引擎、hash检测引擎、cve检测引擎、杀软内容检测引擎、yara规则检测引擎、机器学习检测与分类引擎。
16.一种可疑文件深度分析鉴定系统，包括：
17.多引擎分析组件，被配置为基于多个第一类引擎对恶意样本进行查杀和鉴定；
18.沙箱分析组件，被配置为通过虚拟化沙箱运行，基于多个第二类引擎进行深度检测，识别免杀和高级恶意代码，并提取样本的详细行为和威胁行为；
19.黑白名单管理组件，被配置为提供全网黑白名单存储管理服务，接收所述多引擎分析组件和所述沙箱分析组件上报的黑白文件哈希值；
20.威胁情报组件，被配置为对所述沙箱分析组件提供本地化api查询接口；
21.样本存储管理组件，被配置为对相关文件进行分类存储并提供检索服务，所述相关文件包括正常文件、恶意样本文件、用户上报的文件、多引擎分析组件和沙箱分析组件分析后的文件；
22.web查询组件，被配置为提供可疑程序和病毒的在线查询及分析服务。
23.进一步地，所述黑白名单管理组件能够对其他平台提供赋能服务，通过对样本或网址进行黑白级别预置形成自主运营的黑、白名单库。
24.进一步地，所述威胁情报组件管理和展示的情报包括失陷检测类情报、ip信誉情报和域名信誉情报。
25.进一步地，所述第一类引擎包括云查杀引擎、qvm引擎、鲲鹏引擎、ave引擎、qex引擎、clamav引擎、yara引擎、大蜘蛛引擎、avast引擎和f-secure引擎；所述第二类引擎包括动态行为检测引擎、hash检测引擎、cve检测引擎、杀软内容检测引擎、yara规则检测引擎、机器学习检测与分类引擎。
26.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现上述可疑文件深度分析鉴定方法的步骤。
27.一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时实现上述可疑文件深度分析鉴定方法的步骤。
28.本发明的有益效果在于：
29.本发明融合了多引擎检测、沙箱检测、大数据分析、威胁情报和人工分析等技术，并以组件和模块的方式对其进行编排和调度，通过规范的、合理的可疑程序鉴定流程，极大的发挥了多种检测技术的优势，减少了网络中已知恶意程序和未知恶意程序的误报和漏报情况。同时，本发明具有完备的可持续运营能力，能够将检测结果进行存储和转化，在持续加强计算机可疑程序鉴定能力的同时，还能够为其他平台进行赋能，从而可为整个网络的安全提供保障和辅助支撑。
附图说明
30.图1是本发明实施例1的可疑文件深度分析鉴定系统框图。
31.图2是本发明实施例1的可疑文件深度分析鉴定方法流程图。
具体实施方式
32.为了对本发明的技术特征、目的和效果有更加清楚的理解，现说明本发明的具体实施方式。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明，即所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。
33.实施例1
34.本实施例提供了一种可疑文件深度分析鉴定方法和系统，其中系统的核心部分主要由多引擎分析组件、沙箱分析组件、黑白名单管理组件、威胁情报组件、样本存储管理组件和web查询组件6个组件组成，功能组成如图1所示。
35.多引擎分析组件主要用于样本查杀和鉴定，其包含多个第一类引擎，例如云查杀引擎、qvm引擎、鲲鹏引擎、ave引擎、qex引擎、clamav引擎、yara引擎等，通过多个杀毒引擎对样本进行多次静态检测和查毒，实现引擎优势互补，以提升病毒检测率。
36.沙箱分析组件包含多个第二类引擎，例如动态行为检测引擎、hash检测引擎、cve检测引擎、杀软内容检测引擎、yara规则检测引擎、机器学习检测与分类引擎，可对高级网络攻击中广泛采用的钓鱼邮件、高级木马等恶意样本文件进行深度检测分析，可获取样本的基础信息和行为信息等，从而挖掘其中存在的或潜在的可疑行为，并通过屏幕截图和威胁行为图的方式记录样本的详细的行为和威胁行为，在线查看样本检测的报告，方便安全分析人员进行快速分析和调查取证。另外，沙箱分析组件提供丰富的数据接口，可向其他平台提供检测结果，即降低了安全分析压力，又能提升恶意文件的检测能力。沙箱分析组件包括静态特征检测、动态行为检测、综合威胁研判和结果展示输出这四个部分。
37.黑白名单管理组件主要提供全网黑白名单存储管理服务，接收多引擎分析组件和沙箱分析组件上报的黑白文件md5和md5+sha1等哈希值，并可对其他平台提供赋能服务，通过对特定的样本/网址进行黑白级别预置，可形成自主运营的黑白名单库。黑白名单管理组件包括黑白名单查询统计和黑白名单管理。
38.威胁情报组件主要针对失陷检测(ioc)类情报、ip信誉情报、域名信誉情报等，为沙箱分析组件提供本地化api查询接口(机读数据)。威胁情报组件包括威胁情报服务、威胁情报管理和威胁情报统计展示。
39.样本存储管理组件主要用于存储正常文件、恶意样本文件、用户上报的文件、多引擎分析组件和沙箱分析组件分析后的文件，可进行分类存储并提供检索服务。样本存储管理组件包括样本分类存储和样本存储管理。
40.web查询组件主要提供可疑程序和病毒的在线查询及分析服务，其包括可疑程序查询模块和病毒查询模块。
41.如图2所示，本实施例的一种可疑文件深度分析鉴定方法包括以下步骤：
42.s1.客户端获取待鉴定文件特征值并上传到可疑文件深度分析系统中；
43.s2.可疑文件深度分析系统通过多引擎分析组件调用黑、白名单库进行比对查找，若命中则向客户端返回鉴定结果；若无法鉴定黑白属性，则向客户端下发可疑文件样本命令；
44.s3.多引擎分析组件调用多个第一类引擎对恶意样本进行查杀，若命中黑名单规则，则向客户端下发查询结果，同时将待鉴定文件直接加入黑名单库，并进行存储管理；
45.s4.当多引擎分析组件无法判断样本属性时，则将待鉴定文件作为可疑文件上传到沙箱分析组件，通过虚拟化沙箱运行，使用多个第二类引擎进行深度检测，识别免杀和高级恶意代码，并提取样本的详细行为和威胁行为；若鉴定为黑文件即病毒或威胁文件，则向终端下发查询结果，同时将待鉴定文件直接加入黑名单库，并进行存储管理；若鉴定为白文件，则将待鉴定文件添加至白名单库；若鉴定为灰文件即仍不可判定的文件，则将待鉴定文件存储于文件存储服务器中的灰名单库中，等待下一次的分析研判。
46.实施例2
47.本实施例在实施例1的基础上：
48.本实施例提供了一种计算机设备，包括存储器和处理器，该存储器存储有计算机程序，该处理器执行该计算机程序时实现实施例1的可疑文件深度分析鉴定方法的步骤。其中，计算机程序可以为源代码形式、对象代码形式、可执行文件或者某些中间形式等。
49.实施例3
50.本实施例在实施例1的基础上：
51.本实施例提供了一种计算机可读存储介质，存储有计算机程序，该计算机程序被处理器执行时实现实施例1的可疑文件深度分析鉴定方法的步骤。其中，计算机程序可以为源代码形式、对象代码形式、可执行文件或者某些中间形式等。存储介质包括：能够携带计算机程序代码的任何实体或装置、记录介质、计算机存储器、只读存储器(rom)、随机存取存储器(ram)、电载波信号、电信信号以及软件分发介质等。其中，存储介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，存储介质不包括电载波信号和电信信号。
52.需要说明的是，对于前述的方法实施例，为了简便描述，故将其表述为一系列的动作组合，但是本领域技术人员应该知悉，本技术并不受所描述的动作顺序的限制，因为依据本技术，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本技术所必须的。

技术特征：
1.一种可疑文件深度分析鉴定方法，其特征在于，包括以下步骤：s1.客户端获取待鉴定文件特征值并上传到可疑文件深度分析系统中；s2.所述可疑文件深度分析系统通过多引擎分析组件调用黑、白名单库进行比对查找，若命中则向客户端返回鉴定结果；若无法鉴定黑白属性，则向客户端下发可疑文件样本命令；s3.所述多引擎分析组件调用多个第一类引擎对恶意样本进行查杀，若命中黑名单规则，则向客户端下发查询结果，同时将待鉴定文件直接加入黑名单库，并进行存储管理；s4.当所述多引擎分析组件无法判断样本属性时，则将待鉴定文件作为可疑文件上传到沙箱分析组件，通过虚拟化沙箱运行，使用多个第二类引擎进行深度检测，识别免杀和高级恶意代码，并提取样本的详细行为和威胁行为；若鉴定为黑文件即病毒或威胁文件，则向终端下发查询结果，同时将待鉴定文件直接加入黑名单库，并进行存储管理；若鉴定为白文件，则将待鉴定文件添加至白名单库；若鉴定为灰文件即仍不可判定的文件，则将待鉴定文件存储于文件存储服务器中的灰名单库中，等待下一次的分析研判。2.根据权利要求1所述的可疑文件深度分析鉴定方法，其特征在于，所述沙箱分析组件基于静态特征检测和动态行为检测的结果进行综合威胁研判，最终进行结果展示输出。3.根据权利要求1所述的可疑文件深度分析鉴定方法，其特征在于，所述第一类引擎包括云查杀引擎、qvm引擎、鲲鹏引擎、ave引擎、qex引擎、clamav引擎、yara引擎、大蜘蛛引擎、avast引擎和f-secure引擎。4.根据权利要求1所述的可疑文件深度分析鉴定方法，其特征在于，所述第二类引擎包括动态行为检测引擎、hash检测引擎、cve检测引擎、杀软内容检测引擎、yara规则检测引擎、机器学习检测与分类引擎。5.一种可疑文件深度分析鉴定系统，其特征在于，包括：多引擎分析组件，被配置为基于多个第一类引擎对恶意样本进行查杀和鉴定；沙箱分析组件，被配置为通过虚拟化沙箱运行，基于多个第二类引擎进行深度检测，识别免杀和高级恶意代码，并提取样本的详细行为和威胁行为；黑白名单管理组件，被配置为提供全网黑白名单存储管理服务，接收所述多引擎分析组件和所述沙箱分析组件上报的黑白文件哈希值；威胁情报组件，被配置为对所述沙箱分析组件提供本地化api查询接口；样本存储管理组件，被配置为对相关文件进行分类存储并提供检索服务，所述相关文件包括正常文件、恶意样本文件、用户上报的文件、多引擎分析组件和沙箱分析组件分析后的文件；web查询组件，被配置为提供可疑程序和病毒的在线查询及分析服务。6.根据权利要求5所述的可疑文件深度分析鉴定系统，其特征在于，所述黑白名单管理组件能够对其他平台提供赋能服务，通过对样本或网址进行黑白级别预置形成自主运营的黑、白名单库。7.根据权利要求5所述的可疑文件深度分析鉴定系统，其特征在于，所述威胁情报组件管理和展示的情报包括失陷检测类情报、ip信誉情报和域名信誉情报。8.根据权利要求5所述的可疑文件深度分析鉴定系统，其特征在于，所述第一类引擎包括云查杀引擎、qvm引擎、鲲鹏引擎、ave引擎、qex引擎、clamav引擎、yara引擎、大蜘蛛引擎、
avast引擎和f-secure引擎；所述第二类引擎包括动态行为检测引擎、hash检测引擎、cve检测引擎、杀软内容检测引擎、yara规则检测引擎、机器学习检测与分类引擎。9.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1-4任一项所述的可疑文件深度分析鉴定方法的步骤。10.一种计算机可读存储介质，存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1-4任一项所述的可疑文件深度分析鉴定方法的步骤。

技术总结
本发明公开了一种可疑文件深度分析鉴定方法、系统、设备及介质，其中方法包括以下步骤：客户端获取待鉴定文件特征值并上传到可疑文件深度分析系统中；可疑文件深度分析系统通过多引擎分析组件调用黑、白名单库进行比对查找；多引擎分析组件调用多个第一类引擎对恶意样本进行查杀，若命中黑名单规则，则向客户端下发查询结果，同时将待鉴定文件直接加入黑名单库，并进行存储管理；当多引擎分析组件无法判断样本属性时，则将待鉴定文件作为可疑文件上传到沙箱分析组件，通过虚拟化沙箱运行，使用多个第二类引擎进行深度检测，识别免杀和高级恶意代码。本发明可最大程度发挥多种检测技术的优势，提升可疑文件的分析识别与鉴定能力。力。力。


技术研发人员：周佳 张剑 王强 党帅军 杜雪悦 李韬 吴杰 项启 李佳月 冯庚
受保护的技术使用者：中国电子科技集团公司第三十研究所
技术研发日：2023.04.10
技术公布日：2023/7/25