計(jì)算機(jī)可疑程序深度分析鑒定框架設(shè)計(jì)與實(shí)現(xiàn)

網(wǎng)絡(luò)空間對(duì)抗形勢(shì)日趨嚴(yán)峻，網(wǎng)絡(luò)攻防已成為各國(guó)網(wǎng)絡(luò)攻防對(duì)抗的主要戰(zhàn)場(chǎng)。網(wǎng)絡(luò)環(huán)境已由單純互聯(lián)發(fā)展到了泛在網(wǎng)絡(luò)空間，攻擊方式也由單一模式朝著復(fù)雜的高級(jí)可持續(xù)威脅攻擊（AdvancedPersistentThreat，APT）方向發(fā)展。通過(guò)對(duì)過(guò)去的APT攻擊事件進(jìn)行匯總分析發(fā)現(xiàn)，幾乎所有的攻擊事件中，攻擊者在實(shí)施攻擊時(shí)，為了逃避殺毒軟件等現(xiàn)有安全產(chǎn)品的查殺，均會(huì)采用免殺木馬或特種木馬，再通過(guò)擺渡、郵件投遞、欺騙下載等手段，給目標(biāo)植入惡意程序。然而傳統(tǒng)的大部分可疑程序檢測(cè)手段都是基于已知程序的特征碼匹配或簽名的方式，由于同一類型的可疑軟件特征碼相同，且字符串匹配速度極快，因此這種方式以易用、高效的優(yōu)勢(shì)獲得了業(yè)界的推崇。但由于特征碼匹配的方式需要預(yù)先在數(shù)據(jù)庫(kù)中針對(duì)可疑程序存儲(chǔ)對(duì)應(yīng)的特征碼，因此這種方式只能檢測(cè)已知的可疑程序，且一旦可疑程序?qū)ζ湓创a進(jìn)行了混淆或加密，就無(wú)法被這種方式檢測(cè)。隨著網(wǎng)絡(luò)攻防技術(shù)的不斷發(fā)展，傳統(tǒng)的可疑程序檢測(cè)方法已逐漸被取代，基于行為的動(dòng)態(tài)檢測(cè)方式成為主流。動(dòng)態(tài)檢測(cè)主要以虛擬環(huán)境實(shí)時(shí)監(jiān)控為主，通過(guò)模擬用戶運(yùn)行程序時(shí)的環(huán)境，對(duì)可疑程序進(jìn)行實(shí)時(shí)監(jiān)測(cè)與跟蹤，因具有極高的檢測(cè)準(zhǔn)確率而廣受業(yè)界推崇，但也因此增加了檢測(cè)過(guò)程的時(shí)間成本與系統(tǒng)開銷。對(duì)于具有反沙箱機(jī)制的可疑程序，其會(huì)在執(zhí)行過(guò)程中對(duì)系統(tǒng)進(jìn)程進(jìn)行監(jiān)控，一旦發(fā)現(xiàn)沙箱或虛擬機(jī)進(jìn)程就不再執(zhí)行高威脅函數(shù)，從而躲避動(dòng)態(tài)檢測(cè)

。特征碼檢測(cè)技術(shù)面對(duì)變種木馬或者新出現(xiàn)的病毒，是無(wú)法發(fā)現(xiàn)并確認(rèn)的，只有在確認(rèn)該可疑程序是病毒之后，提取它的特征碼并更新特征碼庫(kù)，才能夠檢測(cè)出來(lái)，而基于行為的動(dòng)態(tài)檢測(cè)方式需要對(duì)可疑程序在系統(tǒng)中的動(dòng)作進(jìn)行記錄并且對(duì)所有的動(dòng)作綜合起來(lái)進(jìn)行分析，無(wú)論是記錄動(dòng)作還是分析動(dòng)作都會(huì)占用系統(tǒng)資源，同時(shí)也增加了檢測(cè)的時(shí)間，無(wú)法滿足短時(shí)間內(nèi)大量樣本的同時(shí)檢測(cè)。