CN112084504A - 病毒文件的处理方法、装置、电子设备及可读存储介质 - Google Patents

病毒文件的处理方法、装置、电子设备及可读存储介质 Download PDF

Info

Publication number
CN112084504A
CN112084504A CN202010996759.5A CN202010996759A CN112084504A CN 112084504 A CN112084504 A CN 112084504A CN 202010996759 A CN202010996759 A CN 202010996759A CN 112084504 A CN112084504 A CN 112084504A
Authority
CN
China
Prior art keywords
virus
ttps
rule
family
sample
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010996759.5A
Other languages
English (en)
Inventor
刘涛
曹有理
沈江波
程虎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN202010996759.5A priority Critical patent/CN112084504A/zh
Publication of CN112084504A publication Critical patent/CN112084504A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/561Virus type analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本申请实施例提供了一种病毒文件的处理方法、装置、电子设备及可读存储介质。该方法可以应用在安全防护技术领域,该方法包括:基于待处理病毒文件的行为日志数据,确定待处理病毒文件的病毒行为特征;将病毒行为特征与各样本TTPS规则进行匹配,确定病毒行为特征所命中的各目标TTPS规则,并与各病毒家族的家族TTPS规则匹配,确定待处理病毒文件所属的病毒家族;展示包括待处理病毒所属的病毒家族的处理结果。在本申请实施例中,由于各病毒家族的家族TTPS规则能稳定体现病毒家族的行为特征,进而以病毒家族的家族TTPS规则作为匹配基础数据,可以有效的提升病毒家族结果的准确性。

Description

病毒文件的处理方法、装置、电子设备及可读存储介质
技术领域
本申请涉及安全防护技术领域,具体而言,本申请涉及一种病毒文件的处理方法、装置、电子设备及可读存储介质。
背景技术
在人们的生产、生活的中,计算机中的病毒已成为影响计算机使用效果和效率的重要因素,快速准确地判定出病毒所属于的病毒家族对计算机病毒进行防治有着至关重要的作用。目前,在判定病毒所属于的病毒家族时所采用的方法为基于关系数据判定病毒所属于的病毒家族,该方法通过节点之间的关联关系发现属于同一类别的病毒,例如,若多个病毒访问共同的IP(Internet Protocol,网络协议)或域名,则认为该多个病毒属于同一个病毒家族。但是,这种方式很容易产生干扰数据,例如浏览器访问某个病毒的域名时,也会将浏览器程序划分为某个病毒家族,导致最终得到的判定结果不准确。
发明内容
本申请的目的旨在至少能解决上述的技术缺陷之一,特别是病毒家族判定结果不准确的技术缺陷。
一方面,本申请实施例提供了一种病毒文件的处理方法,该方法包括:
基于行为日志数据,确定待处理病毒文件的病毒行为特征;
将病毒行为特征与病毒文件的各样本TTPS(Tactics,Techniques、Procedures,战术、技术、攻击过程)规则进行匹配,确定病毒行为特征所命中的各目标TTPS规则,其中,对于任一样本TTPS规则,该样本TTPS规则表征了病毒文件的病毒行为特征;
将各目标TTPS规则与各病毒家族的家族TTPS规则匹配,若各目标TTPS规则命中一病毒家族的任一家族TTPS规则,则将所命中的家族TTPS规则所对应的病毒家族,确定为待处理病毒文件所属的病毒家族;
展示待处理病毒文件的处理结果,处理结果包括待处理病毒文件所属的病毒家族。
另一方面,本申请实施例提供了一种病毒文件的处理装置,该装置包括:
数据获取模块,用于获取待处理病毒文件的行为日志数据;
行为特征确定模块,用于基于行为日志数据,确定待处理病毒文件的病毒行为特征;
规则匹配模块,用于将病毒行为特征与病毒文件的各样本TTPS规则进行匹配,确定病毒行为特征所命中的各目标TTPS规则,其中,对于任一样本TTPS规则,该样本TTPS规则表征了病毒文件的病毒行为特征;
病毒家族确定模块,用于将各目标TTPS规则与各病毒家族的家族TTPS规则匹配,若各目标TTPS规则命中一病毒家族的任一家族TTPS规则,则将所命中的家族TTPS规则所对应的病毒家族,确定为待处理病毒文件所属的病毒家族;
结果展示模块,用于展示待处理病毒文件的处理结果,处理结果包括待处理病毒文件所属的病毒家族。
又一方面,本申请实施例提供了一种电子设备,包括处理器以及存储器:所述存储器被配置用于存储计算机程序,该计算机程序在由处理器执行时,使得处理器执行上述病毒文件的处理方法中的任一项方法。
再一方面,本申请实施例提供了一种计算机可读存储介质,该计算机可读存储介质用于存储计算机程序,当该计算机程序在计算机上运行时,使得计算机可以执行上述病毒文件的处理方法中的任一项方法。
本申请实施例提供的技术方案带来的有益效果是:
在本申请实施例中,由于TTPS规则是对病毒文件的攻击方式所对应的行为总结提取得到的,此时TTPS规则表征了病毒文件的病毒行为特征,因此在确定待处理病毒文件所属的病毒家族时可以先基于处理病毒文件的行为日志数据,得到待处理病毒文件命中的各目标TTPS规则,并且由于各病毒家族的家族TTPS规则能稳定体现病毒家族的行为特征,因此可以将各目标TTPS规则与各病毒家族的家族TTPS规则进行匹配,基于匹配结果确定待处理病毒文件所属的病毒家族,由于在这过程中是以能稳定体现病毒家族的行为特征的家族TTPS规则作为匹配基础数据,进而可以有效的提升病毒家族结果的准确度。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对本申请实施例描述中所需要使用的附图作简单地介绍。
图1为本申请实施例提供的一种病毒文件的处理方法的流程示意图;
图2为本申请实施例提供的一种病毒文件的处理方法所适用的系统结构示意图;
图3为本申请实施例提供的又一种病毒文件的处理方法的流程示意图;
图4为本申请实施例提供的再一种病毒文件的处理方法的示意图;
图5为本申请实施例提供的一种病毒文件的处理装置的结构示意图;
图6为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
下面详细描述本申请的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本申请,而不能解释为对本申请的限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本申请的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
云安全(Cloud Security)是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,并发送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
云安全主要研究方向包括:1.云计算安全,主要研究如何保障云自身及云上各种应用的安全,包括云计算机系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等;2.安全基础设施的云化,主要研究如何采用云计算新建与整合安全基础设施资源,优化安全防护机制,包括通过云计算技术构建超大规模安全事件、信息采集与处理平台,实现对海量信息的采集与关联分析,提升全网安全事件把控能力及风险控制能力;3.云安全服务,主要研究各种基于云计算平台为用户提供的安全服务,如防病毒服务等。
本申请实施例中,可以基于服务器采用云计算的方式将获取的待处理病毒文件的行为日志数据与各病毒文件TTPS规则进行匹配,确定待处理病毒文件命中的各目标TTPS规则,然后将各目标TTPS规则与各病毒家族的家族TTPS规则进行匹配,确定得到待处理病毒文件所属的病毒家族。
其中,云计算(cloud computing)指IT基础设施的交付和使用模式,指通过网络以按需、易扩展的方式获得所需资源;广义云计算指服务的交付和使用模式,指通过网络以按需、易扩展的方式获得所需服务。这种服务可以是IT和软件、互联网相关,也可是其他服务。云计算是网格计算(Grid Computing)、分布式计算(DistributedComputing)、并行计算(Parallel Computing)、效用计算(Utility Computing)、网络存储(Network StorageTechnologies)、虚拟化(Virtualization)、负载均衡(Load Balance)等传统计算机和网络技术发展融合的产物。
随着互联网、实时数据流、连接设备多样化的发展,以及搜索服务、社会网络、移动商务和开放协作等需求的推动,云计算迅速发展起来。不同于以往的并行分布式计算,云计算的产生从理念上将推动整个互联网模式、企业管理模式发生革命性的变革。
下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。
首先对本申请涉及的几个名词进行介绍和解释:
病毒家族:现存的病毒是由不同的开发人员开发出来的,所以在代码风格、行为特征上必然存在着诸多差异,根据这些特点,可以将各病毒划分为不同的病毒家族。
Md5(Message Digest Algorithm,消息摘要算法第五版)算法:一种公开的信息摘要算法,可将任意长度的“字节串”变换成一个128位的二进制数,也就是32位的十六进制数,并且它是一个不可逆的字符串变换算法。
TTPS规则:TTPS是Tactics(战术)、Techniques(技术)、Procedures(程序或者过程、步骤)的缩写。TTPS最初用于反恐,根据世界范围内所有恐怖分子或组织实施袭击的分析和研究,恐怖分子的攻击可以用TTPS的方式描述,他们的攻击过程(Procedures)可能是这样的:攻击准备、制定计划、选择目标、实施攻击。过程中的每一步会因恐怖组织不同使用方式(即技术,Techniques)也不同,比如准备阶段需要获得财务、人员训练、侦察等,每个组织都有自己人员训练方式,获得财务方式,各恐怖组织的方式手段(技术)不同,但实施攻击的流程大致是相同的。
TTPS同样可用于网络安全,攻击组织或病毒样本也通常有攻击步骤或过程,不同攻击组织和病毒样本也具有自己的攻击习惯和方式,在这些组织的病毒中也有相应的体现。如攻击过程有:初始入口、执行、提权等,而每个攻击过程都会有不同的攻击方式。
动态沙箱:沙箱是一种按照安全策略限制程序行为的执行环境,可以将病毒程序放在沙箱中运行,然后通过拦截系统调用,监视病毒程序的行为。
威胁指标:用于表征威胁程度的特征指标,通过这些特征指标可以判断是否真的遭受了攻击,一般指的是病毒文件的md5、IP或Doamin(域名)等。
威胁情报:用于识别和检测威胁的失陷标识,如病毒文件HASH(哈希)、IP、域名、程序运行路径、注册表项等,以及相关的归属标签(病毒家族)。
威胁告警:将网络攻击事件发生时对应的威胁情报、攻击源、攻击对象、攻击时间等信息通过实时系统进行展示,以提醒安全人员跟进处理。
下面将结合附图,对本申请的实施例进行描述。
图1示出了本申请实施例中所提供的一种病毒文件的处理方法的流程示意图。该方法可以由服务器或终端设备执行,该服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云计算服务的云服务器。终端设备可以是智能手机、平板电脑、笔记本电脑、台式计算机等,但并不局限于此。终端设备以及服务器可以通过有线或无线通信方式进行直接或间接地连接,本申请在此不做限制。
如图1所示,该方法可以包括:
步骤S101,获取待处理病毒文件的行为日志数据。
其中,待处理病毒文件指的是需要判定属于哪一个病毒家族的病毒文件,行为日志数据指的是待处理病毒文件在运行过程中产生的各种数据,该行为日志数据可以体现出待处理病毒文件的行为特征。
在本申请可选的实施例中,获取待处理病毒文件的行为日志数据,包括:
通过在沙箱中运行待处理病毒文件,得到待处理病毒文件的行为日志数据。
可选的,在获取待处理病毒文件的行为日志数据时,可以通过在沙箱中运行该待处理病毒文件,得到待处理病毒文件的行为日志数据。其中,沙箱是一个虚拟系统程序,允许在沙盘环境中运行浏览器或其他程序,因此运行待处理病毒文件所产生的变化可以随后删除,并不会对硬盘产生永久性的影响,提升了安全性。
步骤S102,基于行为日志数据,确定待处理病毒文件的病毒行为特征。
其中,病毒行为特征表征了病毒文件在攻击时所对应的行为,而待处理病毒文件的行为日志数据记录了待处理病毒文件在攻击时所产生的各种数据,此时可以基于该行为日志数据中表征病毒文件攻击行为的数据,得到待处理病毒文件的病毒行为特征。
步骤S103,将病毒行为特征与病毒文件的各样本TTPS规则进行匹配,确定病毒行为特征所命中的各目标TTPS规则,其中,对于任一样本TTPS规则,该样本TTPS规则表征了病毒文件的病毒行为特征。
其中,病毒文件的每个攻击方式可以对应到某个行为,此时将这个行为总结提取为相应的规则,并可以使用唯一的标识T(如T1)进行标记,而当对多个行为分别提取为相应的规则时,产生一个规则组合,如一个规则组合可以表示[T1,T2,T3,T4],这个规则组合即为一个TTPS规则,该规则表示病毒文件在一种攻击技术类型中可以产生分别T1对应的行为、T2对应的行为、T3对应的行为以及T4对应的行为。而病毒文件的各样本TTPS规则指的是基于现有已知病毒文件的攻击方式所提取到的TTPS规则,此时对于任一样本TTPS规则,该样本TTPS规则可以表征了病毒文件的一种病毒行为特征。其中,为了描述方便,在实际应用中,可以采用Md5算法的方式表示病毒文件TTPS规则,如采用Md5_1表示TTPS规则[T1,T2,T3,T4]。
可选的,在基于行为日志数据,确定待处理病毒文件的病毒行为特征后,可以将病毒行为特征与病毒文件的各样本TTPS规则进行匹配,确定待处理病毒文件在攻击过程中的行为具体对应于哪些样本TTPS规则,得到命中的各目标TTPS规则。
步骤S104,将各目标TTPS规则与各病毒家族的家族TTPS规则匹配,若各目标TTPS规则命中一病毒家族的任一家族TTPS规则,则将所命中的家族TTPS规则所对应的病毒家族,确定为待处理病毒文件所属的病毒家族。
其中,病毒家族的家族TTPS规则指的是能够稳定代表属于该病毒家族的各病毒文件的行为特征的TTPS规则,如可以是属于该病毒家族的病毒文件均可以命中的各病毒文件TTPS规则。可选的,病毒家族的家族TTPS规则支持与或运算,例如病毒家族的家族TTPS规则可以表示为【T1&&(T2||T3)&&T4】,该家族TTPS规则表示属于该病毒家族的病毒文件在攻击过程中可以同时产生T1对应的行为、T2对应的行为以及T3对应的行为、或者同时产生T1对应的行为、T2对应的行为以及T4对应的行为。
可选的,在知晓待处理病毒文件命中的各目标TTPS规则时,可以将各目标TTPS规则与各病毒家族的家族TTPS规则进行匹配,确定待处理病毒文件命中的各目标病毒文件TTPS具体与哪一个病毒家族的家族TTPS规则相匹配,确定该待处理病毒文件所属的病毒家族。
在实际应用中,有时一个病毒家族的家族TTPS规则可以包括多个,例如,某个病毒家族的家族TTPS规则可以表示为【T1&&(T2||T3)&&T4】,由于病毒家族的家族TTPS规则支持与或运算,此时可以对【T1&&(T2||T3)&&T4】进行与或运算,得到多个家族TTPS规则,如家族TTPS规则【T1&&T2&&T4】和家族TTPS规则【T1&&T3&&T4】,其中,【T1&&T2&&T4】表示属于该病毒家族的病毒文件在攻击过程中可以同时产生T1对应的行为、T2对应的行为以及T4对应的行为,【T1&&T3&&T4】表示属于该病毒家族的病毒文件在攻击过程中可以同时产生T1对应的行为、T2对应的行为以及T3对应的行为。
可选的,当病毒家族的家族TTPS规则为多个时,此时在确定待处理病毒文件所属于的病毒家族时,可以将待处理病毒文件命中的各目标TTPS规则与病毒家族的每个家族TTPS规则进行匹配,若各目标TTPS规则命中该病毒家族的任一家族TTPS规则,则确定待处理病毒文件属于该病毒家族。
在一示例中,假设病毒家族1的家族TTPS规则包括【T1&&T2&&T4】和【T1&&T3&&T4】,病毒家族2的家族TTPS规则包括【T3&&T4&&T5】,待处理病毒文件命中的各目标TTPS规则为【T1&&T2&&T4】,此时待处理病毒文件命中的各目标TTPS规则命中病毒家族1的【T1&&T2&&T4】,则确定该待处理病毒文件属于病毒家族1。
步骤S105,展示待处理病毒文件的处理结果,处理结果包括待处理病毒文件所属的病毒家族。
可选的,在确定待处理病毒文件所属的病毒家族之后,还可以将处理病毒文件的处理结果展示给用户,以便用户知晓处理病毒文件的处理情况,如可以将待处理病毒文件所属的病毒家族展示给用户。
在本申请实施例中,在确定获取待处理病毒文件所属的病毒家族时,可以根据待处理病毒文件的行为日志数据与各病毒文件TTPS规则确定出待处理病毒命中的各目标TTPS规则,然后将各目标TTPS规则与各病毒家族的家族TTPS规则进行匹配,得到待处理病毒文件所属的病毒家族,由于各病毒家族的家族TTPS规则能稳定体现病毒家族的行为特征,进而在确定待处理病毒文件所属的病毒家族时以病毒家族的家族TTPS规则作为匹配基础数据,可以有效的提升病毒家族结果的准确度。
在本申请可选的实施例中,各样本TTPS规则包括各攻击技术类型对应的TTPS规则,基于行为日志数据,确定待处理病毒文件的病毒行为特征,包括:
基于行为日志数据,确定待处理病毒文件在攻击时对应于各攻击技术类型的攻击技术特征;
其中,待处理病毒文件的病毒行为特征包括各攻击技术类型对应的攻击技术特征;
将病毒行为特征与病毒文件的各TTPS规则进行匹配,确定病毒行为特征所命中的各目标TTPS规则,包括:
对于每种攻击技术类型,将该攻击技术类型的攻击技术特征和该攻击技术类型对应的各样本TTPS规则进行匹配,将满足预设匹配条件的样本TTPS规则,确定为该攻击技术类型所命中的TTPS规则,各目标TTPS规则包括各攻击技术类型所命中的TTPS规则。
其中,病毒行为特征可以包括病毒文件在攻击时所采用的各攻击技术类型对应的攻击技术特征;攻击技术类型可以指的是病毒样本文件在攻击过程中所使用的技术类型,如可以包括使用的文件、进程、注册表、网络等四个技术类型。例如文件技术类型可以包括CreateFile、RenameFile和SetFileAttributes等,进程技术类型作包括CreateProcess、CreateMutex、AllocateVirtualMemory、MapViewOfSection等,注册表技术类型包括CreateKey,网络技术类型包括connect等。
相应的,在确定待处理病毒文件的病毒行为特征时,可以基于获取到的行为日志数据,确定待处理病毒文件在攻击时具体采用了哪些攻击技术类型,然后可以确定所采用的每一种攻击技术类型对应的攻击技术特征,进而得到待处理病毒文件的病毒行为特征。
可选的,各样本TTPS规则可以包括各攻击技术类型对应的TTPS规则,此时在得到待处理病毒文件的病毒行为特征后,对于病毒行为特征内包括的每种攻击技术类型,可以确定该攻击技术类型对应于哪些样本TTPS规则,然后将待处理病毒文件对应于该攻击技术类型的攻击技术特征和确定的各样本TTPS规则进行匹配,将满足预设匹配条件的样本TTPS规则,确定为该攻击技术类型所命中的TTPS规则;相应的,该待处理病毒文件的每种攻击技术类所型命中的TTPS规则,即可视为病毒行为特征所命中的各目标TTPS规则。
可选的,预设匹配条件的具体内容可以根据需求预先配置,本申请实施例不限定。例如,当攻击技术特征和某一样本TTPS规则的相同键值对的数量达到预设数量时,即可以视为该攻击技术特征和该样本TTPS规则匹配,并将该样本TTPS规则确定为该攻击技术类型所命中的TTPS规则。
在本申请可选的实施例中,基于行为日志数据,确定每种攻击技术类型对应的攻击技术特征,包括:
基于行为日志数据,确定待处理病毒文件在攻击时对应于每种攻击技术类型的各接口的接口标识和接口参数;
对于每一攻击技术类型,根据该攻击技术类型对应的各接口的接口标识和接口参数,确定该攻击技术类型对应的攻击技术特征。
其中,攻击技术类型对应的攻击技术特征可以基于病毒文件在采用该攻击技术类型攻击时所调用的接口和调用接口的接口参数来体现,也就是说,在确定每种攻击技术类型对应的攻击技术特征时,可以基于获取到的行为日志数据,确定待处理病毒文件在攻击时对应于每种攻击技术类型的接口标识和接口参数,然后根据每种攻击技术类型对应的接口标识和接口参数,确定每种攻击技术类型对应的攻击技术特征。
在本申请可选的实施例中,对于一个样本TTPS规则,该样本TTPS规则包括各键值对,其中,一个键值对中的键为一个接口的接口标识,值为该接口的接口参数;
对于每一攻击技术类型,根据该攻击技术类型对应的各接口的接口标识和接口参数,确定该攻击技术类型对应的攻击技术特征,包括:
将该攻击技术类型对应的每个接口的接口标识作为键、将每个接口的接口参数作为值,得到对应的各第一键值对;
根据各第一键值对的攻击顺序将各第一键值对组合,得到该攻击技术类型的攻击行为特征。
可选的,样本TTPS规则包括的接口标识和接口参数可以采用键值对的方式表示。也就是说,对于一个样本TTPS规则,该样本TTPS规则可以包括各键值对,此时一个键值对中的键为一个接口的接口标识、值为该接口对应的接口参数;
可选的,在确定每一种攻击技术类型所对应的攻击技术特征时,也可以基于键值对的方式来体现,此时可以将获取到的该攻击技术类型对应的每个接口的接口标识作为键、将每个接口的接口参数作为值,得到对应的各键值对,然后根据各键值对的攻击顺序将各键值对组合,得到该攻击技术类型的攻击行为特征。
在本申请可选的实施例中,各样本TTPS规则是通过下列方式获取到的:
获取各样本病毒文件在攻击时所采用的各攻击技术类型的接口的接口标识和接口参数;
对于每个样本病毒文件,基于该样本病毒文件对应于各攻击技术类型的接口的接口标识和接口参数,确定该样本病毒文件对应于各攻击技术类型的TTPS规则;
基于各样本病毒文件对应于各攻击技术类型的TTPS规则,确定各样本TTPS规则。
可选的,在基于现有已知的病毒文件(即样本病毒文件)的行为提取TTPS规则时,可以确定各样本病毒文件对应于每个攻击技术类型的TTPS规则,然后将对应于各攻击技术类型的TTPS规则,确定为各样本TTPS规则。具体的,可以获取每个样本病毒文件在攻击时所采用的各攻击技术类型的接口的接口标识和接口参数,然后对于每个样本病毒文件,基于该样本病毒文件对应于每个攻击技术类型的接口的接口标识和接口参数,确定该样本病毒文件对应于每个攻击技术类型的TTPS规则,然后基于各样本病毒文件对应于各攻击技术类型的TTPS规则,确定各样本TTPS规则。
在本申请可选的实施例中,基于该样本病毒文件对应于各攻击技术类型的接口的接口标识和接口参数,确定该样本病毒文件对应于各攻击技术类型的TTPS规则,包括:
对于每个攻击技术类型,基于该样本病毒文件对应于该攻击技术类型的每个接口的接口标识和该接口的接口参数,得到该攻击技术类型作对应的一条TTPS规则。
其中,在确定对应于每个攻击技术类型的TTPS规则时,可以依次确定每个样本病毒文件在攻击过程中采用该攻击技术类型作时所调用的每个接口和每个接口的接口参数,然后将每个样本病毒文件所调用的每个接口的接口标识和该接口的接口参数,作为该攻击技术类型对应的一条TTPS规则。
在本申请可选的实施例中,对于每个攻击技术类型,基于该样本病毒文件对应于该攻击技术类型的每个接口的接口标识和该接口的接口参数,得到该攻击技术类型对应的一条TTPS规则,包括:
将该样本病毒文件对应于该攻击技术类型的每个接口的接口标识作为键、将每个接口的接口参数作为值,得到对应的各第二键值对;
根据各第二键值对的攻击顺序将各第二键值对组合,得到该攻击技术类型对应的一条TTPS规则。
可选的,在确定每个攻击技术类型对应的TTPS规则时,可以采用键值对的方式来表征。例如,对于每个攻击技术类型,可以将每个样本病毒文件对应于该攻击技术类型的每个接口的接口标识作为键(即Key)、以及将对应于每个接口的接口参数作为值(即Value),得到每个样本病毒文件对应于该攻击技术类型的各键值对,而为了方便,可以将一个键值对(即key-Value)记为一个act。其中,接口参数值(即Value)支持模糊匹配和正则匹配,即对于每种攻击技术类型,在将该攻击技术类型的攻击技术特征和该攻击技术类型对应的各样本TTPS规则进行匹配时,可以基于每种攻击技术类型包括的键值对中的Value与各样本TTPS规则中的Value进行模糊匹配或正则匹配。
而在实际应用中,每个样本病毒文件在攻击过程中对于一个攻击技术类型时可以调用多个接口,此时可以根据调用发生的时间排序(即攻击顺序),将多个接口对应的act进行排列组合,将组合后的act作为该攻击技术类型对应的一条TTPS规则。
在一示例中,假设某个样本病毒文件在攻击过程中对于一个攻击技术类型时调用了3个接口,该3个接口对应的键值对分别为act1、act2和act3,并且发生的顺序为act1、act2、act3,此时该攻击技术类型的一条TTPS规则可以为【act1&&act2&&act3,order:act1,act2,act3】,该TTPS规则代表3个act必须同时发生,并且发生的顺序依次为act1、act2和act3。
在本申请可选的实施例中,各病毒家族的病毒家族TTPS规则是通过下列方式得到的:
获取病毒样本数据集,病毒样本数据集中包括各样本TTPS规则、以及属于各病毒家族的各样本病毒文件的行为日志数据;
对于每个病毒家族,将属于该病毒家族的各样本病毒文件的行为日志数据与各样本TTPS规则匹配,确定属于该病毒家族的各样本病毒文件所命中的各样本TTPS规则;
对于每个病毒家族,根据属于该病毒家族的各样本病毒文件所命中的各样本TTPS规则,确定该病毒家族的家族TTPS规则。
其中,病毒样本数据集指的是用于确定各病毒家族的病毒家族TTPS规则额数据集,其包括了各样本TTPS规则、以及属于各病毒家族的各样本病毒文件的行为日志数据。其中,样本TTPS规则指的是基于现有已知的病毒文件的行为所提取得到的TTPS规则,各样本病毒文件指的是现有已知病毒家族的病毒文件,该样本病毒文件的行为日志数据也可以通过在沙箱中运行获取得到。可选的,样本TTPS规则的获取方式可以预先配置,本申请实施例不限定,例如可以从外部公开网站获取或日常分析病毒文件的过程得到。
可选的,对于每个病毒家族,可以将属于该病毒家族的每个样本病毒文件的行为日志数据与各样本TTPS规则匹配,确定属于该病毒家族的每个样本病毒文件所命中的各样本TTPS规则;然后对于每个病毒家族,根据属于该病毒家族的每个样本病毒文件所命中的各样本TTPS规则,得到该病毒家族的家族TTPS规则。
其中,根据属于该病毒家族的每个样本病毒文件所命中的各样本TTPS规则,得到该病毒家族的家族TTPS规则的具体实现方式可以预先配置,本申请实施例不限定。作为一种可选的实施方式,在本申请可选的实施例中,对于每个病毒家族,根据属于该病毒家族的各样本病毒文件所命中的各样本TTPS规则,确定该病毒家族的病毒家族TTPS规则,包括:
对于每个病毒家族,将属于该病毒家族的每个样本病毒文件均命中的样本TTPS规则,确定该病毒家族的必要TTPS规则;
基于该病毒家族的必要TTPS规则,确定该病毒家族的家族TTPS规则,家族TTPS规则包括必要TTPS规则。
具体的,可以确定属于该病毒家族的每个样本病毒文件均命中的样本TTPS规则,然后基于每个样本病毒文件均命中的样本TTPS规则确定该病毒家族的必要TTPS规则,并将确定的必要TTPS规则确定为该病毒家族的家族TTPS规则。
在一示例中,假设病毒家族A包括样本病毒文件1、样本病毒文件2和样本病毒文件3,样本病毒文件1命中的样本TTPS规则记为md5_1【T1,T2,T3】、样本病毒文件2命中的样本TTPS规则记为md5_2【T1,T2,T3,T4】、样本病毒文件3命中的样本TTPS规则记为md5_3【T1,T2,T3,T5】,此时样本病毒文件1、样本病毒文件2和样本病毒文件3均命中的样本TTPS规则为【T1,T2,T3】,此时可以将【T1,T2,T3】作为该病毒家族的家族TTPS规则,并采用【T1&&T2&&T3】表示,其表示了表示属于该病毒家族的病毒文件在攻击过程中需同时产生T1对应的行为、T2对应的行为以及T4对应的行为。
在本申请可选的实施例中,该方法还包括:
对于属于每个病毒家族的各样本病毒文件所命中的每个样本TTPS规则,基于该病毒家族中命中该样本TTPS规则的样本病毒文件的数量,确定该病毒家族的非必要TTPS规则;
基于该病毒家族的必要TTPS规则,确定该病毒家族的家族TTPS规则,家族TTPS规则包括必要TTPS规则,包括:
分别将该病毒家族的每个非必要TTPS规则和所有必要TTPS规则组合,得到该病毒家族的各家族TTPS规则。
可选的,在确定每个病毒家族的家族TTPS规则时,对于一个病毒家族,还可以确定该病毒家族中命中的每个样本TTPS规则的样本病毒文件的数量,然后根据该数量确定该病毒家族的非必要TTPS规则,然后基于该病毒家族的非必要TTPS规则和必要TTPS规则,确定该病毒家族的家族TTPS规则。其中,该数量的具体数值可以根据实际需求预先配置,本申请实施例不限定。例如,当该数量的取值设为属于该病毒家族的样本病毒文件的总数时,该非必要TTPS规则即为必要TTPS规则。
在一示例中,假设属于该病毒家族的样本病毒文件的总数为5,数量的取值设置为小于5大于2;相应的,对于一个样本TTPS规则,该病毒家族中命中该样本TTPS规则的样本病毒文件的数量为4(小于5大于2)此时,可以将该样本TTPS规则确定为该病毒家族的非必要TTPS规则。
可选的,在基于该病毒家族的非必要TTPS规则和必要TTPS规则,确定该病毒家族的家族TTPS规则时,可以分别将该病毒家族的每个非必要TTPS规则和所有必要TTPS规则组合,得到该病毒家族的各家族TTPS规则。
在一示例中,假设该病毒家族的非必要TTPS规则包括T2和T3,必要TTPS规则包括T1和T4,此时可以将T2与T1和T4组合,得到家族TTPS规则【T1,T2,T4】、以及将T3与T1和T4组合,得到家族TTPS规则【T1,T3,T4】,此时可以对家族TTPS规则【T1,T2,T4】和家族TTPS规则【T1,T3,T4】进行与或运算,得到该病毒家族的家族TTPS规则【T1&&(T2||T3)&&T4】,其表示了属于该病毒家族的病毒文件在攻击过程中需同时产生T1对应的行为和T4对应的行为、以及T2对应的行为T3对应的行为中的一项。
当然,在实际应用中,还以将该病毒家族的多个非必要TTPS规则和所有必要TTPS规则组合,得到该病毒家族的各家族TTPS规则,例如可以将非必要TTPS规则T2和T3与必要TTPS规则(T1和T4)组合,得到家族TTPS规则【T1,T2,T3,T4】,本申请实施例对此不限定。
在本申请可选的实施例中,确定待处理病毒文件所属的病毒家族之后,还包括:
根据行为日志数据,获取各目标TTPS规则对应的威胁指标数据;
根据待处理病毒文件所属的病毒家族、各目标TTPS规则、以及威胁指标数据,生成威胁情报数据并存储。
可选的,确定待处理病毒文件所属的病毒家族之后,还可以根据该待处理病毒文件的行为日志数据,获取各目标TTPS规则对应的威胁指标数据,然后根据待处理病毒文件所属的病毒家族结果、该待处理病毒文件命中的各目标TTPS规则、以及获取到的威胁指标数据,生成威胁情报数据并存储至数据库,以方便后续对该待处理病毒文件进行处理时,可以直接从数据库中获取到该待处理病毒文件的相关信息。
在本申请可选的实施例中,威胁指标数据包括IP和Domain中的至少一项;
根据待处理病毒文件所属于的病毒家族、各目标TTPS规则、以及威胁指标数据,生成威胁情报数据并存储,包括:
根据待处理病毒文件所属于的病毒家族,对威胁指标数据进行标记;
根据标记后的威胁指标数据和各目标TTPS规则,生成威胁情报数据并存储。
其中,威胁指标数据可以包括病毒文件在运行中所对应的IP和Domain中的至少一项。可选的,在根据该待处理病毒文件的行为日志数据,获取该待处理病毒的威胁指标数据之后,可以基于待处理病毒文件所属于的病毒家族,对威胁指标数据进行标记,得到标记后的威胁指标数据,然后将标记后的威胁指标数据和各目标TTPS规则作为威胁情报数据存储至数据库中。其中,在根据待处理病毒文件所属于的病毒家族,对威胁指标数据进行标记时可以指的是将待处理病毒文件在运行中所对应的Domain和IP标记为该待处理病毒文件所属于的病毒家族。例如,假设待处理病毒文件属于病毒家族A,此时可以将待处理病毒文件在运行中所对应的Domain和IP的标签属性标记为病毒家族A。
在本申请可选的实施例中,根据待处理病毒文件所属于的病毒家族、各目标TTPS规则、以及威胁指标数据,生成威胁情报数据并存储,包括:
基于预设的安全白名单,对各目标TTPS规则、以及威胁指标数据进行过滤,得到过滤后的各目标TTPS规则和威胁指标数据;
根据过滤后的各目标TTPS规则和威胁指标数据,生成威胁情报数据并存储。
在实际应用中,病毒文件在运行过程中也存在一些安全的程序访问该病毒文件的域名,但是该程序并非为病毒文件的,并不属于某个病毒家族。例如,病毒文件在运行过程中浏览器的程序可以访问病毒文件的域名,此时在基于病毒文件的行为日志数据获取到的威胁指标数据中也可能会包括浏览器的域名。
基于此,在本申请实施例中可以预先设置有安全白名单,此时基于该安全白名单对各目标TTPS规则、以及各威胁指标数据进行过滤,得到过滤后的各目标TTPS规则和各威胁指标数据,然后根据过滤后的各目标TTPS规则和各威胁指标数据,生成威胁情报数据并存储。
在本申请可选的实施例中,安全白名单包括各安全应用程序对应的威胁指标数据;
基于安全白名单,对各目标TTPS规则、以及各威胁指标数据进行过滤,包括:
基于预设的安全白名单,将各目标TTPS规则对应的威胁指标数据中与安全应用程序对应的威胁指标数据相同的目标指标数据进行过滤;
将各目标TTPS规则中与目标指标数据相对应的TTPS规则进行过滤。
可选的呢,安全白名单中可以包括有各安全程序对应的域名和IP等,进一步的,由于每个目标TTPS规则存在相对应的威胁指标数据,即获取到的威胁指标数据是与各目标TTPS规则一一对应的,此时可以将获取到的各威胁指标数据中与安全应用程序对应的威胁指标数据相同的威胁指标数据(即目标威胁指标数据)过滤掉、以及将各目标TTPS规则中与目标指标数据相对应的TTPS规则过滤掉,将与安全白名单中不相同的威胁指标数据保留、以及将与保留的各威胁指标数据所对应的目标TTPS规则保留。
在一示例中,假设目标TTPS规则包括Md5_1、Md5_2和Md5_3,Md5_1对应的威胁指标数据为域名1和IP1、Md5_2对应的威胁指标数据为域名2和IP2、Md5_3对应的威胁指标数据为域名3和IP3,安全白名单中包括域名1和IP1,此时可以将获取到的Md5_1、以及域名1和IP1过滤掉,然后基于Md5_2、Md5_2对应的域名2和IP2、以及Md5_3、Md5_3对应的域名3和IP3生成威胁情报数据并存储。
在本申请可选的实施例中,确定待处理病毒文件所属的病毒家族之后,还包括:
产生针对于待处理病毒文件的威胁警报信息。
可选的,在确定待处理病毒文件所属的病毒家族之后,还可以产生针对于待处理病毒文件的威胁警报信息,以告知用户及时处理该待处理病毒文件,并提升安全系数。其中,威胁警报信息的具体形式可以预先设置,本申请实施例不限定。例如,可以采用语音播放的方式提醒用户,有或者向绑定的终端设备发送信息以提醒用户等。
如图2所示,本申请实施例提供了一种适用于该病毒文件的处理方法的系统结构图,该系统中包括了样本行为采集模块、TTPS规则采集模块、匹配引擎、TTPS家族分析模块、TTPS家族运营模块、威胁感知系统和威胁情报库。
其中,样本行为采集模块用于采集各样本病毒文件的行为日志数据(即输出日志),然后通过TTPS规则采集模块采集各样本TTPS规则(即提供规则),并通过匹配引擎将属于每个病毒家族的病毒文件的行为日志数据与各样本TTPS规则进行匹配,输出各样本病毒文件所命中的各样本TTPS规则(即输出样本与TTPS规则);TTPS家族分析模块对属于每个病毒家族的各样本病毒文件所命中的各样本TTPS规则进行分析,得到每个病毒家族的家族TTPS规则并进入TTPS家族运营平台(即输出家族TTPS规则)。其中,该TTPS运营平台可以为威胁感知系统提供有关病毒文件(如病毒文件所属于的病毒家族)的分析能力(即提供能力)、以及可以为威胁情报库提供病毒文件的相关数据(即提供数据),威胁感知系统用于输出展示病毒文件所属的病毒家族,威胁情报库用于存储病毒文件的相关数据(如域名、IP等)。
为了更好地理解本申请实施例所提供的方法,如图3所示,本申请实施例对病毒文件的处理方法中的各步骤进行完整说明,在本示例中,可以通过运营平台保存各病毒家族的家族TTPS规则、以及各样本TTPS规则,该方法具体可以包括:
步骤S301,获取各样本TTPS规则以及属于各病毒家族的各样本病毒文件;
其中,样本TTPS规则的获取方式可以预先配置,例如可以从外部公开网站获取、或在日常分析病毒文件的过程中得到。
步骤S302,通过沙箱运行各病毒家族的各样本病毒文件,得到各样本病毒文件的行为日志数据;
具体的,沙箱是一种按照安全策略限制程序行为的执行环境,可以将病毒文件放在沙箱中运行,然后通过拦截系统调用,监视病毒文件的行为。因此,为了获取各样本病毒文件的行为日志数据,可以构建沙箱环境,然后在该沙箱内运行各样本病毒文件,进而得到各样本病毒文件的行为日志数据,此时即使运行样本病毒文件产生了其它变化也可以随后删除,并不会对硬盘产生永久性的影响。
步骤S303,将各样本病毒文件的行为日志数据与各样本TTPS规则匹配,确定属于各样本病毒文件所命中的各样本TTPS规则;
可选的,样本TTPS规则可以指的是基于现有已知病毒文件的攻击方式所提取到的规则,其体现了病毒文件在运行过程中的攻击方式,而病毒文件的每个攻击方式可以对应到某个行为,其可以通过获取到的行为日志数据体现;相应的,在得到各样本病毒文件的行为日志数据后,可以将行为日志数据与各样本TTPS规则进行匹配,确定属于各样本病毒文件所命中的各样本TTPS规则。
步骤S304,对于每个病毒家族,根据属于该病毒家族的各样本病毒文件所命中的各样本TTPS规则,确定该病毒家族的家族TTPS规则;
具体的,可以根据属于该病毒家族的各样本病毒文件确定出必要TTPS规则和非必要TTPS规则,然后分别将该病毒家族的每个非必要TTPS规则和所有必要TTPS规则组合,得到该病毒家族的各家族TTPS规则。其中,可以将属于该病毒家族的每个样本病毒文件均命中的样本TTPS规则,确定为该病毒家族的必要TTPS规则,而对于属于每个病毒家族的各样本病毒文件所命中的每个样本TTPS规则,若该病毒家族中并非所有样本病毒文件均命中该样本TTPS规则,则可以将样本TTPS规则作为该病毒家族的非必要TTPS规则。
步骤S305,获取待处理病毒文件;
步骤S306,通过沙箱运行待处理病毒文件,得到待处理病毒文件的行为日志数据,并基于行为日志数据,确定待处理病毒文件的病毒行为特征;
可选的,由于并不知晓待处理病毒文件具体的行为特征,为避免造成系统造成其他影响,此时可以构建沙箱运行环境,然后在沙箱中运行待处理病毒文件,得到待处理病毒文件的行为日志数据。
步骤S307,将待处理病毒文件的病毒行为特征与病毒文件的各样本T TPS规则进行匹配,确定待处理病毒文件命中的各目标TTPS规则;
可选的,可以基于行为日志数据,确定待处理病毒文攻击的接口的接口标识和接口参数并采用键值对的方式表示,然后将其与各样本T TPS规则进行匹配,得到待处理病毒文件命中的各目标TTPS规则。
步骤S308,将各目标TTPS规则与各病毒家族的家族TTPS规则进行匹配,确定待处理病毒文件所属的病毒家族;
可选的,同一个病毒家族可能会存在多个家族TTPS规则,此时若待处理病毒文件命中的各目标TTPS规则命中某一病毒家族的任一家族TTPS规则,即可以确定待处理病毒文件所属该病毒家族。
步骤S309,展示待处理病毒文件所属的病毒家族;
可选的,为了使用户知晓待处理病毒文件所属于的病毒家族,以便可以更好地对该病毒文件进行后续处理,还将待处理病毒文件所属的病毒家族进行展示。例如,可以将待处理病毒文件所属的病毒家族采用语音播放的方式进行展示,或在绑定的终端设备内展示对应的提示信息等。
步骤S310,根据待处理病毒文件的行为日志数据,获取待处理病毒文件的IP和域名;
在实际应用中,还可以通过待处理病毒文件的行为日志数据,获取待处理病毒文件的IP和域名,进而后续再需要对该待处理病毒文件进行处理时,可以直接获取IP和域名进行处理。
步骤S311,基于预设的安全白名单,对IP、域名以及各目标TTPS规则进行过滤,得到过滤后的IP、域名和各目标TTPS规则;
在实际应用中,获取到的IP和域名可能包括一些安全应用程序的IP和域名,则可以将应用程序的IP和域名设置为安全白名单;相应的,若获取到的IP和域名中包括安全白名单内的IP和域名,则可以将与安全白名单内的IP和域名相同的IP和域名过滤掉,将保留的IP和域名、以及与保留的IP和域名所对应的目标TTPS规则作为过滤后的IP、域名和各目标TTPS规则。
步骤S312,根据待处理病毒文件所属于的病毒家族,对过滤后的IP、域名进行标记,得到标记后的IP和域名;
可选的,方便知晓待处理病毒文件所属于的病毒家族,此时可以将过滤后的IP以及域名的标签属性标记为待处理病毒文件所属于的病毒家族,得到标记后的IP和域名。
步骤S313,根据过滤后的各目标TTPS规则、标记后的IP和域名生成威胁情报数据并存储。
相应的,在得到标记后的IP和域名后,可以将过滤后的各目标TTPS规则、标记后的IP和域名生成威胁情报数据并存储至数据库,进而后续对该待处理病毒文件进行处理时,可以直接从数据库中获取到该待处理病毒文件对应的各目标TTPS规则、IP和域名,以及基于IP和域名的标签属性知晓待处理病毒所属于的病毒家族。
如图4所示,为了更好地理解本申请实施例所提供的方法,下面结合具体的示例对该方法进行详细描述,具体可以包括TTPS储备阶段和应用阶段。其中,TTPS储备阶段包括:
1、从外部公开网站或日常分析病毒过程中获取各样本TTPS规则、以及属于各病毒家族的各样本病毒文件(即提取TTPS技术点);
2、将各样本病毒文件进入沙箱(即动态沙箱)运行产生行为日志数据(即图中的4个md5【T1,T2,T3,T4】),并将产生的行为日志数据与各样本TTPS规则进行匹配,确定各样本病毒文件所命中的各样本TTPS规则,得到匹配结果并记录;
3、根据属于每个病毒家族的各样本病毒文件所命中的各样本TTPS规则,确定每个病毒家族的家族TTPS规则(即分析提取家族TTPS),如得到家族A的家族TTPS规则为【T1&&T2&&T3】、家族B的家族TTPS规则为【(T1&&T2)||T3】、家族C的家族TTPS规则为【T1||T2||T3】;
其中,应用阶段包括:
1、将新的病毒样本(即待处理病毒文件)进入沙箱运行得到行为日志数据,并确定新的病毒样本命中的各目标TTPS规则;并将各目标病毒文件TTPS与各病毒家族的家族TTPS规则进行匹配,得到新的病毒样本所属的病毒家族(如属于病毒家族A),以及展示新的病毒样本所属的病毒家族并生成威胁警报信息(即图中的告警&提示病毒家族);
2、在确定该新的病毒样本属于病毒家族A后,通过行为日志数据获取该新的病毒样本访问的IP和Domain(即获取IP和Domain);
3、将命中的各目标TTPS规则(即md5)、IP、Domain标记为病毒家族A(即图中的md5_1、IP1和Domain【家族A】)并生成威胁情报数据存储至数据库(即进入威胁情报库)。
本申请实施例提供了一种病毒文件的处理装置,如图5所示,该病毒文件的处理置60可以包括:数据获取模块601、行为特征确定模块602、规则匹配模块603、病毒家族确定模块604以及结果展示模块605,其中,
数据获取模块601,用于获取待处理病毒文件的行为日志数据;
行为特征确定模块602,用于基于行为日志数据,确定待处理病毒文件的病毒行为特征;
规则匹配模块603,用于将病毒行为特征与病毒文件的各样本TTPS规则进行匹配,确定病毒行为特征所命中的各目标TTPS规则,其中,对于任一样本TTPS规则,该样本TTPS规则表征了一样本病毒文件的病毒行为特征;
病毒家族确定模块604,用于将各目标TTPS规则与各病毒家族的家族TTPS规则匹配,若目标TTPS规则命中一病毒家族的任一家族TTPS规则,则将所命中的家族TTPS规则所对应的病毒家族,确定为待处理病毒文件所属的病毒家族;
结果展示模块605,用于展示待处理病毒文件的处理结果,处理结果包括待处理病毒文件所属的病毒家族。
可选的,行为特征确定模块在各样本TTPS规则包括各攻击技术类型对应的TTPS规则,基于行为日志数据,确定待处理病毒文件的病毒行为特征时,具体用于:
基于行为日志数据,确定待处理病毒文件在攻击时对应于各攻击技术类型的攻击技术特征;
其中,待处理病毒文件的病毒行为特征包括各攻击技术类型对应的攻击技术特征;
规则匹配模块在将病毒行为特征与病毒文件的各样本TTPS规则进行匹配,确定病毒行为特征所命中的各目标TTPS规则时,具体用于:
对于每种攻击技术类型,将该攻击技术类型的攻击技术特征和该攻击技术类型对应的各样本TTPS规则进行匹配,将满足预设匹配条件的样本TTPS规则,确定为该攻击技术类型所命中的TTPS规则,各目标TTPS规则包括各攻击技术类型所命中的TTPS规则。
可选的,行为特征确定模块在基于行为日志数据,确定每种攻击技术类型对应的攻击技术特征时,具体用于:
基于行为日志数据,确定待处理病毒文件在攻击时对应于每种攻击技术类型的各接口的接口标识和接口参数;
对于每一攻击技术类型,根据该攻击技术类型对应的各接口的接口标识和接口参数,确定该攻击技术类型对应的攻击技术特征。
可选的,对于一个样本TTPS规则,该样本TTPS规则包括各键值对,其中,一个键值对中的键为一个接口的接口标识,值为该接口的接口参数;
对于每一操作类型,行为特征确定模块在根据该攻击技术类型对应的各接口的接口标识和接口参数,确定该攻击技术类型对应的攻击技术特征时,具体用于:
将该攻击技术类型对应的每个接口的接口标识作为键、将每个接口的接口参数作为值,得到对应的各第一键值对;
根据各第一键值对的攻击顺序将各第一键值对组合,得到该该攻击技术类型的攻击行为特征。
可选的,该装置还包括规则确定模块,各病毒家族的病毒家族TTPS规则是规则确定模块通过下列方式得到的:
获取病毒样本数据集,病毒样本数据集中包括各样本TTPS规则、以及属于各病毒家族的各样本病毒文件的行为日志数据;
对于每个病毒家族,将属于该病毒家族的各样本病毒文件的行为日志数据与各样本TTPS规则匹配,确定属于该病毒家族的各样本病毒文件所命中的各样本TTPS规则;
对于每个病毒家族,根据属于该病毒家族的各样本病毒文件所命中的各样本TTPS规则,确定该病毒家族的家族TTPS规则。
可选的,规则确定模块在对于每个病毒家族,根据属于该病毒家族的各样本病毒文件所命中的各样本TTPS规则,确定该病毒家族的病毒家族TTPS规则时,具体用于:
对于每个病毒家族,将属于该病毒家族的每个样本病毒文件均命中的样本TTPS规则,确定该病毒家族的必要TTPS规则;
基于该病毒家族的必要TTPS规则,确定该病毒家族的家族TTPS规则,家族TTPS规则包括必要TTPS规则。
可选的,规则确定模块还用于:
对于属于每个病毒家族的各样本病毒文件所命中的每个样本TTPS规则,基于该病毒家族中命中该样本TTPS规则的样本病毒文件的数量,确定该病毒家族的非必要TTPS规则;
规则确定模块在基于该病毒家族的必要TTPS规则,确定该病毒家族的家族TTPS规则,家族TTPS规则包括必要TTPS规则时,具体用于:
分别将该病毒家族的每个非必要TTPS规则和所有必要TTPS规则组合,得到该病毒家族的各家族TTPS规则。
可选的,各样本TTPS规则是规则确定模块通过下列方式获取到的:
获取各样本病毒文件在攻击时所采用的各攻击技术类型的接口的接口标识和接口参数;
对于每个样本病毒文件,基于该样本病毒文件对应于各攻击技术类型的接口的接口标识和接口参数,确定该样本病毒文件对应于各攻击技术类型的TTPS规则;
基于各样本病毒文件对应于各攻击技术类型的TTPS规则,确定各样本TTPS规则。
可选的,规则确定模块在获取各样本病毒文件在攻击时所采用的各攻击技术类型的接口的接口标识和接口参数;
对于每个样本病毒文件,基于该样本病毒文件对应于各攻击技术类型的接口的接口标识和接口参数,确定该样本病毒文件对应于各攻击技术类型的TTPS规则;
基于各样本病毒文件对应于各攻击技术类型的TTPS规则,确定各样本TTPS规则时,具体用于:
对于每个攻击技术类型,基于该样本病毒文件对应于该攻击技术类型的每个接口的接口标识和该接口的接口参数,得到作为该攻击技术类型作对应的一条TTPS规则。
可选的,规则确定模块在对于每个攻击技术类型,基于该样本病毒文件对应于该攻击技术类型的每个接口的接口标识和该接口的接口参数,得到该攻击技术类型对应的一条TTPS规则时,具体用于:
将该样本病毒文件对应于该攻击技术类型的每个接口的接口标识作为键、将每个接口的接口参数作为值,得到对应的各第二键值对;
根据各第二键值对的攻击顺序将各第二键值对组合,得到该攻击技术类型对应的一条TTPS规则。
可选的,该装置还包括数据处理模块,用于:
在确定待处理病毒文件所属的病毒家族之后,根据行为日志数据,获取各目标TTPS规则对应的威胁指标数据;
根据待处理病毒文件所属的病毒家族、各目标TTPS规则、以及威胁指标数据,生成威胁情报数据并存储。
可选的,威胁指标数据包括网络协议IP和域名Domain中的至少一项;
数据处理模块在根据待处理病毒文件所属于的病毒家族、各目标TTPS规则、以及威胁指标数据,生成威胁情报数据并存储时,具体用于:
根据待处理病毒文件所属于的病毒家族,对威胁指标数据进行标记;
根据标记后的威胁指标数据和各目标TTPS规则,生成威胁情报数据并存储。
可选的,数据处理模块在根据待处理病毒文件所属于的病毒家族、各目标TTPS规则、以及威胁指标数据,生成威胁情报数据并存储时,具体用于:
基于预设的安全白名单,对各目标TTPS规则、以及威胁指标数据进行过滤,得到过滤后的各目标TTPS规则和威胁指标数据;
根据过滤后的各目标TTPS规则和威胁指标数据,生成威胁情报数据并存储。
可选的,安全白名单包括各安全应用程序对应的威胁指标数据;
数据处理模块在基于安全白名单,对各目标TTPS规则、以及各威胁指标数据进行过滤时,具体用于:
基于预设的安全白名单,将各目标TTPS规则对应的威胁指标数据中与安全应用程序对应的威胁指标数据相同的目标指标数据进行过滤;
将各目标TTPS规则中与目标指标数据相对应的TTPS规则进行过滤。
可选的,该装置还包括提醒模块,用于:
在确定待处理病毒文件所属的病毒家族之后,产生针对于待处理病毒文件的威胁警报信息。
可选的,数据获取模块在获取待处理病毒文件的行为日志数据时,具体用于:
通过在沙箱中运行待处理病毒文件,得到待处理病毒文件的行为日志数据。
本申请实施例的病毒文件的处理装置可执行本申请实施例提供的一种病毒文件的处理方法,其实现原理相类似,此处不再赘述。
本申请实施例提供了一种电子设备,如图6所示,图6所示的电子设备2000包括:处理器2001和存储器2003。其中,处理器2001和存储器2003相连,如通过总线2002相连。可选地,电子设备2000还可以包括收发器2004。需要说明的是,实际应用中收发器2004不限于一个,该电子设备2000的结构并不构成对本申请实施例的限定。
其中,处理器2001应用于本申请实施例中,用于实现图5所示的各模块的功能。
处理器2001可以是CPU,通用处理器,DSP,ASIC,FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器2001也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等。
总线2002可包括一通路,在上述组件之间传送信息。总线2002可以是PCI总线或EISA总线等。总线2002可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器2003可以是ROM或可存储静态信息和计算机程序的其他类型的静态存储设备,RAM或者可存储信息和计算机程序的其他类型的动态存储设备,也可以是EEPROM、CD-ROM或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储或以数据结构形式的期望的计算机程序并能够由计算机存取的任何其他介质,但不限于此。
存储器2003用于存储执行本申请方案的应用程序的计算机程序,并由处理器2001来控制执行。处理器2001用于执行存储器2003中存储的应用程序的计算机程序,以实现图5所示实施例提供的病毒文件的处理装置的动作。
本申请实施例提供了一种电子设备,包括处理器以及存储器:存储器被配置用于存储计算机程序,计算机程序在由所述处理器执行时,使得所述处理器上述实施例中的任一项方法。
本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质用于存储计算机程序,当所述计算机程序在计算机上运行时,使得计算机可以执行上述实施例中的任一项方法。
根据本申请的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述实施例中的任一项方法。
本申请中的一种计算机可读存储介质所涉及的名词及实现原理具体可以参照本申请实施例中的一种病毒文件的处理方法,在此不再赘述。
应该理解的是,虽然附图的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,其可以以其他的顺序执行。而且,附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,其执行顺序也不必然是依次进行,而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
以上所述仅是本申请的部分实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。

Claims (15)

1.一种病毒文件的处理方法,其特征在于,包括:
获取待处理病毒文件的行为日志数据;
基于所述行为日志数据,确定所述待处理病毒文件的病毒行为特征;
将所述病毒行为特征与病毒文件的各样本战术、技术和攻击过程TTPS规则进行匹配,确定所述病毒行为特征所命中的各目标TTPS规则,其中,对于任一样本TTPS规则,该样本TTPS规则表征了病毒文件的病毒行为特征;
将各所述目标TTPS规则与各病毒家族的家族TTPS规则匹配,若所述各目标TTPS规则命中一病毒家族的任一家族TTPS规则,则将所命中的家族TTPS规则所对应的病毒家族,确定为所述待处理病毒文件所属的病毒家族;
展示所述待处理病毒文件的处理结果,所述处理结果包括所述待处理病毒文件所属的病毒家族。
2.根据权利要求1所述的方法,其特征在于,所述各样本TTPS规则包括各攻击技术类型对应的TTPS规则,所述基于所述行为日志数据,确定所述待处理病毒文件的病毒行为特征,包括:
基于所述行为日志数据,确定所述待处理病毒文件在攻击时对应于各攻击技术类型的攻击技术特征;
其中,所述待处理病毒文件的病毒行为特征包括各攻击技术类型对应的攻击技术特征;
所述将所述病毒行为特征与病毒文件的各样本TTPS规则进行匹配,确定所述病毒行为特征所命中的各目标TTPS规则,包括:
对于每种攻击技术类型,将该攻击技术类型的攻击技术特征和该攻击技术类型对应的各样本TTPS规则进行匹配,将满足预设匹配条件的样本TTPS规则,确定为该攻击技术类型所命中的TTPS规则,所述各目标TTPS规则包括各攻击技术类型所命中的TTPS规则。
3.根据权利要求2所述的方法,其特征在于,基于所述行为日志数据,确定每种攻击技术类型对应的攻击技术特征,包括:
基于所述行为日志数据,确定所述待处理病毒文件在攻击时对应于每种攻击技术类型的各接口的接口标识和接口参数;
对于每一攻击技术类型,根据该攻击技术类型对应的各接口的接口标识和接口参数,确定该攻击技术类型对应的攻击技术特征。
4.根据权利要求3所述的方法,其特征在于,对于一个样本TTPS规则,该样本TTPS规则包括各键值对,其中,一个键值对中的键为一个接口的接口标识,值为该接口的接口参数;
所述对于每一攻击技术类型,根据该攻击技术类型对应的各接口的接口标识和接口参数,确定该攻击技术类型对应的攻击技术特征,包括:
将该攻击技术类型对应的每个接口的接口标识作为键、将每个接口的接口参数作为值,得到对应的各第一键值对;
根据各所述第一键值对的攻击顺序将各所述第一键值对组合,得到该攻击技术类型的攻击行为特征。
5.根据权利要求1所述的方法,其特征在于,所述确定所述待处理病毒文件所属的病毒家族之后,还包括:
根据所述行为日志数据,获取各所述目标TTPS规则对应的威胁指标数据;
根据所述待处理病毒文件所属的病毒家族、所述各目标TTPS规则、以及所述威胁指标数据,生成威胁情报数据并存储。
6.根据权利要求5所述的方法,其特征在于,所述威胁指标数据包括网络协议IP和域名Domain中的至少一项;
所述根据所述待处理病毒文件所属于的病毒家族、所述各目标TTPS规则、以及所述威胁指标数据,生成威胁情报数据并存储,包括:
根据所述待处理病毒文件所属的病毒家族,对各所述威胁指标数据进行标记;
根据各所述标记后的威胁指标数据和所述各目标TTPS规则,生成威胁情报数据并存储。
7.根据权利要求1所述的方法,其特征在于,所述各病毒家族的家族TTPS规则是通过下列方式得到的:
获取样本数据集,所述样本数据集中包括各样本TTPS规则、以及属于各病毒家族的各样本病毒文件的行为日志数据;
对于每个所述病毒家族,将属于该病毒家族的各所述样本病毒文件的行为日志数据与所述各样本TTPS规则匹配,确定属于该病毒家族的各所述样本病毒文件所命中的各样本TTPS规则;
对于每个所述病毒家族,根据属于该病毒家族的各所述样本病毒文件所命中的各样本TTPS规则,确定该病毒家族的家族TTPS规则。
8.根据权利要求7所述的方法,其特征在于,所述对于每个所述病毒家族,根据属于该病毒家族的各所述样本病毒文件所命中的各样本TTPS规则,确定该病毒家族的病毒家族TTPS规则,包括:
对于每个所述病毒家族,将属于该病毒家族的每个所述样本病毒文件均命中的样本TTPS规则,确定该病毒家族的必要TTPS规则;
基于该病毒家族的必要TTPS规则,确定该病毒家族的家族TTPS规则,所述家族TTPS规则包括所述必要TTPS规则。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
对于属于每个所述病毒家族的各所述样本病毒文件所命中的每个样本TTPS规则,基于该病毒家族中命中该样本TTPS规则的样本病毒文件的数量,确定该病毒家族的非必要TTPS规则;
所述基于该病毒家族的必要TTPS规则,确定该病毒家族的家族TTPS规则,所述家族TTPS规则包括所述必要TTPS规则,包括:
分别将该病毒家族的每个非必要TTPS规则和所有必要TTPS规则组合,得到该病毒家族的各家族TTPS规则。
10.根据权利要求9所述的方法,其特征在于,所述各样本TTPS规则是通过下列方式获取到的:
获取各所述样本病毒文件在攻击时所采用的各攻击技术类型的接口的接口标识和接口参数;
对于每个样本病毒文件,基于该样本病毒文件对应于各攻击技术类型的接口的接口标识和接口参数,确定该样本病毒文件对应于各攻击技术类型的TTPS规则;
基于各样本病毒文件对应于各攻击技术类型的TTPS规则,确定各样本TTPS规则。
11.根据权利要求10所述的方法,其特征在于,所述基于该样本病毒文件对应于各攻击技术类型的接口的接口标识和接口参数,确定该样本病毒文件对应于各攻击技术类型的TTPS规则,包括:
对于每个攻击技术类型,基于该样本病毒文件对应于该攻击技术类型的每个接口的接口标识和该接口的接口参数,得到该攻击技术类型作对应的一条TTPS规则。
12.根据权利要求11所述的方法,其特征在于,所述对于每个攻击技术类型,基于该样本病毒文件对应于该攻击技术类型的每个接口的接口标识和该接口的接口参数,得到该攻击技术类型对应的一条TTPS规则,包括:
将该所述样本病毒文件对应于该攻击技术类型的每个接口的接口标识作为键、将每个接口的接口参数作为值,得到对应的各第二键值对;
根据各所述第二键值对的攻击顺序将各所述第二键值对组合,得到该攻击技术类型对应的一条TTPS规则。
13.一种病毒文件的处理装置,其特征在于,包括:
数据获取模块,用于获取待处理病毒文件的行为日志数据;
行为特征确定模块,用于基于所述行为日志数据,确定所述待处理病毒文件的病毒行为特征;
规则匹配模块,用于将所述病毒行为特征与病毒文件的各样本TTPS规则进行匹配,确定所述病毒行为特征所命中的各目标TTPS规则,其中,对于任一样本TTPS规则,该样本TTPS规则表征了病毒文件的病毒行为特征;
病毒家族确定模块,用于将所述各目标TTPS规则与各病毒家族的家族TTPS规则匹配,若所述目标TTPS规则命中一病毒家族的任一家族TTPS规则,则将所命中的家族TTPS规则所对应的病毒家族,确定为所述待处理病毒文件所属的病毒家族;
结果展示模块,用于展示所述待处理病毒文件的处理结果,所述处理结果包括所述待处理病毒文件所属的病毒家族。
14.一种电子设备,其特征在于,包括处理器以及存储器:
所述存储器被配置用于存储计算机程序,所述计算机程序在由所述处理器执行时,使得所述处理器执行权利要求1-12任一项所述的方法。
15.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质用于存储计算机程序,当所述计算机程序在计算机上运行时,使得计算机执行上述权利要求1-12中任一项所述的方法。
CN202010996759.5A 2020-09-21 2020-09-21 病毒文件的处理方法、装置、电子设备及可读存储介质 Pending CN112084504A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010996759.5A CN112084504A (zh) 2020-09-21 2020-09-21 病毒文件的处理方法、装置、电子设备及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010996759.5A CN112084504A (zh) 2020-09-21 2020-09-21 病毒文件的处理方法、装置、电子设备及可读存储介质

Publications (1)

Publication Number Publication Date
CN112084504A true CN112084504A (zh) 2020-12-15

Family

ID=73738600

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010996759.5A Pending CN112084504A (zh) 2020-09-21 2020-09-21 病毒文件的处理方法、装置、电子设备及可读存储介质

Country Status (1)

Country Link
CN (1) CN112084504A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112749390A (zh) * 2020-12-28 2021-05-04 深信服科技股份有限公司 一种病毒检测方法、装置、设备及计算机可读存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010017679A1 (zh) * 2008-08-15 2010-02-18 北京启明星辰信息技术股份有限公司 一种入侵检测方法及装置
CN104573515A (zh) * 2014-12-19 2015-04-29 百度在线网络技术(北京)有限公司 一种病毒处理方法、装置和系统
CN111030986A (zh) * 2019-10-30 2020-04-17 哈尔滨安天科技集团股份有限公司 一种攻击组织溯源分析的方法、装置及存储介质
CN111565205A (zh) * 2020-07-16 2020-08-21 腾讯科技(深圳)有限公司 网络攻击识别方法、装置、计算机设备和存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010017679A1 (zh) * 2008-08-15 2010-02-18 北京启明星辰信息技术股份有限公司 一种入侵检测方法及装置
CN104573515A (zh) * 2014-12-19 2015-04-29 百度在线网络技术(北京)有限公司 一种病毒处理方法、装置和系统
CN111030986A (zh) * 2019-10-30 2020-04-17 哈尔滨安天科技集团股份有限公司 一种攻击组织溯源分析的方法、装置及存储介质
CN111565205A (zh) * 2020-07-16 2020-08-21 腾讯科技(深圳)有限公司 网络攻击识别方法、装置、计算机设备和存储介质

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112749390A (zh) * 2020-12-28 2021-05-04 深信服科技股份有限公司 一种病毒检测方法、装置、设备及计算机可读存储介质

Similar Documents

Publication Publication Date Title
US11343268B2 (en) Detection of network anomalies based on relationship graphs
CN108763031B (zh) 一种基于日志的威胁情报检测方法及装置
CN106713332B (zh) 网络数据的处理方法、装置和系统
US9313217B2 (en) Integrated network threat analysis
CN110855676B (zh) 网络攻击的处理方法、装置及存储介质
CN118133318A (zh) 用于基于云的操作系统事件和数据访问监视的系统和方法
EP3921750B1 (en) Dynamic cybersecurity peer identification using groups
Piplai et al. Knowledge enrichment by fusing representations for malware threat intelligence and behavior
CN109074454A (zh) 基于赝象对恶意软件自动分组
US10659480B2 (en) Integrated network threat analysis
RU2757597C1 (ru) Системы и способы сообщения об инцидентах компьютерной безопасности
US10262133B1 (en) System and method for contextually analyzing potential cyber security threats
US20180343276A1 (en) Detection system for network security threats
Serketzis et al. Actionable threat intelligence for digital forensics readiness
CN115766258B (zh) 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质
KR102366637B1 (ko) 전자 장치의 사이버 위협 탐지 방법
CN112084504A (zh) 病毒文件的处理方法、装置、电子设备及可读存储介质
CN115361182B (zh) 一种僵尸网络行为分析方法、装置、电子设备及介质
CN115481166B (zh) 一种数据存储方法、装置、电子设备及计算机存储介质
US20230252146A1 (en) Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program
CN115473675B (zh) 一种网络安全态势感知方法、装置、电子设备及介质
US10742667B1 (en) System and method for dynamical modeling multi-dimensional security event data into a graph representation
CN113014587B (zh) 一种api检测方法、装置、电子设备及存储介质
CN117744071B (zh) 一种攻击行为检测方法、装置、设备及存储介质
Asswad Analysis of attacks and prevention methods in cybersecurity

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination