2. 技术
  3. 样本分析方法、装置、电子设备和存储介质与流程

样本分析方法、装置、电子设备和存储介质与流程

xiaoxiao9月前  107

本发明涉及数据处理,尤其涉及一种样本分析方法、装置、电子设备和存储介质。


背景技术:

1、在互联网中,每天都会产生大量的文件数据,为了确保文件数据的安全,通常需要将文件数据作为样本进行分析,洞察其潜在的风险,从而采取有效的防御措施,确保信息系统的稳定运行和数据的安全。

2、相关技术中,通常在电子设备上创建系统级沙箱,系统级沙箱为直接在电子设备上创建的虚拟机,在系统级沙箱中对样本进行分析,在分析过程中产生外部操作行为时,将外部操作行为对应的行为数据存储至虚拟机中,在样本分析结束后重新启动系统级沙箱,便于分析下一样本。

3、但上述相关技术中,将行为数据存储至虚拟机中会导致虚拟机的系统数据发生变化,所以每次在样本分析结束后,需要重新启动系统级沙箱,从而导致计算资源的耗费较大。


技术实现思路

1、本发明提供一种样本分析方法、装置、电子设备和存储介质,用以解决现有技术中导致计算资源耗费较大的缺陷。

2、本发明提供一种样本分析方法,应用于电子设备,所述电子设备上设置有调度模块和至少一个虚拟机,各所述虚拟机上均创建有沙箱分析服务模块,所述目沙箱分析服务模块包括至少一个应用级沙箱,所述方法包括:

3、目标虚拟机在接收到所述调度模块发送的样本分析请求的情况下,控制所述目标虚拟机中的目标应用级沙箱对所述样本分析请求包括的待分析样本进行分析;

4、所述目标应用级沙箱在监测到分析所述待分析样本的过程中存在外部操作行为的情况下,将所述外部操作行为对应的行为数据存储至所述目标应用级沙箱的隔离区域;所述外部操作行为包括对所述目标应用级沙箱外的数据进行操作的行为;

5、在所述目标应用级沙箱对所述待分析样本分析结束后,所述目标虚拟机控制所述目标应用级沙箱重新启动,重新启动后的目标应用级沙箱用于分析其他待分析样本。

6、根据本发明提供的一种样本分析方法,所述目标应用级沙箱在监测到分析所述待分析样本的过程中存在外部操作行为的情况下,将所述外部操作行为对应的行为数据存储至所述目标应用级沙箱的隔离区域,包括:

7、所述目标应用级沙箱在通过hook技术监测到分析所述待分析样本的过程中存在外部操作行为的情况下,通过i/o重定向技术将所述外部操作行为对应的行为数据存储至所述目标应用级沙箱的隔离区域。

8、根据本发明提供的一种样本分析方法,各所述沙箱分析服务模块均为采用windows iocp技术创建的。

9、根据本发明提供的一种样本分析方法,所述方法还包括:

10、所述目标应用级沙箱对所述待分析样本分析结束后,生成样本分析报告;

11、所述目标应用级沙箱通过所述目标虚拟机向所述调度模块发送样本分析响应,所述样本分析响应用于指示所述调度模块提取所述样本分析报告。

12、根据本发明提供的一种样本分析方法,所述样本分析报告包括所述外部操作行为和所述外部操作行为对应的行为数据;

13、所述方法还包括:

14、在所述调度模块从至少一个所述目标应用级沙箱提取到对应的样本分析报告的情况下,针对各所述样本分析报告,确定所述样本分析报告中包括的外部操作行为的类型;

15、所述调度模块基于所述类型和所述外部操作行为对应的行为数据,生成威胁告警。

16、根据本发明提供的一种样本分析方法,所述电子设备上还设置有样本接收服务模块,所述方法还包括:

17、所述样本接收服务模块针对获取的各待分析样本,向所述调度模块发送所述待分析样本对应的样本分析请求;

18、所述调度模块在接收到所述样本接收服务模块发送的至少一个样本分析请求的情况下,基于各所述虚拟机的特征信息,从所有所述虚拟机中确定各所述样本分析请求对应的目标虚拟机,所述特征信息包括各所述虚拟机的优先级和/或各所述虚拟机的当前占用资源;

19、所述调度模块向各所述目标虚拟机发送对应的样本分析请求。

20、根据本发明提供的一种样本分析方法,所述虚拟机为系统级沙箱。

21、本发明还提供一种样本分析装置,包括:

22、第一接收单元,用于在接收到调度模块发送的样本分析请求的情况下,控制目标虚拟机中的目标应用级沙箱对所述样本分析请求包括的待分析样本进行分析;

23、监测单元,用于在监测到分析所述待分析样本的过程中存在外部操作行为的情况下,将所述外部操作行为对应的行为数据存储至目标应用级沙箱的隔离区域;所述外部操作行为包括对所述目标应用级沙箱外的数据进行操作的行为;

24、控制单元,用于在对所述待分析样本分析结束后,控制所述目标应用级沙箱重新启动,重新启动后的目标应用级沙箱用于分析其他待分析样本。

25、本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述样本分析方法。

26、本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述样本分析方法。

27、本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述样本分析方法。

28、本发明提供的样本分析方法、装置、电子设备和存储介质,目标虚拟机在接收到调度模块发送的样本分析请求时,控制目标虚拟机中的目标应用级沙箱对样本分析请求包括的待分析样本进行分析,在分析过程中监测到存在外部操作行为时,将外部操作行为对应的行为数据存储至目标应用级沙箱的隔离区域,在目标应用级沙箱对待分析样本分析结束后,目标虚拟机控制目标应用级沙箱重新启动,便于重新启动后的目标应用级沙箱分析其他待分析样本。可知,本发明在各虚拟机上均创建有包括至少一个应用级沙箱的沙箱分析服务模块,针对执行样本分析任务的各目标应用级沙箱,由于将行为数据存储至目标应用级沙箱的隔离区域,并没有存储至虚拟机中,所以在目标应用级沙箱对对应待分析样本分析结束后,只需重新启动目标应用级沙箱,无需重新启动整个虚拟机,而目标应用级沙箱重启耗费的计算资源小于整个虚拟机重启耗费的计算资源,从而降低了计算资源的耗费。



技术特征:

1.一种样本分析方法,其特征在于,应用于电子设备,所述电子设备上设置有调度模块和至少一个虚拟机,各所述虚拟机上均创建有沙箱分析服务模块,所述沙箱分析服务模块包括至少一个应用级沙箱,所述方法包括:

2.根据权利要求1所述的样本分析方法,其特征在于,所述目标应用级沙箱在监测到分析所述待分析样本的过程中存在外部操作行为的情况下,将所述外部操作行为对应的行为数据存储至所述目标应用级沙箱的隔离区域,包括:

3.根据权利要求1所述的样本分析方法,其特征在于,各所述沙箱分析服务模块均为采用windows iocp技术创建的。

4.根据权利要求1-3任一项所述的样本分析方法,其特征在于,所述方法还包括:

5.根据权利要求4所述的样本分析方法,其特征在于,所述样本分析报告包括所述外部操作行为和所述外部操作行为对应的行为数据;

6.根据权利要求1-3任一项所述的样本分析方法,其特征在于,所述电子设备上还设置有样本接收服务模块,所述方法还包括:

7.根据权利要求1-3任一项所述的样本分析方法,其特征在于,所述虚拟机为系统级沙箱。

8.一种样本分析装置,其特征在于,包括:

9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任一项所述样本分析方法。

10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述样本分析方法。

11.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述样本分析方法。


技术总结
本发明提供一种样本分析方法、装置、电子设备和存储介质,涉及数据处理技术领域,其中方法包括:目标虚拟机在接收到调度模块发送的样本分析请求时,控制目标应用级沙箱对样本分析请求包括的待分析样本进行分析;目标应用级沙箱在监测到分析待分析样本的过程中存在外部操作行为时,将外部操作行为对应的行为数据存储至目标应用级沙箱的隔离区域;在目标应用级沙箱对待分析样本分析结束后,控制目标应用级沙箱重新启动,重新启动后的目标应用级沙箱用于分析其他待分析样本。本发明将行为数据存储至目标应用级沙箱的隔离区域,只需重新启动目标应用级沙箱,无需重新启动整个虚拟机,从而降低了计算资源的耗费。

技术研发人员:刘璐,杨鑫,关深元,应凌云
受保护的技术使用者:奇安信科技集团股份有限公司
技术研发日:
技术公布日:2024/9/23

专利

最新回复(0)