CN108073808A - 基于pdb调试信息生成攻击者画像的方法及系统 - Google Patents

基于pdb调试信息生成攻击者画像的方法及系统 Download PDF

Info

Publication number
CN108073808A
CN108073808A CN201711392050.9A CN201711392050A CN108073808A CN 108073808 A CN108073808 A CN 108073808A CN 201711392050 A CN201711392050 A CN 201711392050A CN 108073808 A CN108073808 A CN 108073808A
Authority
CN
China
Prior art keywords
attacker
attack
pdb
information
pdb files
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201711392050.9A
Other languages
English (en)
Other versions
CN108073808B (zh
Inventor
刘佳男
王鹏
李柏松
王小丰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Harbin Antiy Technology Co Ltd
Original Assignee
Harbin Antiy Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Antiy Technology Co Ltd filed Critical Harbin Antiy Technology Co Ltd
Priority to CN201711392050.9A priority Critical patent/CN108073808B/zh
Publication of CN108073808A publication Critical patent/CN108073808A/zh
Application granted granted Critical
Publication of CN108073808B publication Critical patent/CN108073808B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Signal Processing (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明公开了一种基于pdb调试信息生成攻击者画像的方法、系统及存储介质,其中,所述方法包括:逐条分析已知网络攻击的pdb文件的路径信息,并提取攻击者特征信息,包括:恶意程序所属国家、攻击者ID、攻击项目名称、pdb文件的文件名;对提取的攻击者特征信息进行关联查询,输出查询结果。本发明利用海量攻击程序相关的pdb文件的路径信息,得到攻击者特征信息并进行关联查询,最终得到更贴近自然人的攻击者特征。

Description

基于pdb调试信息生成攻击者画像的方法及系统
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于pdb调试信息生成攻击者画像的方法及系统。
背景技术
攻击者画像:通过网络攻击者在实施犯罪过程中所留下的线索,尝试获取与攻击者自身有关的信息,包括攻击手法、所使用的黑客工具、犯罪背景以及想要达到的目的等。
pdb文件:攻击者利用C/C++语言并使用Visual Studio工具编译代码过程中所产生的文件,作用是存储对应dll和exe内部的所有符号,以及符号对应的地址、文件名和行号。在开发人员调试代码的时候,会用到pdb文件,正是由于此文件的存在,开发人员才能在debug的时候看到程序当前执行相对应的代码和监视到一些变量。
目前在信息安全领域,网络溯源是一个备受关注的话题,而在网络溯源中,安全工作者普遍希望了解攻击开发的恶意软件的名称、攻击来自哪个国家,更进一步地,希望能够确定攻击者的自然人身份、网络攻击程序开发人员与具体项目的联系,具体项目中都包含了哪些网络攻击程序开发人员,以及不同网络攻击程序开发人员之间都有过哪些项目的合作。
目前来看,还没有与攻击者画像直接相关的专利出现,与之类似的,存在多个以“网络溯源”为主题的专利。其中,有专利专注于获取从当前存储系统中向外拷贝文件的网络连接信息,这件专利以文件传输的网络连接为抓手,且只能获取到TCP/IP层面对方的信息,包括IP地址和端口号,无法获得与攻击者自身有关的有价值信息;有专利专注于让被溯源目标执行一段JS代码,其前提是已经知道需要被溯源的目标是谁,而不是在未知的前提下获取攻击者信息;有专利是通过将终端唯一标识与终端IP地址对应,这种方法能够发挥作用的前提是攻击者也将自身的终端与IP地址绑定,否则将无法溯源;有专利主要用于找到通过Tor网络访问互联网的用户,所获取到的信息依旧停留在TCP/IP协议栈所能提供的信息上,对攻击者本身的相关信息无法获取;也有专利主要集中于利用主机特征来溯源,包括进程信息和文件信息等,仍然无法解决获得与攻击者自身有关的信息。
发明内容
针对上述技术问题,本发明所述的技术方案基于获取的与网络攻击程序相关的海量PDB文件的路径信息,通过关联分析的方法,从中获取到与攻击者相关的威胁情报信息生成攻击者画像,对攻击者的刻画更贴近自然人信息。
本发明采用如下方法来实现:一种基于pdb调试信息生成攻击者画像的方法,包括:
逐条分析已知网络攻击的pdb文件的路径信息,并提取攻击者特征信息,包括:恶意程序所属国家、攻击者ID、攻击项目名称、pdb文件的文件名;
对提取的攻击者特征信息进行关联查询,输出查询结果。
进一步地,所述逐条分析已知网络攻击的pdb文件的路径信息,并提取攻击者特征信息,具体包括:
将pdb文件的路径信息与已知语言数据库匹配,输出恶意程序所属国家;
将pdb文件的路径信息与已知攻击者ID的字符串样式库匹配,输出攻击者ID;
将pdb文件的路径信息与已知攻击项目名称的字符串样式库匹配,输出攻击项目名称;
定位pdb文件的路径信息中最后一个“\”和后缀名“.pdb”中间的信息,输出pdb文件的文件名。
上述方法中,所述对提取的攻击者特征信息进行关联查询,输出查询结果,包括:
选取攻击者ID查询提取的攻击者特征信息,获取该攻击者ID所属国家、参与的所有攻击项目名称;
选取攻击项目名称查询提取的攻击者特征信息,获取参与该攻击项目的所有攻击者ID。
更进一步地,还包括:在数据库中创建存储结构,用于存储提取的攻击者特征信息。
本发明可以采用如下系统来实现:一种基于pdb调试信息生成攻击者画像的系统,包括:
攻击者特征提取模块,用于逐条分析已知网络攻击的pdb文件的路径信息,并提取攻击者特征信息,包括:恶意程序所属国家、攻击者ID、攻击项目名称、pdb文件的文件名;
攻击者画像生成模块,用于对提取的攻击者特征信息进行关联查询,输出查询结果。
进一步地,所述攻击者特征提取模块,具体用于:
将pdb文件的路径信息与已知语言数据库匹配,输出恶意程序所属国家;
将pdb文件的路径信息与已知攻击者ID的字符串样式库匹配,输出攻击者ID;
将pdb文件的路径信息与已知攻击项目名称的字符串样式库匹配,输出攻击项目名称;
定位pdb文件的路径信息中最后一个“\”和后缀名“.pdb”中间的信息,输出PDB文件的文件名。
上述系统中,所述攻击者画像生成模块,具体用于:
选取攻击者ID查询提取的攻击者特征信息,获取该攻击者ID所属国家、参与的所有攻击项目名称;
选取攻击项目名称查询提取的攻击者特征信息,获取参与该攻击项目的所有攻击者ID。
更进一步地,还包括:攻击者特征存储模块,用于存储提取的攻击者特征信息。
本发明同时提出一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述任一所述的基于pdb调试信息生成攻击者画像的方法。
综上,本发明给出一种基于pdb调试信息生成攻击者画像的方法及系统,通过解析海量的已知网络攻击相关的pdb文件的路径信息,并提取攻击者特征信息,包括恶意程序所属国家,攻击者ID、攻击项目名称、pdb文件的文件名;并将所有攻击者特征信息存储在数据库中;对所有提取的攻击者特征信息进行关联查询,最终生成与攻击者的自然人特征更贴近的画像描述,同时,能够获取参与某项攻击项目的所有攻击者信息等等。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种基于pdb调试信息生成攻击者画像的方法实施例1流程图;
图2为本发明提供的一种基于pdb调试信息生成攻击者画像的方法实施例2流程图;
图3为本发明提供的一种基于pdb调试信息生成攻击者画像的系统实施例结构图。
具体实施方式
本发明给出了一种基于pdb调试信息生成攻击者画像的方法及系统实施例,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种基于pdb调试信息生成攻击者画像的方法实施例1,如图1所示,包括:
S101:逐条分析已知网络攻击的pdb文件的路径信息,并提取攻击者特征信息;所述攻击者特征信息,包括但不限于:恶意程序所属国家、攻击者ID、攻击项目名称、pdb文件的文件名;
S102:对提取的攻击者特征信息进行关联查询,输出查询结果。
优选地,所述逐条分析已知网络攻击的pdb文件的路径信息,并提取攻击者特征信息,具体包括:
将pdb文件的路径信息与已知语言数据库匹配,输出恶意程序所属国家;
将pdb文件的路径信息与已知攻击者ID的字符串样式库匹配,输出攻击者ID;
将pdb文件的路径信息与已知攻击项目名称的字符串样式库匹配,输出攻击项目名称;
定位pdb文件的路径信息中最后一个“\”和后缀名“.pdb”中间的信息,输出pdb文件的文件名。
上述方法实施例中,所述对提取的攻击者特征信息进行关联查询,输出查询结果,包括:
选取攻击者ID查询提取的攻击者特征信息,获取该攻击者ID所属国家、参与的所有攻击项目名称;
选取攻击项目名称查询提取的攻击者特征信息,获取参与该攻击项目的所有攻击者ID。
更优选地,还包括:在数据库中创建存储结构,用于存储提取的攻击者特征信息。
本发明同时提供了一种基于pdb调试信息生成攻击者画像的方法实施例2,如图2所示,包括:
S201:在数据库中创建存储结构,用于存储后续提取的攻击者特征信息;所述攻击者特征信息,包括但不限于:恶意程序所属国家、攻击者ID、攻击项目名称、pdb文件的文件名;
S202:获取海量已知网络攻击相关的pdb文件的路径信息;例如:
c:\工作\william\project_2017\remote_ctrl.pdb;
c:\工作\xiaowang\project_2017\exploit.pdb;
c:\程序\xiaoli\project_2017\keylogger.pdb;
c:\工作\hackstorm\william\trojan.pdb;
c:\代码\hackstorm\xiaobai\backdoor.pdb;
S203:逐条将pdb文件的路径信息与已知语言数据库匹配,输出恶意程序所属国家,并存入创建的存储结构中;具体操作可以为:
1、预定义几种常见的已知语言数据库;
2、尝试匹配pdb文件的路径信息字符串中的内容;
3、如果pdb文件的路径信息字符串中的内容与某一种语言数据库中的成员匹配成功,就可判定此攻击来源于某个国家;
4、将恶意程序所属国家保存到存储结构的相应位置。
S204:逐条将pdb文件的路径信息与已知攻击者ID的字符串样式库匹配,输出攻击者ID,并存入创建的存储结构中;具体操作可以为:
1、构建由一定数目的pdb文件的路径信息所组成的训练集;
2、构建一个机器学习的组件,此组件能够通过训练集学习到pdb文件的路径信息中攻击者ID的字符串样式;
3、将待测的海量pdb文件的路径信息交由判断攻击者ID的组件处理,通过已学习到的攻击者ID的字符串样式从中筛选出攻击者ID信息;
4、将攻击者ID信息保存到存储结构的相应位置。
S205:逐条将pdb文件的路径信息与已知攻击项目名称的字符串样式库匹配,输出攻击项目名称;具体操作可以为:
1、构建由一定数目的pdb文件的路径信息所组成的训练集;
2、构建一个机器学习的组件,此组件能够通过训练集学习到pdb文件的路径信息中攻击项目名称的字符串样式;
3、将待测的海量pdb文件的路径信息交由判断攻击项目名称的组件处理,通过已学习到的攻击项目名称的字符串样式从中筛选出攻击项目名称;
4、将攻击项目名称保存到存储结构的相应位置。
S206:逐条定位pdb文件的路径信息中最后一个“\”和后缀名“.pdb”中间的信息,输出pdb文件的文件名,并存入创建的存储结构中。
1、获取本轮循环中所对应的pdb文件路径信息列表中的某一行;
2、定位路径字符串中最后一个“\”和后缀名“.pdb”的位置,并取出二者之间的内容,即为pdb文件的文件名;
3、将提取出的pdb文件的文件名保存在存储结构的相应位置。由于pdb文件的文件名一般都显示了对应的编译文件的名字,因此获取可确定代码所具体实现的恶意功能。
最终,经过获取如下的攻击者特征信息:
S207:对提取的攻击者特征信息进行关联查询,输出查询结果;包括但不限于:
选取攻击者ID查询提取的攻击者特征信息,获取该攻击者ID所属国家、参与的所有攻击项目名称;
选取攻击项目名称查询提取的攻击者特征信息,获取参与该攻击项目的所有攻击者ID。
上述关联查询的具体操作不限于上述操作,还可以包括:利用攻击者ID作为查询关键字,确定该攻击者ID在不同的攻击项目中所分别包含的开发代码的名字,确定与该攻击者ID相关的其他信息。
最终,经过对攻击者特征信息进行关联查询,判定有两个来自中国的网络攻击,网络攻击项目的名称分别为project_2017和hackstorm,攻击者william、xiaowang、xiaoli参与了peoject_2017这个项目,而william和xiaobai参与了hackstorm这个攻击项目。
由此,通过pdb文件的路径信息,我们对攻击者进行了“画像”,确定了网络攻击来源于哪个国家、网路攻击项目的名称、网络攻击者的ID以及这些信息中存在的内在关联关系。
本发明其次提供了一种基于pdb调试信息生成攻击者画像的系统实施例,如图3所示,包括:
攻击者特征提取模块301,用于逐条分析已知网络攻击的pdb文件的路径信息,并提取攻击者特征信息,包括:恶意程序所属国家、攻击者ID、攻击项目名称、pdb文件的文件名;
攻击者画像生成模块302,用于对提取的攻击者特征信息进行关联查询,输出查询结果。
优选地,所述攻击者特征提取模块,具体用于:
将pdb文件的路径信息与已知语言数据库匹配,输出恶意程序所属国家;
将pdb文件的路径信息与已知攻击者ID的字符串样式库匹配,输出攻击者ID;
将pdb文件的路径信息与已知攻击项目名称的字符串样式库匹配,输出攻击项目名称;
定位pdb文件的路径信息中最后一个“\”和后缀名“.pdb”中间的信息,输出pdb文件的文件名。
优选地,所述攻击者画像生成模块,具体用于:
选取攻击者ID查询提取的攻击者特征信息,获取该攻击者ID所属国家、参与的所有攻击项目名称;
选取攻击项目名称查询提取的攻击者特征信息,获取参与该攻击项目的所有攻击者ID。
上述系统实施例中,还包括:攻击者特征存储模块,用于存储提取的攻击者特征信息。
本发明同时提出一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述任一所述的基于pdb调试信息生成攻击者画像的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同或相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
如上所述,上述实施例给出了一种基于pdb调试信息生成攻击者画像的方法及系统实施例,通过获取并解析大量已知网络攻击的pdb文件的路径信息,进而获取攻击者特征信息;针对得到的攻击者特征信息进行关联查询,最终得到各攻击者特征信息间的关联关系;利用上述实施例获取的信息更加准确,对攻击者的刻画更贴近自然人信息,更有利于最终定位攻击者。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。

Claims (9)

1.一种基于pdb调试信息生成攻击者画像的方法,其特征在于,包括:
逐条分析已知网络攻击的pdb文件的路径信息,并提取攻击者特征信息,包括:恶意程序所属国家、攻击者ID、攻击项目名称、pdb文件的文件名;
对提取的攻击者特征信息进行关联查询,输出查询结果。
2.如权利要求1所述的方法,其特征在于,所述逐条分析已知网络攻击的pdb文件的路径信息,并提取攻击者特征信息,具体包括:
将pdb文件的路径信息与已知语言数据库匹配,输出恶意程序所属国家;
将pdb文件的路径信息与已知攻击者ID的字符串样式库匹配,输出攻击者ID;
将pdb文件的路径信息与已知攻击项目名称的字符串样式库匹配,输出攻击项目名称;
定位pdb文件的路径信息中最后一个“\”和后缀名“.pdb”中间的信息,输出pdb文件的文件名。
3.如权利要求1或2所述的方法,其特征在于,所述对提取的攻击者特征信息进行关联查询,输出查询结果,包括:
选取攻击者ID查询提取的攻击者特征信息,获取该攻击者ID所属国家、参与的所有攻击项目名称;
选取攻击项目名称查询提取的攻击者特征信息,获取参与该攻击项目的所有攻击者ID。
4.如权利要求3所述的方法,其特征在于,还包括:在数据库中创建存储结构,用于存储提取的攻击者特征信息。
5.一种基于pdb调试信息生成攻击者画像的系统,其特征在于,包括:
攻击者特征提取模块,用于逐条分析已知网络攻击的pdb文件的路径信息,并提取攻击者特征信息,包括:恶意程序所属国家、攻击者ID、攻击项目名称、pdb文件的文件名;
攻击者画像生成模块,用于对提取的攻击者特征信息进行关联查询,输出查询结果。
6.如权利要求5所述的系统,其特征在于,所述攻击者特征提取模块,具体用于:
将pdb文件的路径信息与已知语言数据库匹配,输出恶意程序所属国家;
将pdb文件的路径信息与已知攻击者ID的字符串样式库匹配,输出攻击者ID;
将pdb文件的路径信息与已知攻击项目名称的字符串样式库匹配,输出攻击项目名称;
定位pdb文件的路径信息中最后一个“\”和后缀名“.pdb”中间的信息,输出pdb文件的文件名。
7.如权利要求5或6所述的系统,其特征在于,所述攻击者画像生成模块,具体用于:
选取攻击者ID查询提取的攻击者特征信息,获取该攻击者ID所属国家、参与的所有攻击项目名称;
选取攻击项目名称查询提取的攻击者特征信息,获取参与该攻击项目的所有攻击者ID。
8.如权利要求7所述的系统,其特征在于,还包括:攻击者特征存储模块,用于存储提取的攻击者特征信息。
9.一种非临时性计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-4中任一所述的基于pdb调试信息生成攻击者画像的方法。
CN201711392050.9A 2017-12-21 2017-12-21 基于pdb调试信息生成攻击者画像的方法及系统 Active CN108073808B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711392050.9A CN108073808B (zh) 2017-12-21 2017-12-21 基于pdb调试信息生成攻击者画像的方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711392050.9A CN108073808B (zh) 2017-12-21 2017-12-21 基于pdb调试信息生成攻击者画像的方法及系统

Publications (2)

Publication Number Publication Date
CN108073808A true CN108073808A (zh) 2018-05-25
CN108073808B CN108073808B (zh) 2021-10-15

Family

ID=62158757

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711392050.9A Active CN108073808B (zh) 2017-12-21 2017-12-21 基于pdb调试信息生成攻击者画像的方法及系统

Country Status (1)

Country Link
CN (1) CN108073808B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108881294A (zh) * 2018-07-23 2018-11-23 杭州安恒信息技术股份有限公司 基于网络攻击行为的攻击源ip画像生成方法以及装置
CN108924163A (zh) * 2018-08-14 2018-11-30 成都信息工程大学 基于无监督学习的攻击者画像方法及系统
CN109388946A (zh) * 2018-09-28 2019-02-26 珠海市君天电子科技有限公司 恶意进程检测方法、装置、电子设备及存储介质
CN109729095A (zh) * 2019-02-13 2019-05-07 北京奇安信科技有限公司 数据处理方法、装置和计算设备及介质

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090126014A1 (en) * 2002-10-21 2009-05-14 Versign, Inc. Methods and systems for analyzing security events
CN102332072A (zh) * 2010-11-01 2012-01-25 卡巴斯基实验室封闭式股份公司 用于检测恶意软件和管理恶意软件相关信息的系统和方法
US20140165204A1 (en) * 2010-03-19 2014-06-12 Aspect Security Inc. Detection of vulnerabilities in computer systems
US20150120780A1 (en) * 2013-10-30 2015-04-30 Oracle International Corporation System and method for integrating a database with a service deployed on a cloud platform
CN104601591A (zh) * 2015-02-02 2015-05-06 中国人民解放军国防科学技术大学 网络攻击源组织检测方法
CN105488405A (zh) * 2014-12-25 2016-04-13 哈尔滨安天科技股份有限公司 一种基于pdb调试信息的恶意代码分析方法及系统
CN105653940A (zh) * 2015-07-14 2016-06-08 哈尔滨安天科技股份有限公司 一种基于pe文件分析攻击者来源的方法及系统
CN105991638A (zh) * 2015-07-08 2016-10-05 北京匡恩网络科技有限责任公司 一种网络攻击路径分析与生成方法及系统
US20170111365A1 (en) * 2015-10-15 2017-04-20 Oracle International Corporation Operating-system-level isolation of multi-tenant applications
CN106909847A (zh) * 2017-02-17 2017-06-30 国家计算机网络与信息安全管理中心 一种恶意代码检测的方法、装置及系统

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090126014A1 (en) * 2002-10-21 2009-05-14 Versign, Inc. Methods and systems for analyzing security events
US20140165204A1 (en) * 2010-03-19 2014-06-12 Aspect Security Inc. Detection of vulnerabilities in computer systems
CN102332072A (zh) * 2010-11-01 2012-01-25 卡巴斯基实验室封闭式股份公司 用于检测恶意软件和管理恶意软件相关信息的系统和方法
US20150120780A1 (en) * 2013-10-30 2015-04-30 Oracle International Corporation System and method for integrating a database with a service deployed on a cloud platform
CN105488405A (zh) * 2014-12-25 2016-04-13 哈尔滨安天科技股份有限公司 一种基于pdb调试信息的恶意代码分析方法及系统
CN104601591A (zh) * 2015-02-02 2015-05-06 中国人民解放军国防科学技术大学 网络攻击源组织检测方法
CN105991638A (zh) * 2015-07-08 2016-10-05 北京匡恩网络科技有限责任公司 一种网络攻击路径分析与生成方法及系统
CN105653940A (zh) * 2015-07-14 2016-06-08 哈尔滨安天科技股份有限公司 一种基于pe文件分析攻击者来源的方法及系统
US20170111365A1 (en) * 2015-10-15 2017-04-20 Oracle International Corporation Operating-system-level isolation of multi-tenant applications
CN106909847A (zh) * 2017-02-17 2017-06-30 国家计算机网络与信息安全管理中心 一种恶意代码检测的方法、装置及系统

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108881294A (zh) * 2018-07-23 2018-11-23 杭州安恒信息技术股份有限公司 基于网络攻击行为的攻击源ip画像生成方法以及装置
CN108924163A (zh) * 2018-08-14 2018-11-30 成都信息工程大学 基于无监督学习的攻击者画像方法及系统
CN109388946A (zh) * 2018-09-28 2019-02-26 珠海市君天电子科技有限公司 恶意进程检测方法、装置、电子设备及存储介质
CN109388946B (zh) * 2018-09-28 2022-02-25 珠海豹趣科技有限公司 恶意进程检测方法、装置、电子设备及存储介质
CN109729095A (zh) * 2019-02-13 2019-05-07 北京奇安信科技有限公司 数据处理方法、装置和计算设备及介质

Also Published As

Publication number Publication date
CN108073808B (zh) 2021-10-15

Similar Documents

Publication Publication Date Title
US10560471B2 (en) Detecting web exploit kits by tree-based structural similarity search
Al-Asli et al. Review of signature-based techniques in antivirus products
CN108073808A (zh) 基于pdb调试信息生成攻击者画像的方法及系统
Xu et al. A survey on regular expression matching for deep packet inspection: Applications, algorithms, and hardware platforms
Luo et al. Position-based automatic reverse engineering of network protocols
Haddadi et al. Benchmarking the effect of flow exporters and protocol filters on botnet traffic classification
US9256831B2 (en) Match engine for detection of multi-pattern rules
US20050251570A1 (en) Intrusion detection system
Tang et al. Signature tree generation for polymorphic worms
Krueger et al. ASAP: Automatic semantics-aware analysis of network payloads
CN110177114A (zh) 网络安全威胁指标识别方法、设备、装置以及计算机可读存储介质
CN113194058B (zh) Web攻击检测方法、设备、网站应用层防火墙及介质
CN104954345B (zh) 基于对象分析的攻击识别方法及装置
Wang et al. An evolutionary study of IoT malware
Rene et al. Malicious code intrusion detection using machine learning and indicators of compromise
CN110417768A (zh) 一种僵尸网络的跟踪方法及装置
Zhang et al. A php and jsp web shell detection system with text processing based on machine learning
Aldwairi et al. n‐Grams exclusion and inclusion filter for intrusion detection in Internet of Energy big data systems
CN106528805B (zh) 基于用户的移动互联网恶意程序url智能分析挖掘方法
Mohammed et al. HAPSSA: Holistic Approach to PDF malware detection using Signal and Statistical Analysis
Weng et al. Deep packet pre-filtering and finite state encoding for adaptive intrusion detection system
CN109194605A (zh) 一种基于开源信息的可疑威胁指标主动验证方法和系统
CN112507336A (zh) 基于代码特征和流量行为的服务端恶意程序检测方法
Paul et al. Survey of polymorphic worm signatures
Sunkari et al. Preventing input type validation vulnerabilities using network based intrusion detection systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin Hi-tech Industrial Development Zone, Harbin, Heilongjiang Province (838 Shikun Road)

Applicant after: Harbin antiy Technology Group Limited by Share Ltd

Address before: 150090 Room 506, No. 162 Hongqi Street, Nangang District, Harbin Development Zone, Heilongjiang Province

Applicant before: Harbin Antiy Technology Co., Ltd.

CB02 Change of applicant information
CB02 Change of applicant information

Address after: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road)

Applicant after: Antan Technology Group Co.,Ltd.

Address before: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Harbin, Heilongjiang Province (No. 838, Shikun Road)

Applicant before: Harbin Antian Science and Technology Group Co.,Ltd.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant