一種惡意文件云環(huán)境下跨平臺檢測方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明涉及一種惡意文件云環(huán)境下跨平臺檢測方法及系統(tǒng),檢測方法為:1)采集原始可疑惡意文件并存儲在云環(huán)境下的分布式存儲集群中,隔離惡意文件;2)制作惡意文件的文件副本,對每個(gè)惡意文件的副本進(jìn)行文件后綴名的格式識別,將識別后的惡意文件副本上傳到WEB端;3)根據(jù)不同操作系統(tǒng)類型只從WEB端下載惡意文件副本到各自的系統(tǒng)對應(yīng)的安全沙盒虛擬機(jī)中,進(jìn)行惡意文件特征和/或運(yùn)行行為檢測;4)將安全沙盒虛擬機(jī)中對惡意文件檢測結(jié)果提交并匯總,與原始惡意文件進(jìn)行關(guān)聯(lián)后檢測出跨平臺的惡意文件。本發(fā)明提高了惡意文件檢測的通用性和自動化程度,結(jié)合云平臺技術(shù),能夠批量預(yù)處理惡意文件,大大提高了惡意文件檢測的處理效率。
【專利說明】一種惡意文件云環(huán)境下跨平臺檢測方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種惡意文件檢測方法及系統(tǒng),具體涉及一種惡意文件云環(huán)境下跨平臺檢測方法及系統(tǒng),屬于計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域。
【背景技術(shù)】
[0002]惡意文件又稱惡意代碼、惡意軟件,通常是指未明確提示用戶或未經(jīng)用戶許可的情況下,在用戶計(jì)算機(jī)或其他終端(如智能手機(jī))上安裝運(yùn)行,破壞系統(tǒng)、盜取用戶信息的軟件文件。典型的惡意文件包括病毒、木馬、蠕蟲、遠(yuǎn)程控制軟件、鍵盤記錄軟件、掛馬JS腳本、webshell后門、手機(jī)通話監(jiān)聽、通訊錄竊取、流tg軟件等等。
[0003]對于惡意文件檢測、分析是安全研究、安全產(chǎn)品研發(fā)不可或缺的環(huán)節(jié),具有重要的意義。傳統(tǒng)的殺毒軟件對于病毒、木馬一類的惡意文件有比較好的檢測效果,但是對于WEB文本惡意文件、需要長時(shí)間行為分析的惡意文件等檢測能力有限。而APK等智能手機(jī)應(yīng)用程序在PC計(jì)算機(jī)上無法有效檢測,需要專用模擬手機(jī)操作系統(tǒng)環(huán)境。對于需要執(zhí)行分析的惡意程序,需要與執(zhí)行程序運(yùn)行環(huán)境結(jié)合,長時(shí)間跟蹤運(yùn)行的結(jié)果進(jìn)行分析。
[0004]惡意文件的原理不同、功能目的也不同,運(yùn)行依賴的操作系統(tǒng)、環(huán)境軟件等也都有很大差異。安全沙盒或安全虛擬機(jī)是分析惡意文件的比較好的方法。但是單一安全沙盒或單一安全虛擬機(jī)無法滿足通用性要求,因此需要結(jié)合操作系統(tǒng)(window系列版本、Iinux系列版本、UNIX、MAC OS、IOS、Android等)以及輔助其他環(huán)境軟件(如數(shù)據(jù)庫、惡意文件執(zhí)行程序、殺毒軟件等),建立多平臺安全沙盒。
