CN106982188B - 恶意传播源的检测方法及装置 - Google Patents
恶意传播源的检测方法及装置 Download PDFInfo
- Publication number
- CN106982188B CN106982188B CN201610028009.2A CN201610028009A CN106982188B CN 106982188 B CN106982188 B CN 106982188B CN 201610028009 A CN201610028009 A CN 201610028009A CN 106982188 B CN106982188 B CN 106982188B
- Authority
- CN
- China
- Prior art keywords
- attack
- malicious
- path
- network
- propagation source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1475—Passive attacks, e.g. eavesdropping or listening without modification of the traffic monitored
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本申请公开了一种恶意传播源的检测方法及装置。其中,该方法包括:基于传播源模型,从服务器系统中提取符合攻击特征的攻击路径,其中,传播源模型中记录有网络攻击的攻击特征;将攻击路径中指向恶意文件的恶意路径确定为恶意传播源。本申请解决了现有技术中的恶意传播源检测准确度较低的技术问题。
Description
技术领域
本申请涉及计算机领域,具体而言,涉及一种恶意传播源的检测方法及装置。
背景技术
恶意软件传播源又称恶意传播源,是指一个恶意软件下载链接,即恶意URL(Uniform Resource Locator,统一资源定位符)。可以通过恶意URL从互联网上得到的恶意软件资源。目前,对恶意传播源的检测主要依赖于网络爬虫等检测方法,网络爬虫可以检测到大多数经由浏览器所产生的恶意传播源,但是对于未经浏览器、而是由其他工具所产生的恶意传播源,则无能无力。较为典型的一种未经浏览器产生的恶意传播源是由黑客工具产生的恶意传播源,由于黑客攻击具备较高的隐蔽性,因此,目前的检测方法并不能准确检测出由黑客工具所产生的恶意传播源,也就是说,现有技术中存在恶意传播源检测准确度较低的技术问题。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种恶意传播源的检测方法及装置,以至少解决现有技术中的恶意传播源检测准确度较低的技术问题。
根据本申请实施例的一个方面,提供了一种恶意传播源的检测方法,包括:基于传播源模型,从服务器系统中提取符合攻击特征的攻击路径,其中,所述传播源模型中记录有网络攻击的攻击特征;将所述攻击路径中指向恶意文件的恶意路径确定为恶意传播源。
根据本申请实施例的另一方面,还提供了一种恶意传播源的检测装置,包括:处理单元,用于基于传播源模型,从服务器系统中提取符合攻击特征的攻击路径,其中,所述传播源模型中记录有网络攻击的攻击特征;确定单元,用于将所述攻击路径中指向恶意文件的恶意路径确定为恶意传播源。
进一步地,所述处理单元包括:提取单元,用于基于所述传播源模型,从网络攻击日志中提取符合被动攻击特征的第一路径,其中,所述攻击特征包括被动攻击特征和主动攻击特征;和/或第二获取单元,用于基于所述传播源模型,获取网络文件服务器中符合所述主动攻击特征的第二路径,其中,所述攻击路径包括所述第一路径和/或所述第二路径。
在本申请实施例中,采用传播源模型,从服务器系统中提取符合攻击特征的攻击路径,其中,所述传播源模型中记录有网络攻击的攻击特征;将所述攻击路径中指向恶意文件的恶意路径确定为恶意传播源。的方式,通过基于传播源模型从服务器系统中提取符合攻击特征的攻击路径,达到了将攻击路径中指向恶意文件的恶意路径确定为恶意传播源的目的,从而实现了精准锁定恶意软件传播源、防止恶意软件传播以及阻止服务器系统访问恶意软件传播源的技术效果,进而解决了现有技术中的恶意传播源检测准确度较低的技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的一种恶意传播源的检测方法的计算机终端的硬件结构框图;
图2(a)是根据本申请实施例的一种可选的恶意传播源的检测方法的流程示意图;
图2(b)是根据本申请实施例的另一种可选的恶意传播源的检测方法的流程示意图;
图3是根据本申请实施例的又一种可选的恶意传播源的检测方法的流程示意图;
图4是根据本申请实施例的又一种可选的恶意传播源的检测方法的流程示意图;
图5是根据本申请实施例的又一种可选的恶意传播源的检测方法的流程示意图;
图6是根据本申请实施例的又一种可选的恶意传播源的检测方法的流程示意图;
图7是根据本申请实施例的又一种可选的恶意传播源的检测方法的流程示意图;
图8是根据本申请实施例的又一种可选的恶意传播源的检测方法的流程示意图;
图9是根据本申请实施例的又一种可选的恶意传播源的检测方法的流程示意图;
图10(a)是根据本申请实施例的一种可选的恶意传播源的检测装置的结构示意图;
图10(b)是根据本申请实施例的另一种可选的恶意传播源的检测装置的结构示意图;
图11是根据本申请实施例的又一种可选的恶意传播源的检测装置的结构示意图;
图12是根据本申请实施例的又一种可选的恶意传播源的检测装置的结构示意图;
图13(a)是根据本申请实施例的又一种可选的恶意传播源的检测装置的结构示意图;
图13(b)是根据本申请实施例的又一种可选的恶意传播源的检测装置的结构示意图;
图14是根据本申请实施例的又一种可选的恶意传播源的检测装置的结构示意图;
图15是根据本申请实施例的一种计算机终端的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先,对本申请涉及的术语解释如下:
网络文件服务器(Hierarchical File System,简称HFS)是一种常见的文件系统,可用于向服务器上传文件,其载体可以为软盘、硬盘或者只读光盘等。网络文件服务器可以优化网络存储功能以及简化网络数据管理,还可以向用户提供网络文件。
重放攻击(Replay Attacks),即不断恶意或欺诈性的重复一个有效的文件传输过程,达到欺骗系统、破坏身份认证的目的。
远程下载(Remote Download)是指用户通过网络从提供下载服务的服务器上远程下载文件等。
验证性测试POC(Proof of Concept)是针对用户具体应用的验证性测试,预设攻击命令可以为wget命令(一款从网络上自动下载文件的下载工具所生成的命令),也可以为fetch命令(一款基于安卓平台的软件查找工具所生成的命令)等。
Root权限,存在于Linux系统、Unix系统和类Unix系统中,具有上述系统的所有操作权限。
DES,即Data Encryption Standard,数据加密标准。
过滤WAF,即Web Application Firewall,Web应用防护系统。
同源,是指两个或两个以上的恶意文件指向同一个恶意下载源。