因此，為了實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中大量可疑程序自動(dòng)、準(zhǔn)確和快速的識(shí)別與鑒定，本文提出了一種新型的計(jì)算機(jī)可疑程序深度分析鑒定框架，其主要任務(wù)是貫徹新形勢(shì)下積極防御戰(zhàn)略思想，通過(guò)可疑程序發(fā)現(xiàn)，利用能力的提升，驅(qū)動(dòng)構(gòu)建網(wǎng)絡(luò)空間積極防御體系，利用多引擎檢測(cè)查殺技術(shù)、沙箱動(dòng)態(tài)檢測(cè)技術(shù)、大數(shù)據(jù)分析技術(shù)和情報(bào)分析人員的有機(jī)結(jié)合，充分挖掘網(wǎng)絡(luò)威脅情報(bào)價(jià)值，為國(guó)家政治、外交、軍事和網(wǎng)絡(luò)空間積極防御提供技術(shù)支撐。１架構(gòu)設(shè)計(jì)1.1框架架構(gòu)計(jì)算機(jī)可疑程序深度分析鑒定框架主要由4個(gè)層次構(gòu)成，自下而上依次是基礎(chǔ)設(shè)施層、數(shù)據(jù)支撐層、核心能力層和終端應(yīng)用層，上下層模塊間包含數(shù)據(jù)流通、相輔相成、共同支撐、協(xié)同響應(yīng)、邏輯架構(gòu)設(shè)計(jì)等，框架如圖1所示。圖1計(jì)算機(jī)可疑程序深度分析鑒定框架1.1.1基礎(chǔ)設(shè)施層計(jì)算機(jī)可疑程序深度分析鑒定框架支持私有云化部署，可兼容適配云環(huán)境或服務(wù)器硬件環(huán)境，通過(guò)構(gòu)建“云+端”立體化病毒防御體系，實(shí)現(xiàn)本地終端病毒在云端的有效檢測(cè)、查殺，全面保障內(nèi)網(wǎng)終端安全。1.1.2數(shù)據(jù)支撐層數(shù)據(jù)支撐層提供知識(shí)庫(kù)功能，包括多引擎查殺病毒庫(kù)與威脅情報(bào)庫(kù)，為認(rèn)知和衡量惡意代碼檢測(cè)提供基準(zhǔn)規(guī)則。威脅情報(bào)庫(kù)持續(xù)為多引擎查殺病毒庫(kù)賦能，增強(qiáng)云端查殺能力，提高檢出率與查殺效率。1.1.3核心能力層核心能力層是計(jì)算機(jī)可疑程序深度分析鑒定框架能力不斷進(jìn)化的核心，包括多引擎分析組件、沙箱分析組件、威脅情報(bào)組件、黑白名單管理組件和樣本存儲(chǔ)管理組件。（1）多引擎分析組件?；趶?qiáng)大的樣本庫(kù)、全鏈進(jìn)程行為庫(kù)、多維信息溯源庫(kù)，以多類型、多平臺(tái)的AI+啟發(fā)式引擎智能調(diào)度策略為支撐，可實(shí)現(xiàn)云端在全網(wǎng)范圍內(nèi)實(shí)時(shí)對(duì)木馬病毒及樣本文件進(jìn)行有效的多維檢測(cè)、鑒定和查殺。（2）沙箱分析組件。采用動(dòng)態(tài)檢測(cè)引擎、HASH檢測(cè)引擎、CVE檢測(cè)引擎、殺軟內(nèi)容檢測(cè)引擎、YARA規(guī)則檢測(cè)引擎、機(jī)器學(xué)習(xí)檢測(cè)與分類引擎和綜合威脅研判等技術(shù)，對(duì)多引擎分析組件上報(bào)的免殺、高級(jí)惡意代碼進(jìn)行有效查殺和降低誤報(bào)率。（3）威脅情報(bào)組件。通過(guò)本地化部署為沙箱分析組件提供安全威脅情報(bào)支撐能力，為安全分析人員提供安全威脅情報(bào)分析、管理及運(yùn)營(yíng)工具。（4）黑白名單管理組件。提供全網(wǎng)黑白名單存儲(chǔ)管理服務(wù)，接收沙箱分析組件、多引擎分析組件、威脅情報(bào)分析組件上報(bào)的黑白文件MD5、MD5+SHA1等哈希值并對(duì)外提供賦能服務(wù)，可供其他平臺(tái)進(jìn)行調(diào)用。（5）樣本存儲(chǔ)管理組件。針對(duì)用戶上報(bào)文件、正常文件和惡意樣本等進(jìn)行存儲(chǔ)管理。1.1.4終端應(yīng)用層在全網(wǎng)部署終端病毒防護(hù)客戶端，系統(tǒng)采用B/S（網(wǎng)頁(yè)）+C/S（客戶端）設(shè)計(jì)，具備設(shè)備分組管理、策略制定下發(fā)、全網(wǎng)健康狀況監(jiān)測(cè)、統(tǒng)一殺毒、統(tǒng)一漏洞修復(fù)、非法外聯(lián)、終端準(zhǔn)入、桌面管控以及各種報(bào)表和查詢等能力。惡意代碼查殺模塊將統(tǒng)一調(diào)用多引擎分析組件以及沙箱分析組件進(jìn)行檢測(cè)，進(jìn)而解決本地管理中心病毒庫(kù)資源有限、誤報(bào)、查殺效率低等問(wèn)題。1.1.5安全運(yùn)營(yíng)計(jì)算機(jī)可疑程序深度分析鑒定框架需要進(jìn)行日常安全運(yùn)維，包括定期的安全評(píng)估、檢查配置是否滿足安全防護(hù)的需求，定期檢查運(yùn)行狀態(tài)和漏洞情況，及時(shí)修補(bǔ)漏洞，對(duì)新上線的功能模塊進(jìn)行安全評(píng)估、代碼審計(jì)，并在上線后定期進(jìn)行安全測(cè)試。1.1.6可疑程序研究分析服務(wù)依托國(guó)際領(lǐng)先的威脅情報(bào)和攻防實(shí)戰(zhàn)能力，提供專業(yè)的人工可疑程序研究分析服務(wù)，包括已知威脅與未知威脅。通過(guò)人工智能結(jié)合大數(shù)據(jù)知識(shí)以及攻擊者的“多維度”特征，還原攻擊者的全貌，包括程序形態(tài)、不同編碼風(fēng)格和不同攻擊原理的同源木馬程序、惡意服務(wù)器等，通過(guò)全貌特征跟蹤攻擊者，持續(xù)發(fā)現(xiàn)未知威脅。1.2功能組成計(jì)算機(jī)可疑程序深度分析鑒定框架的核心部分主要由多引擎分析組件、沙箱分析組件、黑白名單管理組件、威脅情報(bào)組件、樣本存儲(chǔ)管理組件和Web查詢組件6個(gè)組件組成，功能組成如圖2所示。圖2系統(tǒng)組成（1）多引擎分析組件。主要用于樣本分析和鑒定，共包含10個(gè)引擎，分別為云查殺引擎、鯤鵬引擎、AVE引擎、QVM引擎、QEX引擎、YARA引擎、大蜘蛛引擎、Avast引擎、Clamav引擎和F-Secure引擎。（2）沙箱分析組件。采用殺軟內(nèi)容檢測(cè)、動(dòng)態(tài)行為檢測(cè)、CVE檢測(cè)、YARA規(guī)則檢測(cè)、HASH檢測(cè)、機(jī)器學(xué)習(xí)檢測(cè)與分類和綜合威脅研判等技術(shù)，對(duì)高級(jí)網(wǎng)絡(luò)攻擊中廣泛采用的釣魚郵件、高級(jí)木馬等惡意樣本文件進(jìn)行深度檢測(cè)分析，可獲取樣本的基礎(chǔ)信息和行為信息等，從而挖掘其中存在的或潛在的可疑行為，并通過(guò)屏幕截圖和威脅行為捕獲的方式記錄樣本威脅行為，在線查看樣本檢測(cè)報(bào)告，方便安全分析人員進(jìn)行快速分析和調(diào)查取證。另外，組件提供豐富的數(shù)據(jù)接口，可向其他平臺(tái)提供檢測(cè)結(jié)果，既降低了安全分析壓力，又能提升惡意文件的檢測(cè)能力。（3）黑白名單管理組件。主要提供全網(wǎng)黑白名單存儲(chǔ)管理服務(wù)，接收多引擎分析組件和沙箱分析組件上報(bào)的黑白文件哈希值，并可對(duì)其他平臺(tái)提供賦能服務(wù)，通過(guò)對(duì)特定的樣本/網(wǎng)址進(jìn)行黑白級(jí)別預(yù)置，可形成自主運(yùn)營(yíng)的黑白名單庫(kù)。組件包括黑白名單查詢統(tǒng)計(jì)和黑白名單管理。（4）威脅情報(bào)組件。主要包括失陷檢測(cè)（IOC）類情報(bào)、IP信譽(yù)情報(bào)、域名信譽(yù)情報(bào)等，為沙箱分析組件提供本地化API查詢接口（機(jī)讀數(shù)據(jù)）。組件包括威脅情報(bào)服務(wù)、威脅情報(bào)管理和威脅情報(bào)統(tǒng)計(jì)展示。（5）樣本存儲(chǔ)管理組件。主要用于存儲(chǔ)正常文件、惡意樣本文件、用戶上報(bào)的文件、多引擎分析組件和沙箱分析組件分析后的文件，可進(jìn)行分類存儲(chǔ)并提供檢索服務(wù)。組件包括樣本分類存儲(chǔ)和樣本存儲(chǔ)管理。（6）Web查詢組件。主要提供可疑程序和病毒的在線查詢及分析服務(wù)。組件包括可疑程序查詢和病毒查詢。1.3工作原理計(jì)算機(jī)可疑程序深度分析鑒定框架的工作原理如圖3所示。圖3工作原理（1）客戶端獲取待鑒定文件特征值上傳到框架中。（2）由多引擎分析組件調(diào)用黑白名單庫(kù)進(jìn)行比對(duì)查找，若命中則向客戶端返回鑒定結(jié)果；若無(wú)法鑒定黑白屬性則向客戶端下發(fā)上傳可疑文件樣本命令，客戶端將樣本上報(bào)到多引擎組件。（3）多引擎分析組件調(diào)用云查殺引擎、QVM引擎、鯤鵬引擎、AVE引擎、QEX引擎、Clamav引擎、YARA引擎、大蜘蛛引擎、Avast引擎和F-Secure引擎對(duì)可疑樣本進(jìn)行分析鑒定。若多引擎鑒定樣本為惡意程序，則向終端下發(fā)查詢結(jié)果，同時(shí)將該文件直接加入黑白名單庫(kù)，并進(jìn)行存儲(chǔ)管理。（4）當(dāng)多引擎分析組件無(wú)法判斷樣本屬性時(shí)，則將該樣本作為可疑文件上傳到沙箱分析組件，通過(guò)虛擬化沙箱運(yùn)行，使用動(dòng)態(tài)行為檢測(cè)引擎、YARA規(guī)則檢測(cè)引擎、機(jī)器學(xué)習(xí)檢測(cè)引擎和機(jī)器學(xué)習(xí)分類引擎進(jìn)行深度檢測(cè)，識(shí)別免殺和高級(jí)惡意代碼，并提取樣本詳細(xì)行為。若樣本鑒定為惡意程序，則向終端下發(fā)查詢結(jié)果，同時(shí)將該文件直接加入黑白名單庫(kù)，并進(jìn)行存儲(chǔ)管理。（5）當(dāng)沙箱分析組件檢測(cè)結(jié)果不確定時(shí)，則將其轉(zhuǎn)為人工分析處理，并再次形成分析結(jié)果。若鑒定為白文件則添加至白名單庫(kù)，若鑒定為病毒或威脅文件則添加至黑名單庫(kù)中，鑒定結(jié)果仍不可判定的灰文件則存于文件存儲(chǔ)服務(wù)器中的灰名單文件夾中，等待下一次的分析研判。２技術(shù)實(shí)現(xiàn)2.1多引擎分析組件多引擎分析組件為計(jì)算機(jī)可疑程序深度分析鑒定框架的核心組件，引擎部分包括云查殺引擎、QVM引擎、鯤鵬引擎、AVE引擎、QEX引擎、Clamav引擎、YARA引擎、大蜘蛛引擎、Avast引擎和F-Secure引擎，管理部分包括引擎調(diào)度功能、引擎配置管理功能和綜合研判功能。整個(gè)多引擎分析組件提供綜合置信結(jié)果和各引擎掃描報(bào)告，包括判斷結(jié)果和威脅類型等。當(dāng)組件中≥5種引擎鑒定為黑文件時(shí)，則判定該樣本為惡意樣本，并向終端下發(fā)查詢結(jié)果；當(dāng)無(wú)法判定文件屬性時(shí)，則將文件傳入沙箱分析組件。另外，組件設(shè)置了引擎關(guān)閉功能，引擎被關(guān)閉后不加入綜合置信，技術(shù)實(shí)現(xiàn)原理如圖4所示。圖4多引擎分析組件技術(shù)實(shí)現(xiàn)原理2.2沙箱分析組件沙箱分析組件主要依托深度檢測(cè)和綜合威脅研判這兩個(gè)部分對(duì)樣本進(jìn)行檢測(cè)。通過(guò)在安全隔離虛擬環(huán)境中運(yùn)行待分析樣本，從而檢測(cè)樣本的異常行為，進(jìn)行綜合置信度的判定。組件支持批量文件的分析，文件類型包括Windows平臺(tái)和Linux下的可執(zhí)行文件、腳本文件等。2.2.1深度檢測(cè)（1）動(dòng)態(tài)行為檢測(cè)引擎。動(dòng)態(tài)行為檢測(cè)引擎是本組件的核心檢測(cè)引擎之一，也是檢測(cè)免殺木馬、高級(jí)木馬和變種勒索軟件的主要技術(shù)手段。該引擎通過(guò)在虛擬化環(huán)境模擬運(yùn)行病毒文件，捕獲文件的所有執(zhí)行行為，并結(jié)合內(nèi)置的行為判定規(guī)則識(shí)別惡意文件，同時(shí)給出判定依據(jù)和樣本的原始行為，以便分析取證，技術(shù)實(shí)現(xiàn)原理如圖5所示。圖5動(dòng)態(tài)行為檢測(cè)技術(shù)實(shí)現(xiàn)（2）HASH檢測(cè)引擎模塊。每個(gè)文件通過(guò)計(jì)算后都可得到唯一的HASH值。HASH檢測(cè)利用這一特性，將待檢測(cè)文件的HASH與威脅情報(bào)組件中的黑白HASH進(jìn)行比較，快速識(shí)別正常的白文件和已知的惡意文件。其中，白名單中的文件可跳過(guò)后續(xù)的檢測(cè)，從而加快檢測(cè)效率并提升檢測(cè)效果的準(zhǔn)確性，技術(shù)實(shí)現(xiàn)原理如圖6所示。圖6HASH檢測(cè)技術(shù)實(shí)現(xiàn)（3）殺軟內(nèi)容檢測(cè)引擎。組件集成了殺軟內(nèi)容檢測(cè)引擎，該引擎采用特征匹配方式，可對(duì)已知的惡意文件進(jìn)行進(jìn)一步的檢測(cè)識(shí)別。內(nèi)容檢測(cè)引擎具備500萬(wàn)+內(nèi)容檢測(cè)規(guī)則，可檢測(cè)2.77億+已知威脅，包括后門程序和木馬生成器等。（4）CVE檢測(cè)引擎。CVE檢測(cè)引擎采用特征匹配方式，可對(duì)已知的惡意文件進(jìn)行深度檢測(cè)識(shí)別。CVE檢測(cè)引擎主要利用Shellcode特征、CVE利用特征，識(shí)別利用已知CVE漏洞的惡意代碼，技術(shù)實(shí)現(xiàn)原理如圖7所示。圖7CVE檢測(cè)技術(shù)實(shí)現(xiàn)（5）YARA檢測(cè)引擎。YARA的開發(fā)目的是作為協(xié)助安全研究員分類與識(shí)別惡意程序的開源工具，基于二進(jìn)制和文本模式來(lái)創(chuàng)建惡意程序描述語(yǔ)言。YARA規(guī)則可與運(yùn)行中的程序或者文件進(jìn)行字符匹配，用以輔助安全研究人員判斷該程序是否屬于已標(biāo)記的惡意程序家族。本引擎主要是通過(guò)內(nèi)置YARA規(guī)則庫(kù)和用戶自定義YARA規(guī)則的方式，精準(zhǔn)識(shí)別惡意文件，可自定義YARA規(guī)則，不斷增強(qiáng)該引擎的檢測(cè)能力，技術(shù)實(shí)現(xiàn)原理如圖8所示。圖8YARA檢測(cè)技術(shù)實(shí)現(xiàn)（6）機(jī)器學(xué)習(xí)檢測(cè)與分類引擎。機(jī)器學(xué)習(xí)算法得以分類識(shí)別事物的核心在于“特征”，即分析原始數(shù)據(jù)并提取能反映原始對(duì)象特征的數(shù)據(jù)。因此，機(jī)器學(xué)習(xí)檢測(cè)與分類引擎通過(guò)預(yù)置高檢出率的機(jī)器學(xué)習(xí)算法模型，預(yù)測(cè)文件的惡意程度，分為訓(xùn)練和檢測(cè)兩個(gè)階段。在訓(xùn)練階段中，主要將已分類的正常樣本集合和惡意樣本放在虛擬化環(huán)境中執(zhí)行，抽取樣本的向量特征f（如圖9中fMN表示第N個(gè)樣本的第M個(gè)向量特征），不斷進(jìn)行訓(xùn)練學(xué)習(xí)，從而建立一個(gè)預(yù)測(cè)模型。然后，再將一些對(duì)應(yīng)的測(cè)試樣本放入預(yù)測(cè)模型持續(xù)調(diào)優(yōu)，直到預(yù)測(cè)模型準(zhǔn)確率能夠達(dá)到最高的穩(wěn)定數(shù)值。此時(shí)，這個(gè)預(yù)測(cè)模型就可以應(yīng)用于對(duì)未知的樣本進(jìn)行判斷分類。目前，組件已內(nèi)置3個(gè)PE類文件預(yù)測(cè)模型、1個(gè)Office預(yù)測(cè)模型和1個(gè)PDF預(yù)測(cè)模型，可將常見的容易攜帶特種木馬的PE可執(zhí)行文件、Office、PDF文件格式分別訓(xùn)練成預(yù)測(cè)模型，使檢測(cè)結(jié)果更準(zhǔn)確。機(jī)器學(xué)習(xí)訓(xùn)練過(guò)程如圖9所示。圖9機(jī)器學(xué)習(xí)訓(xùn)練過(guò)程在檢測(cè)階段中，該引擎可提取待檢測(cè)文件的向量特征，采用靜態(tài)機(jī)器學(xué)習(xí)模型、動(dòng)態(tài)機(jī)器學(xué)習(xí)模型和靜態(tài)+動(dòng)態(tài)機(jī)器學(xué)習(xí)模型，對(duì)樣本的威脅程度進(jìn)行預(yù)測(cè)，判定惡意威脅文件。通過(guò)樣本多分類模型，從釋放器、木馬、蠕蟲、后門、廣告5種能力模型維度，判定文件樣本的威脅性質(zhì)，機(jī)器學(xué)習(xí)檢測(cè)過(guò)程如圖10所示。圖10機(jī)器學(xué)習(xí)檢測(cè)過(guò)程2.2.2綜合威脅研判組件可對(duì)惡意代碼進(jìn)行深度分析，提取惡意代碼基本信息、簽名，捕獲惡意代碼的詳細(xì)行為，包括文件行為、進(jìn)程行為、網(wǎng)絡(luò)行為、注冊(cè)表行為、接口調(diào)用行為等，提取釋放物、Shellcode和通信數(shù)據(jù)包等，提供運(yùn)行截圖，可快速實(shí)現(xiàn)對(duì)惡意代碼的復(fù)核和調(diào)查取證，也可從行為中提取威脅情報(bào)，豐富威脅情報(bào)庫(kù)。組件通過(guò)多種檢測(cè)引擎的輸出結(jié)果，對(duì)文件威脅進(jìn)行綜合研判（如圖11所示），并對(duì)惡意樣本進(jìn)行分類，最終分為高、中、低、正常的威脅等級(jí)，輔助用戶決策?；谖募{的檢測(cè)結(jié)果，組件還提供了威脅詳細(xì)報(bào)告和原始日志報(bào)告輔助人工研判。圖11綜合威脅研判流程2.3黑白名單管理組件黑白名單管理組件提供黑白名單庫(kù)管理功能，是支撐計(jì)算機(jī)可疑程序深度分析鑒定框架第一步的核心組件。其中，白名單是經(jīng)過(guò)權(quán)威專業(yè)機(jī)構(gòu)鑒定并確認(rèn)為無(wú)危險(xiǎn)的樣本，包括正版操作系統(tǒng)程序、系統(tǒng)文件、驅(qū)動(dòng)文件和官方認(rèn)證的安全軟件等；黑名單是已經(jīng)鑒定為惡意的樣本，包括從云端、第三方開源社區(qū)等數(shù)據(jù)源收集的病毒樣本、惡意程序和終端上報(bào)的確認(rèn)為病毒的樣本。通過(guò)將框架對(duì)樣本的檢測(cè)結(jié)果增量擴(kuò)充至黑白名單庫(kù)中，可減輕框架收集和分析樣本的壓力。2.3.1黑白名單查詢統(tǒng)計(jì)黑白名單查詢統(tǒng)計(jì)主要提供黑白名單查詢功能，可將查詢結(jié)果進(jìn)行統(tǒng)計(jì)展示。2.3.2黑白名單管理黑白名單管理主要提供黑白名單的插入、刪除和更新等功能。同時(shí)，為了避免內(nèi)網(wǎng)出現(xiàn)誤殺和漏殺等情況，組件具備自定義文件黑白名單功能，可以針對(duì)全網(wǎng)批量添加或?qū)胛募?、文件哈希名單的方式，解決誤殺問(wèn)題，并能夠在病毒庫(kù)未及時(shí)更新時(shí)，仍對(duì)特種木馬等問(wèn)題進(jìn)行有效查殺。2.3.3服務(wù)接口服務(wù)接口主要提供對(duì)外的黑白名單查詢接口，能夠?yàn)槎嘁娣治鼋M件和沙箱分析組件提供數(shù)據(jù)支撐。2.4威脅情報(bào)組件2.4.1白名單情報(bào)白名單情報(bào)包括域名信息和IP地址信息等類“白名單”的數(shù)據(jù)信息。使用多源情報(bào)時(shí)，在提升檢出率的情況下，可能會(huì)引入更多的誤報(bào)。因此，需要有一個(gè)比較完整、合理的白名單來(lái)控制誤報(bào)，并對(duì)比發(fā)現(xiàn)多個(gè)情報(bào)來(lái)源中哪些存在較大量的誤報(bào)情況。2.4.2失陷檢測(cè)情報(bào)失陷檢測(cè)情報(bào)（IOC情報(bào)）通常為機(jī)器可識(shí)別的形式（機(jī)讀），其作用主要是用來(lái)及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中被黑客控制的失陷主機(jī)，以保障處理的及時(shí)性。失陷檢測(cè)情報(bào)覆蓋的威脅類型一般包括APT攻擊、木馬后門、僵尸網(wǎng)絡(luò)、黑客工具、挖礦木馬以及勒索軟件等。失陷檢測(cè)情報(bào)的數(shù)據(jù)類型一般覆蓋主機(jī)IP與端口信息、域名、URL等多種類型，結(jié)合DNS、HTTP日志、TCP會(huì)話等流量日志。2.4.3Sinkhole域名Sinkhole域名庫(kù)是安全廠商或組織為了遏制、研究網(wǎng)絡(luò)威脅，往往會(huì)接管部分已知的惡意域名，并將其解析的IP地址指向自身控制的服務(wù)器。被Sinkhole接管的域名有很大一部分與惡意軟件的遠(yuǎn)控C2相關(guān)，也有少部分的惡意下載、盜版等灰產(chǎn)相關(guān)的域名。對(duì)于惡意文件而言，域名被Sinkhole接管后，由于不再能和攻擊者之間形成通信，因此進(jìn)一步帶來(lái)危害的可能性較小，微軟、卡巴斯基等安全廠商使用Sinkhole的方法曾經(jīng)遏制了多起大規(guī)模的僵尸網(wǎng)絡(luò)事件。Sinkhole域名情報(bào)是確定事件報(bào)警正確性、優(yōu)先級(jí)的一個(gè)重要依據(jù)，同時(shí)也可以用來(lái)評(píng)判一條情報(bào)的價(jià)值高低。2.4.4IP地址情報(bào)IP地址情報(bào)是互聯(lián)網(wǎng)上40多億IP對(duì)應(yīng)的主機(jī)情報(bào)信息，包括阻截自動(dòng)化攻擊IP、對(duì)已有攻擊IP做優(yōu)先級(jí)排序和上下文富化、基于IP基礎(chǔ)屬性判斷訪問(wèn)行為是否可疑、協(xié)助判定發(fā)現(xiàn)的攻擊IP是否可以加入動(dòng)態(tài)阻截列表等。針對(duì)這些不同的用途，需要提供關(guān)于主機(jī)IP的不同類型信息或情報(bào)，如地理位置、所屬運(yùn)營(yíng)商、是否僵尸主機(jī)、是否自動(dòng)攻擊（掃描、DDoS、Spam等）、是否有高危攻擊行為、用戶類型（基站、IDC、撥號(hào)用戶、網(wǎng)關(guān)、CDN等）、是否匿蹤（含VPN、Tor等）等，涉及近20個(gè)維度的數(shù)據(jù)。IP地址情報(bào)既可以為“白名單庫(kù)”提供可信的地址信息，供機(jī)器處理，也為安全分析人員提供了可供分析的IP地址關(guān)聯(lián)信息。2.5樣本存儲(chǔ)管理組件