本發明提供了一種動態行為分析方法、裝置、系統及設備，其中，該方法包括：采集樣本文件并獲取所述樣本文件對應的環境信息；根據所述環境信息配置或者選擇匹配的鏡像環境；在所述鏡像環境中對所述樣本文件進行動態行為分析。通過本發明，解決了相關技術中的動態行為分析技術可能無法充分激發樣本的惡意行為的問題，能夠在檢測時將樣本的惡意行為充分激發，防止了由于檢測環境與實際環境不同而導致的漏報情況的出現，克服了安全隱患，提升了用戶網絡的安全性。

技術領域

本發明涉及通信領域，具體而言，涉及一種動態行為分析方法、裝置、系統及設備。

背景技術

極光攻擊、震網攻擊、夜龍攻擊、RSA令牌種子竊取等重大網絡安全事件使得一種具有攻擊手法高級、持續時間長、攻擊目標明確等特征的攻擊類型出現在公眾視野中，國際上稱之為APT(Advanced Persistent Threat,高級持續性威脅)攻擊。這類攻擊不僅使用傳統的病毒、木馬作為攻擊手段，更以郵件等社會工程學方式進行“先導攻擊”，向用戶發送精心構造使用0Day漏洞的文件。一旦用戶打開相關文件，漏洞就會被觸發，攻擊代碼注入到用戶系統，并進行后續下載其它病毒、木馬等操作以利長期潛伏作業。而傳統防火墻、企業反病毒軟件等對此類無特征簽名的惡意文件或代碼的檢測和防護能力非常有限。

APT攻擊檢測防御技術已成為新一代網絡安全的研究熱點，其中包括兩項技術難點：一是如何快速檢測利用未知漏洞的攻擊，二是如何準確分析攻擊的漏洞利用原理。對于如何快速檢測利用未知漏洞的攻擊，國內外對此展開了一系列研究，提出了多種方法，其中具有代表性的是基于文件或樣本的動態行為分析技術。此種技術主要針對APT攻擊過程中的惡意代碼植入過程，通過沙箱、虛擬機等可控環境動態分析進入受保護系統的可疑樣本文件的動態行為，識別惡意行為和攻擊代碼，阻止惡意代碼植入，防止后續破壞行為的發生。此種技術能夠在攻擊發生前進行檢測和防護，從而避免受保護系統受到各種網絡攻擊的影響。

圖1是根據相關技術的動態行為分析技術在實際場景的應用示意圖，如圖1所示，用戶網絡的流量通過旁路鏡像方式導出到樣本采集設備，樣本采集設備實時分析進/出網絡的數據流量，解析并提取網絡流量中的可疑樣本文件送入動態行為分析引擎設備中，利用獨立且受保護的虛擬分析系統模擬實際環境和用戶行為操作可疑樣本文件，識別可疑樣本文件的漏洞利用、文件釋放、系統修改等攻擊行為。

動態行為分析引擎設備接收樣本采集設備提交的樣本文件，然后根據樣本的文件格式和版本發送到不同的虛擬機進行執行。引擎設備模擬用戶設備的環境，激發樣本的惡意行為。引擎設備支持多樣本并發分析，每個樣本運行在獨立的受控環境中，圖2是根據相關技術的定制虛擬系統鏡像示例的示意圖，如圖2所示，可以根據不同的部署環境，搭配定制的虛擬系統鏡像。由于用戶設備環境(例如操作系統、硬件、安裝的軟件版本)千差萬別，將可疑樣本文件歸類到若干個定制的虛擬系統鏡像中與實際的用戶PC環境還是有一定的差距，不精確的用戶環境無法充分激發樣本的惡意行為，漏報會造成用戶網絡的安全隱患。

針對相關技術中的動態行為分析技術可能無法充分激發樣本的惡意行為的問題，目前尚未給出相應的解決方案。

發明內容

本發明實施例提供了一種動態行為分析方法、裝置、系統及設備，以至少解決相關技術中的動態行為分析技術可能無法充分激發樣本的惡意行為的問題。

根據本發明的一個實施例，提供了一種動態行為分析方法，包括：采集樣本文件并獲取所述樣本文件對應的環境信息；根據所述環境信息配置或者選擇匹配的鏡像環境；在所述鏡像環境中對所述樣本文件進行動態行為分析。

可選地，采集樣本文件并獲取所述樣本文件對應的環境信息包括：采集所述樣本文件和所述樣本文件所在的流量中的標識信息；根據所述標識信息查詢得到所述樣本文件對應的環境信息。

可選地，在根據所述標識信息查詢得到所述樣本文件對應的環境信息之前，還包括：接收從用戶設備傳輸的所述用戶設備的環境信息；將所述用戶設備的環境信息進行保存。