本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種樣本文件分析方法、裝置及系統(tǒng)。

背景技術(shù)：

極光攻擊、震網(wǎng)攻擊、夜龍攻擊等重大網(wǎng)絡(luò)安全事件使得一種具有攻擊手法高級、持續(xù)時間長、攻擊目標(biāo)明確等特征的攻擊類型出現(xiàn)在公眾視野中，國際上稱之為apt(advancedpersistentthreat,高級持續(xù)性威脅)攻擊；這類攻擊不僅使用傳統(tǒng)的病毒、木馬作為攻擊手段，而是以郵件等方式進行“先導(dǎo)攻擊”，向用戶發(fā)送精心構(gòu)造使用0day漏洞的文件，一旦用戶打開相關(guān)文件，0day漏洞就會被觸發(fā)，攻擊代碼注入到用戶系統(tǒng)，并進行后續(xù)下載其它病毒、木馬等操作以利長期潛伏作業(yè)，而傳統(tǒng)防火墻、企業(yè)反病毒軟件等對此類無特征簽名的惡意文件或代碼的檢測和防護能力非常有限。

apt攻擊檢測防御技術(shù)已成為新一代網(wǎng)絡(luò)安全的研究熱點，其中所采用的檢測方式一般分為靜態(tài)引擎分析、動態(tài)引擎分析以及兩者合用。為了提高樣本的檢測有效性，通常都采用先靜態(tài)引擎分析再動態(tài)引擎分析的方法，此種方法首先對樣本進行必要的靜態(tài)檢測，一旦發(fā)現(xiàn)有異常就可進行防護，如果沒有發(fā)現(xiàn)異常則進行動態(tài)檢測，利用兩種技術(shù)的共同檢測來確認樣本的威脅程度，從而達到提高樣本檢測的有效性。

圖1為現(xiàn)有樣本文件分析流向示意圖，如圖1所示，進/出網(wǎng)絡(luò)的網(wǎng)絡(luò)流量 通過旁路鏡像方式轉(zhuǎn)換為鏡像流量后導(dǎo)出到樣本采集設(shè)備，樣本采集設(shè)備對鏡像流量進行解析并提取獲得樣本文件，將提取的樣本文件發(fā)往靜態(tài)引擎設(shè)備后，由靜態(tài)引擎設(shè)備根據(jù)自身的特征庫，對每個樣本文件進行匹配，對檢測出異常的樣本文件輸出靜態(tài)分析報告；未檢測出異常的樣本文件發(fā)往動態(tài)引擎設(shè)備進行分析。動態(tài)引擎設(shè)備接收到樣本文件后，利用獨立且受保護的虛擬分析系統(tǒng)模擬實際環(huán)境和用戶行為對樣本文件進行操作，如果樣本文件為惡意文件，則可通過惡意文件的操作進行漏洞利用、文件釋放、系統(tǒng)修改等攻擊行為的識別，實現(xiàn)apt攻擊的檢測。

如圖1所示的傳統(tǒng)文件分析引擎對待測樣本的處理方式是統(tǒng)一的、無差別的，比如所有的樣本順序進入順序輸出，啟動一個虛擬鏡像環(huán)境，運行2分鐘，無人工其他操作，之后輸出檢測結(jié)果，所有樣本都采用同一的分析流程。在現(xiàn)有技術(shù)條件下，存在漏報與誤報的可能，針對待測樣本所處的不同環(huán)境，比如：待測樣本來源自公司高管郵件對比來自普通員工的；來源自管理財務(wù)和人力的員工對比來自測試和開發(fā)的；來源自公司外部向內(nèi)部發(fā)送的郵件對比內(nèi)部向外部發(fā)送的，不同的環(huán)境下誤報與漏報可能造成的危害程度差別巨大。

因此，如何提供一種可以解決現(xiàn)有傳統(tǒng)文件分析引擎針對所有樣本文件采用相同分析策略的樣本文件分析方法，是本領(lǐng)域技術(shù)人員亟待解決的技術(shù)問題。

技術(shù)實現(xiàn)要素：

本發(fā)明提供了一種樣本文件分析方法、裝置及系統(tǒng)，以解決現(xiàn)有傳統(tǒng)文件分析引擎針對所有樣本文件采用相同分析策略的問題。

本發(fā)明提供了一種樣本文件分析方法，其包括：

獲取樣本文件的環(huán)境參數(shù),根據(jù)環(huán)境參數(shù)確定樣本文件的用戶身份,根據(jù)用 戶身份,配置樣本文件的分析策略規(guī)則；

根據(jù)分析策略規(guī)則分析樣本文件。

進一步的，分析策略規(guī)則包括分析優(yōu)先級和分析配置參數(shù)，分析配置參數(shù)包括：樣本分析時間、分析鏡像數(shù)量及是否人工操作；根據(jù)分析策略規(guī)則分析樣本文件包括：根據(jù)樣本文件的分析優(yōu)先級對樣本文件進行優(yōu)先級排序，并依次分析，根據(jù)樣本文件的分析配置參數(shù)啟動分析流程。

進一步的，根據(jù)樣本文件的分析配置參數(shù)啟動分析流程包括：針對不同的樣本文件，根據(jù)各樣本文件的分析配置參數(shù)啟動不同的分析流程。

進一步的，根據(jù)環(huán)境參數(shù)確定樣本文件的用戶身份包括：調(diào)用數(shù)據(jù)庫內(nèi)存儲的環(huán)境參數(shù)與用戶身份的對應(yīng)關(guān)系，根據(jù)對應(yīng)關(guān)系，確定與環(huán)境參數(shù)匹配的用戶身份。

進一步的，環(huán)境參數(shù)包括：文件往來方向的內(nèi)網(wǎng)區(qū)或外網(wǎng)區(qū)、源ip地址和目標(biāo)ip地址、發(fā)送方與接收方郵箱地址中的至少一個。

進一步的，對應(yīng)關(guān)系包括：內(nèi)網(wǎng)區(qū)或外網(wǎng)區(qū)與用戶的對應(yīng)關(guān)系、ip地址與用戶的對應(yīng)關(guān)系、郵箱地址與用戶的對應(yīng)關(guān)系。

本發(fā)明提供了一種樣本文件分析裝置，其包括：

策略規(guī)劃模塊，用于獲取樣本文件的環(huán)境參數(shù),根據(jù)環(huán)境參數(shù)確定樣本文件的用戶身份,根據(jù)用戶身份,配置樣本文件的分析策略規(guī)則；

樣本分析模塊，用于根據(jù)分析策略規(guī)則分析樣本文件。

進一步的，分析策略規(guī)則包括分析優(yōu)先級和分析配置參數(shù)，分析配置參數(shù)包括：樣本分析時間、分析鏡像數(shù)量及是否人工操作；樣本分析模塊包括文件調(diào)度單元及文件分析引擎，文件調(diào)度單元用于根據(jù)樣本文件的分析優(yōu)先級對樣本文件進行優(yōu)先級排序，文件分析引擎用于根據(jù)樣本文件的分析配置參數(shù)啟動分 析流程。

進一步的，文件分析引擎用于針對不同的樣本文件，根據(jù)各樣本文件的分析配置參數(shù)啟動不同的分析流程。

進一步的，策略規(guī)劃模塊用于調(diào)用數(shù)據(jù)庫內(nèi)存儲的環(huán)境參數(shù)與用戶身份的對應(yīng)關(guān)系，根據(jù)對應(yīng)關(guān)系，確定與環(huán)境參數(shù)匹配的用戶身份。

進一步的，環(huán)境參數(shù)包括：文件往來方向的內(nèi)網(wǎng)區(qū)或外網(wǎng)區(qū)、源ip地址和目標(biāo)ip地址、發(fā)送方與接收方郵箱地址中的至少一個。

進一步的，對應(yīng)關(guān)系包括：內(nèi)網(wǎng)區(qū)或外網(wǎng)區(qū)與用戶的對應(yīng)關(guān)系、ip地址與用戶的對應(yīng)關(guān)系、郵箱地址與用戶的對應(yīng)關(guān)系。

本發(fā)明提供了一種樣本文件分析系統(tǒng)，其包括本發(fā)明提供的樣本文件分析裝置。

本發(fā)明的有益效果：

本發(fā)明提供了一種樣本文件分析方法，在接收樣本文件時，同時獲取各樣本文件的環(huán)境參數(shù)，根據(jù)各樣本文件的環(huán)境參數(shù)及數(shù)據(jù)庫中環(huán)境參數(shù)與用戶身份的對應(yīng)關(guān)系，確定樣本文件對應(yīng)的用戶，并根據(jù)用戶不同配置不同的分析策略規(guī)則，根據(jù)各樣本文件的分析策略規(guī)則進行分析，這樣就可以區(qū)分樣本文件中的重點檢測對象，針對重點檢測對象盡可能的充分觸發(fā)待測文件的各種行為，進行重點分析，達到重點對象重點分析、以提高重點檢測對象檢測率的目的，對應(yīng)的，誤報率也得到了明顯的控制降低，解決了現(xiàn)有傳統(tǒng)文件分析引擎針對所有樣本文件采用相同分析策略、且分析引擎資源有限，導(dǎo)致的重點檢測對象的漏報與誤報的問題。

附圖說明

圖1為現(xiàn)有樣本文件分析流向示意圖；

圖2為本發(fā)明第一實施例提供的樣本文件分析裝置的結(jié)構(gòu)示意圖；

圖3為本發(fā)明第一實施例提供的樣本文件分析方法的流程圖；

圖4為本發(fā)明第二實施例提供的樣本文件分析裝置的結(jié)構(gòu)示意圖；

圖5為本發(fā)明第二實施例提供的樣本文件分析方法的流程圖；

圖6為本發(fā)明第三實施例提供的樣本文件分析方法的流程圖；

圖7為本發(fā)明第四實施例提供的樣本文件分析方法的流程圖。

具體實施方式

現(xiàn)通過具體實施方式結(jié)合附圖的方式對本發(fā)明做出進一步的詮釋說明。

第一實施例：

圖2為本發(fā)明第一實施例提供的樣本文件分析裝置的結(jié)構(gòu)示意圖，由圖2可知，在本實施例中，本發(fā)明提供的樣本文件分析裝置2包括：

策略規(guī)劃模塊21，用于獲取樣本文件的環(huán)境參數(shù),根據(jù)環(huán)境參數(shù)確定樣本文件的用戶身份,根據(jù)用戶身份,配置樣本文件的分析策略規(guī)則；

樣本分析模塊22，用于根據(jù)分析策略規(guī)則分析樣本文件。

在一些實施例中，上述實施例中的分析策略規(guī)則包括分析優(yōu)先級和分析配置參數(shù)，分析配置參數(shù)包括：樣本分析時間、分析鏡像數(shù)量及是否人工操作；樣本分析模塊22包括文件調(diào)度單元及文件分析引擎，文件調(diào)度單元用于根據(jù)樣本文件的分析優(yōu)先級對樣本文件進行優(yōu)先級排序，文件分析引擎用于根據(jù)樣本文件的分析配置參數(shù)啟動分析流程。

在一些實施例中，上述實施例中的文件分析引擎用于針對不同的樣本文件， 根據(jù)各樣本文件的分析配置參數(shù)啟動不同的分析流程。

在一些實施例中，上述實施例中的策略規(guī)劃模塊21用于調(diào)用數(shù)據(jù)庫內(nèi)存儲的環(huán)境參數(shù)與用戶身份的對應(yīng)關(guān)系，根據(jù)對應(yīng)關(guān)系，確定與環(huán)境參數(shù)匹配的用戶身份。

在一些實施例中，上述實施例中的環(huán)境參數(shù)包括：文件往來方向的內(nèi)網(wǎng)區(qū)或外網(wǎng)區(qū)、源ip地址和目標(biāo)ip地址、發(fā)送方與接收方郵箱地址中的至少一個。

在一些實施例中，上述實施例中的對應(yīng)關(guān)系包括：內(nèi)網(wǎng)區(qū)或外網(wǎng)區(qū)與用戶的對應(yīng)關(guān)系、ip地址與用戶的對應(yīng)關(guān)系、郵箱地址與用戶的對應(yīng)關(guān)系。

對應(yīng)的，本發(fā)明提供了一種樣本文件分析系統(tǒng)，其包括本發(fā)明提供的樣本文件分析裝置2。

圖3為本發(fā)明第一實施例提供的樣本文件分析方法的流程圖，由圖3可知，在本實施例中，本發(fā)明提供的樣本文件分析方法包括以下步驟：

s301：獲取樣本文件的環(huán)境參數(shù),根據(jù)環(huán)境參數(shù)確定樣本文件的用戶身份,根據(jù)用戶身份,配置樣本文件的分析策略規(guī)則；

s302：根據(jù)分析策略規(guī)則分析樣本文件。

在一些實施例中，上述實施例中的分析策略規(guī)則包括分析優(yōu)先級和分析配置參數(shù)，分析配置參數(shù)包括：樣本分析時間、分析鏡像數(shù)量及是否人工操作；對應(yīng)的，根據(jù)分析策略分析樣本文件包括：根據(jù)樣本文件的分析優(yōu)先級對樣本文件進行優(yōu)先級排序，根據(jù)樣本文件的分析配置參數(shù)啟動分析流程。

在一些實施例中，上述實施例中的根據(jù)樣本文件的分析配置參數(shù)啟動分析流程包括：針對不同的樣本文件，根據(jù)各樣本文件的分析配置參數(shù)啟動不同的分析流程。

在一些實施例中，上述實施例中的根據(jù)環(huán)境參數(shù)確定樣本文件的用戶身份包 括：調(diào)用數(shù)據(jù)庫內(nèi)存儲的環(huán)境參數(shù)與用戶身份的對應(yīng)關(guān)系，根據(jù)對應(yīng)關(guān)系，確定與環(huán)境參數(shù)匹配的用戶身份。

在一些實施例中，上述實施例中的環(huán)境參數(shù)包括：文件往來方向的內(nèi)網(wǎng)區(qū)或外網(wǎng)區(qū)、源ip地址和目標(biāo)ip地址、發(fā)送方與接收方郵箱地址中的至少一個。

在一些實施例中，上述實施例中的對應(yīng)關(guān)系包括：內(nèi)網(wǎng)區(qū)或外網(wǎng)區(qū)與用戶的對應(yīng)關(guān)系、ip地址與用戶的對應(yīng)關(guān)系、郵箱地址與用戶的對應(yīng)關(guān)系。

現(xiàn)結(jié)合具體應(yīng)用場景對本發(fā)明做進一步的詮釋說明。

第二實施例：

針對現(xiàn)有技術(shù)條件下惡意文件漏報與誤報可能造成的危害程度差別巨大這一問題，提出了一種在平衡文件分析引擎資源消耗的前提下，實現(xiàn)差別式的文件分析與調(diào)度策略，針對重點對象樣本優(yōu)先送入分析引擎，增加其虛擬鏡像環(huán)境個數(shù)，增加每個鏡像的運行時間，并增加人工操作等，以保證文件行為的充分觸發(fā)，有效提高了需要重點檢測對象的檢測率，同時其誤報率也得到了明顯的降低。

為了解決上述技術(shù)問題，本發(fā)明提供一種樣本文件分析裝置，能夠提高重點檢測對象的檢測率，同時降低其誤報率。如圖4所示，樣本文件分析裝置包括：信息采集單元41負責(zé)還原網(wǎng)絡(luò)流量并采集待測樣本文件的各種通信參數(shù)，并和待測文件一起送入規(guī)則策略單元；規(guī)則策略單元42依據(jù)接收的信息，查詢數(shù)據(jù)庫單元43預(yù)先配置的信息，獲得文件所屬的通信參數(shù)與員工角色、職務(wù)等的對應(yīng)關(guān)系，綜合制定差別式的文件分析處理規(guī)則，包括樣本優(yōu)先級信息并生成相應(yīng)的差別式的配置參數(shù)，并和文件一起送入文件調(diào)度單元44；文件調(diào)度單元44中根據(jù)傳入的樣本優(yōu)先級信息將樣本進行排序，并按優(yōu)先級高低順序?qū)⑽? 件與配置參數(shù)一起傳入文件分析引擎45；文件分析引擎根據(jù)傳入的配置參數(shù)的不同做差別式的文件分析處理，以保證重點檢測對象文件行為的充分觸發(fā)。

具體的，信息采集單元41采集的通信參數(shù)包括但不限于ip源地址、發(fā)送與接收者郵箱地址、文件往來方向等。

具體的，數(shù)據(jù)庫單元43預(yù)先配置的信息包括但不限于ip地址與員工角色、職務(wù)對應(yīng)信息，郵箱地址與員工角色、職務(wù)對應(yīng)信息，ip地址公司內(nèi)外網(wǎng)區(qū)分等。

具體的，規(guī)則策略單元42生成的樣本優(yōu)先級信息和差別式的配置參數(shù)。其中樣本優(yōu)先級信息用于文件調(diào)度單元44的具體樣本排序操作；差別式的配置參數(shù)用于文件分析引擎45啟動不同的分析流程。

具體的，文件分析引擎45差別式文件處理，根據(jù)傳入的配置參數(shù)的不同，啟動不同的分析流程，包括但不限于增加重點檢測對象的檢測時間、增加運行環(huán)境鏡像個數(shù)以及增加人工操作等。

圖5為第二實施例的流程圖，如圖5可知，在本實施例中，本發(fā)明提供的樣本文件分析方法包括如下步驟：

s501，對導(dǎo)入的網(wǎng)絡(luò)流量進行文件還原和通信參數(shù)采集，采集的信息可以分為多種，包括但不限于ip源地址與目的地址、發(fā)送與接收者郵箱地址、文件往來方向等。

s502，查詢預(yù)設(shè)置的數(shù)據(jù)庫(包括但不限于ip地址與員工角色、職務(wù)對應(yīng)信息，郵箱地址與員工角色、職務(wù)對應(yīng)信息，ip地址公司內(nèi)外網(wǎng)區(qū)分等)，獲得文件所屬的通信參數(shù)與員工角色、職務(wù)等的對應(yīng)關(guān)系。

s503，根據(jù)文件所屬的對應(yīng)關(guān)系制定差別式的文件分析規(guī)則策略，并生成 相應(yīng)的差別式的配置參數(shù)。具體的，當(dāng)采集的郵件所屬角色為公司高管，優(yōu)先級別就置為最高的4(最高4，最低1)，配置參數(shù)就置為時間time＝8(分鐘)，運行鏡像個數(shù)count＝4，人工操作flag＝1(值為1表示需要人工操作，0表示不需要人工操作)；當(dāng)采集的郵件所屬角色為普通員工，優(yōu)先級別就置為最低的1，配置參數(shù)就置為時間time＝2(分鐘)，運行鏡像個數(shù)count＝1，人工操作flag＝0。當(dāng)采集的郵件所屬職務(wù)為財務(wù)、資產(chǎn)類管理，優(yōu)先級別就置為3，配置參數(shù)就置為時間time＝6(分鐘)，鏡像個數(shù)count＝3，人工操作flag＝1；當(dāng)采集的郵件所屬職務(wù)為開發(fā)、測試類，優(yōu)先級別就置為1，配置參數(shù)就置為時間time＝2(分鐘)，鏡像個數(shù)count＝1，人工操作flag＝0。當(dāng)采集的郵件所屬環(huán)境為公司外部向內(nèi)部發(fā)送的，優(yōu)先級別就置為2，配置參數(shù)就置為時間time＝4(分鐘)，鏡像個數(shù)count＝2，人工操作flag＝0；當(dāng)采集的郵件所屬環(huán)境為公司內(nèi)部向外部發(fā)送的，優(yōu)先級別就置為1，配置參數(shù)就置為時間time＝2(分鐘)，鏡像個數(shù)count＝1，人工操作flag＝0。取各種情況下輸出優(yōu)先級最高的情況作為最終的分析策略和配置參數(shù)。

s504，根據(jù)分析策略將待測文件按優(yōu)先級高低進行排列，依次按優(yōu)先級高低順序?qū)⒋郎y樣本和對應(yīng)的配置參數(shù)送入分析引擎進行文件分析。

s505，文件分析引擎根據(jù)傳入的配置參數(shù)，啟動差別式的文件分析流程。比如接收參數(shù)為time＝8,count＝4,flag＝1時，分析引擎同時啟動4個不同的環(huán)境鏡像，每個分析時間為8分鐘，并增加人工操作，以充分觸發(fā)待測樣本文件的各種行為，生成更加完整的樣本文件行為日志報告，以達到提高重點檢測對象檢測率的目的。

通過本實施例的實例，提高了重點檢測對象文件的檢測率，同時降低其誤 報率。

現(xiàn)結(jié)合2個運用場景對本發(fā)明做進一步的詮釋說明。

第三實施例：

圖6為本發(fā)明第三實施例提供的樣本文件分析方法的流程圖，如圖6可知，在本實施例中，本發(fā)明提供的樣本文件分析方法包括：

s601，信息采集單元通過對網(wǎng)絡(luò)流量還原和信息采集，將樣本文件和各種通信參數(shù)發(fā)送給規(guī)則策略單元。

s602，在數(shù)據(jù)庫單元做查詢操作，查詢預(yù)置的數(shù)據(jù)庫(包括但不限于ip地址與員工角色、職務(wù)對應(yīng)信息，郵箱地址與員工角色、職務(wù)對應(yīng)信息，ip地址公司內(nèi)外網(wǎng)區(qū)分等)，得出文件所屬通信參數(shù)與員工角色、職務(wù)等的對應(yīng)關(guān)系。

s603，規(guī)則策略單元根據(jù)樣本文件所對應(yīng)的員工角色、職務(wù)關(guān)系，制定文件分析規(guī)則策略優(yōu)先級。

s604，規(guī)則策略單元生成對應(yīng)的配置參數(shù)。

具體的，當(dāng)采集的郵件所屬角色為公司高管，優(yōu)先級別就置為最高的4(最高4，最低1)，配置參數(shù)就置為時間time＝8(分鐘)，運行鏡像個數(shù)count＝4，人工操作flag＝1(值為1表示需要人工操作，0表示不需要人工操作)；當(dāng)采集的郵件所屬角色為普通員工，優(yōu)先級別就置為最低的1，配置參數(shù)就置為時間time＝2(分鐘)，運行鏡像個數(shù)count＝1，人工操作flag＝0。當(dāng)采集的郵件所屬職務(wù)為財務(wù)、資產(chǎn)類管理，優(yōu)先級別就置為3，配置參數(shù)就置為時間time＝6(分鐘)，鏡像個數(shù)count＝3，人工操作flag＝1；當(dāng)采集的郵件所屬職務(wù)為開發(fā)、測試類，優(yōu)先級別就置為1，配置參數(shù)就置為時間time＝2(分鐘)，鏡像個數(shù)count＝1，人工操作flag＝0。當(dāng)采集的郵件所屬環(huán)境為公司外部向內(nèi)部發(fā) 送的，優(yōu)先級別就置為2，配置參數(shù)就置為時間time＝4(分鐘)，鏡像個數(shù)count＝2，人工操作flag＝0；當(dāng)采集的郵件所屬環(huán)境為公司內(nèi)部向外部發(fā)送的，優(yōu)先級別就置為1，配置參數(shù)就置為時間time＝2(分鐘)，鏡像個數(shù)count＝1，人工操作flag＝0。取各種情況下輸出優(yōu)先級最高的情況作為最終的分析策略和配置參數(shù)。

s605，規(guī)則策略單元將樣本文件、策略優(yōu)先級和對應(yīng)的配置參數(shù)發(fā)送給文件調(diào)度單元。

s606，文件調(diào)度單元接收樣本文件、策略優(yōu)先級和對應(yīng)的配置參數(shù)，并根據(jù)策略優(yōu)先級將樣本文件排序。

s607，文件調(diào)度單元按優(yōu)先級高低順序依次將樣本文件和配置參數(shù)送往分析引擎。

s608，文件分析引擎接收傳入的樣本文件和配置參數(shù)。

s609，文件分析引擎根據(jù)配置參數(shù)啟動不同的分析流程，包括鏡像個數(shù)、分析時間、人工操作等。

s610，輸出文件檢測報告，分析結(jié)束。

第四實施例：

圖7為本發(fā)明第四實施例提供的樣本文件分析方法的流程圖，如圖7可知，在本實施例中，本發(fā)明提供的樣本文件分析方法包括：

s701，信息采集單元對網(wǎng)絡(luò)流量進行信息采集，將樣本文件對應(yīng)的各種通信參數(shù)發(fā)送給規(guī)則策略單元。

s702，信息采集單元對網(wǎng)絡(luò)流量進行流量還原得到待測樣本文件，并將樣本文件發(fā)送到文件調(diào)度單元。

s703，在數(shù)據(jù)庫單元做查詢操作，查詢預(yù)置的數(shù)據(jù)庫(包括但不限于ip地址與員工角色、職務(wù)對應(yīng)信息，郵箱地址與員工角色、職務(wù)對應(yīng)信息，ip地址公司內(nèi)外網(wǎng)區(qū)分等)，得出文件所屬通信參數(shù)與員工角色、職務(wù)等的對應(yīng)關(guān)系。

s704，規(guī)則策略單元根據(jù)樣本文件所對應(yīng)的員工角色、職務(wù)關(guān)系，制定文件分析規(guī)則策略優(yōu)先級。

s705，規(guī)則策略單元生成對應(yīng)的配置參數(shù)。

具體的，當(dāng)采集的郵件所屬角色為公司高管，優(yōu)先級別就置為最高的4(最高4，最低1)，配置參數(shù)就置為時間time＝8(分鐘)，運行鏡像個數(shù)count＝4，人工操作flag＝1(值為1表示需要人工操作，0表示不需要人工操作)；當(dāng)采集的郵件所屬角色為普通員工，優(yōu)先級別就置為最低的1，配置參數(shù)就置為時間time＝2(分鐘)，運行鏡像個數(shù)count＝1，人工操作flag＝0。當(dāng)采集的郵件所屬職務(wù)為財務(wù)、資產(chǎn)類管理，優(yōu)先級別就置為3，配置參數(shù)就置為時間time＝6(分鐘)，鏡像個數(shù)count＝3，人工操作flag＝1；當(dāng)采集的郵件所屬職務(wù)為開發(fā)、測試類，優(yōu)先級別就置為1，配置參數(shù)就置為時間time＝2(分鐘)，鏡像個數(shù)count＝1，人工操作flag＝0。當(dāng)采集的郵件所屬環(huán)境為公司外部向內(nèi)部發(fā)送的，優(yōu)先級別就置為2，配置參數(shù)就置為時間time＝4(分鐘)，鏡像個數(shù)count＝2，人工操作flag＝0；當(dāng)采集的郵件所屬環(huán)境為公司內(nèi)部向外部發(fā)送的，優(yōu)先級別就置為1，配置參數(shù)就置為時間time＝2(分鐘)，鏡像個數(shù)count＝1，人工操作flag＝0。取各種情況下輸出優(yōu)先級最高的情況作為最終的分析策略和配置參數(shù)。

s706，規(guī)則策略單元將文件策略優(yōu)先級和對應(yīng)的配置參數(shù)發(fā)送給文件調(diào)度單元。

s707，文件調(diào)度單元接收信息采集單元傳入的樣本文件，接收規(guī)則策略單 元傳入的文件策略優(yōu)先級和對應(yīng)的配置參數(shù)，最后根據(jù)策略優(yōu)先級將樣本文件排序。

s708，文件調(diào)度單元按優(yōu)先級高低順序依次將樣本文件和配置參數(shù)送往分析引擎。

s709，文件分析引擎接收傳入的樣本文件和配置參數(shù)。

s710，文件分析引擎根據(jù)配置參數(shù)啟動不同的分析流程，包括鏡像個數(shù)、分析時間、人工操作等。

s711，輸出文件檢測報告，分析結(jié)束。

綜上可知，通過本發(fā)明的實施，至少存在以下有益效果：

本發(fā)明提供了一種樣本文件分析方法，在接收樣本文件時，同時獲取各樣本文件的環(huán)境參數(shù)，根據(jù)各樣本文件的環(huán)境參數(shù)及預(yù)先配置的環(huán)境參與與用戶身份的對應(yīng)關(guān)系，確定樣本文件對應(yīng)的用戶，并根據(jù)用戶不同配置不同的分析策略規(guī)則，根據(jù)各樣本文件的分析策略規(guī)則進行分析，這樣就可以區(qū)分樣本文件中的重點檢測對象，針對重點檢測對象盡可能的充分觸發(fā)待測文件的各種行為，進行重點分析，達到重點對象重點分析、以提高重點檢測對象檢測率的目的，對應(yīng)的，誤報率也得到了明顯的控制降低，解決了現(xiàn)有傳統(tǒng)文件分析引擎針對所有樣本文件采用相同分析策略、且分析引擎資源有限，導(dǎo)致的重點檢測對象的漏報與誤報的問題。

顯然，本領(lǐng)域的技術(shù)人員應(yīng)該明白，上述本發(fā)明的各模塊或各步驟可以用通用的計算裝置來實現(xiàn)，它們可以集中在單個的計算裝置上，或者分布在多個計算裝置所組成的網(wǎng)絡(luò)上，可選地，它們可以用計算裝置可執(zhí)行的程序代碼來實現(xiàn)，從而，可以將它們存儲在存儲介質(zhì)(rom/ram、磁碟、光盤)中由計算裝 置來執(zhí)行，并且在某些情況下，可以以不同于此處的順序執(zhí)行所示出或描述的步驟，或者將它們分別制作成各個集成電路模塊，或者將它們中的多個模塊或步驟制作成單個集成電路模塊來實現(xiàn)。所以，本發(fā)明不限制于任何特定的硬件和軟件結(jié)合。

以上僅是本發(fā)明的具體實施方式而已，并非對本發(fā)明做任何形式上的限制，凡是依據(jù)本發(fā)明的技術(shù)實質(zhì)對以上實施方式所做的任意簡單修改、等同變化、結(jié)合或修飾，均仍屬于本發(fā)明技術(shù)方案的保護范圍。