CN107360155A - 一种基于威胁情报和沙箱技术的网络攻击自动溯源方法和系统 - Google Patents
一种基于威胁情报和沙箱技术的网络攻击自动溯源方法和系统 Download PDFInfo
- Publication number
- CN107360155A CN107360155A CN201710556348.2A CN201710556348A CN107360155A CN 107360155 A CN107360155 A CN 107360155A CN 201710556348 A CN201710556348 A CN 201710556348A CN 107360155 A CN107360155 A CN 107360155A
- Authority
- CN
- China
- Prior art keywords
- information
- server
- source
- sample
- sandbox
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种基于威胁情报和沙箱技术的网络攻击自动溯源方法,步骤包括:获取网络攻击恶意样本,分析样本类型并获取所述样本所需系统和应用环境参数;利用沙箱配置满足所述参数的虚拟机环境,运行所述样本并记录样本的指纹信息;根据所述指纹信息进行溯源,如果达到溯源目的,则停止溯源,否则提取攻击指标信息;根据所述攻击指标信息,调用威胁情报数据,根据所述威胁情报数据进行溯源。本发明还提供一种基于威胁情报和沙箱技术的网络攻击自动溯源系统,包括分析服务器、情报中继服务器和沙箱服务器。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种基于威胁情报和沙箱技术的网络攻击自动溯源方法和系统。
背景技术
伴随着互联网和移动互联网在各个行业、各个领域的广泛应用,各种网络攻击事件频繁爆发,网络安全问题日益严重,而伴随着各种网络攻击技术、计算机隐匿技术,特别是随着大数据时代的来临,网络攻击的规模、范围和攻击深度不断提升,传统方法和技术手段对于网络攻击的溯源分析越来越难达到预期的效果。
威胁情报是一种基于证据的知识,包括环境上下文、机制、指标、影响和可行性建议等信息,用于描述现有的或可能出现的威胁,从而实现对威胁的事前预防、事中响应和事后溯源。沙箱是一个虚拟系统软件,允许在沙箱环境中运行各类应用程序或打开各类文件,运行过程中产生的数据、文件、环境和流量等变化信息可以进行捕捉和监控,而运行程序不会对硬盘造成永久性的影响。目前针对网络攻击的溯源分析主要依赖人工分析,威胁情报多用于网络安全防护设备的功能增强和网络攻击溯源手动分析的辅助,面对网络攻击溯源过程中产生的海量数据信息,人工处理复杂且耗时。沙箱作为一个独立的虚拟环境,可以用于测试不受信任的应用程序和操作行为,目前对于沙箱分析产生的数据信息,缺乏自动化的深入分析方法,导致溯源深度分析的效率低下。溯源分析效率不高直接导致的问题是安全响应滞后,进而不能及时掌控和消除网络攻击的影响,因而无法达到网络攻击自动溯源的目的。
发明内容
为了克服现有技术的不足,本发明提出一种基于威胁情报和沙箱技术的网络攻击自动溯源方法和系统,利用沙箱技术对网络攻击过程中的恶意软件进行动态分析,提高溯源分析过程中的自动化信息获取、搜集和关联分析能力,从而实现对网络攻击的自动溯源分析。
为了解决上述技术问题,本发明提供的技术方案如下:
一种基于威胁情报和沙箱技术的网络攻击自动溯源方法,步骤包括:
获取网络攻击恶意样本,分析样本类型并获取所述样本所需系统和应用环境参数;
利用沙箱配置满足所述参数的虚拟机环境,运行所述样本并记录样本的指纹信息;
根据所述指纹信息进行溯源,如果达到溯源目的,则停止溯源,否则提取攻击指标信息;
根据所述攻击指标信息,调用威胁情报数据,根据所述威胁情报数据进行溯源。
进一步地,所述样本类型包括Android样本、Windows下的可执行文件、畸形应用文件(如篡改的doc文件)等。
进一步地,所述指纹信息包括行为记录、新产生的文件Hash、网络活动中涉及到的URL和IP、邮箱等信息。
进一步地,所述攻击指标信息包括文件Hash、邮箱、IP、域名等信息。
进一步地,对所述调用的威胁情报数据进行格式化,以统一格式。
进一步地,根据所述威胁情报数据进行溯源,如果达不到溯源目的,则继续调用新的威胁情报数据进行溯源,直至达到溯源目的或者达到设定的调用次数。
进一步地,所述达到溯源目的是指找到攻击者,该攻击者包括个人、组织等。
一种基于威胁情报和沙箱技术的网络攻击自动溯源系统,包括:
分析服务器,用于分析网络攻击恶意样本的类型并获取样本所需系统和应用环境参数,并对指纹信息和威胁情报数据进行溯源分析;
情报中继服务器,通过互联网访问提供威胁情报接口服务的外部接口服务器,从所述外部接口服务器调用威胁情报数据;
沙箱服务器,对网络攻击过程中的恶意样本进行动态分析,记录所述样本的指纹信息;
其中,所述分析服务器与所述情报中继服务器和所述沙箱服务器通过局域网连接;所述分析服务器向所述沙箱服务器提交恶意样本,并接收所述沙箱服务器分析出的所述指纹信息;所述分析服务器向所述情报中继服务器提交威胁情报访问请求,从所述情报中继服务器获得威胁情报数据。
进一步地,所述情报中继服务器通过周期性的会话账号测试来判断所述外部接口服务器的API接口的可用性。
进一步地,所述情报中继服务器收到所述分析服务器的威胁情报访问请求后,向所述外部接口服务器提交API访问请求。
进一步地,所述情报中继服务器对威胁情报数据进行统一格式并对多个会话账号的会话可用情况及对威胁情报数据调用限制情况进行管理,以保证在溯源分析过程中,资源调用服务的稳定性和可用性。
本发明的方法通过沙箱技术对网络攻击恶意样本进行分析,在安全环境下分析出恶意样本的行为记录等指纹信息,根据指纹信息进行溯源分析,或者提取攻击指标信息并据以调用外部威胁情报数据做进一步溯源分析;针对外部威胁情报数据资源,进行资源调用管理、账号管理和返回数据统一格式,便于溯源分析过程中的资源调用;通过持续调用新的威胁情报数据,可实现自动化的威胁情报数据深度搜索,并进行多次的自动溯源分析判断;通过对返回的威胁情报数据进行格式化,统一格式,可以支持多种形式网络攻击相关数据输入,可扩展性强。
本发明的系统通过分析服务器、情报中继服务器和沙箱服务器,对恶意样本进行分析并提取指纹信息、攻击指标信息,从外部接口服务器自动调用威胁情报数据资源进行溯源分析;通过情报中继服务器对威胁情报数据资源进行资源调用、账号管理、数据格式化等统一管理,提高服务的可用性、稳定性和数据格式的统一性,后续新的威胁情报数据可以方便地添加和扩展;各服务器之间采用松耦合设计,将分析服务、情报中继服务和沙箱服务进行拆分,各服务之间通过统一的接口进行服务调用,后续的修改和升级更加方便。
附图说明
图1是实施例的网络攻击自动溯源系统的结构示意图。
图2是实施例的网络攻击自动溯源方法流程图。
具体实施方式
为使本发明的上述特征和优点能更明显易懂,下文特举实施例,并配合所附图作详细说明如下。
本实施例提供一种基于威胁情报和沙箱技术的网络攻击自动溯源系统,如图1所示,包括分析服务器、情报中继服务器和沙箱服务器,这三个服务器通过局域网连接。其中,所述分析服务器用于分析网络攻击恶意样本的类型并获取样本所需系统和应用环境参数,并对威胁情报数据进行自动溯源分析;所述情报中继服务器通过互联网访问威胁情报厂商为提供威胁情报接口服务而架设的外部接口服务器,对外部威胁情报厂商提供的接口服务进行资源调用、账号管理、返回数据统一格式等,通过周期性的会话账号测试以保证API接口的可用性,同时,通过对不同威胁情报厂商返回的威胁情报数据类型和内容进行处理,以保证返回数据格式的统一;所述沙箱服务器利用沙箱技术,对网络攻击过程中的恶意样本进行动态分析,记录所述样本的指纹信息。
所述分析服务器与所述情报中继服务器和所述沙箱服务器通过局域网连接,所述分析服务器向所述沙箱服务器提交恶意样本,所述沙箱服务器返回恶意样本的指纹信息;所述分析服务器向所述情报中继服务器提交威胁情报访问请求,所述情报中继服务器以统一的数据格式返回威胁情报数据结果。
本实施例还提供一种基于威胁情报和沙箱技术的网络攻击自动溯源方法,通过上述系统进行实现,如图2所示,包括以下步骤:
S1:获取恶意样本,分析样本类型及要求;具体是:分析服务器获取用于原始分析的网络攻击恶意样本,分析恶意样本的类型并获取样本所需系统和应用环境参数,该样本类型包括Android样本、Windows下的可执行文件、畸形应用文件等,该畸形应用文件如篡改的doc文件等,向沙箱服务器提交请求。
S2:利用沙箱配置虚拟机环境,记录样本指纹信息;具体是:所述沙箱服务器获取请求并配置满足所述参数的虚拟机环境,导入并运行样本,记录样本的指纹信息,运行完成后,返回指纹信息给所述分析服务器,所述指纹信息包括行为记录、新产生的文件Hash、网络活动中涉及到的URL和IP、邮箱等信息。
S3:根据指纹信息进行溯源,判断是否能达到溯源目的;具体是:所述分析服务器根据获取的指纹信息进行溯源,判断是否能达到溯源目的,该溯源目的是指找到攻击者,包括个人、组织等,可通过关联搜索等方法查找特征信息来实现溯源;如果能,则结束溯源分析;如果不能,则提取攻击指标信息,向情报中继服务器发送调用威胁情报数据请求;所述攻击指标信息包括文件Hash、邮箱、IP、域名等信息。
S4:判断威胁情报接口服务的API接口可用性并发送API访问请求;具体是:所述情报中继服务器根据所述请求,通过周期性的会话账号测试来判断相应的威胁情报厂商的外部接口服务器的API接口的可用性,并向所述外部接口服务器提交API访问请求。
S5:调用威胁情报数据并进行格式化;具体是:所述情报中继服务器从所述外部接口服务器调用威胁情报数据资源,根据对类型和内容的统一标准,对返回的威胁情报数据进行格式化处理,以统一格式,然后返回给所述分析服务器。
S6:根据威胁情报数据进行溯源,判断是否能达到溯源目的;具体是:所述分析服务器根据所述威胁情报数据进行溯源,如果达到溯源目的,则结束溯源分析;否则返回至上述步骤S5,再次调用新的威胁情报数据并进行溯源,直至达到溯源目的;或者调用新的威胁情报数据有限次后(可根据需要设定次数)仍未达到溯源目的,可认为没有攻击者,则结束溯源分析。
Claims (10)
1.一种基于威胁情报和沙箱技术的网络攻击自动溯源方法,步骤包括:
获取网络攻击恶意样本,分析样本类型并获取所述样本所需系统和应用环境参数;
利用沙箱配置满足所述参数的虚拟机环境,运行所述样本并记录样本的指纹信息;
根据所述指纹信息进行溯源,如果达到溯源目的,则停止溯源,否则提取攻击指标信息;
根据所述攻击指标信息,调用威胁情报数据,根据所述威胁情报数据进行溯源。
2.根据权利要求1所述的方法,其特征在于,所述样本类型包括Android样本、Windows下的可执行文件、畸形应用文件。
3.根据权利要求1所述的方法,其特征在于,所述指纹信息包括行为记录、新产生的文件Hash、网络活动中涉及到的URL和IP、邮箱。
4.根据权利要求1所述的方法,其特征在于,所述攻击指标信息包括文件Hash、邮箱、IP、域名。
5.根据权利要求1所述的方法,其特征在于,对所述调用的威胁情报数据进行格式化,以统一格式。
6.根据权利要求1所述的方法,其特征在于,根据所述威胁情报数据进行溯源,如果达不到溯源目的,则继续调用新的威胁情报数据进行溯源,直至达到溯源目的或者达到设定的调用次数。
7.根据权利要求1或6所述的方法,其特征在于,所述达到溯源目的是指找到攻击者,该攻击者包括个人、组织。
8.一种基于威胁情报和沙箱技术的网络攻击自动溯源系统,包括:
分析服务器,用于分析网络攻击恶意样本的类型并获取样本所需系统和应用环境参数,并对指纹信息和威胁情报数据进行溯源分析;
情报中继服务器,通过互联网访问提供威胁情报接口服务的外部接口服务器,从所述外部接口服务器调用威胁情报数据;
沙箱服务器,对网络攻击过程中的恶意样本进行动态分析,记录所述样本的指纹信息;
其中,所述分析服务器与所述情报中继服务器和所述沙箱服务器通过局域网连接;所述分析服务器向所述沙箱服务器提交恶意样本,并接收所述沙箱服务器分析出的所述指纹信息;所述分析服务器向所述情报中继服务器提交威胁情报访问请求,从所述情报中继服务器获得威胁情报数据。
9.根据权利要求8所述的系统,其特征在于,所述情报中继服务器通过周期性的会话账号测试来判断所述外部接口服务器的API接口的可用性,且收到所述分析服务器的威胁情报访问请求后,向所述外部接口服务器提交API访问请求。
10.根据权利要求8所述的系统,其特征在于,所述情报中继服务器对调用的威胁情报数据进行统一格式并对多个会话账号的会话可用情况及对威胁情报数据调用限制情况进行管理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710556348.2A CN107360155A (zh) | 2017-07-10 | 2017-07-10 | 一种基于威胁情报和沙箱技术的网络攻击自动溯源方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710556348.2A CN107360155A (zh) | 2017-07-10 | 2017-07-10 | 一种基于威胁情报和沙箱技术的网络攻击自动溯源方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107360155A true CN107360155A (zh) | 2017-11-17 |
