CN112131571B - 威胁溯源方法及相关设备 - Google Patents
威胁溯源方法及相关设备 Download PDFInfo
- Publication number
- CN112131571B CN112131571B CN202011308949.XA CN202011308949A CN112131571B CN 112131571 B CN112131571 B CN 112131571B CN 202011308949 A CN202011308949 A CN 202011308949A CN 112131571 B CN112131571 B CN 112131571B
- Authority
- CN
- China
- Prior art keywords
- tracing
- target
- suspicious
- information
- result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请涉及云安全技术领域,具体提供了一种威胁溯源方法及相关设备,该方法包括:监测可疑文本在沙箱中的运行,获得可疑文本的监测数据;从监测数据中提取静态特征和动态行为特征;根据静态特征进行线索拓线,确定针对可疑文本的第一溯源结果;以及根据动态行为特征进行行为拓线,确定针对可疑文本的第二溯源结果;将第一溯源结果和第二溯源结果进行融合,得到目标溯源结果。本申请提供的方案保证了目标溯源结果的可靠性和准确性。
Description
技术领域
本申请涉及云安全技术领域,具体而言,涉及一种威胁溯源方法及相关设备。
背景技术
云计算平台中部署了多种类型的虚拟资源,以使各种应用系统能够根据需要获取计算力、存储空间和信息服务。云计算平台作为服务和资源提供方,如果受到网络攻击,例如木马攻击等,可能造成巨大损失。因此,如果保障云计算平台的安全是现有技术中亟待解决的问题。
而保障云计算平台的安全一个重要环节是即时对可能的威胁进行溯源,以根据溯源结果及时进行处理。而相关技术中存在威胁的溯源结果可靠性低的问题。
发明内容
本申请的实施例提供了一种威胁溯源方法及相关设备,以有效进行威胁溯源,提高溯源结果的可靠性。
本申请的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本申请的实践而习得。
根据本申请实施例的一个方面,提供了一种威胁溯源方法,包括:
监测可疑文本在沙箱中的运行,获得所述可疑文本的监测数据;
从所述监测数据中提取静态特征和动态行为特征;
根据所述静态特征进行线索拓线,确定针对所述可疑文本的第一溯源结果;以及
根据所述动态行为特征进行行为拓线,确定针对所述可疑文本的第二溯源结果;
将所述第一溯源结果和所述第二溯源结果进行融合,得到目标溯源结果。
根据本申请实施例的一个方面,提供了一种威胁溯源装置,包括:监测数据获取模块,用于监测可疑文本在沙箱中的运行,获得所述可疑文本的监测数据;特征提取模块,用于从所述监测数据中提取静态特征和动态行为特征;线索拓线模块,用于根据所述静态特征进行线索拓线,确定针对所述可疑文本的第一溯源结果;以及行为拓线模块,用于根据所述动态行为特征进行行为拓线,确定针对所述可疑文本的第二溯源结果;融合模块,用于将所述第一溯源结果和所述第二溯源结果进行融合,得到目标溯源结果。
在本申请的一些实施例中,线索拓线模块包括:关联信息获取单元,用于获取与所述静态特征相关联的关联信息;知识图谱构建单元,用于根据所述关联信息与所述静态特征构建知识图谱;第一溯源单元,用于根据所述知识图谱进行溯源,得到所述第一溯源结果。
在本申请的一些实施例中,第一溯源单元,包括:线索权重获取单元,用于获取所述知识图谱中各条攻击者线索所对应的线索权重;第一溯源结果确定单元,用于根据各条攻击者线索所指向的攻击者和所述攻击者线索所对应的线索权重,确定所述第一溯源结果。
在本申请的一些实施例中,行为拓线模块,包括:匹配单元,用于根据所述动态行为特征在所述攻击技术规则库中进行规则匹配,确定目标技术规则;目标家族确定单元,用于在家族库中确定所述目标技术规则对应的目标家族;第二溯源结果确定单元,用于根据所述目标家族生成针对所述可疑文本的第二溯源结果。
在本申请的一些实施例中,威胁溯源装置还包括:历史技术规则获取单元,用于从所述攻击技术规则库中获取所述第一溯源结果所指示目标攻击者对应的历史技术规则;变种指示信息生成单元,用于若所述历史技术规则与所述目标技术规则不一致,则生成变种指示信息,通过所述变种指示信息指示所述可疑文本所来源的攻击者发生了变种。
在本申请的一些实施例中,威胁溯源装置还包括:新威胁指示信息生成模块,用于若所述第一溯源结果指示所述可疑文本的来源方为非攻击者,则根据所述目标技术规则生成新威胁指示信息,通过所述新威胁指示信息指示所述可疑文本的来源方由非攻击者转变为了攻击者。
在本申请的一些实施例中,威胁溯源装置还包括:第一溯源信息获取模块,用于获取对应于所述第一溯源结果的第一溯源信息;以及第二溯源信息获取模块,用于获取对应于所述第二溯源结果的第二溯源信息;告警提示信息生成模块,用于根据所述目标溯源结果、所述第一溯源信息和所述第二溯源信息生成告警提示信息。
在本申请的一些实施例中,威胁溯源装置还包括:可疑信息获取模块,用于获取探针所捕获到的可疑信息;目标分析任务确定模块,用于确定对应于所述可疑信息的目标分析任务;沙箱平台确定模块,用于确定与所述目标分析任务相适配的沙箱平台;运行模块,用于在所确定沙箱平台中部署的沙箱中运行所述可疑信息对应的可疑文本。
在本申请的一些实施例中,监测数据获取模块,包括:监测指示信息获取单元,用于获取为所述目标分析任务配置的监测指示信息,所述监测指示信息指示了为所述目标分析任务设置的至少一监测任务;监测单元,用于在所述可疑文本在沙箱中运行的过程中,对所述监测任务对应的监测对象进行监测,获得对应的监测数据。
根据本申请实施例的一个方面,提供了一种电子设备,包括:处理器;存储器,所述存储器上存储有计算机可读指令,所述计算机可读指令被所述处理器执行时,实现如上所述的威胁溯源方法。
根据本申请实施例的一个方面,提供了一种计算机可读存储介质,其上存储有计算机可读指令,当所述计算机可读指令被处理器执行时,实现如上所述的威胁溯源方法。
在本申请的方案中,以静态特征为基础对存在威胁的可疑文件进行溯源,得到第一溯源结果,以动态行为特征为基础对可疑文件进行溯源,得到第二溯源结果,实现了从两个不同的维度(静态特征维度和动态行为特征维度)对可疑文件进行溯源。将第一溯源结果和第二溯源结果进行融合得到目标溯源结果,因此,目标溯源结果所指示可疑文件的来源信息参考了两个不同维度下的溯源结果,保证了目标溯源结果的准确性和可靠性,提升了目标溯源结果的可信度。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1示出了可以应用于本申请实施例的技术方案的应用场景图。
图2是根据本申请的一个实施例示出的威胁溯源方法的流程图。
图3是根据一具体实施例示出应用场景的示意图。
图4是根据一具体实施示出的威胁溯源方法的流程图。
图5是根据一具体实施例示出的通过线索拓线得到第一溯源结果和通过行为拓线得到第二溯源结果的流程图。
图6是根据一实施例示出的针对tyl123.cn这一域名所构建的知识图谱的示意图。
图7是根据一实施例示出的家族知识库中一家族所对应家族信息的显示示意图。
图8是根据一具体实施例示出的告警提示信息的显示示意图。
图9示出了告警信息在终端中的显示示意图。
图10是根据一实施例示出的威胁溯源装置的框图。
图11示出了适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本申请将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本申请的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本申请的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本申请的各方面。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
云安全(Cloud Security)是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,并发送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
云计算平台中部署了多种类型的虚拟资源,以使各种应用系统能够根据需要获取计算力、存储空间和信息服务。对于云计算平台而言,其作为服务和资源提供方,如果受到网络攻击,可能造成巨大损失。因此,如果保障云计算平台的安全是现有技术中亟待解决的问题。
而在云平台中,如何及时发现网络威胁,以进行及时告警和应对是极为重要的。基于此,提出了本申请的方案。
也可以利用云计算技术,新建与整合安全基础设施资源,优化安全防护机制,例如通过云计算技术构建超大规模安全事件、信息采集与处理平台,实现对海量信息的采集与关联分析,提升全网安全事件把控能力及风险控制能力。利用云计算技术所构建的平台可以按照本申请的方案进行网络威胁溯源,为用户提供安全服务。
图1示出了可以应用本申请实施例的技术方案的应用场景图。
如图1所示,该应用场景包括待监控端110和分析系统120,其中,待监控端110可以是用于提供服务的服务平台,例如某一应用对应的服务器,也可以是由某一应用和所对应的服务器构成的系统,在此不进行具体限定。
分析系统120可以由若干计算机设备构成,计算机设备例如服务器,该分析系统120与待监控端110通信连接。待监控端110端中的数据,例如所产生的流量、日志、以及样本等均可以上传到分析系统120中。
由分析系统120中的探针对待监控端110中所上传的数据进行探测,以判断待监控端110中是否存在可疑行为,如果存在,按照本申请的方案对可疑行为对应的可疑文本进行溯源。
在本申请的一些实施例中,分析系统120得到针对可疑文本的溯源结果后,还可以进行威胁告警,以提示相关人员及时关注并应对。
以下对本申请实施例的技术方案的实现细节进行详细阐述:
图2是根据本申请的一个实施例示出的威胁溯源方法的流程图,该方法可由具备处理能力的计算机设备执行,例如服务器。参照图2所示,该威胁溯源方法至少包括步骤210至步骤250,详细介绍如下。
步骤210,监测可疑文本在沙箱中的运行,获得可疑文本的监测数据。
沙箱用于为程序提供一个虚拟化环境(又可称为隔离环境),并保证程序所有操作都在这个隔离环境内。沙箱通常是作为一些来源不可行信、具有破坏力或无法判定程序意图的程序提供实验之用。
可疑文本是指运行时可能带来安全威胁的程序代码,例如利用网络或者硬件实体存在的漏洞和安全威胁对网络系统的硬件、软件及系统中的数据进行攻击的代码。
在可疑文本在沙箱中运行的过程中,监控可疑文本的运行过程,以采集到对应于可疑文本的监测数据。其中,监测数据用于描述可疑文本在运行过程中的运行状态、所实施的行为等运行信息。
在本申请的一些实施例中,如图2所示,在步骤210之前,该方法还包括步骤201-204。
步骤201,获取探针所捕获到的可疑信息。
探针是能够对网络中的数据包进行采集、分析、信息提取的网络流量处理工具。在本申请的一个实施例中,探针所探测的对象可以是流量、日志以及文件样本等。
在本申请的一个实施例中,为了较为全面地监控系统中的事件,可以在系统的多个节点布设探针。例如可以在FW(Firewall,防火墙)、IPS(Intrusion Prevention System,入侵防御系统)、操作系统(如Windows)、数据库、应用等所在节点设置探针。通过探针来从所采集到的数据中捕获可疑信息,若捕获到可疑信息,则对应表明存在可疑行为。
步骤202,确定对应于可疑信息的目标分析任务。
在本申请的一些实施例中,可以根据捕获到可疑信息的探针来确定对应于可疑信息的目标分析任务。在该实施例中,预先设定探针的类型与分析任务之间的对应关系,从而,在探针捕获到可疑信息时,根据探针的类型与分析任务之间的对应关系,来确定目标分析任务。
在本申请的一个实施例中,还可以为探针设置优先级信息,所设置的优先级信息用于指示该探针所对应分析任务的优先级,以对优先级高的分析任务优先进行处理。
步骤203,确定与目标分析任务相适配的沙箱平台。
不同的分析任务其分析的对象、分析目的和分析的侧重点、分析所需要的数据等存在差异。因此,为了保证目标分析任务的顺利完成,针对每一分析任务,指定了可以实现该分析任务的沙箱平台,所指定的沙箱平台即与该分析任务相适配的沙箱平台。在目标分析任务确定的情况下,为目标分析任务所指定的沙箱平台即作为与目标分析任务相适配的沙箱平台。
在本申请的一些实施例中,沙箱平台按照所模拟的操作系统分,可以分为Windows沙箱平台和Linux沙箱平台。
步骤204,在所确定沙箱平台中部署的沙箱中运行可疑信息对应的可疑文本。
在本申请的一些实施例中,步骤210进一步包括:获取为目标分析任务配置的监测指示信息,监测指示信息指示了为目标分析任务设置的至少一监测任务;在可疑文本在沙箱中运行的过程中,对监测任务对应的监测对象进行监测,获得对应的监测数据。
在本实施例中,分析任务的实现通过为分析任务所设置的监测任务来实现。其中,为分析任务所设置的监测任务可以是一项也可以是多项,而每一项监测任务所监测的对象不同。
分析任务对应的监测指示信息用于指示为分析任务所设置的监测任务,每一项监测任务对应指定了监测对象,例如一监测任务用于监测文件新建行为,另一监测任务用于监测注册表行为等。通过执行监测任务,对应获得该监测任务所对应监测对象的监测数据。
请继续参阅图2,步骤220,从监测数据中提取静态特征和动态行为特征。
静态行为特征可以是文件的加密信息(例如文件的哈希值、MD5(Message-DigestAlgorithm 5,消息摘要算法第5版)值等)、IP地址(Internet Protocol Address,互联网协议地址)、域名、通信协议等中的至少一项。
动态行为特征用于描述可疑文本在运行过程中所实现的行为,例如所实现的行为包括文件操作行为(例如删除文件、新增文件、读取文件的操作行为)、注册表行为、网络行为、进程行为等。
监测数据中记录了可疑文本在沙箱中运行的过程中一系列行为和状态信息,因此,可以对应从中进行静态特征和动态行为特征提取。
步骤230,根据静态特征进行线索拓线,确定针对可疑文本的第一溯源结果。
线索拓线是指根据静态特征进行信息拓展和推理。具体的,可以借助于构建的威胁知识库来进行线索拓线。
威胁知识库是根据已发现的攻击者(例如病毒、木马等)的攻击者信息进行构建的,其中,攻击者信息包括攻击者自身的基本信息和与攻击者相关联的信息。攻击者自身的基本信息例如攻击者对应的域名、攻击者所在的IP地址、域名解析结果、攻击者所对应域名的子域名等,与攻击者相关联的信息例如攻击者历史攻击的对象、攻击路径、与攻击者所在域名通信的样本信息、从域名下载的样本所对应样本标识、包含域名信息的样本所对应样本标识等。
基于所构建的威胁知识库,根据所提取的静态特征在威胁知识库中进行关联关系挖掘,为可疑文本构建知识图谱,然后为可疑文本进行溯源,得到第一溯源结果。
第一溯源结果是指按照静态特征对进行线索拓展而为可疑文本所确定的溯源结果,其中,该第一溯源结果可以指示可疑文本所来源的攻击者、可以样本所属的攻击组织等指示可疑文本来源的信息。
在本申请的一些实施例中,步骤230进一步包括:获取与静态特征相关联的关联信息;根据关联信息与静态特征构建知识图谱;根据知识图谱进行溯源,得到第一溯源结果。
其中,与静态特征相关联的关联信息可以是与静态特征直接关联的信息,也可以是与静态特征间接关联的信息,在此不进行具体限定。
在本申请的一些实施例中,与静态特征相关联的关联信息可以是域名解析结果、静态特征中域名的子域名信息(可通过对域名进行域名解析确定其子域名)、域名下的URL信息、与域名通信的样本信息、从域名下载的样本信息等。
基于静态特征中的实体与关联信息中实体之间的关联关系,将静态特征中的实体与关联信息中的实体相关联。当然,关联信息中的实体还可能与更多的实体相关联,继续进行图谱的扩展,也就是说,为构建知识图谱,可以以静态特征中的实体作为起点,进行多级关系的遍历,将与静态特征中的实体直接关联和间接关联的实体来进行知识图谱的构建。
所构建的知识图谱可以作为对应于可疑文本的攻击者画像,然后以该画像作为基础进行溯源,确定可疑文本的来源。
在本申请的一个实施例中,可以将为可疑文本所构建的攻击者画像作为待识别画像,通过在已知的攻击者画像中进行匹配来进行溯源。先计算待识别画像与已知的每一攻击者画像之间的相似度,然后根据所计算得到的相似度来确定第一溯源结果。其中,已知的攻击者画像可以存储于威胁知识库中。
在本申请的一个实施例中,可以设定相似度阈值,将相似度大于相似度阈值的若干个已知攻击者画像所指示的攻击者作为可疑文件的候选来源方,或者对相似度按照由大到小排序,将排序中位于前设定数量的已知攻击者画像所指示的攻击者作为可疑文本的候选来源方,然后根据所确定的候选来源方确定第一溯源结果,该第一溯源结果可以指示所确定的候选来源方。
在本申请的一些实施例中,第一溯源结果所指示的候选来源方可以是一个也可以是多个。
当然,若为可疑文本所构建的攻击者画像与已知攻击者画像之间的相似度均低于设定阈值,则表明该可疑文本是安全的,则生成指示该可疑文本为安全文件的第一溯源结果。
在本申请的一些实施例中,根据知识图谱进行溯源,得到第一溯源结果,包括:获取知识图谱中各条攻击者线索所对应的线索权重;根据各条攻击者线索所指向的攻击者和攻击者线索所对应的线索权重,确定第一溯源结果。
在所构建的知识图谱中,各个节点之间相关联,众多的节点中,可能存在直接指向攻击者/攻击者所属家族的节点,或者直接与攻击者所在节点相间接关联的节点,那么任一由静态特征中的实体指向攻击者的关系链均可以作为一条攻击者线索。
在为可疑文本所构建的知识图谱中,可能存在一条或者多条攻击者线索,而多条攻击者线索所指示的攻击者可以是同一攻击者,也可以是不同的攻击者。因此,在本实施例的方案中,根据每条攻击者线索的权重来确定可疑文本的候选攻击者。
其中每条攻击者线索对应的权重可以是预先设定的,也可以根据攻击者线索的重要程度来设定的。其中,攻击者线索的重要程度可以通过攻击者线索的长度来体现,即由静态特征中的实体指向攻击者的关系链的长度来体现,关系链的长度越短,其对应的权重越大。
在本申请的一个实施例中,将知识图谱中,指向同一个攻击者的攻击者线索所对应权重相加,得到指向同一攻击者的目标权重。然后根据攻击者的目标权重来确定可疑文本的候选攻击者,例如按照由大到小的顺序进行目标权重排序,将排序中的前N个目标权重所对应的攻击者作为可疑文本的候选攻击者。进而,根据所确定的候选攻击者来确定第一溯源结果。
以及步骤240,根据动态行为特征进行行为拓线,确定针对可疑文本的第二溯源结果。
行为拓线是指根据所提取的动态行为特征匹配特定的攻击模式,将时序的行为信息转化为高维度的攻击行为信息。
基于同一家族进行攻击的战术行为模式是相似的这一规律,可以根据可疑文件运行过程中所体现出的行为模式来识别可疑文件所来源攻击者的家族。
在本申请的方案中,所提取的动态行为特征可以体现可疑文件在运行过程中所实施的行为,因此,基于所提取的动态行为特征可以分析所采用的攻击行为模式,并以此为基础识别可疑文件所来源的家族。
通过动态行为特征来进行行为拓线并进行溯源的过程可以称为TTPs家族定性的过程。其中,TTPs(Tactics,Techniques,and Procedures,战术情报)家族定性是指在同一家族的战术行为模式是相似的这一规律下,根据可疑文本的攻击行为序列识别家族的定性规则。TTPs是用来描述攻击者如何进行攻击的,即攻击模式,包括攻击的方法、工具和策略。
如上所描述,动态行为特征用于描述可疑文件运行过程中所实施的行为,例如文件操作行为(例如删除文件、新增文件、读取文件的操作行为)、注册表行为、网络行为、进程行为等。通过分析所提取的动态行为特征可以挖掘出可疑文件的来源方所采用的攻击模式(方法、策略、工具等),进而以此为基础,反向识别确定可疑文件所来源的家族(或者组织)。
第二溯源结果用于指示可疑文件的来源方所属的候选家族,当然,候选家族是指作为攻击组织所属的家族。在具体实施例中,第二溯源结果所指示的候选家族可以是一个也可以是多个,在此不进行具体限定。
在本申请的一些实施例中,步骤240进一步包括:根据动态行为特征在攻击技术规则库中进行规则匹配,确定目标技术规则;在家族库中确定目标技术规则对应的目标家族;根据目标技术规则对应的家族确定可疑文本的家族溯源结果。
具体的,可以将动态行为特征、动态行为特征所指示行为的时序信息转化为高维度的攻击行为信息,该攻击行为信息可以包括所实施的攻击行为、攻击行为之间的时序关系等。
其中,攻击技术规则库包括多个攻击技术规则,该攻击技术规则用于描述被确定为攻击行为的行为模式。
在本申请的一个实施例中,在攻击技术规则库中进行规则匹配,以确定与动态行为特征中的攻击行为相匹配的目标技术规则。
在本申请的一个实施例中,还可以先在动态行为特征中确定攻击行为,然后根据所确定的攻击行为和攻击行为之间的时序信息转化为高纬度的攻击行为信息,以该高维度的攻击行为信息为基础,在攻击技术规则库中进行规则匹配,确定目标技术规则。
家族库中存储了多个家族的家族信息,其中,家族信息至少包括该家族所独有的攻击技术规则列表。在确定目标技术规则定后,在家族库中各家族的家族信息中匹配该目标技术规则,若匹配到该目标技术规则,则与目标技术规则相关联的家族即可以作为可疑文本所来源的家族。
当然,如果在规则技术库中没有匹配到目标技术规则,则表明基于所提供的技术规则库,该可疑文本是安全的,不存储威胁,对应生成指示该可疑样本是安全的第二溯源结果。
步骤250,将第一溯源结果和第二溯源结果进行融合,得到目标溯源结果。
在本申请的一个实施例中,可以根据按照权重来确定目标溯源结果。具体的,根据第一溯源结果对应的权重和第二溯源结果对应的权重来综合确定目标溯源结果。
第一溯源结果对应的权重可以根据得到第一溯源结果所依据的线索的来确定,例如根据所依据的线索的数量,或者根据所依据线索的线索权重来确定。同理,第二溯源结果对应的权重也可以根据得到第二溯源结果所依据的线索来确定,例如线索的数量、线索的线索权重等。
在本申请的一个实施中,当第一溯源结果和第二溯源结果均用于指示所来源的家族时,且第一溯源结果所指示来源的家族与第二溯源结果所指示来源的家族不相同时,可以将所对应的权重较大的溯源结果作为目标溯源结果;若第一溯源结果所指示来源的家族与第二溯源结果所指示来源的家族相同,则可以直接将第一溯源结果或者第二溯源结果作为目标溯源结果。
在本申请的一个实施中,当第一溯源结果用于指示所来源的攻击者,第二溯源结果用于指示所来源的家族时,可以先确定第一溯源结果所来源的攻击者所属的家族,如果第一溯源结果所来源的攻击者所属的家族与第二溯源结果所指示来源的家族不一致时,可以将所对应的权重较大的溯源结果作为目标溯源结果。
在本申请的一个实施中,若第一溯源结果用于指示所来源的多个候选攻击者,第二溯源结果用于指示所来源的多个候选家族时,可以先确定第一溯源结果所来源的多个候选攻击者分别所属的家族,然后对比判断第二溯源结果所指示来源的多个候选家族是否存在与第一溯源结果所指示来源的多个候选攻击者所属的家族相同的候选者家族,若存在,则根据该相同的候选家族和第一溯源结果所指示来源于该相同的候选家族的攻击者确定目标溯源结果;反之,若不存在,则将权重较大的溯源结果作为目标溯源结果。
在本申请的方案中,以静态特征为基础对可疑文件进行溯源,得到第一溯源结果,以动态行为特征为基础对可疑文件进行溯源,得到第二溯源结果,实现了从两个不同的维度(静态特征维度和动态行为特征维度)对存在安全威胁的可疑文件进行溯源。将第一溯源结果和第二溯源结果进行融合得到目标溯源结果,因此,目标溯源结果所指示可疑文件的来源信息参考了两种不同维度下的溯源结果,保证了目标溯源结果的准确性和可靠性,提升了目标溯源结果的可信度。
在本申请的一些实施例中,步骤250之后,该方法还包括:获取对应于第一溯源结果的第一溯源信息;以及获取对应于第二溯源结果的第二溯源信息;根据目标溯源结果、第一溯源信息和第二溯源信息生成告警提示信息。
其中,第一溯源信息用于指示得到第一溯源结果所依据的线索;第二溯源结果用于指示得到第二溯源结果所依据的线索。
通过告警提示信息一方面来指示针对可疑文件的目标溯源结果,另一方面指示得到该目标溯源结果所依据的线索。便于相应的人员针对该可疑文件及时采取措施,或者进一步根据目标溯源结果进行人工研判。
在本申请的一些实施例中,该方法还包括:从攻击技术规则库中获取第一溯源结果指示攻击者对应的历史技术规则;若历史技术规则与目标技术规则不一致,则生成变种指示信息,通过变种指示信息指示可疑文本所来源的攻击者发生了变种。
攻击技术规则库中包括各个家族的攻击者在历史攻击过程中所采用的攻击技术规则(例如攻击方法、攻击策略等)。所获取的第一溯源结果所指示攻击者对应的历史技术规则是指第一溯源结果所指示攻击者在历史攻击过程中所采用的攻击技术规则。
如果所获取的历史技术规则与所确定的目标技术规则不一致,或者在历史技术规则包括多个技术规则的情况下,如果历史技术规则中不包括目标技术规则则表明第一溯源结果所指示攻击者的攻击行为模式发生了变化,对应说明该第一溯源解雇所指示攻击者的发生了变种。
在本申请的一些实施例中,在家族库中确定目标技术规则对应的目标家族之后,该方法还包括:
若第一溯源结果指示可疑文本的来源方为非攻击者,则根据目标技术规则生成新威胁指示信息,通过新威胁指示信息指示可疑文本的来源方由非攻击者转变为了攻击者。
在本实施中,攻击技术规则库中所存储的技术规则是攻击者在攻击过程中已被采用过的攻击技术规则。由于当前在攻击技术规则库中为可疑文件匹配到了目标技术规则,则表明可疑文件在沙箱中运行过程中所表现出的行为是具有威胁性的攻击行为。
若第一溯源结果指示可疑文本的来源方为非攻击者,而在技术规则库中为可疑文件匹配到了目标技术规则,则表明可疑文本的来源方在过去不是攻击者,而当前已经转变为了攻击者,因此,通过生成的新威胁指示信息来提示可疑文本的来源方由非攻击者转变为了攻击者。
在本申请的一些实施例中,将所生成的变种指示信息或新威胁指示信息通过即时通讯应用发送至设定的用户,以便于用户及时进行处理和应对。
以下结合一具体实施例对本申请的方案进行进一步说明。
图3是根据一具体实施例示出应用场景图,如图3所示,通过拓线分析系统来执行本申请的威胁溯源方法。如图3所示,拓线分析系统包括探针探测模块310、任务确定模块320、监测模块330、拓线模块340和定性模块350。
探针探测模块310用于在探测对象中捕获可疑信息。其中,探测对象可以是流量、日志和样本,流量、日志和样本可以是来源于客户端,也可以来源于服务端(例如云端)。
任务确定模块320用于确定目标分析任务。若探针捕获到可疑信息,则确定目标分析任务,然后确定与目标分析任务相适配的沙箱平台,以在所确定的沙箱平台中运行可疑文本。
监测模块330用于监测可疑文本在沙箱中的运行。通过监测可疑文本在沙箱中的运行来得到对应于可疑文本的监测数据。
拓线模块340用于进行线索拓线和行为拓线。具体的,先从监测数据中先提取静态特征和动态行为特征,然后根据静态特征进行线索拓线,确定第一溯源结果;根据动态行为特征进行行为拓线,得到第二溯源结果。
定性模块350用于确定目标溯源结果。具体根据第一溯源结果和第二溯源结果来综合确定目标溯源结果。
如图3所示,在得到目标溯源结果后,还根据该目标溯源结果进行告警,具体可以通过输出告警提示信息进行告警。
图4是根据一具体实施示出的威胁溯源方法的流程图。如图4所示,包括步骤401-410。
步骤401、探针捕获可疑信息。
在本实施例中,探针的探针信息包含探针ID、探针描述和任务等级。其中,任务等级用于指示所在探针捕获到可疑信息时针对可疑信息所生成目标分析任务的等级,等级越高,执行该目标分析任务的优先级越高。其中,探针描述用于描述探针所探测的具体对象。下述表1列举了部分探针极其对应的探针描述和任务等级。
在本实施例中,提供了272个探针,探测的数据包含客户端数据与云端数据,数据类型涵盖流量、日志与文件。其中,探针捕获到的可疑信息自动映射到13种分析任务。
步骤402,确定目标分析任务。
在捕获到可疑信息后,根据可疑信息自动进行分析任务映射,确定目标分析任务,其中,可以预先设定线索与分析任务之间的映射关系。在捕获到可疑信息后,从可疑信息中进行线索提取,进而基于线索与分析任务之间的映射关系,确定所提取线索对应的目标分析任务。所提取的线索可以是IP、域名、文件信息和命令信息等,在此不进行具体限定。
在本实施例中,13种分析任务分别为:C端实时流分析任务、APT文档分析任务、可疑IOC分析任务、御点实时流分析任务、沙箱样本分析任务、防御探针新线索分析任务、防御探针可疑文本分析任务、供应链静默推广分析任务、云镜可疑文本分析任务、防火墙威胁情报分析任务、防火墙IDS规则分析任务、云镜可疑命令分析任务、云镜反弹shell命令分析任务。当然,在其他实施例中,分析任务并不限于上述所列举,具体可结合实际情况来设定分析任务。
步骤403,匹配沙箱平台。
在本实施例中,根据所适配的操作系统,将分析任务划分为适配于Windows系统的分析任务和适配于Linux系统的分析任务。因此,对应提供了两种沙箱平台,即Windows沙箱平台和Linux沙箱平台。
步骤404,监测沙箱行为。
在为目标分析任务匹配沙箱平台后,在所确定的沙箱平台中运行可疑文本,并监测可疑文本在沙箱中的运行过程中的行为并记录日志,得到对应的监测数据。
其中,目标分析任务中可以包括多个监测任务,每一监测任务所的监测对象不同,每项监测任务监测对应的监测对象,并记录运行时的日志,得到对应的监测数据。由于按监测任务进行监测,因此可以通过监测任务的任务标识检索可疑文本运行时的行为。
步骤405,根据静态特征进行线索拓线。
在本实施例中,在线索和动态行为这两个维度进行拓线,即步骤405中的线索拓线和步骤406中的行为拓线。所提取的静态特征可以是IP、域名、可疑文件的MD5值等。然后基于所提取的静态特征构建知识图谱。具体的,可以对所提取的域名进行解析、获取与可疑文本相似的样本来进行知识图谱的扩展。
图5中510的过程示出了通过线索拓线得到第一溯源结果的流程图,如图5所示,根据所提取的IP、域名和文件MD5,利用知识图谱来进行线索扩展,例如,从域名解析结果维度、相似样本维度等,从而构建得到针对可疑文本的知识图谱;然后根据威胁知识库和所构建的知识图谱进行溯源,确定第一溯源结果以及对应生成第一溯源信息。
在本实施例中,还可以可视化显示所构建的知识图谱。图6是根据一实施例示出的针对tyl123.cn这一域名所构建的知识图谱的示意图,如图6所示,以tyl123.cn这一域名为起点,从域名解析结果(对应于图6中H节点所在方向)、域名所属的病毒家族(对应于图6中G节点所在方向)、访问该域名的样本文件的MD5值(对应于图6中B节点所在方向)、包含白域名的样本文件的MD5值((对应于图6中C节点所在方向))、从该域名下载的样本文件(对应于图6中D节点所在方向)、域名的子域名(对应于图6中E节点所在方向)、域名包含的URL(Uniform Resource Locator,统一资源定位符)(对应于图6中F节点所在方向)这些维度构建知识图谱。
具体的,以节点A表示tyl123.cn这一域名,节点B代表MD5访问domain,其表示节点B的下一级节点为访问tyl123.cn的样本文件的MD5值;节点C表示MD5包含domain,其表示节点C的下一级节点为包含tyl123.cn这一域名的文件的MD5值;节点D为MD5下载domain,其指示节点D的下一级节点为从tyl123.cn所下载文件的MD5值;节点E为domain子域名,其表示节点E的下一级节点为tyl123.cn的子域名;节点F为domain包含URL,其表示节点F的下一级节点为tyl123.cn这一域名下的URL;节点H为domain解析,其表示节点H的下一级节点为tyl123.cn的域名解析结果中所包含的IP;节点G为domain属于病毒家族,其表示节点G的下一级节点为domain所属的病毒家族。
步骤406,根据动态行为特征进行行为拓线。
图5中520的过程示出了通过行为拓线得到第二溯源结果的流程图。为了进行行为拓线,先从步骤404所得到监测数据中提取动态行为特征。如图5所示,根据所提取动态行为特征(文件行为、注册表行为、网络行为和进程行为),在攻击技术规则库中进行规则匹配,确定与动态行为特征中的攻击行为相匹配的目标技术规则;然后根据目标技术规则和攻击行为之间的时序关系在TTPs家族库中进行家族匹配,确定可疑文本所来源的目标家族,并对应生成第二溯源结果和第二溯源信息。
在本实施例中,攻击技术规则库中包括717条攻击技术规则。TTPs家族库中包括206条家族数据,每一家族对应有家族独特的攻击技术列表。图7是根据一实施例示出的家族知识库中一家族所对应家族信息的显示示意图,如图7所示,家族信息包括状态、规则级别、家族/事件名、管家-家族/事件名、威胁分类、TTPs技术列表(即该家族对应的攻击技术列表)和描述信息。
技术规则库是根据所收集的已知攻击者的数据来构建的,通过已知攻击者的历史进行攻击的数据来分析确定该攻击者的攻击模式、所引起的威胁对应的威胁分类等信息,攻击者的攻击模式通过技术规则来描述。在此基础上,得到对应于每一攻击者的技术规则。进而根据攻击者的信息,确定攻击者所属的家族。进而整合归属于同一家族的攻击者的信息,得到每一家族对应的攻击技术列表。
步骤407,确定目标溯源结果。
在本实施例中,根据第一溯源结果和第二溯源结果、结合所分别对应的权重来确定目标溯源结果。
该目标溯源结果可以用于指示威胁所最可能的攻击者、以及攻击者所最可能来源的家族等。进一步的,该目标溯源结果还可以进一步包括得出第一溯源结果所依据的线索、得出第二溯源结果所依据的线索,从而,便于用户根据目标溯源结果中的线索进行溯源分析的复盘。
步骤408,生成告警提示信息。
根据目标溯源结果与溯源数据自动生成告警提示信息。图8是根据一具体实施例示出的告警提示信息的显示示意图,如图8所示,该告警提示信息包含动态运行时可疑行为(即告警内容部分所记录的沙箱行为分析)、溯源信息、攻击行为和目标溯源结果、TTPs信息(该TTPs信息用于描述攻击的战术、技术、行为模式,在图8中,通过TTPs战术列表来表征攻击的战术、技术以及行为模式)等。
步骤409,判断是否发现新威胁或威胁变种。若为是,则执行步骤410。
其中,新威胁是指一攻击者是从非攻击者转变为攻击者,而威胁变种指示一攻击者的攻击模式发生变化。具体对于新威胁和威胁变种的确定,参见上文描述,在此不再赘述。
步骤410,通过即时通讯软件及时告警。
图9示出了告警信息在即时通讯软件中的显示示意图,如图9所示,在告警信息中对应示出告警类型、威胁ID、线索、定性结果(即目标溯源结果)、定性可信度、变种类型、分析结果,其中分析结果具体包括威胁所属家族、家族关联路径、IOCs扩展分析、动态行为分析。
其中定性可信度用于向用户提供用于量化目标溯源结果可信度的参考。该定性可信度可以基于确定目标溯源记录所依据的线索的权重来确定,或者根据确定目标溯源记录所依据的线索的数量来确定,在此不进行具体限定。定性可信度也能帮助用户做出正确的判定,提高人工研判的效率。
在本实施例中,拓线分析系统还可以进行家族出现频次(频率和/或次数)、可疑文本出现频次、可疑域名的出现频次、可疑IP地址的可疑IP地址的统计,进而分别计算得到家族热度、可疑文件热度、可疑域名热度、可疑IP地址热度,通过所计算得到的家族热度、可疑文件热度、可疑域名热度、可疑IP地址热度可以进一步分析威胁的传播趋势。
在本实施例的方案中,在进行拓线的过程中,会自动过滤掉确定不具有威胁的可疑文本,因此,可以保证所进行告警的可信度。
本申请的方案可以应用在在大型的安全防护任务(例如:护网)中,能充分发挥知识库(威胁知识库、技术规则库和家族库)的自动化拓线告警的优势,减少安全防护工作人员的压力。
以下介绍本申请的装置实施例,可以用于执行本申请上述实施例中的方法。对于本申请装置实施例中未披露的细节,请参照本申请上述方法实施例。
图10是根据一实施例示出的威胁溯源装置的框图,如图10所示,该威胁溯源装置包括:监测数据获取模块1010,用于监测可疑文本在沙箱中的运行,获得可疑文本的监测数据;特征提取模块1020,用于从监测数据中提取静态特征和动态行为特征;线索拓线模块1030,用于根据静态特征进行线索拓线,确定针对可疑文本的第一溯源结果;以及行为拓线模块1040,用于根据动态行为特征进行行为拓线,确定针对可疑文本的第二溯源结果;融合模块1050,用于将第一溯源结果和第二溯源结果进行融合,得到目标溯源结果。
在本申请的一些实施例中,线索拓线模块1030包括:关联信息获取单元,用于获取与静态特征相关联的关联信息;知识图谱构建单元,用于根据关联信息与静态特征构建知识图谱;第一溯源单元,用于根据知识图谱进行溯源,得到第一溯源结果。
在本申请的一些实施例中,第一溯源单元,包括:线索权重获取单元,用于获取知识图谱中各条攻击者线索所对应的线索权重;第一溯源结果确定单元,用于根据各条攻击者线索所指向的攻击者和攻击者线索所对应的线索权重,确定第一溯源结果。
在本申请的一些实施例中,行为拓线模块1040,包括:匹配单元,用于根据动态行为特征在攻击技术规则库中进行规则匹配,确定目标技术规则;目标家族确定单元,用于在家族库中确定目标技术规则对应的目标家族;第二溯源结果确定单元,用于根据目标家族生成针对可疑文本的第二溯源结果。
在本申请的一些实施例中,威胁溯源装置还包括:历史技术规则获取单元,用于从攻击技术规则库中获取第一溯源结果所指示目标攻击者对应的历史技术规则;变种指示信息生成单元,用于若历史技术规则与目标技术规则不一致,则生成变种指示信息,通过变种指示信息指示可疑文本所来源的攻击者发生了变种。
在本申请的一些实施例中,威胁溯源装置还包括:新威胁指示信息生成模块,用于若第一溯源结果指示可疑文本的来源方为非攻击者,则根据目标技术规则生成新威胁指示信息,通过新威胁指示信息指示可疑文本的来源方由非攻击者转变为了攻击者。
在本申请的一些实施例中,威胁溯源装置还包括:第一溯源信息获取模块,用于获取对应于第一溯源结果的第一溯源信息;以及第二溯源信息获取模块,用于获取对应于第二溯源结果的第二溯源信息;告警提示信息生成模块,用于根据目标溯源结果、第一溯源信息和第二溯源信息生成告警提示信息。
在本申请的一些实施例中,威胁溯源装置还包括:可疑信息获取模块,用于获取探针所捕获到的可疑信息;目标分析任务确定模块,用于确定对应于可疑信息的目标分析任务;沙箱平台确定模块,用于确定与目标分析任务相适配的沙箱平台;运行模块,用于在所确定沙箱平台中部署的沙箱中运行可疑信息对应的可疑文本。
在本申请的一些实施例中,监测数据获取模块,包括:监测指示信息获取单元,用于获取为目标分析任务配置的监测指示信息,监测指示信息指示了为目标分析任务设置的至少一监测任务;监测单元,用于在可疑文本在沙箱中运行的过程中,对监测任务对应的监测对象进行监测,获得对应的监测数据。
图11示出了适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。
需要说明的是,图11示出的电子设备的计算机系统1100仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图11所示,计算机系统1100包括中央处理单元(Central Processing Unit,CPU)1101,其可以根据存储在只读存储器(Read-Only Memory,ROM)1102中的程序或者从存储部分1108加载到随机访问存储器(Random Access Memory,RAM)1103中的程序而执行各种适当的动作和处理,例如执行上述实施例中的方法。在RAM 1103中,还存储有系统操作所需的各种程序和数据。CPU 1101、ROM 1102以及RAM 1103通过总线1104彼此相连。输入/输出(Input /Output,I/O)接口1105也连接至总线1104。
以下部件连接至I/O接口1105:包括键盘、鼠标等的输入部分1106;包括诸如阴极射线管(Cathode Ray Tube,CRT)、液晶显示器(Liquid Crystal Display,LCD)等以及扬声器等的输出部分1107;包括硬盘等的存储部分1108;以及包括诸如LAN(Local AreaNetwork,局域网)卡、调制解调器等的网络接口卡的通信部分1109。通信部分1109经由诸如因特网的网络执行通信处理。驱动器1110也根据需要连接至I/O接口1105。可拆卸介质1111,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1110上,以便于从其上读出的计算机程序根据需要被安装入存储部分1108。
特别地,根据本申请的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本申请的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分1109从网络上被下载和安装,和/或从可拆卸介质1111被安装。在该计算机程序被中央处理单元(CPU)1101执行时,执行本申请的系统中限定的各种功能。
需要说明的是,本申请实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、闪存、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory,CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、有线等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。其中,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现,所描述的单元也可以设置在处理器中。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定。
作为另一方面,本申请还提供了一种计算机可读存储介质,该计算机可读介质可以是上述实施例中描述的电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读存储介质承载计算机可读指令,当该计算机可读存储指令被处理器执行时,实现上述实施例中的方法。
根据本申请的一个方面,还提供了一种电子设备,其包括:处理器;存储器,存储器上存储有计算机可读指令,计算机可读指令被处理器执行时,实现上述实施例中的方法。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本申请的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本申请实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、触控终端、或者网络设备等)执行根据本申请实施方式的方法。
本领域技术人员在考虑说明书及实践这里公开的实施方式后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。
Claims (11)
1.一种威胁溯源方法,其特征在于,包括:
监测可疑文本在沙箱中的运行,获得所述可疑文本的监测数据;
从所述监测数据中提取静态特征和动态行为特征;
根据所述静态特征进行线索拓线,确定针对所述可疑文本的第一溯源结果;以及
根据所述动态行为特征进行行为拓线,确定针对所述可疑文本的第二溯源结果;
将所述第一溯源结果和所述第二溯源结果进行融合,得到目标溯源结果;
其中,所述根据所述动态行为特征进行行为拓线,确定针对所述可疑文本的第二溯源结果,包括:
根据所述动态行为特征在攻击技术规则库中进行规则匹配,确定目标技术规则;
在家族库中确定所述目标技术规则对应的目标家族;
根据所述目标家族生成针对所述可疑文本的第二溯源结果。
2.根据权利要求1所述的方法,其特征在于,所述根据所述动态行为特征在攻击技术规则库中进行规则匹配,确定目标技术规则之后,所述方法还包括:
从所述攻击技术规则库中获取所述第一溯源结果所指示目标攻击者对应的历史技术规则;
若所述历史技术规则与所述目标技术规则不一致,则生成变种指示信息,通过所述变种指示信息指示所述可疑文本所来源的攻击者发生了变种。
3.根据权利要求1所述的方法,其特征在于,所述根据所述静态特征进行线索拓线,确定针对所述可疑文本的第一溯源结果,包括:
获取与所述静态特征相关联的关联信息;
根据所述关联信息与所述静态特征构建知识图谱;
根据所述知识图谱进行溯源,得到所述第一溯源结果。
4.根据权利要求3所述的方法,其特征在于,所述根据所述知识图谱进行溯源,得到所述第一溯源结果,包括:
获取所述知识图谱中各条攻击者线索所对应的线索权重;
根据各条攻击者线索所指向的攻击者和所述攻击者线索所对应的线索权重,确定所述第一溯源结果。
5.根据权利要求1所述的方法,其特征在于,所述根据所述动态行为特征在攻击技术规则库中进行规则匹配,确定目标技术规则之后,所述方法还包括:
若所述第一溯源结果指示所述可疑文本的来源方为非攻击者,则根据所述目标技术规则生成新威胁指示信息,通过所述新威胁指示信息指示所述可疑文本的来源方由非攻击者转变为了攻击者。
6.根据权利要求1所述的方法,其特征在于,所述将所述第一溯源结果和所述第二溯源结果进行融合,得到目标溯源结果之后,所述方法还包括:
获取对应于所述第一溯源结果的第一溯源信息;以及获取对应于所述第二溯源结果的第二溯源信息;
根据所述目标溯源结果、所述第一溯源信息和所述第二溯源信息生成告警提示信息。
7.根据权利要求1所述的方法,其特征在于,所述监测可疑文本在沙箱中的运行,获得所述可疑文本的监测数据之前,所述方法还包括:
获取探针所捕获到的可疑信息;
确定对应于所述可疑信息的目标分析任务;
确定与所述目标分析任务相适配的沙箱平台;
在所确定沙箱平台中部署的沙箱中运行所述可疑信息对应的可疑文本。
8.根据权利要求7所述的方法,其特征在于,所述监测可疑文本在沙箱中的运行,获得所述可疑文本的监测数据,包括:
获取为所述目标分析任务配置的监测指示信息,所述监测指示信息指示了为所述目标分析任务设置的至少一监测任务;
在所述可疑文本在沙箱中运行的过程中,对所述监测任务对应的监测对象进行监测,获得对应的监测数据。
9.一种威胁溯源装置,其特征在于,包括:
监测数据获取模块,用于监测可疑文本在沙箱中的运行,获得所述可疑文本的监测数据;
特征提取模块,用于从所述监测数据中提取静态特征和动态行为特征;
线索拓线模块,用于根据所述静态特征进行线索拓线,确定针对所述可疑文本的第一溯源结果;以及
行为拓线模块,用于根据所述动态行为特征进行行为拓线,确定针对所述可疑文本的第二溯源结果;
融合模块,用于将所述第一溯源结果和所述第二溯源结果进行融合,得到目标溯源结果;
其中,所述行为拓线模块包括:
匹配单元,用于根据所述动态行为特征在攻击技术规则库中进行规则匹配,确定目标技术规则;
目标家族确定单元,用于在家族库中确定所述目标技术规则对应的目标家族;
第二溯源结果确定单元,用于根据所述目标家族生成针对所述可疑文本的第二溯源结果。
10.一种电子设备,其特征在于,包括:
处理器;
存储器,所述存储器上存储有计算机可读指令,所述计算机可读指令被所述处理器执行时,实现如权利要求1-8中任一项所述的方法。
11.一种计算机可读存储介质,其上存储有计算机可读指令,其特征在于,当所述计算机可读指令被处理器执行时,实现如权利要求1-8中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011308949.XA CN112131571B (zh) | 2020-11-20 | 2020-11-20 | 威胁溯源方法及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011308949.XA CN112131571B (zh) | 2020-11-20 | 2020-11-20 | 威胁溯源方法及相关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112131571A CN112131571A (zh) | 2020-12-25 |
| CN112131571B true CN112131571B (zh) | 2021-03-19 |
Family
ID=73852100
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011308949.XA Active CN112131571B (zh) | 2020-11-20 | 2020-11-20 | 威胁溯源方法及相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112131571B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113676484B (zh) * | 2021-08-27 | 2023-04-18 | 绿盟科技集团股份有限公司 | 一种攻击溯源方法、装置和电子设备 |
| CN113919514B (zh) * | 2021-12-09 | 2022-03-22 | 北京微步在线科技有限公司 | 一种基于威胁情报的样本数据获取方法及装置 |
| CN113946873B (zh) * | 2021-12-21 | 2022-05-06 | 天津联想协同科技有限公司 | 离盘文件追溯方法、装置、终端及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109784059A (zh) * | 2019-01-11 | 2019-05-21 | 北京中睿天下信息技术有限公司 | 一种木马文件溯源方法、系统及设备 |
| CN110545250A (zh) * | 2018-05-29 | 2019-12-06 | 国际关系学院 | 一种多源攻击痕迹融合关联的溯源方法 |
| CN111030986A (zh) * | 2019-10-30 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种攻击组织溯源分析的方法、装置及存储介质 |
| CN111787017A (zh) * | 2020-07-02 | 2020-10-16 | 电子科技大学 | 一种区块链攻击溯源系统及方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106778268A (zh) * | 2016-11-28 | 2017-05-31 | 广东省信息安全测评中心 | 恶意代码检测方法与系统 |
| CN109361643B (zh) * | 2018-06-22 | 2021-05-25 | 中国移动通信集团广东有限公司 | 一种恶意样本的深度溯源方法 |
| CN111666258B (zh) * | 2019-03-06 | 2024-02-06 | 腾讯科技(深圳)有限公司 | 信息处理方法和装置、信息查询方法和装置 |
| CN110188537B (zh) * | 2019-04-26 | 2021-07-20 | 奇安信科技集团股份有限公司 | 数据的分离存储方法及装置、存储介质、电子装置 |
| CN111460445B (zh) * | 2020-03-04 | 2023-08-22 | 奇安信科技集团股份有限公司 | 样本程序恶意程度自动识别方法及装置 |
| CN111800412B (zh) * | 2020-07-01 | 2023-02-21 | 中国移动通信集团有限公司 | 高级可持续威胁溯源方法、系统、计算机设备及存储介质 |
-
2020
- 2020-11-20 CN CN202011308949.XA patent/CN112131571B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110545250A (zh) * | 2018-05-29 | 2019-12-06 | 国际关系学院 | 一种多源攻击痕迹融合关联的溯源方法 |
| CN109784059A (zh) * | 2019-01-11 | 2019-05-21 | 北京中睿天下信息技术有限公司 | 一种木马文件溯源方法、系统及设备 |
| CN111030986A (zh) * | 2019-10-30 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种攻击组织溯源分析的方法、装置及存储介质 |
| CN111787017A (zh) * | 2020-07-02 | 2020-10-16 | 电子科技大学 | 一种区块链攻击溯源系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112131571A (zh) | 2020-12-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11750659B2 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
| CN109347801B (zh) | 一种基于多源词嵌入和知识图谱的漏洞利用风险评估方法 | |
| US20220014560A1 (en) | Correlating network event anomalies using active and passive external reconnaissance to identify attack information | |
| CN112131571B (zh) | 威胁溯源方法及相关设备 | |
| US9300682B2 (en) | Composite analysis of executable content across enterprise network | |
| US11218510B2 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
| US10505986B1 (en) | Sensor based rules for responding to malicious activity | |
| CN110210213B (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
| US20210360032A1 (en) | Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance | |
| CN110188538B (zh) | 采用沙箱集群检测数据的方法及装置 | |
| US20190180032A1 (en) | Classification apparatus, classification method, and classification program | |
| KR20110088042A (ko) | 악성 코드 자동 판별 장치 및 방법 | |
| CN111183620B (zh) | 入侵调查 | |
| CN113886829B (zh) | 一种失陷主机检测方法、装置、电子设备及存储介质 | |
| Zamiri-Gourabi et al. | Gas what? i can see your gaspots. studying the fingerprintability of ics honeypots in the wild | |
| KR102128008B1 (ko) | 사이버 위협 정보 처리 방법 및 장치 | |
| US11321453B2 (en) | Method and system for detecting and classifying malware based on families | |
| CN110188537B (zh) | 数据的分离存储方法及装置、存储介质、电子装置 | |
| CN113722705B (zh) | 一种恶意程序清除方法及装置 | |
| CN115913634A (zh) | 一种基于深度学习的网络安全异常的检测方法及系统 | |
| Suciu et al. | Mobile devices forensic platform for malware detection | |
| US20230008765A1 (en) | Estimation apparatus, estimation method and program | |
| CN116155519A (zh) | 威胁告警信息处理方法、装置、计算机设备和存储介质 | |
| Meenakshi et al. | Literature survey on log-based anomaly detection framework in cloud | |
| Bo et al. | Tom: A threat operating model for early warning of cyber security threats |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40035411 Country of ref document: HK |