CN111447215A - 数据检测方法、装置和存储介质 - Google Patents

数据检测方法、装置和存储介质 Download PDF

Info

Publication number
CN111447215A
CN111447215A CN202010217973.6A CN202010217973A CN111447215A CN 111447215 A CN111447215 A CN 111447215A CN 202010217973 A CN202010217973 A CN 202010217973A CN 111447215 A CN111447215 A CN 111447215A
Authority
CN
China
Prior art keywords
data
type
threat intelligence
threat
detected
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010217973.6A
Other languages
English (en)
Inventor
王正
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN202010217973.6A priority Critical patent/CN111447215A/zh
Publication of CN111447215A publication Critical patent/CN111447215A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种数据检测方法、装置和存储介质。其中,方法包括:根据预设采集点从目标终端获取待检测数据;将获取的待检测数据与威胁情报库中的第一类威胁情报和第二类威胁情报进行匹配,得到匹配结果;第一类威胁情报与第二类威胁情报不同;所述第二类威胁情报是对样本数据进行逆向分析得到的;根据匹配结果,确定所述待检测数据是否存在安全威胁。采用本发明的方案,能够在待检测数据中发现更多的安全威胁,从而提高为用户终端检测安全威胁的准确性,进而提升用户体验。

Description

数据检测方法、装置和存储介质
技术领域
本发明涉及通信领域的信息安全技术,具体涉及一种数据检测方法、装置和存储介质。
背景技术
用户通过终端连接网络时,存在被黑客攻击以及误下载病毒文件的风险,这导致用户终端中可能会存在恶意程序;这些恶意程序具有很强的隐蔽性,用户终端上的安全工具很难发现这些恶意程序,使得用户终端可能存在安全威胁。
然而,相关技术中,为用户终端检测安全威胁的数据检测方法尚需优化。
发明内容
为解决相关技术问题,本发明实施例提供一种数据检测方法、装置和存储介质。
本发明实施例的技术方案是这样实现的:
本发明实施例提供了一种数据检测方法,包括:
根据预设采集点从目标终端获取待检测数据;
将获取的待检测数据与威胁情报库中的第一类威胁情报和第二类威胁情报进行匹配,得到匹配结果;第一类威胁情报与第二类威胁情报不同;所述第二类威胁情报是对样本数据进行逆向分析得到的;
根据匹配结果,确定所述待检测数据是否存在安全威胁。
上述方案中,所述将获取的待检测数据与威胁情报库中的第一类威胁情报和第二类威胁情报进行匹配,包括:
将所述待检测数据与所述威胁情报库中的第一类威胁情报进行匹配,得到第一结果;
在所述第一结果表征所述待检测数据与第一类威胁情报不匹配的情况下,将所述待检测数据与第二类威胁情报进行匹配,得到第二结果,并将所述第一结果和所述第二结果确定为所述匹配结果。
上述方案中,所述根据匹配结果,确定所述待检测数据是否存在安全威胁,包括:
在所述匹配结果表征所述待检测数据与第二类威胁情报不匹配,且所述待检测数据与第一类威胁情报中至少一个威胁情报匹配的情况下,确定所述待检测数据存在安全威胁;
在所述匹配结果表征所述待检测数据与第一类威胁情报不匹配,且所述待检测数据与第二类威胁情报中至少一个威胁情报匹配的情况下,确定所述待检测数据存在安全威胁;
在所述匹配结果表征所述待检测数据与第一类威胁情报和第二类威胁情报均不匹配的情况下,确定所述待检测数据不存在安全威胁。
上述方案中,所述方法还包括:
对样本数据进行逆向分析,得到至少一个第二类威胁情报;所述样本数据为包含恶意宏代码的开源数据;
将得到的第二类威胁情报存储至所述威胁情报库。
上述方案中,所述对样本数据进行逆向分析,包括:
根据样本数据包含的恶意宏代码,确定目标指令和/或目标代码;所述目标指令用于调用终端的有效负载;所述目标代码用于获取终端的运行环境信息;
基于预设模型,利用确定的目标指令和/或目标代码,确定至少一个第二类威胁情报。
上述方案中,所述方法还包括:
根据得到的第二类威胁情报更新预设采集点。
上述方案中,所述预设采集点,包括以下至少之一:
目标终端的系统目录文件;
目标终端的系统注册表中的自启动项;
目标终端的系统自启动目录;
目标终端的系统服务自启动项;
目标终端的系统计划任务;
目标终端的系统管理规范;
目标终端的系统进程;
目标终端的日志。
上述方案中,所述方法还包括:
基于预设周期更新样本数据;
利用更新后的样本数据更新所述威胁情报库中的第二类威胁情报。
本发明实施例还提供了一种数据检测装置,包括:
获取单元,用于根据预设采集点从目标终端获取待检测数据;
第一处理单元,用于将获取的待检测数据与威胁情报库中的第一类威胁情报和第二类威胁情报进行匹配,得到匹配结果;第一类威胁情报与第二类威胁情报不同;所述第二类威胁情报是对样本数据进行逆向分析得到的;
第二处理单元,用于根据匹配结果,确定所述待检测数据是否存在安全威胁。
本发明实施例还提供了一种数据检测装置,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器;
其中,所述处理器用于运行所述计算机程序时,执行上述任一方法的步骤。
本发明实施例还提供了一种存储介质,所述介质存储有计算机程序,所述计算机程序被处理器执行时实现上述任一方法的步骤。
本发明实施例提供的数据检测方法、装置和存储介质,根据预设采集点从目标终端获取待检测数据;将获取的待检测数据与威胁情报库中的第一类威胁情报和第二类威胁情报进行匹配,得到匹配结果;第一类威胁情报与第二类威胁情报不同;所述第二类威胁情报是对样本数据进行逆向分析得到的;根据匹配结果,确定所述待检测数据是否存在安全威胁。本发明实施例的方案,通过对样本数据进行逆向分析得到第二类威胁情报,再利用包括第一类威胁情报和第二类威胁情报的威胁情报库确定待检测数据是否存在安全威胁;如此,能够在待检测数据中发现更多的安全威胁,从而提高为用户终端检测安全威胁的准确性,进而提升用户体验。
附图说明
图1为本发明实施例数据检测方法的流程示意图;
图2为本发明实施例可疑标记示意图;
图3为本发明实施例目标指令示意图;
图4为本发明实施例目标代码示意图;
图5为相关技术中ATT&CK攻击模型的模型参数;
图6为本发明应用实施例数据检测方法的流程示意图;
图7为本发明应用实施例建立威胁情报专家库的流程示意图;
图8为本发明实施例数据检测装置的结构示意图;
图9为本发明实施例数据检测装置的硬件结构示意图。
具体实施方式
以下结合说明书附图及实施例对本发明的技术方案作进一步详细的阐述。
在对本发明实施例的技术方案进行详细说明之前,首先对相关技术中为用户终端检测安全威胁的数据检测方法存在的问题进行简单说明。
