发明内容
针对上述技术问题,本发明所述的技术方案基于获取的与网络攻击程序相关的海量PDB文件的路径信息,通过关联分析的方法,从中获取到与攻击者相关的威胁情报信息生成攻击者画像,对攻击者的刻画更贴近自然人信息。
本发明采用如下方法来实现:一种基于pdb调试信息生成攻击者画像的方法,包括:
逐条分析已知网络攻击的pdb文件的路径信息,并提取攻击者特征信息,包括:恶意程序所属国家、攻击者ID、攻击项目名称、pdb文件的文件名;
对提取的攻击者特征信息进行关联查询,输出查询结果。
进一步地,所述逐条分析已知网络攻击的pdb文件的路径信息,并提取攻击者特征信息,具体包括:
将pdb文件的路径信息与已知语言数据库匹配,输出恶意程序所属国家;
将pdb文件的路径信息与已知攻击者ID的字符串样式库匹配,输出攻击者ID;
将pdb文件的路径信息与已知攻击项目名称的字符串样式库匹配,输出攻击项目名称;
定位pdb文件的路径信息中最后一个“\”和后缀名“.pdb”中间的信息,输出pdb文件的文件名。
上述方法中,所述对提取的攻击者特征信息进行关联查询,输出查询结果,包括:
选取攻击者ID查询提取的攻击者特征信息,获取该攻击者ID所属国家、参与的所有攻击项目名称;
选取攻击项目名称查询提取的攻击者特征信息,获取参与该攻击项目的所有攻击者ID。
更进一步地,还包括:在数据库中创建存储结构,用于存储提取的攻击者特征信息。
本发明可以采用如下系统来实现:一种基于pdb调试信息生成攻击者画像的系统,包括:
攻击者特征提取模块,用于逐条分析已知网络攻击的pdb文件的路径信息,并提取攻击者特征信息,包括:恶意程序所属国家、攻击者ID、攻击项目名称、pdb文件的文件名;
攻击者画像生成模块,用于对提取的攻击者特征信息进行关联查询,输出查询结果。
进一步地,所述攻击者特征提取模块,具体用于:
将pdb文件的路径信息与已知语言数据库匹配,输出恶意程序所属国家;
将pdb文件的路径信息与已知攻击者ID的字符串样式库匹配,输出攻击者ID;
将pdb文件的路径信息与已知攻击项目名称的字符串样式库匹配,输出攻击项目名称;
定位pdb文件的路径信息中最后一个“\”和后缀名“.pdb”中间的信息,输出PDB文件的文件名。
上述系统中,所述攻击者画像生成模块,具体用于:
选取攻击者ID查询提取的攻击者特征信息,获取该攻击者ID所属国家、参与的所有攻击项目名称;
选取攻击项目名称查询提取的攻击者特征信息,获取参与该攻击项目的所有攻击者ID。
更进一步地,还包括:攻击者特征存储模块,用于存储提取的攻击者特征信息。
本发明同时提出一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述任一所述的基于pdb调试信息生成攻击者画像的方法。
综上,本发明给出一种基于pdb调试信息生成攻击者画像的方法及系统,通过解析海量的已知网络攻击相关的pdb文件的路径信息,并提取攻击者特征信息,包括恶意程序所属国家,攻击者ID、攻击项目名称、pdb文件的文件名;并将所有攻击者特征信息存储在数据库中;对所有提取的攻击者特征信息进行关联查询,最终生成与攻击者的自然人特征更贴近的画像描述,同时,能够获取参与某项攻击项目的所有攻击者信息等等。
具体实施方式
本发明给出了一种基于pdb调试信息生成攻击者画像的方法及系统实施例,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种基于pdb调试信息生成攻击者画像的方法实施例1,如图1所示,包括:
S101:逐条分析已知网络攻击的pdb文件的路径信息,并提取攻击者特征信息;所述攻击者特征信息,包括但不限于:恶意程序所属国家、攻击者ID、攻击项目名称、pdb文件的文件名;
S102:对提取的攻击者特征信息进行关联查询,输出查询结果。
优选地,所述逐条分析已知网络攻击的pdb文件的路径信息,并提取攻击者特征信息,具体包括:
将pdb文件的路径信息与已知语言数据库匹配,输出恶意程序所属国家;
将pdb文件的路径信息与已知攻击者ID的字符串样式库匹配,输出攻击者ID;
将pdb文件的路径信息与已知攻击项目名称的字符串样式库匹配,输出攻击项目名称;
定位pdb文件的路径信息中最后一个“\”和后缀名“.pdb”中间的信息,输出pdb文件的文件名。
上述方法实施例中,所述对提取的攻击者特征信息进行关联查询,输出查询结果,包括:
选取攻击者ID查询提取的攻击者特征信息,获取该攻击者ID所属国家、参与的所有攻击项目名称;
选取攻击项目名称查询提取的攻击者特征信息,获取参与该攻击项目的所有攻击者ID。
更优选地,还包括:在数据库中创建存储结构,用于存储提取的攻击者特征信息。
本发明同时提供了一种基于pdb调试信息生成攻击者画像的方法实施例2,如图2所示,包括:
S201:在数据库中创建存储结构,用于存储后续提取的攻击者特征信息;所述攻击者特征信息,包括但不限于:恶意程序所属国家、攻击者ID、攻击项目名称、pdb文件的文件名;
S202:获取海量已知网络攻击相关的pdb文件的路径信息;例如:
c:\工作\william\project_2017\remote_ctrl.pdb;
c:\工作\xiaowang\project_2017\exploit.pdb;
c:\程序\xiaoli\project_2017\keylogger.pdb;
c:\工作\hackstorm\william\trojan.pdb;
c:\代码\hackstorm\xiaobai\backdoor.pdb;
S203:逐条将pdb文件的路径信息与已知语言数据库匹配,输出恶意程序所属国家,并存入创建的存储结构中;具体操作可以为:
1、预定义几种常见的已知语言数据库;
2、尝试匹配pdb文件的路径信息字符串中的内容;
3、如果pdb文件的路径信息字符串中的内容与某一种语言数据库中的成员匹配成功,就可判定此攻击来源于某个国家;
4、将恶意程序所属国家保存到存储结构的相应位置。
S204:逐条将pdb文件的路径信息与已知攻击者ID的字符串样式库匹配,输出攻击者ID,并存入创建的存储结构中;具体操作可以为:
1、构建由一定数目的pdb文件的路径信息所组成的训练集;
2、构建一个机器学习的组件,此组件能够通过训练集学习到pdb文件的路径信息中攻击者ID的字符串样式;
3、将待测的海量pdb文件的路径信息交由判断攻击者ID的组件处理,通过已学习到的攻击者ID的字符串样式从中筛选出攻击者ID信息;
4、将攻击者ID信息保存到存储结构的相应位置。
S205:逐条将pdb文件的路径信息与已知攻击项目名称的字符串样式库匹配,输出攻击项目名称;具体操作可以为:
1、构建由一定数目的pdb文件的路径信息所组成的训练集;
2、构建一个机器学习的组件,此组件能够通过训练集学习到pdb文件的路径信息中攻击项目名称的字符串样式;
3、将待测的海量pdb文件的路径信息交由判断攻击项目名称的组件处理,通过已学习到的攻击项目名称的字符串样式从中筛选出攻击项目名称;
4、将攻击项目名称保存到存储结构的相应位置。
S206:逐条定位pdb文件的路径信息中最后一个“\”和后缀名“.pdb”中间的信息,输出pdb文件的文件名,并存入创建的存储结构中。
1、获取本轮循环中所对应的pdb文件路径信息列表中的某一行;
2、定位路径字符串中最后一个“\”和后缀名“.pdb”的位置,并取出二者之间的内容,即为pdb文件的文件名;
3、将提取出的pdb文件的文件名保存在存储结构的相应位置。由于pdb文件的文件名一般都显示了对应的编译文件的名字,因此获取可确定代码所具体实现的恶意功能。
最终,经过获取如下的攻击者特征信息:
S207:对提取的攻击者特征信息进行关联查询,输出查询结果;包括但不限于:
选取攻击者ID查询提取的攻击者特征信息,获取该攻击者ID所属国家、参与的所有攻击项目名称;
选取攻击项目名称查询提取的攻击者特征信息,获取参与该攻击项目的所有攻击者ID。
上述关联查询的具体操作不限于上述操作,还可以包括:利用攻击者ID作为查询关键字,确定该攻击者ID在不同的攻击项目中所分别包含的开发代码的名字,确定与该攻击者ID相关的其他信息。
最终,经过对攻击者特征信息进行关联查询,判定有两个来自中国的网络攻击,网络攻击项目的名称分别为project_2017和hackstorm,攻击者william、xiaowang、xiaoli参与了peoject_2017这个项目,而william和xiaobai参与了hackstorm这个攻击项目。
由此,通过pdb文件的路径信息,我们对攻击者进行了“画像”,确定了网络攻击来源于哪个国家、网路攻击项目的名称、网络攻击者的ID以及这些信息中存在的内在关联关系。
本发明其次提供了一种基于pdb调试信息生成攻击者画像的系统实施例,如图3所示,包括:
攻击者特征提取模块301,用于逐条分析已知网络攻击的pdb文件的路径信息,并提取攻击者特征信息,包括:恶意程序所属国家、攻击者ID、攻击项目名称、pdb文件的文件名;
攻击者画像生成模块302,用于对提取的攻击者特征信息进行关联查询,输出查询结果。
优选地,所述攻击者特征提取模块,具体用于:
将pdb文件的路径信息与已知语言数据库匹配,输出恶意程序所属国家;
将pdb文件的路径信息与已知攻击者ID的字符串样式库匹配,输出攻击者ID;
将pdb文件的路径信息与已知攻击项目名称的字符串样式库匹配,输出攻击项目名称;
定位pdb文件的路径信息中最后一个“\”和后缀名“.pdb”中间的信息,输出pdb文件的文件名。
优选地,所述攻击者画像生成模块,具体用于:
选取攻击者ID查询提取的攻击者特征信息,获取该攻击者ID所属国家、参与的所有攻击项目名称;
选取攻击项目名称查询提取的攻击者特征信息,获取参与该攻击项目的所有攻击者ID。
上述系统实施例中,还包括:攻击者特征存储模块,用于存储提取的攻击者特征信息。
本发明同时提出一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述任一所述的基于pdb调试信息生成攻击者画像的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同或相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
如上所述,上述实施例给出了一种基于pdb调试信息生成攻击者画像的方法及系统实施例,通过获取并解析大量已知网络攻击的pdb文件的路径信息,进而获取攻击者特征信息;针对得到的攻击者特征信息进行关联查询,最终得到各攻击者特征信息间的关联关系;利用上述实施例获取的信息更加准确,对攻击者的刻画更贴近自然人信息,更有利于最终定位攻击者。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。