对可疑文件进行安全分析的方法、装置、电子设备及介质与流程

1.本技术涉及网络安全技术领域，尤其涉及一种对可疑文件进行安全分析的方法、装置、电子设备及介质。


背景技术：

2.随着网络技术的不断发展，越来越多的企业开始关注网络数据在企业中应用的安全问题。因为一旦有存在安全威胁的网络数据进入企业内部系统，企业内部的信息可能就会被盗取、篡改等，影响企业的信息安全。而沙箱分析系统作为一个能够对未知文件进行深入安全分析检测的系统，逐渐被越来越多的企业应用在信息的安全防护中。
3.目前，使用沙箱分析系统对企业信息进行安全防护，主要使用的是any.run沙箱系统。具体来说，当企业发现可疑文件时，企业通过页面将可疑文件送入any.run沙箱系统，any.run沙箱系统对可疑文件进行安全分析，得到可疑文件的安全分析结果，并将安全分析结果反馈给企业。当安全分析结果表示可疑文件安全时，企业对可疑文件就不再存疑，使得该文件进入后续处理流程。当安全分析结果表示可疑文件存在安全威胁时，企业就需要对该文件进行拦截、追溯等处理。这样，通过any.run沙箱系统，就能够确保进入企业的文件都是安全的，进而保障企业的信息安全。
4.然而，企业通过页面将可疑文件送入any.run沙箱系统，也就是说，当存在可疑文件需要进行安全分析时，就需要通过人工手动将可疑文件上传至页面，any.run沙箱系统从页面中获取可疑文件，进而对可疑文件进行安全分析。通过人工上传可疑文件效率较低，进而降低沙箱分析系统对可疑文件进行安全分析的效率。


技术实现要素：

5.本技术实施例的目的是提供一种对可疑文件进行安全分析的方法、装置、电子设备及介质，以提高沙箱分析系统对可疑文件进行安全分析的效率。
6.为解决上述技术问题，本技术实施例提供如下技术方案：
7.本技术第一方面提供一种对可疑文件进行安全分析的方法，所述方法包括：获取流量探针设备探测的可疑文件；对所述可疑文件进行安全分析，得到所述可疑文件的安全分析结果；输出所述可疑文件的安全分析结果。
8.本技术第二方面提供一种对可疑文件进行安全分析的装置，所述装置包括：获取模块，用于获取流量探针设备探测的可疑文件；分析模块，用于对所述可疑文件进行安全分析，得到所述可疑文件的安全分析结果；输出模块，用于输出所述可疑文件的安全分析结果。
9.本技术第三方面提供一种电子设备，所述电子设备包括：处理器、存储器、总线；其中，所述处理器、所述存储器通过所述总线完成相互间的通信；所述处理器用于调用所述存储器中的程序指令，以执行第一方面中的方法。
10.本技术第四方面提供一种计算机可读存储介质，所述存储介质包括：存储的程序；
其中，在所述程序运行时控制所述存储介质所在设备执行第一方面中的方法。
11.相较于现有技术，本技术第一方面提供的对可疑文件进行安全分析的方法，流量探针设备探测到可疑文件后，不再发送给相关人员，也不再通过相关人员手动将可疑文件发送至沙箱分析系统，而是直接将可疑文件发送至沙箱分析系统，中间节省了相关人员获取并转发可疑文件的步骤，并且，流量探针设备获取并上传可疑文件的效率相比于人工操作，效率明显会有所提升，这样，沙箱分析系统就能够在短时间内获得大量的可疑文件，从而对这些可疑文件进行安全分析，提高沙箱分析系统对于可疑文件的安全分析效率。
12.本技术第二方面提供的对可疑文件进行安全分析的装置、第三方面提供的电子设备、第四方面提供的计算机可读存储介质，与第一方面提供的对可疑文件进行安全分析的方法具有相同或相似的有益效果。
附图说明
13.通过参考附图阅读下文的详细描述，本技术示例性实施方式的上述以及其他目的、特征和优点将变得易于理解。在附图中，以示例性而非限制性的方式示出了本技术的若干实施方式，相同或对应的标号表示相同或对应的部分，其中：
14.图1为本技术实施例中对可疑文件进行安全分析的方法的流程示意图一；
15.图2为本技术实施例中沙箱分析系统动态反馈调整文件处理数量的过程示意图；
16.图3为本技术实施例中对可疑文件进行安全分析的方法的架构示意图；
17.图4为本技术实施例中对可疑文件进行安全分析的方法的流程示意图二；
18.图5为本技术实施例中对可疑文件进行安全分析的装置的结构示意图；
19.图6为本技术实施例中电子设备的结构示意图。
具体实施方式
20.下面将参照附图更详细地描述本技术的示例性实施方式。虽然附图中显示了本技术的示例性实施方式，然而应当理解，可以以各种形式实现本技术而不应被这里阐述的实施方式所限制。相反，提供这些实施方式是为了能够更透彻地理解本技术，并且能够将本技术的范围完整的传达给本领域的技术人员。
21.需要注意的是，除非另有说明，本技术使用的技术术语或者科学术语应当为本技术所属领域技术人员所理解的通常意义。
22.目前，使用any.run沙箱系统对可疑文件进行安全分析，需要通过人工将可疑文件通过页面上传至any.run沙箱系统，any.run沙箱系统再对可疑文件进行安全分析。而人工上传可疑文件的效率较低，进而降低沙箱分析系统对可疑文件进行安全分析的效率。
23.发明人经过研究发现，如果能以更高效的方式向沙箱分析系统送入可疑文件，那么沙箱分析系统就能够在短时间内接收到更多的可疑文件，并进行分析，提高沙箱分析系统对于可疑文件的安全分析效率。而这个更高效的方式就是通过流量探针设备向沙箱分析系统输入可疑文件。
24.有鉴于此，本技术实施例提供一种对可疑文件进行安全分析的方法、装置、电子设备及介质，流量探针设备探测到可疑文件后，不再发送给相关人员，也不再通过相关人员手动将可疑文件发送至沙箱分析系统，而是直接将可疑文件发送至沙箱分析系统，中间节省
了相关人员获取并转发可疑文件的步骤，并且，流量探针设备获取并上传可疑文件的效率相比于人工操作，效率明显会有所提升，这样，沙箱分析系统就能够在短时间内获得大量的可疑文件，从而对这些可疑文件进行安全分析，提高沙箱分析系统对于可疑文件的安全分析效率。
25.首先，对本技术实施例提供的对可疑文件进行安全分析的方法进行详细说明。
26.图1为本技术实施例中对可疑文件进行安全分析的方法的流程示意图一，参见图1所示，该方法可以包括：
27.s101：获取流量探针设备探测的可疑文件。
28.流量探针设备会对安全保护范围(例如：某一企业、某一个人设备)内的所有往来文件进行安全检测，当发现某一文件存在安全问题时，就会将该文件作为可疑文件，进而发送给沙箱分析系统进行更加具体的安全分析。
29.在实际应用中，可疑文件可以是一段程序，也可以是一个图片、文本等。对于可疑文件的具体类型，此处不做限定。
30.流量探针设备在某一时间段内可能会探测到多个可疑文件，此时，输入沙箱分析系统的可疑文件的数量就是多个。对于一次输入沙箱分析系统中的可疑文件的数量，需要根据流量探针设备实际探测到的可疑文件的数量以及沙箱分析系统的处理能力确定，此处不做具体限定。
31.s102：对可疑文件进行安全分析，得到可疑文件的安全分析结果。
32.沙箱分析系统获取到可疑文件后，就可以使用其中的沙箱对可疑文件进行安全分析。对于沙箱来说，如果可疑文件的数量为多个，可以调用与多个可疑文件数量相同的线程对应分析每一个可疑文件，也可以调用大于多个可疑文件数量的线程，对每一个可疑文件使用多线程分析，以实现多个可疑文件同时进行安全分析。对于实现多个可疑文件并行安全分析的具体方式，此处不做限定。
33.s103：输出可疑文件的安全分析结果。
34.沙箱分析系统对可疑文件完成安全分析后，就可以将可疑文件的安全分析结果以报告或者图标等形式进行输出。在输出可疑文件的安全分析结果的过程中，可以等本次所有可疑文件的安全分析结果均得到后再输出，也可以得到一部分可疑文件的所有安全分析结果，或者某个可疑文件的部分安全分析结果后就先进行输出，后续再陆续输出其它可疑文件的所有安全分析结果，或者该可疑文件的其它安全分析结果。对于可疑文件安全分析结果的具体输出方式，此处不做限定。
35.由上述内容可知，本技术实施例提供的对可疑文件进行安全分析的方法，流量探针设备探测到可疑文件后，不再发送给相关人员，也不再通过相关人员手动将可疑文件发送至沙箱分析系统，而是直接将可疑文件发送至沙箱分析系统，中间节省了相关人员获取并转发可疑文件的步骤，并且，流量探针设备获取并上传可疑文件的效率相比于人工操作，效率明显会有所提升，这样，沙箱分析系统就能够在短时间内获得大量的可疑文件，从而对这些可疑文件进行安全分析，提高沙箱分析系统对于可疑文件的安全分析效率。
36.进一步地，作为对上述步骤s101的扩展，沙箱分析系统的处理能力也有上限，如果流量探针设备一次发送的可疑文件数量过多，可能就会导致沙箱分析系统处理压力过大，出现文件积压或者系统卡顿，因此，需要对流量探针设备发送的可疑文件数量进行控制。
37.具体来说，在上述步骤s101之后，该方法可以包括：
38.步骤a1：确定可疑文件的文件数量。
39.也就是本次流量探针设备向沙箱分析系统发送了多少个可疑文件。
40.步骤a2：判断文件数量是否超出预设文件上限数。若是，则执行步骤a3，若否，则执行步骤s102。
41.其中，预设文件上限数用于表征当前最大的文件处理数量。也就是沙箱分析系统稳定且高效运行时能够处理的最大文件数量。对于预设文件上限数的具体数值，此处不做具体限定。
42.步骤a3：向流量探针设备发送预设文件上限数，使得流量探针设备后续发送的可疑文件的数量按照预设策略减少至预设文件上限数。
43.当文件数量超出预设文件上限数时，说明本次可疑文件在沙箱分析系统中进行安全分析时会出现积压，此时，沙箱分析系统需要向流量探针设备发送预设文件上限数，使得流量探针设备后续将可疑文件的发送数量按照预设策略减少至预设文件上限数。
44.这里需要说明的是，流量探针设备发送可疑文件数量按照预设策略的减少可以是一步到位的，也可以不是一步到位的，而是有一个递减的过程。即，流量探针设备发送可疑文件的数量是在经历多次发送后逐渐减少到预设文件上限数的。例如：流量探针设备第一次向沙箱分析系统发送300个可疑文件，超出系统的预设文件上限数200，流量探针设备第二次向沙箱分析系统发送280个可疑文件，流量探针设备第三次向沙箱分析系统发送260个可疑文件，
……
，流量探针设备第六次向沙箱分析系统发送200个可疑文件，符合系统的预设文件上限数200。
45.这里需要说明的是，减少获取可疑文件的数量，可以是降低向沙箱分析系统发送可疑文件的频率，也可以是先获取一定数量的可疑文件，然后间隔一段时间，再获取一定数量的可疑文件。对于减少获取可疑文件数量的具体方式，此处不做限定。
46.s102：对可疑文件进行安全分析，得到可疑文件的安全分析结果。
47.也就是说，当流量探针设备本次发送的可疑文件数量超出预设文件上限数时，沙箱分析系统一边向流量探针设备反馈预设文件上限数，一边继续对这些可疑文件进行安全分析。当流量探针设备本次发送的可疑文件数量没有超出预设文件上限数时，沙箱分析系统就继续对这些可疑文件进行安全分析。
48.由上述内容可知，通过判断可疑文件的数量是否超出预设文件上限数，并在确定可疑文件的数量超出预设文件上限数时，向流量探针设备发送预设文件上限数，使得流量探针设备后续发送可疑文件时将数量降至预设文件上限数，避免沙箱分析系统中积压过多的可疑文件，确保提高沙箱分析系统能够高效稳定运行。
49.进一步地，作为对上述步骤a2的细化，在沙箱分析系统中，提供用于安全分析的线程并不会在一开始给到最多，可以将一部分线程先留出来，以供系统进行其它处理，待流量探针实际发送的文件数量持续过大时，可以在系统中增加用于安全分析的线程数量。
50.具体来说，基于预设文件上限数划分出多个文件数区间，每个文件数区间设置有对应的线程数。举例来说，假设预设文件上限数为600，那么，可疑划分出三个文件数区间，即0-200、201-400、401-600。0-200设置有线程数5，201-400设置有线程数10，401-600设置有线程数15。当然，文件数区间的具体数量，可以根据实际情况确定，此处不做限定。而为各
文件数区间配置的线程数，需要在相应文件数区间中最大值的基础上，能够使系统高效平稳地运行。
51.上述步骤a2可以包括：
52.步骤a21：判断多个文件数区间中是否存在文件数量对应的目标文件数区间。若是，则执行步骤a22，若否，则执行步骤a3。
53.在确定流量探针设备当前发送的可疑文件的文件数量后，将该文件数量与多个文件数区间逐个进行匹配，确定该文件数量具体落在哪一个文件数区间内。如果该文件数量落在了某一个文件数区间内，那么该文件数区间就是目标文件数区间，并且确定多个文件数区间中存在文件数量对应的目标文件数区间。如果该文件数量并没有落在这些文件数区间内，说明该文件数量超出了预设文件上限数，确定多个文件数区间中不存在文件数量对应的目标文件数区间。
54.步骤a22：调用目标文件数区间对应的线程数，以对可疑文件进行安全分析。
55.也就是说，当从多个文件数区间中查找到当前的文件数量对应的目标文件数区间时，说明当前的文件数量没有超出预设文件上限数，进而调用查找到的目标文件数区间对应的线程数量对当前的可疑文件进行安全分析。
56.在调用不同数量的线程进行安全分析时，可以先选择一个最低的文件数区间作为基准，在确定可疑文件的文件数量后，先判断文件数量是否位于该文件数区间内，若位于，则使用该文件数区间对应的线程数量进行安全分析，若不位于，则继续判断文件数量是否位于上一级的文件数区间内，以此类推，直到找到文件数量对应的文件数区间，进而使用该文件数区间对应的线程数对可疑文件进行安全分析。
57.也就是说，在系统中，对于安全分析，先不配置最大的线程数，而是先配置一个较少的线程数，当接收的文件数量小于或等于该较少的线程数对应的文件上限时，则使用该较少的线程数对可疑文件进行安全分析。当接收的文件数量大于该较少的线程数对应的文件上限时，则在该较少的线程数上增加一定数量的线程，进而对可疑文件进行安全分析。在系统中配置了较多的线程数之后的一段时间，如果发现接收的文件数量小于或等于当前线程数对应的文件上限，则在当前线程数的基础上减少一定数量的线程，使得可疑文件在该数量线程的基础上也能够高效稳定的实现安全分析。如此，能够最大化的利用系统线程，避免线程的浪费。
58.步骤a3：向流量探针设备发送预设文件上限数。
59.也就是说，当从多个文件数区间中没有查找到当前的文件数量对应的目标文件数区间时，说明当前的文件数量超出了预设文件上限数，此时需要向流量探针设备发送预设文件上限数，以使流量探针设备后续发送预设文件上限数的可疑文件。
60.图2为本技术实施例中沙箱分析系统动态反馈调整文件处理数量的过程示意图，参见图2所示，可疑文件从流量探针设备输入到沙箱分析系统后，系统基于预置的处理能力参数(也就是当前的文件上限数)，在沙箱中对可疑文件进行安全分析。可疑文件的输入与可疑文件的安全分析循环进行，当可疑文件的数量变大时，系统中线程的数量会相应增加，文件上限数，即处理能力参数也会增加，使得可疑文件能够在沙箱中稳定高效运行。可疑文件在沙箱中处理完成后，生成并记录分析结果，进而输出展示。
61.同时，基于多次可疑文件的分析结果同步调整处理能力参数，使得沙箱中线程的
数量与流量探针设备一次送入的可疑文件的数量能够匹配。例如：系统的上限数从200调整为400，那么，此后系统最大就可以接受400个可疑文件，而不再是200个可疑文件了。
62.而当确定可疑文件的输入量在一段时间内又变少时，可以将上限数再降回之前的档位，即再减少系统中用于安全分析的线程数，使得系统中减少的线程可以用于其它处理，减少可疑文件对线程的占用。继续上述举例：在后续的一段时间内，谭政设备向系统发送的文件数量始终在180-200之间，那么，系统就可以将上限数从400再跳回200。
63.可疑文件的输入数量，决定系统中安全分析的线程数量，需要确保系统的稳定输出。系统的分析结果的输出量，决定可接受可疑文件的输入数量。这样能够保证文件输入数量与系统处理能力的动态平衡，确保系统高效且稳定的运行。
64.由上述内容可知，基于预设文件上限数划分出多个文件数区间，每个文件数区间设置有对应的线程数，当可疑文件的文件数量落在相应的文件数区间内时，就使用相应文件数区间对应的线程数对可疑文件进行安全分析，能够避免占用过多的线程，提高系统中线程的利用率。
65.进一步地，作为对上述步骤a3的细化，即便流量探针设备获得了沙箱分析系统反馈的文件上限数，但是流量探针设备发送的文件数可能会有上下的波动，为了避免系统基于流量探针设备发送的不稳定的文件数反复调整系统用于安全分析的线程数，沙箱分析系统在向流量探针设备反馈文件上限数时，可以不反馈上限数本身，而是反馈一个比上限数更小的数值。
66.具体来说，上述步骤a3可以包括：
67.步骤a31：向流量探针设备发送预置数。
68.其中，预置数小于预设文件上限数，使得流量探针设备基于预置数，在发送文件数产生波动的情况下，发送的可疑文件的数量小于预设文件上限数。
69.举例来说，假设在流量探针设备向情报沙箱分析系统发送多个可疑文件后，系统原本要向流量探针设备反馈预设文件上限数200，考虑到流量探针设备基于一定数量发送文件时可能会产生
±
20的波动，因此，系统实际向流量探针设备反馈预置数180，这样，流量探针设备即便基于180产生了+20的波动，那么发送的文件数量也是200，不会超出预设文件上限数，进而系统也不会频繁的调整线程数量。
70.在实际应用中，预置数可以是预设文件上限数按照一定比例缩小后得到的，这个比例可以是75％、80％、90％等，需要根据流量探针设备按一定数量发送文件时产生的最大文件波动数确定。
71.由上述内容可知，在向流量探针设备反馈预设文件上限数时，实际反馈一个小于预设文件上限数的预置数，使得流量探针设备发送文件时在发送的文件数量上产生波动，也不会超出预设文件上限数，进而避免系统频繁的更改线程数量，确保系统的稳定运行。
72.进一步地，作为对上述步骤s101的扩展，对于重复上传的文件，可以在确定文件重复上传后，不再对重复上传的文件进行安全分析，而是将先前已进行过安全分析的文件的分析结果作为重复文件的分析结果。
73.具体来说，在上述步骤s101之后，该方法可以包括：
74.步骤b1：判断可疑文件是否与已进行安全分析的历史文件相同。若是，则执行步骤b2，若否，则执行步骤s102。
75.在具体的判断过程中，可以采用信息摘要算法(message digest algorithm，md5)进行文件是否相同的判断。首先，计算出可疑文件的md5值，然后，获取先前进行过安全分析的各可疑文件，即历史文件的md5值，接着，将可疑文件的md5值与各历史文件的md5值进行对比，如果对比出一致的md5值，则确定可疑文件与该历史文件重复，如果没有对比出一致的md5值，则确定可疑文件与历史文件无重复。
76.当然，还可以采用其它方式进行文件是否相同的判断，例如：将两个文件中的内容逐个进行比对。对于可疑文件与历史文件是否相同的具体判断方式，此处不做限定。
77.步骤b2：根据用户确认信息确定是否对可疑文件进行安全分析。
78.当判断出可疑文件与历史文件相同时，说明先前已进行过相同内容文件的安全分析，此时，可疑文件可以直接跳过安全分析，直接采用相同的历史文件的分析结果即可。这样能够准确快速的得到可疑文件的安全分析结果。也可以向页面输出一个提示信息，以提示用户该文件先前已进行过安全分析，此时是否还需要再次进行安全分析。若用户需要再次对该文件进行安全分析，用户此时会在页面输入一个确认信息，通过确认信息，即可再次对可疑文件进行安全分析。如果用户输入的确认信息表示无需再次分析，即可跳过对该可疑文件的安全分析，输出相同历史文件的安全分析结果。通过向用户询问，使得文件的安全分析更加人性化。
79.步骤s102：对可疑文件进行安全分析。
80.当判断出可疑文件与历史文件不相同时，说明相同内容的文件此前并没有进行过安全分析，可疑文件是第一次出现，此时，就需要将可疑文件在沙箱分析系统中进行安全分析。
81.由上述内容可知，通过在已进行过安全分析的历史文件中查找是否存在与可疑文件内容相同的文件，并在查找到相同文件的情况下，将相同文件的安全分析结果作为可疑文件的安全分析结果，能够避免可疑文件重复进行安全检测，提高沙箱分析系统的处理效率。
82.进一步地，作为对上述步骤b2的扩展，可疑文件与已经过过安全分析的历史文件之间的重复性判断是需要有时效的，如果后面分析的文件和之前分析的文件是一个文件，但两次提交分析的时间相隔很久，威胁情报库可能会发生更新，导致最近提交的分析文件不是依赖最新的情报库进行分析的，会出现安全分析结果的不精准，因此间隔时间较久的两个文件，后一个文件仍需要进行安全分析。
83.具体来说，在上述步骤b2之前，该方法还可以包括：
84.步骤b20：判断可疑文件的获取时间与相同的历史文件的分析时间之间的时间差是否小于预设时间差。若是，则执行步骤b2，若否，则执行步骤s102。
85.在已进行过安全分析的历史文件中，查找到与可疑文件内容相同的历史文件后，沙箱分析系统就需要确定接收可疑文件的时间，以及确定相同历史文件的分析时间，并计算两个时间之间的时间差，并将计算出的时间差与预设时间差进行大小对比。
86.在实际应用中，预设时间差可以是1天、2天、3天等。对于预设时间差的具体大小，此处不做限定。
87.步骤b2：根据用户确认信息确定是否对可疑文件进行安全分析。
88.步骤s102：对可疑文件进行安全分析。
89.当判断出可疑文件的接收时间与相同历史文件的分析时间之间的时间差小于预设时间差时，说明可疑文件的输入与相同历史文件的分析之间间隔的时间较短，情报库等在很大概率上没有更新，或者更新的内容较少，因此，可疑文件可以直接跳过安全分析，采用相同历史文件的分析结果，能够准确快速的得到可疑文件的安全分析结果。或者，可以向页面输出一个提示信息，以提示用户该文件先前已进行过安全分析，并且距离上次分析的时间较短，此时是否还需要再次进行安全分析。若用户需要再次对该文件进行安全分析，用户此时会在页面输入一个确认信息，通过确认信息，即可再次对可疑文件进行安全分析。如果用户输入的确认信息表示无需再次分析，即可跳过对可疑文件的安全分析，输出相同历史文件的分析结果。通过向用户询问，使得文件的安全分析更加人性化。
90.当判断出可疑文件的接收时间与相同历史文件的分析时间之间的时间差大于或等于预设时间差时，说明可疑文件的输入与相同历史文件的分析之间间隔的时间较长，情报库等在很大概率上已经更新，甚至更新了较多的内容，因此，需要将可疑文件在沙箱分析系统中进行安全分析。
91.由上述内容可知，通过可疑文件的接收时间与相同历史文件的分析时间之间的时间差，确定可疑文件与相同历史文件之间的时间间隔，并在确定时间间隔较大时，再次对可疑文件进行安全分析，避免情报库的更新对可疑文件的分析结果的影响，提高可疑文件安全分析的精准性。
92.进一步地，作为对上述步骤s101的扩展，过大的可疑文件可能无法进入到沙箱分析系统，进而沙箱分析系统也无法对可疑文件进行安全分析，因此，需要确保输入的可疑文件不能够太大。
93.具体来说，在上述步骤s101之后，该方法可以包括：
94.步骤c1：判断可疑文件的数据量是否超出预设数据量。若是，则执行步骤c2，若否，则执行步骤s102。
95.这里的预设数据量可以根据沙箱分析系统的入口一次能够通过的文件大小确定。当沙箱分析系统的入口较大时，可以将预设数据量设置的大一些，当沙箱分析系统的入口较小时，可以将预设数据量设置的小一些。
96.步骤c2：采用预设处理方式将可疑文件处理为数据量小于预设数据量的文件，以使可疑文件能够进入沙箱进行安全分析。
97.这里的预设处理方式，可以是压缩，也可以是分流。
98.对于分流的处理方式，在可疑文件可拆的情况下，可以将可疑文件分段拆为多个小文件，多个小文件可以依次进入沙箱。在多个小文件进入到沙箱后，沙箱可以将这些小文件在还原为可疑文件，从而对可疑文件进行安全分析。例如：可疑文件为1000mb，预设数据量为30mb，可以将可疑文件拆分为30mb、30mb、30mb、10mb这4个小文件，也可以将可疑文件拆分为25mb、25mb、25mb、25mb这4个小文件，也可以将可疑文件拆分为20mb、20mb、20mb、20mb、20mb这5个小文件。对于拆分出的小文件的具体形式，此处不做限定。
99.以上是对于流量探针设备向系统输入可疑文件的处理方式，对于用户通过页面输入的可疑文件，在确定可疑文件过大时，可以向页面发出一个提示信息，以提示可疑文件过大。这样，用户在看到提示信息后，就可以将可疑文件拆分成多个小文件，或者将可疑文件进行多次压缩，以便成功上传页面。
100.步骤s102：对可疑文件进行安全分析。
101.当可疑文件的数据量超出预设数据量时，将可疑文件的数据量处理为符合要求的数据量，以及当可疑文件的数据量没有超出预设数据量时，就可以继续进行下一步，即，对可疑文件进行安全分析。
102.由上述内容可知，在将可疑文件送入沙箱进行安全分析前，先判断可疑文件的数据量是否过大，如果过大，则将可疑文件处理为数据量小于预设数据量的文件，这样能够使过大的可疑文件也顺利进入沙箱，确保可疑文件能够进行安全分析。
103.进一步地，作为对上述步骤c2的扩展，减小可疑文件的数据量，可以采用压缩文件的方式，将可疑文件的数据量处理成小于预设数据量的文件。
104.具体来说，上述步骤c2可以包括：
105.步骤c21：对可疑文件进行压缩处理，得到压缩文件。
106.将可疑文件进行压缩后，可疑文件的数据量就会变小，得到的压缩文件的数据量就会小于可疑文件的数据量。
107.一次压缩的数据量有限，如果可疑文件的数据量超出预设数据量不多，那么可疑文件一次压缩后，得到的文件的数据量就可能小于预设数据量。而如果可疑文件的数据量超出预设数据量较多，那么可疑文件一次压缩后，得到的文件的数据量可能仍大于预设数据量，可以对得到的文件继续压缩。多次压缩后，得到的文件的数据量就有可能小于预设数据量。对于压缩的次数，此处不做限定。
108.在进行压缩时，可以压缩为zip格式的文件，也可以压缩为rar格式的文件。如果可疑文件进行了多次压缩，每次压缩的格式可以相同，可以部分相同，也可以各不相同。
109.步骤c22：判断压缩文件的数据量是否小于预设数据量。若是，则执行步骤s23，若否，则执行步骤c24。
110.步骤s23：将压缩文件作为数据量小于预设数据量的文件。
111.当压缩文件的数据量小于预设数据量时，说明可疑文件经过压缩后，其数据量符合进入系统的要求，可以将压缩文件输入系统。
112.步骤c24：将压缩文件拆分为多个数据量小于预设数据量的文件。
113.当压缩文件的数据量大于或等于预设数据量时，说明可疑文件经过压缩后，其数据量仍然不符合进入系统的要求，此时可以对压缩文件继续进行拆分，拆分成多个数据量小于预设数据量的文件，每个文件可以分别进入到系统中。这里拆分方式与上述的分流方式相似，此处不再赘述。
114.由上述内容可知，通过对可疑文件进行压缩处理，并将小于预设数据量的压缩文件直接输入系统，既能够使可疑文件顺利进入沙箱，还能够对可疑文件进行完整保留，避免在减小文件数据量过程中对可疑文件的内容造成影响，使得可疑文件能够被完整的进行安全分析，确保可疑文件安全分析结果的准确性。而在压缩文件的数据量仍大于预设数据量时，将压缩文件进行拆分，能够确保可疑文件最终顺利进入系统。
115.进一步地，作为对上述步骤s102的扩展，沙箱分析系统除了接受流量谭政设备发送的可疑文件，还会接收用户通过页面上传的可疑文件，而用户通过页面上传的可疑文件，一般都是用户认为有较大嫌疑的文件，因此需要优先在系统中进行安全分析。
116.具体来说，在上述步骤s102之前，该方法可以包括：
117.步骤d1：获取页面上传的可疑文件。
118.当企业中的安全分析人员发现有一份文件存在嫌疑，需要通过沙箱进一步详细分析时，该人员可以将该可疑文件上传至页面，这样，页面就可以将该可疑文件传输至沙箱分析系统，或者沙箱分析系统每间隔一段时间就从页面中获取可疑文件，进而沙箱分析系统就获得了用户在页面上传的可疑文件。
119.步骤d2：将页面上传的可疑文件的优先级设置为高于流量探针设备探测的可疑文件的优先级。
120.其中，优先级用于指示进行安全分析的先后顺序。
121.对于沙箱分析系统来说，从流量探针设备获得的可疑文件可以设置为一种优先级，从页面获得的可以文件可以设置为一种优先级。后者的优先级高于前者的优先级，这样，沙箱分析系统在对多个可疑文件进行安全分析，并且无法同时进行所有可疑文件的安全分析时，就会优先选择页面上传的可疑文件进行安全分析。
122.在实际应用中，可疑文件的优先级可以通过在可疑文件上进行标识，也可以生成一个可疑文件与优先级的对应关系列表。对于优先级设置的具体方式，此处不做限定。
123.由上述内容可知，通过将页面上传的可疑文件的优先级设置的高于流量探针设备探测的可疑文件的优先级，能够使用户手动上传的可疑文件优先被处理，提高用户的使用体验。
124.进一步地，作为对上述步骤d1的扩展，流量探针设备会上传若干可疑文件进行安全分析，用户也会通过页面上传一些可疑文件进行安全分析，如果这两方面上传的可疑文件的总数超出沙箱分析系统当前的并行处理能力，系统不仅会限制流量探针设备上传可疑文件的数量或速率，还会限制页面中用户的上传行为。
125.具体来说，在上述步骤d1之后，该方法还可以包括：
126.步骤d01：判断页面上传的可疑文件与流量探针设备探测的可疑文件的文件数量和是否达到预设文件上限数。若是，则执行步骤d02，若否，则执行步骤d2。
127.预设文件上限数，就是沙箱分析系统一次能够同时处理的最大文件数。流量探针设备与页面同时向系统发送可疑文件，对于系统来说，这两处发来的可疑文件都是可疑文件，需要进行安全分析，因此，需要将这两处发来的可疑文件的数量进行加和，进而判断所加之和是否超出预设文件上限数，以便控制流量探针设备以及页面的可疑文件输入量，以及调整系统中的文件上限数，即增加系统安全分析的线程数。
128.步骤d02：向页面发送限制指令，限制页面在预设时间段内继续上传可疑文件的数量。
129.系统向页面发送指令，页面会显示该指令，该指令会被用户看到。用户看到该指令后，就会知晓其被限制大量上传可疑文件。如果用户仍然大量上传可疑文件，页面会先将用户上传的可疑文件进行存储，待系统能够接收大量的可疑文件时，页面再将这些可疑文件发送到系统。
130.指令中限制的预设时间段，可以是1分钟、10分钟等，对于预设时间段的具体长度，此处不做限定。
131.指令中限制的可疑文件的数量，可以是原上传文件数量的一半、十分之一等，对于可疑文件数量的具体数值，此处也不做限定。
132.步骤d2：将页面上传的可疑文件的优先级设置为高于流量探针设备探测的可疑文件的优先级。
133.由上述内容可知，在页面上传的可疑文件与流量探针设备探测的可疑文件的文件数量和达到系统的预设文件上限数时，对页面上传的可疑文件进行限制，能够使用户知晓系统安全分析文件已饱和的同时，还能够减小系统的运行压力。
134.进一步地，作为对上述步骤s102的扩展，在对可疑文件进行安全分析后，还需要及时的将安全分析结果进行展示。
135.具体来说，在上述步骤s102之后，该方法还可以包括：
136.步骤e1：确定对可疑文件进行安全分析的种类。
137.在可疑文件的安全分析中，包含的种类可以有：静态分析、动态分析、病毒对抗分析、深度解析引擎分析和威胁情报分析。当然，还有其它的各种分析，此处不再一一列举。
138.步骤e2：确定种类分别对应的用于进行安全分析的线程。
139.在沙箱分析系统中，为安全分析配置有多个线程，每个线程可以进行一种安全分析。可疑文件进入沙箱后，可疑文件会被沙箱中的多个线程分别进行一种安全分析。此时需要确定可疑文件进行每种安全分析的线程。
140.举例来说，假设在沙箱中，文件a通过线程1进行静态分析，文件a通过线程2进行动态分析，文件a通过线程3进行病毒对抗分析，文件a通过线程4进行深度解析引擎分析，文件a通过线程5进行静态分析威胁情报分析。文件b通过线程6进行静态分析，文件b通过线程7进行动态分析，文件b通过线程8进行病毒对抗分析，文件b通过线程9进行深度解析引擎分析，文件b通过线程10进行威胁情报分析。此时，需要确定线程1是对文件a进行静态分析，线程2是对文件a进行动态分析，线程3是对文件a进行病毒对抗分析，线程4是对文件a进行深度解析引擎分析，线程5是对文件a进行威胁情报分析。以及确定线程6是对文件b进行静态分析，线程7是对文件b进行动态分析，线程8是对文件b进行病毒对抗分析，线程9是对文件b进行深度解析引擎分析，线程10是对文件b进行威胁情报分析。
141.步骤e3：按照预设时间间隔，从相应的线程中获取可疑文件的安全分析结果。
142.步骤e4：将安全分析结果更新至可疑文件的安全分析报告中。
143.对于每一个可疑文件来说，其大小、内容不同，进行安全分析所耗费的时长也会有所不同。并且，每一个可疑文件在进行安全分析时，都会进行多种类的安全分析，不同种类的安全分析所耗费的时间也不相同。因此，每一个可疑文件进行完一种安全分析，相应的安全分析结果需要先更新至安全分析报告中，这样能够使用户感知可疑文件都在进行安全分析。
144.在将多个可疑文件送入沙箱进行安全分析后，可以在预设时间间隔后，从各个线程中获取安全分析结果，哪个线程输出了安全分析结果，就获取该线程对应的可疑文件的相应种类的安全分析结果，进而将获取的安全分析结果添加到相应可疑文件的安全分析报告中。当然，也可以在预设时间段内不停地从这些线程中拉取结果，只要沙箱分析系统对某个可疑文件分析出了一些结果，就将该结果拉出。这些获取的结果就可以作为新产生的安全分析结果，进而更新在相应的可疑文件的安全分析报告中。后续再获取到新产生的安全分析结果，在相应可疑文件的安全分析报告中继续补充即可，直到多个可疑文件的安全分析报告的内容完整为止。
145.举例来说，假设将可疑文件a、可疑文件b和可疑文件c输入到沙箱中进行安全分析。在1分钟后，从系统线程中拉取到可疑文件a的静态分析结果、可疑文件b的静态分析结果以及可疑文件c的静态分析结果，此时，将可疑文件a的静态分析结果更新到可疑文件a的安全分析报告中，将可疑文件b的静态分析结果更新到可疑文件b的安全分析报告中，将可疑文件c的静态分析结果更新到可疑文件c的安全分析报告中。再经过1分钟，从系统中拉取到可疑文件a的动态分析结果、可疑文件a的病毒对抗分析结果以及可疑文件a的深度解析引擎分析结果，此时，再将可疑文件a的动态分析结果、可疑文件a的病毒对抗分析结果以及可疑文件a的深度解析引擎分析结果更新到可疑文件a的安全分析报告中。直到可疑文件a、可疑文件b、可疑文件c的安全分析报告中的内容更新完成为止。
146.由上述内容可知，通过定时从沙箱分析系统中拉取各可疑文件的部分安全分析结果，能够及时的对可疑文件的安全分析报告进行更新，使得用户能够感知到多个可疑文件都在被实时处理。
147.进一步地，作为对上述步骤s101的扩展，在获取到多个可疑文件后，可以先将获取的可疑文件存储起来，以便后续需要再次对可疑文件进行安全分析时，能够直接调用，无需用户再次上传。
148.具体来说，在上述步骤s101之后，该方法可以包括：
149.步骤f1：将可疑文件存储至第三方存储空间。
150.在获取到可疑文件后，在对可疑文件进行安全分析前，可以先将可疑文件存储在第三方存储空间，以便后续再次使用相应的可疑文件时，无需再次向沙箱分析系统上传可疑文件。
151.在实际应用中，第三方存储空间可以是分布式文件存储系统(hadoop distributed file system，hdfs)。当然，也可以是其它类型的存储空间，例如：沙箱分析系统中的存储空间等。对于第三方存储空间的具体类型，此处不做限定。
152.步骤f2：每当接收到安全分析指令时，从第三方存储空间获取安全分析指令指示的可疑文件，并将安全分析指令指示的可疑文件进行安全分析。
153.当安全分析报告更新失败，或者可疑文件在安全分析中发生错误等情况出现时，需要沙箱分析系统再次对相应的可疑文件进行安全分析，此时，可以无需用户重新在页面上传相应的可疑文件，或者从探针设备中查找相应的可疑文件，用户可以指定需要再次进行安全分析的可疑文件，系统就能够生成相应可疑文件的安全分析指令，通过安全分析指令从第三方存储空间中直接获取相应的可疑文件，进而进行安全分析。
154.由上述内容可知，通过将可疑文件存储在第三方存储空间中，以便需要再次对可疑文件进行处理时，能够直接从第三方存储空间中获取可疑文件，避免用户再次向系统导入可疑文件，提高用户对于安全分析的使用体验。
155.最后，以一个完整实施例对本技术实施例提供的对可疑文件进行安全分析的方法再次进行说明。
156.图3为本技术实施例中对可疑文件进行安全分析的方法的架构示意图，参见图3所示，在该架构中，流量探针自动获取可疑文件，或者用户通过web页面上传可疑文件。在获取到可疑文件后，先对可疑文件进行解析和限流，具体根据沙箱分析系统中配置的文件上限值控制流量探针发送可疑文件的频率，以及限制用户在web页面上传可疑文件的数量。然后
将可疑文件存储，具体存储在hdfs服务。接着，将可疑文件送入沙箱分析系统中进行安全分析，具体通过微服务进行可疑文件安全分析具体调度的控制，通过沙箱进行可疑文件的安全分析，然后生成分析信息记录，进而更新至分析报告中。分析信息记录可以在页面进行可视化展示。分析信息记录和分析报告可以同步进行存储。此外，还可以对存储的记录和报告进行容量监测，当存储空间容量不足时，可以删除存储的可疑文件、记录或者报告，优先删除时间较久的文件或报告。
157.图4为本技术实施例中对可疑文件进行安全分析的方法的流程示意图二，参见图4所示，该方法可以包括：
158.s401：用户通过web页面上传可疑文件。
159.s402：web页面对可疑文件进行大小校验，并将校验通过的可疑文件上传到hdfs服务和沙箱分析系统。
160.s403：流量探针将可疑文件推送到沙箱分析系统。
161.s404：沙箱分析系统中的沙箱服务对可疑文件进行唯一性、重复性、类型等校验，并获取可疑文件的上传频率，根据上传频率对web页面和流量探针进行限流。
162.s405：沙箱分析系统中的沙箱平台对上传的可疑文件进行全方位的安全分析。
163.s406：沙箱服务定时每分钟同步沙箱平台分析完成的报告文件，或者，在可疑文件上传沙箱平台的5分钟内，沙箱服务持续拉取报告文件。
164.s407：报告文件同步存储到hdfs服务中。
165.s408：用户通过web页面下载报告文件，如果报告文件同步失败，用户通过web页面点击重复分析按钮进行重新分析。
166.由上述内容可知，通过沙箱分析系统，能够平衡探针上传文件速率过快，情报沙箱平台处理性能较慢的问题，达到削峰填谷的效果，实现检测的高效性。hdfs服务能够缓存大文件数据，使得平台数据不被丢弃，并能准实时同步检测结果信息，实现近实时批量分析可疑文件的能力。
167.基于同一发明构思，作为对上述方法的实现，本技术实施例还提供了一种对可疑文件进行安全分析的装置。图5为本技术实施例中对可疑文件进行安全分析的装置的结构示意图，参见图5所示，该装置可以包括：
168.获取模块501，用于获取流量探针设备探测的可疑文件；
169.分析模块503，用于对所述可疑文件进行安全分析，得到所述可疑文件的安全分析结果；
170.输出模块503，用于输出所述可疑文件的安全分析结果。
171.进一步地，所述装置还包括：限流模块，用于确定所述可疑文件的文件数量；判断所述文件数量是否超出预设文件上限数，所述预设文件上限数用于表征当前最大的文件处理数量；若是，则向所述流量探针设备发送所述预设文件上限数，使得所述流量探针设备后续发送的可疑文件的数量按照预设策略减少至所述预设文件上限数。
172.进一步地，基于所述预设文件上限数划分出多个文件数区间，每个文件数区间设置有对应的线程数；
173.所述限流模块，具体用于判断所述多个文件数区间中是否存在所述文件数量对应的目标文件数区间；若存在所述目标文件数区间，则调用所述目标文件数区间对应的线程
数，以对所述可疑文件进行安全分析；若不存在所述目标文件数区间，则向所述流量探针设备发送所述预设文件上限数。
174.进一步地，所述限流模块，具体用于向所述流量探针设备发送预置数，所述预置数小于所述预设文件上限数，使得所述流量探针设备基于所述预置数，在发送文件数产生波动的情况下，发送的可疑文件的数量小于所述预设文件上限数。
175.进一步地，所述装置还包括：去重模块，用于判断所述可疑文件是否与已进行安全分析的历史文件相同；若是，则根据用户确认信息确定是否对所述可疑文件进行安全分析；若否，则进入所述分析模块。
176.进一步地，所述去重模块，还用于判断所述可疑文件的获取时间与相同的历史文件的分析时间之间的时间差是否小于预设时间差；若是，则根据用户确认信息确定是否对所述可疑文件进行安全分析；则进入所述分析模块。
177.进一步地，所述装置还包括：大小控制模块，用于判断所述可疑文件的数据量是否超出预设数据量；若是，则采用预设处理方式将所述可疑文件处理为数据量小于所述预设数据量的文件，以使所述可疑文件能够进入沙箱进行安全分析。
178.进一步地，所述大小控制模块，具体用于对所述可疑文件进行压缩处理，得到压缩文件；判断所述压缩文件的数据量是否小于所述预设数据量；若是，则将所述压缩文件作为数据量小于所述预设数据量的文件；若否，则将所述压缩文件拆分为多个数据量小于所述预设数据量的文件。
179.进一步地，所述装置还包括：页面模块，用于获取页面上传的可疑文件；将所述页面上传的可疑文件的优先级设置为高于所述流量探针设备探测的可疑文件的优先级，所述优先级用于指示进行安全分析的先后顺序。
180.进一步地，所述页面模块，还用于判断所述页面上传的可疑文件与所述流量探针设备探测的可疑文件的文件数量和是否达到预设文件上限数；若是，则向所述页面发送限制指令，限制所述页面在预设时间段内继续上传可疑文件的数量。
181.进一步地，所述装置还包括：报告模块，用于确定对所述可疑文件进行安全分析的种类；确定所述种类分别对应的用于进行安全分析的线程；按照预设时间间隔，从相应的线程中获取所述可疑文件的安全分析结果；将所述安全分析结果更新至所述可疑文件的安全分析报告中。
182.进一步地，所述装置还包括：存储模块，用于将所述可疑文件存储至第三方存储空间；每当接收到安全分析指令时，从所述第三方存储空间获取所述安全分析指令指示的可疑文件，并将所述安全分析指令指示的可疑文件进行安全分析。
183.这里需要指出的是，以上装置实施例的描述，与上述方法实施例的描述是类似的，具有同方法实施例相似的有益效果。对于本技术装置实施例中未披露的技术细节，请参照本技术方法实施例的描述而理解。
184.基于同一发明构思，本技术实施例还提供了一种电子设备。图6为本技术实施例中电子设备的结构示意图，参见图6所示，该电子设备可以包括：处理器601、存储器602、总线603；其中，处理器601、存储器602通过总线603完成相互间的通信；处理器601用于调用存储器602中的程序指令，以执行上述一个或多个实施例中的方法。
185.这里需要指出的是，以上电子设备实施例的描述，与上述方法实施例的描述是类
似的，具有同方法实施例相似的有益效果。对于本技术电子设备实施例中未披露的技术细节，请参照本技术方法实施例的描述而理解。
186.基于同一发明构思，本技术实施例还提供了一种计算机可读存储介质，该存储介质可以包括：存储的程序；其中，在程序运行时控制存储介质所在设备执行上述一个或多个实施例中的方法。
187.这里需要指出的是，以上存储介质实施例的描述，与上述方法实施例的描述是类似的，具有同方法实施例相似的有益效果。对于本技术存储介质实施例中未披露的技术细节，请参照本技术方法实施例的描述而理解。
188.以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应以所述权利要求的保护范围为准。

技术特征：
1.一种对可疑文件进行安全分析的方法，其特征在于，所述方法包括：获取流量探针设备探测的可疑文件；对所述可疑文件进行安全分析，得到所述可疑文件的安全分析结果；输出所述可疑文件的安全分析结果。2.根据权利要求1所述的方法，其特征在于，在获取流量探针设备探测的可疑文件之后，所述方法还包括：确定所述可疑文件的文件数量；判断所述文件数量是否超出预设文件上限数，所述预设文件上限数用于表征当前最大的文件处理数量；若是，则向所述流量探针设备发送所述预设文件上限数，使得所述流量探针设备后续发送的可疑文件的数量按照预设策略减少至所述预设文件上限数。3.根据权利要求2所述的方法，其特征在于，基于所述预设文件上限数划分出多个文件数区间，每个文件数区间设置有对应的线程数；所述判断所述文件数量是否超出预设文件上限数，包括：判断所述多个文件数区间中是否存在所述文件数量对应的目标文件数区间；所述方法还包括：若存在所述目标文件数区间，则调用所述目标文件数区间对应的线程数，以对所述可疑文件进行安全分析；所述若是，则向所述流量探针设备发送所述预设文件上限数，包括：若不存在所述目标文件数区间，则向所述流量探针设备发送所述预设文件上限数。4.根据权利要求2所述的方法，其特征在于，所述向所述流量探针设备发送所述预设文件上限数，包括：向所述流量探针设备发送预置数，所述预置数小于所述预设文件上限数，使得所述流量探针设备基于所述预置数，在发送文件数产生波动的情况下，发送的可疑文件的数量小于所述预设文件上限数。5.根据权利要求1至4中任一项所述的方法，其特征在于，在获取流量探针设备探测的可疑文件之后，所述方法还包括：判断所述可疑文件是否与已进行安全分析的历史文件相同；若是，则根据用户确认信息确定是否对所述可疑文件进行安全分析；若否，则执行对所述可疑文件进行安全分析的步骤。6.根据权利要求5所述的方法，其特征在于，在根据用户确认信息确定是否对所述可疑文件进行安全分析之前，所述方法还包括：判断所述可疑文件的获取时间与相同的历史文件的分析时间之间的时间差是否小于预设时间差；若是，则执行根据用户确认信息确定是否对所述可疑文件进行安全分析的步骤；若否，则执行对所述可疑文件进行安全分析的步骤。7.根据权利要求1至4中任一项所述的方法，其特征在于，在获取流量探针设备探测的可疑文件之后，所述方法还包括：判断所述可疑文件的数据量是否超出预设数据量；
若是，则采用预设处理方式将所述可疑文件处理为数据量小于所述预设数据量的文件，以使所述可疑文件能够进入沙箱进行安全分析。8.根据权利要求7所述的方法，其特征在于，所述采用预设处理方式将所述可疑文件处理为数据量小于所述预设数据量的文件，包括：对所述可疑文件进行压缩处理，得到压缩文件；判断所述压缩文件的数据量是否小于所述预设数据量；若是，则将所述压缩文件作为数据量小于所述预设数据量的文件；若否，则将所述压缩文件拆分为多个数据量小于所述预设数据量的文件。9.根据权利要求1至4中任一项所述的方法，其特征在于，在对所述可疑文件进行安全分析之前，所述方法还包括：获取页面上传的可疑文件；将所述页面上传的可疑文件的优先级设置为高于所述流量探针设备探测的可疑文件的优先级，所述优先级用于指示进行安全分析的先后顺序。10.根据权利要求9所述的方法，其特征在于，在获取页面上传的可疑文件之后，所述方法还包括：判断所述页面上传的可疑文件与所述流量探针设备探测的可疑文件的文件数量和是否达到预设文件上限数；若是，则向所述页面发送限制指令，限制所述页面在预设时间段内继续上传可疑文件的数量。11.根据权利要求1至4中任一项所述的方法，其特征在于，在对所述可疑文件进行安全分析之后，所述方法还包括：确定对所述可疑文件进行安全分析的种类；确定所述种类分别对应的用于进行安全分析的线程；按照预设时间间隔，从相应的线程中获取所述可疑文件的安全分析结果；将所述安全分析结果更新至所述可疑文件的安全分析报告中。12.根据权利要求1至4中任一项所述的方法，其特征在于，在获取流量探针设备探测的可疑文件之后，所述方法还包括：将所述可疑文件存储至第三方存储空间；每当接收到安全分析指令时，从所述第三方存储空间获取所述安全分析指令指示的可疑文件，并将所述安全分析指令指示的可疑文件进行安全分析。13.一种对可疑文件进行安全分析的装置，其特征在于，所述装置包括：获取模块，用于获取流量探针设备探测的可疑文件；分析模块，用于对所述可疑文件进行安全分析，得到所述可疑文件的安全分析结果；输出模块，用于输出所述可疑文件的安全分析结果。14.一种电子设备，其特征在于，所述电子设备包括：处理器、存储器、总线；其中，所述处理器、所述存储器通过所述总线完成相互间的通信；所述处理器用于调用所述存储器中的程序指令，以执行如权利要求1至12中任一项所述的方法。15.一种计算机可读存储介质，其特征在于，所述存储介质包括：存储的程序；其中，在所述程序运行时控制所述存储介质所在设备执行如权利要求1至12中任一项所述的方法。

技术总结
本申请提供一种对可疑文件进行安全分析的方法、装置、电子设备及介质，对可疑文件进行安全分析的方法包括：获取流量探针设备探测的可疑文件；对可疑文件进行安全分析，得到可疑文件的安全分析结果；输出可疑文件的安全分析结果。沙箱分析系统就能够在短时间内获得大量的可疑文件，从而对这些可疑文件进行安全分析，提高沙箱分析系统对于可疑文件的安全分析效率。效率。效率。


技术研发人员：刘进 王敏 熊华根 张智顺 彭小刚 陈学勤
受保护的技术使用者：奇安信科技集团股份有限公司
技术研发日：2023.07.18
技术公布日：2023/10/15