相关技术中,可以利用威胁情报关联分析系统检测用户终端是否存在安全威胁;具体地,所述威胁情报关联分析系统获取用户终端上的流量通信相关信息、域名、统一资源定位符(URL,Uniform Resource Locator)等信息,判断获取的信息是否与自身存储的威胁情报(可以包括流量通信相关信息、域名、URL等信息)匹配,在匹配的情况下,确定用户终端存在安全威胁。或者,也可以利用基于人工智能技术研发的杀毒引擎对用户终端上的可移植可执行(PE,Portable executable)文件进行检测,以判断用户终端是否存在安全威胁。
然而,上述两种方式存在以下问题:
第一,新的黑客组织在不断涌现,而新的黑客组织可能采用更加隐蔽的攻击手法;例如,新的黑客组织可能会使用一些新的流量通信相关信息、域名、URL等信息作为攻击手法;由于所述威胁情报关联分析系统无法收集全面的威胁情报并及时更新,这些新的流量通信相关信息、域名、URL等信息并未作为威胁情报存储在所述威胁情报关联分析系统中;即这些新的流量通信相关信息、域名、URL等信息对于所述威胁情报关联分析系统来说是未知的威胁情报;如果用户终端上存在所述威胁情报关联分析系统未知的威胁情报,则所述威胁情报关联分析系统无法检测到用户终端存在安全威胁,这会使得用户终端被黑客攻陷之后很长一段时间内都无法被发现。
第二,当黑客组织对用户终端进行高级可持续威胁(APT,Advanced PersistentThreat)攻击时,越来越多的黑客组织开始使用非PE文件在用户终端的内存中加载并执行恶意程序,这些携带有恶意程序的非PE文件并未存储在所述杀毒引擎中;另外,考虑到所述杀毒引擎的计算性能,所述杀毒引擎中也并未存储所有的携带有恶意程序的PE文件;这使得所述杀毒引擎无法有效地检测到全部的携带有恶意程序的文件(包括PE文件和非PE文件)。
基于此,在本发明的各种实施例中,通过对样本数据(即携带有恶意程序的PE文件数据和非PE文件数据,也可称为病毒文件数据或包含恶意宏代码的数据)进行逆向分析得到第二类威胁情报,再利用包括第一类威胁情报和第二类威胁情报的威胁情报库确定待检测数据是否存在安全威胁;如此,能够在待检测数据中发现更多的安全威胁,从而提高为用户终端检测安全威胁的准确性,进而提升用户体验。
本发明实施例提供了一种数据检测方法,如图1所示,所述方法包括以下步骤:
步骤101:根据预设采集点从目标终端获取待检测数据;
步骤102:将获取的待检测数据与威胁情报库中的第一类威胁情报和第二类威胁情报进行匹配,得到匹配结果;
这里,第一类威胁情报与第二类威胁情报不同;所述第二类威胁情报是对样本数据进行逆向分析得到的。
步骤103:根据匹配结果,确定所述待检测数据是否存在安全威胁。
在步骤101中,实际应用时,所述目标终端可以为用户终端,所述用户终端可以包括个人电脑(PC,Personal Computer)、手机等;所述PC可以包括台式电脑、笔记本电脑、平板电脑等。
实际应用时,如果黑客组织对用户终端的主机系统进行了攻击并攻击成功,用户终端的主机系统中可能会存在残留的恶意文件以及与黑客攻击相关的日志信息等数据;为了检测用户终端是否遭受到黑客组织的攻击,即检测用户终端是否存在安全威胁,需要获取用户终端存储的数据(即所述待检测数据)并对获取的待检测数据进行检测,以判断用户终端是否存在安全威胁。为了提高待检测数据的获取效率,以进一步提高安全威胁的检测效率;可以预设需要获取的待检测数据的存储路径,即预设采集点,比如系统目录文件或日志;这样,能够提高待检测数据的获取效率,进一步提高为用户终端检测安全威胁的检测效率,提升用户体验。
基于此,在一实施例中,所述预设采集点,可以包括以下至少之一:
目标终端的系统目录文件;
目标终端的系统注册表中的自启动项;
目标终端的系统自启动目录;
目标终端的系统服务自启动项;
目标终端的系统计划任务;
目标终端的系统管理规范;
目标终端的系统进程;
目标终端的日志。
相应地,所述根据预设采集点从目标终端获取待检测数据,可以包括以下至少之一:
获取目标终端的系统目录文件数据;
获取目标终端的系统注册表中的自启动项数据;
获取目标终端的系统自启动目录数据;
获取目标终端的系统服务自启动项数据;
获取目标终端的系统计划任务数据;
获取目标终端的系统管理规范数据;
获取目标终端的系统进程数据;
获取目标终端的日志数据。
实际应用时,以用户终端是主机系统为Windows系统的PC为例,所述获取目标终端的系统目录文件数据,可以包括:获取PC的主机系统相关目录(例如%temp%、%appdata%等目录)下的文件数据(例如文件名、文件类型、文件内容等数据);所述获取目标终端的系统注册表中的自启动项数据,可以包括:获取PC的主机系统注册表中常用自启动项的注册表键值数据,例如:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Run、HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsN T\CurrentVersion\Winlogon、HKEY_CURRENT_USER\SOFTWARE\Microsof t\WindowsNT\CurrentVersion\Winlogon、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run、HKEY_LOCAL_M ACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\R un等常用自启动项的注册表键值数据;这里,可以根据每个自启动项的启动时长或自启动次数是否超过预设阈值(可以由用户根据需要设置)判断相应自启动项是否为常用自启动项;所述获取目标终端的系统自启动目录文件数据,可以包括:获取PC的主机系统自启动目录文件的文件名、文件类型、文件内容等数据,例如C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup目录下各文件的文件名、文件类型、文件内容等数据;这里,“Administrator”可以替换成用户登录PC的登录名;所述获取目标终端的系统服务自启动项数据,可以包括:获取PC自启动的主机系统服务的服务名、服务描述、服务类型、服务可执行文件路径等数据;所述获取目标终端的系统计划任务数据,可以包括:获取PC的主机系统计划任务的名称、触发器、操作启动程序信息等数据;所述获取目标终端的系统管理规范数据,可以包括:获取PC的Windows管理规范(WMI,Windo ws Management Instrumentation)驻留数据;所述获取目标终端的系统进程数据,可以包括:获取PC的主机系统进程的进程名、进程可执行文件路径、进程参数、进程内存使用信息等数据;所述获取目标终端的日志数据,可以包括:获取PC的远程桌面协议(RDP,Remote Desktop Protocol)登陆日志信息(至少包含源IP地址)、主机WEB系统日志、主机软件日志信息、主机漏洞信息等数据。
实际应用时,可以通过终端安全产品利用端点检测与响应(EDR,EndpointDetection Response)服务获取用户终端的待检测数据。
在步骤102中,实际应用时,第一类威胁情报和第二类威胁情报可以是文件哈希(Hash)、域名、IP地址、URL链接、邮箱地址、程序运行路径、注册表项等用于识别和检测安全威胁的失陷标识以及相关的归属标签;所述第一类威胁情报可以是直接从开源威胁情报平台(例如BM X-Force Exchange、360Alpha威胁分析平台等)获取的威胁情报;所述第二类威胁情报是对样本数据进行逆向分析后得到的威胁情报;所述样本数据可以是开源数据。
这里,所述样本数据可以是开源数据,指所述样本数据可以是从开源威胁情报平台获取的数据;具体地,所述样本数据可以是携带有恶意程序(即恶意宏代码)的病毒文件数据,所述病毒文件数据可以是PE文件数据(例如执行文件数据、脚本文件数据等)或非PE文件数据(例如Office文件数据等)。这里,可以根据需要设置获取样本数据的获取策略,例如,所述获取策略可以包括:从开源威胁情报平台获取相应时间信息(例如文件上传时间)在预设时间范围内的样本数据;和/或,获取文件类型为预设文件类型的样本数据;和/或,获取携带有预设类型的标记(后续的描述中记作可疑标记)的样本数据。
具体地,在需要从开源威胁情报平台获取文件类型为预设文件类型的样本数据时,可以利用相应文件的文档结构判断所述相应文件是否为预设文件类型的文件,并在确定所述相应文件是预设文件类型的文件时,将所述相应文件确定为样本数据;例如,富文本格式(RTF,Rich Text Format)文件的文档结构包括:文件头和文档区,文件头和文档区由文本、控制字和控制符组成;假设预设文件类型为RTF文件,在判断相应文件是否为预设文件类型的文件时,可以判断所述相应文件的文档结构是否与RTF文件的文档结构相同,若相同,则可以将所述相应文件确定为样本数据。另外,在需要从开源威胁情报平台获取携带有可疑标记的样本数据时,以图2所示的RCF文件200为例,假设预设类型的标记为携带有“\object\”的字符串,即可疑标记为携带有“\object\”的字符串;则可以确定标记201为可疑标记,并可以将RCF文件200确定为样本数据。
实际应用时,在获取样本数据后,可以对获取的样本数据进行逆向分析,以得到第二类威胁情报;如此,能够从开源的威胁情报中提取出更高价值的威胁情报(即第二类威胁情报),从而能够在待检测数据中发现更多的安全威胁,提高为用户终端检测安全威胁的准确性,进而提升用户体验。
基于此,在一实施例中,所述方法还可以包括:
对样本数据进行逆向分析,得到至少一个第二类威胁情报;所述样本数据为包含恶意宏代码的开源数据;
将得到的第二类威胁情报存储至所述威胁情报库。
实际应用时,所述对样本数据进行逆向分析,可以是对样本数据包含的恶意宏代码进行解密,从而得到恶意宏代码中的用于调用终端的有效负载的指令和/或用于获取终端运行环境信息的代码,并利用得到的用于调用终端的有效负载的指令和/或用于获取终端运行环境信息的代码确定第二类威胁情报。
基于此,在一实施例中,所述对样本数据进行逆向分析,可以包括:
根据样本数据包含的恶意宏代码,确定目标指令和/或目标代码;所述目标指令用于调用终端的有效负载;所述目标代码用于获取终端的运行环境信息;
基于预设模型,利用确定的目标指令和/或目标代码,确定至少一个第二类威胁情报。
实际应用时,所述目标指令可以是用于调用有效负载(即payload)的WindowsPowerShell命令;所述目标代码可以是payload代码;所述终端的运行环境信息可以是终端用户的用户名、用户所在域名、终端的进程相关信息等信息;所述预设模型可以是ATT&CK(Adversarial Tactics,Techniques,and Common Knowledge)攻击模型。
实际应用时,假设样本数据为一个包含恶意宏代码的Word文件,对这个Word文件进行逆向分析的过程可以包括:首先,调用宏代码调试工具(例如Word自带的编辑器)对Word文件包含的恶意宏代码进行解密,以确定恶意宏代码中的目标指令和目标代码;这里,假设确定的目标指令为图3所示的Windows PowerShell命令:PowerShell–w 1iex(gc“C:\Users\Publi c\d0manPM.pNg”);确定的目标代码为图4所示的payload代码;利用确定的目标代码可以从内存中解密出远程服务器的URL地址。然后,可以基于图5所示的ATT&CK攻击模型的模型参数(图5为ATT&CK攻击模型的一部分模型参数),利用确定的目标指令和目标代码(也可以利用远程服务器的URL地址),确定第二类威胁情报。具体地,可以基于ATT&CK攻击模型的规则,将确定的目标代码添加到目录“C:\Users\Public”下的文件d0manPM.pNg中,将确定的目标指令设置为类标识符(CLSID,Class Identif ier)注册表项“0A6F8DFE-2F13-45A1-A3D7-71D1EBA5981C”,并将利用zipfldr.dll启动CLSID注册表项“0A6F8DFE-2F13-45A1-A3D7-71D1EBA5981C”的命令“rundll32.exe zipfldr.dll,RouteTheCallshell::{0A6F8DFE-2F13-45A1-A3D7-71D1EBA5981C}”设置为目录“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”下名称为“wlvhmNzggvi”的自启动注册表项;然后,基于ATT&CK攻击模型的模型参数,可以得到以下三个第二类威胁情报:基于ATT&CK攻击模型的执行模型参数(Execution模型参数)中的Rundll32,可以确定“rundll32.exe zipfldr.dll,Route TheCall shell::{0A6F8DFE-2F13-45A1-A3D7-71D1EBA5981C}”为一个第二类威胁情报;基于ATT&CK攻击模型的Execution模型参数的PowerS hell,可以确定“PowerShell–w 1iex(gc“C:\Users\Public\d0manPM.pNg”)”为一个第二类威胁情报;基于ATT&CK攻击模型的持久化模型参数(Pers istence模型参数)的Registry Run Keys/Start Folder,可以确定“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\wlvhmNz ggvi”为一个第二类威胁情报。这里,在确定上述三个第二类威胁情报后,可以将上述三个第二类威胁情报录入ATT&CK攻击模型中,以结合第一类威胁情报建立所述威胁情报库。
实际应用时,为了进一步提高待检测数据的获取效率,在对样本数据进行逆向分析,得到至少一个第二类威胁情报之后,可以利用得到的第二类威胁情报更新预设采集点;如此,能够进一步提高待检测数据的获取效率,并提高为用户终端检测安全威胁的检测效率,进而提升用户体验。
基于此,在一实施例中,在对样本数据进行逆向分析,得到至少一个第二类威胁情报之后,所述方法还可以包括:
根据得到的第二类威胁情报更新预设采集点。
实际应用时,为了提高所述威胁情报库的实时性和有效性,以进一步提高检测安全威胁的准确性,可以预设更新周期,基于更新周期更新样本数据,再基于更新后的样本数据更新所述威胁情报库中的第二类威胁情报;如此,能够提高所述威胁情报库的实时性和有效性,并进一步提高检测安全威胁的准确性,提升用户体验。
基于此,在一实施例中,所述方法还可以包括:
基于预设周期更新样本数据;
利用更新后的样本数据更新所述威胁情报库中的第二类威胁情报。
在步骤102中,实际应用时,在将获取的待检测数据与威胁情报库中的第一类威胁情报和第二类威胁情报进行匹配的过程中,可以不区分第一类威胁情报和第二类威胁情报,即将所述待检测数据与所述威胁情报库中的威胁情报进行匹配,在所述待检测数据与所述威胁情报库中的至少一个威胁情报(可以包括第一类威胁情报和/或第二类威胁情报)匹配的情况下,确定所述待检测数据存在安全威胁;并在所述待检测数据与所述威胁情报库中的威胁情报不匹配的情况下,确定所述待检测数据不存在安全威胁。
实际应用时,为了提高待检测数据的检测效率,即提高安全威胁的检测效率,在将获取的待检测数据与威胁情报库中的第一类威胁情报和第二类威胁情报进行匹配的过程中,可以先将所述待检测数据与第一类威胁情报进行匹配,在所述待检测数据与第一类威胁情报中至少一个威胁情报匹配的情况下,可以确定所述待检测数据存在安全威胁,不必再进行所述待检测数据与第二类威胁情报的匹配;在所述待检测数据与第一类威胁情报不匹配的情况下,再进行所述待检测数据与第二类威胁情报的匹配,并在所述待检测数据与第二类威胁情报中至少一个威胁情报匹配的情况下,确定所述待检测数据存在安全威胁;如此,能够提高待检测数据的检测效率,即提高安全威胁的检测效率,进一步提升用户体验。
基于此,在一实施例中,所述将获取的待检测数据与威胁情报库中的第一类威胁情报和第二类威胁情报进行匹配,可以包括:
将所述待检测数据与所述威胁情报库中的第一类威胁情报进行匹配,得到第一结果;
在所述第一结果表征所述待检测数据与第一类威胁情报不匹配的情况下,将所述待检测数据与第二类威胁情报进行匹配,得到第二结果,并将所述第一结果和所述第二结果确定为所述匹配结果。
实际应用时,可以利用机器学习算法(比如神经网络算法)预先训练威胁情报匹配模型,需要将获取的待检测数据与威胁情报库中的第一类威胁情报和第二类威胁情报进行匹配时,可以直接将所述待检测数据输入至所述威胁情报匹配模型,并由所述威胁情报匹配模型直接输出匹配结果。
相应地,在步骤103中,实际应用时,在所述匹配结果表征所述待检测数据与第二类威胁情报不匹配,且所述待检测数据与第一类威胁情报中至少一个威胁情报匹配的情况下,可以确定所述待检测数据存在安全威胁;或者,在所述匹配结果表征所述待检测数据与第一类威胁情报不匹配,且所述待检测数据与第二类威胁情报中至少一个威胁情报匹配的情况下,可以确定所述待检测数据存在安全威胁。当然,在所述匹配结果表征所述待检测数据与第一类威胁情报不匹配,且所述待检测数据与第二类威胁情报也不匹配的情况下,可以确定所述待检测数据不存在安全威胁。
基于此,在一实施例中,所述根据匹配结果,确定所述待检测数据是否存在安全威胁,可以包括:
在所述匹配结果表征所述待检测数据与第二类威胁情报不匹配,且所述待检测数据与第一类威胁情报中至少一个威胁情报匹配的情况下,确定所述待检测数据存在安全威胁。;
在所述匹配结果表征所述待检测数据与第一类威胁情报不匹配,且所述待检测数据与第二类威胁情报中至少一个威胁情报匹配的情况下,确定所述待检测数据存在安全威胁;
在所述匹配结果表征所述待检测数据与第一类威胁情报和第二类威胁情报均不匹配的情况下,确定所述待检测数据不存在安全威胁。
本发明实施例提供的数据检测方法,根据预设采集点从目标终端获取待检测数据;将获取的待检测数据与威胁情报库中的第一类威胁情报和第二类威胁情报进行匹配,得到匹配结果;第一类威胁情报与第二类威胁情报不同;所述第二类威胁情报是对样本数据进行逆向分析得到的;根据匹配结果,确定所述待检测数据是否存在安全威胁;如此,能够在待检测数据中发现更多的安全威胁,从而提高为用户终端检测安全威胁的准确性,进而提升用户体验。
下面结合应用实施例对本发明再作进一步详细的描述。
如图6所示,本应用实施例提供的数据检测方法,包括以下步骤:
步骤601:基于终端安全数据采集点采集终端的安全数据(即上述待检测数据);之后执行步骤602。
具体地,终端安全数据采集点为安全专家对最新的一些恶意样本(比如恶意软件)进行跟踪分析后提取出的相应的攻击手法系统驻留方式以及恶意软件系统驻留方式,将这些提取的驻留方式作为采集终端的安全数据的采集点,可以更有效地确定终端是否存在安全威胁。实际应用时,所述终端安全数据采集点可以包括终端主机系统相关目录、终端主机系统注册表的常用自启动项、终端主机系统自启动目录、终端主机系统服务自启动项、终端主机系统计划任务、终端主机系统WMI、终端主机系统进程以及终端主机日志等。
这里,步骤601的具体实现过程与图1所示的数据检测方法中步骤101的具体实现过程相同,这里不多赘述。
步骤602:利用威胁情报专家库(即上述威胁情报库)检测采集的安全数据是否存在安全威胁。
这里,步骤602的具体实现过程与图1所示的数据检测方法中步骤102至步骤103的具体实现过程相同,这里不多赘述。
实际应用时,在利用威胁情报专家库检测采集的安全数据是否存在安全威胁之前,需要建立威胁情报专家库;在本应用实施例中,如图7所示,建立威胁情报专家库可以包括以下步骤:
步骤701:从开源威胁情报平台获取样本数据;之后执行步骤702。
具体地,可以通过开源威胁情报平台中各个文件的文档格式,提取出需要的样本数据(可以包含Office类型、可执行文件类型、脚本类型的样本数据);所述需要的样本数据可以是最新的样本数据,最新的样本数据指相关日期在预设日期后的样本数据。
步骤702:利用ATT&CK攻击模型,提取获取的样本数据中的威胁情报数据;之后执行步骤703。
步骤703:利用提取的威胁情报数据,建立威胁情报专家库。
这里,步骤701至步骤703的具体实现过程与图1所示的数据检测方法中威胁情报库的建立过程相同,这里不多赘述。
本应用实施例提供的数据检测方法,具备以下优点:
第一,由于终端安全数据采集点是安全专家在分析过大量的恶意样本后总结得到的,具有很强的针对性,所以通过终端安全数据采集点采集终端的安全数据,能够更有效地识别出终端可能存在的安全威胁。
第二,利用从开源威胁情报平台获取的最新的样本数据提取出威胁情报,再利用提取的威胁情报建立威胁情报专家库,利用所述威胁情报专家库对终端的安全数据进行检测;如此,能够在终端的安全数据中发现更多的安全威胁,提高检测安全威胁的准确性,进一步提升用户体验。
为了实现本发明实施例的方法,本发明实施例还提供了一种数据检测装置;如图8所示,数据检测装置800包括获取单元801、第一处理单元802和第二处理单元803;其中,
所述获取单元801,用于根据预设采集点从目标终端获取待检测数据;
所述第一处理单元802,用于将获取的待检测数据与威胁情报库中的第一类威胁情报和第二类威胁情报进行匹配,得到匹配结果;第一类威胁情报与第二类威胁情报不同;所述第二类威胁情报是对样本数据进行逆向分析得到的;
所述第二处理单元803,用于根据匹配结果,确定所述待检测数据是否存在安全威胁。
在一实施例中,所述第一处理单元802,具体用于:
将所述待检测数据与所述威胁情报库中的第一类威胁情报进行匹配,得到第一结果;
在所述第一结果表征所述待检测数据与第一类威胁情报不匹配的情况下,将所述待检测数据与第二类威胁情报进行匹配,得到第二结果,并将所述第一结果和所述第二结果确定为所述匹配结果。
在一实施例中,所述第二处理单元803,具体用于:
在所述匹配结果表征所述待检测数据与第二类威胁情报不匹配,且所述待检测数据与第一类威胁情报中至少一个威胁情报匹配的情况下,确定所述待检测数据存在安全威胁;
在所述匹配结果表征所述待检测数据与第一类威胁情报不匹配,且所述待检测数据与第二类威胁情报中至少一个威胁情报匹配的情况下,确定所述待检测数据存在安全威胁;
在所述匹配结果表征所述待检测数据与第一类威胁情报和第二类威胁情报均不匹配的情况下,确定所述待检测数据不存在安全威胁。
在一实施例中,所述数据检测装置800,还包括第三处理单元和第四处理单元;其中,
所述第三处理单元,用于对样本数据进行逆向分析,得到至少一个第二类威胁情报;所述样本数据为包含恶意宏代码的开源数据;
所述第四处理单元,用于将得到的第二类威胁情报存储至所述威胁情报库。
在一实施例中,所述第三处理单元,具体用于:
根据样本数据包含的恶意宏代码,确定目标指令和/或目标代码;所述目标指令用于调用终端的有效负载;所述目标代码用于获取终端的运行环境信息;
基于预设模型,利用确定的目标指令和/或目标代码,确定至少一个第二类威胁情报。
在一实施例中,所述第三处理单元,还用于根据得到的第二类威胁情报更新预设采集点。
在一实施例中,所述预设采集点,包括以下至少之一:
目标终端的系统目录文件;
目标终端的系统注册表中的自启动项;
目标终端的系统自启动目录;
目标终端的系统服务自启动项;
目标终端的系统计划任务;
目标终端的系统管理规范;
目标终端的系统进程;
目标终端的日志。
在一实施例中,所述数据检测装置800,还包括第五处理单元和第六处理单元;其中,
所述第五处理单元,用于基于预设周期更新样本数据;
所述第六处理单元,用于利用更新后的样本数据更新所述威胁情报库中的第二类威胁情报。
实际应用时,所述获取单元801、所述第一处理单元802、所述第二处理单元803、所述第三处理单元、所述第四处理单元、所述第五处理单元和所述第六处理单元可由数据检测装置800中的处理器结合通信接口实现。
需要说明的是:上述实施例提供的数据检测装置800在进行数据检测时,仅以上述各程序模块的划分进行举例说明,实际应用时,可以根据需要而将上述处理分配由不同的程序模块完成,即将终端的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的数据检测装置800与数据检测方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
基于上述程序模块的硬件实现,且为了实现本发明实施例的方法,本发明实施例还提供了一种数据检测装置,如图9所示,所述数据检测装置90包括:
通信接口91,能够与其它设备(比如网络设备、终端等)进行信息交互;
处理器92,与所述通信接口91连接,以实现与其它设备进行信息交互,用于运行计算机程序时,执行上述一个或多个技术方案提供的方法;
存储器93,用于存储能够在所述处理器92上运行的计算机程序。
具体地,所述处理器92用于执行以下操作:
根据预设采集点从目标终端获取待检测数据;
将获取的待检测数据与威胁情报库中的第一类威胁情报和第二类威胁情报进行匹配,得到匹配结果;第一类威胁情报与第二类威胁情报不同;所述第二类威胁情报是对样本数据进行逆向分析得到的;
根据匹配结果,确定所述待检测数据是否存在安全威胁。
在一实施例中,所述处理器92,还用于执行以下操作:
将所述待检测数据与所述威胁情报库中的第一类威胁情报进行匹配,得到第一结果;
在所述第一结果表征所述待检测数据与第一类威胁情报不匹配的情况下,将所述待检测数据与第二类威胁情报进行匹配,得到第二结果,并将所述第一结果和所述第二结果确定为所述匹配结果。
在一实施例中,所述处理器92,还用于执行以下操作:
在所述匹配结果表征所述待检测数据与第二类威胁情报不匹配,且所述待检测数据与第一类威胁情报中至少一个威胁情报匹配的情况下,确定所述待检测数据存在安全威胁;
在所述匹配结果表征所述待检测数据与第一类威胁情报不匹配,且所述待检测数据与第二类威胁情报中至少一个威胁情报匹配的情况下,确定所述待检测数据存在安全威胁;
在所述匹配结果表征所述待检测数据与第一类威胁情报和第二类威胁情报均不匹配的情况下,确定所述待检测数据不存在安全威胁。
在一实施例中,所述处理器92,还用于执行以下操作:
对样本数据进行逆向分析,得到至少一个第二类威胁情报;所述样本数据为包含恶意宏代码的开源数据;
将得到的第二类威胁情报存储至所述威胁情报库。
在一实施例中,所述处理器92,还用于执行以下操作:
根据样本数据包含的恶意宏代码,确定目标指令和/或目标代码;所述目标指令用于调用终端的有效负载;所述目标代码用于获取终端的运行环境信息;
基于预设模型,利用确定的目标指令和/或目标代码,确定至少一个第二类威胁情报。
在一实施例中,所述处理器92,还用于根据得到的第二类威胁情报更新预设采集点。
在一实施例中,所述处理器92,还用于执行以下操作中的至少一种操作:
获取目标终端的系统目录文件数据;
获取目标终端的系统注册表中的自启动项数据;
获取目标终端的系统自启动目录数据;
获取目标终端的系统服务自启动项数据;
获取目标终端的系统计划任务数据;
获取目标终端的系统管理规范数据;
获取目标终端的系统进程数据;
获取目标终端的日志数据。
在一实施例中,所述处理器92,还用于执行以下操作:
基于预设周期更新样本数据;
利用更新后的样本数据更新所述威胁情报库中的第二类威胁情报。
需要说明的是:所述处理器92具体执行上述操作的过程详见方法实施例,这里不再赘述。
当然,实际应用时,数据检测装置90中的各个组件通过总线系统94耦合在一起。可理解,总线系统94用于实现这些组件之间的连接通信。总线系统94除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图9中将各种总线都标为总线系统94。
本发明实施例中的存储器93用于存储各种类型的数据以支持数据检测装置90的操作。这些数据的示例包括:用于在数据检测装置90上操作的任何计算机程序。
上述本发明实施例揭示的方法可以应用于处理器92中,或者由处理器92实现。处理器92可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器92中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器92可以是通用处理器、数字信号处理器(DSP,Digital Signal Processor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器92可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器93,处理器92读取存储器93中的信息,结合其硬件完成前述方法的步骤。
在示例性实施例中,数据检测装置90可以被一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,ProgrammableLogic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、现场可编程门阵列(FPGA,Field-Programmable Gate Array)、通用处理器、控制器、微控制器(MCU,Micro Controller Unit)、微处理器(Microprocessor)、或者其他电子元件实现,用于执行前述方法。
可以理解,本发明实施例的存储器(存储器93)可以是易失性存储器或者非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(FlashMemory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random Access Memory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,Synchronous Dynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random AccessMemory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random AccessMemory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本发明实施例描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
在示例性实施例中,本发明实施例还提供了一种存储介质,即计算机存储介质,具体为计算机可读存储介质,例如包括存储计算机程序的存储器93,上述计算机程序可由数据检测装置90的处理器92执行,以完成前述方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。
需要说明的是:“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
另外,本发明实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。

Claims (11)

1.一种数据检测方法,其特征在于,包括:
根据预设采集点从目标终端获取待检测数据;
将获取的待检测数据与威胁情报库中的第一类威胁情报和第二类威胁情报进行匹配,得到匹配结果;第一类威胁情报与第二类威胁情报不同;所述第二类威胁情报是对样本数据进行逆向分析得到的;
根据匹配结果,确定所述待检测数据是否存在安全威胁。
2.根据权利要求1所述的方法,其特征在于,所述将获取的待检测数据与威胁情报库中的第一类威胁情报和第二类威胁情报进行匹配,包括:
将所述待检测数据与所述威胁情报库中的第一类威胁情报进行匹配,得到第一结果;
在所述第一结果表征所述待检测数据与第一类威胁情报不匹配的情况下,将所述待检测数据与第二类威胁情报进行匹配,得到第二结果,并将所述第一结果和所述第二结果确定为所述匹配结果。
3.根据权利要求1所述的方法,其特征在于,所述根据匹配结果,确定所述待检测数据是否存在安全威胁,包括:
在所述匹配结果表征所述待检测数据与第二类威胁情报不匹配,且所述待检测数据与第一类威胁情报中至少一个威胁情报匹配的情况下,确定所述待检测数据存在安全威胁;
在所述匹配结果表征所述待检测数据与第一类威胁情报不匹配,且所述待检测数据与第二类威胁情报中至少一个威胁情报匹配的情况下,确定所述待检测数据存在安全威胁;
在所述匹配结果表征所述待检测数据与第一类威胁情报和第二类威胁情报均不匹配的情况下,确定所述待检测数据不存在安全威胁。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
对样本数据进行逆向分析,得到至少一个第二类威胁情报;所述样本数据为包含恶意宏代码的开源数据;
将得到的第二类威胁情报存储至所述威胁情报库。
5.根据权利要求4所述的方法,其特征在于,所述对样本数据进行逆向分析,包括:
根据样本数据包含的恶意宏代码,确定目标指令和/或目标代码;所述目标指令用于调用终端的有效负载;所述目标代码用于获取终端的运行环境信息;
基于预设模型,利用确定的目标指令和/或目标代码,确定至少一个第二类威胁情报。
6.根据权利要求4所述的方法,其特征在于,所述方法还包括:
根据得到的第二类威胁情报更新预设采集点。
7.根据权利要求1所述的方法,其特征在于,所述预设采集点,包括以下至少之一:
目标终端的系统目录文件;
目标终端的系统注册表中的自启动项;
目标终端的系统自启动目录;
目标终端的系统服务自启动项;
目标终端的系统计划任务;
目标终端的系统管理规范;
目标终端的系统进程;
目标终端的日志。
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
基于预设周期更新样本数据;
利用更新后的样本数据更新所述威胁情报库中的第二类威胁情报。
9.一种数据检测装置,其特征在于,包括:
获取单元,用于根据预设采集点从目标终端获取待检测数据;
第一处理单元,用于将获取的待检测数据与威胁情报库中的第一类威胁情报和第二类威胁情报进行匹配,得到匹配结果;第一类威胁情报与第二类威胁情报不同;所述第二类威胁情报是对样本数据进行逆向分析得到的;
第二处理单元,用于根据匹配结果,确定所述待检测数据是否存在安全威胁。
10.一种数据检测装置,其特征在于,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器;
其中,所述处理器用于运行所述计算机程序时,执行权利要求1至8任一项所述方法的步骤。
11.一种存储介质,所述介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至8任一项所述方法的步骤。
CN202010217973.6A 2020-03-25 2020-03-25 数据检测方法、装置和存储介质 Pending CN111447215A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010217973.6A CN111447215A (zh) 2020-03-25 2020-03-25 数据检测方法、装置和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010217973.6A CN111447215A (zh) 2020-03-25 2020-03-25 数据检测方法、装置和存储介质

Publications (1)

Publication Number Publication Date
CN111447215A true CN111447215A (zh) 2020-07-24

Family

ID=71652451

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010217973.6A Pending CN111447215A (zh) 2020-03-25 2020-03-25 数据检测方法、装置和存储介质

Country Status (1)

Country Link
CN (1) CN111447215A (zh)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112104508A (zh) * 2020-09-23 2020-12-18 沈阳奥普泰光通信有限公司 网络数据采集设备的故障智能监测及自修复方法、存储介质和计算机设备
CN112749390A (zh) * 2020-12-28 2021-05-04 深信服科技股份有限公司 一种病毒检测方法、装置、设备及计算机可读存储介质
CN112769821A (zh) * 2021-01-07 2021-05-07 中国电子科技集团公司第十五研究所 一种基于威胁情报和att&ck的威胁响应方法及装置
CN113032784A (zh) * 2021-03-26 2021-06-25 哈尔滨安天科技集团股份有限公司 一种威胁处置方法、威胁处置工具和计算机可读介质
CN113242258A (zh) * 2021-05-27 2021-08-10 安天科技集团股份有限公司 一种主机集群的威胁检测方法和装置
CN113472788A (zh) * 2021-06-30 2021-10-01 深信服科技股份有限公司 一种威胁感知方法、系统、设备及计算机可读存储介质
CN113992371A (zh) * 2021-10-18 2022-01-28 安天科技集团股份有限公司 一种流量日志的威胁标签生成方法、装置及电子设备
CN114020366A (zh) * 2022-01-06 2022-02-08 北京微步在线科技有限公司 一种基于威胁情报的远控类木马卸载方法及装置
CN114268484A (zh) * 2021-12-17 2022-04-01 北京天融信网络安全技术有限公司 恶意加密流量检测方法、装置、电子设备及存储介质
CN114584351A (zh) * 2022-02-21 2022-06-03 北京恒安嘉新安全技术有限公司 一种监控方法、装置、电子设备以及存储介质
CN116668106A (zh) * 2023-05-22 2023-08-29 山东鼎夏智能科技有限公司 一种威胁情报处理系统以及方法

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106778268A (zh) * 2016-11-28 2017-05-31 广东省信息安全测评中心 恶意代码检测方法与系统
CN107819783A (zh) * 2017-11-27 2018-03-20 深信服科技股份有限公司 一种基于威胁情报的网络安全检测方法及系统
CN110177114A (zh) * 2019-06-06 2019-08-27 腾讯科技(深圳)有限公司 网络安全威胁指标识别方法、设备、装置以及计算机可读存储介质
CN110210213A (zh) * 2019-04-26 2019-09-06 北京奇安信科技有限公司 过滤恶意样本的方法及装置、存储介质、电子装置
CN110362996A (zh) * 2019-06-03 2019-10-22 中国科学院信息工程研究所 一种离线检测PowerShell恶意软件的方法与系统
CN110430190A (zh) * 2019-08-05 2019-11-08 北京经纬信安科技有限公司 基于att&ck的欺骗性防御系统、构建方法及全链路防御实现方法
CN110691080A (zh) * 2019-09-25 2020-01-14 光通天下网络科技股份有限公司 自动溯源方法、装置、设备及介质
CN110826064A (zh) * 2019-10-25 2020-02-21 腾讯科技(深圳)有限公司 一种恶意文件的处理方法、装置、电子设备以及存储介质
CN110837640A (zh) * 2019-11-08 2020-02-25 深信服科技股份有限公司 恶意文件的查杀方法、查杀设备、存储介质及装置

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106778268A (zh) * 2016-11-28 2017-05-31 广东省信息安全测评中心 恶意代码检测方法与系统
CN107819783A (zh) * 2017-11-27 2018-03-20 深信服科技股份有限公司 一种基于威胁情报的网络安全检测方法及系统
CN110210213A (zh) * 2019-04-26 2019-09-06 北京奇安信科技有限公司 过滤恶意样本的方法及装置、存储介质、电子装置
CN110362996A (zh) * 2019-06-03 2019-10-22 中国科学院信息工程研究所 一种离线检测PowerShell恶意软件的方法与系统
CN110177114A (zh) * 2019-06-06 2019-08-27 腾讯科技(深圳)有限公司 网络安全威胁指标识别方法、设备、装置以及计算机可读存储介质
CN110430190A (zh) * 2019-08-05 2019-11-08 北京经纬信安科技有限公司 基于att&ck的欺骗性防御系统、构建方法及全链路防御实现方法
CN110691080A (zh) * 2019-09-25 2020-01-14 光通天下网络科技股份有限公司 自动溯源方法、装置、设备及介质
CN110826064A (zh) * 2019-10-25 2020-02-21 腾讯科技(深圳)有限公司 一种恶意文件的处理方法、装置、电子设备以及存储介质
CN110837640A (zh) * 2019-11-08 2020-02-25 深信服科技股份有限公司 恶意文件的查杀方法、查杀设备、存储介质及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
孙炳林等: "一种基于Native层的Android恶意代码检测机制", 《计算机与现代化》 *
苏旭霞等: "基于移动代理技术的系统安全性研究", 《电脑知识与技术》 *

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112104508A (zh) * 2020-09-23 2020-12-18 沈阳奥普泰光通信有限公司 网络数据采集设备的故障智能监测及自修复方法、存储介质和计算机设备
CN112104508B (zh) * 2020-09-23 2023-04-18 辽宁奥普泰通信股份有限公司 网络数据采集设备的故障智能监测及自修复方法、存储介质和计算机设备
CN112749390A (zh) * 2020-12-28 2021-05-04 深信服科技股份有限公司 一种病毒检测方法、装置、设备及计算机可读存储介质
CN112769821A (zh) * 2021-01-07 2021-05-07 中国电子科技集团公司第十五研究所 一种基于威胁情报和att&ck的威胁响应方法及装置
CN113032784A (zh) * 2021-03-26 2021-06-25 哈尔滨安天科技集团股份有限公司 一种威胁处置方法、威胁处置工具和计算机可读介质
CN113242258A (zh) * 2021-05-27 2021-08-10 安天科技集团股份有限公司 一种主机集群的威胁检测方法和装置
CN113242258B (zh) * 2021-05-27 2023-11-14 安天科技集团股份有限公司 一种主机集群的威胁检测方法和装置
CN113472788A (zh) * 2021-06-30 2021-10-01 深信服科技股份有限公司 一种威胁感知方法、系统、设备及计算机可读存储介质
CN113472788B (zh) * 2021-06-30 2023-09-08 深信服科技股份有限公司 一种威胁感知方法、系统、设备及计算机可读存储介质
CN113992371B (zh) * 2021-10-18 2023-08-18 安天科技集团股份有限公司 一种流量日志的威胁标签生成方法、装置及电子设备
CN113992371A (zh) * 2021-10-18 2022-01-28 安天科技集团股份有限公司 一种流量日志的威胁标签生成方法、装置及电子设备
CN114268484A (zh) * 2021-12-17 2022-04-01 北京天融信网络安全技术有限公司 恶意加密流量检测方法、装置、电子设备及存储介质
CN114020366A (zh) * 2022-01-06 2022-02-08 北京微步在线科技有限公司 一种基于威胁情报的远控类木马卸载方法及装置
CN114584351A (zh) * 2022-02-21 2022-06-03 北京恒安嘉新安全技术有限公司 一种监控方法、装置、电子设备以及存储介质
CN116668106A (zh) * 2023-05-22 2023-08-29 山东鼎夏智能科技有限公司 一种威胁情报处理系统以及方法
CN116668106B (zh) * 2023-05-22 2024-01-09 山东鼎夏智能科技有限公司 一种威胁情报处理系统以及方法

Similar Documents

Publication Publication Date Title
CN111447215A (zh) 数据检测方法、装置和存储介质
US10114946B2 (en) Method and device for detecting malicious code in an intelligent terminal
CN109743315B (zh) 针对网站的行为识别方法、装置、设备及可读存储介质
US10102372B2 (en) Behavior profiling for malware detection
US8850585B2 (en) Systems and methods for automated malware artifact retrieval and analysis
US9300682B2 (en) Composite analysis of executable content across enterprise network
CN110401614B (zh) 恶意域名的溯源方法及装置
US11356467B2 (en) Log analysis device, log analysis method, and log analysis program
JP2014038596A (ja) 悪意ある実行ファイルの識別方法
JP2021523434A (ja) マルウェア検出
EP3547121B1 (en) Combining device, combining method and combining program
CN110417718B (zh) 处理网站中的风险数据的方法、装置、设备及存储介质
US11270001B2 (en) Classification apparatus, classification method, and classification program
CN113014549B (zh) 基于http的恶意流量分类方法及相关设备
CN113486350B (zh) 恶意软件的识别方法、装置、设备及存储介质
CN113496033A (zh) 访问行为识别方法和装置及存储介质
CN111563015A (zh) 数据监控方法及装置、计算机可读介质及终端设备
JP5478390B2 (ja) ログ抽出システムおよびプログラム
CN114462044A (zh) 一种基于污点分析的uefi固件漏洞静态检测方法及装置
CN113472803A (zh) 漏洞攻击状态检测方法、装置、计算机设备和存储介质
CN113497786A (zh) 一种取证溯源方法、装置以及存储介质
EP3312755B1 (en) Method and apparatus for detecting application
CN107231364B (zh) 一种网站漏洞检测方法及装置、计算机装置及存储介质
JP5478384B2 (ja) アプリケーション判定システムおよびプログラム
CN113536300A (zh) 一种pdf文件信任过滤及分析方法、装置、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20200724