[0005]由于惡意文件具有多樣性和復(fù)雜性,單一檢測方法和平臺軟件很難提供針對任意惡意文件的檢測需求。因此方便快捷的多平臺惡意文件檢測無法和設(shè)備具有很好的應(yīng)用價(jià)值。統(tǒng)一跨平臺的惡意文件檢測仍然面臨很多技術(shù)挑戰(zhàn):由于惡意文件具有很強(qiáng)的破壞性和未知危險(xiǎn)性,因此需要確保惡意代碼檢測惡意文件樣本安全存儲問題;火眼等惡意文件檢測平臺一次只能接受一個(gè)文件,且對文件后綴名有明確要求,無法對文件進(jìn)行錯(cuò)誤糾正,也無法有效分析未知后綴名文件;在多平臺下進(jìn)行惡意文件副本的便捷分發(fā)問題也是一大挑戰(zhàn)。
【發(fā)明內(nèi)容】
[0006]有鑒于此,本發(fā)明公開了一種惡意文件云環(huán)境下跨平臺檢測方法及系統(tǒng),通過對錯(cuò)誤后綴名惡意文件進(jìn)行自動糾正,對未知類型或未知后綴名文件進(jìn)行自動識別或多副本猜測,根據(jù)不同文件類型和附加的預(yù)期環(huán)境在云平臺中啟動不同的安全沙盒虛擬機(jī),對多平臺檢測安全沙盒或虛擬機(jī)提供惡意文件副本分發(fā)接口。
[0007]本發(fā)明的技術(shù)方案如下:一種惡意文件云環(huán)境下跨平臺檢測方法,其步驟包括:
[0008]I)采集原始可疑惡意文件并存儲在云環(huán)境下的分布式存儲集群中,隔離所述惡意文件;
[0009]2)制作所述惡意文件的文件副本,對每個(gè)所述惡意文件的副本進(jìn)行文件后綴名的格式識別,將識別后的惡意文件副本上傳到WEB端;
[0010]3)根據(jù)不同操作系統(tǒng)類型只從所述WEB端下載所述惡意文件副本到各自的系統(tǒng)對應(yīng)的安全沙盒虛擬機(jī)中,進(jìn)行惡意文件特征和/或運(yùn)行行為檢測;
[0011]4)將所述安全沙盒虛擬機(jī)中對惡意文件檢測結(jié)果提交并匯總,與原始惡意文件進(jìn)行關(guān)聯(lián)后檢測出跨平臺的惡意文件。原始的惡意文件提供對照的作用,用于判定原始可疑的惡意文件是否為惡意文件。
[0012]更進(jìn)一步,所述文件后綴名的格式識別為以下的一種或者多種:
[0013]對每個(gè)惡意文件的副本中可識別的后綴名進(jìn)行識別;
[0014]對每個(gè)惡意文件的副本中不可識別的后綴名補(bǔ)充或者糾正文件擴(kuò)展名;
[0015]對每個(gè)惡意文件的副本中按照典型文件后綴補(bǔ)充多種副本。
[0016]更進(jìn)一步,采集原始可疑惡意文件的方法如下:
[0017]I)自動批量收集或手動上傳的惡意文件,獲取最原始的可以惡意文件;
[0018]2)將惡意文件以二進(jìn)制形式平均拆分成N份,其中N>=1 ;
[0019]3)將所述N份子文件分別分開存放在云環(huán)境的分布式存儲區(qū)中,設(shè)置文件權(quán)限為只讀,禁止其運(yùn)行;
[0020]4)對于拆分的惡意文件及子文件建立文件索引。
[0021]更進(jìn)一步,所述惡意文件的副本制作方法為:
[0022]I)從文件索引中提取第一分塊,分析文件頭的格式信息;
[0023]2)如果有效識別出文件格式,從文件索引處提取并重組文件,將后綴名補(bǔ)充;
[0024]3)如果原文件格式與后綴名不一致,對原有錯(cuò)誤后綴名進(jìn)行校正;若果原文件格式有多種疑似,則生成所有可能的副本;
[0025]4)若不能有效識別文件格式,則生成預(yù)先設(shè)定的全部文件格式多副本;
[0026]5)生成加密壓縮副本,發(fā)送并進(jìn)行發(fā)布。
[0027]更進(jìn)一步,步驟5)中生成加密壓縮副本同時(shí)標(biāo)注文件信息及預(yù)期驗(yàn)證環(huán)境。
[0028]更進(jìn)一步,根據(jù)文件類型及預(yù)期驗(yàn)證環(huán)境,對每個(gè)副本生成一個(gè)以本作為下載附件的WEB下載鏈。
[0029]更進(jìn)一步,惡意文件后綴名包括windows、linux/unix、Mac OS、IOS、Android 典型操作系統(tǒng)上的典型文件:腳本文件、文本文件、庫文件、可執(zhí)行程序文件。
[0030]更進(jìn)一步,惡意文件后綴名包括可增加或變更的:.asp、.php、.jsp、.py、.p1、.sh、.exe、.txt、.jpg、.apk、.dll、.so 后綴類型。
[0031]本發(fā)明還提出一種惡意文件云環(huán)境下跨平臺檢測系統(tǒng),包括B/S結(jié)構(gòu)用戶接口、惡意文件管理中心服務(wù)器、分布式存儲服務(wù)器群、惡意文件分發(fā)WEB服務(wù)器以及虛擬安全沙盒集群,其特征在于,還包括惡意文件采集模塊、惡意文件格式校驗(yàn)?zāi)K、檢測副本W(wǎng)EB下載模塊以及多平臺檢測分析結(jié)果匯總模塊,
[0032]所述惡意文件采集模塊,在B/S結(jié)構(gòu)用戶接口用于采集原始可疑惡意文件并存儲在云環(huán)境下的分布式存儲服務(wù)器群中,隔離所述惡意文件;
[0033]所述惡意文件格式校驗(yàn)?zāi)K,用于制作所述惡意文件的文件副本,對每個(gè)所述惡意文件的副本進(jìn)行文件后綴名的格式識別,將識別后的惡意文件副本上傳到WEB端的惡意文件分發(fā)WEB服務(wù)器;[0034]所述惡意文件檢測副本W(wǎng)EB下載模塊,根據(jù)不同操作系統(tǒng)類型只從所述WEB端下載所述惡意文件副本到各自的系統(tǒng)對應(yīng)的安全沙盒虛擬機(jī)集群中,提供惡意文件特征和/或運(yùn)行行為檢測;
[0035]所述多平臺檢測分析結(jié)果匯總模塊,用于將所述安全沙盒虛擬機(jī)中對惡意文件檢測結(jié)果提交并匯總,與原始惡意文件進(jìn)行關(guān)聯(lián)后檢測出跨平臺的惡意文件。
[0036]更進(jìn)一步,所述惡意文件副本在安全沙盒虛擬機(jī)集群中進(jìn)行并行檢測;用戶可以將整個(gè)網(wǎng)站的所有頁面文件或其它多文件軟件一次上傳,批量處理后,一次性得到檢測結(jié)果O
[0037]本發(fā)明的積極效果為:
[0038]本發(fā)明提供了一種統(tǒng)一的惡意文件檢測方法和系統(tǒng),對錯(cuò)誤后綴名惡意文件進(jìn)行自動糾正,對未知類型或未知后綴名文件進(jìn)行自動識別或多副本猜測,根據(jù)不同文件類型和附加的預(yù)期環(huán)境在云平臺中啟動不同的安全沙盒虛擬機(jī),對多平臺檢測安全沙盒或虛擬機(jī)提供惡意文件副本分發(fā)接口,提高了惡意文件檢測的通用性和自動化程度。本發(fā)明的方法結(jié)合云平臺技術(shù),能夠批量預(yù)處理惡意文件,為多種OS的安全沙盒分析虛擬機(jī)提供統(tǒng)一的WEB下載接口,實(shí)現(xiàn)跨平臺副本分發(fā),大大提高了惡意文件檢測的處理效率。
【專利附圖】
【附圖說明】
[0039]附圖是本發(fā)明惡意文件云環(huán)境下跨平臺檢測系統(tǒng)的架構(gòu)示意圖。
【具體實(shí)施方式】
[0040]下面結(jié)合附圖和實(shí)施例對本發(fā)明作進(jìn)一步描述。
[0041]本發(fā)明的一實(shí)施例中公開的惡意文件云環(huán)境下跨平臺檢測方法,其步驟為:
[0042]I)建立云計(jì)算平臺環(huán)境,云平臺包括B/S結(jié)構(gòu)用戶接口、惡意文件管理中心服務(wù)器、分布式存儲服務(wù)器群、惡意文件分發(fā)WEB服務(wù)器以及虛擬安全沙盒集群等,提供惡意文件的主動收集或手動上傳功能,所述惡意文件存儲在分布式從屬節(jié)點(diǎn)上的安全隔離存儲區(qū)中;
[0043]2)收集或上傳的惡意文件以二進(jìn)制形式進(jìn)行分割、存儲在云環(huán)境的分布式安全隔離存儲區(qū)中,禁止其運(yùn)行;經(jīng)過分割以后,惡意文件的每個(gè)子部分是不完整的,無法運(yùn)行,達(dá)到一定的安全性;
[0044]3)文件識別模塊,按照文件索引從隔離區(qū)提取文件并組合成惡意文件副本,對每個(gè)惡意文件的副本進(jìn)行格式識別,補(bǔ)充或糾正文件擴(kuò)展名,對于不能有效識別文件格式的惡意文件,按照典型文件后綴補(bǔ)充多種副本;云平臺的惡意文件分發(fā)WEB服務(wù)器提供補(bǔ)充后綴名之后的惡意文件副本的WEB下載接口 ;所述惡意文件的副本可以按照如下方法獲取:3-1)提取第一分片,進(jìn)行文件格式是識別;3_2)文件恢復(fù),根據(jù)后綴名補(bǔ)充、校正,制作分發(fā)副本,附件預(yù)期驗(yàn)證環(huán)境信息;
[0045]4)在windows、linux、Mac OS、10S、Android等多種典型操作系統(tǒng)及內(nèi)置軟件的安全檢測沙盒程序,從WEB下載接口進(jìn)行下載惡意文件,進(jìn)行安全分析,將各自的分析結(jié)果,提交到檢測結(jié)果平臺,與原始惡意文件進(jìn)行關(guān)聯(lián)。
[0046]本發(fā)明的一實(shí)施例中公開的惡意文件云環(huán)境下跨平臺檢測系統(tǒng),包括:惡意文件采集模塊;惡意文件格式校驗(yàn)?zāi)K;檢測副本W(wǎng)EB下載模塊;多平臺檢測分析結(jié)果匯總模塊。其中:
[0047]所述惡意文件采集模塊,獲取最原始的可疑惡意文件,收集或上傳的惡意文件以二進(jìn)制形式存儲在云環(huán)境的分布式安全隔離存儲區(qū)中,禁止其運(yùn)行。
[0048]所述惡意文件采集模塊中可進(jìn)行如下優(yōu)化措施:
[0049]自動收集或手動上傳的惡意文件,以二進(jìn)制形式平均拆分成N份,其中N>=1;等分的N份,分別存放在云環(huán)境的分布式存儲區(qū)中,設(shè)置文件權(quán)限為只讀,禁止其可運(yùn)行。
[0050]對于拆分的惡意文件,對文件及子文件等信息建立文件索引。
[0051]所述惡意文件格式校驗(yàn)?zāi)K,對每個(gè)惡意文件的副本進(jìn)行格式識別,補(bǔ)充或糾正文件擴(kuò)展名,對于不能有效識別文件格式的惡意文件,按照典型文件后綴補(bǔ)充多種副本。
[0052]所述惡意文件格式校驗(yàn)?zāi)K可進(jìn)行如下優(yōu)化措施:
[0053]從文件索引中提取第一分塊,分析文件頭的格式信息,如果有效識別出文件格式, 則從文件索引處提取并重組文件,將后綴名補(bǔ)充,或?qū)υ绣e(cuò)誤后綴名進(jìn)行校正,生成加密壓縮副本,發(fā)送到發(fā)布服務(wù)器中,同時(shí)標(biāo)注文件信息及預(yù)期驗(yàn)證環(huán)境。
[0054]當(dāng)分析文件格式有多種疑似(形成文件的可能性),則生成所有可能的副本;若不能有效識別文件格式,則生成預(yù)先設(shè)定的全部文件格式副本。
[0055]惡意文件后綴名包括windows、linux/unix、Mac OS、10S、Android等典型操作系統(tǒng)上的腳本文件、文本文件、庫文件、可執(zhí)行程序文件等等典型文件,例如.asp、.php、.jsp、.py> ? p1、? sh、? exe、.txt、.jpg、.apk、? dll、? so等等,文件后綴類型可增加或變更。
[0056]所述惡意文件檢測副本W(wǎng)EB下載模塊,將經(jīng)過文件格式識別、后綴補(bǔ)正或矯正過的惡意文件副本,以網(wǎng)頁附件的形式提供提供下載。`
[0057]所述惡意文件檢測副本W(wǎng)EB下載模塊可進(jìn)行如下優(yōu)化措施:
[0058]惡意文件檢測副本發(fā)送到發(fā)布服務(wù)器后,惡意文件檢測副本W(wǎng)EB下載模塊根據(jù)文件類型及預(yù)期驗(yàn)證環(huán)境,對每個(gè)副本生成一個(gè)WEB下載鏈接,內(nèi)含作為下載附件的副本,并通知相應(yīng)的云平臺安全檢測管理程序。
[0059]所述云平臺中安全檢測管理程序根據(jù)惡意文件副本預(yù)期環(huán)境信息,啟動相應(yīng)的操作系統(tǒng)平臺的安全檢測沙盒虛擬機(jī)(如對于APK惡意文件,云平臺安全檢測管理程序啟動一個(gè)android安全沙盒虛擬機(jī)作為其分析環(huán)境),進(jìn)行惡意文件特征、運(yùn)行行為檢測。
[0060]以? asp惡意文件為例,其預(yù)期環(huán)境為:操作系統(tǒng)windows2003server+IIS+ms sql server 2000 ;云平臺安全檢測管理程序啟動該預(yù)期環(huán)境配置的windows安全沙盒虛擬機(jī), 通過腳本和IE瀏覽器從WEB下載模塊下載惡意的asp惡意文件副本;安全沙盒虛擬機(jī)將 asp文件進(jìn)行靜態(tài)代碼掃描分析,查找其中的shellcode等代碼,形成靜態(tài)白盒測試結(jié)果; 然后將asp文件置于IIS的默認(rèn)網(wǎng)站文件路徑下,啟動安全沙盒中的瀏覽器(如IE),訪問該 asp鏈接,其鏈接形式為本地訪問(如http://localhost/xx.asp),安全沙盒中的系統(tǒng)監(jiān)控程序監(jiān)控在瀏覽、運(yùn)行、訪問該asp文件時(shí),該文件對cookie文件的讀寫、對系統(tǒng)文件的讀寫、對注冊表的讀寫、對端口的掃描、網(wǎng)絡(luò)傳輸情況、文件創(chuàng)建刪除、文件注入操作等,形成行為動態(tài)分析黑盒測試結(jié)果;安全沙盒將對文件的靜態(tài)分析、動態(tài)分析結(jié)果匯總,完成對惡意文件的檢測。不同操作系統(tǒng)平臺的安全檢測沙盒虛擬機(jī)均通過WEB方式下載惡意文件副本、解密解壓。[0061]所述多平臺檢測分析結(jié)果匯總模塊,將多種安全檢測沙盒對惡意文件檢測副本的檢測結(jié)果,提交到檢測結(jié)果匯總平臺,與原始惡意文件進(jìn)行關(guān)聯(lián)。在各個(gè)安全檢測沙盒對惡意文件副本分析的結(jié)果,均提交至多平臺檢測分析結(jié)果匯總模塊,分析結(jié)果與惡意文件原始文件信息進(jìn)行關(guān)聯(lián),表明文件真實(shí)運(yùn)行環(huán)境以及危害等級等信息。
[0062]以下通過具體的例子對附圖中惡意文件云環(huán)境下跨平臺檢測方法及系統(tǒng)進(jìn)行進(jìn)一步的說明。
[0063]如附圖所示,一種惡意文件云環(huán)境下跨平臺檢測系統(tǒng),包括:惡意文件采集模塊; 惡意文件格式校驗(yàn)?zāi)K;檢測副本W(wǎng)EB下載模塊;多平臺檢測分析結(jié)果匯總模塊。其主要步驟包括:
[0064]1、所述惡意文件采集模塊,獲取最原始的可疑惡意文件,收集或上傳的惡意文件以二進(jìn)制形式存儲在云環(huán)境的分布式安全隔離存儲區(qū)中,禁止其運(yùn)行。
[0065]a)自動收集或手動上傳的惡意文件,獲取最原始的可疑惡意文件C ;
[0066]b)將惡意文件C以二進(jìn)制形式平均拆分成N份,其中N>=1;
[0067]c)將N份子文件,分別分開存放在云環(huán)境的分布式存儲區(qū)中,設(shè)置文件權(quán)限為只讀,禁止其可運(yùn)行;
[0068]d)對于拆分的惡意文件,對文件及子文件等信息建立文件索引。
[0069]2、所述惡意文件格式校驗(yàn)?zāi)K,對每個(gè)惡意文件的副本進(jìn)行格式識別,補(bǔ)充或糾正文件擴(kuò)展名,對于不能有效識別文件格式的惡意文件,按照典型文件后綴補(bǔ)充多種副本。
[0070]a)惡意文件格式識別模塊,從文件索引中提取第一分塊,分析文件頭的格式信息;
[0071]b)如果有效識別出文件格式,則從文件索引處提取并重組文件,將后綴名補(bǔ)充;
`[0072]c)如果原文件格式與后綴名不一致,則對原有錯(cuò)誤后綴名進(jìn)行校正;
[0073]d)對于惡意文件格式識別模塊分析的文件格式有多種疑似,則生成所有可能的副本;
[0074]e)若不能有效識別文件格式,則生成預(yù)先設(shè)定的全部文件格式多副本;惡意文件后綴名包括windows、linux/unix、Mac OS、I OS > Andro id等典型操作系統(tǒng)上的腳本文件、文本文件、庫文件、可執(zhí)行程序文件等等典型文件:
[0075]例如.asp、.php、.jsp、.py> ? p1、? sh、.exe、.txt、.jpg、.apk、? dll、? so 等等,文
件后綴類型可增加或變更;
[0076]f)生成加密壓縮副本,發(fā)送到云平臺中的發(fā)布服務(wù)器中,同時(shí)標(biāo)注文件信息及預(yù)期驗(yàn)證環(huán)境:例如后綴為apk的文件,預(yù)期驗(yàn)證環(huán)境為:android操作系統(tǒng);后綴為 exe的文件,預(yù)期驗(yàn)證環(huán)境為:windows操作系統(tǒng);后綴為asp的文件,預(yù)期驗(yàn)證環(huán)境為: windows2003server 操作系統(tǒng) +IIS 服務(wù)器 +MS Sql server2003 數(shù)據(jù)庫。
[0077]3、所述惡意文件檢測副本W(wǎng)EB下載模塊,將經(jīng)過文件格式識別、后綴補(bǔ)正矯正過的惡意文件副本,以網(wǎng)頁附件的形式提供下載。
[0078]a)惡意文件檢測副本發(fā)送到發(fā)布服務(wù)器后,惡意文件檢測副本W(wǎng)EB下載模塊根據(jù)文件類型及預(yù)期驗(yàn)證環(huán)境,對每個(gè)副本生成一個(gè)WEB下載鏈接,內(nèi)含作為下載附件的副本, 并通知相應(yīng)的安全檢測管理程序;
[0079]b)云平臺中安全檢測管理程序根據(jù)(單個(gè))惡意文件副本預(yù)期環(huán)境,啟動不同操作系統(tǒng)平臺的安全檢測沙盒虛擬機(jī),進(jìn)行惡意文件特征、運(yùn)行行為檢測;
[0080]c)不同操作系統(tǒng)平臺的安全檢測沙盒虛擬機(jī)均通過WEB方式下載惡意文件副本、 解密解壓到各自沙箱中。
[0081]4、所述多平臺檢測分析結(jié)果匯總模塊,將多種安全檢測沙盒對惡意文件檢測副本 的檢測結(jié)果,以文本格式提交到檢測結(jié)果匯總平臺,與原始惡意文件進(jìn)行關(guān)聯(lián)。
[0082]a)各個(gè)安全檢測沙盒對惡意文件副本分析的結(jié)果,以文本log形式保存,標(biāo)注所 屬的惡意文件編號(如CF0123),保證分析結(jié)果的快平臺性,分析結(jié)果log文件均提交至多 平臺檢測分析結(jié)果匯總模塊;
[0083]b)分析結(jié)果log文件按照惡意文件編號與惡意文件原始文件信息進(jìn)行關(guān)聯(lián),匯總 形成該惡意文件的分析結(jié)果,按照惡意文件編碼、文件類型、所屬操作系統(tǒng)、依賴環(huán)境軟件、 惡意行為列表、危害等級等。其中危害等級與惡意行為列表中的項(xiàng)數(shù)和危害程序有關(guān),可以 定義為高、中、低、無危害四級。
[0084]以上所述本發(fā)明的【具體實(shí)施方式】目的是為了更好地理解本發(fā)明的使用,并不構(gòu)成 對本發(fā)明保護(hù)范圍的限定。任何在本發(fā)明的精神和原則實(shí)質(zhì)之內(nèi)所做的修改、變形和等同 替換等,都應(yīng)屬于本發(fā)明的權(quán)利要求的保護(hù)范圍之內(nèi)。
【權(quán)利要求】
1.一種惡意文件云環(huán)境下跨平臺檢測方法,其步驟包括: 1)采集原始可疑惡意文件并存儲在云環(huán)境下的分布式存儲集群中,隔離所述惡意文件; 2)制作所述惡意文件的文件副本,對每個(gè)所述惡意文件的副本進(jìn)行文件后綴名的格式識別,將識別后的惡意文件副本上傳到WEB端; 3)根據(jù)不同操作系統(tǒng)類型只從所述WEB端下載所述惡意文件副本到各自的系統(tǒng)對應(yīng)的安全沙盒虛擬機(jī)中,進(jìn)行惡意文件特征和/或運(yùn)行行為檢測; 4)將所述安全沙盒虛擬機(jī)中對惡意文件檢測結(jié)果提交并匯總,與原始惡意文件進(jìn)行關(guān)聯(lián)后檢測出跨平臺的惡意文件。
2.如權(quán)利要求1所述的惡意文件云環(huán)境下跨平臺檢測方法,其特征在于,所述文件后綴名的格式識別為以下的一種或者多種: 對每個(gè)惡意文件的副本中可識別的后綴名進(jìn)行識別; 對每個(gè)惡意文件的副本中不可識別的后綴名補(bǔ)充或者糾正文件擴(kuò)展名; 對每個(gè)惡意文件的副本中按照典型文件后綴補(bǔ)充多種副本。
3.如權(quán)利要求1所述的惡意文件云環(huán)境下跨平臺檢測方法,其特征在于,采集原始可疑惡意文件的方法如下: O自動批量收集或手動上傳的惡意文件,獲取最原始的可以惡意文件; 2)將惡意文件以二進(jìn)制形式平均拆分成N份,其中N>=1; 3)將所述N份子文件分別分開存放在云環(huán)境的分布式存儲區(qū)中,設(shè)置文件權(quán)限為只讀,禁止其運(yùn)行; 4)對于拆分的惡意文件及子文件建立文件索引。
