本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種樣本文件分析方法、裝置及系統(tǒng)。

背景技術(shù)：

極光攻擊、震網(wǎng)攻擊、夜龍攻擊等重大網(wǎng)絡(luò)安全事件使得一種具有攻擊手法高級(jí)、持續(xù)時(shí)間長(zhǎng)、攻擊目標(biāo)明確等特征的攻擊類型出現(xiàn)在公眾視野中，國(guó)際上稱之為apt(advancedpersistentthreat,高級(jí)持續(xù)性威脅)攻擊；這類攻擊不僅使用傳統(tǒng)的病毒、木馬作為攻擊手段，而是以郵件等方式進(jìn)行“先導(dǎo)攻擊”，向用戶發(fā)送精心構(gòu)造使用0day漏洞的文件，一旦用戶打開(kāi)相關(guān)文件，0day漏洞就會(huì)被觸發(fā)，攻擊代碼注入到用戶系統(tǒng)，并進(jìn)行后續(xù)下載其它病毒、木馬等操作以利長(zhǎng)期潛伏作業(yè)，而傳統(tǒng)防火墻、企業(yè)反病毒軟件等對(duì)此類無(wú)特征簽名的惡意文件或代碼的檢測(cè)和防護(hù)能力非常有限。

apt攻擊檢測(cè)防御技術(shù)已成為新一代網(wǎng)絡(luò)安全的研究熱點(diǎn)，其中所采用的檢測(cè)方式一般分為靜態(tài)引擎分析、動(dòng)態(tài)引擎分析以及兩者合用。為了提高樣本的檢測(cè)有效性，通常都采用先靜態(tài)引擎分析再動(dòng)態(tài)引擎分析的方法，此種方法首先對(duì)樣本進(jìn)行必要的靜態(tài)檢測(cè)，一旦發(fā)現(xiàn)有異常就可進(jìn)行防護(hù)，如果沒(méi)有發(fā)現(xiàn)異常則進(jìn)行動(dòng)態(tài)檢測(cè)，利用兩種技術(shù)的共同檢測(cè)來(lái)確認(rèn)樣本的威脅程度，從而達(dá)到提高樣本檢測(cè)的有效性。

圖1為現(xiàn)有樣本文件分析流向示意圖，如圖1所示，進(jìn)/出網(wǎng)絡(luò)的網(wǎng)絡(luò)流量 通過(guò)旁路鏡像方式轉(zhuǎn)換為鏡像流量后導(dǎo)出到樣本采集設(shè)備，樣本采集設(shè)備對(duì)鏡像流量進(jìn)行解析并提取獲得樣本文件，將提取的樣本文件發(fā)往靜態(tài)引擎設(shè)備后，由靜態(tài)引擎設(shè)備根據(jù)自身的特征庫(kù)，對(duì)每個(gè)樣本文件進(jìn)行匹配，對(duì)檢測(cè)出異常的樣本文件輸出靜態(tài)分析報(bào)告；未檢測(cè)出異常的樣本文件發(fā)往動(dòng)態(tài)引擎設(shè)備進(jìn)行分析。動(dòng)態(tài)引擎設(shè)備接收到樣本文件后，利用獨(dú)立且受保護(hù)的虛擬分析系統(tǒng)模擬實(shí)際環(huán)境和用戶行為對(duì)樣本文件進(jìn)行操作，如果樣本文件為惡意文件，則可通過(guò)惡意文件的操作進(jìn)行漏洞利用、文件釋放、系統(tǒng)修改等攻擊行為的識(shí)別，實(shí)現(xiàn)apt攻擊的檢測(cè)。

如圖1所示的傳統(tǒng)文件分析引擎對(duì)待測(cè)樣本的處理方式是統(tǒng)一的、無(wú)差別的，比如所有的樣本順序進(jìn)入順序輸出，啟動(dòng)一個(gè)虛擬鏡像環(huán)境，運(yùn)行2分鐘，無(wú)人工其他操作，之后輸出檢測(cè)結(jié)果，所有樣本都采用同一的分析流程。在現(xiàn)有技術(shù)條件下，存在漏報(bào)與誤報(bào)的可能，針對(duì)待測(cè)樣本所處的不同環(huán)境，比如：待測(cè)樣本來(lái)源自公司高管郵件對(duì)比來(lái)自普通員工的；來(lái)源自管理財(cái)務(wù)和人力的員工對(duì)比來(lái)自測(cè)試和開(kāi)發(fā)的；來(lái)源自公司外部向內(nèi)部發(fā)送的郵件對(duì)比內(nèi)部向外部發(fā)送的，不同的環(huán)境下誤報(bào)與漏報(bào)可能造成的危害程度差別巨大。

因此，如何提供一種可以解決現(xiàn)有傳統(tǒng)文件分析引擎針對(duì)所有樣本文件采用相同分析策略的樣本文件分析方法，是本領(lǐng)域技術(shù)人員亟待解決的技術(shù)問(wèn)題。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明提供了一種樣本文件分析方法、裝置及系統(tǒng)，以解決現(xiàn)有傳統(tǒng)文件分析引擎針對(duì)所有樣本文件采用相同分析策略的問(wèn)題。

本發(fā)明提供了一種樣本文件分析方法，其包括：

獲取樣本文件的環(huán)境參數(shù),根據(jù)環(huán)境參數(shù)確定樣本文件的用戶身份,根據(jù)用 戶身份,配置樣本文件的分析策略規(guī)則；

根據(jù)分析策略規(guī)則分析樣本文件。

進(jìn)一步的，分析策略規(guī)則包括分析優(yōu)先級(jí)和分析配置參數(shù)，分析配置參數(shù)包括：樣本分析時(shí)間、分析鏡像數(shù)量及是否人工操作；根據(jù)分析策略規(guī)則分析樣本文件包括：根據(jù)樣本文件的分析優(yōu)先級(jí)對(duì)樣本文件進(jìn)行優(yōu)先級(jí)排序，并依次分析，根據(jù)樣本文件的分析配置參數(shù)啟動(dòng)分析流程。

進(jìn)一步的，根據(jù)樣本文件的分析配置參數(shù)啟動(dòng)分析流程包括：針對(duì)不同的樣本文件，根據(jù)各樣本文件的分析配置參數(shù)啟動(dòng)不同的分析流程。

進(jìn)一步的，根據(jù)環(huán)境參數(shù)確定樣本文件的用戶身份包括：調(diào)用數(shù)據(jù)庫(kù)內(nèi)存儲(chǔ)的環(huán)境參數(shù)與用戶身份的對(duì)應(yīng)關(guān)系，根據(jù)對(duì)應(yīng)關(guān)系，確定與環(huán)境參數(shù)匹配的用戶身份。

進(jìn)一步的，環(huán)境參數(shù)包括：文件往來(lái)方向的內(nèi)網(wǎng)區(qū)或外網(wǎng)區(qū)、源ip地址和目標(biāo)ip地址、發(fā)送方與接收方郵箱地址中的至少一個(gè)。

進(jìn)一步的，對(duì)應(yīng)關(guān)系包括：內(nèi)網(wǎng)區(qū)或外網(wǎng)區(qū)與用戶的對(duì)應(yīng)關(guān)系、ip地址與用戶的對(duì)應(yīng)關(guān)系、郵箱地址與用戶的對(duì)應(yīng)關(guān)系。

本發(fā)明提供了一種樣本文件分析裝置，其包括：

策略規(guī)劃模塊，用于獲取樣本文件的環(huán)境參數(shù),根據(jù)環(huán)境參數(shù)確定樣本文件的用戶身份,根據(jù)用戶身份,配置樣本文件的分析策略規(guī)則；

樣本分析模塊，用于根據(jù)分析策略規(guī)則分析樣本文件。

進(jìn)一步的，分析策略規(guī)則包括分析優(yōu)先級(jí)和分析配置參數(shù)，分析配置參數(shù)包括：樣本分析時(shí)間、分析鏡像數(shù)量及是否人工操作；樣本分析模塊包括文件調(diào)度單元及文件分析引擎，文件調(diào)度單元用于根據(jù)樣本文件的分析優(yōu)先級(jí)對(duì)樣本文件進(jìn)行優(yōu)先級(jí)排序，文件分析引擎用于根據(jù)樣本文件的分析配置參數(shù)啟動(dòng)分 析流程。

進(jìn)一步的，文件分析引擎用于針對(duì)不同的樣本文件，根據(jù)各樣本文件的分析配置參數(shù)啟動(dòng)不同的分析流程。

進(jìn)一步的，策略規(guī)劃模塊用于調(diào)用數(shù)據(jù)庫(kù)內(nèi)存儲(chǔ)的環(huán)境參數(shù)與用戶身份的對(duì)應(yīng)關(guān)系，根據(jù)對(duì)應(yīng)關(guān)系，確定與環(huán)境參數(shù)匹配的用戶身份。

進(jìn)一步的，環(huán)境參數(shù)包括：文件往來(lái)方向的內(nèi)網(wǎng)區(qū)或外網(wǎng)區(qū)、源ip地址和目標(biāo)ip地址、發(fā)送方與接收方郵箱地址中的至少一個(gè)。

進(jìn)一步的，對(duì)應(yīng)關(guān)系包括：內(nèi)網(wǎng)區(qū)或外網(wǎng)區(qū)與用戶的對(duì)應(yīng)關(guān)系、ip地址與用戶的對(duì)應(yīng)關(guān)系、郵箱地址與用戶的對(duì)應(yīng)關(guān)系。

本發(fā)明提供了一種樣本文件分析系統(tǒng)，其包括本發(fā)明提供的樣本文件分析裝置。

本發(fā)明的有益效果：

本發(fā)明提供了一種樣本文件分析方法，在接收樣本文件時(shí)，同時(shí)獲取各樣本文件的環(huán)境參數(shù)，根據(jù)各樣本文件的環(huán)境參數(shù)及數(shù)據(jù)庫(kù)中環(huán)境參數(shù)與用戶身份的對(duì)應(yīng)關(guān)系，確定樣本文件對(duì)應(yīng)的用戶，并根據(jù)用戶不同配置不同的分析策略規(guī)則，根據(jù)各樣本文件的分析策略規(guī)則進(jìn)行分析，這樣就可以區(qū)分樣本文件中的重點(diǎn)檢測(cè)對(duì)象，針對(duì)重點(diǎn)檢測(cè)對(duì)象盡可能的充分觸發(fā)待測(cè)文件的各種行為，進(jìn)行重點(diǎn)分析，達(dá)到重點(diǎn)對(duì)象重點(diǎn)分析、以提高重點(diǎn)檢測(cè)對(duì)象檢測(cè)率的目的，對(duì)應(yīng)的，誤報(bào)率也得到了明顯的控制降低，解決了現(xiàn)有傳統(tǒng)文件分析引擎針對(duì)所有樣本文件采用相同分析策略、且分析引擎資源有限，導(dǎo)致的重點(diǎn)檢測(cè)對(duì)象的漏報(bào)與誤報(bào)的問(wèn)題。

附圖說(shuō)明

圖1為現(xiàn)有樣本文件分析流向示意圖；

圖2為本發(fā)明第一實(shí)施例提供的樣本文件分析裝置的結(jié)構(gòu)示意圖；

圖3為本發(fā)明第一實(shí)施例提供的樣本文件分析方法的流程圖；

圖4為本發(fā)明第二實(shí)施例提供的樣本文件分析裝置的結(jié)構(gòu)示意圖；

圖5為本發(fā)明第二實(shí)施例提供的樣本文件分析方法的流程圖；

圖6為本發(fā)明第三實(shí)施例提供的樣本文件分析方法的流程圖；

圖7為本發(fā)明第四實(shí)施例提供的樣本文件分析方法的流程圖。

具體實(shí)施方式

現(xiàn)通過(guò)具體實(shí)施方式結(jié)合附圖的方式對(duì)本發(fā)明做出進(jìn)一步的詮釋說(shuō)明。

第一實(shí)施例：

圖2為本發(fā)明第一實(shí)施例提供的樣本文件分析裝置的結(jié)構(gòu)示意圖，由圖2可知，在本實(shí)施例中，本發(fā)明提供的樣本文件分析裝置2包括：

策略規(guī)劃模塊21，用于獲取樣本文件的環(huán)境參數(shù),根據(jù)環(huán)境參數(shù)確定樣本文件的用戶身份,根據(jù)用戶身份,配置樣本文件的分析策略規(guī)則；

樣本分析模塊22，用于根據(jù)分析策略規(guī)則分析樣本文件。

在一些實(shí)施例中，上述實(shí)施例中的分析策略規(guī)則包括分析優(yōu)先級(jí)和分析配置參數(shù)，分析配置參數(shù)包括：樣本分析時(shí)間、分析鏡像數(shù)量及是否人工操作；樣本分析模塊22包括文件調(diào)度單元及文件分析引擎，文件調(diào)度單元用于根據(jù)樣本文件的分析優(yōu)先級(jí)對(duì)樣本文件進(jìn)行優(yōu)先級(jí)排序，文件分析引擎用于根據(jù)樣本文件的分析配置參數(shù)啟動(dòng)分析流程。

在一些實(shí)施例中，上述實(shí)施例中的文件分析引擎用于針對(duì)不同的樣本文件， 根據(jù)各樣本文件的分析配置參數(shù)啟動(dòng)不同的分析流程。

在一些實(shí)施例中，上述實(shí)施例中的策略規(guī)劃模塊21用于調(diào)用數(shù)據(jù)庫(kù)內(nèi)存儲(chǔ)的環(huán)境參數(shù)與用戶身份的對(duì)應(yīng)關(guān)系，根據(jù)對(duì)應(yīng)關(guān)系，確定與環(huán)境參數(shù)匹配的用戶身份。

在一些實(shí)施例中，上述實(shí)施例中的環(huán)境參數(shù)包括：文件往來(lái)方向的內(nèi)網(wǎng)區(qū)或外網(wǎng)區(qū)、源ip地址和目標(biāo)ip地址、發(fā)送方與接收方郵箱地址中的至少一個(gè)。

在一些實(shí)施例中，上述實(shí)施例中的對(duì)應(yīng)關(guān)系包括：內(nèi)網(wǎng)區(qū)或外網(wǎng)區(qū)與用戶的對(duì)應(yīng)關(guān)系、ip地址與用戶的對(duì)應(yīng)關(guān)系、郵箱地址與用戶的對(duì)應(yīng)關(guān)系。

對(duì)應(yīng)的，本發(fā)明提供了一種樣本文件分析系統(tǒng)，其包括本發(fā)明提供的樣本文件分析裝置2。

圖3為本發(fā)明第一實(shí)施例提供的樣本文件分析方法的流程圖，由圖3可知，在本實(shí)施例中，本發(fā)明提供的樣本文件分析方法包括以下步驟：

s301：獲取樣本文件的環(huán)境參數(shù),根據(jù)環(huán)境參數(shù)確定樣本文件的用戶身份,根據(jù)用戶身份,配置樣本文件的分析策略規(guī)則；

s302：根據(jù)分析策略規(guī)則分析樣本文件。

在一些實(shí)施例中，上述實(shí)施例中的分析策略規(guī)則包括分析優(yōu)先級(jí)和分析配置參數(shù)，分析配置參數(shù)包括：樣本分析時(shí)間、分析鏡像數(shù)量及是否人工操作；對(duì)應(yīng)的，根據(jù)分析策略分析樣本文件包括：根據(jù)樣本文件的分析優(yōu)先級(jí)對(duì)樣本文件進(jìn)行優(yōu)先級(jí)排序，根據(jù)樣本文件的分析配置參數(shù)啟動(dòng)分析流程。

在一些實(shí)施例中，上述實(shí)施例中的根據(jù)樣本文件的分析配置參數(shù)啟動(dòng)分析流程包括：針對(duì)不同的樣本文件，根據(jù)各樣本文件的分析配置參數(shù)啟動(dòng)不同的分析流程。

在一些實(shí)施例中，上述實(shí)施例中的根據(jù)環(huán)境參數(shù)確定樣本文件的用戶身份包 括：調(diào)用數(shù)據(jù)庫(kù)內(nèi)存儲(chǔ)的環(huán)境參數(shù)與用戶身份的對(duì)應(yīng)關(guān)系，根據(jù)對(duì)應(yīng)關(guān)系，確定與環(huán)境參數(shù)匹配的用戶身份。

在一些實(shí)施例中，上述實(shí)施例中的環(huán)境參數(shù)包括：文件往來(lái)方向的內(nèi)網(wǎng)區(qū)或外網(wǎng)區(qū)、源ip地址和目標(biāo)ip地址、發(fā)送方與接收方郵箱地址中的至少一個(gè)。

在一些實(shí)施例中，上述實(shí)施例中的對(duì)應(yīng)關(guān)系包括：內(nèi)網(wǎng)區(qū)或外網(wǎng)區(qū)與用戶的對(duì)應(yīng)關(guān)系、ip地址與用戶的對(duì)應(yīng)關(guān)系、郵箱地址與用戶的對(duì)應(yīng)關(guān)系。

現(xiàn)結(jié)合具體應(yīng)用場(chǎng)景對(duì)本發(fā)明做進(jìn)一步的詮釋說(shuō)明。

第二實(shí)施例：

針對(duì)現(xiàn)有技術(shù)條件下惡意文件漏報(bào)與誤報(bào)可能造成的危害程度差別巨大這一問(wèn)題，提出了一種在平衡文件分析引擎資源消耗的前提下，實(shí)現(xiàn)差別式的文件分析與調(diào)度策略，針對(duì)重點(diǎn)對(duì)象樣本優(yōu)先送入分析引擎，增加其虛擬鏡像環(huán)境個(gè)數(shù)，增加每個(gè)鏡像的運(yùn)行時(shí)間，并增加人工操作等，以保證文件行為的充分觸發(fā)，有效提高了需要重點(diǎn)檢測(cè)對(duì)象的檢測(cè)率，同時(shí)其誤報(bào)率也得到了明顯的降低。

為了解決上述技術(shù)問(wèn)題，本發(fā)明提供一種樣本文件分析裝置，能夠提高重點(diǎn)檢測(cè)對(duì)象的檢測(cè)率，同時(shí)降低其誤報(bào)率。如圖4所示，樣本文件分析裝置包括：信息采集單元41負(fù)責(zé)還原網(wǎng)絡(luò)流量并采集待測(cè)樣本文件的各種通信參數(shù)，并和待測(cè)文件一起送入規(guī)則策略單元；規(guī)則策略單元42依據(jù)接收的信息，查詢數(shù)據(jù)庫(kù)單元43預(yù)先配置的信息，獲得文件所屬的通信參數(shù)與員工角色、職務(wù)等的對(duì)應(yīng)關(guān)系，綜合制定差別式的文件分析處理規(guī)則，包括樣本優(yōu)先級(jí)信息并生成相應(yīng)的差別式的配置參數(shù)，并和文件一起送入文件調(diào)度單元44；文件調(diào)度單元44中根據(jù)傳入的樣本優(yōu)先級(jí)信息將樣本進(jìn)行排序，并按優(yōu)先級(jí)高低順序?qū)⑽? 件與配置參數(shù)一起傳入文件分析引擎45；文件分析引擎根據(jù)傳入的配置參數(shù)的不同做差別式的文件分析處理，以保證重點(diǎn)檢測(cè)對(duì)象文件行為的充分觸發(fā)。

具體的，信息采集單元41采集的通信參數(shù)包括但不限于ip源地址、發(fā)送與接收者郵箱地址、文件往來(lái)方向等。

具體的，數(shù)據(jù)庫(kù)單元43預(yù)先配置的信息包括但不限于ip地址與員工角色、職務(wù)對(duì)應(yīng)信息，郵箱地址與員工角色、職務(wù)對(duì)應(yīng)信息，ip地址公司內(nèi)外網(wǎng)區(qū)分等。

具體的，規(guī)則策略單元42生成的樣本優(yōu)先級(jí)信息和差別式的配置參數(shù)。其中樣本優(yōu)先級(jí)信息用于文件調(diào)度單元44的具體樣本排序操作；差別式的配置參數(shù)用于文件分析引擎45啟動(dòng)不同的分析流程。

具體的，文件分析引擎45差別式文件處理，根據(jù)傳入的配置參數(shù)的不同，啟動(dòng)不同的分析流程，包括但不限于增加重點(diǎn)檢測(cè)對(duì)象的檢測(cè)時(shí)間、增加運(yùn)行環(huán)境鏡像個(gè)數(shù)以及增加人工操作等。

圖5為第二實(shí)施例的流程圖，如圖5可知，在本實(shí)施例中，本發(fā)明提供的樣本文件分析方法包括如下步驟：

s501，對(duì)導(dǎo)入的網(wǎng)絡(luò)流量進(jìn)行文件還原和通信參數(shù)采集，采集的信息可以分為多種，包括但不限于ip源地址與目的地址、發(fā)送與接收者郵箱地址、文件往來(lái)方向等。

s502，查詢預(yù)設(shè)置的數(shù)據(jù)庫(kù)(包括但不限于ip地址與員工角色、職務(wù)對(duì)應(yīng)信息，郵箱地址與員工角色、職務(wù)對(duì)應(yīng)信息，ip地址公司內(nèi)外網(wǎng)區(qū)分等)，獲得文件所屬的通信參數(shù)與員工角色、職務(wù)等的對(duì)應(yīng)關(guān)系。

s503，根據(jù)文件所屬的對(duì)應(yīng)關(guān)系制定差別式的文件分析規(guī)則策略，并生成 相應(yīng)的差別式的配置參數(shù)。具體的，當(dāng)采集的郵件所屬角色為公司高管，優(yōu)先級(jí)別就置為最高的4(最高4，最低1)，配置參數(shù)就置為時(shí)間time＝8(分鐘)，運(yùn)行鏡像個(gè)數(shù)count＝4，人工操作flag＝1(值為1表示需要人工操作，0表示不需要人工操作)；當(dāng)采集的郵件所屬角色為普通員工，優(yōu)先級(jí)別就置為最低的1，配置參數(shù)就置為時(shí)間time＝2(分鐘)，運(yùn)行鏡像個(gè)數(shù)count＝1，人工操作flag＝0。當(dāng)采集的郵件所屬職務(wù)為財(cái)務(wù)、資產(chǎn)類管理，優(yōu)先級(jí)別就置為3，配置參數(shù)就置為時(shí)間time＝6(分鐘)，鏡像個(gè)數(shù)count＝3，人工操作flag＝1；當(dāng)采集的郵件所屬職務(wù)為開(kāi)發(fā)、測(cè)試類，優(yōu)先級(jí)別就置為1，配置參數(shù)就置為時(shí)間time＝2(分鐘)，鏡像個(gè)數(shù)count＝1，人工操作flag＝0。當(dāng)采集的郵件所屬環(huán)境為公司外部向內(nèi)部發(fā)送的，優(yōu)先級(jí)別就置為2，配置參數(shù)就置為時(shí)間time＝4(分鐘)，鏡像個(gè)數(shù)count＝2，人工操作flag＝0；當(dāng)采集的郵件所屬環(huán)境為公司內(nèi)部向外部發(fā)送的，優(yōu)先級(jí)別就置為1，配置參數(shù)就置為時(shí)間time＝2(分鐘)，鏡像個(gè)數(shù)count＝1，人工操作flag＝0。取各種情況下輸出優(yōu)先級(jí)最高的情況作為最終的分析策略和配置參數(shù)。

s504，根據(jù)分析策略將待測(cè)文件按優(yōu)先級(jí)高低進(jìn)行排列，依次按優(yōu)先級(jí)高低順序?qū)⒋郎y(cè)樣本和對(duì)應(yīng)的配置參數(shù)送入分析引擎進(jìn)行文件分析。

s505，文件分析引擎根據(jù)傳入的配置參數(shù)，啟動(dòng)差別式的文件分析流程。比如接收參數(shù)為time＝8,count＝4,flag＝1時(shí)，分析引擎同時(shí)啟動(dòng)4個(gè)不同的環(huán)境鏡像，每個(gè)分析時(shí)間為8分鐘，并增加人工操作，以充分觸發(fā)待測(cè)樣本文件的各種行為，生成更加完整的樣本文件行為日志報(bào)告，以達(dá)到提高重點(diǎn)檢測(cè)對(duì)象檢測(cè)率的目的。

通過(guò)本實(shí)施例的實(shí)例，提高了重點(diǎn)檢測(cè)對(duì)象文件的檢測(cè)率，同時(shí)降低其誤 報(bào)率。

現(xiàn)結(jié)合2個(gè)運(yùn)用場(chǎng)景對(duì)本發(fā)明做進(jìn)一步的詮釋說(shuō)明。

第三實(shí)施例：

圖6為本發(fā)明第三實(shí)施例提供的樣本文件分析方法的流程圖，如圖6可知，在本實(shí)施例中，本發(fā)明提供的樣本文件分析方法包括：

s601，信息采集單元通過(guò)對(duì)網(wǎng)絡(luò)流量還原和信息采集，將樣本文件和各種通信參數(shù)發(fā)送給規(guī)則策略單元。

s602，在數(shù)據(jù)庫(kù)單元做查詢操作，查詢預(yù)置的數(shù)據(jù)庫(kù)(包括但不限于ip地址與員工角色、職務(wù)對(duì)應(yīng)信息，郵箱地址與員工角色、職務(wù)對(duì)應(yīng)信息，ip地址公司內(nèi)外網(wǎng)區(qū)分等)，得出文件所屬通信參數(shù)與員工角色、職務(wù)等的對(duì)應(yīng)關(guān)系。

s603，規(guī)則策略單元根據(jù)樣本文件所對(duì)應(yīng)的員工角色、職務(wù)關(guān)系，制定文件分析規(guī)則策略優(yōu)先級(jí)。

s604，規(guī)則策略單元生成對(duì)應(yīng)的配置參數(shù)。

具體的，當(dāng)采集的郵件所屬角色為公司高管，優(yōu)先級(jí)別就置為最高的4(最高4，最低1)，配置參數(shù)就置為時(shí)間time＝8(分鐘)，運(yùn)行鏡像個(gè)數(shù)count＝4，人工操作flag＝1(值為1表示需要人工操作，0表示不需要人工操作)；當(dāng)采集的郵件所屬角色為普通員工，優(yōu)先級(jí)別就置為最低的1，配置參數(shù)就置為時(shí)間time＝2(分鐘)，運(yùn)行鏡像個(gè)數(shù)count＝1，人工操作flag＝0。當(dāng)采集的郵件所屬職務(wù)為財(cái)務(wù)、資產(chǎn)類管理，優(yōu)先級(jí)別就置為3，配置參數(shù)就置為時(shí)間time＝6(分鐘)，鏡像個(gè)數(shù)count＝3，人工操作flag＝1；當(dāng)采集的郵件所屬職務(wù)為開(kāi)發(fā)、測(cè)試類，優(yōu)先級(jí)別就置為1，配置參數(shù)就置為時(shí)間time＝2(分鐘)，鏡像個(gè)數(shù)count＝1，人工操作flag＝0。當(dāng)采集的郵件所屬環(huán)境為公司外部向內(nèi)部發(fā) 送的，優(yōu)先級(jí)別就置為2，配置參數(shù)就置為時(shí)間time＝4(分鐘)，鏡像個(gè)數(shù)count＝2，人工操作flag＝0；當(dāng)采集的郵件所屬環(huán)境為公司內(nèi)部向外部發(fā)送的，優(yōu)先級(jí)別就置為1，配置參數(shù)就置為時(shí)間time＝2(分鐘)，鏡像個(gè)數(shù)count＝1，人工操作flag＝0。取各種情況下輸出優(yōu)先級(jí)最高的情況作為最終的分析策略和配置參數(shù)。

s605，規(guī)則策略單元將樣本文件、策略優(yōu)先級(jí)和對(duì)應(yīng)的配置參數(shù)發(fā)送給文件調(diào)度單元。

s606，文件調(diào)度單元接收樣本文件、策略優(yōu)先級(jí)和對(duì)應(yīng)的配置參數(shù)，并根據(jù)策略優(yōu)先級(jí)將樣本文件排序。

s607，文件調(diào)度單元按優(yōu)先級(jí)高低順序依次將樣本文件和配置參數(shù)送往分析引擎。

s608，文件分析引擎接收傳入的樣本文件和配置參數(shù)。

s609，文件分析引擎根據(jù)配置參數(shù)啟動(dòng)不同的分析流程，包括鏡像個(gè)數(shù)、分析時(shí)間、人工操作等。

s610，輸出文件檢測(cè)報(bào)告，分析結(jié)束。

第四實(shí)施例：

圖7為本發(fā)明第四實(shí)施例提供的樣本文件分析方法的流程圖，如圖7可知，在本實(shí)施例中，本發(fā)明提供的樣本文件分析方法包括：

s701，信息采集單元對(duì)網(wǎng)絡(luò)流量進(jìn)行信息采集，將樣本文件對(duì)應(yīng)的各種通信參數(shù)發(fā)送給規(guī)則策略單元。

s702，信息采集單元對(duì)網(wǎng)絡(luò)流量進(jìn)行流量還原得到待測(cè)樣本文件，并將樣本文件發(fā)送到文件調(diào)度單元。

s703，在數(shù)據(jù)庫(kù)單元做查詢操作，查詢預(yù)置的數(shù)據(jù)庫(kù)(包括但不限于ip地址與員工角色、職務(wù)對(duì)應(yīng)信息，郵箱地址與員工角色、職務(wù)對(duì)應(yīng)信息，ip地址公司內(nèi)外網(wǎng)區(qū)分等)，得出文件所屬通信參數(shù)與員工角色、職務(wù)等的對(duì)應(yīng)關(guān)系。

s704，規(guī)則策略單元根據(jù)樣本文件所對(duì)應(yīng)的員工角色、職務(wù)關(guān)系，制定文件分析規(guī)則策略優(yōu)先級(jí)。

s705，規(guī)則策略單元生成對(duì)應(yīng)的配置參數(shù)。

具體的，當(dāng)采集的郵件所屬角色為公司高管，優(yōu)先級(jí)別就置為最高的4(最高4，最低1)，配置參數(shù)就置為時(shí)間time＝8(分鐘)，運(yùn)行鏡像個(gè)數(shù)count＝4，人工操作flag＝1(值為1表示需要人工操作，0表示不需要人工操作)；當(dāng)采集的郵件所屬角色為普通員工，優(yōu)先級(jí)別就置為最低的1，配置參數(shù)就置為時(shí)間time＝2(分鐘)，運(yùn)行鏡像個(gè)數(shù)count＝1，人工操作flag＝0。當(dāng)采集的郵件所屬職務(wù)為財(cái)務(wù)、資產(chǎn)類管理，優(yōu)先級(jí)別就置為3，配置參數(shù)就置為時(shí)間time＝6(分鐘)，鏡像個(gè)數(shù)count＝3，人工操作flag＝1；當(dāng)采集的郵件所屬職務(wù)為開(kāi)發(fā)、測(cè)試類，優(yōu)先級(jí)別就置為1，配置參數(shù)就置為時(shí)間time＝2(分鐘)，鏡像個(gè)數(shù)count＝1，人工操作flag＝0。當(dāng)采集的郵件所屬環(huán)境為公司外部向內(nèi)部發(fā)送的，優(yōu)先級(jí)別就置為2，配置參數(shù)就置為時(shí)間time＝4(分鐘)，鏡像個(gè)數(shù)count＝2，人工操作flag＝0；當(dāng)采集的郵件所屬環(huán)境為公司內(nèi)部向外部發(fā)送的，優(yōu)先級(jí)別就置為1，配置參數(shù)就置為時(shí)間time＝2(分鐘)，鏡像個(gè)數(shù)count＝1，人工操作flag＝0。取各種情況下輸出優(yōu)先級(jí)最高的情況作為最終的分析策略和配置參數(shù)。

s706，規(guī)則策略單元將文件策略優(yōu)先級(jí)和對(duì)應(yīng)的配置參數(shù)發(fā)送給文件調(diào)度單元。

s707，文件調(diào)度單元接收信息采集單元傳入的樣本文件，接收規(guī)則策略單 元傳入的文件策略優(yōu)先級(jí)和對(duì)應(yīng)的配置參數(shù)，最后根據(jù)策略優(yōu)先級(jí)將樣本文件排序。

s708，文件調(diào)度單元按優(yōu)先級(jí)高低順序依次將樣本文件和配置參數(shù)送往分析引擎。

s709，文件分析引擎接收傳入的樣本文件和配置參數(shù)。

s710，文件分析引擎根據(jù)配置參數(shù)啟動(dòng)不同的分析流程，包括鏡像個(gè)數(shù)、分析時(shí)間、人工操作等。

s711，輸出文件檢測(cè)報(bào)告，分析結(jié)束。

綜上可知，通過(guò)本發(fā)明的實(shí)施，至少存在以下有益效果：

本發(fā)明提供了一種樣本文件分析方法，在接收樣本文件時(shí)，同時(shí)獲取各樣本文件的環(huán)境參數(shù)，根據(jù)各樣本文件的環(huán)境參數(shù)及預(yù)先配置的環(huán)境參與與用戶身份的對(duì)應(yīng)關(guān)系，確定樣本文件對(duì)應(yīng)的用戶，并根據(jù)用戶不同配置不同的分析策略規(guī)則，根據(jù)各樣本文件的分析策略規(guī)則進(jìn)行分析，這樣就可以區(qū)分樣本文件中的重點(diǎn)檢測(cè)對(duì)象，針對(duì)重點(diǎn)檢測(cè)對(duì)象盡可能的充分觸發(fā)待測(cè)文件的各種行為，進(jìn)行重點(diǎn)分析，達(dá)到重點(diǎn)對(duì)象重點(diǎn)分析、以提高重點(diǎn)檢測(cè)對(duì)象檢測(cè)率的目的，對(duì)應(yīng)的，誤報(bào)率也得到了明顯的控制降低，解決了現(xiàn)有傳統(tǒng)文件分析引擎針對(duì)所有樣本文件采用相同分析策略、且分析引擎資源有限，導(dǎo)致的重點(diǎn)檢測(cè)對(duì)象的漏報(bào)與誤報(bào)的問(wèn)題。

顯然，本領(lǐng)域的技術(shù)人員應(yīng)該明白，上述本發(fā)明的各模塊或各步驟可以用通用的計(jì)算裝置來(lái)實(shí)現(xiàn)，它們可以集中在單個(gè)的計(jì)算裝置上，或者分布在多個(gè)計(jì)算裝置所組成的網(wǎng)絡(luò)上，可選地，它們可以用計(jì)算裝置可執(zhí)行的程序代碼來(lái)實(shí)現(xiàn)，從而，可以將它們存儲(chǔ)在存儲(chǔ)介質(zhì)(rom/ram、磁碟、光盤(pán))中由計(jì)算裝 置來(lái)執(zhí)行，并且在某些情況下，可以以不同于此處的順序執(zhí)行所示出或描述的步驟，或者將它們分別制作成各個(gè)集成電路模塊，或者將它們中的多個(gè)模塊或步驟制作成單個(gè)集成電路模塊來(lái)實(shí)現(xiàn)。所以，本發(fā)明不限制于任何特定的硬件和軟件結(jié)合。

以上僅是本發(fā)明的具體實(shí)施方式而已，并非對(duì)本發(fā)明做任何形式上的限制，凡是依據(jù)本發(fā)明的技術(shù)實(shí)質(zhì)對(duì)以上實(shí)施方式所做的任意簡(jiǎn)單修改、等同變化、結(jié)合或修飾，均仍屬于本發(fā)明技術(shù)方案的保護(hù)范圍。