CN108182360A - 一种风险识别方法及其设备、存储介质、电子设备 - Google Patents

一种风险识别方法及其设备、存储介质、电子设备 Download PDF

Info

Publication number
CN108182360A
CN108182360A CN201810096116.8A CN201810096116A CN108182360A CN 108182360 A CN108182360 A CN 108182360A CN 201810096116 A CN201810096116 A CN 201810096116A CN 108182360 A CN108182360 A CN 108182360A
Authority
CN
China
Prior art keywords
risk
behavior
chain
risk behavior
operation action
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810096116.8A
Other languages
English (en)
Other versions
CN108182360B (zh
Inventor
沈江波
程虎
徐超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN201810096116.8A priority Critical patent/CN108182360B/zh
Publication of CN108182360A publication Critical patent/CN108182360A/zh
Application granted granted Critical
Publication of CN108182360B publication Critical patent/CN108182360B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明实施例公开一种风险识别方法及其设备、存储介质、电子设备,其中方法包括如下步骤:获取针对终端应用程序所触发的运行行为链,所述运行行为链包括按照运行时间顺序排列的多个运行行为;在所述多个运行行为中获取与风险行为集合的各风险行为相匹配的目标运行行为集合;获取所述目标运行行为集合对应的目标运行行为链,当在风险行为链集合中存在与所述目标运行行为链相匹配的目标风险行为链时,确定所述终端应用程序存在攻击风险,并输出针对所述终端应用程序的风险攻击提示信息。采用本发明,不受检测环境的限制就可准确感知并识别出针对终端应用程序的恶意攻击行为,从根本上保障了终端应用程序的使用安全性。

Description

一种风险识别方法及其设备、存储介质、电子设备
技术领域
本发明涉及互联网技术领域,尤其涉及一种风险识别方法及其设备、存储介质、电子设备。
背景技术
随着网络规模的扩大,网络系统功能全面覆盖生活中的各个方面如社交、通讯和娱乐等等,网络结构的复杂程度显著上升。网络复杂的结构和丰富的功能为用户提供了更加优质服务的同时,也扩大了使用网络的终端的受攻击面,从而使终端更容易遭受攻击。
面对终端应用程序各式各样的攻击行为,目前普遍采用杀毒引擎对恶意攻击进行检测,通过构建安全边界来对终端应用程序进行保护。但部分病毒在杀毒引擎环境下不会触发恶意攻击行为,从而无法从根本上保障终端应用程序的使用安全性。
发明内容
本发明实施例提供一种风险识别方法及其设备、存储介质、电子设备,通过依据风险行为集合的匹配感知多个运行行为中的可疑运行行为,并依据风险行为链集合的匹配确定终端应用程序存在被攻击的风险,不受检测环境的限制就可准确感知并识别出针对终端应用程序的恶意攻击行为,从根本上保障了终端应用程序的使用安全性。
本发明实施例第一方面提供了一种风险识别方法,可包括:
获取针对终端应用程序所触发的运行行为链,所述运行行为链包括按照运行时间顺序排列的多个运行行为;
在所述多个运行行为中获取与风险行为集合的各风险行为相匹配的目标运行行为集合;
获取所述目标运行行为集合对应的目标运行行为链,当在风险行为链集合中存在与所述目标运行行为链相匹配的目标风险行为链时,确定所述终端应用程序存在攻击风险,并输出针对所述终端应用程序的风险攻击提示信息。
本发明实施例第二方面提供了一种风险识别设备,可包括:
行为链获取单元,用于获取针对终端应用程序所触发的运行行为链,所述运行行为链包括按照运行时间顺序排列的多个运行行为;
运行行为获取单元,用于在所述多个运行行为中获取与风险行为集合的各风险行为相匹配的目标运行行为集合;
信息输出单元,用于获取所述目标运行行为集合对应的目标运行行为链,当在风险行为链集合中存在与所述目标运行行为链相匹配的目标风险行为链时,确定所述终端应用程序存在攻击风险,并输出针对所述终端应用程序的风险攻击提示信息。
本发明实施例第三方面提供了一种计算机存储介质,所述计算机存储介质存储有多条指令,所述指令适于由处理器加载并执行上述第一方面的方法步骤。
本发明实施例第四方面提供了一种电子设备,可包括:处理器和存储器;其中,所述存储器存储有计算机程序,所述计算机程序适于由所述处理器加载并执行以下步骤:
获取针对终端应用程序所触发的运行行为链,所述运行行为链包括按照运行时间顺序排列的多个运行行为;
在所述多个运行行为中获取与风险行为集合的各风险行为相匹配的目标运行行为集合;
获取所述目标运行行为集合对应的目标运行行为链,当在风险行为链集合中存在与所述目标运行行为链相匹配的目标风险行为链时,确定所述终端应用程序存在攻击风险,并输出针对所述终端应用程序的风险攻击提示信息。
在本发明实施例中,通过获取针对终端应用程序所触发的多个运行行为,并在其中获取与风险行为集合的各风险行为相匹配的目标运行行为集合,再获取该目标运行行为集合对应的目标运行行为链,当在风险行为链集合中存在与该目标运行行为链相匹配的目标风险行为链时,确定终端应用程序被攻击,并输出针对终端应用程序的风险攻击提示信息。通过依据风险行为集合的匹配感知多个运行行为中的可疑运行行为,并进一步依据风险行为链集合的匹配确定终端应用程序存在被攻击的风险,不受检测环境的限制就可准确感知并识别出针对终端应用程序的恶意攻击行为,从根本上保障了终端应用程序的使用安全性,增强了非PE样本、网页挂马攻击的感知和检测能力,可有效避免用户的损失。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种风险识别方法的流程示意图;
图2是本发明实施例提供的另一种风险识别方法的流程示意图;
图3是本发明实施例提供的另一种风险识别方法的流程示意图;
图4是本发明实施例提供的另一种风险识别方法的流程示意图;
图5是本发明实施例提供的另一种风险识别方法的流程示意图;
图6是本发明实施例提供的另一种风险识别方法的流程示意图;
图7是本发明实施例提供的另一种风险识别方法的流程示意图;
图8是本发明实施例提供的一种风险识别设备的结构示意图;
图9是本发明实施例提供的另一种风险识别设备的结构示意图;
图10是本发明实施例提供的另一种风险识别设备的结构示意图;
图11是本发明实施例提供的一种运行行为获取单元的结构示意图;
图12是本发明实施例提供的另一种运行行为获取单元的结构示意图;
图13是本发明实施例提供的一种信息输出单元的结构示意图;
图14是本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供的风险识别方法可以应用于恶意攻击行为的识别场景,例如,终端应用程序在运行时的攻击感知及识别的场景,当终端在接收到针对已安装的应用程序输入的触发指令时,开始采集该应用程序的多个运行行为,并发送至服务器,服务器通过预先采集的样本风险行为对这些运行行为进行匹配,从而感知可疑运行行为,并进一步通过样本风险行为对应的风险行为链对可以运行行为对应的运行行为链进行识别,通过识别结果确定应用程序是否收到恶意攻击行为的攻击,并在确定应用程序存在攻击风险时,输出针对该应用程序的风险攻击提示信息,以便对恶意攻击行为进行处理,消除风险。
本发明实施例涉及的风险识别方法的执行依赖于应用程序,可运行于承载装设有冯若依曼体系的计算机系统的风险识别设备之上。该风险识别设备可以包括服务器,所述风险识别设备还可以包括平板电脑、个人计算机(PC)、智能手机、掌上电脑以及移动互联网设备(MID)等终端设备。
下面将结合附图1-附图7,对本发明实施例提供的风险识别方法进行详细介绍。
请参见图1,为本发明实施例提供了一种风险识别方法的流程示意图。如图1所示,本发明实施例的所述方法可以包括以下步骤S101-步骤S103。
S101,获取针对终端应用程序所触发的运行行为链,所述运行行为链包括按照运行时间顺序排列的多个运行行为;
可以理解的是,所述终端应用程序是指在终端(如手机、电脑)上已安装的应用程序,如office办公软件、腾讯QQ或腾讯视频等。当所述终端在接收到针对终端应用程序的触发指令时,采集关于所述终端应用程序的运行行为链,并将所采集的运行行为链发送至风险识别设备。所述运行行为链也就是终端所截获的在执行关于所述终端应用程序的脚本时,按照运行时间顺序排列的多个运行行为。如在接收到新邮件时,所采集的运行行为链包括打开邮件附件、执行脚本、下载文件、执行tmp目录下的文件以及删除文件等一系列运行行为。
需要说明的是,所述触发指令包括主动触发时的触发指令以及被动触发时的触发指令。其中,所述主动触发是指用户针对终端应用程序输入的触发操作(如启动、文本输入、信息发送等)时,终端就开始采集的终端应用程序的运行行为。所述被动触发是指用户针对终端应用程序在执行操作的过程(如文档编辑)中,系统检测到异样时,终端截获该终端应用程序的运行行为。
具体实现中,当终端接收到针对终端应用程序的触发指令时,开始采集所述终端应用程序的运行行为,一种可行的方式即为采集当前的一个运行行为后,即发送至风险识别设备,然后接着采集下一个运行行为,再发送至风险识别设备,也就是说,终端采集一个运行行为便发送所采集的结果至风险识别设备;另一种可行的方式为终端在设定的时长内连续采集多个运行行为,然后再一起发送至风险识别设备,从而使得风险识别设备获取到针对终端应用程序的运行行为链。
S102,在所述多个运行行为中获取与风险行为集合的各风险行为相匹配的目标运行行为集合;
可以理解的是,所述风险行为集合中存储有多个样本风险行为,如“创建文件”、“读取文件”,每个样本风险行为可以包括应用标识或运行类型。所述多个样本风险行为可以不分类直接存储在风险行为集合中,也可以基于应用标识的子集合形式存储,还可以基于运行类型的子集合形式存储。所述应用标识用于唯一识别终端应用程序,可以为应用名称或应用识别码等。所述运行类型包括“打开操作”、“增加操作”、“删除操作”、“修改操作”以及“查找操作”等多个操作类型。
需要说明的是,所述样本风险行为集合中所存储的样本风险行为可以包括终端所采集的黑样本集以及攻击行为集。所述黑样本集为各种病毒样本(文本)集合,比如勒索病毒,具体行为可以包括删除文件、修改文件、访问网络、执行恶意脚本,所述攻击行为集指非文本形式存在的攻击,比如网络渗透,具体行为可以包括主机端口被扫描、主机被分布式拒绝服务(DDoS:Distributed Denial of Service)攻击等。
具体实现中,风险识别设备采用云主防技术将所获取的多个运行行为依次与风险行为集合中各风险行为进行匹配,并将多个运行行为中与风险行为集合相匹配的运行行为保存至数据仓库中,这是因为,在相匹配时,表明该运行行为疑似为风险行为,从而使终端感知威胁,即提前发现发生在终端的威胁或风险。例如风险识别设备接收到的多个运行行为包括A、B、C、D和E,若A与风险行为集合匹配,则将A保存,B与风险行为集合不匹配,则删除B,以此方式依次判断C、D和E,从而筛选出多个运行行为中的疑似风险运行行为。其中,所述云主防技术是基于云端数据的主动防御系统,防御规则云端配置,快速高效。可选的,风险识别设备基于多个运行行为中每个运行行为的应用标识,首先在风险行为集合中查找到该应用标识对应的子集合,然后将运行行为与子集合进行匹配,若匹配成功,则保存该运行行为,匹配不成功,则删除,并继续按照应用标识匹配下一个运行行为。例如在风险行为集合中存储有对应a、b、c、d、e共5个应用标识的子集合,首先查找A的应用标识,若为a,则将A与a对应的子集合进行匹配,匹配成功,则保存A,匹配失败,则删除A,并继续查找B的应用标识后,采用相同的方式识别B。可选的,风险识别设备基于多个运行行为中每个运行行为的运行类型,首先在风险行为集合中查找到该运行类型对应的子集合,然后将运行行为与子集合进行匹配,若匹配成功,则保存该运行行为,匹配不成功,则删除,并继续按照应用标识匹配下一个运行行为。例如在风险行为集合中存储有对应1、2、3、4、5共5个运行类型的子集合,首先查找A的运行类型,若为1,则将A与1对应的子集合进行匹配,匹配成功,则保存A,匹配失败,则删除A,并继续查找B的运行类型后,采用相同的方式识别B。
S103,获取所述目标运行行为集合对应的目标运行行为链,当在风险行为链集合中存在与所述目标运行行为链相匹配的目标风险行为链时,确定所述终端应用程序存在攻击风险,并输出针对所述终端应用程序的风险攻击提示信息。
可以理解的是,所述目标运行行为链即为所述目标运行行为集合中各目标运行行为按照运行时间顺序排列的结果。例如,通过S102的匹配确定运行行为链A、B、C、D和E中的目标运行行为集合包括A、C和E,按照A、C和E分别对应的运行时间戳标识的时间进行排序,可确定目标运行行为链为A-C-E。
所述风险行为链集合中包括有多个风险行为链,所述多个风险行为链中每个风险行为链即为风险行为集合中各个风险行为基于运行时间戳排列得到。也就是说,所述风险行为链为攻击行为序列,指病毒或其他威胁在执行过程中产生的一系列行为按时间排序生成的静态特征。如:打开邮件附件-执行脚本-下载文件-执行tmp目录下文件-删除文件构成一个风险行为链。
具体实现中,风险识别设备根据所述目标运行行为集合中各目标运行行为的第二运行时间戳,将所述各目标运行行为进行排列,以获取所述目标运行行为集合对应的目标运行行为链,当所获取的目标运行行为链与风险行为链集合中的一个或多个相匹配时,表明目标运行行为链为风险行为链,也就是说,终端应用程序被攻击,并直接输出风险攻击提示信息或者向终端发送风险攻击提示信息以提示终端。其中,可基于时间窗口大小(即预设时间长度)在所述目标运行行为链中截取运行子行为链,将所述运行子行为链的第一个运行行为确定为第一运行行为,获取所述风险行为链集合中各风险行为链的第一个运行行为,将所述各风险行为链的第一个运行行为确定为第二运行行为集合,在所述第二运行行为集合中获取与所述第一运行行为相匹配的目标第二运行行为,并在所述风险行为链集合中获取所述目标第二运行行为所指示的目标风险行为链,将所述运行子行为链与所述目标风险行为链进行匹配,并获取所述运行子行为链与所述目标各风险行为链的匹配相似度,若所述匹配相似度大于或者等于相似度阈值,则确定所述终端应用程序存在攻击风险。
在本发明实施例中,通过获取针对终端应用程序所触发的多个运行行为,并在其中获取与风险行为集合的各风险行为相匹配的目标运行行为集合,再获取该目标运行行为集合对应的目标运行行为链,当在风险行为链集合中存在与该目标运行行为链相匹配的目标风险行为链时,确定终端应用程序被攻击,并输出针对终端应用程序的风险攻击提示信息。通过依据风险行为集合的匹配感知多个运行行为中的可疑运行行为,并进一步依据风险行为链集合的匹配确定终端应用程序存在被攻击的风险,不受检测环境的限制就可准确感知并识别出针对终端应用程序的恶意攻击行为,从根本上保障了终端应用程序的使用安全性,增强了非PE样本、网页挂马攻击的感知和检测能力,可有效避免用户的损失。
请参见图2,为本发明实施例提供了另一种风险识别方法的流程示意图。如图2所示,本发明实施例的所述方法可以包括以下步骤S201-步骤S208。
S201,获取多个样本风险行为,基于所述多个样本风险行为中各样本风险行为对应的应用标识,将所述多个样本风险行为分别保存至所述应用标识对应的目标风险行为集合中,以生成风险行为集合;
可以理解的是,所述样本风险行为可以包括终端所采集的黑样本集以及攻击行为集。所述黑样本集为各种病毒样本(文本)集合,比如勒索病毒,具体行为可以包括删除文件、修改文件、访问网络、执行恶意脚本,所述攻击行为集指非文本形式存在的攻击,比如网络渗透,具体行为可以包括主机端口被扫描、主机被DDoS攻击等。
每个样本风险行为可以包括一个应用标识,可以为应用名称或应用识别码等,如“word创建文件”或“QQ读取文件”为一个样本风险行为,其中“word”和“QQ”为应用标识,用于唯一识别样本风险行为。
具体实现中,基于每个样本风险行为的应用标识分类,将属于同一个应用标识的样本风险行为存储在一个子集合中,以此方式将所有的样本风险行为分别进行存储,从而生成风险行为集合。
例如,如表1所示为基于应用标识所存储的风险行为集合,其中包括有应用标识“word”对应的子集合以及应用标识“QQ”对应的子集合以及其他应用标识对应的子集合。在每个子集合中,可包括多个运行行为。
表1
可选的,当检测到新病毒时,提取行为特征并加入风险行为集合或风险行为链集合中,实现对风险行为集合和风险行为链集合的更新。
S202,获取所述目标风险行为集合中各样本风险行为的第一运行时间戳,按照所述第一运行时间戳将所述目标风险行为集合中各样本风险行为进行排列,以生成风险行为链集合;
可以理解的是,每个样本风险行为都对应一个运行时间戳,指示对应的样本风险行为执行时间。通过对风险行为集合中每个子集合的样本风险行为按照时间戳排序,从而得到多个样本风险行为链,即生成了风险行为链集合。
例如,将表1中的每个集合中的样本风险行为进行排序,从而可以得到word:创建文件-读取文件-删除文件,QQ:创建文件-读取文件-删除文件,邮箱:打开文件-执行脚本-下载文件-删除文件等多个风险行为链。
S203,获取针对终端应用程序所触发的运行行为链,所述运行行为链包括按照运行时间顺序排列的多个运行行为;
可以理解的是,所述终端应用程序是指在终端(如手机、电脑)上已安装的应用程序,如office办公软件、腾讯QQ或腾讯视频等。当所述终端在接收到针对终端应用程序的触发指令时,采集关于所述终端应用程序的运行行为链,并将所采集的运行行为链发送至风险识别设备。所述运行行为链也就是终端所截获的在执行关于所述终端应用程序的脚本时,按照运行时间顺序排列的多个运行行为。如在接收到新邮件时,所采集的运行行为链包括打开邮件附件、执行脚本、下载文件、执行tmp目录下的文件以及删除文件等一系列运行行为。
需要说明的是,所述触发指令包括主动触发时的触发指令以及被动触发时的触发指令。其中,所述主动触发是指用户针对终端应用程序输入的触发操作(如启动、文本输入、信息发送等)时,终端就开始采集的终端应用程序的运行行为。所述被动触发是指用户针对终端应用程序在执行操作的过程中,系统检测到异样时,终端截获该终端应用程序的运行行为。
具体实现中,当终端接收到针对终端应用程序的触发指令时,开始采集所述终端应用程序的运行行为,一种可行的方式即为采集当前的一个运行行为后,即发送至风险识别设备,然后接着采集下一个运行行为,再发送至风险识别设备,也就是说,终端采集一个运行行为便发送所采集的结果至风险识别设备;另一种可行的方式为终端在设定的时长内连续采集多个运行行为,然后再一起发送至风险识别设备,从而使得风险识别设备获取到针对终端应用程序的运行行为链。
S204,获取所述终端应用程序的应用标识;
可以理解的是,所述应用标识用于唯一识别终端应用程序,可以包括应用名称、应用序列号、应用识别码等。
S205,在风险行为集合中获取所述应用标识对应的目标风险行为集合;
例如,该应用标识为word,则通过查找表1对应的风险行为集合后,确定目标风险行为集合为word对应的子集合,包括:创建文件、读取文件以及删除文件等多个样本风险行为。
S206,在所述多个运行行为中获取与所述目标风险行为集合的各风险行为相匹配的目标运行行为集合;
在一种可行的实现方式中,如图3所示,所述在所述多个运行行为中获取与所述目标风险行为集合的各风险行为相匹配的目标运行行为集合,包括:
S301,将所述多个运行行为中各运行行为与所述目标风险行为集合中各风险行为进行匹配;
S302,保存与所述各风险行为相匹配的目标运行行为集合。
具体实现中,将所接收到的多个运行行为依次与目标风险行为集合中的每个风险行为进行匹配,若匹配成功,则将该运行行为保存至数据仓库中,否则删除。
例如,若所接收到的针对邮箱的多个运行行为包括“创建文件、打开文件、读取文件、下载文件以及删除文件”,首先在word对应的子集合:创建文件、读取文件以及删除文件子集合中查找是否存在“创建文件”,查找结果为存在,则将创建文件保存至数据仓库,然后再在该子集合中查找是否存在“打开文件”,查找结果为不存在,则删除打开文件,并继续匹配“读取文件”,直到匹配完“删除文件”,从而筛选出其中的疑似风险运行行为。
S207,根据所述目标运行行为集合中各目标运行行为的第二运行时间戳,将所述各目标运行行为进行排列,以获取所述目标运行行为集合对应的目标运行行为链。
可以理解的是,所述目标运行行为链即为所述目标运行行为集合中各目标运行行为按照运行时间顺序排列的结果。例如,通过S206的匹配确定运行行为链“创建文件、打开文件、读取文件、下载文件以及删除文件”中的目标运行行为集合包括“创建文件”、“读取文件”和“删除文件”,按照“创建文件”、“读取文件”和“删除文件”分别对应的运行时间戳标识的时间进行排序,可确定目标运行行为链为“创建文件、读取文件、删除文件”。
S208,当在风险行为链集合中存在与所述目标运行行为链相匹配的目标风险行为链时,确定所述终端应用程序存在攻击风险,并输出针对所述终端应用程序的风险攻击提示信息。
可以理解的是,所述风险行为链集合中包括有多个风险行为链,所述多个风险行为链中每个风险行为链即为风险行为集合中各个风险行为基于运行时间戳排列得到。也就是说,所述风险行为链为攻击行为序列,指病毒或其他威胁在执行过程中产生的一系列行为按时间排序生成的静态特征。如:打开邮件附件、执行脚本、下载文件、执行tmp目录下文件、删除文件构成一个风险行为链。
在一种可行的实现方式中,如图4所示,所述当在风险行为链集合中存在与所述目标运行行为链相匹配的目标风险行为链时,确定所述终端应用程序存在攻击风险,包括:
S401,基于时间窗口大小在所述目标运行行为链中截取运行子行为链,将所述运行子行为链的第一个运行行为确定为第一运行行为;
可以理解的是,所述时间窗口大小即为设定的时长,如1min,通过时间窗口大小截取目标运行行为链,从而将所截取的部分作为运行子行为链,该运行子行为链的第一个运行行为设置为第一运行行为。如截取得到的运行子行为链为“创建文件-读取文件-删除文件”,那么第一运行行为为“创建文件”。在本发明实施例中,所述“创建文件”是指针对终端应用标识或运行类型的创建文件。
需要说明的是,所述目标运行行为链所包含的运行行为个数可以大于、等于或者小于时间窗口大小可覆盖的运行行为个数。若在时间窗口内可覆盖10个运行行为,而目标运行行为链包含20个运行行为,那么将截取的其中10个运行行为对应的序列作为运行子行为链。
S402,获取所述风险行为链集合中各风险行为链的第一个运行行为,将所述各风险行为链的第一个运行行为确定为第二运行行为集合;
可以理解的是,获取风险行为链集合中所述风险行为链的第一个运行行为,并将所确定的每个风险行为链的第一个运行行为作为第二运行行为集合。
例如,若在风险行为链集合中有100个风险行为链,那么在第二运行行为集合中就包含这100个风险行为链的第一个运行行为。
S403,在所述第二运行行为集合中获取与所述第一运行行为相匹配的目标第二运行行为,并在所述风险行为链集合中获取所述目标第二运行行为所指示的目标风险行为链;
也就是说,若第一运行行为为“word创建文件”,在第二运行行为集合中查找到“word创建文件”,并将风险行为链集合中“word创建文件”对应的风险行为链提取出来,作为目标风险行为链用于相似度的匹配链。
需要说明的是,本发明还可采用将运行子行为链依次与风险行为链集合中各风险行为链分别进行匹配,以避免遗漏,提高匹配准确率。
S404,将所述运行子行为链与所述目标风险行为链进行匹配,并获取所述运行子行为链与所述目标风险行为链的匹配相似度;
可以理解的是,所述匹配过程可采用相似度比较算法:Levenshtein Distance(最小编辑距离)+LCS(最大公共子串)。
其中,所述Levenshtein Distance算法是指两个字串之间,由一个转成另一个所需的最少编辑操作次数。许可的编辑操作包括将一个字符替换成另一个字符,插入一个字符,删除一个字符。一般来说,编辑距离越小,两个串的相似度越大。所述LCS是指是两个或多个已知序列中符合条件序列的最长的子序列。在本发明实施例中,将行为链作为字符串,当个行为作为字符,采用Levenshtein Distance+LCS计算运行子行为链与各目标风险行为链的匹配相似度。
S405,若所述匹配相似度大于或者等于相似度阈值,则确定所述终端应用程序存在攻击风险。
可以理解的是,在所得到的匹配相似度中,若存在大于或者等于相似度阈值的结果,则表明目标运行行为链为风险行为链,那么该目标运行行为链对应的终端应用程序被攻击。
在本发明实施例中,通过获取针对终端应用程序所触发的多个运行行为,并在其中获取与风险行为集合的各风险行为相匹配的目标运行行为集合,再获取该目标运行行为集合对应的目标运行行为链,当在风险行为链集合中存在与该目标运行行为链相匹配的目标风险行为链时,确定终端应用程序被攻击,并输出针对终端应用程序的风险攻击提示信息。通过依据风险行为集合的匹配感知多个运行行为中的可疑运行行为,并进一步依据风险行为链集合的匹配确定终端应用程序存在被攻击的风险,不受检测环境的限制就可准确感知并识别出针对终端应用程序的恶意攻击行为,从根本上保障了终端应用程序的使用安全性,增强了非PE样本、网页挂马攻击的感知和检测能力,可有效避免用户的损失。
请参见图5,为本发明实施例提供了另一种风险识别方法的流程示意图。如图5所示,本发明实施例的所述方法可以包括以下步骤S501-步骤S508。
S501,获取多个样本风险行为,基于所述多个样本风险行为中各样本风险行为对应的运行类型,将所述多个样本风险行为分别保存至所述运行类型对应的目标风险行为集合中,以生成风险行为集合;
可以理解的是,所述样本风险行为可以包括终端所采集的黑样本集以及攻击行为集。所述黑样本集为各种病毒样本(文本)集合,比如勒索病毒,具体行为可以包括删除文件、修改文件、访问网络、执行恶意脚本,所述攻击行为集指非文本形式存在的攻击,比如网络渗透,具体行为可以包括主机端口被扫描、主机被DDoS攻击等。
每个样本风险行为可以包括一个运行类型,可以包括“打开操作”、“增加操作”、“删除操作”、“修改操作”以及“查找操作”等多个操作类型。
具体实现中,基于每个样本风险行为的运行类型分类,将属于同一个运行类型的样本风险行为存储在一个子集合中,以此方式将所有的样本风险行为分别进行存储,从而生成风险行为集合。
例如,如表2所示为基于运行类型所存储的风险行为集合,其中包括有运行类型“打开操作”对应的子集合以及运行类型“创建操作”对应的子集合以及其他运行类型对应的子集合。在每个子集合中,可包括多个运行行为。
表2
可选的,当检测到新病毒时,提取行为特征并加入风险行为集合或风险行为链集合中,实现对风险行为集合和风险行为链集合的更新。
S502,获取所述目标风险行为集合中各样本风险行为的第一运行时间戳,按照所述第一运行时间戳将所述目标风险行为集合中各样本风险行为进行排列,以生成风险行为链集合;
可以理解的是,每个样本风险行为都对应一个运行时间戳,指示对应的样本风险行为执行时间。通过对风险行为集合中每个子集合的样本风险行为按照时间戳排序,从而得到多个样本风险行为链,即生成了风险行为链集合。
S503,获取针对终端应用程序所触发的运行行为链,所述运行行为链包括按照运行时间顺序排列的多个运行行为;
需要说明的是,本发明实施例的步骤S503可以参见图2所示实施例的步骤S203的具体描述,在此不进行赘述。
S504,获取所述多个运行行为中各运行行为的运行类型;
一种可行的实现方式为,风险识别设备对所述各运行行为(如执行代码)进行解析,并提取解析后的关键字信息,对关键字信息进行译码或者查找预先存储的关键字信息与运行类型的映射关系表等方式,从而获取运行行为对应的运行类型。
S505,在风险行为集合中获取所述运行类型对应的目标风险行为集合;
例如,该运行类型为删除操作,则通过查找表2对应的风险行为集合后,确定目标风险行为集合为删除操作对应的子集合,包括:word删除文件、QQ删除文件、邮箱删除文件以及execl删除文件等多个样本风险行为。
S506,在多个运行行为中获取与所述目标风险行为集合的各风险行为相匹配的目标运行行为集合。
在一种可行的实现方式中,如图6所示,所述在所述多个运行行为中获取与所述目标风险行为集合的各风险行为相匹配的目标运行行为集合,包括:
S601,将所述多个运行行为中各运行行为与所述目标风险行为集合中各风险行为进行匹配;
S602,保存与所述各风险行为相匹配的目标运行行为集合。
需要说明的是,本发明实施例的步骤S601和S602可以分别参见图3所示实施例的步骤S301和S302的具体描述,在此不进行赘述。
S507,根据所述目标运行行为集合中各目标运行行为的第二运行时间戳,将所述各目标运行行为进行排列,以获取所述目标运行行为集合对应的目标运行行为链。
S508,当在风险行为链集合中存在与所述目标运行行为链相匹配的目标风险行为链时,确定所述终端应用程序存在攻击风险,并输出针对所述终端应用程序的风险攻击提示信息。
需要说明的是,本发明实施例的步骤S506-S508可以分别参见图2所示实施例的步骤S206-S208的具体描述,在此不进行赘述。
在一种可行的实现方式中,如图7所示,所述当在风险行为链集合中存在与所述目标运行行为链相匹配的目标风险行为链时,确定所述终端应用程序存在攻击风险,包括:
S701,基于时间窗口大小在所述目标运行行为链中截取运行子行为链,将所述运行子行为链的第一个运行行为确定为第一运行行为;
S702,获取所述风险行为链集合中各风险行为链的第一个运行行为,将所述各风险行为链的第一个运行行为确定为第二运行行为集合;
S703,在所述第二运行行为集合中获取与所述第一运行行为相匹配的目标第二运行行为,并在所述风险行为链集合中获取所述目标第二运行行为所指示的目标风险行为链;
S704,将所述运行子行为链与所述目标风险行为链进行匹配,并获取所述运行子行为链与所述目标风险行为链的匹配相似度;
S705,若所述匹配相似度大于或者等于相似度阈值,则确定所述终端应用程序存在攻击风险。
需要说明的是,本发明实施例的步骤S701-S705可以分别参见图4所示实施例的步骤S401-S405的具体描述,在此不进行赘述。
需要说明的是,在风险行为集合中的样本风险行为基于应用标识存储的情况下,可执行S201-S208所示实施例,在风险行为集合中的样本风险行为基于运行类型存储的情况下,可执行S501-S508所示实施例。当然,也可交叉执行,具体不限定。
在本发明实施例中,通过获取针对终端应用程序所触发的多个运行行为,并在其中获取与风险行为集合的各风险行为相匹配的目标运行行为集合,再获取该目标运行行为集合对应的目标运行行为链,当在风险行为链集合中存在与该目标运行行为链相匹配的目标风险行为链时,确定终端应用程序被攻击,并输出针对终端应用程序的风险攻击提示信息。通过依据风险行为集合的匹配感知多个运行行为中的可疑运行行为,并进一步依据风险行为链集合的匹配确定终端应用程序存在被攻击的风险,不受检测环境的限制就可准确感知并识别出针对终端应用程序的恶意攻击行为,从根本上保障了终端应用程序的使用安全性,增强了非PE样本、网页挂马攻击的感知和检测能力,可有效避免用户的损失。
下面将结合附图8-附图10,对本发明实施例提供的风险识别设备进行详细介绍。需要说明的是,附图8所示的风险识别设备,用于执行本发明图1-图7所示实施例的方法,为了便于说明,仅示出了与本发明实施例相关的部分,具体技术细节未揭示的,请参照本发明图1-图7所示的实施例。
请参见图8,为本发明实施例提供了一种风险识别设备的结构示意图。如图8所示,本发明实施例的所述风险识别设备10可以包括:行为链获取单元101、运行行为获取单元102和信息输出单元103。
行为链获取单元101,用于获取针对终端应用程序所触发的运行行为链,所述运行行为链包括按照运行时间顺序排列的多个运行行为;
可以理解的是,所述终端应用程序是指在终端(如手机、电脑)上已安装的应用程序,如office办公软件、腾讯QQ或腾讯视频等。当所述终端在接收到针对终端应用程序的触发指令时,采集关于所述终端应用程序的运行行为链,并将所采集的运行行为链发送至行为链获取单元101。所述运行行为链也就是终端所截获的在执行关于所述终端应用程序的脚本时,按照运行时间顺序排列的多个运行行为。如在接收到新邮件时,所采集的运行行为链包括打开邮件附件、执行脚本、下载文件、执行tmp目录下的文件以及删除文件等一系列运行行为。
需要说明的是,所述触发指令包括主动触发时的触发指令以及被动触发时的触发指令。其中,所述主动触发是指用户针对终端应用程序输入的触发操作(如启动、文本输入、信息发送等)时,终端就开始采集的终端应用程序的运行行为。所述被动触发是指用户针对终端应用程序在执行操作的过程(如文档编辑)中,系统检测到异样时,终端截获该终端应用程序的运行行为。
具体实现中,当终端接收到针对终端应用程序的触发指令时,开始采集所述终端应用程序的运行行为,一种可行的方式即为采集当前的一个运行行为后,即发送至行为链获取单元101,然后接着采集下一个运行行为,再发送至行为链获取单元101,也就是说,终端采集一个运行行为便发送所采集的结果至行为链获取单元101;另一种可行的方式为终端在设定的时长内连续采集多个运行行为,然后再一起发送至行为链获取单元101,从而使得行为链获取单元101获取到针对终端应用程序的运行行为链。
运行行为获取单元102,用于在所述多个运行行为中获取与风险行为集合的各风险行为相匹配的目标运行行为集合;
可以理解的是,所述风险行为集合中存储有多个样本风险行为,如“创建文件”、“读取文件”,每个样本风险行为可以包括应用标识或运行类型。所述多个样本风险行为可以不分类直接存储在风险行为集合中,也可以基于应用标识的子集合形式存储,还可以基于运行类型的子集合形式存储。所述应用标识用于唯一识别终端应用程序,可以为应用名称或应用识别码等。所述运行类型包括“打开操作”、“增加操作”、“删除操作”、“修改操作”以及“查找操作”等多个操作类型。
需要说明的是,所述样本风险行为集合中所存储的样本风险行为可以包括终端所采集的黑样本集以及攻击行为集。所述黑样本集为各种病毒样本(文本)集合,比如勒索病毒,具体行为可以包括删除文件、修改文件、访问网络、执行恶意脚本,所述攻击行为集指非文本形式存在的攻击,比如网络渗透,具体行为可以包括主机端口被扫描、主机被DDoS攻击等。
具体实现中,运行行为获取单元102采用云主防技术将所获取的多个运行行为依次与风险行为集合中各风险行为进行匹配,并将多个运行行为中与风险行为集合相匹配的运行行为保存至数据仓库中,这是因为,在相匹配时,表明该运行行为疑似为风险行为,从而使终端感知威胁,即提前发现发生在终端的威胁或风险。例如运行行为获取单元102接收到的多个运行行为包括A、B、C、D和E,若A与风险行为集合匹配,则将A保存,B与风险行为集合不匹配,则删除B,以此方式依次判断C、D和E,从而筛选出多个运行行为中的疑似风险运行行为。其中,所述云主防技术是基于云端数据的主动防御系统,防御规则云端配置,快速高效。可选的,运行行为获取单元102基于多个运行行为中每个运行行为的应用标识,首先在风险行为集合中查找到该应用标识对应的子集合,然后将运行行为与子集合进行匹配,若匹配成功,则保存该运行行为,匹配不成功,则删除,并继续按照应用标识匹配下一个运行行为。例如在风险行为集合中存储有对应a、b、c、d、e共5个应用标识的子集合,首先查找A的应用标识,若为a,则将A与a对应的子集合进行匹配,匹配成功,则保存A,匹配失败,则删除A,并继续查找B的应用标识后,采用相同的方式识别B。可选的,运行行为获取单元102基于多个运行行为中每个运行行为的运行类型,首先在风险行为集合中查找到该运行类型对应的子集合,然后将运行行为与子集合进行匹配,若匹配成功,则保存该运行行为,匹配不成功,则删除,并继续按照应用标识匹配下一个运行行为。例如在风险行为集合中存储有对应1、2、3、4、5共5个运行类型的子集合,首先查找A的运行类型,若为1,则将A与1对应的子集合进行匹配,匹配成功,则保存A,匹配失败,则删除A,并继续查找B的运行类型后,采用相同的方式识别B。
信息输出单元103,用于获取所述目标运行行为集合对应的目标运行行为链,当在风险行为链集合中存在与所述目标运行行为链相匹配的目标风险行为链时,确定所述终端应用程序存在攻击风险,并输出针对所述终端应用程序的风险攻击提示信息。
可以理解的是,所述目标运行行为链即为所述目标运行行为集合中各目标运行行为按照运行时间顺序排列的结果。例如,通过S102的匹配确定运行行为链A、B、C、D和E中的目标运行行为集合包括A、C和E,按照A、C和E分别对应的运行时间戳标识的时间进行排序,可确定目标运行行为链为A-C-E。
所述风险行为链集合中包括有多个风险行为链,所述多个风险行为链中每个风险行为链即为风险行为集合中各个风险行为基于运行时间戳排列得到。也就是说,所述风险行为链为攻击行为序列,指病毒或其他威胁在执行过程中产生的一系列行为按时间排序生成的静态特征。如:打开邮件附件-执行脚本-下载文件-执行tmp目录下文件-删除文件构成一个风险行为链。
具体实现中,信息输出单元103根据所述目标运行行为集合中各目标运行行为的第二运行时间戳,将所述各目标运行行为进行排列,以获取所述目标运行行为集合对应的目标运行行为链,当所获取的目标运行行为链与风险行为链集合中的一个或多个相匹配时,表明目标运行行为链为风险行为链,也就是说,终端应用程序被攻击,并直接输出风险攻击提示信息或者向终端发送风险攻击提示信息以提示终端。其中,可基于时间窗口大小(即预设时间长度)在所述目标运行行为链中截取运行子行为链,将所述运行子行为链的第一个运行行为确定为第一运行行为,获取所述风险行为链集合中各风险行为链的第一个运行行为,将所述各风险行为链的第一个运行行为确定为第二运行行为集合,在所述第二运行行为集合中获取与所述第一运行行为相匹配的目标第二运行行为,并在所述风险行为链集合中获取所述目标第二运行行为所指示的目标风险行为链,将所述运行子行为链与所述目标风险行为链进行匹配,并获取所述运行子行为链与所述目标各风险行为链的匹配相似度,若所述匹配相似度大于或者等于相似度阈值,则确定所述终端应用程序存在攻击风险。
在本发明实施例中,通过获取针对终端应用程序所触发的多个运行行为,并在其中获取与风险行为集合的各风险行为相匹配的目标运行行为集合,再获取该目标运行行为集合对应的目标运行行为链,当在风险行为链集合中存在与该目标运行行为链相匹配的目标风险行为链时,确定终端应用程序被攻击,并输出针对终端应用程序的风险攻击提示信息。通过依据风险行为集合的匹配感知多个运行行为中的可疑运行行为,并进一步依据风险行为链集合的匹配确定终端应用程序存在被攻击的风险,不受检测环境的限制就可准确感知并识别出针对终端应用程序的恶意攻击行为,从根本上保障了终端应用程序的使用安全性,增强了非PE样本、网页挂马攻击的感知和检测能力,可有效避免用户的损失。
请参见图9,为本发明实施例提供了另一种风险识别设备的结构示意图。如图9所示,本发明实施例的所述风险识别设备10可以包括:行为链获取单元101、运行行为获取单元102、信息输出单元103、标识获取单元104、行为集合生成单元105、行为链集合生成单元106和类型获取单元107。
行为集合生成单元105,用于获取多个样本风险行为,基于所述多个样本风险行为中各样本风险行为对应的应用标识,将所述多个样本风险行为分别保存至所述应用标识对应的目标风险行为集合中,以生成风险行为集合;
可以理解的是,所述样本风险行为可以包括终端所采集的黑样本集以及攻击行为集。所述黑样本集为各种病毒样本(文本)集合,比如勒索病毒,具体行为可以包括删除文件、修改文件、访问网络、执行恶意脚本,所述攻击行为集指非文本形式存在的攻击,比如网络渗透,具体行为可以包括主机端口被扫描、主机被DDoS攻击等。
每个样本风险行为可以包括一个应用标识,可以为应用名称或应用识别码等,如“word创建文件”或“QQ读取文件”为一个样本风险行为,其中“word”和“QQ”为应用标识,用于唯一识别样本风险行为。
具体实现中,基于每个样本风险行为的应用标识分类,将属于同一个应用标识的样本风险行为存储在一个子集合中,以此方式将所有的样本风险行为分别进行存储,从而生成风险行为集合。
例如,如表1所示为基于应用标识所存储的风险行为集合,其中包括有应用标识“word”对应的子集合以及应用标识“QQ”对应的子集合以及其他应用标识对应的子集合。在每个子集合中,可包括多个运行行为。
可选的,当检测到新病毒时,提取行为特征并加入风险行为集合或风险行为链集合中,实现对风险行为集合和风险行为链集合的更新。
行为链集合生成单元106,用于获取所述目标风险行为集合中各样本风险行为的第一运行时间戳,按照所述第一运行时间戳将所述目标风险行为集合中各样本风险行为进行排列,以生成风险行为链集合。
可以理解的是,每个样本风险行为都对应一个运行时间戳,指示对应的样本风险行为执行时间。通过对风险行为集合中每个子集合的样本风险行为按照时间戳排序,从而得到多个样本风险行为链,即生成了风险行为链集合。
例如,将表1中的每个集合中的样本风险行为进行排序,从而可以得到word:创建文件-读取文件-删除文件,QQ:创建文件-读取文件-删除文件,邮箱:打开文件-执行脚本-下载文件-删除文件等多个风险行为链。
可选的,如图10所示,行为集合生成单元105,用于获取多个样本风险行为,基于所述多个样本风险行为中各样本风险行为对应的运行类型,将所述多个样本风险行为分别保存至所述运行类型对应的目标风险行为集合中,以生成风险行为集合;
可以理解的是,所述样本风险行为可以包括终端所采集的黑样本集以及攻击行为集。所述黑样本集为各种病毒样本(文本)集合,比如勒索病毒,具体行为可以包括删除文件、修改文件、访问网络、执行恶意脚本,所述攻击行为集指非文本形式存在的攻击,比如网络渗透,具体行为可以包括主机端口被扫描、主机被DDoS攻击等。
每个样本风险行为可以包括一个运行类型,可以包括“打开操作”、“增加操作”、“删除操作”、“修改操作”以及“查找操作”等多个操作类型。
具体实现中,行为集合生成单元105基于每个样本风险行为的运行类型分类,将属于同一个运行类型的样本风险行为存储在一个子集合中,以此方式将所有的样本风险行为分别进行存储,从而生成风险行为集合。
例如,如表2所示为基于运行类型所存储的风险行为集合,其中包括有运行类型“打开操作”对应的子集合以及运行类型“创建操作”对应的子集合以及其他运行类型对应的子集合。在每个子集合中,可包括多个运行行为。
行为链集合生成单元106,用于获取所述目标风险行为集合中各样本风险行为的第一运行时间戳,按照所述第一运行时间戳将所述目标风险行为集合中各样本风险行为进行排列,以生成风险行为链集合。
可以理解的是,每个样本风险行为都对应一个运行时间戳,指示对应的样本风险行为执行时间。通过对风险行为集合中每个子集合的样本风险行为按照时间戳排序,从而得到多个样本风险行为链,即生成了风险行为链集合。
行为链获取单元101,用于获取针对终端应用程序所触发的运行行为链,所述运行行为链包括按照运行时间顺序排列的多个运行行为;
可以理解的是,所述终端应用程序是指在终端(如手机、电脑)上已安装的应用程序,如office办公软件、腾讯QQ或腾讯视频等。当所述终端在接收到针对终端应用程序的触发指令时,采集关于所述终端应用程序的运行行为链,并将所采集的运行行为链发送至行为链获取单元101。所述运行行为链也就是终端所截获的在执行关于所述终端应用程序的脚本时,按照运行时间顺序排列的多个运行行为。如在接收到新邮件时,所采集的运行行为链包括打开邮件附件、执行脚本、下载文件、执行tmp目录下的文件以及删除文件等一系列运行行为。
需要说明的是,所述触发指令包括主动触发时的触发指令以及被动触发时的触发指令。其中,所述主动触发是指用户针对终端应用程序输入的触发操作(如启动、文本输入、信息发送等)时,终端就开始采集的终端应用程序的运行行为。所述被动触发是指用户针对终端应用程序在执行操作的过程中,系统检测到异样时,终端截获该终端应用程序的运行行为。
具体实现中,当终端接收到针对终端应用程序的触发指令时,开始采集所述终端应用程序的运行行为,一种可行的方式即为采集当前的一个运行行为后,即发送至行为链获取单元101,然后接着采集下一个运行行为,再发送至行为链获取单元101,也就是说,终端采集一个运行行为便发送所采集的结果至行为链获取单元101;另一种可行的方式为终端在设定的时长内连续采集多个运行行为,然后再一起发送至行为链获取单元101,从而使得风险识别设备获取到针对终端应用程序的运行行为链。
运行行为获取单元102,用于在所述多个运行行为中获取与风险行为集合的各风险行为相匹配的目标运行行为集合;
标识获取单元104,用于获取所述终端应用程序的应用标识;
可以理解的是,所述应用标识用于唯一识别终端应用程序,可以包括应用名称、应用序列号、应用识别码等。
可选的,如图11所示,所述运行行为获取单元102,包括:
风险行为获取子单元1021,用于在风险行为集合中获取所述应用标识对应的目标风险行为集合;
例如,该应用标识为word,则通过查找表1对应的风险行为集合后,确定目标风险行为集合为word对应的子集合,包括:创建文件、读取文件以及删除文件等多个样本风险行为。
运行行为获取子单元1022,用于在所述多个运行行为中获取与所述目标风险行为集合的各风险行为相匹配的目标运行行为集合。
类型获取单元107,用于获取所述多个运行行为中各运行行为的运行类型;
可选的,如图12所示,所述运行行为获取单元102,包括:
风险行为获取子单元1023,用于在风险行为集合中获取所述运行类型对应的目标风险行为集合;
运行行为获取子单元1024,用于在多个运行行为中获取与所述目标风险行为集合的各风险行为相匹配的目标运行行为集合。
所述运行行为获取子单元1022或1024,具体用于:
行为匹配子单元,用于将所述多个运行行为中各运行行为与所述目标风险行为集合中各风险行为进行匹配;
行为保存子单元,用于保存与所述各风险行为相匹配的目标运行行为集合。
具体实现中,将所接收到的多个运行行为依次与目标风险行为集合中的每个风险行为进行匹配,若匹配成功,则将该运行行为保存至数据仓库中,否则删除。
例如,若所接收到的针对邮箱的多个运行行为包括“创建文件、打开文件、读取文件、下载文件以及删除文件”,首先在word对应的子集合:创建文件、读取文件以及删除文件子集合中查找是否存在“创建文件”,查找结果为存在,则将创建文件保存至数据仓库,然后再在该子集合中查找是否存在“打开文件”,查找结果为不存在,则删除打开文件,并继续匹配“读取文件”,直到匹配完“删除文件”,从而筛选出其中的疑似风险运行行为。
信息输出单元103,用于获取所述目标运行行为集合对应的目标运行行为链,当在风险行为链集合中存在与所述目标运行行为链相匹配的目标风险行为链时,确定所述终端应用程序存在攻击风险,并输出针对所述终端应用程序的风险攻击提示信息。
所述信息输出单元103具体用于:
根据所述目标运行行为集合中各目标运行行为的第二运行时间戳,将所述各目标运行行为进行排列,以获取所述目标运行行为集合对应的目标运行行为链。
可以理解的是,所述风险行为链集合中包括有多个风险行为链,所述多个风险行为链中每个风险行为链即为风险行为集合中各个风险行为基于运行时间戳排列得到。也就是说,所述风险行为链为攻击行为序列,指病毒或其他威胁在执行过程中产生的一系列行为按时间排序生成的静态特征。如:打开邮件附件、执行脚本、下载文件、执行tmp目录下文件、删除文件构成一个风险行为链。
可选的,如图13所示,所述信息输出单元103,包括:
第一行为确定子单元1031,用于基于时间窗口大小在所述目标运行行为链中截取运行子行为链,将所述运行子行为链的第一个运行行为确定为第一运行行为;
可以理解的是,所述时间窗口大小即为设定的时长,如1min,通过时间窗口大小截取目标运行行为链,从而将所截取的部分作为运行子行为链,该运行子行为链的第一个运行行为设置为第一运行行为。如截取得到的运行子行为链为“创建文件-读取文件-删除文件”,那么第一运行行为为“创建文件”。在本发明实施例中,所述“创建文件”是指针对终端应用标识或运行类型的创建文件。
需要说明的是,所述目标运行行为链所包含的运行行为个数可以大于、等于或者小于时间窗口大小可覆盖的运行行为个数。若在时间窗口内可覆盖10个运行行为,而目标运行行为链包含20个运行行为,那么将截取的其中10个运行行为对应的序列作为运行子行为链。
第二集合确定子单元1032,用于获取所述风险行为链集合中各风险行为链的第一个运行行为,将所述各风险行为链的第一个运行行为确定为第二运行行为集合;
可以理解的是,获取风险行为链集合中所述风险行为链的第一个运行行为,并将所确定的每个风险行为链的第一个运行行为作为第二运行行为集合。
例如,若在风险行为链集合中有100个风险行为链,那么在第二运行行为集合中就包含这100个风险行为链的第一个运行行为。
行为链获取子单元1033,用于在所述第二运行行为集合中获取与所述第一运行行为相匹配的目标第二运行行为,并在所述风险行为链集合中获取所述目标第二运行行为所指示的目标风险行为链;
也就是说,若第一运行行为为“word创建文件”,在第二运行行为集合中查找到“word创建文件”,并将风险行为链集合中“word创建文件”对应的风险行为链提取出来,作为目标风险行为链用于相似度的匹配链。
需要说明的是,本发明还可采用将运行子行为链依次与风险行为链集合中各风险行为链分别进行匹配,以避免遗漏,提高匹配准确率。
相似度获取子单元1034,用于将所述运行子行为链与所述目标风险行为链进行匹配,并获取所述运行子行为链与所述目标风险行为链的匹配相似度;
可以理解的是,所述匹配过程可采用相似度比较算法:Levenshtein Distance(最小编辑距离)+LCS(最大公共子串)。
其中,所述Levenshtein Distance算法是指两个字串之间,由一个转成另一个所需的最少编辑操作次数。许可的编辑操作包括将一个字符替换成另一个字符,插入一个字符,删除一个字符。一般来说,编辑距离越小,两个串的相似度越大。所述LCS是指是两个或多个已知序列中符合条件序列的最长的子序列。在本发明实施例中,将行为链作为字符串,当个行为作为字符,采用Levenshtein Distance+LCS计算运行子行为链与各目标风险行为链的匹配相似度。
攻击确定子单元1035,用于若所述匹配相似度大于或者等于相似度阈值,则确定所述终端应用程序存在攻击风险。
可以理解的是,在所得到的匹配相似度中,若存在大于或者等于相似度阈值的结果,则表明目标运行行为链为风险行为链,那么该目标运行行为链对应的终端应用程序被攻击。
在本发明实施例中,通过获取针对终端应用程序所触发的多个运行行为,并在其中获取与风险行为集合的各风险行为相匹配的目标运行行为集合,再获取该目标运行行为集合对应的目标运行行为链,当在风险行为链集合中存在与该目标运行行为链相匹配的目标风险行为链时,确定终端应用程序被攻击,并输出针对终端应用程序的风险攻击提示信息。通过依据风险行为集合的匹配感知多个运行行为中的可疑运行行为,并进一步依据风险行为链集合的匹配确定终端应用程序存在被攻击的风险,不受检测环境的限制就可准确感知并识别出针对终端应用程序的恶意攻击行为,从根本上保障了终端应用程序的使用安全性,增强了非PE样本、网页挂马攻击的感知和检测能力,可有效避免用户的损失。
本发明实施例还提供了一种计算机存储介质,所述计算机存储介质可以存储有多条指令,所述指令适于由处理器加载并执行如上述图1-图7所示实施例的方法步骤,具体执行过程可以参见图1-图7所示实施例的具体说明,在此不进行赘述。
请参见图14,为本发明实施例提供了一种电子设备的结构示意图。如图14所示,所述电子设备1000可以包括:至少一个处理器1001,例如CPU,至少一个网络接口1004,用户接口1003,存储器1005,至少一个通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。其中,用户接口1003可以包括显示屏(Display)、键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器1005可选的还可以是至少一个位于远离前述处理器1001的存储装置。如图14所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及风险识别应用程序。
在图14所示的电子设备1000中,用户接口1003主要用于为用户提供输入的接口,获取用户输入的数据;网络接口1004主要用于与用户终端进行数据通信;而处理器1001可以用于调用存储器1005中存储的风险识别应用程序,并具体执行以下操作:
获取针对终端应用程序所触发的运行行为链,所述运行行为链包括按照运行时间顺序排列的多个运行行为;
在所述多个运行行为中获取与风险行为集合的各风险行为相匹配的目标运行行为集合;
获取所述目标运行行为集合对应的目标运行行为链,当在风险行为链集合中存在与所述目标运行行为链相匹配的目标风险行为链时,确定所述终端应用程序存在攻击风险,并输出针对所述终端应用程序的风险攻击提示信息。
在一个实施例中,所述处理器1001在执行获取针对终端应用程序所触发的运行行为链之后,还执行以下操作:
获取所述终端应用程序的应用标识;
所述处理器1001在执行在所述多个运行行为中获取与风险行为集合的各风险行为相匹配的目标运行行为集合时,具体执行以下操作:
在风险行为集合中获取所述应用标识对应的目标风险行为集合;
在所述多个运行行为中获取与所述目标风险行为集合的各风险行为相匹配的目标运行行为集合。
在一个实施例中,所述处理器1001在执行获取针对终端应用程序所触发的运行行为链之前,还执行以下步骤:
获取多个样本风险行为,基于所述多个样本风险行为中各样本风险行为对应的应用标识,将所述多个样本风险行为分别保存至所述应用标识对应的目标风险行为集合中,以生成风险行为集合;
获取所述目标风险行为集合中各样本风险行为的第一运行时间戳,按照所述第一运行时间戳将所述目标风险行为集合中各样本风险行为进行排列,以生成风险行为链集合。
在一个实施例中,所述处理器1001在执行获取针对终端应用程序所触发的运行行为链之后,还执行以下操作:
获取所述多个运行行为中各运行行为的运行类型;
所述处理器1001在执行在所述多个运行行为中获取与风险行为集合的各风险行为相匹配的目标运行行为集合时,具体执行以下操作:
在风险行为集合中获取所述运行类型对应的目标风险行为集合;
在多个运行行为中获取与所述目标风险行为集合的各风险行为相匹配的目标运行行为集合。
在一个实施例中,所述处理器1001在执行获取针对终端应用程序所触发的运行行为链之前,还执行以下操作:
获取多个样本风险行为,基于所述多个样本风险行为中各样本风险行为对应的运行类型,将所述多个样本风险行为分别保存至所述运行类型对应的目标风险行为集合中,以生成风险行为集合;
获取所述目标风险行为集合中各样本风险行为的第一运行时间戳,按照所述第一运行时间戳将所述目标风险行为集合中各样本风险行为进行排列,以生成风险行为链集合。
在一个实施例中,所述处理器1001在执行在所述多个运行行为中获取与所述目标风险行为集合的各风险行为相匹配的目标运行行为集合时,具体执行以下操作:
将所述多个运行行为中各运行行为与所述目标风险行为集合中各风险行为进行匹配;
保存与所述各风险行为相匹配的目标运行行为集合。
在一个实施例中,所述处理器1001在执行获取所述目标运行行为集合对应的目标运行行为链时,具体执行以下操作:
根据所述目标运行行为集合中各目标运行行为的第二运行时间戳,将所述各目标运行行为进行排列,以获取所述目标运行行为集合对应的目标运行行为链。
在一个实施例中,所述处理器1001在执行当在风险行为链集合中存在与所述目标运行行为链相匹配的目标风险行为链时,确定所述终端应用程序存在攻击风险时,具体执行以下操作:
基于时间窗口大小在所述目标运行行为链中截取运行子行为链,将所述运行子行为链的第一个运行行为确定为第一运行行为;
获取所述风险行为链集合中各风险行为链的第一个运行行为,将所述各风险行为链的第一个运行行为确定为第二运行行为集合;
在所述第二运行行为集合中获取与所述第一运行行为相匹配的目标第二运行行为,并在所述风险行为链集合中获取所述目标第二运行行为所指示的目标风险行为链;
将所述运行子行为链与所述目标风险行为链进行匹配,并获取所述运行子行为链与所述目标各风险行为链的匹配相似度;
若所述匹配相似度大于或者等于相似度阈值,则确定所述终端应用程序存在攻击风险。
在本发明实施例中,通过获取针对终端应用程序所触发的多个运行行为,并在其中获取与风险行为集合的各风险行为相匹配的目标运行行为集合,再获取该目标运行行为集合对应的目标运行行为链,当在风险行为链集合中存在与该目标运行行为链相匹配的目标风险行为链时,确定终端应用程序被攻击,并输出针对终端应用程序的风险攻击提示信息。通过依据风险行为集合的匹配感知多个运行行为中的可疑运行行为,并进一步依据风险行为链集合的匹配确定终端应用程序存在被攻击的风险,不受检测环境的限制就可准确感知并识别出针对终端应用程序的恶意攻击行为,从根本上保障了终端应用程序的使用安全性,增强了非PE样本、网页挂马攻击的感知和检测能力,可有效避免用户的损失。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。

Claims (15)

1.一种风险识别方法,其特征在于,包括:
获取针对终端应用程序所触发的运行行为链,所述运行行为链包括按照运行时间顺序排列的多个运行行为;
在所述多个运行行为中获取与风险行为集合的各风险行为相匹配的目标运行行为集合;
获取所述目标运行行为集合对应的目标运行行为链,当在风险行为链集合中存在与所述目标运行行为链相匹配的目标风险行为链时,确定所述终端应用程序存在攻击风险,并输出针对所述终端应用程序的风险攻击提示信息。
2.根据权利要求1所述的方法,其特征在于,所述获取针对终端应用程序所触发的运行行为链之后,还包括:
获取所述终端应用程序的应用标识;
所述在所述多个运行行为中获取与风险行为集合的各风险行为相匹配的目标运行行为集合,包括:
在风险行为集合中获取所述应用标识对应的目标风险行为集合;
在所述多个运行行为中获取与所述目标风险行为集合的各风险行为相匹配的目标运行行为集合。
3.根据权利要求2所述的方法,其特征在于,所述获取针对终端应用程序所触发的运行行为链之前,还包括:
获取多个样本风险行为,基于所述多个样本风险行为中各样本风险行为对应的应用标识,将所述多个样本风险行为分别保存至所述应用标识对应的目标风险行为集合中,以生成风险行为集合;
获取所述目标风险行为集合中各样本风险行为的第一运行时间戳,按照所述第一运行时间戳将所述目标风险行为集合中各样本风险行为进行排列,以生成风险行为链集合。
4.根据权利要求1所述的方法,其特征在于,所述获取针对终端应用程序所触发的运行行为链之后,还包括:
获取所述多个运行行为中各运行行为的运行类型;
所述在所述多个运行行为中获取与风险行为集合的各风险行为相匹配的目标运行行为集合,包括:
在风险行为集合中获取所述运行类型对应的目标风险行为集合;
在多个运行行为中获取与所述目标风险行为集合的各风险行为相匹配的目标运行行为集合。
5.根据权利要求4所述的方法,其特征在于,所述获取针对终端应用程序所触发的运行行为链之前,还包括:
获取多个样本风险行为,基于所述多个样本风险行为中各样本风险行为对应的运行类型,将所述多个样本风险行为分别保存至所述运行类型对应的目标风险行为集合中,以生成风险行为集合;
获取所述目标风险行为集合中各样本风险行为的第一运行时间戳,按照所述第一运行时间戳将所述目标风险行为集合中各样本风险行为进行排列,以生成风险行为链集合。
6.根据权利要求2或4所述的方法,其特征在于,所述在所述多个运行行为中获取与所述目标风险行为集合的各风险行为相匹配的目标运行行为集合,包括:
将所述多个运行行为中各运行行为与所述目标风险行为集合中各风险行为进行匹配;
保存与所述各风险行为相匹配的目标运行行为集合。
7.根据权利要求1所述的方法,其特征在于,所述获取所述目标运行行为集合对应的目标运行行为链,包括:
根据所述目标运行行为集合中各目标运行行为的第二运行时间戳,将所述各目标运行行为进行排列,以获取所述目标运行行为集合对应的目标运行行为链。
8.根据权利要求1所述的方法,其特征在于,所述当在风险行为链集合中存在与所述目标运行行为链相匹配的目标风险行为链时,确定所述终端应用程序存在攻击风险,包括:
基于时间窗口大小在所述目标运行行为链中截取运行子行为链,将所述运行子行为链的第一个运行行为确定为第一运行行为;
获取所述风险行为链集合中各风险行为链的第一个运行行为,将所述各风险行为链的第一个运行行为确定为第二运行行为集合;
在所述第二运行行为集合中获取与所述第一运行行为相匹配的目标第二运行行为,并在所述风险行为链集合中获取所述目标第二运行行为所指示的目标风险行为链;
将所述运行子行为链与所述目标风险行为链进行匹配,并获取所述运行子行为链与所述目标风险行为链的匹配相似度;
若所述匹配相似度大于或者等于相似度阈值,则确定所述终端应用程序存在攻击风险。
9.一种风险识别设备,其特征在于,包括:
行为链获取单元,用于获取针对终端应用程序所触发的运行行为链,所述运行行为链包括按照运行时间顺序排列的多个运行行为;
运行行为获取单元,用于在所述多个运行行为中获取与风险行为集合的各风险行为相匹配的目标运行行为集合;
信息输出单元,用于获取所述目标运行行为集合对应的目标运行行为链,当在风险行为链集合中存在与所述目标运行行为链相匹配的目标风险行为链时,确定所述终端应用程序存在攻击风险,并输出针对所述终端应用程序的风险攻击提示信息。
10.根据权利要求9所述的设备,其特征在于,所述设备还包括:
标识获取单元,用于获取所述终端应用程序的应用标识;
所述运行行为获取单元,包括:
风险行为获取子单元,用于在风险行为集合中获取所述应用标识对应的目标风险行为集合;
运行行为获取子单元,用于在所述多个运行行为中获取与所述目标风险行为集合的各风险行为相匹配的目标运行行为集合。
11.根据权利要求10所述的设备,其特征在于,所述设备还包括:
行为集合生成单元,用于获取多个样本风险行为,基于所述多个样本风险行为中各样本风险行为对应的应用标识,将所述多个样本风险行为分别保存至所述应用标识对应的目标风险行为集合中,以生成风险行为集合;
行为链集合生成单元,用于获取所述目标风险行为集合中各样本风险行为的第一运行时间戳,按照所述第一运行时间戳将所述目标风险行为集合中各样本风险行为进行排列,以生成风险行为链集合。
12.根据权利要求9所述的设备,其特征在于,所述设备还包括:
类型获取单元,用于获取所述多个运行行为中各运行行为的运行类型;
所述运行行为获取单元,包括:
风险行为获取子单元,用于在风险行为集合中获取所述运行类型对应的目标风险行为集合;
运行行为获取子单元,用于在多个运行行为中获取与所述目标风险行为集合的各风险行为相匹配的目标运行行为集合。
13.根据权利要求12所述的设备,其特征在于,所述设备还包括:
行为集合生成单元,用于获取多个样本风险行为,基于所述多个样本风险行为中各样本风险行为对应的运行类型,将所述多个样本风险行为分别保存至所述运行类型对应的目标风险行为集合中,以生成风险行为集合;
行为链集合生成单元,用于获取所述目标风险行为集合中各样本风险行为的第一运行时间戳,按照所述第一运行时间戳将所述目标风险行为集合中各样本风险行为进行排列,以生成风险行为链集合。
14.一种计算机存储介质,其特征在于,所述计算机存储介质存储有多条指令,所述指令适于由处理器加载并执行如权利要求1~8任意一项的方法步骤。
15.一种电子设备,其特征在于,包括:处理器和存储器;其中,所述存储器存储有计算机程序,所述计算机程序适于由所述处理器加载并执行以下步骤:
获取针对终端应用程序所触发的运行行为链,所述运行行为链包括按照运行时间顺序排列的多个运行行为;
在所述多个运行行为中获取与风险行为集合的各风险行为相匹配的目标运行行为集合;
获取所述目标运行行为集合对应的目标运行行为链,当在风险行为链集合中存在与所述目标运行行为链相匹配的目标风险行为链时,确定所述终端应用程序存在攻击风险,并输出针对所述终端应用程序的风险攻击提示信息。
CN201810096116.8A 2018-01-31 2018-01-31 一种风险识别方法及其设备、存储介质、电子设备 Active CN108182360B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810096116.8A CN108182360B (zh) 2018-01-31 2018-01-31 一种风险识别方法及其设备、存储介质、电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810096116.8A CN108182360B (zh) 2018-01-31 2018-01-31 一种风险识别方法及其设备、存储介质、电子设备

Publications (2)

Publication Number Publication Date
CN108182360A true CN108182360A (zh) 2018-06-19
CN108182360B CN108182360B (zh) 2023-09-19

Family

ID=62551765

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810096116.8A Active CN108182360B (zh) 2018-01-31 2018-01-31 一种风险识别方法及其设备、存储介质、电子设备

Country Status (1)

Country Link
CN (1) CN108182360B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108959938A (zh) * 2018-07-05 2018-12-07 腾讯科技(深圳)有限公司 检测漏洞利用的方法、装置、存储介质及设备
CN109327433A (zh) * 2018-09-03 2019-02-12 北京智游网安科技有限公司 基于运行场景分析的威胁感知方法及系统
CN110505216A (zh) * 2019-08-02 2019-11-26 阿里巴巴集团控股有限公司 一种物联网风险防控方法、装置、系统及电子设备
CN111600893A (zh) * 2020-05-19 2020-08-28 山石网科通信技术股份有限公司 勒索软件的防御方法、装置、存储介质、处理器和主机

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101187872A (zh) * 2007-10-31 2008-05-28 白杰 基于行为的程序种类判断方法、装置和程序控制方法、装置
CN102902919A (zh) * 2012-08-30 2013-01-30 北京奇虎科技有限公司 一种可疑操作的识别处理方法、装置和系统
CN103065093A (zh) * 2012-12-27 2013-04-24 中国人民解放军国防科学技术大学 一种恶意软件行为特征标识方法
CN104794399A (zh) * 2015-04-23 2015-07-22 北京北信源软件股份有限公司 一种基于海量程序行为数据的终端防护系统及方法
CN105471882A (zh) * 2015-12-08 2016-04-06 中国电子科技集团公司第三十研究所 一种基于行为特征的网络攻击检测方法及装置
CN106446681A (zh) * 2015-08-07 2017-02-22 腾讯科技(深圳)有限公司 病毒查杀方法和装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101187872A (zh) * 2007-10-31 2008-05-28 白杰 基于行为的程序种类判断方法、装置和程序控制方法、装置
CN102902919A (zh) * 2012-08-30 2013-01-30 北京奇虎科技有限公司 一种可疑操作的识别处理方法、装置和系统
CN103065093A (zh) * 2012-12-27 2013-04-24 中国人民解放军国防科学技术大学 一种恶意软件行为特征标识方法
CN104794399A (zh) * 2015-04-23 2015-07-22 北京北信源软件股份有限公司 一种基于海量程序行为数据的终端防护系统及方法
CN106446681A (zh) * 2015-08-07 2017-02-22 腾讯科技(深圳)有限公司 病毒查杀方法和装置
CN105471882A (zh) * 2015-12-08 2016-04-06 中国电子科技集团公司第三十研究所 一种基于行为特征的网络攻击检测方法及装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108959938A (zh) * 2018-07-05 2018-12-07 腾讯科技(深圳)有限公司 检测漏洞利用的方法、装置、存储介质及设备
CN109327433A (zh) * 2018-09-03 2019-02-12 北京智游网安科技有限公司 基于运行场景分析的威胁感知方法及系统
CN110505216A (zh) * 2019-08-02 2019-11-26 阿里巴巴集团控股有限公司 一种物联网风险防控方法、装置、系统及电子设备
CN111600893A (zh) * 2020-05-19 2020-08-28 山石网科通信技术股份有限公司 勒索软件的防御方法、装置、存储介质、处理器和主机

Also Published As

Publication number Publication date
CN108182360B (zh) 2023-09-19

Similar Documents

Publication Publication Date Title
US10218740B1 (en) Fuzzy hash of behavioral results
US10673884B2 (en) Apparatus method and medium for tracing the origin of network transmissions using n-gram distribution of data
CN105721427B (zh) 一种从Web日志中挖掘攻击频繁序列模式的方法
CN103379099B (zh) 恶意攻击识别方法及系统
CN110730175B (zh) 一种基于威胁情报的僵尸网络检测方法及检测系统
US9661003B2 (en) System and method for forensic cyber adversary profiling, attribution and attack identification
Niakanlahiji et al. Phishmon: A machine learning framework for detecting phishing webpages
CN101605074B (zh) 基于网络通讯行为特征监测木马的方法与系统
US7555777B2 (en) Preventing attacks in a data processing system
AU2007273085B2 (en) System and method of analyzing web content
CN110099059B (zh) 一种域名识别方法、装置及存储介质
CN108182360A (zh) 一种风险识别方法及其设备、存储介质、电子设备
KR20080037909A (ko) 취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의인터넷 웜 탐지 장치 및 그 방법
CN114157450B (zh) 基于物联网蜜罐的网络攻击诱导方法及装置
CN109167781A (zh) 一种基于动态关联分析的网络攻击链识别方法和装置
CN110149318B (zh) 邮件元数据的处理方法及装置、存储介质、电子装置
CN107770125A (zh) 一种网络安全应急响应方法及应急响应平台
CN115277068B (zh) 一种基于欺骗防御的新型蜜罐系统及方法
CN111147489A (zh) 一种面向链接伪装的鱼叉攻击邮件发现方法及装置
CN107644161A (zh) 样本的安全测试方法、装置和设备
CN111859374A (zh) 社会工程学攻击事件的检测方法、装置以及系统
CN108040036A (zh) 一种行业云Webshell安全防护方法
CN113079157A (zh) 获取网络攻击者位置的方法、装置、电子设备
CN113722705B (zh) 一种恶意程序清除方法及装置
CN113114609A (zh) webshell检测取证方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant