一种基于用户视角的样本分析方法及系统转让专利
申请号 : CN201710248320.2
文献号 : CN108334777B
文献日 : 2020-04-24
发明人 : 吕经祥 , 童志明 , 何公道
申请人 : 北京安天网络安全技术有限公司
摘要 :
本发明提出一种基于用户视角的样本分析方法及系统,所述方法具体为:获取样本在用户计算机节点的绝对路径,并存储至样本路径列表中;根据所述样本在用户计算机节点的绝对路径,提取所述样本标签并更新样本标签表;对样本标签表中各标签计数超过阈值的标签项,标记为建议参考标签;反病毒引擎检测所述样本,并在检测结果中增加标记为建议参考标签的标签内容。本发明还提出了相应样本分析系统。通过本发明的方法,能够深度挖掘样本在用户出的绝对路径,并提取出标签信息,可以获得更多样本信息情报,提供给用户或分析人员进行参考。
权利要求 :
1.一种基于用户视角的样本分析方法,其特征在于,包括:获取样本在用户计算机节点的绝对路径,并存储至样本路径列表中;
根据所述样本在用户计算机节点的绝对路径,提取样本标签;
根据提取到的样本标签,更新样本标签表;
判断样本标签表中各样本标签计数是否达到或超过阈值,如果是,则标记所述样本标签为建议参考标签;否则不进行标记;
反病毒引擎检测所述样本,并在检测结果中增加标记,标记为建议参考标签的样本标签内容。
2.如权利要求1所述的方法,其特征在于,所述样本标签为从所述绝对路径中获得的路径文件夹中的词语。
3.如权利要求1所述的方法,其特征在于,所述更新样本标签表,具体为:判断所述样本标签是否在样本标签表中,如果是,则所述样本标签计数加一,否则将所述样本标签添加到样本标签表中。
4.一种基于用户视角的样本分析系统,其特征在于,包括:路径获取模块,用于获取样本在用户计算机节点的绝对路径,并存储至样本路径列表中;
标签提取模块,用于根据所述样本在用户计算机节点的绝对路径,提取样本标签;
更新模块,用于根据提取到的样本标签,更新样本标签表;
标记模块,用于判断样本标签表中各样本标签计数是否达到或超过阈值,如果是,则标记所述样本标签为建议参考标签;否则不进行标记;
反病毒引擎检测所述样本,并在检测结果中增加标记,标记为建议参考标签的样本标签内容。
5.如权利要求4所述的系统,其特征在于,所述样本标签为从所述绝对路径中获得的路径文件夹中的词语。
6.如权利要求4所述的系统,其特征在于,所述更新样本标签表具体为:判断所述样本标签是否在样本标签表中,如果是,则所述样本标签计数加一,否则将所述样本标签添加到样本标签表中。
说明书 :
一种基于用户视角的样本分析方法及系统
技术领域
[0001] 本发明涉及计算机网络安全领域,特别涉及一种基于用户视角的样本分析方法及系统。
背景技术
[0002] 目前的反病毒引擎在客户端采集样本时,仅将该样本的名称用其MD5进行命名,并上传至后台存储,供后期分析人员分析使用。现有的这种存储方式,使得反病毒引擎在信息采集的过程中损失了大量的信息,如文件的绝对地址、计算机的mac地址和ip等一切的信息,导致样本与用户台计算机之间的联系切断,使样本与这台计算机节点的所有的其他相关信息失去关联关系,用户及分析人员在分析过程中只能从样本执行了什么代码而分析这个样本是否含有恶意行为。
发明内容
[0003] 基于上述问题,本发明提出了一种基于用户视角的样本分析方法及系统,该方案利用了样本的绝对路径信息,站在用户的角度,对样本绝对路径深度挖掘,为分析人员进行样本分析提供了辅助参考的信息。
[0004] 首先本发明提出一种基于用户视角的样本分析方法,包括:
[0005] 获取样本在用户计算机节点的绝对路径,并存储至样本路径列表中;
[0006] 根据所述样本在用户计算机节点的绝对路径,提取样本标签;
[0007] 根据提取到的样本标签,更新样本标签表;
[0008] 判断样本标签表中各样本标签计数是否达到或超过阈值,如果是,则标记所述样本标签为建议参考标签;否则不进行标记;
[0009] 反病毒引擎检测所述样本,并在检测结果中增加标记,标记为建议参考标签的样本标签内容。
[0010] 所述的方法中,所述样本标签为从所述绝对路径中获得的路径文件夹中的词语。
[0011] 所述的方法中,所述更新样本标签表,具体为:判断所述样本标签是否在样本标签表中,如果是,则所述样本标签计数加一,否则将所述样本标签添加到样本标签表中。
[0012] 本发明还提出一种基于用户视角的样本分析系统,包括:
[0013] 路径获取模块,用于获取样本在用户计算机节点的绝对路径,并存储至样本路径列表中;
[0014] 标签提取模块,用于根据所述样本在用户计算机节点的绝对路径,提取样本标签;
[0015] 更新模块,用于根据提取到的样本标签,更新样本标签表;
[0016] 标记模块,用于判断样本标签表中各样本标签计数是否达到或超过阈值,如果是,则标记所述样本标签为建议参考标签;否则不进行标记;
[0017] 反病毒引擎检测所述样本,并在检测结果中增加标记,标记为建议参考标签的样本标签内容。
[0018] 所述的系统中,所述样本标签为从所述绝对路径中获得的路径文件夹中的词语。
[0019] 所述的系统中,所述更新样本标签表,具体为判断所述样本标签是否在样本标签表中,如果是,则所述样本标签计数加一,否则将所述样本标签添加到样本标签表中。
[0020] 本发明特点在于,在反病毒引擎对样本进行传统检测的基础上,增加了储存该样本在用户计算机的绝对路径,通过对路径的深度挖掘绝,将这些不完备的信息总结归纳起来加工制作成标签,将频率较高的标签给样本进行标识,供后期用户以及分析人员参考使用。
[0021] 用户在使用程序的过程中都会设定一些标识,如与样本相关的关键词命名等,因此会在文件夹名称命名上有一些用户用于提示自身的信息。本方法就是利用了这一特点,将这些也许不完备的提示信息总结归纳起来,根据不同用户的命名不同,将绝对路径中各层次文件夹的命名加工制作成标签,对标签重复的次数进行记录,根据频率从其中提取出较为有效的提示,根据样本在不同计算机节点的信息,就可以获得更多的用户与该样本的相关信息。通过上述技术方案对信息进行统计,用户在检测样本以及分析人员在将要分析样本时,反病毒引擎可以为其提供相应样本标签,作为该样本初步属性信息用于参考。
附图说明
[0022] 为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0023] 图1为本发明一种基于用户视角的样本分析方法实施例流程图;
[0024] 图2为本发明一种基于用户视角的样本分析系统结构示意图。
具体实施方式
[0025] 为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
[0026] 本发明提出了一种基于用户视角的样本分析方法及系统,该方案利用了样本的绝对路径信息,站在用户的角度,对样本绝对路径深度挖掘,为分析人员进行样本分析提供了辅助参考的信息。传统的反病毒引擎在进行检测时,仅存储样本本身及对应MD5,而本发明目的在于在样本上传以及检测的过程中建立样本绝对路径的数据存储方案。将样本在各个计算机节点的绝对路径建立一对多的绑定关系,使分析人员在分析样本的时候不仅仅只有样本,反病毒引擎还能提供额外数据,让分析人员了解各个计算机节点的用户如何对样本命名,及绝对路径的文件夹命名有哪些等,并将绝对路径的文件夹名称加工制作成标签,将频率高的标签对这个样本进行标识,再有用户检测该样本时,则可以提示相关标签,用作参考。分析人员分析该样本时,提示标签并可以选择查看该样本在各个用户计算机节点的绝对路径,从而实现站在用户的角度分析样本。所生成的大量数据,也可以被后期加以利用。实施流程如下:
[0027] 首先本发明提出一种基于用户视角的样本分析方法,如图1所示,包括:
[0028] S101:获取样本在用户计算机节点的绝对路径,并存储至样本路径列表中;
[0029] 假设所获取的用户计算机节点的绝对路径有:
[0030] E:\e\20170220_02_PassFinish\no\PK\PK\外挂\LOL喜洋洋辅助插件5.4.exe;
[0031] F:\外挂\LOL喜洋洋辅助插件5.4.exe;
[0032] S102:根据所述样本在用户计算机节点的绝对路径,提取样本标签;
[0033] 将路径文件夹中的词语获得,制作成标签:Pass、Finish、No、PK、LOL、喜洋洋、辅助、插件、5.4、exe、外挂;
[0034] S103:根据提取到的样本标签,更新样本标签表;
[0035] S104:判断样本标签表中各样本标签计数是否达到或超过阈值,如果是,则标记所述样本标签为建议参考标签;否则不进行标记;
[0036] 假设阈值为2,则上述样本标签中外挂、LOL、喜洋洋、辅助、插件、5.4及exe达到阈值,对上述样本标记为建议参考标签;
[0037] 在实际应用时,由于会获取大量不同计算机节点的数据,因此阈值会设定更高;
[0038] S105:反病毒引擎检测所述样本,并在检测结果中增加标记为建议参考标签的样本标签内容。
[0039] 所述的方法中,所述样本标签为从所述绝对路径中获得的路径文件夹中的词语。
[0040] 所述的方法中,所述更新样本标签表,具体为:判断所述样本标签是否在样本标签表中,如果是,则所述样本标签计数加一,否则将所述样本标签添加到样本标签表中。
[0041] 本发明还提出一种基于用户视角的样本分析系统,如图2所示,包括:
[0042] 路径获取模块201,用于获取样本在用户计算机节点的绝对路径,并存储至样本路径列表中;
[0043] 标签提取模块202,用于根据所述样本在用户计算机节点的绝对路径,提取样本标签;
[0044] 更新模块203,用于根据提取到的样本标签,更新样本标签表;
[0045] 标记模块204,用于判断样本标签表中各样本标签计数是否达到或超过阈值,如果是,则标记所述样本标签为建议参考标签;否则不进行标记;
[0046] 反病毒引擎检测所述样本,并在检测结果中增加标记为建议参考标签的样本标签内容。
[0047] 所述的系统中,所述样本标签为从所述绝对路径中获得的路径文件夹中的词语。
[0048] 所述的系统中,所述更新样本标签表,具体为判断所述样本标签是否在样本标签表中,如果是,则所述样本标签计数加一,否则将所述样本标签添加到样本标签表中。
[0049] 本发明特点在于,在反病毒引擎对样本进行传统检测的基础上,增加了储存该样本在用户计算机的绝对路径,通过对路径的深度挖掘绝,将这些不完备的提示信息总结归纳起来加工制作成标签,将频率较高的标签给样本进行标识,供后期用户以及分析人员参考使用。
[0050] 用户在使用程序的过程中都会设定一些标识,如与样本相关的关键词命名等,因此会在文件夹名称命名上有一些用户用于提示自身的信息。本方法就是利用了这一特点,将这些不完备的提示信息总结归纳起来,根据不同用户的命名不同,将绝对路径中各层次文件夹的命名加工制作成标签,对标签重复的次数进行记录,根据频率从其中提取出较为有效的提示,根据样本在不同计算机节点的信息,就可以获得更多的用户与该样本的相关信息。通过上述技术方案对信息进行统计,用户在检测样本以及分析人员在将要分析样本时,反病毒引擎可以为其提供相应样本标签,作为该样本初步属性信息用于参考。
[0051] 虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。