过去的几年里,社会各界在基础设施和信息安全上投入了巨额资金,但目前看来还远远不够。2016年10月21日,大规模拒绝服务攻击导致全球互联网服务大面积瘫痪,很多主流网站停止运行,并使网络陷入混乱,同年雅虎披露曾遭受攻击导致15亿用户账户信息泄露。2017年6月1日,《中华人民共和国网络安全法》正式实施,伴随着安全事件和损失的发生,政府和企业对网络安全有了更高的重视,部署专门针对内网安全防护能力的设备,比如入侵检测系统(IDS)和近年来兴起的违规检测系统(BDS)。BDS系统的探针概括来说可以分为两类:网络特征探查、主机系统探查,而两类探查方法都需要文件检测作为其探查终点,以了解可疑文件的具体行为和危害。本文将关注点聚焦在内网文件安全上,综合静态规则匹配、动态行为分析、多AV辅助去漏等技术对文件进行全面检测。针对开源引擎侧重于实现,没有充分考虑实际应用场景和引擎异常保护的问题,笔者在cuckoo的基础上设计了满足实际政企内网检测需求的Ling Po引擎,并充分考虑了大批量文件持续过检的可用性、稳定性、检测效率以及异常处理和保护,主要完成了以下研究工作:1.研究了现有的主流自动化恶意文件检测引擎的实现方式、检测能力、稳定性、检测效率四个方面,对各引擎的优劣特点进行了详细分析和对比。2.重构了文件过检流程和虚拟机调度方案,文件检测速理论提升大于100%,优先进行快速匹配检测,确保慢速分析进程不阻塞快速分析进程;同时对沙箱空闲资源的利用率进行了优化,理论上沙箱池可满负荷运行。3.重构了异常处理,采集了582种恶意动态行为特征,并对拥有anti-VM技术的恶意样本做了中断处理和资源限制,确保主机在分析过程中不受沙箱污染,不被恶意占用内存和CPU时间片。4.为满足性能需求和解决硬件制约,对虚拟机创建机制和KVM配置进行优化,实现了虚拟机创建的分层快照结构。