远程登录协议telnet,是TCP/IP(Transmission Control Protocol/InternetProtocol,传输控制协议/因特网互联协议)协议族中的一员,是互联网远程登录服务的标准协议和主要方式,该协议为用户提供了在本地计算机上完成远程主机工作的能力。
暴力破解又名密码穷举,是指将穷举法应用于用户密码破解。
网络爬虫技术是指通过网络爬虫(Computer Robot)获取互联网信息的计算机技术,其中,网络爬虫又名网页蜘蛛、网页追逐者或网络机器人,其具体是指可以按照预定规则,自动地抓取互联网信息的程序或者脚本。
传播源模型是指依据网络攻击特征或者恶意文件的传播特征所建立的模型,该模型融合被动侦测和主动探测的优势,其构造主要分为三个子模型,该三个子模型分别为被动侦测WEB(网页)攻击的子模型、被动侦测弱口令攻击的子模型和主动探测恶意软件传播源的子模型。
恶意文件是指用于来执行恶意任务的,或者,携带有病毒、蠕虫和木马的文件,该恶意文件可以为文本文档、图片或计算机程序等。
实施例1
根据本申请实施例,还提供了一种恶意传播源的检测方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在计算机终端上为例,图1是本申请实施例的一种恶意传播源的检测方法的计算机终端的硬件结构框图。如图1所示,计算机终端10可以包括一个或多个(图中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输装置106。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储应用软件的软件程序以及模块,如本申请实施例中的恶意传播源的检测方法对应的程序指令/模块,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的恶意传播源的检测方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
在上述运行环境下,本申请提供了如图2(a)和图2(b)所示的恶意传播源的检测方法。图2(a)是根据本申请实施例的一种可选的恶意传播源的检测方法的流程图。
如图2(a)所示,恶意传播源的检测方法可以包括如下实施步骤:
步骤S201,基于传播源模型,从服务器系统中提取符合攻击特征的攻击路径,其中,传播源模型中记录有网络攻击的攻击特征;
步骤S203,将攻击路径中指向恶意文件的恶意路径确定为恶意传播源。
采用本发明上述实施例,通过传播源模型,可以提取符合攻击特征的攻击路径,并识别出攻击路径中指向恶意文件的恶意传播源,由于传播源模型中记录有完整的攻击特征,实现了精准锁定恶意软件传播源、防止恶意软件传播以及阻止服务器系统访问恶意软件传播源的技术效果,进而解决了现有技术中的恶意传播源检测准确度较低的技术问题。
在一个可选的实施例中,基于传播源模型,从服务器系统中提取符合攻击特征的攻击路径包括:基于传播源模型,从网络攻击日志中提取符合被动攻击特征的第一路径,其中,所述攻击特征包括被动攻击特征和主动攻击特征;和/或基于所述传播源模型,获取网络文件服务器中符合所述主动攻击特征的第二路径,其中,所述攻击路径包括所述第一路径和/或所述第二路径。
图2(b)示出了其中一个实现方式,如图2(b)所示恶意传播源的检测方法可以包括如下实施步骤:
步骤S202,获取预先建立的传播源模型,其中,传播源模型中记录有网络攻击的被动攻击特征和主动攻击特征。
步骤S204,基于传播源模型,从网络攻击日志中提取符合被动攻击特征的第一路径。
步骤S206,基于传播源模型,获取网络文件服务器中符合主动攻击特征的第二路径。
步骤S208,分别获取第一路径和第二路径中指向恶意文件的第三路径,并将获取的第三路径确定为恶意传播源。
采用本发明上述实施例,基于传播源模型从服务器系统中提取符合攻击特征的攻击路径,达到了将攻击路径中指向恶意文件的恶意路径确定为恶意传播源的目的,从而实现了精准锁定恶意软件传播源、防止恶意软件传播以及阻止服务器系统访问恶意软件传播源的技术效果,进而解决了现有技术中的恶意传播源检测准确度较低的技术问题。
本申请上述步骤S202中,网络攻击(Network Attacks)是指利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。网络攻击又可分为被动攻击和主动攻击两种方式,其中,主动攻击会导致某些数据流的篡改和虚假数据流的产生,篡改数据信息、伪造数据信息、终端拒绝服务等为明显的主动攻击方式。而被动攻击中攻击者不对数据信息做任何修改,窃听、流量分析、破解弱加密的数据流等为明显的被动攻击方式。
可选地,传播源模型是指依据网络攻击特征或者恶意文件的传播特征所建立的模型,该模型融合被动侦测和主动探测的优势,其构造主要分为三个子模型,该三个子模型分别为被动侦测WEB(网页)攻击的子模型、被动侦测弱口令攻击的子模型和主动探测恶意软件传播源的子模型。
本申请上述步骤S204中,网络攻击日志是指服务器系统的网络攻击日志,通过网络日志功能所记录的具有网络攻击特征的网络日志,网络攻击日志除可以记录被动攻击的特征,还可以记录被动攻击的初发时间、结束时间和持续时间。
服务器系统(Server System)是一种简单高效、安全可靠、处理能力可弹性伸缩的计算服务系统,其管理方式比物理服务器更简单高效。可选地,该服务器系统可以为云服务器系统(Cloud Server System)。
可选地,第一路径为携带有被动攻击特征的网络文件的路径,其具体是指通过解析服务器系统中的网络攻击日志中的恶意流量,进而获取到的恶意URL。第一路径可以为相对路径,也可以为绝对路径。
本申请上述步骤S206中,网络文件服务器(Hierarchical File System,简称HFS)是一种常见的文件系统,可用于向服务器上传文件,其载体可以为软盘、硬盘或者只读光盘等。网络文件服务器可以优化网络存储功能以及简化网络数据管理,还可以向用户提供网络文件。从网络文件服务器所提供的网络文件中,可以筛选出携带有主动攻击特征的网络文件,例如,检测服务器系统中的网络文件服务器,并从该网络文件服务器所提供的网络文件中发现某个网络文件在某天的某个时间段内被进行了20次有效传输,但据历史传输次数统计,该网络文件在当前之前的任意一天于该时间段的平均传输次数为5次且最大传输次数为10次,因此,可以确定该网络文件可能已经受重放攻击(Replay Attacks),即不断恶意或欺诈性的重复一个有效的文件传输过程,达到欺骗系统、破坏身份认证的目的。重放攻击可以由文件发起者进行,也可以由拦截并重发该文件的攻击者(指非合法用户、黑客等进行网络攻击的一方)进行。
需要说明的是,重放攻击仅为主动攻击中较为常见的一种攻击方式,主动攻击还具有其他攻击方式,例如拒绝服务攻击、分布式拒绝服务攻击、信息篡改、网络资源占用、欺骗和伪装等。上述主动攻击方式各有侧重,其攻击对象也可各不相同,例如拒绝服务攻击的攻击对象可以为服务器,而伪装攻击的攻击对象可以为邮件。
可选地,第二路径为携带有主动攻击特征的网络文件的路径,其指向该网络文件在网络文件服务器中的存储位置,第二路径可以为相对路径,也可以为绝对路径。
本申请上述步骤S208中,恶意文件可以为恶意的文本文档、图片和计算机程序等,恶意传播源可以衍生恶意文件,但上述二者并不类同。需要说明的是,第三路径除可以指向恶意传播源,也可以指向恶意下载源。
本申请上述实施例提供的一种可选方案中,图3是根据本申请实施例的又一种可选的恶意传播源的检测方法的流程示意图,如图3所示,被动攻击特征包括网页防御特征,上述步骤S204,基于传播源模型,从网络攻击日志中提取符合被动攻击特征的第一路径可以包括:
步骤S302,利用传播源模型中的网页防御特征与网络攻击日志中的网页防御日志进行匹配。
本申请上述步骤S302中,传播源模型中的网页防御特征与网络攻击日志中的网页防御日志可以依据类型、周期、数值等因素进行匹配。
步骤S304,提取网页防御日志中存在网页防御特征的第一日志信息。
本申请上述步骤S304中,提取第一日志信息的前提条件是传播源模型中的网页防御特征与网络攻击日志中的网页防御日志匹配成功。
步骤S306,获取提取到的第一日志信息中的网络资源定位符URL,并将获取到的网络资源定位符URL作为第一路径。
本申请上述步骤S306中,网络资源定位符URL可以对应于第一日志信息中的某个程序、文件或网址。若该网络资源定位符URL对应于第一日志信息中的某个文件,则说明该文件具备该传播源模型中的网页防御特征。
可选地,网页防御特征包括下述之一:命令执行漏洞特征和远程下载特征,其中,命令执行漏洞特征包括:在验证性测试POC结果中包含预设攻击命令。
其中,命令执行漏洞特征是指用户通过浏览器提交执行命令,由于服务器端未过滤与该执行命令对应的执行函数,导致其在未指定绝对路径的情况下执行命令。若如此,则攻击者可以通过改变访问路径或者程序执行环节来执行一个或多个恶意构造的代码。远程下载(Remote Download)是指用户通过网络从提供下载服务的服务器上远程下载文件等。
此外,验证性测试POC(Proof of Concept)是针对用户具体应用的验证性测试,预设攻击命令可以为wget命令(一款从网络上自动下载文件的下载工具所生成的命令),也可以为fetch命令(一款基于安卓平台的软件查找工具所生成的命令)等。若确定在验证性测试POC结果中包含上述二者或其他预设攻击命令,则可以从该验证性测试POC结果中提取URL,并将该URL作为恶意传播源。
本申请上述实施例提供的一种可选方案中,图4是根据本申请实施例的又一种可选的恶意传播源的检测方法的流程示意图,如图4所示,被动攻击特征包括口令攻击特征,上述步骤S204,基于传播源模型,从网络攻击日志中提取符合被动攻击特征的第一路径可以包括:
步骤S402,确定服务器系统中被口令攻击成功的服务器。
本申请上述步骤S402中,口令攻击是指攻击者进行被动攻击时将破译用户口令作为初始攻击行为,若攻击者可以通过猜测或者其他方式确定用户的口令,则其可以获得机器或者网络的访问权,并能访问到在该用户访问权限内所能访问到的任何资源,需要说明的是,若该用户为域管理员或者拥有Root权限(存在于Linux系统、Unix系统和类Unix系统中,具有上述系统的所有操作权限),则攻击者的口令攻击行为一旦奏效,将可能导致极其严重的后果。
可选地,口令攻击主要由下述三种方式实现:
方式一,通过网络监听获得用户口令,例如,攻击者可以利用数据包截取工具,进而采用中途截击的方法获得用户口令。
方式二,在已知用户账号的情况下,通过破解软件或方法获得用户口令,例如,攻击者在已知用户账号的情况下,可以采用暴力穷举法来强行破解该用户账号对应的用户口令。
方式三,利用系统漏洞获得用户口令,例如,在Unix操作系统中,用户的基本信息存放在文件名为password的文件中,而所有的用户口令则经由DES(Data EncryptionStandard,数据加密标准)加密后存放在一个文件名为shadow的文件中,攻击者一旦获取到口令文件,则可以通过专用于破解DES加密方法的程序破解该口令文件对应的用户口令。
可选地,服务器系统中可以包含若干个服务器,该若干个服务器可以具备不同功能。上述服务器可以为通用型服务器,也可以为专用型服务器。若该若干个服务器中仅有部分服务器被口令攻击成功,则可以将已被口令攻击成功的服务器作为可执行下述步骤的目标对象。
步骤S404,从网络攻击日志中,筛选被口令攻击成功的服务器在预设攻击时间段内的网络流量日志。
本申请上述步骤S404中,预设攻击时间段可以为一次完整的口令攻击所持续的时间段,即将该口令攻击的开始时间到结束时间之间的时间段作为预设攻击时间段。网络流量日志可以记录流量数值、某个流量数值对应的时间和流量的变化情况。
步骤S406,利用传播源模型中的口令攻击特征与网络流量日志进行匹配。
本申请上述步骤S406中,传播源模型中的口令攻击特征可以为SSH口令特征或telnet口令特征,也可以为其他口令特征。将上述口令攻击特征与网络流量日志进行匹配,进而可以确定该网络流量日志中是否记录了恶意流量特征。
步骤S408,从网络流量日志中提取存在口令攻击特征的第二日志信息。
本申请上述步骤S408中,若第二日志信息中存在口令攻击特征,则可以确定该第二日志信息中记录了与该口令攻击特征匹配的恶意流量特征。
步骤S410,获取提取到的第二日志信息中的网络资源定位符URL,并将获取到的网络资源定位符URL作为第一路径。
本申请上述步骤S410中,若第二日志信息中存在多个口令特征,则多个口令特征中的每个口令特征对应唯一的网络资源定位符URL。
可选地,图5是根据本申请实施例的又一种可选的恶意传播源的检测方法的流程示意图,如图5所示,该检测方法可以包括:
步骤S504,获取被口令攻击成功攻击的云服务器的网络流量日志,具体地,网络流量日志可以反映云服务器的流量数值和流量变化情况,为方便及准确起见,可以仅获取口令攻击过程中生成的网络流量日志,即获取从口令攻击开始到口令攻击结束这一时间段的网络流量日志。
步骤S506,暴力破解网络流量日志,可以通过过滤WAF(Web ApplicationFirewall,Web应用防护系统)进行拦截,从而获取到网络流量日志的恶意流量日志。
步骤S508,匹配下载源模型,例如,可以将网络流量日志在某个时间段的流量特征与下载源模型在该时间段的口令攻击特征进行对比,进而得到该网络流量日志与该下载源模型的匹配度,若该匹配度高于某一预设数值,则可以视为上述二者匹配成功。
步骤S510,获取低纯度的恶意下载源,具体地,低纯度的恶意下载源是指已知的、精确度较低的恶意下载源。
步骤S512,进行同源遍历,具体地,具体地,同源是指两个或两个以上的恶意文件指向同一个恶意下载源,因此,该两个或两个以上的恶意文件为同源恶意文件。进行同源遍历,可以从该下载源中查找到与已确定的恶意软件同源的其他恶意软件。
步骤S514,依据预设重扫机制定期重新扫描,具体地,重扫机制可以依据实际需求和网络运行环境人为地进行建立或修改,运行重扫机制,可以使恶意下载源的检测更为全面和准确,有效防止漏扫等情况的发生。
步骤S516,获取低纯度的恶意下载源的监测结果,具体地,该监测结果可以用于指示该恶意下载源的状态或恶意下载源的状态变化情况。
可选地,通过执行上述步骤S504至步骤S516,可以依据预先建立的下载源模型对网络流量日志进行监测,进而在该网络流量日志中流量特征与该下载源模型的口令攻击特征匹配成功时,从该网络流量日志中提取其URL信息,该URL信息可以作为指向恶意传播源的第一路径。基于上述,本申请的实施例一可以通过网络流量日志提取到恶意传播源。
可选地,图6是根据本申请实施例的又一种可选的恶意传播源的检测方法的流程示意图,如图6所示,该检测方法可以包括:
步骤S602,开始。
步骤S604,确定恶意下载源,具体地,若某个恶意文件可以通过该恶意下载源衍生,则由该恶意文件的文件路径可以确定该恶意下载源。
步骤S606,进行同源遍历。具体地,同源是指两个或两个以上的恶意文件指向同一个恶意下载源,因此,该两个或两个以上的恶意文件为同源恶意文件。例如,某款名为“软件A”的恶意软件与另一款名为“软件B”的恶意软件均下载自网站www.abc.com,则该网站为上述两款恶意软件的下载源,需要说明的是,上述网址为随机举例,若互联网中存在域名或网址与其雷同,实属巧合,并无他意。进行同源遍历,可以从该下载源中查找到与已确定的恶意软件同源的其他恶意软件。
步骤S608,依据预设重扫机制定期重新扫描,具体地,重扫机制可以依据实际需求和网络运行环境人为地进行建立或修改,例如,重扫机制可以规定扫描对象、扫描频率、扫描时间、扫描中断条件、扫描完成条件和扫描报警条件等。运行重扫机制,可以使恶意下载源的检测更为全面和准确,有效防止漏扫等情况的发生。
步骤S610,获取恶意下载源的监测结果,具体地,监测结果可以用于指示下载源的状态或下载源的状态变化情况,下载源的状态可以包括当前状态和历史状态等,下载源的状态变化情况可以包括下载源的全部状态变化情况和局部状态变化情况等。
步骤S612,结束。
可选地,通过执行上述步骤S602至步骤S612,可以对恶意下载源的状态和状态变化情况进行全方位的监测,进而可通过监测结果获悉上述攻击行为的发生规律,达到洞察黑客动机、弱化恶意文件的破坏力、保持良性的网络环境的目的。
可选地,确定服务器系统中被口令成功攻击的服务器可以包括:
步骤S10,将预先设置的情报收集终端作为被口令成功攻击的服务器,其中,情报收集终端被设置为可被攻击者成功攻击;或
步骤S12,解析安全外壳协议SSH和远程登录协议telnet的网络流量;将网络流量中被暴力破解的流量指向的终端,确定为被口令成功攻击的服务器。
其中,步骤S10和步骤S12可以不具备从属关系或先后顺序。
本申请上述步骤S10中,预先设置的情报收集终端可以为蜜罐,蜜罐是一种可以引诱黑客攻击、记录攻击特征和分析黑客行为的情报收集系统,蜜罐在类型层面可以分为“实系统蜜罐”和“伪系统蜜罐”两种类型,在功能层面可以具备“迷惑入侵者,保护服务器”和“抵御入侵者,加固服务器”两种功能。
安全外壳协议SSH(Secure Shell)是由IETF(The Internet Engineering TaskForce,国际互联网工程任务组)的网络工作小组所制定,建立在应用层和传输层基础上的安全协议。远程登录协议telnet是TCP/IP(Transmission Control Protocol/InternetProtocol,传输控制协议/因特网互联协议)协议族中的一员,是互联网远程登录服务的标准协议和主要方式,该协议为用户提供了在本地计算机上完成远程主机工作的能力。
暴力破解又名密码穷举,是指将穷举法应用于用户密码破解。例如,黑客事先知晓了用户的社交软件账号、邮件账号或网上银行账号等合法注册的账号,若用户为上述账号所设置的密码或密保问题过于简单(密码为一串纯数字或纯英文字母),则黑客可以使用暴力破解工具破译上述账号的密码。
可选地,在基于传播源模型,从网络攻击日志中提取符合被动攻击特征的第一路径之后,该检测方法还包括:
步骤S20,通过网络爬虫技术定期遍历第一路径的同源路径,以获取第一路径的监控结果,其中,监控结果用于记录第一路径的路径状态和路径变化信息。
本申请上述步骤S20中,网络爬虫技术是指通过网络爬虫(Computer Robot)获取互联网信息的计算机技术,其中,网络爬虫又名网页蜘蛛、网页追逐者或网络机器人,其具体是指可以按照预定规则,自动地抓取互联网信息的程序或者脚本。通过网络爬虫技术定期遍历第一路径的同源路径的周期可以依据实际需求人为进行设置,例如,可以通过网络爬虫技术每隔48小时遍历第一路径的同源路径。此外,对第一路径监控结果可以由网络爬虫反馈至预设数据库。
本申请上述实施例提供的一种可选方案中,图7是根据本申请实施例的又一种可选的恶意传播源的检测方法的流程示意图,如图7所示,上述步骤S206,基于传播源模型,获取网络文件服务器中符合主动攻击特征的第二路径可以包括:
步骤S702,对服务器系统中的服务器进行指纹主题特征扫描,确定服务器系统中的网络文件服务器。
本申请上述步骤S702中,进行指纹主题特征扫描实质上为对待确定的网络文件服务器进行扫描,可以依据扫描过程中提取到的Banner信息(主题特征信息)确定与该Banner信息对应的网络文件服务器。
步骤S704,通过网络爬虫技术获取网络文件服务器上的下载源。
本申请上述步骤S704中,网络爬虫可以按照预定规则,自动地抓取网络文件服务器中的网络信息,从网络爬虫抓取到的网络信息中可以得到网络文件的下载源。
步骤S706,对下载源进行病毒扫描,将指向恶意文件的下载源确定为第二路径。
本申请上述步骤S706中,可以通过常见的病毒扫描软件或程序对获取到的下载源进行病毒扫描,从而检测该下载源是否指向某一恶意文件,若该下载源是否指向某恶意文件,则可以将指向该恶意文件的下载源确定为第二路径。
可选地,图8是根据本申请实施例的又一种可选的恶意传播源的检测方法的流程示意图,如图8所示,该检测方法可以包括:
步骤S804,进行指纹主题特征扫描,具体地,进行指纹主题特征扫描实质上为对待确定的网络文件服务器进行扫描。
步骤S806,确定网络文件服务器,具体地,在执行步骤S804之后,可以依据扫描过程中提取到的Banner信息(主题特征信息)确定与该Banner信息对应的网络文件服务器。
步骤S808,进行网络爬虫检测,具体地,网络爬虫可以按照预定规则,自动地抓取网络文件服务器中的网络信息。
步骤S810,获取下载源,具体地,从网络爬虫抓取到的网络信息中可以得到网络文件的下载源。
步骤S812,进行病毒扫描,具体地,可以通过常见的病毒扫描软件或程序对获取到的下载源进行病毒扫描,从而检测该下载源中是否存在恶意病毒(例如蠕虫病毒、特洛伊木马病毒等)。
步骤S814,确定恶意下载源,具体地,若在执行步骤S812之后,检测到该下载源中存在恶意病毒,则可以确定该下载源为恶意下载源。
需要说明的是,通过计算机程序依次执行上述步骤S804至S814,则该计算机程序可以被视为恶意下载源的被动侦测模型,网络文件服务器经该被动侦测模型侦测,可以确定其是否包含恶意下载源。
可选地,图9是根据本申请实施例的又一种可选的恶意传播源的检测方法的流程示意图,如图9所示,该检测方法可以包括:
步骤S904,获取低纯度的恶意下载源,具体地,此处的纯度应该被理解为恶意下载源中的已知病毒与恶意下载源中的全部病毒的比例。低纯度的恶意下载源也可被理解为已知的、病毒数目或特征并不精确的恶意下载源。
步骤S906,进行病毒检测,具体地,进行病毒检测可以通过常用的病毒检测软件或方法进行。进行病毒检测或可以发现恶意下载源中的未知病毒。
步骤S908,获取高纯度的恶意下载源,具体地,低纯度的恶意下载源也可被理解为在经执行步骤S906之后,已知的、病毒数目或特征较为精确的恶意下载源。
需要说明的是,通过上述步骤S904至步骤S908对低纯度的恶意下载源进行病毒检测,从而获取到高纯度的恶意下载源,实质上可被理解为是对同一恶意下载源进行病毒提纯,即更为精确的了解恶意下载源中的病毒数目或病毒特征。
可选地,将所述攻击路径中指向恶意文件的恶意路径确定为恶意传播源可以包括:
步骤S30,通过恶意文件检测引擎,识别攻击路径中指向恶意文件的恶意路径,并将恶意路径确定为恶意传播源。
本申请上述步骤S30中,恶意文件检测引擎可以为现有的杀毒软件(Anti-virusSoftware),并可具备监控识别、病毒扫描、自动升级病毒库以及主动防御等功能。具体地,通过预先建立的传播源模型得到的第一路径和第二路径,仅可以指向疑似恶意传播源,只有通过恶意文件检测引擎对第一路径和第二路径进行识别,方可以得到指向恶意文件的第三路径,需要说明的是,恶意传播源可以衍生恶意文件,但上述二者并不类同,恶意文件检测引擎需首先通过第一路径和第二路径识别到恶意文件,然后方可通过该恶意文件确定恶意传播源。
可选地,在将指向恶意文件的下载源确定为所述第二路径之后,检测方法可以包括:
步骤S40,对恶意传播源进行标记,并阻止恶意传播源在服务器系统中传播。
本申请上述步骤S40中,可以通过HTML(Hyper Text Markup Language,超文本标记语言)对恶意传播源进行标记,阻值标记后的恶意传播源在服务器系统中传播,从而消除了恶意传播源对网络环境的破坏,也降低了其对合法用户的困扰。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
实施例2
根据本申请实施例,还提供了一种用于实施上述恶意传播源的检测方法的恶意传播源的检测装置,如图10(a)所示,该装置可以包括:处理单元1002、确定单元1007。
其中,处理单元1002,用于基于传播源模型,从服务器系统中提取符合攻击特征的攻击路径,其中,传播源模型中记录有网络攻击的攻击特征;确定单元1007,用于将攻击路径中指向恶意文件的恶意路径确定为恶意传播源。
可选地,上述方案还可以包括:第一获取单元1001,用于获取预先建立的传播源模型。
在一个可选地实施例中,如图10(b)所示,处理单元1002可以包括:提取单元1003、第二获取单元1005。
其中,提取单元1003,用于基于所述传播源模型,从网络攻击日志中提取符合被动攻击特征的第一路径,其中,所述攻击特征包括被动攻击特征和主动攻击特征;和/或第二获取单元1005,用于基于所述传播源模型,获取网络文件服务器中符合所述主动攻击特征的第二路径,其中,所述攻击路径包括所述第一路径和/或所述第二路径。
此处需要说明的是,上述第一获取单元1001、提取单元1003、第二获取单元1005、确定单元1007对应于实施例一中的步骤S202至步骤S208,四个单元与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述单元作为装置的一部分可以运行在实施例一提供的计算机终端10中。
由上可知,本申请上述实施例二所提供的方案,通过基于传播源模型从服务器系统中提取符合攻击特征的攻击路径,达到了将攻击路径中指向恶意文件的恶意路径确定为恶意传播源的目的,从而实现了精准锁定恶意软件传播源、防止恶意软件传播以及阻止服务器系统访问恶意软件传播源的技术效果,进而解决了现有技术中的恶意传播源检测准确度较低的技术问题。
可选地,被动攻击特征包括网页防御特征,如图11所示,提取单元1003可以包括:第一匹配子单元1101、第一提取子单元1103、第一处理子单元1105。
其中,第一匹配子单元1101,用于利用传播源模型中的网页防御特征与网络攻击日志中的网页防御日志进行匹配;第一提取子单元1103,用于提取网页防御日志中存在网页防御特征的第一日志信息;第一处理子单元1105,用于获取提取到的第一日志信息中的网络资源定位符URL,并将获取到的网络资源定位符URL作为第一路径。
此处需要说明的是,上述第一匹配子单元1101、第一提取子单元1103、第一处理子单元1105对应于实施例一中的步骤S302至步骤S306,三个子单元与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述子单元作为装置的一部分可以运行在实施例一提供的计算机终端40中。
可选地,上述实施例二中的网页防御特征包括下述之一:命令执行漏洞特征和远程下载特征,其中,命令执行漏洞特征包括:在验证性测试POC结果中包含预设攻击命令。
可选地,被动攻击特征包括口令攻击特征,如图12所示,提取单元1003可以包括:第一确定子单元1201、筛选子单元1203、第二匹配子单元1205、第二提取子单元1207、第二处理子单元1209。
其中,第一确定子单元1201,用于确定服务器系统中被口令攻击成功的服务器;筛选子单元1203,用于从网络攻击日志中,筛选被口令攻击成功的服务器在预设攻击时间段内的网络流量日志;第二匹配子单元1205,用于利用传播源模型中的口令攻击特征与网络流量日志进行匹配;第二提取子单元1207,用于从网络流量日志中提取存在口令攻击特征的第二日志信息;第二处理子单元1209,用于获取提取到的第二日志信息中的网络资源定位符URL,并将获取到的网络资源定位符URL作为第一路径。
此处需要说明的是,上述第一确定子单元1201、筛选子单元1203、第二匹配子单元1205、第二提取子单元1207、第二处理子单元1209对应于实施例一中的步骤S402至步骤S410,五个子单元与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述子单元作为装置的一部分可以运行在实施例一提供的计算机终端中。
可选地,如图13(a)所示,第一确定子单元1201可以包括:第一确定模块1301;或者如图13(b)所示,第一确定子单元1201可以包括:第二确定模块1303。
其中,第一确定模块1301用于将预先设置的情报收集终端作为被口令成功攻击的服务器,其中,情报收集终端被设置为可被攻击者成功攻击;第二确定模块1303用于解析安全外壳协议SSH和远程登录协议telnet的网络流量;将网络流量中被暴力破解的流量指向的终端,确定为被口令成功攻击的服务器。
此处需要说明的是,上述第一确定模块1301对应于实施例一中的步骤S10,上述第二确定模块1303对应于实施例一中的步骤S12,两个模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在实施例一提供的计算机终端40中。
可选地,上述实施例二中的检测装置还可以包括:第三获取单元。
其中,第三获取单元用于通过网络爬虫技术定期遍历第一路径的同源路径,以获取第一路径的监控结果,其中,监控结果用于记录第一路径的路径状态和路径变化信息。
此处需要说明的是,上述第三获取单元对应于实施例一中的步骤S20,该单元与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述单元作为装置的一部分可以运行在实施例一提供的计算机终端40中。
可选地,如图14所示,第二获取单元1005可以包括:第二确定子单元1401、获取子单元1403、第三确定子单元1405。
其中,第二确定子单元1401,用于对服务器系统中的服务器进行指纹主题特征扫描,确定服务器系统中的网络文件服务器;获取子单元1403,用于通过网络爬虫技术获取网络文件服务器上的下载源;第三确定子单元1405,用于对下载源进行病毒扫描,将指向恶意文件的下载源确定为第二路径。
此处需要说明的是,上述第二确定子单元1401、获取子单元1403、第三确定子单元1405对应于实施例一中的步骤S702至步骤S706,三个子单元与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述子单元作为装置的一部分可以运行在实施例一提供的计算机终端10中。
可选地,上述实施例二中的确定单元1007可以包括:识别子单元。
其中,识别子单元,用于通过恶意文件检测引擎,识别攻击路径中指向恶意文件的恶意路径,并将恶意路径确定为恶意传播源。
此处需要说明的是,上述识别子单元对应于实施例一中的步骤S30,该单元与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述子单元作为装置的一部分可以运行在实施例一提供的计算机终端10中。
可选地,上述实施例二中的检测装置还可以包括:标记单元。
其中,标记单元用于对恶意传播源进行标记,并阻止恶意传播源在服务器系统中传播。
此处需要说明的是,上述标记单元对应于实施例一中的步骤S40,该单元与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述单元作为装置的一部分可以运行在实施例一提供的计算机终端10中。
实施例3
本申请的实施例可以提供一种计算机终端,该计算机终端可以是计算机终端群中的任意一个计算机终端设备。可选地,在本实施例中,上述计算机终端也可以替换为移动终端等终端设备。
可选地,在本实施例中,上述计算机终端可以位于计算机网络的多个网络设备中的至少一个网络设备。
在本实施例中,上述计算机终端可以执行应用程序的漏洞检测方法中以下步骤的程序代码:基于传播源模型,从服务器系统中提取符合攻击特征的攻击路径,其中,所述传播源模型中记录有网络攻击的攻击特征;将所述攻击路径中指向恶意文件的恶意路径确定为恶意传播源。
由上可知,本申请上述实施例三所提供的方案,通过基于传播源模型从服务器系统中提取符合攻击特征的攻击路径,达到了将攻击路径中指向恶意文件的恶意路径确定为恶意传播源的目的,从而实现了精准锁定恶意软件传播源、防止恶意软件传播以及阻止服务器系统访问恶意软件传播源的技术效果,进而解决了现有技术中的恶意传播源检测准确度较低的技术问题。
可选地,图15是根据本申请实施例的一种计算机终端的结构框图。如图15所示,该计算机终端A可以包括:一个或多个(图中仅示出一个)处理器1501、存储器1503、以及传输装置1505。
其中,存储器1503可用于存储软件程序以及模块,如本申请实施例中的恶意传播源的检测方法和装置对应的程序指令/模块,处理器1501通过运行存储在存储器1503内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的恶意传播源的的检测方法。存储器1503可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器1503可进一步包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至终端A。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
上述的传输装置1505用于经由一个网络接收或者发送数据。上述的网络具体实例可包括有线网络及无线网络。在一个实例中,传输装置1505包括一个网络适配器(NetworkInterface Controller,NIC),其可通过网线与其他网络设备与路由器相连从而可与互联网或局域网进行通讯。在一个实例中,传输装置1505为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
其中,具体地,存储器1503用于存储预设动作条件和预设权限用户的信息、以及应用程序。
处理器1501可以通过传输装置1505调用存储器1503存储的信息及应用程序,以执行下述步骤:基于传播源模型,从服务器系统中提取符合攻击特征的攻击路径,其中,所述传播源模型中记录有网络攻击的攻击特征;将所述攻击路径中指向恶意文件的恶意路径确定为恶意传播源。
可选的,上述处理器还可以执行如下步骤的程序代码:基于所述传播源模型,从网络攻击日志中提取符合被动攻击特征的第一路径,其中,所述攻击特征包括被动攻击特征和主动攻击特征;和/或基于所述传播源模型,获取网络文件服务器中符合所述主动攻击特征的第二路径,其中,所述攻击路径包括所述第一路径和/或所述第二路径。
可选的,上述处理器还可以执行如下步骤的程序代码:利用传播源模型中的网页防御特征与网络攻击日志中的网页防御日志进行匹配;提取网页防御日志中存在网页防御特征的第一日志信息;获取提取到的第一日志信息中的网络资源定位符URL,并将获取到的网络资源定位符URL作为第一路径。
可选的,上述处理器还可以执行如下步骤的程序代码:确定服务器系统中被口令攻击成功的服务器;从网络攻击日志中,筛选被口令攻击成功的服务器在预设攻击时间段内的网络流量日志;利用传播源模型中的口令攻击特征与网络流量日志进行匹配;从网络流量日志中提取存在口令攻击特征的第二日志信息;获取提取到的第二日志信息中的网络资源定位符URL,并将获取到的网络资源定位符URL作为第一路径。
可选的,上述处理器还可以执行如下步骤的程序代码:将预先设置的情报收集终端作为被口令成功攻击的服务器,其中,情报收集终端被设置为可被攻击者成功攻击;或解析安全外壳协议SSH和远程登录协议telnet的网络流量;将网络流量中被暴力破解的流量指向的终端,确定为被口令成功攻击的服务器。
可选的,上述处理器还可以执行如下步骤的程序代码:通过网络爬虫技术定期遍历第一路径的同源路径,以获取第一路径的监控结果,其中,监控结果用于记录第一路径的路径状态和路径变化信息。
可选的,上述处理器还可以执行如下步骤的程序代码:对服务器系统中的服务器进行指纹主题特征扫描,确定服务器系统中的网络文件服务器;通过网络爬虫技术获取网络文件服务器上的下载源;对下载源进行病毒扫描,将指向恶意文件的下载源确定为第二路径。
可选的,上述处理器还可以执行如下步骤的程序代码:通过恶意文件检测引擎,识别攻击路径和攻击路径中指向恶意文件的恶意路径,并将所述恶意路径确定为所述恶意传播源。
可选的,上述处理器还可以执行如下步骤的程序代码:对恶意传播源进行标记,并阻止恶意传播源在服务器系统中传播。
本领域普通技术人员可以理解,图15所示的结构仅为示意,计算机终端也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌声电脑以及移动互联网设备(MobileInternet Devices,MID)、PAD等终端设备。图15其并不对上述电子装置的结构造成限定。例如,计算机终端A还可包括比图15中所示更多或者更少的组件(如网络接口、显示装置等),或者具有与图15所示不同的配置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(RandomAccess Memory,RAM)、磁盘或光盘等。
实施例4
本申请的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于保存上述实施例一所提供的恶意传播源的检测方法所执行的程序代码。
可选地,在本实施例中,上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:基于传播源模型,从服务器系统中提取符合攻击特征的攻击路径,其中,所述传播源模型中记录有网络攻击的攻击特征;将所述攻击路径中指向恶意文件的恶意路径确定为恶意传播源。
此处需要说明的是,上述计算机终端群中的任意一个可以与网站服务器和扫描器建立通信关系,扫描器可以扫描计算机终端上php执行的web应用程序的值命令。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (11)
1.一种恶意传播源的检测方法,其特征在于,包括:
基于传播源模型,从服务器系统中提取符合攻击特征的攻击路径,其中,所述传播源模型中记录有网络攻击的攻击特征,所述传播源模型包括:被动侦测网页攻击的子模型、被动侦测弱口令攻击的子模型和主动探测恶意软件传播源的子模型,所述攻击路径包括:恶意统一资源定位符,和/或,存储位置;
将所述攻击路径中指向恶意文件的恶意路径确定为恶意传播源。
2.根据权利要求1所述的检测方法,其特征在于,基于传播源模型,从服务器系统中提取符合攻击特征的攻击路径包括:
基于所述传播源模型,从网络攻击日志中提取符合被动攻击特征的第一路径,其中,所述攻击特征包括被动攻击特征和主动攻击特征;和/或
基于所述传播源模型,获取网络文件服务器中符合所述主动攻击特征的第二路径,
其中,所述攻击路径包括所述第一路径和/或所述第二路径。
3.根据权利要求2所述的检测方法,其特征在于,所述被动攻击特征包括网页防御特征,其中,基于所述传播源模型,从网络攻击日志中提取符合所述被动攻击特征的第一路径包括:
利用所述传播源模型中的网页防御特征与所述网络攻击日志中的网页防御日志进行匹配;
提取所述网页防御日志中存在所述网页防御特征的第一日志信息;
获取提取到的第一日志信息中的网络资源定位符URL,并将获取到的网络资源定位符URL作为所述第一路径。
4.根据权利要求3所述的检测方法,其特征在于,所述网页防御特征包括下述之一:命令执行漏洞特征和远程下载特征,其中,所述命令执行漏洞特征包括:在验证性测试POC结果中包含预设攻击命令。
5.根据权利要求2所述的检测方法,其特征在于,所述被动攻击特征包括口令攻击特征,其中,基于所述传播源模型,从网络攻击日志中提取符合所述被动攻击特征的第一路径包括:
确定服务器系统中被口令攻击成功的服务器;
从所述网络攻击日志中,筛选所述被口令攻击成功的服务器在预设攻击时间段内的网络流量日志;
利用所述传播源模型中的口令攻击特征与所述网络流量日志进行匹配;
从所述网络流量日志中提取存在所述口令攻击特征的第二日志信息;
获取提取到的第二日志信息中的网络资源定位符URL,并将获取到的网络资源定位符URL作为所述第一路径。
6.根据权利要求5所述的检测方法,其特征在于,确定所述服务器系统中被口令成功攻击的服务器包括:
将预先设置的情报收集终端作为所述被口令成功攻击的服务器,其中,所述情报收集终端被设置为可被攻击者成功攻击;或
解析安全外壳协议SSH和远程登录协议telnet的网络流量;将所述网络流量中被暴力破解的流量指向的终端,确定为所述被口令成功攻击的服务器。
7.根据权利要求3至6中任意一项所述的检测方法,其特征在于,在基于所述传播源模型,从网络攻击日志中提取符合所述被动攻击特征的第一路径之后,所述方法还包括:
通过网络爬虫技术定期遍历所述第一路径的同源路径,以获取所述第一路径的监控结果,
其中,所述监控结果用于记录所述第一路径的路径状态和路径变化信息。
8.根据权利要求2所述的检测方法,其特征在于,基于所述传播源模型,获取网络文件服务器中符合所述主动攻击特征的第二路径包括:
对服务器系统中的服务器进行指纹主题特征扫描,确定所述服务器系统中的网络文件服务器;
通过网络爬虫技术获取所述网络文件服务器上的下载源;
对所述下载源进行病毒扫描,将指向恶意文件的下载源确定为所述第二路径。
9.根据权利要求1至6中任意一项、或8所述的检测方法,其特征在于,将所述攻击路径中指向恶意文件的恶意路径确定为恶意传播源包括:
通过恶意文件检测引擎,识别所述攻击路径中指向恶意文件的恶意路径,并将所述恶意路径确定为所述恶意传播源。
10.根据权利要求1至6中任意一项、或8所述的检测方法,其特征在于,在将指向恶意文件的下载源确定为第二路径之后,所述检测方法包括:
对所述恶意传播源进行标记,并阻止所述恶意传播源在所述服务器系统中传播。
11.一种恶意传播源的检测装置,其特征在于,包括:
处理单元,用于基于传播源模型,从服务器系统中提取符合攻击特征的攻击路径,其中,所述传播源模型中记录有网络攻击的攻击特征,所述传播源模型包括:被动侦测网页攻击的子模型、被动侦测弱口令攻击的子模型和主动探测恶意软件传播源的子模型,所述攻击路径包括:恶意统一资源定位符,和/或,存储位置;
确定单元,用于将所述攻击路径中指向恶意文件的恶意路径确定为恶意传播源。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610028009.2A CN106982188B (zh) | 2016-01-15 | 2016-01-15 | 恶意传播源的检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610028009.2A CN106982188B (zh) | 2016-01-15 | 2016-01-15 | 恶意传播源的检测方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106982188A CN106982188A (zh) | 2017-07-25 |
CN106982188B true CN106982188B (zh) | 2020-11-27 |
Family
ID=59341089
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610028009.2A Active CN106982188B (zh) | 2016-01-15 | 2016-01-15 | 恶意传播源的检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106982188B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108650249B (zh) * | 2018-04-26 | 2021-07-27 | 平安科技(深圳)有限公司 | Poc攻击检测方法、装置、计算机设备和存储介质 |
CN110798439B (zh) * | 2018-09-04 | 2022-04-19 | 国家计算机网络与信息安全管理中心 | 主动探测物联网僵尸网络木马的方法、设备及存储介质 |
CN109547478A (zh) * | 2018-12-27 | 2019-03-29 | 中国电子科技网络信息安全有限公司 | 一种基于sdn的抗网络扫描方法及系统 |
CN114398442B (zh) * | 2022-01-25 | 2023-09-19 | 中国电子科技集团公司第十研究所 | 一种基于数据驱动的情报处理系统 |
CN115118514A (zh) * | 2022-07-11 | 2022-09-27 | 深信服科技股份有限公司 | 一种数据检测方法、装置、设备及介质 |
CN115801634B (zh) * | 2022-12-01 | 2023-06-16 | 北京安帝科技有限公司 | 基于工业互联网安全的网络测试系统 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105227582A (zh) * | 2015-11-03 | 2016-01-06 | 蓝盾信息安全技术股份有限公司 | 基于入侵检测和漏洞扫描联动的黑客行为发现及分析 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100468232B1 (ko) * | 2002-02-19 | 2005-01-26 | 한국전자통신연구원 | 분산된 침입탐지 에이전트와 관리자 시스템을 이용한네트워크 기반 침입자 역추적 시스템 및 그 방법 |
CN101448007B (zh) * | 2008-12-31 | 2012-11-21 | 中国电力科学研究院 | 一种结构化查询语言sql攻击防御方法 |
CN101833453B (zh) * | 2010-05-13 | 2012-12-05 | 天津大学 | 基于安全知识库的顺序图缺陷检测方法 |
CN202103697U (zh) * | 2010-12-03 | 2012-01-04 | 成都飞鱼星科技开发有限公司 | 防攻击安全联动系统 |
US8782793B2 (en) * | 2012-05-22 | 2014-07-15 | Kaspersky Lab Zao | System and method for detection and treatment of malware on data storage devices |
CN105095759A (zh) * | 2015-07-21 | 2015-11-25 | 安一恒通(北京)科技有限公司 | 文件的检测方法及装置 |
-
2016
- 2016-01-15 CN CN201610028009.2A patent/CN106982188B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105227582A (zh) * | 2015-11-03 | 2016-01-06 | 蓝盾信息安全技术股份有限公司 | 基于入侵检测和漏洞扫描联动的黑客行为发现及分析 |
Also Published As
Publication number | Publication date |
---|---|
CN106982188A (zh) | 2017-07-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11323466B2 (en) | Malicious HTTP cookies detection and clustering | |
Antonakakis et al. | Understanding the mirai botnet | |
US10853484B2 (en) | Cookies watermarking in malware analysis | |
CN106982188B (zh) | 恶意传播源的检测方法及装置 | |
CA2966408C (en) | A system and method for network intrusion detection of covert channels based on off-line network traffic | |
CN107659583B (zh) | 一种检测事中攻击的方法及系统 | |
EP3219068B1 (en) | Method of identifying and counteracting internet attacks | |
KR101689296B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
CN105939326B (zh) | 处理报文的方法及装置 | |
Rezaeirad et al. | {Schrödinger’s}{RAT}: Profiling the stakeholders in the remote access trojan ecosystem | |
CN110768951B (zh) | 验证系统漏洞的方法及装置、存储介质、电子装置 | |
CN107332804B (zh) | 网页漏洞的检测方法及装置 | |
CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
EP3579523A1 (en) | System and method for detection of malicious interactions in a computer network | |
Yamada et al. | RAT-based malicious activities detection on enterprise internal networks | |
US11916953B2 (en) | Method and mechanism for detection of pass-the-hash attacks | |
CN107231365B (zh) | 一种取证的方法及服务器以及防火墙 | |
CN114006772B (zh) | 一种反制黑客攻击的方法、装置、电子设备及存储介质 | |
Cabaj et al. | Practical problems of internet threats analyses | |
Veijalainen et al. | Evaluating the security of a smart door lock system | |
Achkoudir et al. | Ethical Hacking of a Smart Plug | |
Gautam et al. | Passwords Are Meant to Be Secret: A Practical Secure Password Entry Channel for Web Browsers | |
CN110768858A (zh) | 渗透测试的信令控制方法及装置、存储介质、电子装置 | |
CN117955739A (zh) | 一种接口安全的识别方法、装置、计算设备和存储介质 | |
CN115935356A (zh) | 一种软件安全性测试方法、系统及应用 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |