技術(shù)領(lǐng)域

本申請(qǐng)涉及信息安全領(lǐng)域，具體而言，涉及一種分析網(wǎng)絡(luò)數(shù)據(jù)的方法及裝置。

背景技術(shù)

目前，伴隨著云計(jì)算、大數(shù)據(jù)等網(wǎng)絡(luò)信息化技術(shù)的迅猛發(fā)展，越來越多的人們將生活和工作相關(guān)的信息在網(wǎng)絡(luò)上進(jìn)行存儲(chǔ)和處理，但與此同時(shí)，以商業(yè)利益甚至是國(guó)家力量的驅(qū)動(dòng)的專業(yè)攻擊團(tuán)伙應(yīng)運(yùn)而生，繼而催生出各種新興安全威脅，由此引發(fā)的用戶信息泄露和數(shù)據(jù)丟失等信息安全事故會(huì)對(duì)個(gè)人、社會(huì)，甚至是國(guó)家安全都會(huì)產(chǎn)生惡劣影響，網(wǎng)絡(luò)信息安全威脅形式日益嚴(yán)峻。

為了能夠應(yīng)對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)信息安全威脅的多樣化形式，相關(guān)技術(shù)中所提供的安全設(shè)備可以在網(wǎng)關(guān)處部署入侵檢測(cè)系統(tǒng)，以此達(dá)到識(shí)別惡意網(wǎng)絡(luò)攻擊行為的目的。然而，此種防護(hù)措施的防護(hù)能力有限，其僅能夠發(fā)現(xiàn)當(dāng)前時(shí)間段內(nèi)存在網(wǎng)絡(luò)攻擊行為，但是卻無法識(shí)別具體是由哪個(gè)文件產(chǎn)生的惡意網(wǎng)絡(luò)攻擊行為，由此喪失了從網(wǎng)絡(luò)行為中判定文件是否為惡意文件的特性。

基于上述問題，相關(guān)技術(shù)中還提供了一種在網(wǎng)關(guān)處部署網(wǎng)絡(luò)安全設(shè)備的改進(jìn)方案。該解決方案的主要技術(shù)手段在于：通過鏡像捕獲網(wǎng)絡(luò)流量來分析網(wǎng)絡(luò)攻擊行為，同時(shí)通過分析網(wǎng)絡(luò)協(xié)議還原出在網(wǎng)絡(luò)中傳輸?shù)奈募⒃撐募囟ㄏ蛑辽澈兄羞M(jìn)行動(dòng)態(tài)行為分析。盡管該解決方案能夠檢測(cè)網(wǎng)絡(luò)中是否存在網(wǎng)絡(luò)攻擊行為并根據(jù)沙盒的動(dòng)態(tài)行為特征檢測(cè)在網(wǎng)絡(luò)中傳輸?shù)奈募欠駷閻阂馕募欢瑓s無法針對(duì)該文件在執(zhí)行過程中產(chǎn)生的流量進(jìn)行檢測(cè)分析并據(jù)此作為判斷其是否為惡意文件的特性。

由此可見，現(xiàn)有的沙盒設(shè)備(例如：入侵檢測(cè)系統(tǒng))只能采用動(dòng)態(tài)行為特征來識(shí)別當(dāng)前網(wǎng)絡(luò)中存在惡意攻擊行為，而改進(jìn)方案也只能識(shí)別和發(fā)現(xiàn)可能存在的惡意文件，但卻無法實(shí)現(xiàn)與沙盒聯(lián)動(dòng)，將網(wǎng)絡(luò)惡意攻擊行為與具體執(zhí)行該網(wǎng)絡(luò)攻擊行為的惡意文件相關(guān)聯(lián)，由此喪失了從網(wǎng)絡(luò)行為判定文件是否為惡意文件的特性。

針對(duì)上述的問題，目前尚未提出有效的解決方案。

發(fā)明內(nèi)容

本申請(qǐng)實(shí)施例提供了一種分析網(wǎng)絡(luò)數(shù)據(jù)的方法及裝置，以至少解決相關(guān)技術(shù)中在虛擬化環(huán)境下無法通過對(duì)可疑文件運(yùn)行期間所產(chǎn)生的網(wǎng)絡(luò)流量進(jìn)行分析并以此作為判定該可疑文件是否為惡意文件的依據(jù)的技術(shù)問題。

根據(jù)本申請(qǐng)實(shí)施例的一個(gè)方面，提供了一種分析網(wǎng)絡(luò)數(shù)據(jù)的系統(tǒng)，包括：

虛擬化環(huán)境，用于對(duì)待檢測(cè)文件在虛擬化環(huán)境中的運(yùn)行期間產(chǎn)生的網(wǎng)絡(luò)流量數(shù)據(jù)包進(jìn)行檢測(cè)分析，判斷待檢測(cè)文件是否為特定類型文件；指令集仿真環(huán)境，用于對(duì)待檢測(cè)文件在虛擬化環(huán)境中的運(yùn)行期間調(diào)用的應(yīng)用程序編程接口API函數(shù)以及與該API函數(shù)對(duì)應(yīng)的參數(shù)列表進(jìn)行檢測(cè)分析，判斷待檢測(cè)文件是否為特定類型文件。

可選地，上述虛擬化環(huán)境為虛擬機(jī)。

可選地，上述指令集仿真環(huán)境為基于模擬器的虛擬機(jī)軟件。

根據(jù)本申請(qǐng)實(shí)施例的另一方面，提供了一種分析網(wǎng)絡(luò)數(shù)據(jù)的方法，包括：

獲取待檢測(cè)文件在虛擬化環(huán)境中的運(yùn)行期間產(chǎn)生的網(wǎng)絡(luò)流量數(shù)據(jù)包；對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)包進(jìn)行檢測(cè)分析，判斷待檢測(cè)文件是否為特定類型文件。

可選地，對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)包進(jìn)行檢測(cè)分析，判斷待檢測(cè)文件是否為特定類型文件包括以下之一：根據(jù)網(wǎng)絡(luò)流量數(shù)據(jù)包中的單個(gè)網(wǎng)絡(luò)流量數(shù)據(jù)包中是否包含預(yù)設(shè)類型參數(shù)來判斷待檢測(cè)文件是否為特定類型文件；根據(jù)網(wǎng)絡(luò)流量數(shù)據(jù)包中相互關(guān)聯(lián)的多個(gè)網(wǎng)絡(luò)流量數(shù)據(jù)包之間是否符合預(yù)設(shè)規(guī)則來判斷待檢測(cè)文件是否為特定類型文件。

可選地，根據(jù)單個(gè)網(wǎng)絡(luò)流量數(shù)據(jù)包中是否包含預(yù)設(shè)類型參數(shù)來判斷待檢測(cè)文件是否為特定類型文件包括以下之一：當(dāng)單個(gè)網(wǎng)絡(luò)流量數(shù)據(jù)包中包含預(yù)設(shè)類型參數(shù)時(shí)，判定待檢測(cè)文件為特定類型文件；當(dāng)單個(gè)網(wǎng)絡(luò)流量數(shù)據(jù)包中未包含預(yù)設(shè)類型參數(shù)時(shí)，判定待檢測(cè)文件不是特定類型文件。

可選地，根據(jù)相互關(guān)聯(lián)的多個(gè)網(wǎng)絡(luò)流量數(shù)據(jù)包之間是否符合預(yù)設(shè)規(guī)則來判斷待檢測(cè)文件是否為特定類型文件包括以下之一：當(dāng)相互關(guān)聯(lián)的多個(gè)網(wǎng)絡(luò)流量數(shù)據(jù)包之間符合預(yù)設(shè)規(guī)則，判定待檢測(cè)文件為特定類型文件；當(dāng)相互關(guān)聯(lián)的多個(gè)網(wǎng)絡(luò)流量數(shù)據(jù)包之間不符合預(yù)設(shè)規(guī)則，判定待檢測(cè)文件不是特定類型文件。

可選地，上述方法還包括：獲取待檢測(cè)文件在虛擬化環(huán)境中的運(yùn)行期間調(diào)用的應(yīng)用程序編程接口(API)函數(shù)；對(duì)API函數(shù)以及與API函數(shù)對(duì)應(yīng)的參數(shù)列表進(jìn)行檢測(cè)分析，判斷待檢測(cè)文件是否為特定類型文件。

可選地，上述虛擬化環(huán)境適用于虛擬機(jī)。

可選地，上述特定類型文件為惡意文件。

根據(jù)本申請(qǐng)實(shí)施例的又一方面，還提供了一種分析網(wǎng)絡(luò)數(shù)據(jù)的裝置，包括：