Family
ID=60293230
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710556348.2A Pending CN107360155A (zh) | 2017-07-10 | 2017-07-10 | 一种基于威胁情报和沙箱技术的网络攻击自动溯源方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107360155A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109861995A (zh) * | 2019-01-17 | 2019-06-07 | 安徽谛听信息科技有限公司 | 一种网络空间安全大数据智能分析方法、计算机可读介质 |
| CN109885562A (zh) * | 2019-01-17 | 2019-06-14 | 安徽谛听信息科技有限公司 | 一种基于网络空间安全的大数据智能分析系统 |
| CN110210213A (zh) * | 2019-04-26 | 2019-09-06 | 北京奇安信科技有限公司 | 过滤恶意样本的方法及装置、存储介质、电子装置 |
| CN110532480A (zh) * | 2019-07-15 | 2019-12-03 | 中国科学院信息工程研究所 | 一种用于人读威胁情报推荐的知识图谱构建方法及威胁情报推荐方法 |
| CN110691080A (zh) * | 2019-09-25 | 2020-01-14 | 光通天下网络科技股份有限公司 | 自动溯源方法、装置、设备及介质 |
| CN113497786A (zh) * | 2020-03-20 | 2021-10-12 | 腾讯科技(深圳)有限公司 | 一种取证溯源方法、装置以及存储介质 |
| CN113726826A (zh) * | 2021-11-04 | 2021-11-30 | 北京微步在线科技有限公司 | 一种威胁情报生成方法及装置 |
| CN115022077A (zh) * | 2022-06-30 | 2022-09-06 | 绿盟科技集团股份有限公司 | 网络威胁防护方法、系统及计算机可读存储介质 |
-
2017
- 2017-07-10 CN CN201710556348.2A patent/CN107360155A/zh active Pending
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109861995A (zh) * | 2019-01-17 | 2019-06-07 | 安徽谛听信息科技有限公司 | 一种网络空间安全大数据智能分析方法、计算机可读介质 |
| CN109885562A (zh) * | 2019-01-17 | 2019-06-14 | 安徽谛听信息科技有限公司 | 一种基于网络空间安全的大数据智能分析系统 |
| CN110210213A (zh) * | 2019-04-26 | 2019-09-06 | 北京奇安信科技有限公司 | 过滤恶意样本的方法及装置、存储介质、电子装置 |
| CN110532480A (zh) * | 2019-07-15 | 2019-12-03 | 中国科学院信息工程研究所 | 一种用于人读威胁情报推荐的知识图谱构建方法及威胁情报推荐方法 |
| CN110532480B (zh) * | 2019-07-15 | 2022-06-17 | 中国科学院信息工程研究所 | 一种用于人读威胁情报推荐的知识图谱构建方法及威胁情报推荐方法 |
| CN110691080A (zh) * | 2019-09-25 | 2020-01-14 | 光通天下网络科技股份有限公司 | 自动溯源方法、装置、设备及介质 |
| CN110691080B (zh) * | 2019-09-25 | 2022-06-14 | 光通天下网络科技股份有限公司 | 自动溯源方法、装置、设备及介质 |
| CN113497786A (zh) * | 2020-03-20 | 2021-10-12 | 腾讯科技(深圳)有限公司 | 一种取证溯源方法、装置以及存储介质 |
| CN113726826A (zh) * | 2021-11-04 | 2021-11-30 | 北京微步在线科技有限公司 | 一种威胁情报生成方法及装置 |
| CN115022077A (zh) * | 2022-06-30 | 2022-09-06 | 绿盟科技集团股份有限公司 | 网络威胁防护方法、系统及计算机可读存储介质 |
| CN115022077B (zh) * | 2022-06-30 | 2023-05-16 | 绿盟科技集团股份有限公司 | 网络威胁防护方法、系统及计算机可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107360155A (zh) | 一种基于威胁情报和沙箱技术的网络攻击自动溯源方法和系统 | |
| EP3497609B1 (en) | Detecting scripted or otherwise anomalous interactions with social media platform | |
| US10621613B2 (en) | Systems and methods for monitoring malicious software engaging in online advertising fraud or other form of deceit | |
| US20200012785A1 (en) | Self-adaptive application programming interface level security monitoring | |
| CN109361643B (zh) | 一种恶意样本的深度溯源方法 | |
| CN105893848A (zh) | 一种基于代码行为相似度匹配的Android恶意应用程序防范方法 | |
| CN108665297A (zh) | 异常访问行为的检测方法、装置、电子设备和存储介质 | |
| US20210126931A1 (en) | System and a method for detecting anomalous patterns in a network | |
| CN105069355A (zh) | webshell变形的静态检测方法和装置 | |
| CN106462703A (zh) | 补丁文件分析系统与分析方法 | |
| CN105117645A (zh) | 基于文件系统过滤驱动实现沙箱虚拟机多样本运行的方法 | |
| CN108304410A (zh) | 一种异常访问页面的检测方法、装置及数据分析方法 | |
| CN111163065A (zh) | 异常用户检测方法及装置 | |
| CN112733045B (zh) | 用户行为的分析方法、装置及电子设备 | |
| CN104640105B (zh) | 手机病毒分析和威胁关联的方法和系统 | |
| CN103942491A (zh) | 一种互联网恶意代码处置方法 | |
| CN107330326A (zh) | 一种恶意木马检测处理方法及装置 | |
| CN109214178A (zh) | App应用恶意行为检测方法及装置 | |
| CN107704369A (zh) | 一种操作日志的记录方法、电子设备、存储介质、系统 | |
| CN110519263A (zh) | 防刷量方法、装置、设备及计算机可读存储介质 | |
| CN110135162A (zh) | Webshell后门识别方法、装置、设备及存储介质 | |
| CN105740135B (zh) | 一种代码审计方法和装置 | |
| CN110460620A (zh) | 网站防御方法、装置、设备及存储介质 | |
| CN105205134B (zh) | 识别用户点击访问网站行为的方法及装置 | |
| CN109685662A (zh) | 投资数据处理方法、装置、计算机设备及其存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171117 |
|
| RJ01 | Rejection of invention patent application after publication |