CN110224975A - Apt信息的确定方法及装置、存储介质、电子装置 - Google Patents
Apt信息的确定方法及装置、存储介质、电子装置 Download PDFInfo
- Publication number
- CN110224975A CN110224975A CN201910345206.0A CN201910345206A CN110224975A CN 110224975 A CN110224975 A CN 110224975A CN 201910345206 A CN201910345206 A CN 201910345206A CN 110224975 A CN110224975 A CN 110224975A
- Authority
- CN
- China
- Prior art keywords
- sample
- information
- malice
- malice sample
- apt
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 47
- 238000003860 storage Methods 0.000 title claims abstract description 21
- 238000001514 detection method Methods 0.000 claims abstract description 59
- 230000003068 static effect Effects 0.000 claims abstract description 45
- 244000035744 Hura crepitans Species 0.000 claims description 49
- 230000015654 memory Effects 0.000 claims description 17
- 238000004590 computer program Methods 0.000 claims description 15
- 230000003542 behavioural effect Effects 0.000 claims 1
- 238000005516 engineering process Methods 0.000 abstract description 8
- 238000004458 analytical method Methods 0.000 description 19
- 230000008569 process Effects 0.000 description 11
- 230000006399 behavior Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 238000000605 extraction Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 239000000284 extract Substances 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000009545 invasion Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012216 screening Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000000151 deposition Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000010438 heat treatment Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002045 lasting effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003612 virological effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供了一种APT信息的确定方法及装置、存储介质、电子装置,其中,该方法包括:获取恶意样本;对所述恶意样本进行静态检测得到第一样本信息,以及对所述恶意样本进行动态检测得到第二样本信息;根据所述第一样本信息或所述第二样本信息确定所述恶意样本的高级持续性威胁APT信息。通过本发明,解决了相关技术中确定APT信息效率低下的技术问题。
Description
技术领域
本发明涉及网络安全领域,具体而言,涉及一种APT信息的确定方法及装置、存储介质、电子装置。
背景技术
网络攻击是黑客或者病毒木马等对电子设备发起的攻击,通过窃取文件等给用户带来了巨大损失。
在对高级持续性威胁(Advanced Persistent Threat,APT)团伙进行追踪发现时,主要依据网络传播中的恶意文件、钓鱼邮件等攻击进行上下文关联分析。攻击者利用恶意程序对网络及信息系统进行入侵控制,达到窃取敏感数据和破坏系统和网络环境的目的,亟待提高对企业网络中传播的恶意样本检测率和批量分析能力。
相关技术中,在计算机安全领域内,目前网络攻击变得越来越专业化和针对性。面对这样的攻击事件,往往缺少对该攻击事件的整体认识,而对其防御也是各自为战,并没有形成一个很好的防御体系。比如APT(高级持续性威胁)攻击或者“震网”病毒,这种攻击是有目的性和针对性的,只对特定的行业或者某些目标系统才具有攻击性。而目前没有方案当这些攻击事件在小范围内发生时,能够提前获得威胁情报,并在大范围内进行预警和防御。导致网络攻击的防御滞后。
针对相关技术中存在的上述问题,目前尚未发现有效的解决方案。
发明内容
本发明实施例提供了一种APT信息的确定方法及装置、存储介质、电子装置。
根据本发明的一个实施例,提供了一种APT信息的确定方法,包括:获取恶意样本;对所述恶意样本进行静态检测得到第一样本信息,以及对所述恶意样本进行动态检测得到第二样本信息;根据所述第一样本信息或所述第二样本信息确定所述恶意样本的高级持续性威胁APT信息。
可选的,对所述恶意样本进行静态检测得到第一样本信息包括:将所述恶意样本输入静态沙箱;使用所述静态沙箱采集所述恶意样本的元数据;根据所述元数据获取所述恶意样本的第一样本信息。
可选的,对所述恶意样本进行动态检测得到第二样本信息包括:将所述恶意样本输入动态沙箱;在所述动态沙箱中模拟运行所述恶意样本,并根据模型运行所述恶意样本时生成的主机行为检测所述恶意样本的第一样本信息。
可选的,获取恶意样本包括以下至少之一:从业务系统的网络流量中获取第一恶意样本;从钓鱼邮件的附件列表中获取第二恶意样本。
可选的,根据所述第一样本信息或所述第二样本信息确定所述恶意样本的高级持续性威胁APT信息包括:确定与所述第一样本信息或所述第二样本信息匹配的攻陷指标IOC信息;根据所述IOC信息查找与所述恶意样本相关的上下文;从所述上下文中解析得到所述恶意样本的家族信息和历史访问信息;将所述家族信息和所述历史访问信息确定为所述恶意样本的APT信息。
可选的,在根据所述第一样本信息或所述第二样本信息确定所述恶意样本的高级持续性威胁APT信息之后,所述方法还包括:根据所述APT信息追溯APT攻击源的身份信息。
根据本发明的另一个实施例,提供了一种APT信息的确定装置,包括:获取模块,用于获取恶意样本;监测模块,用于对所述恶意样本进行静态检测得到第一样本信息,以及对所述恶意样本进行动态检测得到第二样本信息;确定模块,用于根据所述第一样本信息或所述第二样本信息确定所述恶意样本的高级持续性威胁APT信息。
可选的,所述检测模块包括:第一输入单元,用于将所述恶意样本输入静态沙箱;采集单元,用于使用所述静态沙箱采集所述恶意样本的元数据;获取单元,用于根据所述元数据获取所述恶意样本的第一样本信息。
可选的,所述检测模块包括:第二输入单元,用于将所述恶意样本输入动态沙箱;检测单元,用于在所述动态沙箱中模拟运行所述恶意样本,并根据模型运行所述恶意样本时生成的主机行为检测所述恶意样本的第一样本信息。
可选的,所述获取模块包括以下至少之一:第一获取单元,用于从业务系统的网络流量中获取第一恶意样本;第二获取单元,用于从钓鱼邮件的附件列表中获取第二恶意样本。
可选的,所述确定模块包括:第一确定单元,用于确定与所述第一样本信息或所述第二样本信息匹配的攻陷指标IOC信息;查找单元,用于根据所述IOC信息查找与所述恶意样本相关的上下文;解析单元,用于从所述上下文中解析得到所述恶意样本的家族信息和历史访问信息;第二确定单元,用于将所述家族信息和所述历史访问信息确定为所述恶意样本的APT信息。
可选的,所述装置还包括:追溯模块,用于在所述确定模块根据所述第一样本信息或所述第二样本信息确定所述恶意样本的高级持续性威胁APT信息之后,根据所述APT信息追溯APT攻击源的身份信息。
根据本发明的又一个实施例,还提供了一种存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
根据本发明的又一个实施例,还提供了一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。
通过本发明,获取恶意样本,然后对所述恶意样本进行静态检测得到第一样本信息,以及对所述恶意样本进行动态检测得到第二样本信息,根据所述第一样本信息或所述第二样本信息确定所述恶意样本的高级持续性威胁APT信息,基于海量样本文件进行静态和动态分析,通过静态分析和动态调试技术,精准并高效的检测出恶意样本信息,降低人工分析的误判和提高效率,能够提高样本文件检测的自动化率及准确率,解决了相关技术中确定APT信息效率低下的技术问题。极大提高了运营分析人员对恶意样本的分析追踪定位能力,对安全人员追踪APT攻击者的身份信息有极大的帮助。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明实施例的一种APT信息的确定服务器的硬件结构框图;
图2是根据本发明实施例的一种APT信息的确定方法的流程图;
图3是本发明实施例完整的业务逻辑图;
图4是本发明实施例的业务流程图;
图5是根据本发明实施例的APT信息的确定装置的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例1
本申请实施例一所提供的方法实施例可以在服务器或者类似的运算装置中执行。以运行在服务器上为例,图1是本发明实施例的一种APT信息的确定服务器的硬件结构框图。如图1所示,服务器10可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,可选地,上述服务器还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述服务器的结构造成限定。例如,服务器10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本发明实施例中的一种APT信息的确定方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至服务器10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括服务器10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种APT信息的确定方法,图2是根据本发明实施例的一种APT信息的确定方法的流程图,如图2所示,该流程包括如下步骤:
步骤S202,获取恶意样本;
本实施例的恶意样本是利用网络或者硬件实体存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击的代码,软件,程序,文件等。
在获取恶意样本之后,还检测恶意样本的文件类型或运行所述恶意样本的设备类型,其中,文件类型包括公有文件,私有文件,在恶意样本为公有文件时,将恶意样本发送至公用的云端服务器,在恶意样本为私有文件时,将恶意样本发送至私有的云端服务器或本地服务器,在另一方面,在设备类型为指定环境的设备(如政府机关,金融结构等保密性较强的单位的设备)时,将恶意样本发送至私有的云端服务器或本地服务器,在设备类型为通用环境的设备时,将恶意样本发送至公用的云端服务器。其中,公用的云端服务器,私有的云端服务器或本地服务器设置有用于静态检测的静态沙箱和用于动态检测的动态沙箱。
步骤S204,对所述恶意样本进行静态检测得到第一样本信息,以及对所述恶意样本进行动态检测得到第二样本信息;
步骤S206,根据所述第一样本信息或所述第二样本信息确定所述恶意样本的高级持续性威胁APT信息。本实施例的APT信息包括APT的组织信息,成员身份信息,以及APT攻击手段,范围,时间,对象等信息。
通过上述步骤,获取恶意样本,然后对所述恶意样本进行静态检测得到第一样本信息,以及对所述恶意样本进行动态检测得到第二样本信息,根据所述第一样本信息或所述第二样本信息确定所述恶意样本的高级持续性威胁APT信息,基于海量样本文件进行静态和动态分析,通过静态分析和动态调试技术,精准并高效的检测出恶意样本信息,降低人工分析的误判和提高效率,能够提高样本文件检测的自动化率及准确率,解决了相关技术中确定APT信息效率低下的技术问题。极大提高了运营分析人员对恶意样本的分析追踪定位能力,对安全人员追踪APT攻击者的身份信息有极大的帮助。
本实施例中,恶意样本可以从多个信息源中获取,获取恶意样本包括以下至少之一:从业务系统的网络流量中获取第一恶意样本;从钓鱼邮件的附件列表中获取第二恶意样本。
在本实施例的一个实施方式中,在使用静态沙箱进行静态检测时,对所述恶意样本进行静态检测得到第一样本信息包括:
S11,将所述恶意样本输入静态沙箱;
S12,使用所述静态沙箱采集所述恶意样本的元数据;
S13,根据所述元数据获取所述恶意样本的第一样本信息。
可通过计算恶意样本的MD5值,然后检索该MD5值来获取第一样本信息并作为标签使用。通过检索恶意样本的恶意代码的字符串获得相应的功能调用解释、功能行为及模块调用,当可检索字符串非常少时,有可能被加壳处理,(其中"LoadLibrary"和"GetProcAddress"两个字符串,它们是用来加载或调用其他函数功能的),此时需要用外壳检测工具进行检测、脱壳处理。可以查看恶意样本的可疑代码的资源节来获得一部分可见的特征,如图标、菜单界面、代码版本等。
本实施例的静态检测和动态检测和可以分别单独检测,也可以在静态检测之后再进行动态检测,或者在动态检测之后再进行静态检测。
在本实施例的另一个实施方式中,在使用动态沙箱进行动态检测时,对所述恶意样本进行动态检测得到第二样本信息包括:
S21,将所述恶意样本输入动态沙箱;
S22,在所述动态沙箱中模拟运行所述恶意样本,并根据模型运行所述恶意样本时生成的主机行为检测所述恶意样本的第一样本信息。配置沙箱环境,模拟真实执行结果,动态沙箱可以为Norman沙箱、GFI沙箱、Joe沙箱等。
对在动态沙箱中运行过程的恶意样本,可以用系统监视类软件捕获其系统调用,从捕获的信息中就可以得到其对注册表,文件读写等一系列操作,便于进一步分析。也可以从本机模拟出一个虚拟的网络应答来响应恶意代码的网络访问,监控其网络动态,从而了解网络相关特性,例如:Apate Dns(检测恶意代码的域名访问)、netcat(网络监听)、wireshark嗅探器、INetSim(模拟网络服务,linux环境)。
在本实施例中,根据所述第一样本信息或所述第二样本信息确定所述恶意样本的高级持续性威胁APT信息包括:确定与所述第一样本信息或所述第二样本信息匹配的攻陷指标IOC信息;根据所述IOC信息查找与所述恶意样本相关的上下文;从所述上下文中解析得到所述恶意样本的家族信息和历史访问信息;将所述家族信息和所述历史访问信息确定为所述恶意样本的APT信息。
进一步的,在根据所述第一样本信息或所述第二样本信息确定所述恶意样本的高级持续性威胁APT信息之后,还包括:根据所述APT信息追溯APT攻击源的身份信息。
本实施例的一种基于恶意样本的APT分析方法涉及计算机信息安全领域。整理而言,通过提供一种对海量文件抽取的恶意信息,并提取相关ATP组织IOC(Indicators ofcompromise,攻陷指示器,攻陷指标或入侵指标)以及TTP(Tactics,Techniques,andProcedures,手段技术过程)信息维护(如通过对各查询的IOC指标信息特征提取,将其进行标记化,元数据抽取处理,同时提取相关APT组织信息并关联上下文信息,同时记录战术、战技等相关信息),同时对邮件样本、恶意文件样本进行元数据的抽取管理,提供恶意样本及恶意邮件信息的样本识别和结果展示。同时记录受影响用户的IP和攻击过程信息,将攻击活动及上下文信息记录在数据存储平台中,对文件样本的交互进行关联分析。通过此方法,对恶意样本进行APT团伙的攻击分析及运营,达到对攻击团伙的发现及持续追踪,该装置将样本分析和运营的效率大大提高。
在本实施例的一个完整的实施方案中,包括以下功能模块,按照时序分别为:网络采集器,静态沙箱,动态沙箱,高对抗沙箱集群,情报匹配模块,事件响应模块。
网络采集器:通过自动化方式对接样本输入,如投递邮件附件,将原始文件进行批量自动化投递,上传至沙箱接口;
静态沙箱:通过静态沙箱首先对样本文件进行静态检测,匹配恶意文件静态规则。通过提取文件元数据进行信息获取,包括文件名、文件类型、文件类型匹配度、文件大小、MD5(消息摘要算法,Message-Digest Algorithm)、SHA(Secure Hash Algorithm,安全散列算法)1、SHA256、SHA512、SSDeep等。同时通过OWL(Ontology Wed Language,网上本体语言)静态引擎规则,进行文件的检测与筛选;
动态沙箱:模拟动态执行,分析主机行为并得出网络行为及运行时截图,同时抓取网络流量及样本;
高对抗沙箱集群:存储海量数据及各检测结果信息,同时包括文件型数据存储,所有沙箱结果相关历史数据及文件型数据存储在集群中;
情报匹配模块:沙箱检测模块匹配IOC结果,关联上下文后,得到家族信息以及访问的恶意域名以及历史解析地址,能够更准确的定位到恶意样本的家族信息及APT团伙关联分析。如通过在沙箱中查询某个恶意样本,关联威胁情报信息及WHOIS(一种用来查询域名的IP以及所有者等信息的传输协议)历史信息,能够给该文件相关的所有信息;
事件响应模块:统计及处置当前分析样本的结果,同时提供案件管理及事件关联,在各引擎及检测规则的实时更新下,用于情报的二次生产。
图3是本发明实施例完整的业务逻辑图,图4是本发明实施例的业务流程图,包括:
流量采集流程,负责将收集的样本进行自动化采集和批量投递,主要为流量采集器和样本采集器;
沙箱检测流程:分为静态检测沙箱和动态检测沙箱。通过高对抗沙箱集群,采用静态OWL过滤提取引擎进行文本语义分析和筛选,其中,静态OWL规则是基于语义及文件元信息,对文本数据进行检测提取,OWL引擎会识别文件类型,根据各种文件类型抽取相应的元信息数据,比如PE(Portable Executable,即可移植的执行体)有多少个节、是否有签名、签名是什么、PDB(Program Database File,程序数据库文件)路径,投递到相应的静态和动态沙箱之中;
数据存储与响应流程:负责沙箱的APT家族信息关联及案件入库,并生产新的情报。
可选地,上述步骤的执行主体可以为连接一个或多个客户端或服务器的云端服务器或本地服务器等,客户端可以是移动终端,PC等,但不限于此。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
在本实施例中还提供了一种APT信息的确定装置,可以是服务器,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图5是根据本发明实施例的APT信息的确定装置的结构框图,可以应用在服务器中,如图5所示,该装置包括:获取模块50,检测模块52,确定模块54,其中,
获取模块50,用于获取恶意样本;
检测模块52,用于对所述恶意样本进行静态检测得到第一样本信息,以及对所述恶意样本进行动态检测得到第二样本信息;
确定模块54,用于根据所述第一样本信息或所述第二样本信息确定所述恶意样本的高级持续性威胁APT信息。
可选的,所述检测模块包括:第一输入单元,用于将所述恶意样本输入静态沙箱;采集单元,用于使用所述静态沙箱采集所述恶意样本的元数据;获取单元,用于根据所述元数据获取所述恶意样本的第一样本信息。
可选的,所述检测模块包括:第二输入单元,用于将所述恶意样本输入动态沙箱;检测单元,用于在所述动态沙箱中模拟运行所述恶意样本,并根据模型运行所述恶意样本时生成的主机行为检测所述恶意样本的第一样本信息。
可选的,所述获取模块包括以下至少之一:第一获取单元,用于从业务系统的网络流量中获取第一恶意样本;第二获取单元,用于从钓鱼邮件的附件列表中获取第二恶意样本。
可选的,所述确定模块包括:第一确定单元,用于确定与所述第一样本信息或所述第二样本信息匹配的攻陷指标IOC信息;查找单元,用于根据所述IOC信息查找与所述恶意样本相关的上下文;解析单元,用于从所述上下文中解析得到所述恶意样本的家族信息和历史访问信息;第二确定单元,用于将所述家族信息和所述历史访问信息确定为所述恶意样本的APT信息。
可选的,所述装置还包括:追溯模块,用于在所述确定模块根据所述第一样本信息或所述第二样本信息确定所述恶意样本的高级持续性威胁APT信息之后,根据所述APT信息追溯APT攻击源的身份信息。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
实施例3
本发明的实施例还提供了一种存储介质,该存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S1,获取恶意样本;
S2,对所述恶意样本进行静态检测得到第一样本信息,以及对所述恶意样本进行动态检测得到第二样本信息;
S3,根据所述第一样本信息或所述第二样本信息确定所述恶意样本的高级持续性威胁APT信息。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
本发明的实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,获取恶意样本;
S2,对所述恶意样本进行静态检测得到第一样本信息,以及对所述恶意样本进行动态检测得到第二样本信息;
S3,根据所述第一样本信息或所述第二样本信息确定所述恶意样本的高级持续性威胁APT信息。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (10)
1.一种APT信息的确定方法,其特征在于,包括:
获取恶意样本;
对所述恶意样本进行静态检测得到第一样本信息,以及对所述恶意样本进行动态检测得到第二样本信息;
根据所述第一样本信息或所述第二样本信息确定所述恶意样本的高级持续性威胁APT信息。
2.根据权利要求1述的方法,其特征在于,对所述恶意样本进行静态检测得到第一样本信息包括:
将所述恶意样本输入静态沙箱;
使用所述静态沙箱采集所述恶意样本的元数据;
根据所述元数据获取所述恶意样本的第一样本信息。
3.根据权利要求1述的方法,其特征在于,对所述恶意样本进行动态检测得到第二样本信息包括:
将所述恶意样本输入动态沙箱;
在所述动态沙箱中模拟运行所述恶意样本,并根据模型运行所述恶意样本时生成的主机行为检测所述恶意样本的第一样本信息。
4.根据权利要求1所述的方法,其特征在于,获取恶意样本包括以下至少之一:
从业务系统的网络流量中获取第一恶意样本;
从钓鱼邮件的附件列表中获取第二恶意样本。
5.根据权利要求1述的方法,其特征在于,根据所述第一样本信息或所述第二样本信息确定所述恶意样本的高级持续性威胁APT信息包括:
确定与所述第一样本信息或所述第二样本信息匹配的攻陷指标IOC信息;
根据所述IOC信息查找与所述恶意样本相关的上下文;
从所述上下文中解析得到所述恶意样本的家族信息和历史访问信息;
将所述家族信息和所述历史访问信息确定为所述恶意样本的APT信息。
6.根据权利要求1述的方法,其特征在于,在根据所述第一样本信息或所述第二样本信息确定所述恶意样本的高级持续性威胁APT信息之后,所述方法还包括:
根据所述APT信息追溯APT攻击源的身份信息。
7.一种APT信息的确定装置,其特征在于,包括:
获取模块,用于获取恶意样本;
检测模块,用于对所述恶意样本进行静态检测得到第一样本信息,以及对所述恶意样本进行动态检测得到第二样本信息;
确定模块,用于根据所述第一样本信息或所述第二样本信息确定所述恶意样本的高级持续性威胁APT信息。
8.根据权利要求7述的装置,其特征在于,所述检测模块包括:
输入单元,用于将所述恶意样本输入静态沙箱;
采集单元,用于使用所述静态沙箱采集所述恶意样本的元数据;
获取单元,用于根据所述元数据获取所述恶意样本的第一样本信息。
9.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行权利要求1至6任一项中所述的方法。
10.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至6任一项中所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910345206.0A CN110224975B (zh) | 2019-04-26 | 2019-04-26 | Apt信息的确定方法及装置、存储介质、电子装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910345206.0A CN110224975B (zh) | 2019-04-26 | 2019-04-26 | Apt信息的确定方法及装置、存储介质、电子装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110224975A true CN110224975A (zh) | 2019-09-10 |
CN110224975B CN110224975B (zh) | 2021-10-22 |
Family
ID=67819917
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910345206.0A Active CN110224975B (zh) | 2019-04-26 | 2019-04-26 | Apt信息的确定方法及装置、存储介质、电子装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110224975B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110826064A (zh) * | 2019-10-25 | 2020-02-21 | 腾讯科技(深圳)有限公司 | 一种恶意文件的处理方法、装置、电子设备以及存储介质 |
CN113987485A (zh) * | 2021-09-28 | 2022-01-28 | 奇安信科技集团股份有限公司 | 应用程序样本检测方法及装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016088937A1 (en) * | 2014-12-03 | 2016-06-09 | Korea Internet & Security Agency | Apparatus, system and method for detecting and preventing malicious scripts using code pattern-based static analysis and api flow-based dynamic analysis |
CN106778268A (zh) * | 2016-11-28 | 2017-05-31 | 广东省信息安全测评中心 | 恶意代码检测方法与系统 |
CN106921608A (zh) * | 2015-12-24 | 2017-07-04 | 华为技术有限公司 | 一种检测终端安全状况方法、装置及系统 |
CN109190657A (zh) * | 2018-07-18 | 2019-01-11 | 国家计算机网络与信息安全管理中心 | 基于数据切片及图像哈希组合的样本同源分析方法 |
-
2019
- 2019-04-26 CN CN201910345206.0A patent/CN110224975B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016088937A1 (en) * | 2014-12-03 | 2016-06-09 | Korea Internet & Security Agency | Apparatus, system and method for detecting and preventing malicious scripts using code pattern-based static analysis and api flow-based dynamic analysis |
CN106921608A (zh) * | 2015-12-24 | 2017-07-04 | 华为技术有限公司 | 一种检测终端安全状况方法、装置及系统 |
CN106778268A (zh) * | 2016-11-28 | 2017-05-31 | 广东省信息安全测评中心 | 恶意代码检测方法与系统 |
CN109190657A (zh) * | 2018-07-18 | 2019-01-11 | 国家计算机网络与信息安全管理中心 | 基于数据切片及图像哈希组合的样本同源分析方法 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110826064A (zh) * | 2019-10-25 | 2020-02-21 | 腾讯科技(深圳)有限公司 | 一种恶意文件的处理方法、装置、电子设备以及存储介质 |
CN113987485A (zh) * | 2021-09-28 | 2022-01-28 | 奇安信科技集团股份有限公司 | 应用程序样本检测方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN110224975B (zh) | 2021-10-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110198303A (zh) | 威胁情报的生成方法及装置、存储介质、电子装置 | |
CN110210213A (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
US9661003B2 (en) | System and method for forensic cyber adversary profiling, attribution and attack identification | |
CN108471429B (zh) | 一种网络攻击告警方法及系统 | |
CN110188538A (zh) | 采用沙箱集群检测数据的方法及装置 | |
US9628507B2 (en) | Advanced persistent threat (APT) detection center | |
CN110149319B (zh) | Apt组织的追踪方法及装置、存储介质、电子装置 | |
US10282542B2 (en) | Information processing apparatus, information processing method, and computer readable medium | |
CN110149318A (zh) | 邮件元数据的处理方法及装置、存储介质、电子装置 | |
CN109347827A (zh) | 网络攻击行为预测的方法、装置、设备及存储介质 | |
CN112100545A (zh) | 网络资产的可视化方法、装置、设备和可读存储介质 | |
CN112134854A (zh) | 防御攻击的方法、装置、设备、存储介质及系统 | |
CN110113350A (zh) | 一种物联网系统安全威胁监测与防御系统及方法 | |
CN113810408B (zh) | 网络攻击组织的探测方法、装置、设备及可读存储介质 | |
CN113691566A (zh) | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 | |
CN110224975A (zh) | Apt信息的确定方法及装置、存储介质、电子装置 | |
CN114465741A (zh) | 一种异常检测方法、装置、计算机设备及存储介质 | |
CN113849820A (zh) | 一种漏洞检测方法及装置 | |
CN114301659B (zh) | 网络攻击预警方法、系统、设备及存储介质 | |
CN111859374A (zh) | 社会工程学攻击事件的检测方法、装置以及系统 | |
CN110188537A (zh) | 数据的分离存储方法及装置、存储介质、电子装置 | |
CN117336033A (zh) | 流量的拦截方法、装置、存储介质及电子设备 | |
Hong et al. | Scalable command and control detection in log data through UF-ICF analysis | |
Davis | Botnet detection using correlated anomalies | |
CN104079606A (zh) | 基于gis超级云计算的网络对象与事件一体化监控方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: 100032 Building 3 332, 102, 28 Xinjiekouwai Street, Xicheng District, Beijing Applicant after: QAX Technology Group Inc. Address before: 100032 Building 3 332, 102, 28 Xinjiekouwai Street, Xicheng District, Beijing Applicant before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |