樣本文件分析方法、裝置及系統與流程

文檔序號(hao)：11236723閱(yue)讀(du)：1355來源：國(guo)知(zhi)局

本(ben)發明涉及網(wang)絡安全(quan)技術領域(yu)，尤其涉及一種(zhong)樣本(ben)文(wen)件分析方法、裝(zhuang)置及系統。

背景技術：

極光攻(gong)擊(ji)(ji)、震網攻(gong)擊(ji)(ji)、夜龍攻(gong)擊(ji)(ji)等(deng)(deng)重大(da)網絡(luo)安全事件使(shi)(shi)得一種具(ju)有(you)攻(gong)擊(ji)(ji)手(shou)法高(gao)級(ji)、持續時(shi)間(jian)長、攻(gong)擊(ji)(ji)目(mu)標(biao)明(ming)確(que)等(deng)(deng)特(te)(te)征的(de)攻(gong)擊(ji)(ji)類型出現在公(gong)眾視野(ye)中，國際上稱之為apt(advancedpersistentthreat,高(gao)級(ji)持續性(xing)威(wei)脅(xie))攻(gong)擊(ji)(ji)；這類攻(gong)擊(ji)(ji)不僅(jin)使(shi)(shi)用(yong)(yong)傳(chuan)統的(de)病毒(du)、木馬(ma)作(zuo)為攻(gong)擊(ji)(ji)手(shou)段，而(er)是(shi)以郵件等(deng)(deng)方式進行(xing)“先導攻(gong)擊(ji)(ji)”，向用(yong)(yong)戶發(fa)送精心構(gou)造(zao)使(shi)(shi)用(yong)(yong)0day漏洞的(de)文件，一旦用(yong)(yong)戶打開相關(guan)文件，0day漏洞就會被觸發(fa)，攻(gong)擊(ji)(ji)代碼(ma)注入到用(yong)(yong)戶系統，并(bing)進行(xing)后續下(xia)載其它病毒(du)、木馬(ma)等(deng)(deng)操作(zuo)以利(li)長期潛伏作(zuo)業，而(er)傳(chuan)統防(fang)火墻、企業反病毒(du)軟件等(deng)(deng)對此類無特(te)(te)征簽名的(de)惡意(yi)文件或代碼(ma)的(de)檢測和防(fang)護能力非(fei)常有(you)限。

apt攻擊檢測(ce)(ce)防御技術已成(cheng)為新(xin)一代網絡安(an)全的(de)(de)(de)研(yan)究(jiu)熱點，其中(zhong)所采用(yong)的(de)(de)(de)檢測(ce)(ce)方(fang)(fang)式一般(ban)分(fen)為靜態(tai)(tai)(tai)(tai)引擎(qing)分(fen)析(xi)(xi)、動態(tai)(tai)(tai)(tai)引擎(qing)分(fen)析(xi)(xi)以及兩(liang)者合用(yong)。為了(le)提高樣(yang)本的(de)(de)(de)檢測(ce)(ce)有(you)效性，通常都采用(yong)先靜態(tai)(tai)(tai)(tai)引擎(qing)分(fen)析(xi)(xi)再動態(tai)(tai)(tai)(tai)引擎(qing)分(fen)析(xi)(xi)的(de)(de)(de)方(fang)(fang)法，此(ci)種方(fang)(fang)法首先對(dui)樣(yang)本進(jin)行(xing)(xing)必要的(de)(de)(de)靜態(tai)(tai)(tai)(tai)檢測(ce)(ce)，一旦(dan)發(fa)現有(you)異常就可進(jin)行(xing)(xing)防護，如(ru)果沒(mei)有(you)發(fa)現異常則進(jin)行(xing)(xing)動態(tai)(tai)(tai)(tai)檢測(ce)(ce)，利用(yong)兩(liang)種技術的(de)(de)(de)共同檢測(ce)(ce)來確認樣(yang)本的(de)(de)(de)威脅程度，從而(er)達到提高樣(yang)本檢測(ce)(ce)的(de)(de)(de)有(you)效性。

圖1為(wei)(wei)現(xian)有樣(yang)(yang)本(ben)(ben)文(wen)(wen)件(jian)(jian)(jian)(jian)分析(xi)流向示意(yi)圖，如圖1所示，進(jin)(jin)/出(chu)網絡(luo)的(de)網絡(luo)流量(liang)(liang) 通過(guo)旁路鏡(jing)像方式轉換為(wei)(wei)鏡(jing)像流量(liang)(liang)后導出(chu)到樣(yang)(yang)本(ben)(ben)采集設(she)備(bei)(bei)，樣(yang)(yang)本(ben)(ben)采集設(she)備(bei)(bei)對鏡(jing)像流量(liang)(liang)進(jin)(jin)行(xing)(xing)(xing)解析(xi)并提取獲(huo)得樣(yang)(yang)本(ben)(ben)文(wen)(wen)件(jian)(jian)(jian)(jian)，將提取的(de)樣(yang)(yang)本(ben)(ben)文(wen)(wen)件(jian)(jian)(jian)(jian)發往靜(jing)態引(yin)擎(qing)設(she)備(bei)(bei)后，由靜(jing)態引(yin)擎(qing)設(she)備(bei)(bei)根據自身的(de)特征庫，對每個樣(yang)(yang)本(ben)(ben)文(wen)(wen)件(jian)(jian)(jian)(jian)進(jin)(jin)行(xing)(xing)(xing)匹(pi)配，對檢(jian)測出(chu)異常的(de)樣(yang)(yang)本(ben)(ben)文(wen)(wen)件(jian)(jian)(jian)(jian)輸出(chu)靜(jing)態分析(xi)報(bao)告；未檢(jian)測出(chu)異常的(de)樣(yang)(yang)本(ben)(ben)文(wen)(wen)件(jian)(jian)(jian)(jian)發往動(dong)態引(yin)擎(qing)設(she)備(bei)(bei)進(jin)(jin)行(xing)(xing)(xing)分析(xi)。動(dong)態引(yin)擎(qing)設(she)備(bei)(bei)接收到樣(yang)(yang)本(ben)(ben)文(wen)(wen)件(jian)(jian)(jian)(jian)后，利用(yong)獨立(li)且(qie)受保護的(de)虛擬分析(xi)系統模擬實際環(huan)境和用(yong)戶行(xing)(xing)(xing)為(wei)(wei)對樣(yang)(yang)本(ben)(ben)文(wen)(wen)件(jian)(jian)(jian)(jian)進(jin)(jin)行(xing)(xing)(xing)操(cao)作(zuo)(zuo)，如果(guo)樣(yang)(yang)本(ben)(ben)文(wen)(wen)件(jian)(jian)(jian)(jian)為(wei)(wei)惡意(yi)文(wen)(wen)件(jian)(jian)(jian)(jian)，則可通過(guo)惡意(yi)文(wen)(wen)件(jian)(jian)(jian)(jian)的(de)操(cao)作(zuo)(zuo)進(jin)(jin)行(xing)(xing)(xing)漏洞利用(yong)、文(wen)(wen)件(jian)(jian)(jian)(jian)釋放、系統修改等攻(gong)擊行(xing)(xing)(xing)為(wei)(wei)的(de)識別，實現(xian)apt攻(gong)擊的(de)檢(jian)測。

如圖1所(suo)(suo)示的(de)(de)傳統文(wen)件(jian)分(fen)(fen)析引擎(qing)對待測樣(yang)(yang)(yang)(yang)本(ben)的(de)(de)處(chu)理方式(shi)是統一(yi)的(de)(de)、無差別的(de)(de)，比(bi)如所(suo)(suo)有的(de)(de)樣(yang)(yang)(yang)(yang)本(ben)順序(xu)進(jin)入順序(xu)輸(shu)出，啟動一(yi)個虛擬鏡(jing)像(xiang)環(huan)境(jing)，運行2分(fen)(fen)鐘(zhong)，無人工其他(ta)操(cao)作(zuo)，之后輸(shu)出檢測結果，所(suo)(suo)有樣(yang)(yang)(yang)(yang)本(ben)都采用同(tong)一(yi)的(de)(de)分(fen)(fen)析流(liu)程(cheng)。在現有技術(shu)條件(jian)下，存在漏(lou)(lou)報(bao)(bao)與(yu)誤報(bao)(bao)的(de)(de)可(ke)能，針對待測樣(yang)(yang)(yang)(yang)本(ben)所(suo)(suo)處(chu)的(de)(de)不同(tong)環(huan)境(jing)，比(bi)如：待測樣(yang)(yang)(yang)(yang)本(ben)來(lai)源(yuan)自(zi)公(gong)司高管郵(you)件(jian)對比(bi)來(lai)自(zi)普通員工的(de)(de)；來(lai)源(yuan)自(zi)管理財務和(he)人力(li)的(de)(de)員工對比(bi)來(lai)自(zi)測試和(he)開發(fa)(fa)的(de)(de)；來(lai)源(yuan)自(zi)公(gong)司外(wai)部向內(nei)部發(fa)(fa)送(song)的(de)(de)郵(you)件(jian)對比(bi)內(nei)部向外(wai)部發(fa)(fa)送(song)的(de)(de)，不同(tong)的(de)(de)環(huan)境(jing)下誤報(bao)(bao)與(yu)漏(lou)(lou)報(bao)(bao)可(ke)能造成(cheng)的(de)(de)危害程(cheng)度差別巨大。

因此，如何(he)提供一(yi)種可以解(jie)決(jue)現有(you)(you)傳統(tong)文(wen)件分(fen)析引擎(qing)針對所有(you)(you)樣(yang)本文(wen)件采(cai)用相同分(fen)析策略的(de)樣(yang)本文(wen)件分(fen)析方法(fa)，是本領域(yu)技術人員亟待解(jie)決(jue)的(de)技術問(wen)題。

技術實現要素：

本(ben)發(fa)明提供了一種樣(yang)本(ben)文件(jian)分(fen)析方法、裝置及(ji)系(xi)統，以解決現有(you)傳(chuan)統文件(jian)分(fen)析引擎針對(dui)所有(you)樣(yang)本(ben)文件(jian)采用相同分(fen)析策(ce)略的問題。

本發(fa)明(ming)提供了(le)一種(zhong)樣本文件分析(xi)方法，其包括：

獲取樣本(ben)文件的(de)(de)環(huan)(huan)境參數,根(gen)據環(huan)(huan)境參數確定(ding)樣本(ben)文件的(de)(de)用(yong)(yong)戶身(shen)份,根(gen)據用(yong)(yong) 戶身(shen)份,配(pei)置樣本(ben)文件的(de)(de)分析策略規(gui)則；

根據分析策略規(gui)則分析樣(yang)本文件。

進一步的(de)，分(fen)(fen)析(xi)(xi)(xi)策(ce)略(lve)規則包(bao)(bao)括(kuo)分(fen)(fen)析(xi)(xi)(xi)優先(xian)級(ji)和分(fen)(fen)析(xi)(xi)(xi)配(pei)置參數，分(fen)(fen)析(xi)(xi)(xi)配(pei)置參數包(bao)(bao)括(kuo)：樣(yang)(yang)本(ben)分(fen)(fen)析(xi)(xi)(xi)時間、分(fen)(fen)析(xi)(xi)(xi)鏡(jing)像(xiang)數量及是否(fou)人工操作；根(gen)據分(fen)(fen)析(xi)(xi)(xi)策(ce)略(lve)規則分(fen)(fen)析(xi)(xi)(xi)樣(yang)(yang)本(ben)文件(jian)包(bao)(bao)括(kuo)：根(gen)據樣(yang)(yang)本(ben)文件(jian)的(de)分(fen)(fen)析(xi)(xi)(xi)優先(xian)級(ji)對樣(yang)(yang)本(ben)文件(jian)進行優先(xian)級(ji)排序，并(bing)依次分(fen)(fen)析(xi)(xi)(xi)，根(gen)據樣(yang)(yang)本(ben)文件(jian)的(de)分(fen)(fen)析(xi)(xi)(xi)配(pei)置參數啟動分(fen)(fen)析(xi)(xi)(xi)流程。

進(jin)一步的(de)，根據樣(yang)本(ben)文(wen)件的(de)分(fen)析(xi)配置(zhi)參(can)數(shu)啟動(dong)分(fen)析(xi)流程包括：針對不同的(de)樣(yang)本(ben)文(wen)件，根據各樣(yang)本(ben)文(wen)件的(de)分(fen)析(xi)配置(zhi)參(can)數(shu)啟動(dong)不同的(de)分(fen)析(xi)流程。

進(jin)一步的，根據環(huan)境參(can)數確定樣本文件的用(yong)戶(hu)身(shen)份包括：調用(yong)數據庫內存儲的環(huan)境參(can)數與用(yong)戶(hu)身(shen)份的對應關系(xi)，根據對應關系(xi)，確定與環(huan)境參(can)數匹配的用(yong)戶(hu)身(shen)份。

進(jin)一步的(de)(de)，環境(jing)參數(shu)包括：文件(jian)往來方(fang)向的(de)(de)內網(wang)區或外網(wang)區、源ip地址和目標ip地址、發送方(fang)與(yu)接(jie)收方(fang)郵箱地址中的(de)(de)至少一個(ge)。

進一步的(de)，對應(ying)關系(xi)包括(kuo)：內網區或(huo)外網區與(yu)(yu)用戶(hu)(hu)的(de)對應(ying)關系(xi)、ip地址(zhi)與(yu)(yu)用戶(hu)(hu)的(de)對應(ying)關系(xi)、郵箱地址(zhi)與(yu)(yu)用戶(hu)(hu)的(de)對應(ying)關系(xi)。

本(ben)發明(ming)提供了一種樣本(ben)文件分析裝置(zhi)，其包括：

策略規(gui)劃模塊，用(yong)(yong)于獲取樣(yang)本(ben)文(wen)件(jian)的環境(jing)參數,根據(ju)環境(jing)參數確(que)定樣(yang)本(ben)文(wen)件(jian)的用(yong)(yong)戶身份,根據(ju)用(yong)(yong)戶身份,配置樣(yang)本(ben)文(wen)件(jian)的分析策略規(gui)則；

樣(yang)本(ben)分析模塊，用(yong)于根據(ju)分析策(ce)略規則分析樣(yang)本(ben)文件。

進(jin)一步的，分(fen)(fen)(fen)(fen)析(xi)(xi)(xi)(xi)策(ce)略規則包括分(fen)(fen)(fen)(fen)析(xi)(xi)(xi)(xi)優先級(ji)和分(fen)(fen)(fen)(fen)析(xi)(xi)(xi)(xi)配置參(can)(can)(can)數，分(fen)(fen)(fen)(fen)析(xi)(xi)(xi)(xi)配置參(can)(can)(can)數包括：樣本分(fen)(fen)(fen)(fen)析(xi)(xi)(xi)(xi)時間、分(fen)(fen)(fen)(fen)析(xi)(xi)(xi)(xi)鏡像數量(liang)及是(shi)否人工操作；樣本分(fen)(fen)(fen)(fen)析(xi)(xi)(xi)(xi)模塊包括文(wen)(wen)(wen)件(jian)(jian)調(diao)度單元(yuan)及文(wen)(wen)(wen)件(jian)(jian)分(fen)(fen)(fen)(fen)析(xi)(xi)(xi)(xi)引擎，文(wen)(wen)(wen)件(jian)(jian)調(diao)度單元(yuan)用(yong)于(yu)根據樣本文(wen)(wen)(wen)件(jian)(jian)的分(fen)(fen)(fen)(fen)析(xi)(xi)(xi)(xi)優先級(ji)對樣本文(wen)(wen)(wen)件(jian)(jian)進(jin)行(xing)優先級(ji)排(pai)序，文(wen)(wen)(wen)件(jian)(jian)分(fen)(fen)(fen)(fen)析(xi)(xi)(xi)(xi)引擎用(yong)于(yu)根據樣本文(wen)(wen)(wen)件(jian)(jian)的分(fen)(fen)(fen)(fen)析(xi)(xi)(xi)(xi)配置參(can)(can)(can)數啟動(dong)分(fen)(fen)(fen)(fen) 析(xi)(xi)(xi)(xi)流程(cheng)。

進一步的(de)(de)，文(wen)件(jian)分(fen)析(xi)引(yin)擎用(yong)于針(zhen)對(dui)不(bu)同的(de)(de)樣本(ben)(ben)文(wen)件(jian)，根據各樣本(ben)(ben)文(wen)件(jian)的(de)(de)分(fen)析(xi)配置參數啟動不(bu)同的(de)(de)分(fen)析(xi)流程。

進一步(bu)的，策略規(gui)劃模(mo)塊用于調(diao)用數(shu)據庫(ku)內存儲(chu)的環境參(can)(can)數(shu)與用戶身份(fen)的對(dui)應關(guan)(guan)系，根據對(dui)應關(guan)(guan)系，確定與環境參(can)(can)數(shu)匹配的用戶身份(fen)。

進一步的(de)，環境參(can)數包括：文件(jian)往來方(fang)向(xiang)的(de)內網區或(huo)外網區、源ip地址和目標ip地址、發送方(fang)與接收方(fang)郵(you)箱地址中的(de)至少一個。

進一步的(de)，對(dui)應(ying)關(guan)系包(bao)括：內網區(qu)(qu)或(huo)外網區(qu)(qu)與用戶的(de)對(dui)應(ying)關(guan)系、ip地址與用戶的(de)對(dui)應(ying)關(guan)系、郵(you)箱地址與用戶的(de)對(dui)應(ying)關(guan)系。

本發明提(ti)供(gong)了一(yi)種樣本文件分析系統，其包括本發明提(ti)供(gong)的樣本文件分析裝置。

本發明的有益效果：

本(ben)(ben)(ben)發(fa)明(ming)提供了(le)一種樣本(ben)(ben)(ben)文(wen)(wen)(wen)件(jian)(jian)(jian)分(fen)(fen)析(xi)方法，在接收樣本(ben)(ben)(ben)文(wen)(wen)(wen)件(jian)(jian)(jian)時，同時獲取各樣本(ben)(ben)(ben)文(wen)(wen)(wen)件(jian)(jian)(jian)的(de)(de)(de)(de)(de)環境(jing)參(can)數，根(gen)據(ju)各樣本(ben)(ben)(ben)文(wen)(wen)(wen)件(jian)(jian)(jian)的(de)(de)(de)(de)(de)環境(jing)參(can)數及數據(ju)庫中(zhong)環境(jing)參(can)數與(yu)用戶(hu)身份的(de)(de)(de)(de)(de)對(dui)(dui)應關系，確(que)定樣本(ben)(ben)(ben)文(wen)(wen)(wen)件(jian)(jian)(jian)對(dui)(dui)應的(de)(de)(de)(de)(de)用戶(hu)，并(bing)根(gen)據(ju)用戶(hu)不同配置不同的(de)(de)(de)(de)(de)分(fen)(fen)析(xi)策略(lve)規則，根(gen)據(ju)各樣本(ben)(ben)(ben)文(wen)(wen)(wen)件(jian)(jian)(jian)的(de)(de)(de)(de)(de)分(fen)(fen)析(xi)策略(lve)規則進行(xing)(xing)分(fen)(fen)析(xi)，這樣就可(ke)以(yi)區分(fen)(fen)樣本(ben)(ben)(ben)文(wen)(wen)(wen)件(jian)(jian)(jian)中(zhong)的(de)(de)(de)(de)(de)重點(dian)檢(jian)(jian)測(ce)對(dui)(dui)象，針(zhen)對(dui)(dui)重點(dian)檢(jian)(jian)測(ce)對(dui)(dui)象盡可(ke)能的(de)(de)(de)(de)(de)充分(fen)(fen)觸發(fa)待測(ce)文(wen)(wen)(wen)件(jian)(jian)(jian)的(de)(de)(de)(de)(de)各種行(xing)(xing)為(wei)，進行(xing)(xing)重點(dian)分(fen)(fen)析(xi)，達到重點(dian)對(dui)(dui)象重點(dian)分(fen)(fen)析(xi)、以(yi)提高(gao)重點(dian)檢(jian)(jian)測(ce)對(dui)(dui)象檢(jian)(jian)測(ce)率的(de)(de)(de)(de)(de)目的(de)(de)(de)(de)(de)，對(dui)(dui)應的(de)(de)(de)(de)(de)，誤報(bao)(bao)率也得到了(le)明(ming)顯的(de)(de)(de)(de)(de)控制降低，解決(jue)了(le)現有(you)傳統(tong)文(wen)(wen)(wen)件(jian)(jian)(jian)分(fen)(fen)析(xi)引(yin)擎針(zhen)對(dui)(dui)所有(you)樣本(ben)(ben)(ben)文(wen)(wen)(wen)件(jian)(jian)(jian)采用相同分(fen)(fen)析(xi)策略(lve)、且分(fen)(fen)析(xi)引(yin)擎資源有(you)限(xian)，導致的(de)(de)(de)(de)(de)重點(dian)檢(jian)(jian)測(ce)對(dui)(dui)象的(de)(de)(de)(de)(de)漏報(bao)(bao)與(yu)誤報(bao)(bao)的(de)(de)(de)(de)(de)問題。

附圖說明

圖(tu)1為現有(you)樣本文件分析(xi)流向(xiang)示意圖(tu)；

圖(tu)(tu)2為本發(fa)明第一實施例提供的(de)樣本文件分析裝(zhuang)置的(de)結構示意圖(tu)(tu)；

圖3為本發明第一實施(shi)例提供的樣本文(wen)件分(fen)析(xi)方法的流程圖；

圖4為本(ben)發明第二實施(shi)例提(ti)供的樣本(ben)文(wen)件分(fen)析(xi)裝(zhuang)置的結構(gou)示意圖；

圖(tu)5為本(ben)(ben)發明第(di)二實施例(li)提供的(de)樣本(ben)(ben)文件分析方法的(de)流(liu)程圖(tu)；

圖(tu)6為本發明第(di)三實施(shi)例提供的樣(yang)本文件分析方法的流程圖(tu)；

圖7為本發明第四實施例提供的樣本文件分析方法的流程圖。

具體實施方式

現通過具(ju)體實施方(fang)式結合附圖(tu)的(de)方(fang)式對本(ben)發(fa)明(ming)做(zuo)出進一步的(de)詮(quan)釋說明(ming)。

第一實施例：

圖2為本(ben)(ben)(ben)發明(ming)第一(yi)實施例(li)(li)提供的(de)樣本(ben)(ben)(ben)文件分(fen)析(xi)裝(zhuang)(zhuang)置(zhi)的(de)結構(gou)示(shi)意圖，由圖2可知，在(zai)本(ben)(ben)(ben)實施例(li)(li)中，本(ben)(ben)(ben)發明(ming)提供的(de)樣本(ben)(ben)(ben)文件分(fen)析(xi)裝(zhuang)(zhuang)置(zhi)2包括(kuo)：

策略規劃模塊21，用(yong)于獲(huo)取(qu)樣(yang)本文(wen)件(jian)的(de)環境參數,根(gen)據環境參數確定樣(yang)本文(wen)件(jian)的(de)用(yong)戶身份,根(gen)據用(yong)戶身份,配置樣(yang)本文(wen)件(jian)的(de)分(fen)析策略規則；

樣(yang)本(ben)分析(xi)模塊(kuai)22，用于根據分析(xi)策略規則分析(xi)樣(yang)本(ben)文(wen)件(jian)。

在一些(xie)實施(shi)例(li)中，上述實施(shi)例(li)中的(de)分(fen)(fen)(fen)(fen)(fen)析(xi)(xi)(xi)(xi)(xi)策略規則包(bao)括(kuo)(kuo)分(fen)(fen)(fen)(fen)(fen)析(xi)(xi)(xi)(xi)(xi)優先(xian)(xian)級(ji)和分(fen)(fen)(fen)(fen)(fen)析(xi)(xi)(xi)(xi)(xi)配(pei)置(zhi)參(can)數(shu)(shu)，分(fen)(fen)(fen)(fen)(fen)析(xi)(xi)(xi)(xi)(xi)配(pei)置(zhi)參(can)數(shu)(shu)包(bao)括(kuo)(kuo)：樣(yang)本(ben)分(fen)(fen)(fen)(fen)(fen)析(xi)(xi)(xi)(xi)(xi)時間(jian)、分(fen)(fen)(fen)(fen)(fen)析(xi)(xi)(xi)(xi)(xi)鏡(jing)像數(shu)(shu)量及是否人工操(cao)作；樣(yang)本(ben)分(fen)(fen)(fen)(fen)(fen)析(xi)(xi)(xi)(xi)(xi)模塊(kuai)22包(bao)括(kuo)(kuo)文(wen)件(jian)(jian)(jian)調(diao)度單元及文(wen)件(jian)(jian)(jian)分(fen)(fen)(fen)(fen)(fen)析(xi)(xi)(xi)(xi)(xi)引擎(qing)，文(wen)件(jian)(jian)(jian)調(diao)度單元用(yong)于根(gen)據樣(yang)本(ben)文(wen)件(jian)(jian)(jian)的(de)分(fen)(fen)(fen)(fen)(fen)析(xi)(xi)(xi)(xi)(xi)優先(xian)(xian)級(ji)對樣(yang)本(ben)文(wen)件(jian)(jian)(jian)進行優先(xian)(xian)級(ji)排序，文(wen)件(jian)(jian)(jian)分(fen)(fen)(fen)(fen)(fen)析(xi)(xi)(xi)(xi)(xi)引擎(qing)用(yong)于根(gen)據樣(yang)本(ben)文(wen)件(jian)(jian)(jian)的(de)分(fen)(fen)(fen)(fen)(fen)析(xi)(xi)(xi)(xi)(xi)配(pei)置(zhi)參(can)數(shu)(shu)啟動分(fen)(fen)(fen)(fen)(fen)析(xi)(xi)(xi)(xi)(xi)流程。

在一些實施(shi)例中，上述實施(shi)例中的(de)(de)文件(jian)分析(xi)引(yin)擎(qing)用(yong)于針對不同(tong)(tong)的(de)(de)樣本文件(jian)，根據各樣本文件(jian)的(de)(de)分析(xi)配置參(can)數(shu)啟動不同(tong)(tong)的(de)(de)分析(xi)流程(cheng)。

在(zai)一些實施例中(zhong)，上述實施例中(zhong)的(de)策略規劃模塊21用(yong)于調(diao)用(yong)數(shu)據(ju)庫內存儲的(de)環(huan)境參(can)數(shu)與用(yong)戶(hu)身(shen)份(fen)的(de)對應關系，根據(ju)對應關系，確(que)定與環(huan)境參(can)數(shu)匹配的(de)用(yong)戶(hu)身(shen)份(fen)。

在一(yi)些實施例中，上述實施例中的(de)(de)環境參數包(bao)括：文件(jian)往(wang)來方(fang)向的(de)(de)內網區或外網區、源ip地(di)址和目標(biao)ip地(di)址、發送(song)方(fang)與接收方(fang)郵(you)箱地(di)址中的(de)(de)至(zhi)少(shao)一(yi)個。

在一些實施例(li)中，上述實施例(li)中的(de)對(dui)應(ying)關(guan)系(xi)(xi)包括：內網(wang)(wang)區(qu)或(huo)外網(wang)(wang)區(qu)與(yu)(yu)用戶(hu)的(de)對(dui)應(ying)關(guan)系(xi)(xi)、ip地址與(yu)(yu)用戶(hu)的(de)對(dui)應(ying)關(guan)系(xi)(xi)、郵箱地址與(yu)(yu)用戶(hu)的(de)對(dui)應(ying)關(guan)系(xi)(xi)。

對應(ying)的(de)(de)，本(ben)(ben)發(fa)明(ming)提供了一種樣本(ben)(ben)文件分(fen)析(xi)系統(tong)，其(qi)包括本(ben)(ben)發(fa)明(ming)提供的(de)(de)樣本(ben)(ben)文件分(fen)析(xi)裝置2。

圖3為本(ben)發(fa)(fa)明第(di)一實施例(li)提供(gong)的樣(yang)(yang)本(ben)文(wen)件分析方法的流程圖，由圖3可知，在本(ben)實施例(li)中，本(ben)發(fa)(fa)明提供(gong)的樣(yang)(yang)本(ben)文(wen)件分析方法包括以下步驟：

s301：獲取樣本文件的(de)環境(jing)參數(shu),根據(ju)環境(jing)參數(shu)確定樣本文件的(de)用(yong)戶身份,根據(ju)用(yong)戶身份,配置樣本文件的(de)分析策略(lve)規則；

s302：根據分析策(ce)略規則分析樣本文(wen)件。

在一些(xie)實施(shi)例中(zhong)，上(shang)述實施(shi)例中(zhong)的分析策略規則包括(kuo)分析優先級(ji)和分析配置(zhi)參(can)數(shu)，分析配置(zhi)參(can)數(shu)包括(kuo)：樣(yang)本(ben)分析時(shi)間(jian)、分析鏡(jing)像數(shu)量及是否人(ren)工操作；對(dui)應的，根(gen)據分析策略分析樣(yang)本(ben)文件(jian)包括(kuo)：根(gen)據樣(yang)本(ben)文件(jian)的分析優先級(ji)對(dui)樣(yang)本(ben)文件(jian)進行(xing)優先級(ji)排序，根(gen)據樣(yang)本(ben)文件(jian)的分析配置(zhi)參(can)數(shu)啟動分析流程(cheng)。

在一些實施例中(zhong)，上述實施例中(zhong)的根據樣(yang)本文件的分析(xi)配置(zhi)參數(shu)啟動分析(xi)流程(cheng)(cheng)包括(kuo)：針對不同的樣(yang)本文件，根據各樣(yang)本文件的分析(xi)配置(zhi)參數(shu)啟動不同的分析(xi)流程(cheng)(cheng)。

在一(yi)些實施(shi)例中，上(shang)述實施(shi)例中的(de)(de)根(gen)據(ju)環(huan)境(jing)(jing)參(can)(can)數(shu)確(que)定(ding)樣(yang)本文件的(de)(de)用(yong)戶(hu)(hu)身(shen)份包(bao) 括：調用(yong)數(shu)據(ju)庫內存儲的(de)(de)環(huan)境(jing)(jing)參(can)(can)數(shu)與用(yong)戶(hu)(hu)身(shen)份的(de)(de)對應(ying)關系，根(gen)據(ju)對應(ying)關系，確(que)定(ding)與環(huan)境(jing)(jing)參(can)(can)數(shu)匹配的(de)(de)用(yong)戶(hu)(hu)身(shen)份。

在一些實施(shi)例(li)中(zhong)，上述(shu)實施(shi)例(li)中(zhong)的(de)環(huan)境參數(shu)包括：文件往來方(fang)向的(de)內網(wang)區或外網(wang)區、源ip地址(zhi)和目標ip地址(zhi)、發送方(fang)與接(jie)收(shou)方(fang)郵箱(xiang)地址(zhi)中(zhong)的(de)至少一個。

在一些(xie)實施例(li)中，上(shang)述實施例(li)中的(de)(de)對(dui)(dui)應(ying)關(guan)系(xi)(xi)包括(kuo)：內網區或外網區與用(yong)戶(hu)的(de)(de)對(dui)(dui)應(ying)關(guan)系(xi)(xi)、ip地(di)址與用(yong)戶(hu)的(de)(de)對(dui)(dui)應(ying)關(guan)系(xi)(xi)、郵箱地(di)址與用(yong)戶(hu)的(de)(de)對(dui)(dui)應(ying)關(guan)系(xi)(xi)。

現結合具體應(ying)用(yong)場景對(dui)本發明做進一步的詮釋(shi)說明。

第二實施例：

針對(dui)(dui)現有技術(shu)條件下(xia)(xia)惡意文件漏報(bao)與誤(wu)報(bao)可(ke)能造成(cheng)的(de)(de)危害(hai)程度差(cha)別巨大這一問題(ti)，提出了一種在平衡文件分析引(yin)擎資源消耗的(de)(de)前提下(xia)(xia)，實現差(cha)別式(shi)的(de)(de)文件分析與調度策略，針對(dui)(dui)重(zhong)點對(dui)(dui)象樣本優先送入分析引(yin)擎，增(zeng)加(jia)其虛擬鏡像(xiang)環(huan)境個數，增(zeng)加(jia)每個鏡像(xiang)的(de)(de)運(yun)行(xing)時間，并(bing)增(zeng)加(jia)人工操(cao)作等，以(yi)保證文件行(xing)為的(de)(de)充分觸發(fa)，有效提高了需要重(zhong)點檢測對(dui)(dui)象的(de)(de)檢測率，同時其誤(wu)報(bao)率也得(de)到(dao)了明(ming)顯的(de)(de)降低。

為了解決(jue)上述技術問題(ti)，本發明提(ti)供一(yi)(yi)種(zhong)樣(yang)本文(wen)(wen)件(jian)(jian)(jian)分(fen)(fen)析(xi)(xi)(xi)裝(zhuang)置(zhi)(zhi)(zhi)，能夠提(ti)高(gao)(gao)重(zhong)點檢測對(dui)象(xiang)的(de)(de)檢測率(lv)(lv)，同(tong)時(shi)降低其誤報率(lv)(lv)。如(ru)圖(tu)4所示，樣(yang)本文(wen)(wen)件(jian)(jian)(jian)分(fen)(fen)析(xi)(xi)(xi)裝(zhuang)置(zhi)(zhi)(zhi)包括：信(xin)息采(cai)集單(dan)(dan)元(yuan)41負責還(huan)原(yuan)網絡(luo)流量并(bing)采(cai)集待測樣(yang)本文(wen)(wen)件(jian)(jian)(jian)的(de)(de)各(ge)種(zhong)通(tong)信(xin)參數(shu)(shu)，并(bing)和(he)待測文(wen)(wen)件(jian)(jian)(jian)一(yi)(yi)起(qi)送(song)入規則策(ce)略(lve)(lve)單(dan)(dan)元(yuan)；規則策(ce)略(lve)(lve)單(dan)(dan)元(yuan)42依據接收的(de)(de)信(xin)息，查詢數(shu)(shu)據庫單(dan)(dan)元(yuan)43預先配置(zhi)(zhi)(zhi)的(de)(de)信(xin)息，獲得文(wen)(wen)件(jian)(jian)(jian)所屬的(de)(de)通(tong)信(xin)參數(shu)(shu)與員工角色、職(zhi)務等(deng)的(de)(de)對(dui)應關系(xi)，綜合制定差別式(shi)(shi)的(de)(de)文(wen)(wen)件(jian)(jian)(jian)分(fen)(fen)析(xi)(xi)(xi)處(chu)理規則，包括樣(yang)本優先級(ji)(ji)信(xin)息并(bing)生(sheng)成相應的(de)(de)差別式(shi)(shi)的(de)(de)配置(zhi)(zhi)(zhi)參數(shu)(shu)，并(bing)和(he)文(wen)(wen)件(jian)(jian)(jian)一(yi)(yi)起(qi)送(song)入文(wen)(wen)件(jian)(jian)(jian)調(diao)度單(dan)(dan)元(yuan)44；文(wen)(wen)件(jian)(jian)(jian)調(diao)度單(dan)(dan)元(yuan)44中(zhong)根據傳入的(de)(de)樣(yang)本優先級(ji)(ji)信(xin)息將樣(yang)本進行(xing)排序(xu)，并(bing)按優先級(ji)(ji)高(gao)(gao)低順(shun)序(xu)將文(wen)(wen) 件(jian)(jian)(jian)與配置(zhi)(zhi)(zhi)參數(shu)(shu)一(yi)(yi)起(qi)傳入文(wen)(wen)件(jian)(jian)(jian)分(fen)(fen)析(xi)(xi)(xi)引(yin)擎(qing)45；文(wen)(wen)件(jian)(jian)(jian)分(fen)(fen)析(xi)(xi)(xi)引(yin)擎(qing)根據傳入的(de)(de)配置(zhi)(zhi)(zhi)參數(shu)(shu)的(de)(de)不同(tong)做差別式(shi)(shi)的(de)(de)文(wen)(wen)件(jian)(jian)(jian)分(fen)(fen)析(xi)(xi)(xi)處(chu)理，以保證(zheng)重(zhong)點檢測對(dui)象(xiang)文(wen)(wen)件(jian)(jian)(jian)行(xing)為的(de)(de)充分(fen)(fen)觸發。

具體(ti)的，信(xin)息采(cai)集(ji)單元41采(cai)集(ji)的通信(xin)參(can)數包括(kuo)但不(bu)限于ip源地(di)址、發送與接收者郵箱地(di)址、文件往來方向等(deng)。

具體的，數據庫單元43預先配置(zhi)的信(xin)息(xi)包括但(dan)不限于ip地(di)址與員工角(jiao)色、職務對應(ying)信(xin)息(xi)，郵箱(xiang)地(di)址與員工角(jiao)色、職務對應(ying)信(xin)息(xi)，ip地(di)址公司內外網區分等。

具體的(de)(de)，規則策略單元42生成的(de)(de)樣(yang)本(ben)優先級信息和差(cha)別式的(de)(de)配(pei)置(zhi)參(can)數。其中樣(yang)本(ben)優先級信息用于(yu)文件調(diao)度(du)單元44的(de)(de)具體樣(yang)本(ben)排序(xu)操作；差(cha)別式的(de)(de)配(pei)置(zhi)參(can)數用于(yu)文件分析(xi)引擎45啟動(dong)不同的(de)(de)分析(xi)流程。

具體的，文件分析引擎45差別式文件處理(li)，根據傳入的配置(zhi)參數(shu)的不同，啟動不同的分析流程，包(bao)括但不限于增(zeng)加重點檢測(ce)對象的檢測(ce)時間、增(zeng)加運行環境鏡像個數(shu)以及增(zeng)加人工操作等(deng)。

圖(tu)(tu)5為第二實施例(li)的(de)流(liu)程圖(tu)(tu)，如(ru)圖(tu)(tu)5可知(zhi)，在本實施例(li)中(zhong)，本發明(ming)提供的(de)樣(yang)本文件分析方法包括如(ru)下(xia)步驟：

s501，對導(dao)入的(de)網絡流量進行文件還原和通信參數采集，采集的(de)信息可以(yi)分為多種，包(bao)括但(dan)不限于ip源地(di)址與目(mu)的(de)地(di)址、發送(song)與接收(shou)者(zhe)郵箱地(di)址、文件往來方向等。

s502，查(cha)詢預(yu)設置的數(shu)據庫(ku)(包括但不限于ip地(di)(di)址與(yu)員工(gong)角(jiao)(jiao)色、職務對應(ying)(ying)信(xin)息(xi)，郵(you)箱地(di)(di)址與(yu)員工(gong)角(jiao)(jiao)色、職務對應(ying)(ying)信(xin)息(xi)，ip地(di)(di)址公(gong)司內外網區分等)，獲得文件所屬的通(tong)信(xin)參數(shu)與(yu)員工(gong)角(jiao)(jiao)色、職務等的對應(ying)(ying)關(guan)系。

s503，根據文件所(suo)(suo)屬(shu)(shu)的對應(ying)關系制定(ding)差(cha)別式的文件分(fen)(fen)析規(gui)則策(ce)略(lve)，并(bing)生成(cheng) 相(xiang)應(ying)的差(cha)別式的配(pei)置(zhi)(zhi)(zhi)參(can)(can)數(shu)(shu)。具體的，當采(cai)集的郵件所(suo)(suo)屬(shu)(shu)角(jiao)色為(wei)(wei)(wei)(wei)(wei)公(gong)司(si)高(gao)(gao)管，優(you)(you)先(xian)(xian)(xian)(xian)級(ji)別就(jiu)(jiu)置(zhi)(zhi)(zhi)為(wei)(wei)(wei)(wei)(wei)最(zui)(zui)高(gao)(gao)的4(最(zui)(zui)高(gao)(gao)4，最(zui)(zui)低(di)(di)1)，配(pei)置(zhi)(zhi)(zhi)參(can)(can)數(shu)(shu)就(jiu)(jiu)置(zhi)(zhi)(zhi)為(wei)(wei)(wei)(wei)(wei)時間time＝8(分(fen)(fen)鐘(zhong)(zhong))，運(yun)行(xing)鏡(jing)像(xiang)個(ge)(ge)數(shu)(shu)count＝4，人(ren)(ren)(ren)(ren)工(gong)操(cao)(cao)作(zuo)(zuo)(zuo)flag＝1(值為(wei)(wei)(wei)(wei)(wei)1表示需(xu)要人(ren)(ren)(ren)(ren)工(gong)操(cao)(cao)作(zuo)(zuo)(zuo)，0表示不需(xu)要人(ren)(ren)(ren)(ren)工(gong)操(cao)(cao)作(zuo)(zuo)(zuo))；當采(cai)集的郵件所(suo)(suo)屬(shu)(shu)角(jiao)色為(wei)(wei)(wei)(wei)(wei)普(pu)通員工(gong)，優(you)(you)先(xian)(xian)(xian)(xian)級(ji)別就(jiu)(jiu)置(zhi)(zhi)(zhi)為(wei)(wei)(wei)(wei)(wei)最(zui)(zui)低(di)(di)的1，配(pei)置(zhi)(zhi)(zhi)參(can)(can)數(shu)(shu)就(jiu)(jiu)置(zhi)(zhi)(zhi)為(wei)(wei)(wei)(wei)(wei)時間time＝2(分(fen)(fen)鐘(zhong)(zhong))，運(yun)行(xing)鏡(jing)像(xiang)個(ge)(ge)數(shu)(shu)count＝1，人(ren)(ren)(ren)(ren)工(gong)操(cao)(cao)作(zuo)(zuo)(zuo)flag＝0。當采(cai)集的郵件所(suo)(suo)屬(shu)(shu)職務為(wei)(wei)(wei)(wei)(wei)財務、資產(chan)類(lei)管理，優(you)(you)先(xian)(xian)(xian)(xian)級(ji)別就(jiu)(jiu)置(zhi)(zhi)(zhi)為(wei)(wei)(wei)(wei)(wei)3，配(pei)置(zhi)(zhi)(zhi)參(can)(can)數(shu)(shu)就(jiu)(jiu)置(zhi)(zhi)(zhi)為(wei)(wei)(wei)(wei)(wei)時間time＝6(分(fen)(fen)鐘(zhong)(zhong))，鏡(jing)像(xiang)個(ge)(ge)數(shu)(shu)count＝3，人(ren)(ren)(ren)(ren)工(gong)操(cao)(cao)作(zuo)(zuo)(zuo)flag＝1；當采(cai)集的郵件所(suo)(suo)屬(shu)(shu)職務為(wei)(wei)(wei)(wei)(wei)開發、測試(shi)類(lei)，優(you)(you)先(xian)(xian)(xian)(xian)級(ji)別就(jiu)(jiu)置(zhi)(zhi)(zhi)為(wei)(wei)(wei)(wei)(wei)1，配(pei)置(zhi)(zhi)(zhi)參(can)(can)數(shu)(shu)就(jiu)(jiu)置(zhi)(zhi)(zhi)為(wei)(wei)(wei)(wei)(wei)時間time＝2(分(fen)(fen)鐘(zhong)(zhong))，鏡(jing)像(xiang)個(ge)(ge)數(shu)(shu)count＝1，人(ren)(ren)(ren)(ren)工(gong)操(cao)(cao)作(zuo)(zuo)(zuo)flag＝0。當采(cai)集的郵件所(suo)(suo)屬(shu)(shu)環(huan)境(jing)為(wei)(wei)(wei)(wei)(wei)公(gong)司(si)外(wai)部(bu)向內部(bu)發送的，優(you)(you)先(xian)(xian)(xian)(xian)級(ji)別就(jiu)(jiu)置(zhi)(zhi)(zhi)為(wei)(wei)(wei)(wei)(wei)2，配(pei)置(zhi)(zhi)(zhi)參(can)(can)數(shu)(shu)就(jiu)(jiu)置(zhi)(zhi)(zhi)為(wei)(wei)(wei)(wei)(wei)時間time＝4(分(fen)(fen)鐘(zhong)(zhong))，鏡(jing)像(xiang)個(ge)(ge)數(shu)(shu)count＝2，人(ren)(ren)(ren)(ren)工(gong)操(cao)(cao)作(zuo)(zuo)(zuo)flag＝0；當采(cai)集的郵件所(suo)(suo)屬(shu)(shu)環(huan)境(jing)為(wei)(wei)(wei)(wei)(wei)公(gong)司(si)內部(bu)向外(wai)部(bu)發送的，優(you)(you)先(xian)(xian)(xian)(xian)級(ji)別就(jiu)(jiu)置(zhi)(zhi)(zhi)為(wei)(wei)(wei)(wei)(wei)1，配(pei)置(zhi)(zhi)(zhi)參(can)(can)數(shu)(shu)就(jiu)(jiu)置(zhi)(zhi)(zhi)為(wei)(wei)(wei)(wei)(wei)時間time＝2(分(fen)(fen)鐘(zhong)(zhong))，鏡(jing)像(xiang)個(ge)(ge)數(shu)(shu)count＝1，人(ren)(ren)(ren)(ren)工(gong)操(cao)(cao)作(zuo)(zuo)(zuo)flag＝0。取(qu)各(ge)種(zhong)情況下輸出優(you)(you)先(xian)(xian)(xian)(xian)級(ji)最(zui)(zui)高(gao)(gao)的情況作(zuo)(zuo)(zuo)為(wei)(wei)(wei)(wei)(wei)最(zui)(zui)終的分(fen)(fen)析策(ce)略(lve)和配(pei)置(zhi)(zhi)(zhi)參(can)(can)數(shu)(shu)。

s504，根據分析策略將待(dai)測文件(jian)按(an)優先級高(gao)低(di)(di)進行排列(lie)，依次按(an)優先級高(gao)低(di)(di)順序將待(dai)測樣本和(he)對(dui)應的(de)配置參(can)數(shu)送入分析引擎進行文件(jian)分析。

s505，文(wen)件(jian)分(fen)析(xi)引擎(qing)根據傳入的(de)配置參(can)數，啟(qi)(qi)動(dong)差別式的(de)文(wen)件(jian)分(fen)析(xi)流程(cheng)。比如接收(shou)參(can)數為time＝8,count＝4,flag＝1時(shi)，分(fen)析(xi)引擎(qing)同時(shi)啟(qi)(qi)動(dong)4個不同的(de)環境(jing)鏡像，每個分(fen)析(xi)時(shi)間為8分(fen)鐘，并增加人(ren)工操作，以充分(fen)觸發待測(ce)(ce)樣本文(wen)件(jian)的(de)各(ge)種行為，生成更加完整(zheng)的(de)樣本文(wen)件(jian)行為日志報告，以達到提高重點檢測(ce)(ce)對象檢測(ce)(ce)率的(de)目的(de)。

通過本實(shi)施例的實(shi)例，提高了重點檢測對象文件的檢測率(lv)(lv)，同時降低其誤報率(lv)(lv)。

現結(jie)合2個運(yun)用場(chang)景對本發(fa)明(ming)做進一步的詮釋說明(ming)。

第三實施例：

圖(tu)6為本(ben)發(fa)明第三實施例提供(gong)的(de)樣本(ben)文件分(fen)(fen)析方法(fa)的(de)流程圖(tu)，如圖(tu)6可知(zhi)，在本(ben)實施例中，本(ben)發(fa)明提供(gong)的(de)樣本(ben)文件分(fen)(fen)析方法(fa)包括：

s601，信息采集單元通過(guo)對網絡流量(liang)還原和信息采集，將(jiang)樣本文件和各種(zhong)通信參數發送(song)給(gei)規則(ze)策略單元。

s602，在數據庫單元做查詢操作(zuo)，查詢預置的數據庫(包括但不限于ip地址與(yu)(yu)員工角(jiao)色、職(zhi)務(wu)對(dui)(dui)應(ying)信息，郵(you)箱(xiang)地址與(yu)(yu)員工角(jiao)色、職(zhi)務(wu)對(dui)(dui)應(ying)信息，ip地址公司內外網區(qu)分等)，得出(chu)文(wen)件所屬(shu)通(tong)信參數與(yu)(yu)員工角(jiao)色、職(zhi)務(wu)等的對(dui)(dui)應(ying)關系。

s603，規(gui)則策略單元(yuan)根據樣本文(wen)(wen)件(jian)所對應的員工角色、職務關系，制定(ding)文(wen)(wen)件(jian)分析規(gui)則策略優先(xian)級。

s604，規(gui)則(ze)策(ce)略單元生成對應(ying)的配(pei)置參數。

具(ju)體的，當(dang)采(cai)集(ji)的郵(you)(you)件(jian)所(suo)(suo)(suo)(suo)(suo)屬(shu)(shu)角色為(wei)(wei)(wei)公(gong)(gong)司(si)高管，優(you)(you)先(xian)(xian)級(ji)(ji)別(bie)(bie)(bie)就(jiu)(jiu)置(zhi)(zhi)(zhi)(zhi)(zhi)(zhi)為(wei)(wei)(wei)最高的4(最高4，最低1)，配(pei)(pei)(pei)置(zhi)(zhi)(zhi)(zhi)(zhi)(zhi)參(can)數就(jiu)(jiu)置(zhi)(zhi)(zhi)(zhi)(zhi)(zhi)為(wei)(wei)(wei)時間(jian)time＝8(分鐘)，運行鏡(jing)(jing)像(xiang)個(ge)(ge)(ge)數count＝4，人(ren)(ren)工(gong)(gong)操(cao)(cao)(cao)作flag＝1(值為(wei)(wei)(wei)1表(biao)示(shi)需(xu)要人(ren)(ren)工(gong)(gong)操(cao)(cao)(cao)作，0表(biao)示(shi)不需(xu)要人(ren)(ren)工(gong)(gong)操(cao)(cao)(cao)作)；當(dang)采(cai)集(ji)的郵(you)(you)件(jian)所(suo)(suo)(suo)(suo)(suo)屬(shu)(shu)角色為(wei)(wei)(wei)普通(tong)員工(gong)(gong)，優(you)(you)先(xian)(xian)級(ji)(ji)別(bie)(bie)(bie)就(jiu)(jiu)置(zhi)(zhi)(zhi)(zhi)(zhi)(zhi)為(wei)(wei)(wei)最低的1，配(pei)(pei)(pei)置(zhi)(zhi)(zhi)(zhi)(zhi)(zhi)參(can)數就(jiu)(jiu)置(zhi)(zhi)(zhi)(zhi)(zhi)(zhi)為(wei)(wei)(wei)時間(jian)time＝2(分鐘)，運行鏡(jing)(jing)像(xiang)個(ge)(ge)(ge)數count＝1，人(ren)(ren)工(gong)(gong)操(cao)(cao)(cao)作flag＝0。當(dang)采(cai)集(ji)的郵(you)(you)件(jian)所(suo)(suo)(suo)(suo)(suo)屬(shu)(shu)職務(wu)為(wei)(wei)(wei)財(cai)務(wu)、資產類管理，優(you)(you)先(xian)(xian)級(ji)(ji)別(bie)(bie)(bie)就(jiu)(jiu)置(zhi)(zhi)(zhi)(zhi)(zhi)(zhi)為(wei)(wei)(wei)3，配(pei)(pei)(pei)置(zhi)(zhi)(zhi)(zhi)(zhi)(zhi)參(can)數就(jiu)(jiu)置(zhi)(zhi)(zhi)(zhi)(zhi)(zhi)為(wei)(wei)(wei)時間(jian)time＝6(分鐘)，鏡(jing)(jing)像(xiang)個(ge)(ge)(ge)數count＝3，人(ren)(ren)工(gong)(gong)操(cao)(cao)(cao)作flag＝1；當(dang)采(cai)集(ji)的郵(you)(you)件(jian)所(suo)(suo)(suo)(suo)(suo)屬(shu)(shu)職務(wu)為(wei)(wei)(wei)開發(fa)、測試類，優(you)(you)先(xian)(xian)級(ji)(ji)別(bie)(bie)(bie)就(jiu)(jiu)置(zhi)(zhi)(zhi)(zhi)(zhi)(zhi)為(wei)(wei)(wei)1，配(pei)(pei)(pei)置(zhi)(zhi)(zhi)(zhi)(zhi)(zhi)參(can)數就(jiu)(jiu)置(zhi)(zhi)(zhi)(zhi)(zhi)(zhi)為(wei)(wei)(wei)時間(jian)time＝2(分鐘)，鏡(jing)(jing)像(xiang)個(ge)(ge)(ge)數count＝1，人(ren)(ren)工(gong)(gong)操(cao)(cao)(cao)作flag＝0。當(dang)采(cai)集(ji)的郵(you)(you)件(jian)所(suo)(suo)(suo)(suo)(suo)屬(shu)(shu)環(huan)境(jing)為(wei)(wei)(wei)公(gong)(gong)司(si)外部(bu)向(xiang)內部(bu)發(fa) 送的，優(you)(you)先(xian)(xian)級(ji)(ji)別(bie)(bie)(bie)就(jiu)(jiu)置(zhi)(zhi)(zhi)(zhi)(zhi)(zhi)為(wei)(wei)(wei)2，配(pei)(pei)(pei)置(zhi)(zhi)(zhi)(zhi)(zhi)(zhi)參(can)數就(jiu)(jiu)置(zhi)(zhi)(zhi)(zhi)(zhi)(zhi)為(wei)(wei)(wei)時間(jian)time＝4(分鐘)，鏡(jing)(jing)像(xiang)個(ge)(ge)(ge)數count＝2，人(ren)(ren)工(gong)(gong)操(cao)(cao)(cao)作flag＝0；當(dang)采(cai)集(ji)的郵(you)(you)件(jian)所(suo)(suo)(suo)(suo)(suo)屬(shu)(shu)環(huan)境(jing)為(wei)(wei)(wei)公(gong)(gong)司(si)內部(bu)向(xiang)外部(bu)發(fa)送的，優(you)(you)先(xian)(xian)級(ji)(ji)別(bie)(bie)(bie)就(jiu)(jiu)置(zhi)(zhi)(zhi)(zhi)(zhi)(zhi)為(wei)(wei)(wei)1，配(pei)(pei)(pei)置(zhi)(zhi)(zhi)(zhi)(zhi)(zhi)參(can)數就(jiu)(jiu)置(zhi)(zhi)(zhi)(zhi)(zhi)(zhi)為(wei)(wei)(wei)時間(jian)time＝2(分鐘)，鏡(jing)(jing)像(xiang)個(ge)(ge)(ge)數count＝1，人(ren)(ren)工(gong)(gong)操(cao)(cao)(cao)作flag＝0。取(qu)各種情況下輸(shu)出優(you)(you)先(xian)(xian)級(ji)(ji)最高的情況作為(wei)(wei)(wei)最終(zhong)的分析策略和(he)配(pei)(pei)(pei)置(zhi)(zhi)(zhi)(zhi)(zhi)(zhi)參(can)數。

s605，規則策略(lve)(lve)單元(yuan)將樣(yang)本文件、策略(lve)(lve)優先級和對應的配置(zhi)參數發送給文件調度單元(yuan)。

s606，文件(jian)調度(du)單元接(jie)收樣(yang)本(ben)文件(jian)、策略(lve)優先級(ji)和(he)對(dui)應的(de)配置參數(shu)，并根據策略(lve)優先級(ji)將樣(yang)本(ben)文件(jian)排序(xu)。

s607，文件調度單元按優先級高低(di)順序依次將樣本(ben)文件和配置參數(shu)送往分析引擎。

s608，文(wen)件(jian)分析引擎接收傳入的樣本文(wen)件(jian)和配置參數。

s609，文件分析(xi)引擎根(gen)據配置參數(shu)(shu)啟動(dong)不同(tong)的分析(xi)流程(cheng)，包括鏡(jing)像個數(shu)(shu)、分析(xi)時間、人工操(cao)作等。

s610，輸出文件(jian)檢測報告，分析(xi)結束。

第四實施例：

圖7為(wei)本發明(ming)第四實(shi)施(shi)例提供(gong)的樣本文件分析方法的流程(cheng)圖，如圖7可知，在本實(shi)施(shi)例中，本發明(ming)提供(gong)的樣本文件分析方法包括：

s701，信息采(cai)集單元對(dui)(dui)網絡流量進行信息采(cai)集，將樣(yang)本文件對(dui)(dui)應的各種通信參(can)數(shu)發送給規則策略單元。

s702，信息采集單元(yuan)(yuan)對網絡流量進行流量還原得到待(dai)測樣(yang)本文件，并將樣(yang)本文件發送到文件調度單元(yuan)(yuan)。

s703，在數(shu)(shu)據庫(ku)單元做查詢操作，查詢預置(zhi)的數(shu)(shu)據庫(ku)(包括但(dan)不限(xian)于ip地(di)址與(yu)(yu)員工角色(se)(se)、職務(wu)對(dui)(dui)應信息(xi)，郵箱(xiang)地(di)址與(yu)(yu)員工角色(se)(se)、職務(wu)對(dui)(dui)應信息(xi)，ip地(di)址公(gong)司內外網區分等(deng))，得出文(wen)件所屬通信參數(shu)(shu)與(yu)(yu)員工角色(se)(se)、職務(wu)等(deng)的對(dui)(dui)應關系。

s704，規則策略(lve)單元根據樣本文(wen)件所對(dui)應的員工(gong)角色、職務關(guan)系(xi)，制定文(wen)件分(fen)析規則策略(lve)優先級(ji)。

s705，規則策略單(dan)元生成對(dui)應的(de)配(pei)置參數。

具體的(de)(de)(de)(de)(de)，當(dang)(dang)采(cai)(cai)集的(de)(de)(de)(de)(de)郵(you)件(jian)(jian)所(suo)屬角(jiao)色為(wei)公(gong)司(si)高管，優(you)(you)先級(ji)別(bie)(bie)就(jiu)(jiu)(jiu)置(zhi)(zhi)(zhi)(zhi)(zhi)為(wei)最(zui)高的(de)(de)(de)(de)(de)4(最(zui)高4，最(zui)低1)，配(pei)(pei)置(zhi)(zhi)(zhi)(zhi)(zhi)參(can)(can)數(shu)(shu)(shu)就(jiu)(jiu)(jiu)置(zhi)(zhi)(zhi)(zhi)(zhi)為(wei)時(shi)間time＝8(分(fen)(fen)鐘(zhong)(zhong)(zhong))，運(yun)行鏡(jing)像(xiang)個(ge)數(shu)(shu)(shu)count＝4，人(ren)(ren)(ren)(ren)工操(cao)作(zuo)flag＝1(值為(wei)1表示(shi)(shi)需(xu)要人(ren)(ren)(ren)(ren)工操(cao)作(zuo)，0表示(shi)(shi)不需(xu)要人(ren)(ren)(ren)(ren)工操(cao)作(zuo))；當(dang)(dang)采(cai)(cai)集的(de)(de)(de)(de)(de)郵(you)件(jian)(jian)所(suo)屬角(jiao)色為(wei)普通員(yuan)工，優(you)(you)先級(ji)別(bie)(bie)就(jiu)(jiu)(jiu)置(zhi)(zhi)(zhi)(zhi)(zhi)為(wei)最(zui)低的(de)(de)(de)(de)(de)1，配(pei)(pei)置(zhi)(zhi)(zhi)(zhi)(zhi)參(can)(can)數(shu)(shu)(shu)就(jiu)(jiu)(jiu)置(zhi)(zhi)(zhi)(zhi)(zhi)為(wei)時(shi)間time＝2(分(fen)(fen)鐘(zhong)(zhong)(zhong))，運(yun)行鏡(jing)像(xiang)個(ge)數(shu)(shu)(shu)count＝1，人(ren)(ren)(ren)(ren)工操(cao)作(zuo)flag＝0。當(dang)(dang)采(cai)(cai)集的(de)(de)(de)(de)(de)郵(you)件(jian)(jian)所(suo)屬職(zhi)(zhi)務(wu)為(wei)財務(wu)、資產(chan)類管理(li)，優(you)(you)先級(ji)別(bie)(bie)就(jiu)(jiu)(jiu)置(zhi)(zhi)(zhi)(zhi)(zhi)為(wei)3，配(pei)(pei)置(zhi)(zhi)(zhi)(zhi)(zhi)參(can)(can)數(shu)(shu)(shu)就(jiu)(jiu)(jiu)置(zhi)(zhi)(zhi)(zhi)(zhi)為(wei)時(shi)間time＝6(分(fen)(fen)鐘(zhong)(zhong)(zhong))，鏡(jing)像(xiang)個(ge)數(shu)(shu)(shu)count＝3，人(ren)(ren)(ren)(ren)工操(cao)作(zuo)flag＝1；當(dang)(dang)采(cai)(cai)集的(de)(de)(de)(de)(de)郵(you)件(jian)(jian)所(suo)屬職(zhi)(zhi)務(wu)為(wei)開發、測試類，優(you)(you)先級(ji)別(bie)(bie)就(jiu)(jiu)(jiu)置(zhi)(zhi)(zhi)(zhi)(zhi)為(wei)1，配(pei)(pei)置(zhi)(zhi)(zhi)(zhi)(zhi)參(can)(can)數(shu)(shu)(shu)就(jiu)(jiu)(jiu)置(zhi)(zhi)(zhi)(zhi)(zhi)為(wei)時(shi)間time＝2(分(fen)(fen)鐘(zhong)(zhong)(zhong))，鏡(jing)像(xiang)個(ge)數(shu)(shu)(shu)count＝1，人(ren)(ren)(ren)(ren)工操(cao)作(zuo)flag＝0。當(dang)(dang)采(cai)(cai)集的(de)(de)(de)(de)(de)郵(you)件(jian)(jian)所(suo)屬環境(jing)為(wei)公(gong)司(si)外部向內部發送(song)的(de)(de)(de)(de)(de)，優(you)(you)先級(ji)別(bie)(bie)就(jiu)(jiu)(jiu)置(zhi)(zhi)(zhi)(zhi)(zhi)為(wei)2，配(pei)(pei)置(zhi)(zhi)(zhi)(zhi)(zhi)參(can)(can)數(shu)(shu)(shu)就(jiu)(jiu)(jiu)置(zhi)(zhi)(zhi)(zhi)(zhi)為(wei)時(shi)間time＝4(分(fen)(fen)鐘(zhong)(zhong)(zhong))，鏡(jing)像(xiang)個(ge)數(shu)(shu)(shu)count＝2，人(ren)(ren)(ren)(ren)工操(cao)作(zuo)flag＝0；當(dang)(dang)采(cai)(cai)集的(de)(de)(de)(de)(de)郵(you)件(jian)(jian)所(suo)屬環境(jing)為(wei)公(gong)司(si)內部向外部發送(song)的(de)(de)(de)(de)(de)，優(you)(you)先級(ji)別(bie)(bie)就(jiu)(jiu)(jiu)置(zhi)(zhi)(zhi)(zhi)(zhi)為(wei)1，配(pei)(pei)置(zhi)(zhi)(zhi)(zhi)(zhi)參(can)(can)數(shu)(shu)(shu)就(jiu)(jiu)(jiu)置(zhi)(zhi)(zhi)(zhi)(zhi)為(wei)時(shi)間time＝2(分(fen)(fen)鐘(zhong)(zhong)(zhong))，鏡(jing)像(xiang)個(ge)數(shu)(shu)(shu)count＝1，人(ren)(ren)(ren)(ren)工操(cao)作(zuo)flag＝0。取各種(zhong)情況下輸出優(you)(you)先級(ji)最(zui)高的(de)(de)(de)(de)(de)情況作(zuo)為(wei)最(zui)終(zhong)的(de)(de)(de)(de)(de)分(fen)(fen)析(xi)策略和配(pei)(pei)置(zhi)(zhi)(zhi)(zhi)(zhi)參(can)(can)數(shu)(shu)(shu)。

s706，規(gui)則策略單元將文件策略優先級和對應的配置參數發送給文件調度單元。

s707，文(wen)件調度單(dan)元(yuan)接收信息(xi)采集單(dan)元(yuan)傳(chuan)(chuan)入的(de)樣本文(wen)件，接收規則策(ce)略(lve)單(dan) 元(yuan)傳(chuan)(chuan)入的(de)文(wen)件策(ce)略(lve)優先級(ji)和(he)對應的(de)配(pei)置參數，最后(hou)根據策(ce)略(lve)優先級(ji)將(jiang)樣本文(wen)件排序(xu)。

s708，文(wen)件調度單元(yuan)按優先級高低順序依次將樣本(ben)文(wen)件和配置參數送往分析引擎。

s709，文件(jian)分析引(yin)擎接收傳入的樣本文件(jian)和(he)配置參(can)數(shu)。

s710，文件分(fen)析引擎根據配置參數啟動不(bu)同的分(fen)析流(liu)程，包括(kuo)鏡像(xiang)個數、分(fen)析時(shi)間、人工操作等。

s711，輸出文件檢測報告(gao)，分析結束。

綜上可知，通過本(ben)發(fa)明的實施，至少存(cun)在以下有益效果：

本發(fa)明(ming)提供了一種樣(yang)本文(wen)(wen)件(jian)(jian)分(fen)(fen)(fen)析(xi)(xi)方法(fa)，在(zai)接(jie)收樣(yang)本文(wen)(wen)件(jian)(jian)時，同時獲取各(ge)樣(yang)本文(wen)(wen)件(jian)(jian)的(de)(de)(de)(de)環境(jing)參數(shu)，根據(ju)(ju)各(ge)樣(yang)本文(wen)(wen)件(jian)(jian)的(de)(de)(de)(de)環境(jing)參數(shu)及(ji)預(yu)先配置的(de)(de)(de)(de)環境(jing)參與與用(yong)戶(hu)身份的(de)(de)(de)(de)對(dui)(dui)應關(guan)系，確定樣(yang)本文(wen)(wen)件(jian)(jian)對(dui)(dui)應的(de)(de)(de)(de)用(yong)戶(hu)，并(bing)根據(ju)(ju)用(yong)戶(hu)不同配置不同的(de)(de)(de)(de)分(fen)(fen)(fen)析(xi)(xi)策略規(gui)則，根據(ju)(ju)各(ge)樣(yang)本文(wen)(wen)件(jian)(jian)的(de)(de)(de)(de)分(fen)(fen)(fen)析(xi)(xi)策略規(gui)則進行分(fen)(fen)(fen)析(xi)(xi)，這樣(yang)就可(ke)以區(qu)分(fen)(fen)(fen)樣(yang)本文(wen)(wen)件(jian)(jian)中的(de)(de)(de)(de)重點(dian)(dian)檢測(ce)對(dui)(dui)象(xiang)，針(zhen)對(dui)(dui)重點(dian)(dian)檢測(ce)對(dui)(dui)象(xiang)盡可(ke)能(neng)的(de)(de)(de)(de)充分(fen)(fen)(fen)觸(chu)發(fa)待(dai)測(ce)文(wen)(wen)件(jian)(jian)的(de)(de)(de)(de)各(ge)種行為，進行重點(dian)(dian)分(fen)(fen)(fen)析(xi)(xi)，達(da)到重點(dian)(dian)對(dui)(dui)象(xiang)重點(dian)(dian)分(fen)(fen)(fen)析(xi)(xi)、以提高重點(dian)(dian)檢測(ce)對(dui)(dui)象(xiang)檢測(ce)率(lv)的(de)(de)(de)(de)目的(de)(de)(de)(de)，對(dui)(dui)應的(de)(de)(de)(de)，誤(wu)報(bao)(bao)率(lv)也得到了明(ming)顯的(de)(de)(de)(de)控制降(jiang)低，解(jie)決了現有(you)傳統文(wen)(wen)件(jian)(jian)分(fen)(fen)(fen)析(xi)(xi)引(yin)擎(qing)針(zhen)對(dui)(dui)所有(you)樣(yang)本文(wen)(wen)件(jian)(jian)采用(yong)相同分(fen)(fen)(fen)析(xi)(xi)策略、且(qie)分(fen)(fen)(fen)析(xi)(xi)引(yin)擎(qing)資源有(you)限，導致的(de)(de)(de)(de)重點(dian)(dian)檢測(ce)對(dui)(dui)象(xiang)的(de)(de)(de)(de)漏報(bao)(bao)與誤(wu)報(bao)(bao)的(de)(de)(de)(de)問題。

顯然，本(ben)(ben)領域的(de)(de)(de)技術(shu)人員(yuan)應(ying)該明白，上(shang)述(shu)本(ben)(ben)發(fa)明的(de)(de)(de)各(ge)(ge)模(mo)塊或各(ge)(ge)步(bu)(bu)驟(zou)可以(yi)(yi)用(yong)通用(yong)的(de)(de)(de)計算(suan)裝置來實現，它(ta)們(men)可以(yi)(yi)集(ji)中(zhong)在(zai)單(dan)個(ge)的(de)(de)(de)計算(suan)裝置上(shang)，或者(zhe)(zhe)分布在(zai)多個(ge)計算(suan)裝置所(suo)組成(cheng)的(de)(de)(de)網絡上(shang)，可選地，它(ta)們(men)可以(yi)(yi)用(yong)計算(suan)裝置可執(zhi)行(xing)(xing)的(de)(de)(de)程序(xu)代碼來實現，從而，可以(yi)(yi)將它(ta)們(men)存儲(chu)在(zai)存儲(chu)介(jie)質(rom/ram、磁碟、光盤)中(zhong)由計算(suan)裝置來執(zhi)行(xing)(xing)，并且在(zai)某(mou)些情況下，可以(yi)(yi)以(yi)(yi)不同于此處的(de)(de)(de)順(shun)序(xu)執(zhi)行(xing)(xing)所(suo)示出或描述(shu)的(de)(de)(de)步(bu)(bu)驟(zou)，或者(zhe)(zhe)將它(ta)們(men)分別制(zhi)作(zuo)(zuo)成(cheng)各(ge)(ge)個(ge)集(ji)成(cheng)電路模(mo)塊，或者(zhe)(zhe)將它(ta)們(men)中(zhong)的(de)(de)(de)多個(ge)模(mo)塊或步(bu)(bu)驟(zou)制(zhi)作(zuo)(zuo)成(cheng)單(dan)個(ge)集(ji)成(cheng)電路模(mo)塊來實現。所(suo)以(yi)(yi)，本(ben)(ben)發(fa)明不限制(zhi)于任何特定(ding)的(de)(de)(de)硬件和(he)軟件結合。

以上僅是本發(fa)(fa)明(ming)(ming)的具體實施方式而已，并非對本發(fa)(fa)明(ming)(ming)做任(ren)何形(xing)式上的限(xian)制，凡(fan)是依據(ju)本發(fa)(fa)明(ming)(ming)的技術實質對以上實施方式所做的任(ren)意簡單修(xiu)(xiu)改、等同變(bian)化(hua)、結合或修(xiu)(xiu)飾(shi)，均仍屬于本發(fa)(fa)明(ming)(ming)技術方案的保(bao)護(hu)范圍。

完整全(quan)部詳細技(ji)術資料下載

當前第1頁1 2

該技術已申(shen)請(qing)專利(li)。僅(jin)供學(xue)習研究(jiu)，如用于商業用途(tu)，請(qing)聯(lian)系技術所有人。
技(ji)術(shu)研發人員：張金鑫;孫(sun)默
技(ji)術(shu)所有(you)人：中興通訊股份有(you)限公司
我是此專利的發明人

上一篇：引導表面波的同時傳輸和接收的制造方法與工藝
上一篇：一種IP電話終端通信方法與流程

該領域下的技術專家
如您需求助技術專家，請點此查看客服電話進行咨詢。
1、王老師：1.數字信號處理 2.傳感器技術及應用 3.機電一體化產品開發 4.機械工程測試技術 5.逆向工程技術研究
2、王老師：1.機器人 2.嵌入式控制系統開發
3、孫老師：1.振動信號時頻分析理論與測試系統設計 2.汽車檢測系統設計 3.汽車電子控制系統設計
4、畢老師：機構動力學與控制
5、袁老師：1.計算機視覺 2.無線網絡及物聯網
如您是高校老師，可以點此聯系我們加入專家庫。

相關(guan)技(ji)術(shu)

網友詢問留言已有0條留言

還沒有人留言評論。精彩留言會獲得點贊！

精彩留言，會給你點贊！

中文字幕无码日韩视频无码三区

樣本文件分析方法、裝置及系統與流程