4.如權(quán)利要求1或3所述的惡意文件云環(huán)境下跨平臺檢測方法,其特征在于,所述惡意文件的副本制作方法為: 1)從文件索引中提取第一分塊,分析文件頭的格式信息; 2)如果有效識別出文件格式,從文件索引處提取并重組文件,將后綴名補(bǔ)充; 3)如果原文件格式與后綴名不一致,對原有錯(cuò)誤后綴名進(jìn)行校正;若果原文件格式有多種疑似,則生成所有可能的副本; 4)若不能有效識別文件格式,則生成預(yù)先設(shè)定的全部文件格式多副本; 5)生成加密壓縮副本,發(fā)送并進(jìn)行發(fā)布。
5.如權(quán)利要求4所述的惡意文件云環(huán)境下跨平臺檢測方法,其特征在于,步驟5)中生成加密壓縮副本同時(shí)標(biāo)注文件信息及預(yù)期驗(yàn)證環(huán)境。
6.如權(quán)利要求5所述的惡意文件云環(huán)境下跨平臺檢測方法,其特征在于,根據(jù)文件類型及預(yù)期驗(yàn)證環(huán)境,對每個(gè)副本生成一個(gè)以本作為下載附件的WEB下載鏈。
7.如權(quán)利要求1-4任意一項(xiàng)所述的惡意文件云環(huán)境下跨平臺檢測方法,其特征在于,惡意文件后綴名包括wi ndows、linux/unix、Mac OS、IOS、Android典型操作系統(tǒng)上的典型文件:腳本文件、文本文件、庫文件、可執(zhí)行程序文件。
8.如權(quán)利要求1-4任意一項(xiàng)所述的惡意文件云環(huán)境下跨平臺檢測方法,其特征在于,惡意文件后綴名包括可增加或變更的:.asp、.php、.jsp、.py、.p1、.sh、.exe、.txt、.jpg、.apk、.dll、.so 后綴類型。
9.一種惡意文件云環(huán)境下跨平臺檢測系統(tǒng),包括B/S結(jié)構(gòu)用戶接口、惡意文件管理中心服務(wù)器、分布式存儲服務(wù)器群、惡意文件分發(fā)WEB服務(wù)器以及虛擬安全沙盒集群,其特征在于,還包括惡意文件采集模塊、惡意文件格式校驗(yàn)?zāi)K、檢測副本W(wǎng)EB下載模塊以及多平臺檢測分析結(jié)果匯總模塊, 所述惡意文件采集模塊,在B/S結(jié)構(gòu)用戶接口用于采集原始可疑惡意文件并存儲在云環(huán)境下的分布式存儲服務(wù)器群中,隔離所述惡意文件; 所述惡意文件格式校驗(yàn)?zāi)K,用于制作所述惡意文件的文件副本,對每個(gè)所述惡意文件的副本進(jìn)行文件后綴名的格式識別,將識別后的惡意文件副本上傳到WEB端的惡意文件分發(fā)WEB服務(wù)器; 所述惡意文件檢測副本W(wǎng)EB下載模塊,根據(jù)不同操作系統(tǒng)類型只從所述WEB端下載所述惡意文件副本到各自的系統(tǒng)對應(yīng)的安全沙盒虛擬機(jī)集群中,提供惡意文件特征和/或運(yùn)行行為檢測; 所述多平臺檢測分析結(jié)果匯總模塊,用于將所述安全沙盒虛擬機(jī)中對惡意文件檢測結(jié)果提交并匯總,與原始惡意文件進(jìn)行關(guān)聯(lián)后檢測出跨平臺的惡意文件。
10.如權(quán)利要求9所述的惡意文件云環(huán)境下跨平臺檢測系統(tǒng),其特征在于,所述惡意文件副本在安全沙盒虛擬機(jī)集群中進(jìn)行并行檢測;用戶可以將整個(gè)網(wǎng)站的所有頁面文件或其它多文件軟件一次上傳,批量處理后,一次性得到檢測結(jié)果。
【文檔編號】G06F21/56GK103559441SQ201310517192
【公開日】2014年2月5日 申請日期:2013年10月28日 優(yōu)先權(quán)日:2013年10月28日
【發(fā)明者】馬多賀, 徐震, 宋晨, 黃亮, 呂雙雙, 張凱 申請人:中國科學(xué)院信息工程研究所