CN105024976B - 一种高级持续威胁攻击识别方法及装置 - Google Patents

一种高级持续威胁攻击识别方法及装置 Download PDF

Info

Publication number
CN105024976B
CN105024976B CN201410167744.2A CN201410167744A CN105024976B CN 105024976 B CN105024976 B CN 105024976B CN 201410167744 A CN201410167744 A CN 201410167744A CN 105024976 B CN105024976 B CN 105024976B
Authority
CN
China
Prior art keywords
stage
attack
attack event
event
suffered
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201410167744.2A
Other languages
English (en)
Other versions
CN105024976A (zh
Inventor
卢山
李斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Group Shanxi Co Ltd
Original Assignee
China Mobile Group Shanxi Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Group Shanxi Co Ltd filed Critical China Mobile Group Shanxi Co Ltd
Priority to CN201410167744.2A priority Critical patent/CN105024976B/zh
Publication of CN105024976A publication Critical patent/CN105024976A/zh
Application granted granted Critical
Publication of CN105024976B publication Critical patent/CN105024976B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种高级持续威胁攻击识别方法,所述APT攻击包括第一阶段、第二阶段和第三阶段;高级持续威胁攻击识别方法包括:检测攻击事件,记录检测到的攻击事件,根据所述攻击事件的特征进行APT攻击阶段分类记录,所述记录中包括第三阶段的攻击事件时,将所述第三阶段的攻击事件与其被攻击对象所遭受的第一阶段和第二阶段的攻击事件进行关联,在所关联到的攻击事件具有外部来源时,确定为APT攻击事件。本发明还公开了一种高级持续威胁攻击识别装置。

Description

一种高级持续威胁攻击识别方法及装置
技术领域
本发明涉及网络安全防御技术,尤其涉及一种高级持续威胁攻击识别的方法及装置。
背景技术
面对日益严峻的网络安全形势,如何持续提升对网络攻击的防御能力,以及能够及时发现并迅速有效处理网络攻击,是各组织、企业IT部门关注的核心问题。随着虚拟化和云计算技术的发展,大型数据中心虚拟化程度越来越高,网络边界变得日益模糊。与此同时,高级持续威胁(Advanced Persistent Threat,APT)攻击成为大众关注的焦点,APT攻击还被称作“针对特定目标”的攻击,是一种有组织、有特定目标、持续时间极长的新型攻击;APT攻击利用各种先进的攻击手段和社会工程学方法,为被攻击对象编写特定的攻击程序;此外,APT攻击具有持续性,APT攻击者不断尝试各种攻击手段,并在渗透到网络内部后长期蛰伏,不断收集各种信息,直到收集到重要情报加密后通过隐蔽通道进行持续性外发,因此,APT攻击周期可长达数年;更加危险的是,这些新型的攻击和威胁主要针对国家重要的基础设施和单位进行。
目前,广泛使用的安全防护手段是按照最为常用的防护、检测、响应、恢复模型(Protection,Detection,Reaction,Recovery,PDRR),通过在网络边界对特定网段及服务建立攻击监控体系,实时检测出大部分攻击,并采取相应的防护手段,如断开网络连接、记录攻击过程、跟踪攻击源等;现有技术中,主流的网络安全防护检测体系为入侵防护系统(Intrusion Prevention System,IPS)。
IPS深入网络数据内部,查找IPS熟悉的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载、分析;IPS能够主动防御已知攻击,实时阻断 各种黑客攻击,如缓冲区溢出、SQL注入、暴力猜测、拒绝服务、扫描探测、非授权访问、蠕虫病毒、木马后门、间谍软件等。
但是,现有网络安全防护检测体系对攻击行为的发现和判断基于已知的安全漏洞和缺陷、已知的木马行为和特征,对于采用未知或变形的安全漏洞和缺陷、位置或变形的木马行为和特征、未知的攻击行为、未知的加密内容的APT攻击却难以实现安全防护检测。
发明内容
为解决现有存在的技术问题,本发明实施例主要提供一种高级持续威胁攻击识别方法及装置,能够实现对APT攻击的安全防护检测。
本发明实施例的技术方案是这样实现的:
一种高级持续威胁攻击识别方法,所述高级持续威胁APT攻击包括第一阶段、第二阶段和第三阶段,所述方法包括:检测攻击事件;记录检测到的攻击事件,根据所述攻击事件的特征进行APT攻击阶段分类记录;所述记录中包括第三阶段的攻击事件时,将所述第三阶段的攻击事件与其被攻击对象所遭受的第一阶段和第二阶段的攻击事件进行关联,在所关联到的攻击事件具有外部来源时,确定为APT攻击事件。
优选地,该方法还包括:将所述第三阶段的攻击事件与其被攻击对象所遭受的第一阶段和第二阶段的攻击事件进行关联,在所关联到的攻击事件具有内部来源时,将所关联到的攻击事件与其第一攻击者所遭受的第一阶段、第二阶段和第三阶段的攻击事件进行关联,在所关联到的第一攻击者所遭受的攻击事件具有外部来源时,确定为APT攻击事件。
优选地,该方法还包括:将所关联到的攻击事件与其第一攻击者所遭受的第一阶段、第二阶段和第三阶段的攻击事件进行关联,在所关联到的第一攻击者所遭受的攻击事件具有内部来源时,将所关联到的攻击事件与其第二攻击者所遭受的第一阶段、第二阶段和第三阶段的攻击事件进行关联,在所关联到的第二攻击者所遭受的攻击事件具有外部来源时,确定为APT攻击事件。
优选地,所述检测攻击事件包括:通过基于签名的检测、基于深度内容的检测、基于模拟行为的检测、以及对抗处理检测分析网络流量,进行攻击事件识别。
优选地,所述检测攻击事件包括:通过基于签名的检测、基于深度内容的检测、基于模拟行为的检测、以及对抗处理检测分析网络流量,进行攻击事件识别。
优选地,所述将所述第三阶段的攻击事件与其被攻击对象所遭受的第一阶段和第二阶段的攻击事件进行关联为:查找所述第三阶段的攻击事件的被攻击对象所遭受的第二阶段的攻击事件,在查找到所述第二阶段的攻击事件时,判断查找到的第二阶段的攻击事件是否具有外部来源,在具有外部来源或没有查找到所述第二阶段的攻击事件时,查找所述第三阶段的攻击事件的被攻击对象所遭受的第一阶段的攻击事件,在查找到所述第一阶段的攻击事件时,判断查找到的第一阶段的攻击事件是否具有外部来源。
优选地,所述将所述关联到的攻击事件与其第一攻击者所遭受的第一阶段、第二阶段和第三阶段的攻击事件进行关联为:查找所述关联到的攻击事件的第一攻击者所遭受的第三阶段的攻击事件,在查找到所述第三阶段的攻击事件时,判断查找到的第三阶段的攻击事件是否具有外部来源,在具有外部来源或没有查找到所述第三阶段的攻击事件时,查找所述第一攻击者所遭受的第二阶段的攻击事件,在查找到所述第二阶段的攻击事件时,判断查找到的第二阶段的攻击事件是否具有外部来源,在具有外部来源或没有查找到所述第二阶段的攻击事件时,查找所述第一攻击者所遭受的第一阶段的攻击事件,在查找到所述第一阶段的攻击事件时,判断查找到的第一阶段的攻击事件是否具有外部来源。
本发明实施例还提供一种高级持续威胁攻击识别装置,所述APT攻击包括第一阶段、第二阶段和第三阶段,所述装置包括:检测模块、记录模块、以及关联模块;其中,
检测模块,用于检测攻击事件;
记录模块,用于记录检测模块检测到的攻击事件,根据所述攻击事件的特 征进行APT攻击阶段分类记录;
关联模块,用于在记录模块的记录中包括第三阶段的攻击事件时,将所述第三阶段的攻击事件与其被攻击对象所遭受的第一阶段和第二阶段的攻击事件进行关联,在所关联到的攻击事件具有外部来源时,确定为APT攻击事件。
优选地,所述关联模块,还用于将所述第三阶段的攻击事件与其被攻击对象所遭受的第一阶段和第二阶段的攻击事件进行关联,在所关联到的攻击事件具有内部来源时,将所述关联到的攻击事件与其第一攻击者所遭受的第一阶段、第二阶段和第三阶段的攻击事件进行关联,在所关联到的第一攻击者所遭受的攻击事件具有外部来源时,确定为APT攻击事件。
优选地,所述关联模块,还用于将所关联到的攻击事件与其第一攻击者的第一阶段、第二阶段和第三阶段的攻击事件进行关联,在所关联到的第一攻击者所遭受的攻击事件具有内部来源时,将所述关联到的攻击事件与其第二攻击者所遭受的第一阶段、第二阶段和第三阶段的攻击事件进行关联,在所关联到的第二攻击者所遭受的攻击事件具有外部来源时,确定为APT攻击事件。
优选地,所述检测模块检测攻击事件包括:通过基于签名的检测、基于深度内容的检测、基于模拟行为的检测、以及对抗处理检测分析网络流量,进行攻击事件识别。
优选地,所述将所述第三阶段的攻击事件与其被攻击对象所遭受的第一阶段和第二阶段的攻击事件进行关联为:查找所述第三阶段的攻击事件的被攻击对象所遭受的第二阶段的攻击事件,在查找到所述第二阶段的攻击事件时,判断查找到的第二阶段的攻击事件是否具有外部来源,在具有外部来源或没有查找到所述第二阶段的攻击事件时,查找所述第三阶段的攻击事件的被攻击对象所遭受的第一阶段的攻击事件,在查找到所述第一阶段的攻击事件时,判断查找到的第一阶段的攻击事件是否具有外部来源。
优选地,所述将所述关联到的攻击事件与其第一攻击者所遭受的第一阶段、第二阶段和第三阶段的攻击事件进行关联为:查找所述关联到的攻击事件的第一攻击者所遭受的第三阶段的攻击事件,在查找到所述第三阶段的攻击事件时, 判断查找到的第三阶段的攻击事件是否具有外部来源,在具有外部来源或没有查找到所述第三阶段的攻击事件时,查找所述第一攻击者所遭受的第二阶段的攻击事件,在查找到所述第二阶段的攻击事件时,判断查找到的第二阶段的攻击事件是否具有外部来源,在具有外部来源或没有查找到所述第二阶段的攻击事件时,查找所述第一攻击者所遭受的第一阶段的攻击事件,在查找到所述第一阶段的攻击事件时,判断查找到的第一阶段的攻击事件是否具有外部来源。
本发明实施例所提供的高级持续威胁攻击识别方法及装置,所述APT攻击包括第一阶段、第二阶段和第三阶段,检测攻击事件;记录检测到的攻击事件,根据所述攻击事件的特征进行APT攻击阶段分类记录;所述记录中包括APT攻击第三阶段事件时,将所述第三阶段事件被攻击对象与历史攻击事件进行关联。如此,能够通过基于签名的检测、基于深度内容的检测、基于模拟行为的检测、以及对抗处理检测建立一个覆盖APT攻击的主要路径的检测体系,从APT攻击者发起的攻击生命周期角度,建立一个纵深检测体系,对APT攻击的各个阶段进行实践关联分析,寻找APT攻击事件,并上报APT攻击事件;实现对APT攻击的安全防护检测。
附图说明
图1为本发明实施例一种高级持续威胁攻击识别方法的基本流程示意图;
图2为本发明实施例检测攻击事件的具体实现流程示意图;
图3为本发明实施例攻击事件进行关联的具体实现流程示意图;
图4为本发明实施例APT攻击的具体过程示意图;
图5为本发明实施例攻击事件4发生,攻击事件5至攻击事件9未发生时,事件关联流程示意图;
图6为本发明实施例攻击事件9发生时,事件关联流程示意图;
图7为本发明实施例高级持续威胁攻击识别装置的组成结构示意图。
具体实施方式
在本发明实施例中,APT攻击包括第一阶段、第二阶段和第三阶段,先检测攻击事件,再记录检测到的攻击事件,根据所述攻击事件的特征进行APT攻击阶段分类记录,在所述记录中包括第三阶段的攻击事件时,将所述第三阶段的攻击事件与其被攻击对象所遭受的第一阶段和第二阶段的攻击事件进行关联,在所关联到的攻击事件具有外部来源时,确定为APT攻击事件。
进一步的,将所述第三阶段的攻击事件与其被攻击对象所遭受的第一阶段和第二阶段的攻击事件进行关联,在所关联到的攻击事件具有内部来源时,将所述关联到的攻击事件与其第一攻击者所遭受的第一阶段、第二阶段和第三阶段的攻击事件进行关联,在所关联到的第一攻击者所遭受的攻击事件具有外部来源时,确定为APT攻击事件;在所关联到的第一攻击者所遭受的攻击事件具有内部来源时,将所关联到的攻击事件与其第二攻击者所遭受的第一阶段、第二阶段和第三阶段的攻击事件进行关联,在所关联到第二攻击者所遭受的攻击事件具有外部来源时,确定为APT攻击事件。
这里,确定为APT攻击事件的条件是:所关联到的攻击事件能够形成完整的攻击链条,即:覆盖一次APT攻击事件中的所有攻击事件的集合;
其中,完整的攻击链条能够形成攻击事件前后的关联关系,即:第一攻击事件的攻击对象或被攻击对象是第二攻击事件的被攻击对象;具体的,完整的攻击链条包括但不限于:
a.第三阶段的攻击事件、第三阶段的攻击事件的被攻击对象A所遭受的第二阶段的攻击事件,并且所述第二阶段的攻击事件具有外部来源;
b.第三阶段的攻击事件、第三阶段的攻击事件的被攻击对象A所遭受的第一阶段的攻击事件,并且所述第一阶段的攻击事件具有外部来源;
c.第三阶段的攻击事件、第三阶段的攻击事件的被攻击对象A所遭受的第二阶段的攻击事件、所述第二阶段的攻击事件的攻击者B所遭受的第三阶段的攻击事件、所述第二阶段的攻击事件的攻击者B所遭受的第二阶段的攻击事件、 并且所述攻击者B所遭受的第二阶段呃攻击事件具有外部来源;
d.第三阶段的攻击事件、第三阶段的攻击事件的被攻击对象A所遭受的第二阶段的攻击事件、所述第二阶段的攻击事件的攻击者B所遭受的第三阶段的攻击事件、所述第二阶段的攻击事件的攻击者B所遭受的第一阶段的攻击事件、并且所述攻击者B所遭受的第一阶段的攻击事件具有外部来源;
e.第三阶段的攻击事件、第三阶段的攻击事件的被攻击对象A所遭受的第二阶段的攻击事件、所述第二阶段的攻击事件的攻击者B所遭受的第三阶段的攻击事件、所述第二阶段的攻击事件的攻击者B所遭受的第二阶段的攻击事件、所述第二阶段的攻击事件的攻击者C所遭受的第三阶段的攻击事件、所述第二阶段的攻击事件的攻击者C所遭受的第二阶段的攻击事件、并且所述攻击者C所遭受的第二阶段的攻击事件具有外部来源;
f.第三阶段的攻击事件、第三阶段的攻击事件的被攻击对象A所遭受的第二阶段的攻击事件、所述第二阶段的攻击事件的攻击者B所遭受的第三阶段的攻击事件、所述第二阶段的攻击事件的攻击者B所遭受的第二阶段的攻击事件、所述第二阶段的攻击事件的攻击者C所遭受的第三阶段的攻击事件、所述第二阶段的攻击事件的攻击者C所遭受的第一阶段的攻击事件、并且所述攻击者C所遭受的第一阶段的攻击事件具有外部来源;
g.第三阶段的攻击事件、第三阶段的攻击事件的被攻击对象A所遭受的第二阶段的攻击事件、所述第二阶段的攻击事件的攻击者B所遭受的第三阶段的攻击事件、所述第二阶段的攻击事件的攻击者B所遭受的第一阶段的攻击事件、所述第一阶段的攻击事件的攻击者D所遭受的第三阶段的攻击事件、所述第一阶段的攻击事件的攻击者D所遭受的第二阶段的攻击事件、并且所述攻击者D所遭受的第二阶段的攻击事件具有外部来源;
h.第三阶段的攻击事件、第三阶段的攻击事件的被攻击对象A所遭受的第二阶段的攻击事件、所述第二阶段的攻击事件的攻击者B所遭受的第三阶段的攻击事件、所述第二阶段的攻击事件的攻击者B所遭受的第一阶段的攻击事件、所述第一阶段的攻击事件的攻击者D所遭受的第三阶段的攻击事件、所述第一 阶段的攻击事件的攻击者D所遭受的第一阶段的攻击事件、并且所述攻击者D所遭受的第一阶段的攻击事件具有外部来源。
本发明实施例一种高级持续威胁攻击识别方法的基本流程如图1所示,包括以下步骤:
步骤101,检测攻击事件;
检测攻击事件的具体实现流程如图2所示;具体的,通过基于签名的检测、基于深度内容的检测、基于模拟行为的检测、以及对抗处理检测分析网络流量,进行攻击事件识别。
其中,基于签名的检测,通过使用已知的木马检测引擎、已知的恶意URL检测引擎、以及已知的漏洞检测引擎快速识别已知的威胁。
基于深度内容的检测,通过对深度内容的分析,发现可能会导致危害的内容、或与正常内容异样的可疑内容。
基于模拟行为的检测,通过在沙箱中对可疑内容在文件应用打开、浏览器打开URL、可执行程序执行等多个场景进行动态行为的分析与检测、模拟执行漏洞触发、木马执行、行为判定等检测来分析和判断威胁。
对抗处理检测,检测攻击者可以采用的虚拟机检测对抗、逻辑触发条件对抗、文件压缩加密对抗等对抗手段。
步骤102,记录检测到的攻击事件,根据所述攻击事件的特征进行APT攻击阶段分类记录;
具体的,对于检测攻击事件时发现的异常,记录每一攻击事件的详细信息,并根据其特征纳入APT攻击的三个阶段;
其中,每一攻击事件的详细信息包括:事件的源网络协议(Internet Protocol,IP)地址、目标IP地址等。
步骤103,所述记录中包括第三阶段的攻击事件时,将所述第三阶段的攻击事件的被攻击对象与第一阶段和第二阶段的攻击事件进行关联,在所关联到的攻击事件具有外部来源时,确定为APT攻击事件;
具体的,所述将所述第三阶段的攻击事件与其被攻击对象第一阶段和第二 阶段的攻击事件进行关联为:查找所述第三阶段的攻击事件的被攻击对象所遭受的第二阶段的攻击事件,在查找到所述第二阶段的攻击事件时,判断查找到的第二阶段的攻击事件是否具有外部来源,在具有外部来源或没有查找到所述第二阶段的攻击事件时,查找所述第三阶段的攻击事件的被攻击对象所遭受的第一阶段的攻击事件,在查找到所述第一阶段的攻击事件时,判断查找到的第一阶段的攻击事件是否具有外部来源。
所述将所述关联到的攻击事件与其第一攻击者所遭受的第一阶段、第二阶段和第三阶段的攻击事件进行关联为:查找所述关联到的攻击事件的第一攻击者所遭受的第三阶段的攻击事件,在查找到所述第三阶段的攻击事件时,判断查找到的第三阶段的攻击事件是否具有外部来源,在具有外部来源或没有查找到所述第三阶段的攻击事件时,查找所述第一攻击者所遭受的第二阶段的攻击事件,在查找到所述第二阶段的攻击事件时,判断查找到的第二阶段的攻击事件是否具有外部来源,在具有外部来源或没有查找到所述第二阶段的攻击事件时,查找所述第一攻击者所遭受的第一阶段的攻击事件,在查找到所述第一阶段的攻击事件时,判断查找到的第一阶段的攻击事件是否具有外部来源。
进一步的,将所述第三阶段的攻击事件与其被攻击对象所遭受的第一阶段和第二阶段的攻击事件进行关联,在所在所关联到的攻击事件具有内部来源时,将所述关联到的攻击事件与其第一攻击者所遭受的第一阶段、第二阶段和第三阶段的攻击事件进行关联,在所关联到的第一攻击者所遭受的攻击事件具有外部来源时,确定为APT攻击事件;
将所关联到的攻击事件的第一攻击者与第一阶段、第二阶段和第三阶段的攻击事件进行关联,在所关联到的攻击事件具有内部来源时,将所关联到的攻击事件与其第二攻击者所遭受的第一阶段、第二阶段和第三阶段的攻击事件进行关联,在所关联到的第二攻击者所遭受的攻击事件具有外部来源时,确定为APT攻击事件。
本发明实施例中,APT攻击包括第一阶段、第二阶段和第三阶段;其中,第一阶段为利用漏洞实施入侵,攻击者基于各种载体利用漏洞将木马传递到被 攻击者的网络环境中;第二阶段为释放木马内部渗透,攻击者释放木马并突破防御体系植入木马,进行权限提升和内部渗透;第三阶段为控制破坏信息窃取,攻击者执行破坏性动作、收集敏感信息、与控制服务器通讯传递敏感信息;在实际应用中,APT攻击的三个阶段的潜伏期可能持续一年甚至更长的时间。
本发明实施例攻击事件进行关联的具体实现流程如图3所示,包括以下步骤:
步骤201,在记录的攻击事件中寻找被攻击对象所遭受的所有控制破坏信息窃取类攻击事件或者遍历步骤204或步骤207寻找控制破坏信息窃取类攻击事件,在所找到的控制破坏信息窃取类攻击事件中寻找该控制破坏信息窃取类攻击事件被攻击对象所遭受的控制破坏信息窃取类攻击事件。
步骤202,遍历步骤201、或步骤204、或步骤207找到的所有控制破坏信息窃取类攻击事件,在记录的攻击事件中寻找控制破坏信息窃取类攻击事件的被攻击对象所遭受的释放木马内部渗透类攻击事件;
不存在释放木马内部渗透类攻击事件、或已经完成遍历,执行步骤203;存在释放木马内部渗透类攻击事件,并且释放木马内部渗透类攻击事件存在外部来源,确定为APT攻击事件,并上报APT攻击事件;存在释放木马内部渗透类攻击事件,并且释放木马内部渗透类攻击事件存在内部来源,执行步骤204。
步骤203,遍历步骤201、或步骤204、或步骤207找到的所有控制破坏信息窃取类攻击事件,在记录的攻击事件中寻找所述控制破坏信息窃取类攻击事件被攻击对象所遭受的利用漏洞实施入侵类攻击事件;
不存在利用漏洞实施入侵类攻击事件,或已经完成遍历,执行步骤210;存在利用漏洞实施入侵类攻击事件,并且利用漏洞实施入侵类攻击事件存在外部来源,确定为APT攻击事件,并上报APT攻击事件;存在释放木马内部渗透类攻击事件,并且释放木马内部渗透类攻击事件存在内部来源,执行步骤207。
步骤204,遍历步骤202、或205、或208找到的所有内部来源释放木马内 部渗透类攻击事件,在记录的攻击事件中寻找该释放木马内部渗透类攻击事件的攻击者所遭受的控制破坏信息窃取类攻击事件;
存在控制破坏信息窃取类攻击事件,执行步骤201,不存在控制破坏信息窃取类攻击事件或者已经完成遍历,执行步骤205。
步骤205,遍历步骤202、或步骤208找到的所有内部来源释放木马内部渗透类攻击事件,在记录的攻击事件中寻找该释放木马内部渗透类攻击事件的攻击者所遭受的释放木马内部渗透类攻击事件;
存在释放木马内部渗透类攻击事件,执行步骤204;不存在释放木马内部渗透类攻击事件、或者已经完成遍历,执行步骤206。
步骤206,遍历步骤202、或步骤205、或步骤208找到的所有内部来源释放木马内部渗透类攻击事件,在记录的攻击事件中寻找该释放木马内部渗透类攻击事件的攻击者所遭受的利用漏洞实施入侵类攻击事件;
存在利用漏洞实施入侵类攻击事件,并且利用漏洞实施入侵类攻击事件存在外部来源,确定为APT攻击事件,并上报APT攻击事件;存在漏洞实施入侵类攻击事件,并且漏洞实施入侵类攻击事件存在内部来源,执行步骤207;不存在漏洞实施入侵类攻击事件、或者已经完成遍历,执行步骤210。
步骤207,遍历步骤203、或步骤206、或步骤209找到的所有内部来源利用漏洞实施入侵类攻击事件,在记录的攻击事件中寻找该利用漏洞实施入侵类攻击事件的攻击者所遭受的控制破坏信息窃取类攻击事件;
存在控制破坏信息窃取类攻击事件,执行步骤201;不存在控制破坏信息窃取类攻击事件、或已经完成遍历,执行步骤208。
步骤208,遍历步骤203、或步骤206、或步骤209找到的所有内部来源利用漏洞实施入侵类攻击事件,在记录的攻击事件中寻找该利用漏洞实施入侵类攻击事件的攻击者所遭受的释放木马内部渗透类攻击事件;
存在释放木马内部渗透类攻击事件,并且释放木马内部渗透类攻击事件存在外部来源,确定为APT攻击事件,并上报APT攻击事件;存在释放木马内部渗透类攻击事件,并且释放木马内部渗透类攻击事件存在内部来源,执行步 骤204;不存在释放木马内部渗透类攻击事件、或者已经完成遍历,执行步骤209。
步骤209,遍历步骤203、或步骤206找到的所有内部来源利用漏洞实施入侵类攻击事件,在记录的攻击事件中寻找该利用漏洞实施入侵类攻击事件的攻击者所遭受的利用漏洞实施入侵类攻击事件;
存在利用漏洞实施入侵类攻击事件,并且利用漏洞实施入侵类攻击事件存在外部来源,确定为APT攻击事件;存在利用漏洞实施入侵类攻击事件,并且利用漏洞实施入侵类攻击事件存在内部来源,执行步骤207;不存在利用漏洞实施入侵类攻击事件、或者已经完成遍历,执行步骤210。
步骤210,跳回上一层遍历,如所有遍历已结束,上报APT攻击事件。
需要说明的是,本发明实施例中,外部来源指攻击事件的攻击源为网络环境的外部,内部来源指攻击事件的攻击源为网络环境的内部。
以一次虚拟APT攻击的两个不同时间点为例,APT攻击者通过钓鱼攻击的方式诱骗被攻击对象通过超文本转移协议(Hypertext transfer protocol,HTTP)下载特殊的多文本格式(Rich Text Format,RTF)文档附件;利用0Day漏洞释RTF文件放后,重用远程代码执行漏洞执行其中的恶意代码,APT攻击的具体过程如图4所示,包括以下过程:
APT攻击识别装置在被攻击对象A进行下载时,首先进行基于签名的检测,在无法识别0Day漏洞的攻击时,针对RTF文档深度内容的检测发现可疑内容;通过沙箱进行模拟执行后,发现会后台下载并执行可疑文件属于典型的木马行为;APT攻击识别装置记录攻击事件1,并记录为利用漏洞实施入侵类攻击事件;其中,记录的事件信息包括攻击源信息、被攻击对象信息和攻击行为信息;具体的,攻击源信息包括:下载网址、原始下载文档;被攻击对象信息包括:终端A的IP地址、主机名;攻击行为信息包括:下载链接统一资源定位器(Uniform Resoure Locator,URL)。
终端A下载并打开文档,自动执行恶意代码下载攻击者定制的特殊木马;由于APT攻击属于定制木马,APT攻击识别装置基于已知签名的检测无法识别 该木马程序;基于深度内容检测,可发现该下载内容发现可疑内容;通过沙箱进行模拟执行后,发现该文件执行后将打开若干端口,并发起对外连接,属于典型的木马程序行为;APT攻击识别装置记录攻击事件2,并记录为释放木马内部渗透类攻击事件;其中,记录的信息包括:攻击源信息、被攻击对象信息和攻击行为信息;具体的,攻击源信息包括:下载网址、原始下载文件、木马开放通信端口;被攻击对象信息包括:终端A的IP地址、主机名等;攻击行为信息包括:木马打开端口、发起外连对象IP地址。
终端A感染定制木马后被远程控制,攻击者利用终端A作为跳板,在内网进行扫描,发现存在远程溢出漏洞(MS12-020)的新上线服务器B对其进行攻击,在新建具备管理员权限的账户的同时,上传定制的木马并释放。APT攻击识别装置通过漏洞签名分析发现由终端A发起针对服务器B的攻击,APT攻击识别装置记录攻击事件3,并记录为利用漏洞实施入侵类攻击事件;通过高危网络事件签名分析发现存在持续性扫描行为、以及新建管理员权限账户行为,将持续性扫描行为记录为攻击事件4,将新建管理员权限账户行为记录为攻击事件5,并记录为控制破坏信息窃取类攻击事件;其中,记录的信息包括攻击源信息、被攻击对象信息和攻击行为信息;具体的,攻击源信息包括:终端A的IP地址、主机名;被攻击对象信息包括:服务器B的IP地址、主机名;攻击行为信息包括:所执行命令;通过深度内容检测和模拟行为检测发现上传和释放木马行为,记录为攻击事件6,并记录为释放木马内部渗透类攻击事件。
此后,攻击者利用服务器B为跳板,通过同样的溢出漏洞进行攻击,获得服务器C的管理员权限,并在服务器C上收集敏感信息,加密后外发。APT攻击识别装置可识别由服务器B发起的针对服务器C的溢出攻击和新建管理员权限账户行为;记录溢出攻击为攻击事件7,新建管理员权限账户行为攻击事件8。通过基于深度内容的检测,发现向外传输加密内容的可疑外连数据传输链路,记录为攻击事件9,并记录为控制破坏信息窃取类攻击事件;其中,记录的信息包括攻击源信息、被攻击对象信息和攻击行为信息;具体的,攻击源信息包括:对外连接IP地址;被攻击对象信息包括:服务器B的IP地址、主机名; 攻击行为信息包括:外发文件内容。至此,在攻击事件4、5、9发生时,均可通过相关事件回溯关联来分析识别APT攻击事件。
攻击事件4发生,攻击事件5至攻击事件9未发生时,事件关联过程如图5所示,包括以下步骤:
步骤301,记录终端A向服务器B发起的控制破坏信息窃取类攻击事件,在记录的攻击事件中寻找被攻击对象为服务器B的控制破坏信息窃取类攻击事件;
这里,未关联到任何记录。
步骤302,在记录的攻击事件中寻找被攻击对象为服务器B的释放木马内部渗透类攻击事件;
这里,未关联到任何记录。
步骤303,在记录的攻击事件中寻找被攻击对象为服务器B的利用漏洞实施入侵类攻击事件;
这里,关联到攻击事件3。
步骤304,在记录的攻击事件中寻找被攻击对象为终端A的控制破坏信息窃取类攻击事件;
这里,未关联到任何记录。
步骤305,在记录的攻击事件中寻找被攻击对象为终端A的释放木马内部渗透类攻击事件;
这里,关联到攻击事件2,并且攻击事件2的攻击源为外部,确定为APT攻击事件。
步骤306,在记录的攻击事件中寻找被攻击对象为终端A的利用漏洞实施入侵类攻击事件;
这里,关联到事件1。
步骤307,完成遍历,对步骤305的APT攻击事件进行报告。
攻击事件9发生时,事件关联过程如图6所示,包括以下步骤:
步骤401,记录由外部向服务器C发起的控制破坏信息窃取类攻击事件, 在记录的攻击事件中寻找被攻击对象为服务器C的控制破坏信息窃取类攻击事件;
这里,关联到由服务器B向服务器C发起的攻击事件8。
步骤402,在记录的攻击事件中寻找被攻击对象为服务器C的释放木马内部渗透类攻击事件;
这里,未关联到任何记录。
步骤403,在记录的攻击事件中寻找服务器C遭受的利用漏洞实施入侵类攻击事件;
这里,关联到由服务器B向服务器C发起的攻击事件7。
步骤404,在记录的攻击事件中寻找被攻击对象为服务器B的控制破坏信息窃取类攻击事件;
这里,关联到攻击事件4和攻击事件5;
其中,攻击事件4和攻击事件5的发起攻击者均为终端A。
步骤405,在记录的攻击事件中寻找被攻击对象为终端A的控制破坏信息窃取类攻击事件;
这里,未关联到任何记录。
步骤406,在记录的攻击事件中寻找被攻击对象为终端A的释放木马内部渗透类攻击事件;
这里,关联到攻击事件2;
其中,事件2的攻击源为外部,确定为APT攻击事件。
步骤407,在记录的攻击事件中寻找外部发起的被攻击对象为终端A的利用漏洞实施入侵类攻击事件;
这里,关联到攻击事件1。
步骤408,在记录的攻击事件中寻找外部发起的被攻击对象为服务器B的释放木马内部渗透类攻击事件;
这里,未关联到任何记录。
步骤409,在记录的攻击事件中寻找外部发起的被攻击对象为服务器B的 利用漏洞实施入侵类攻击事件;
这里,关联到由终端A向服务器B发起的攻击事件3。
步骤410,在记录的攻击事件中寻找被攻击对象为终端A的控制破坏信息窃取类攻击事件;
这里,未关联到任何记录。
步骤411,在记录的攻击事件中寻找被攻击对象为终端A的释放木马内部渗透类攻击事件;
这里,关联到攻击事件2;
其中,攻击事件2的攻击源为外部,确定为APT攻击事件。
步骤412,在记录的攻击事件中寻找外部发起被攻击对象为终端A的利用漏洞实施入侵类攻击事件;
这里,关联到事件1。
步骤413,完成遍历,结束APT识别过程,对步骤406和步骤411的APT攻击事件进行报告。
为实现上述高级持续威胁攻击识别方法,本发明实施例还提供了一种高级持续威胁攻击识别装置,所述高级持续威胁攻击识别装置组成结构如图7所示,该装置包括检测模块10、记录模块20、和关联模块30;其中,
检测模块10,用于检测攻击事件;
记录模块20,用于记录检测模块10检测到的攻击事件,根据所述攻击事件的特征进行APT攻击阶段分类记录;
关联模块30,用于在记录模块20的记录中包括第三阶段的攻击事件时,将所述第三阶段的攻击事件与其被攻击对象所遭受的第一阶段和第二阶段的攻击事件进行关联,在所关联到的攻击事件具有外部来源时,确定为APT攻击事件。
进一步的,关联模块30,还用于将所述第三阶段的攻击事件与其被攻击对象所遭受的第一阶段和第二阶段的攻击事件进行关联,在所关联到的攻击事件具有内部来源时,将所关联到的攻击事件与其第一攻击者所遭受的第一阶段、 第二阶段和第三阶段的攻击事件进行关联,在所关联到的第一攻击者所遭受的攻击事件具有外部来源时,确定为APT攻击事件。
关联模块30,还用于将所关联到的攻击事件与其攻击者所遭受的第一阶段、第二阶段和第三阶段的攻击事件进行关联,在所关联到第一攻击者所遭受的攻击事件具有内部来源时,将所关联到的攻击事件与其第二攻击者所遭受的第一阶段、第二阶段和第三阶段的攻击事件进行关联,在所关联到的攻击事件具有外部来源时,确定为APT攻击事件。
进一步的,所述检测模块检10测攻击事件包括:通过基于签名的检测、基于深度内容的检测、基于模拟行为的检测、以及对抗处理检测分析网络流量,进行攻击事件识别。
所述外部来源为:基于外部访问的检测装置检测到的攻击事件。
所述关联模块30将所述第三阶段的攻击事件与其被攻击对象所遭受的第一阶段和第二阶段的攻击事件进行关联为:查找所述第三阶段的攻击事件的被攻击对象所遭受的第二阶段的攻击事件,在查找到所述第二阶段的攻击事件时,判断查找到的第二阶段的攻击事件是否具有外部来源,在具有外部来源或没有查找到所述第二阶段的攻击事件时,查找所述第三阶段的攻击事件的被攻击对象所遭受的第一阶段的攻击事件,在查找到所述第一阶段的攻击事件时,判断查找到的第一阶段的攻击事件是否具有外部来源。
所述关联模块30将所述关联到的攻击事件与其第一攻击者所遭受的第一阶段、第二阶段和第三阶段的攻击事件进行关联为:查找所述关联到的攻击事件的第一攻击者所遭受的第三阶段的攻击事件,在查找到所述第三阶段的攻击事件时,判断查找到的第三阶段的攻击事件是否具有外部来源,在具有外部来源或没有查找到所述第三阶段的攻击事件时,查找所述第一攻击者所遭受的第二阶段的攻击事件,在查找到所述第二阶段的攻击事件时,判断查找到的第二阶段的攻击事件是否具有外部来源,在具有外部来源或没有查找到所述第二阶段的攻击事件时,查找所述第一攻击者所遭受的第一阶段的攻击事件,在查找到所述第一阶段的攻击事件时,判断查找到的第一阶段的攻击事件是否具有外 部来源。
需要说明的是,在实际应用中,所述检测模块10、记录模块20、和关联模块30的功能可由位于实现APT检测功能的终端或服务器内的中央处理器(CPU)、或微处理器(MPU)、或数字信号处理器(DSP)、或可编程门阵列(FPGA)实现。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。

Claims (10)

1.一种高级持续威胁攻击识别方法,所述高级持续威胁APT攻击包括第一阶段、第二阶段和第三阶段,其特征在于,所述方法包括:
检测攻击事件;
记录检测到的攻击事件,根据所述攻击事件的特征进行APT攻击阶段分类记录;
所述记录中包括第三阶段的攻击事件时,将所述第三阶段的攻击事件与其被攻击对象所遭受的第一阶段和第二阶段的攻击事件进行关联,在所关联到的攻击事件具有外部来源时,确定为APT攻击事件;
其中,所述第一阶段为利用漏洞实施入侵;所述第二阶段为释放木马内部渗透;所述第三阶段为控制破坏信息窃取;
将所述第三阶段的攻击事件与其被攻击对象所遭受的第一阶段和第二阶段的攻击事件进行关联,在所关联到的攻击事件具有内部来源时,将所关联到的攻击事件与其第一攻击者所遭受的第一阶段、第二阶段和第三阶段的攻击事件进行关联,在所关联到的第一攻击者所遭受的攻击事件具有外部来源时,确定为APT攻击事件。
2.根据权利要求1所述高级持续威胁攻击识别方法,其特征在于,该方法还包括:
将所关联到的攻击事件与其第一攻击者所遭受的第一阶段、第二阶段和第三阶段的攻击事件进行关联,在所关联到的第一攻击者所遭受的攻击事件具有内部来源时,将所关联到的攻击事件与其第二攻击者所遭受的第一阶段、第二阶段和第三阶段的攻击事件进行关联,在所关联到的第二攻击者所遭受的攻击事件具有外部来源时,确定为APT攻击事件。
3.根据权利要求1所述高级持续威胁攻击识别方法,其特征在于,所述检测攻击事件包括:
通过基于签名的检测、基于深度内容的检测、基于模拟行为的检测、以及对抗处理检测分析网络流量,进行攻击事件识别。
4.根据权利要求1所述高级持续威胁攻击识别方法,其特征在于,所述将所述第三阶段的攻击事件与其被攻击对象所遭受的第一阶段和第二阶段的攻击事件进行关联,为:
查找所述第三阶段的攻击事件的被攻击对象所遭受的第二阶段的攻击事件,在查找到所述第二阶段的攻击事件时,判断查找到的第二阶段的攻击事件是否具有外部来源,在具有外部来源或没有查找到所述第二阶段的攻击事件时,查找所述第三阶段的攻击事件的被攻击对象所遭受的第一阶段的攻击事件,在查找到所述第一阶段的攻击事件时,判断查找到的第一阶段的攻击事件是否具有外部来源。
5.根据权利要求1所述高级持续威胁攻击识别方法,其特征在于,所述将所述关联到的攻击事件与其第一攻击者所遭受的第一阶段、第二阶段和第三阶段的攻击事件进行关联,为:
查找所述关联到的攻击事件的第一攻击者所遭受的第三阶段的攻击事件,在查找到所述第三阶段的攻击事件时,判断查找到的第三阶段的攻击事件是否具有外部来源,在具有外部来源或没有查找到所述第三阶段的攻击事件时,查找所述第一攻击者所遭受的第二阶段的攻击事件,在查找到所述第二阶段的攻击事件时,判断查找到的第二阶段的攻击事件是否具有外部来源,在具有外部来源或没有查找到所述第二阶段的攻击事件时,查找所述第一攻击者所遭受的第一阶段的攻击事件,在查找到所述第一阶段的攻击事件时,判断查找到的第一阶段的攻击事件是否具有外部来源。
6.一种高级持续威胁攻击识别装置,APT攻击包括第一阶段、第二阶段和第三阶段,其特征在于,所述装置包括:检测模块、记录模块、以及关联模块;其中,
检测模块,用于检测攻击事件;
记录模块,用于记录检测模块检测到的攻击事件,根据所述攻击事件的特征进行APT攻击阶段分类记录;
关联模块,用于在记录模块的记录中包括第三阶段的攻击事件时,将所述第三阶段的攻击事件与其被攻击对象所遭受的第一阶段和第二阶段的攻击事件进行关联,在所关联到的攻击事件具有外部来源时,确定为APT攻击事件;
其中,所述第一阶段为利用漏洞实施入侵;所述第二阶段为释放木马内部渗透;所述第三阶段为控制破坏信息窃取;
所述关联模块,还用于将所述第三阶段的攻击事件与其被攻击对象所遭受的第一阶段和第二阶段的攻击事件进行关联,在所关联到的攻击事件具有内部来源时,将所述关联到的攻击事件与其第一攻击者所遭受的第一阶段、第二阶段和第三阶段的攻击事件进行关联,在所关联到的第一攻击者所遭受的攻击事件具有外部来源时,确定为APT攻击事件。
7.根据权利要求6所述高级持续威胁攻击识别装置,其特征在于,所述关联模块,还用于将所关联到的攻击事件与其第一攻击者的第一阶段、第二阶段和第三阶段的攻击事件进行关联,在所关联到的第一攻击者所遭受的攻击事件具有内部来源时,将所述关联到的攻击事件与其第二攻击者所遭受的第一阶段、第二阶段和第三阶段的攻击事件进行关联,在所关联到的第二攻击者所遭受的攻击事件具有外部来源时,确定为APT攻击事件。
8.根据权利要求6所述高级持续威胁攻击识别装置,其特征在于,所述检测模块检测攻击事件包括:
通过基于签名的检测、基于深度内容的检测、基于模拟行为的检测、以及对抗处理检测分析网络流量,进行攻击事件识别。
9.根据权利要求6所述高级持续威胁攻击识别装置,其特征在于,所述将所述第三阶段的攻击事件与其被攻击对象所遭受的第一阶段和第二阶段的攻击事件进行关联,为:
查找所述第三阶段的攻击事件的被攻击对象所遭受的第二阶段的攻击事件,在查找到所述第二阶段的攻击事件时,判断查找到的第二阶段的攻击事件是否具有外部来源,在具有外部来源或没有查找到所述第二阶段的攻击事件时,查找所述第三阶段的攻击事件的被攻击对象所遭受的第一阶段的攻击事件,在查找到所述第一阶段的攻击事件时,判断查找到的第一阶段的攻击事件是否具有外部来源。
10.根据权利要求6所述高级持续威胁攻击识别装置,其特征在于,所述将所述关联到的攻击事件与其第一攻击者所遭受的第一阶段、第二阶段和第三阶段的攻击事件进行关联,为:
查找所述关联到的攻击事件的第一攻击者所遭受的第三阶段的攻击事件,在查找到所述第三阶段的攻击事件时,判断查找到的第三阶段的攻击事件是否具有外部来源,在具有外部来源或没有查找到所述第三阶段的攻击事件时,查找所述第一攻击者所遭受的第二阶段的攻击事件,在查找到所述第二阶段的攻击事件时,判断查找到的第二阶段的攻击事件是否具有外部来源,在具有外部来源或没有查找到所述第二阶段的攻击事件时,查找所述第一攻击者所遭受的第一阶段的攻击事件,在查找到所述第一阶段的攻击事件时,判断查找到的第一阶段的攻击事件是否具有外部来源。
CN201410167744.2A 2014-04-24 2014-04-24 一种高级持续威胁攻击识别方法及装置 Active CN105024976B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410167744.2A CN105024976B (zh) 2014-04-24 2014-04-24 一种高级持续威胁攻击识别方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410167744.2A CN105024976B (zh) 2014-04-24 2014-04-24 一种高级持续威胁攻击识别方法及装置

Publications (2)

Publication Number Publication Date
CN105024976A CN105024976A (zh) 2015-11-04
CN105024976B true CN105024976B (zh) 2018-06-26

Family

ID=54414690

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410167744.2A Active CN105024976B (zh) 2014-04-24 2014-04-24 一种高级持续威胁攻击识别方法及装置

Country Status (1)

Country Link
CN (1) CN105024976B (zh)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105376245B (zh) * 2015-11-27 2018-10-30 杭州安恒信息技术有限公司 一种基于规则的apt攻击行为的检测方法
CN106209867B (zh) * 2016-07-15 2020-09-01 北京元支点信息安全技术有限公司 一种高级威胁防御方法及系统
CN108259449B (zh) 2017-03-27 2020-03-06 新华三技术有限公司 一种防御apt攻击的方法和系统
CN106934281A (zh) * 2017-03-30 2017-07-07 兴华永恒(北京)科技有限责任公司 一种基于硬件虚拟化技术的虚拟机对抗技术的建立方法
CN107070956B (zh) * 2017-06-16 2019-11-08 福建中信网安信息科技有限公司 基于动态贝叶斯博弈的apt攻击预测方法
CN107483425B (zh) * 2017-08-08 2020-12-18 北京盛华安信息技术有限公司 基于攻击链的复合攻击检测方法
CN107370755B (zh) * 2017-08-23 2020-03-03 杭州安恒信息技术股份有限公司 一种多维度深层次检测apt攻击的方法
CN107888607B (zh) * 2017-11-28 2020-11-06 新华三技术有限公司 一种网络威胁检测方法、装置及网络管理设备
CN110022288A (zh) * 2018-01-10 2019-07-16 贵州电网有限责任公司遵义供电局 一种apt威胁识别方法
CN109660539B (zh) * 2018-12-20 2020-12-25 北京神州绿盟信息安全科技股份有限公司 失陷设备识别方法、装置、电子设备及存储介质
CN110505241B (zh) * 2019-09-17 2021-07-23 武汉思普崚技术有限公司 一种网络攻击面检测方法及系统
CN114584351A (zh) * 2022-02-21 2022-06-03 北京恒安嘉新安全技术有限公司 一种监控方法、装置、电子设备以及存储介质
CN114666148B (zh) * 2022-03-31 2024-02-23 深信服科技股份有限公司 风险评估方法、装置及相关设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103354548A (zh) * 2013-06-28 2013-10-16 华为数字技术(苏州)有限公司 高持续性威胁攻击的检测方法、设备及系统
CN103607388A (zh) * 2013-11-18 2014-02-26 浪潮(北京)电子信息产业有限公司 一种apt威胁预测方法及系统

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7301899B2 (en) * 2001-01-31 2007-11-27 Comverse Ltd. Prevention of bandwidth congestion in a denial of service or other internet-based attack
CN1282081C (zh) * 2003-08-04 2006-10-25 联想(北京)有限公司 一种入侵检测方法
CN101557394A (zh) * 2009-04-10 2009-10-14 无锡智高志科技有限公司 一种蜜网主动防御系统中的数据控制方法
WO2013055807A1 (en) * 2011-10-10 2013-04-18 Global Dataguard, Inc Detecting emergent behavior in communications networks

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103354548A (zh) * 2013-06-28 2013-10-16 华为数字技术(苏州)有限公司 高持续性威胁攻击的检测方法、设备及系统
CN103607388A (zh) * 2013-11-18 2014-02-26 浪潮(北京)电子信息产业有限公司 一种apt威胁预测方法及系统

Also Published As

Publication number Publication date
CN105024976A (zh) 2015-11-04

Similar Documents

Publication Publication Date Title
CN105024976B (zh) 一种高级持续威胁攻击识别方法及装置
CN108259449B (zh) 一种防御apt攻击的方法和系统
US11562068B2 (en) Performing threat detection by synergistically combining results of static file analysis and behavior analysis
US10417420B2 (en) Malware detection and classification based on memory semantic analysis
EP2106085B1 (en) System and method for securing a network from zero-day vulnerability exploits
RU2680736C1 (ru) Сервер и способ для определения вредоносных файлов в сетевом трафике
EP2774039B1 (en) Systems and methods for virtualized malware detection
Yaacoub et al. Advanced digital forensics and anti-digital forensics for IoT systems: Techniques, limitations and recommendations
US20160149937A1 (en) Systems and methods for malicious code detection
Shabtai et al. F-sign: Automatic, function-based signature generation for malware
CN113422771A (zh) 威胁预警方法和系统
US11909761B2 (en) Mitigating malware impact by utilizing sandbox insights
US20210200859A1 (en) Malware detection by a sandbox service by utilizing contextual information
CN108369541B (zh) 用于安全威胁的威胁风险评分的系统和方法
Mihai et al. Cyber kill chain analysis
Ojugo et al. Forging A Smart Dependable Data Integrity And Protection System Through Hybrid-Integration Honeypot In Web and Database Server
Abuzaid et al. An efficient trojan horse classification (ETC)
US10601867B2 (en) Attack content analysis program, attack content analysis method, and attack content analysis apparatus
Ruhani et al. Keylogger: The unsung hacking weapon
Kono et al. An unknown malware detection using execution registry access
CN113824678B (zh) 处理信息安全事件的系统、方法和非暂时性计算机可读介质
TWI711939B (zh) 用於惡意程式碼檢測之系統及方法
Brand et al. A threat to cyber resilience: A malware rebirthing botnet
US11763004B1 (en) System and method for bootkit detection
US20200382552A1 (en) Replayable hacktraps for intruder capture with reduced impact on false positives

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant