CN112560020B - 威胁攻击检测方法、装置、终端设备以及存储介质 - Google Patents
威胁攻击检测方法、装置、终端设备以及存储介质 Download PDFInfo
- Publication number
- CN112560020B CN112560020B CN202110188243.2A CN202110188243A CN112560020B CN 112560020 B CN112560020 B CN 112560020B CN 202110188243 A CN202110188243 A CN 202110188243A CN 112560020 B CN112560020 B CN 112560020B
- Authority
- CN
- China
- Prior art keywords
- file
- target
- script
- threat
- analysis result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开一种威胁攻击检测方法,所述威胁攻击检测方法包括以下步骤:在获取到目标网络的目标流量时,利用所述目标流量,还原所述目标网络的目标传输文件;将所述目标传输文件输入训练获得的文件分析模型,获得文件分析结果;基于所述文件分析结果,获得检测结果。本发明还公开了一种威胁攻击检测装置、终端设备以及计算机可读存储介质。利用本发明的威胁攻击检测方法,提高了威胁攻击检测的准确率。
Description
技术领域
本发明涉及威胁检测技术领域,特别涉及一种威胁攻击检测方法、装置、终端设备以及计算机可读存储介质。
背景技术
目前,APT(高级可持续威胁攻击)为一种极其常见的威胁攻击。威胁攻击具有极强的隐蔽性和针对性。
相关技术中,通过建立应用程序容器,使得应用程序在容器中运行,基于应用程序在容器中的异常运行状态,获得威胁攻击的检测结果。
由于,应用程序的相同异常运行状态可能是不同威胁攻击导致的,所以,采用现有的威胁攻击检测方法,获得的检测结果准确率较低。
发明内容
本发明的主要目的是提供一种威胁攻击检测方法、装置、终端设备以及计算机可读存储介质,旨在解决现有技术中采用现有的威胁攻击检测方法,对目标文件进行威胁攻击检测时,获得的检测结果准确率较低的技术问题。
为实现上述目的,本发明提出一种威胁攻击检测方法,所述威胁攻击检测方法包括以下步骤:
在获取到目标网络的目标流量时,利用所述目标流量,还原所述目标网络的目标传输文件;
将所述目标传输文件输入训练获得的文件分析模型,获得文件分析结果;
基于所述文件分析结果,获得检测结果。
可选的,所述将所述目标传输文件输入训练获得的文件分析模型,获得文件分析结果的步骤之前,所述方法还包括:
获取训练样本文件;
利用所述训练样本文件对神经网络模型进行训练,获得初始文件分析模型;
对所述初始文件分析模型进行压缩,获得所述文件分析模型。
可选的,所述将所述目标传输文件输入训练获得的文件分析模型,获得文件分析结果的步骤之前,所述方法还包括:
对所述目标传输文件进行文件格式化,获得预处理传输文件;
在所述预处理传输文件中筛选满足预设条件的选定传输文件;
所述将所述目标传输文件输入训练获得的文件分析模型,获得文件分析结果的步骤包括:
将所述选定传输文件输入训练获得的文件分析模型,获得文件分析结果。
可选的,所述将所述选定传输文件输入训练获得的文件分析模型,获得文件分析结果的步骤之前,所述方法还包括:
将所述选定传输文件转换为文件灰度图;
所述将所述选定传输文件输入训练获得的文件分析模型,获得文件分析结果的步骤包括:
将所述文件灰度图输入训练获得的文件分析模型,获得文件分析结果。
可选的,所述基于所述文件分析结果,获得检测结果的步骤之前,所述方法还包括:
利用蜜罐收集所述目标传输文件的发送者的脚本文件;
对所述脚本文件进行文件格式化,获得预处理脚本文件;
将所述预处理脚本文件转换为脚本灰度图;
将所述脚本灰度图输入训练获得的脚本分析模型,获得脚本分析结果;
所述基于所述文件分析结果,获得检测结果的步骤包括:
基于所述文件分析结果和所述脚本分析结果,获得检测结果。
可选的,所述基于所述文件分析结果和所述脚本分析结果,获得检测结果的步骤之前,所述方法还包括:
将所述预处理传输文件中不满足所述预设条件的预处理传输文件确定为目标可执行文件;
将所述目标可执行文件投放到沙箱中运行,以获得附加威胁情报;
基于所述附加威胁情报,获得附加威胁信息;
所述基于所述文件分析结果和所述脚本分析结果,获得检测结果的步骤包括:
基于所述文件分析结果、所述脚本分析结果和所述附加威胁信息,获得检测结果。
可选的,所述基于所述附加威胁情报,获得附加威胁信息的步骤包括:
从可疑文件分析引擎获取所述附加威胁情报对应的附加威胁信息。
此外,为实现上述目的,本发明还提出了一种威胁攻击检测装置,所述威胁攻击检测装置包括:
获取模块,用于在获取到目标网络的目标流量时,利用所述目标流量,还原所述目标网络的目标传输文件;
分析模块,用于将所述目标传输文件输入训练获得的文件分析模型,获得文件分析结果;
获得模块,用于基于所述文件分析结果,获得检测结果。
此外,为实现上述目的,本发明还提出了一种终端设备,所述终端设备包括:存储器、处理器及存储在所述存储器上并在所述处理器上运行威胁攻击检测程序,所述威胁攻击检测程序被所述处理器执行时实现如上述任一项所述的威胁攻击检测方法的步骤。
此外,为实现上述目的,本发明还提出了一种计算机可读存储介质,所述计算机可读存储介质上存储有威胁攻击检测程序,所述威胁攻击检测程序被处理器执行时实现如上述任一项所述的威胁攻击检测方法的步骤。
本发明技术方案提出了一种威胁攻击检测方法,通过在获取到目标网络的目标流量时,利用所述目标流量,还原所述目标网络的目标传输文件;将所述目标传输文件输入训练获得的文件分析模型,获得文件分析结果;基于所述文件分析结果,获得检测结果。由于,本发明利用训练获得的文件分析模型对目标传输文件进行分析,获得分析结果,对目标传输文件的分析是静态分析,分析结果较准确的反应了目标传输文件中威胁攻击的具体信息,从而使得检测结果的准确率较高,所以利用本发明的威胁攻击检测方法,提高了威胁攻击检测的准确率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图示出的结构获得其他的附图。
图1为本发明实施例方案涉及的硬件运行环境的终端设备结构示意图;
图2为本发明威胁攻击检测方法第一实施例的流程示意图;
图3为本发明威胁攻击检测装置第一实施例的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的终端设备结构示意图。
终端设备可以是移动电话、智能电话、笔记本电脑、数字广播接收器、个人数字助理(PDA)、平板电脑(PAD)等用户设备(User Equipment,UE)、手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备、移动台(Mobile station,MS)等。终端设备可能被称为用户终端、便携式终端、台式终端等。
通常,终端设备包括:至少一个处理器301、存储器302以及存储在所述存储器上并可在所述处理器上运行的威胁攻击检测程序,所述威胁攻击检测程序配置为实现如前所述的威胁攻击检测方法的步骤。
处理器301可以包括一个或多个处理核心,比如4核心处理器、8核心处理器等。处理器301可以采用DSP(Digital Signal Processing,数字信号处理)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)、PLA(Programmable Logic Array,可编程逻辑阵列)中的至少一种硬件形式来实现。处理器301也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称CPU(CentralProcessingUnit,中央处理器);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器301可以在集成有GPU(Graphics Processing Unit,图像处理器),GPU用于负责显示屏所需要显示的内容的渲染和绘制。处理器301还可以包括AI(Artificial Intelligence,人工智能)处理器,该AI处理器用于处理有关威胁攻击检测方法的操作,使得威胁攻击检测方法模型可以自主训练学习,提高效率和准确度。
存储器302可以包括一个或多个计算机可读存储介质,该计算机可读存储介质可以是非暂态的。存储器302还可包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。在一些实施例中,存储器302中的非暂态的计算机可读存储介质用于存储至少一个指令,该至少一个指令用于被处理器301所执行以实现本申请中方法实施例提供的威胁攻击检测方法。
在一些实施例中,终端还可选包括有:通信接口303和至少一个外围设备。处理器301、存储器302和通信接口303之间可以通过总线或信号线相连。各个外围设备可以通过总线、信号线或电路板与通信接口303相连。具体地,外围设备包括:射频电路304、显示屏305和电源306中的至少一种。
通信接口303可被用于将I/O(Input/Output,输入/输出)相关的至少一个外围设备连接到处理器301和存储器302。在一些实施例中,处理器301、存储器302和通信接口303被集成在同一芯片或电路板上;在一些其他实施例中,处理器301、存储器302和通信接口303中的任意一个或两个可以在单独的芯片或电路板上实现,本实施例对此不加以限定。
射频电路304用于接收和发射RF(Radio Frequency,射频)信号,也称电磁信号。射频电路304通过电磁信号与通信网络以及其他通信设备进行通信。射频电路304将电信号转换为电磁信号进行发送,或者,将接收到的电磁信号转换为电信号。可选地,射频电路304包括:天线系统、RF收发器、一个或多个放大器、调谐器、振荡器、数字信号处理器、编解码芯片组、用户身份模块卡等等。射频电路304可以通过至少一种无线通信协议来与其它终端进行通信。该无线通信协议包括但不限于:城域网、各代移动通信网络(2G、3G、4G及5G)、无线局域网和/或WiFi(Wireless Fidelity,无线保真)网络。在一些实施例中,射频电路304还可以包括NFC(Near Field Communication,近距离无线通信)有关的电路,本申请对此不加以限定。
显示屏305用于显示UI(User Interface,用户界面)。该UI可以包括图形、文本、图标、视频及其它们的任意组合。当显示屏305是触摸显示屏时,显示屏305还具有采集在显示屏305的表面或表面上方的触摸信号的能力。该触摸信号可以作为控制信号输入至处理器301进行处理。此时,显示屏305还可以用于提供虚拟按钮和/或虚拟键盘,也称软按钮和/或软键盘。在一些实施例中,显示屏305可以为一个,电子设备的前面板;在另一些实施例中,显示屏305可以为至少两个,分别设置在电子设备的不同表面或呈折叠设计;在再一些实施例中,显示屏305可以是柔性显示屏,设置在电子设备的弯曲表面上或折叠面上。甚至,显示屏305还可以设置成非矩形的不规则图形,也即异形屏。显示屏305可以采用LCD(LiquidCrystal Display,液晶显示屏)、OLED(Organic Light-Emitting Diode,有机发光二极管)等材质制备。
电源306用于为电子设备中的各个组件进行供电。电源306可以是交流电、直流电、一次性电池或可充电电池。当电源306包括可充电电池时,该可充电电池可以支持有线充电或无线充电。该可充电电池还可以用于支持快充技术。
本领域技术人员可以理解,图1中示出的结构并不构成对终端设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
此外,本发明实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有威胁攻击检测程序,所述威胁攻击检测程序被处理器执行时实现如上文所述的威胁攻击检测方法的步骤。因此,这里将不再进行赘述。另外,对采用相同方法的有益效果描述,也不再进行赘述。对于本申请所涉及的计算机可读存储介质实施例中未披露的技术细节,请参照本申请方法实施例的描述。确定为示例,程序指令可被部署为在一个终端设备上执行,或者在位于一个地点的多个终端设备上执行,又或者,在分布在多个地点且通过通信网络互连的多个终端设备上执行。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,上述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,上述的计算机可读存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(RandomAccessMemory,RAM)等。
基于上述硬件结构,提出本发明威胁攻击检测方法的实施例。
参照图2,图2为本发明威胁攻击检测方法第一实施例的流程示意图,所述方法用于终端设备,所述方法包括以下步骤:
步骤S11:在获取到目标网络的目标流量时,利用所述目标流量,还原所述目标网络的目标传输文件。
需要说明的是,目标网络可以是任何网络协议下网络,网络协议可以是任何类型的网络协议,例如,SMTP,SMB和FTP等,本发明不做限制。目标网络可以是某种网络协议下的全局网络,也可以是某种网络协议下的部分局域网络,也可以包括不同协议下的多个目标网络;不同的目标网络可以是同一种网络协议下的不同区域的局域网络;不同的目标网络也可以是不同网络协议的各自的网络(局域网络或全局网络)。可以理解的是,本申请的目的在于对目标传输文件进行检测,获得检测结果,对于目标网络和目标网络所对应的网络协议并没有具体限制。
另外,本发明的威胁攻击主要包括APT(高级可持续威胁攻击)等。
通常,在进行步骤S11时,需要确定出目标网络,然后获取整个目标网络的流量(即目标流量),目标流量涉及到的全部传输文件即为所述目标传输文件。用户可以根据自己的需求确定出对应的目标网络,进而可以基于目标网络,获得对应的目标传输文件,例如,A网络协议下的全局网络为目标网络,或B网络协议下的局域网b为目标网络等,又或,将A网络协议下的局域网a和B网络协议下的局域网b共同确定为目标网络,分别对两个不同的目标网络进行本发明的威胁攻击检测方法。
具体应用中,可以将不同的目标网络对应的目标传输文件分别进行检测,获得检测结果,基于检测结果确定对应的目标网络是否需要进行安全操作。例如,有2个目标网络,A网络和B网络,A网络对应的传输文件的检测结果为不存在威胁,则不需要对A网络进行安全操作;B网络对应的传输文件的检测结果为存在威胁,则需要对B网络进行安全操作。
步骤S12:将所述目标传输文件输入训练获得的文件分析模型,获得文件分析结果。
需要说明的是,本发明中还原获得的目标传输文件的文件格式为php、powershell或exe等,不同文件格式的目标传输文件需要对应不同的文件分析模型,例如,php文件格式的目标传输文件对应php文件分析模型,powershell文件格式的目标传输文件对应powershell文件分析模型等。若目标传输文件包括多种文件格式的目标传输文件,需要将多种文件格式的目标传输文件分别输入对应的文件分析模型,获得多种文件格式的目标传输文件各自的检测结果。
具体的,在进行步骤S12时,获得的目标传输文件可以只包括一种文件格式的目标传输文件,也可以包括多种文件格式的目标传输文件,不同目标网络对应的目标流量还原出来的目标传输文件包括的文件格式的种类可能不同,例如,C网络对应的目标传输文件只包括exe格式文件,D网络对应的目标传输文件包括exe格式文件和php格式文件;此时,需要将C网络对应的exe格式文件输入exe文件分析模型,将D网络对应的exe格式文件和php格式文件分别输入exe文件分析模型和php文件分析模型。
进一步的,步骤S12之前,所述方法还包括:对所述目标传输文件进行文件格式化,获得预处理传输文件;在所述预处理传输文件中筛选满足预设条件的选定传输文件;相应的,步骤S12包括:将所述选定传输文件输入训练获得的文件分析模型,获得文件分析结果。
需要说明的是,目标传输文件无法直接输入文件分析模型,需要对目标传输文件进行文件格式化,文件格式化不仅限于对目标传输文件的API序列进行tf-idf编码或进行反汇编等;其中,对目标传输文件进行文件格式化后获得的预处理传输文件的文件格式发生改变,即,将目标传输文件进行文件格式化后,目标传输文件的文件格式发生改变,由原始的php、powershell和exe等文件格式,转变为bat格式等,其中,目标传输文件包括的有用信息并不会发生改变,仅仅是文件格式改变,即预处理传输文件和目标传输文件中的有用信息相同。
另外,目标传输文件中的带壳可执行文件是不能进行文件格式化的,即,获得的预处理传输文件包括文件格式化的选定传输文件和未能文件格式化的目标传输文件(下文将其定为目标可执行文件,此处不再赘述,目标可执行文件即是不能进行文件格式化的目标传输文件原文件),只有选定传输文件可以输入训练获得的文件分析模型,获得文件分析结果,而目标可执行文件不能输入训练获得的文件分析模型,也无法获得文件分析结果。
可以理解的是,预处理传输文件中满足预设条件的文件即为完成文件格式化的选定传输文件,预处理传输文件中不满足预设条件的文件即为目标传输文件中的带壳可执行文件(不可进行文件格式化的目标传输文件)。
具体的,目标传输文件可以包括不能进行文件格式化的目标传输文件(带壳可执行文件)和能实现文件格式化的目标传输文件,目标传输文件也可以只包括能实现文件格式化的目标传输文件,本发明不做限制。
进一步的,步骤S12之前,所述方法还包括:将所述选定传输文件转换为文件灰度图;相应的,步骤S12包括:将所述文件灰度图输入训练获得的文件分析模型,获得文件分析结果。
需要说明的是,在本申请中,并非将选定传输文件直接输入文件分析模型,而是将选定传输文件转换为文件灰度图,将文件灰度图输入文件分析模型,以获得文件分析结果。通常一个选定传输文件对应一个文件灰度图。
进一步的,步骤S12之前,所述方法还包括:获取训练样本文件;利用所述训练样本文件对神经网络模型进行训练,获得初始文件分析模型;对所述初始文件分析模型进行压缩,获得所述文件分析模型。
需要说明的是,将可进行文件格式化的历史传输文件进行文件格式化后,再进行灰度图转换,获得历史文件灰度图,并将历史文件灰度图和历史传输文件包括的数据化后的威胁信息输入神经网络模型进行训练,获得文本分析模型;历史传输文件可以是从任何网络协议对应的网络中获取的威胁文件,以其为一个样本,历史传输文件对应的威胁信息即为训练神经网络模型的另一个样本,将这两个样本共同作为所述训练样本文件;通常对神经网络模型训练之前,神经网络模型的参数均为初始化的参数。其中,神经网络模型以卷积神经网络模型为优,步数取稍大为优。同时,为了保障获得的文件分析模型的检测性能较好,需要进行较多次的迭代运算和较长时间的训练。
另外,为了降低初始文件分析模型的参数数量和占用空间,需要对训练获得的初始文件分析模型进行压缩,获得压缩后的文件分析模型。文件分析模型的压缩可以是基于张量分解的网络压缩、基于量化的网络压缩和基于裁剪的网络压缩等,还可以是其他类型的轻量化压缩方法和有损压缩方法等。
步骤S13:基于所述文件分析结果,获得检测结果。
需要说明的是,文件分析结果是由文件分析模型输出的数据化的分析结果,需要将数据化的分析结果转换为对应的描述性的文件检测结果,以根据描述性的文件检测结果,获得检测结果。检测结果为目标传输文件的检测结果。不同文件格式的目标传输文件对应的检测结果的表现形式不同,例如,powershell文件格式的目标传输文件的检测结果表现为文件中威胁的家族属性,php文件格式的目标传输文件的检测结果表现为文件中包括webshell攻击的可能性,exe文件格式的目标传输文件的检测结果表现为文件对应的恶意软件类型。
若目标传输文件包括多个目标传输文件,检测结果包括多个目标传输文件各自的检测结果,通常一个目标传输文件对应一个检测结果。当多个目标传输文件检测结果相同(例如,为同一种恶意软件)时,将多个目标传输文件放入该检测结果的目录下,可以表现为:F类恶意软件——f应用程序、e应用程序和g应用程序。检测结果的表现形式可以为其他形式,只要包括检测结果的具体内容即可。
进一步的,步骤S13之前,所述方法还包括:利用蜜罐收集所述目标传输文件的发送者的脚本文件;对所述脚本文件进行文件格式化,获得预处理脚本文件;将所述预处理脚本文件转换为脚本灰度图;将所述脚本灰度图输入训练获得的脚本分析模型,获得脚本分析结果;相应的,步骤S13包括:基于所述文件分析结果和所述脚本分析结果,获得检测结果。
需要说明的是,目标传输文件均是具有发送者的,即发送目标传输文件的发送方(可以是终端设备或服务器等),当发送者具有攻击性时,发送者发送的目标传输文件也可能具有威胁攻击,此时,需要利用蜜罐收集发送者的脚本文件,以根据脚本文件的脚本分析结果和上文所述的文件分析结果,获得更加全面的准确率更高的检测结果。
需要说明的是,脚本文件不是带壳可执行文件,脚本文件可以进行文件格式化,转换成预处理脚本文件,同时,将所述预处理脚本文件转换为脚本灰度图,脚本灰度图才是脚本分析模型(脚本分析模型的训练方法参照上述文件分析模型的训练方法,此处不再赘述,方法类似)的输入。
可以理解的是,脚本分析模型的输出也是数据化的分析结果,需要将其转换为描述性的脚本检测结果,以根据描述性的文件检测结果和描述性的脚本检测结果,获得所述检测结果。
在该实施例中,综合了蜜罐收集的脚本文件的脚本分析结果和上文所述的文件分析结果,获得检测结果,目标传输文件的检测宽度得到拓展,检测结果的准确率进一步得到提升。
进一步的,步骤S13之前,所述方法还包括:将所述预处理传输文件中不满足所述预设条件的预处理传输文件确定为目标可执行文件;将所述目标可执行文件投放到沙箱中运行,以获得附加威胁情报;基于所述附加威胁情报,获得附加威胁信息;相应的,步骤S13包括:基于所述文件分析结果、所述脚本分析结果和所述附加威胁信息,获得检测结果。
具体的,所述基于所述附加威胁情报,获得附加威胁信息的步骤包括:从可疑文件分析引擎获取所述附加威胁情报对应的附加威胁信息。可疑文件分析引擎可以是virtustotal或shodan搜索引擎,可以是通过cortex的分析器从可疑文件分析引擎获取附加威胁信息,附加威胁信息可以是恶意软件的hash值和C2服务器的域名等。
需要说明的是,基于上文描述,目标可执行文件为带壳可执行文件(不可进行文件格式化的目标传输文件),需要将其投入沙箱,以基于目标可执行文件在沙箱中的运行结果,获得附加威胁情报,其中,附加威胁情报可以是ip或域名等;并利用可疑文件分析引擎对附加威胁情报进行分析,获得附加威胁情报对应的附加威胁信息。以利用附加威胁信息、所述文件分析结果和所述脚本分析结果,获得检测结果。
在该实施例中,通过将带壳可执行文件投入沙箱中,以获得附加威胁信息,进一步利用附加威胁信息、所述文件分析结果和所述脚本分析结果,获得检测结果,目标传输文件的检测宽度进一步增加,检测结果的准确率也得到提升。
通常,在获得检测结果之后,可以利用检测结果确定目标网络具体的威胁信息和目标传输文件的发送者的具体威胁信息等。当目标网络中的目标传输数据的检测结果为目标传输文件为威胁文件,则目标网络需要进行修复或隔离等,另外,目标传输文件为威胁文件时,还可以进一步确定目标传输文件的发送者,并将该发送者确定威胁发送者,对其进行修复操作或隔离等。
另外,在每次执行本申请的技术方案之后,还可以将获得的附加威胁信息进行存储,获得附加威胁信息库,并不断更新附加威胁信息库。同时,在执行步骤S13时,还可以利用附加威胁信息库中的历史附加威胁信息、所述附加威胁信息、所述文件分析结果和所述脚本分析结果,获得所述检测结果。
本发明技术方案提出了一种威胁攻击检测方法,通过在获取到目标网络的目标流量时,利用所述目标流量,还原所述目标网络的目标传输文件;将所述目标传输文件输入训练获得的文件分析模型,获得文件分析结果;基于所述文件分析结果,获得检测结果。由于,本发明利用训练获得的文件分析模型对目标传输文件进行分析,获得分析结果,对目标传输文件的分析是静态分析,分析结果较准确的反应了目标传输文件中威胁攻击的具体信息,从而使得检测结果的准确率较高,所以利用本发明的威胁攻击检测方法,提高了威胁攻击检测的准确率。
参照图3,图3为本发明威胁攻击检测装置第一实施例的结构框图,所述装置用于终端设备,所述装置包括:
获取模块10,用于在获取到目标网络的目标流量时,利用所述目标流量,还原所述目标网络的目标传输文件;
分析模块20,用于将所述目标传输文件输入训练获得的文件分析模型,获得文件分析结果;
获得模块30,用于基于所述文件分析结果,获得检测结果。
以上所述仅为本发明的可选实施例,并非因此限制本发明的专利范围,凡是在本发明的发明构思下,利用本发明说明书及附图内容所作的等效结构变换,或直接/间接运用在其他相关的技术领域均包括在本发明的专利保护范围内。
Claims (7)
1.一种威胁攻击检测方法,其特征在于,所述威胁攻击检测方法包括以下步骤:
在获取到目标网络的目标流量时,利用所述目标流量,还原所述目标网络的目标传输文件;
将不是带壳文件的目标传输文件进行文件格式化,获得选定传输文件,以及将所述选定传输文件输入训练获得的文件分析模型,获得文件分析结果;
将是带壳文件的目标传输文件确定为目标可执行文件,并将所述目标可执行文件投放到沙箱中运行,以获得附加威胁情报,并基于所述附加威胁情报,获得附加威胁信息,以及基于所述文件分析结果和所述附加威胁信息,获得检测结果;
所述基于所述文件分析结果和所述附加威胁信息,获得检测结果的步骤之前,所述方法还包括:
利用蜜罐收集所述目标传输文件的发送者的脚本文件;
对所述脚本文件进行文件格式化,获得预处理脚本文件;
将所述预处理脚本文件转换为脚本灰度图;
将所述脚本灰度图输入训练获得的脚本分析模型,获得脚本分析结果;
所述基于所述文件分析结果和所述附加威胁信息,获得检测结果的步骤包括:
基于所述文件分析结果、所述附加威胁信息和所述脚本分析结果,获得检测结果。
2.如权利要求1所述的威胁攻击检测方法,其特征在于,所述将所述目标传输文件输入训练获得的文件分析模型,获得文件分析结果的步骤之前,所述方法还包括:
获取训练样本文件;
利用所述训练样本文件对神经网络模型进行训练,获得初始文件分析模型;
对所述初始文件分析模型进行压缩,获得所述文件分析模型。
3.如权利要求2所述的威胁攻击检测方法,其特征在于,所述将所述选定传输文件输入训练获得的文件分析模型,获得文件分析结果的步骤之前,所述方法还包括:
将所述选定传输文件转换为文件灰度图;
所述将所述选定传输文件输入训练获得的文件分析模型,获得文件分析结果的步骤包括:
将所述文件灰度图输入训练获得的文件分析模型,获得文件分析结果。
4.如权利要求1所述的威胁攻击检测方法,其特征在于,所述基于所述附加威胁情报,获得附加威胁信息的步骤包括:
从可疑文件分析引擎获取所述附加威胁情报对应的附加威胁信息。
5.一种威胁攻击检测装置,其特征在于,所述威胁攻击检测装置包括:
获取模块,用于在获取到目标网络的目标流量时,利用所述目标流量,还原所述目标网络的目标传输文件;
分析模块,用于将不是带壳文件的目标传输文件进行文件格式化,获得选定传输文件,以及将所述选定传输文件输入训练获得的文件分析模型,获得文件分析结果;
获得模块,用于将是带壳文件的目标传输文件确定为目标可执行文件,并将所述目标可执行文件投放到沙箱中运行,以获得附加威胁情报,并基于所述附加威胁情报,获得附加威胁信息,以及基于所述文件分析结果和所述附加威胁信息,获得检测结果;
收集模块,用于利用蜜罐收集所述目标传输文件的发送者的脚本文件;
格式化模块,用于对所述脚本文件进行文件格式化,获得预处理脚本文件;
文件转换模块,用于将所述预处理脚本文件转换为脚本灰度图;
脚本分析模块,用于将所述脚本灰度图输入训练获得的脚本分析模型,获得脚本分析结果;
所述获得模块,还用于基于所述文件分析结果、所述附加威胁信息和所述脚本分析结果,获得检测结果。
6.一种终端设备,其特征在于,所述终端设备包括:存储器、处理器及存储在所述存储器上并在所述处理器上运行威胁攻击检测程序,所述威胁攻击检测程序被所述处理器执行时实现如权利要求1至4中任一项所述的威胁攻击检测方法的步骤。
7.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有威胁攻击检测程序,所述威胁攻击检测程序被处理器执行时实现如权利要求1至4中任一项所述的威胁攻击检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110188243.2A CN112560020B (zh) | 2021-02-19 | 2021-02-19 | 威胁攻击检测方法、装置、终端设备以及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110188243.2A CN112560020B (zh) | 2021-02-19 | 2021-02-19 | 威胁攻击检测方法、装置、终端设备以及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112560020A CN112560020A (zh) | 2021-03-26 |
| CN112560020B true CN112560020B (zh) | 2022-08-02 |
Family
ID=75035956
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110188243.2A Active CN112560020B (zh) | 2021-02-19 | 2021-02-19 | 威胁攻击检测方法、装置、终端设备以及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112560020B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113162951B (zh) * | 2021-05-20 | 2023-05-12 | 深信服科技股份有限公司 | 威胁检测、模型生成方法、装置及电子设备和存储介质 |
| CN113691523B (zh) * | 2021-08-20 | 2023-10-10 | 中科国昱(合肥)科技有限公司 | 面向实时网络流量密码应用评估方法和终端设备 |
| CN116319057A (zh) * | 2023-04-11 | 2023-06-23 | 华能信息技术有限公司 | 一种http流量还原方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108092794A (zh) * | 2017-11-08 | 2018-05-29 | 北京百悟科技有限公司 | 网络故障处理方法和装置 |
| CN108847983A (zh) * | 2018-06-27 | 2018-11-20 | 电子科技大学 | 基于mqtt协议的入侵检测方法 |
| CN111340191A (zh) * | 2020-02-27 | 2020-06-26 | 福州大学 | 基于集成学习的僵尸网络恶意流量分类方法及系统 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8898788B1 (en) * | 2004-04-01 | 2014-11-25 | Fireeye, Inc. | Systems and methods for malware attack prevention |
| CN103634306B (zh) * | 2013-11-18 | 2017-09-15 | 北京奇虎科技有限公司 | 网络数据的安全检测方法和安全检测服务器 |
| WO2015134008A1 (en) * | 2014-03-05 | 2015-09-11 | Foreground Security | Automated internet threat detection and mitigation system and associated methods |
| CN104506495A (zh) * | 2014-12-11 | 2015-04-08 | 国家电网公司 | 一种智能化网络apt攻击威胁分析方法 |
| US10339300B2 (en) * | 2015-03-23 | 2019-07-02 | Binary Guard Corp. | Advanced persistent threat and targeted malware defense |
| CN106778268A (zh) * | 2016-11-28 | 2017-05-31 | 广东省信息安全测评中心 | 恶意代码检测方法与系统 |
| CN109067815B (zh) * | 2018-11-06 | 2021-11-19 | 深信服科技股份有限公司 | 攻击事件溯源分析方法、系统、用户设备及存储介质 |
| CN110826064B (zh) * | 2019-10-25 | 2024-09-10 | 腾讯科技(深圳)有限公司 | 一种恶意文件的处理方法、装置、电子设备以及存储介质 |
| CN111641589A (zh) * | 2020-04-30 | 2020-09-08 | 中国移动通信集团有限公司 | 高级可持续威胁检测方法、系统、计算机以及存储介质 |
| CN111723371B (zh) * | 2020-06-22 | 2024-02-20 | 上海斗象信息科技有限公司 | 构建恶意文件的检测模型以及检测恶意文件的方法 |
| CN111800412B (zh) * | 2020-07-01 | 2023-02-21 | 中国移动通信集团有限公司 | 高级可持续威胁溯源方法、系统、计算机设备及存储介质 |
| CN112073437B (zh) * | 2020-10-09 | 2023-12-19 | 腾讯科技(深圳)有限公司 | 多维度的安全威胁事件分析方法、装置、设备及存储介质 |
-
2021
- 2021-02-19 CN CN202110188243.2A patent/CN112560020B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108092794A (zh) * | 2017-11-08 | 2018-05-29 | 北京百悟科技有限公司 | 网络故障处理方法和装置 |
| CN108847983A (zh) * | 2018-06-27 | 2018-11-20 | 电子科技大学 | 基于mqtt协议的入侵检测方法 |
| CN111340191A (zh) * | 2020-02-27 | 2020-06-26 | 福州大学 | 基于集成学习的僵尸网络恶意流量分类方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112560020A (zh) | 2021-03-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112560020B (zh) | 威胁攻击检测方法、装置、终端设备以及存储介质 | |
| CN109089229B (zh) | 进行风险提示的方法、装置、存储介质及终端 | |
| CN107171894A (zh) | 终端设备、分布式云端检测系统以及样本检测的方法 | |
| CN106203228A (zh) | 二维码信息传输方法、装置以及设备 | |
| CN112071016A (zh) | 火灾监控方法、装置、设备及存储介质 | |
| CN116956080A (zh) | 一种数据处理方法、装置以及存储介质 | |
| CN112215227A (zh) | 图像目标检测模型攻击方法、装置、终端设备及存储介质 | |
| CN109871685B (zh) | 一种rtf文件的解析方法及装置 | |
| CN109657469B (zh) | 一种脚本检测方法及装置 | |
| CN107622235B (zh) | 指纹解锁方法及相关产品 | |
| CN112989888A (zh) | 一种指纹防伪方法及电子设备 | |
| CN109408659B (zh) | 基于小世界网络的图像检索方法、装置、计算设备及介质 | |
| US10706282B2 (en) | Method and mobile terminal for processing image and storage medium | |
| CN108304369B (zh) | 一种文件类型的识别方法和装置 | |
| CN117332844A (zh) | 对抗样本生成方法、相关装置及存储介质 | |
| CN109450853B (zh) | 恶意网站判定方法、装置、终端及服务器 | |
| CN113225234B (zh) | 资产探测方法、装置、终端设备以及计算机可读存储介质 | |
| CN113282925B (zh) | 恶意文件检测方法、装置、终端设备以及存储介质 | |
| CN112667522B (zh) | 渗透测试方法、装置、终端设备以及计算机可读存储介质 | |
| CN114024718A (zh) | 恶意域名检测方法、装置、设备及存储介质 | |
| CN114140655A (zh) | 图像分类方法、装置、存储介质及电子设备 | |
| CN113518152B (zh) | 电话号码的识别方法、系统及电子设备 | |
| CN113919852A (zh) | 产品侵权判定方法、装置、终端设备以及存储介质 | |
| CN109799994B (zh) | 一种终端组件生成方法及装置 | |
| CN112560018A (zh) | 样本文件检测方法、装置、终端设备以及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |