CN112580047A - 工业恶意代码标记方法、设备、存储介质及装置 - Google Patents
工业恶意代码标记方法、设备、存储介质及装置 Download PDFInfo
- Publication number
- CN112580047A CN112580047A CN202011513374.5A CN202011513374A CN112580047A CN 112580047 A CN112580047 A CN 112580047A CN 202011513374 A CN202011513374 A CN 202011513374A CN 112580047 A CN112580047 A CN 112580047A
- Authority
- CN
- China
- Prior art keywords
- information
- industrial
- detected
- malicious code
- current
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/40—Transformation of program code
- G06F8/53—Decompilation; Disassembly
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种工业恶意代码标记方法、设备、存储介质及装置,相较于现有的通过人工判断恶意代码是否为工业恶意代码,在恶意代码为工业恶意代码时,对恶意代码进行标记的方式,本发明中通过对待检测样本进行恶意代码检测,以生成输出日志,从所述输出日志中提取日志特征信息,并根据所述日志特征信息判断所述待检测样本是否为工业恶意代码,在所述待检测样本为所述工业恶意代码时,对所述待检测样本进行标记,使工业恶意代码标记更加客观,从而能够自动对工业恶意代码进行标记,提高标记准确度。
Description
技术领域
本发明涉及互联网技术领域,尤其涉及一种工业恶意代码标记方法、设备、存储介质及装置。
背景技术
目前,工业互联网是电力系统、钢铁石化、轨道交通、先进制造、国防军工、市政水务以及核设施等重点领域的神经中枢,工业互联网的信息安全事关工业生产运行、国家经济安全和人民生命财产安全,是国家安全的重要领域。
现有技术中,对于工业互联网的恶意代码检测是通过将待检测代码的代码特征与已标记工业恶意代码的代码特征进行匹配,获得匹配结果,根据匹配结果判断待检测代码是否为工业恶意代码。而工业恶意代码的标记主要通过人工判断恶意代码是否为工业恶意代码,在恶意代码为工业恶意代码时,对恶意代码进行标记获得。但是,人工标记工业恶意代码主观因素强,从而导致标记准确度低。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种工业恶意代码标记方法、设备、存储介质及装置,旨在解决如何自动对工业恶意代码进行标记的技术问题。
为实现上述目的,本发明提供一种工业恶意代码标记方法,所述工业恶意代码标记方法包括以下步骤:
对待检测样本进行恶意代码检测,以生成输出日志;
从所述输出日志中提取日志特征信息,并根据所述日志特征信息判断所述待检测样本是否为工业恶意代码;
在所述待检测样本为所述工业恶意代码时,对所述待检测样本进行标记。
可选地,所述从所述输出日志中提取日志特征信息,并根据所述日志特征信息判断所述待检测样本是否为工业恶意代码的步骤,具体包括:
对所述输出日志进行特征提取,获得日志特征信息;
根据所述日志特征信息对所述输出日志进行信息筛选,获得当前攻击信息以及当前场景信息;
根据所述当前攻击信息以及所述当前场景信息判断所述待检测样本是否为工业恶意代码。
可选地,所述根据所述当前攻击信息以及所述当前场景信息判断所述待检测样本是否为工业恶意代码的步骤,具体包括:
获取预设数据库中的历史攻击信息以及历史场景信息;
将所述当前攻击信息与所述历史攻击信息进行匹配,获得攻击信息匹配结果;
将所述当前场景信息与所述历史场景信息进行匹配,获得场景信息匹配结果;
根据所述攻击信息匹配结果以及所述场景信息匹配结果判断所述待检测样本是否为工业恶意代码。
可选地,所述当前攻击信息包括:当前定向威胁攻击信息、当前病毒家族信息以及当前漏洞披露信息;所述历史攻击信息包括:历史定向威胁攻击信息、历史病毒家族信息以及历史漏洞披露信息;所述将所述当前攻击信息与所述历史攻击信息进行匹配,获得攻击信息匹配结果的步骤,具体包括:
将所述当前定向威胁攻击信息与所述历史定向威胁攻击信息进行匹配,获得定向威胁攻击匹配结果;
将所述当前病毒家族信息与所述历史病毒家族信息进行匹配,获得病毒家族匹配结果;
将所述当前漏洞披露信息与所述历史漏洞披露信息进行匹配,获得漏洞披露匹配结果;
根据所述定向威胁攻击匹配结果、所述病毒家族匹配结果以及所述漏洞披露匹配结果生成攻击信息匹配结果。
可选地,所述当前场景信息包括:当前设备厂商信息、当前操作系统信息以及当前软件信息;所述历史场景信息包括:历史设备厂商信息、历史操作系统信息以及历史软件信息;所述将所述当前场景信息与所述历史场景信息进行匹配,获得场景信息匹配结果的步骤,具体包括:
将所述当前设备厂商信息与所述历史设备厂商信息进行匹配,获得设备厂商匹配结果;
将所述当前操作系统信息与所述历史操作系统信息进行匹配,获得操作系统匹配结果;
将所述当前软件信息与所述历史软件信息进行匹配,获得软件匹配结果;
根据所述设备厂商匹配结果、所述操作系统匹配结果以及所述软件匹配结果生成场景信息匹配结果。
可选地,所述根据所述攻击信息匹配结果以及所述场景信息匹配结果判断所述待检测样本是否为工业恶意代码的步骤,具体包括:
获取所述当前攻击信息对应的第一权重值和所述当前场景信息对应的第二权重值;
根据所述攻击信息匹配结果以及所述第一权重值确定第一分值,并根据所述场景信息匹配结果以及所述第二权重值确定第二分值;
根据所述第一分值以及所述第二分值判断所述待检测样本是否为工业恶意代码。
可选地,所述对待检测样本进行恶意代码检测,以生成输出日志的步骤之前,所述工业恶意代码标记方法还包括:
在接收到工业恶意代码标记指令时,获取待检测系统的当前系统信息;
根据所述当前系统信息判断所述待检测系统是否处于待测试状态;
相应地,所述对待检测样本进行恶意代码检测,以生成输出日志的步骤,具体包括:
在所述待检测系统处于所述待测试状态时,获取待检测样本,并对所述待检测样本进行恶意代码检测,以生成输出日志。
可选地,所述对待检测样本进行恶意代码检测,以生成输出日志的步骤,具体包括:
对所述待检测样本进行静态安全分析,获得静态安全分析结果;
对所述待检测样本进行动态安全分析,获得动态安全分析结果;
根据所述静态安全分析结果以及所述动态安全分析结果生成输出日志。
可选地,所述对所述待检测样本进行静态安全分析,获得静态安全分析结果的步骤,具体包括:
基于预设反病毒脚本对所述待检测样本进行扫描分析,获得脚本分析结果;
对所述待检测样本进行特征提取,获得样本特征,并根据所述样本特征生成特征分析结果;
基于预设反编译脚本对所述待检测样本进行反编译,获得反编译代码,并对所述反编译代码进行结构分析,获得反编译分析结果;
根据所述脚本分析结果、所述特征分析结果以及所述反编译分析结果确定静态安全分析结果。
可选地,所述对所述待检测样本进行特征提取,获得样本特征,并根据所述样本特征生成特征分析结果的步骤,具体包括:
对所述待检测样本进行特征提取,获得样本特征;
根据所述样本特征对所述待检测样本进行信息筛选,获得文件格式信息以及字符串信息;
基于所述字符串信息确定所述待检测样本的功能信息以及结构信息;
根据所述文件格式信息、所述功能信息以及所述结构信息生成特征分析结果。
可选地,所述对所述待检测样本进行动态安全分析,获得动态安全分析结果的步骤,具体包括:
在接收到动态安全分析指令时,控制所述待检测样本运行,并获取当前系统信息以及所述待检测样本的当前运行数据;
根据所述当前系统信息以及前一时间的历史系统信息确定当前系统变化信息;
根据所述当前运行数据对所述待检测样本进行动态行为监控,获得行为监控数据;
根据所述当前系统变化信息以及所述行为监控数据生成动态安全分析结果。
可选地,所述在所述待检测样本为所述工业恶意代码时,对所述待检测样本进行标记的步骤之后,所述工业恶意代码标记方法还包括:
在对所述待检测样本标记完成后,将标记后的待检测样本存入预设数据库,以使所述预设数据库根据所述标记后的待检测样本进行数据更新。
此外,为实现上述目的,本发明还提出一种工业恶意代码标记设备,所述工业恶意代码标记设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的工业恶意代码标记程序,所述工业恶意代码标记程序配置为实现如上文所述的工业恶意代码标记方法的步骤。
此外,为实现上述目的,本发明还提出一种存储介质,所述存储介质上存储有工业恶意代码标记程序,所述工业恶意代码标记程序被处理器执行时实现如上文所述的工业恶意代码标记方法的步骤。
此外,为实现上述目的,本发明还提出一种工业恶意代码标记装置,所述工业恶意代码标记装置包括:检测模块、判断模块和标记模块;
所述检测模块,用于对待检测样本进行恶意代码检测,以生成输出日志;
所述判断模块,用于从所述输出日志中提取日志特征信息,并根据所述日志特征信息判断所述待检测样本是否为工业恶意代码;
所述标记模块,用于在所述待检测样本为所述工业恶意代码时,对所述待检测样本进行标记。
可选地,所述判断模块,还用于对所述输出日志进行特征提取,获得日志特征信息;
所述判断模块,还用于根据所述日志特征信息对所述输出日志进行信息筛选,获得当前攻击信息以及当前场景信息;
所述判断模块,还用于根据所述当前攻击信息以及所述当前场景信息判断所述待检测样本是否为工业恶意代码。
可选地,所述判断模块,还用于获取预设数据库中的历史攻击信息以及历史场景信息;
所述判断模块,还用于将所述当前攻击信息与所述历史攻击信息进行匹配,获得攻击信息匹配结果;
所述判断模块,还用于将所述当前场景信息与所述历史场景信息进行匹配,获得场景信息匹配结果;
所述判断模块,还用于根据所述攻击信息匹配结果以及所述场景信息匹配结果判断所述待检测样本是否为工业恶意代码。
可选地,所述当前攻击信息包括:当前定向威胁攻击信息、当前病毒家族信息以及当前漏洞披露信息;所述历史攻击信息包括:历史定向威胁攻击信息、历史病毒家族信息以及历史漏洞披露信息;所述判断模块,还用于将所述当前定向威胁攻击信息与所述历史定向威胁攻击信息进行匹配,获得定向威胁攻击匹配结果;
所述判断模块,还用于将所述当前病毒家族信息与所述历史病毒家族信息进行匹配,获得病毒家族匹配结果;
所述判断模块,还用于将所述当前漏洞披露信息与所述历史漏洞披露信息进行匹配,获得漏洞披露匹配结果;
所述判断模块,还用于根据所述定向威胁攻击匹配结果、所述病毒家族匹配结果以及所述漏洞披露匹配结果生成攻击信息匹配结果。
可选地,所述当前场景信息包括:当前设备厂商信息、当前操作系统信息以及当前软件信息;所述历史场景信息包括:历史设备厂商信息、历史操作系统信息以及历史软件信息;所述判断模块,还用于将所述当前设备厂商信息与所述历史设备厂商信息进行匹配,获得设备厂商匹配结果;
所述判断模块,还用于将所述当前操作系统信息与所述历史操作系统信息进行匹配,获得操作系统匹配结果;
所述判断模块,还用于将所述当前软件信息与所述历史软件信息进行匹配,获得软件匹配结果;
所述判断模块,还用于根据所述设备厂商匹配结果、所述操作系统匹配结果以及所述软件匹配结果生成场景信息匹配结果。
可选地,所述判断模块,还用于获取所述当前攻击信息对应的第一权重值和所述当前场景信息对应的第二权重值;
所述判断模块,还用于根据所述攻击信息匹配结果以及所述第一权重值确定第一分值,并根据所述场景信息匹配结果以及所述第二权重值确定第二分值;
所述判断模块,还用于根据所述第一分值以及所述第二分值判断所述待检测样本是否为工业恶意代码。
相较于现有的通过人工判断恶意代码是否为工业恶意代码,在恶意代码为工业恶意代码时,对恶意代码进行标记的方式,本发明中通过对待检测样本进行恶意代码检测,以生成输出日志,从所述输出日志中提取日志特征信息,并根据所述日志特征信息判断所述待检测样本是否为工业恶意代码,在所述待检测样本为所述工业恶意代码时,对所述待检测样本进行标记,使工业恶意代码标记更加客观,从而能够自动对工业恶意代码进行标记,提高标记准确度。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的工业恶意代码标记设备的结构示意图;
图2为本发明工业恶意代码标记方法第一实施例的流程示意图;
图3为本发明工业恶意代码标记方法第二实施例的流程示意图;
图4为本发明工业恶意代码标记方法第三实施例的流程示意图;
图5为本发明工业恶意代码标记装置第一实施例的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的工业恶意代码标记设备结构示意图。
如图1所示,该工业恶意代码标记设备可以包括:处理器1001,例如中央处理器(Central Processing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display),可选用户接口1003还可以包括标准的有线接口、无线接口,对于用户接口1003的有线接口在本发明中可为USB接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(WIreless-FIdelity,WI-FI)接口)。存储器1005可以是高速的随机存取存储器(Random Access Memory,RAM)存储器,也可以是稳定的存储器(Non-volatileMemory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对工业恶意代码标记设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,认定为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及工业恶意代码标记程序。
在图1所示的工业恶意代码标记设备中,网络接口1004主要用于连接后台服务器,与所述后台服务器进行数据通信;用户接口1003主要用于连接用户设备;所述工业恶意代码标记设备通过处理器1001调用存储器1005中存储的工业恶意代码标记程序,并执行本发明实施例提供的工业恶意代码标记方法。
基于上述硬件结构,提出本发明工业恶意代码标记方法的实施例。
参照图2,图2为本发明工业恶意代码标记方法第一实施例的流程示意图,提出本发明工业恶意代码标记方法第一实施例。
在第一实施例中,所述工业恶意代码标记方法包括以下步骤:
步骤S10:对待检测样本进行恶意代码检测,以生成输出日志。
应当理解的是,本实施例的执行主体是所述工业恶意代码标记设备,其中,所述工业恶意代码标记设备可为个人电脑或服务器等电子设备,还可为其他可实现相同或相似功能的设备,本实施例对此不加以限制,在本实施例中,以工业恶意代码标记设备为例说明。
需要说明的是,待检测样本可以是用户输入的需要检测的代码样本;输出日志可以是待检测样本经过恶意代码检测后得到的日志。
应当理解的是,对待检测样本进行恶意代码检测,以生成输出日志可以是直接运行恶意代码检测脚本,以对待检测样本进行恶意代码分析,获得恶意代码分析结果,并根据恶意代码分析结果生成输出日志,其中,恶意代码检测脚本可以是用户预先设置的静态分析脚本。
进一步地,为了提高恶意代码检测的准确性以及可靠性,所述对待检测样本进行恶意代码检测,以生成输出日志,包括:对所述待检测样本进行静态安全分析,获得静态安全分析结果,对所述待检测样本进行动态安全分析,获得动态安全分析结果,根据所述静态安全分析结果以及所述动态安全分析结果生成输出日志。
应当理解的是,对所述待检测样本进行静态安全分析,获得静态安全分析结果可以是直接运行预设静态分析脚本,以对待检测样本进行静态安全分析,获得静态安全分析结果,其中,预设静态分析脚本可以是用户预先设置的静态分析脚本。
可以理解的是,对所述待检测样本进行动态安全分析,获得动态安全分析结果可以是直接运行预设动态分析脚本,以对待检测样本进行动态安全分析,获得动态安全分析结果,其中,预设动态分析脚本可以是用户预先设置的动态分析脚本。
应当理解的是,根据所述静态安全分析结果以及所述动态安全分析结果生成输出日志可以是对静态安全分析结果以及动态安全分析结果进行聚合,获得输出日志。
步骤S20:从所述输出日志中提取日志特征信息,并根据所述日志特征信息判断所述待检测样本是否为工业恶意代码。
进一步地,考虑到实际应用中,若工业恶意代码标记设备每次都根据所述日志特征信息判断所述待检测样本是否为工业恶意代码,势必会导致判断过程所涉及的对象过多,运算量过大。为克服这一缺陷,所述从所述输出日志中提取日志特征信息,并根据所述日志特征信息判断所述待检测样本是否为工业恶意代码包括:对所述输出日志进行特征提取,获得日志特征信息,根据所述日志特征信息对所述输出日志进行信息筛选,获得当前攻击信息以及当前场景信息,根据所述当前攻击信息以及所述当前场景信息判断所述待检测样本是否为工业恶意代码。
需要说明的是,日志特征信息可以是用来标识信息种类的标识信息。
可以理解的是,对输出日志进行特征提取,获得日志特征信息可以是对输出日志中的日志信息进行信息提取,获得标识信息种类的标识信息,并将标识信息作为日志特征信息。
需要说明的是,当前攻击信息可以是待检测样本的攻击事件信息,其中,攻击事件信息可以是定向威胁(Advanced Persistent Threat,APT)攻击、病毒家族以及漏洞披露(Common Vulnerabilities&Exposures,CVE)信息;当前场景信息可以是待检测样本的运行场景信息,其中,运行场景信息可以通过设备厂商信息、操作系统信息以及软件信息中的至少一项确定,本实施例对此不加以限制。
可以理解的是,根据日志特征信息对输出日志进行信息筛选,获得当前攻击信息以及当前场景信息可以是将日志特征信息与攻击信息特征进行匹配,将与攻击信息特征匹配成功的日志特征信息对应的输出日志作为当前攻击信息,将日志特征信息与场景信息特征进行匹配,将与场景信息特征匹配成功的日志特征信息对应的输出日志作为当前场景信息。
步骤S30:在所述待检测样本为所述工业恶意代码时,对所述待检测样本进行标记。
可以理解的是,在所述待检测样本为所述工业恶意代码时,对所述待检测样本进行标记可以是将待检测样本的样本信息存入预设数据库,也可以是在待检测样本中设置标记信息,本实施例对此不加以限制。
相较于现有的通过人工判断恶意代码是否为工业恶意代码,在恶意代码为工业恶意代码时,对恶意代码进行标记的方式,本实施例中通过对待检测样本进行恶意代码检测,以生成输出日志,从所述输出日志中提取日志特征信息,并根据所述日志特征信息判断所述待检测样本是否为工业恶意代码,在所述待检测样本为所述工业恶意代码时,对所述待检测样本进行标记,使工业恶意代码标记更加客观,从而能够自动对工业恶意代码进行标记,提高标记准确度。
参照图3,图3为本发明工业恶意代码标记方法第二实施例的流程示意图,基于上述图2所示的第一实施例,提出本发明工业恶意代码标记方法的第二实施例。
在第二实施例中,所述步骤S10,包括:
步骤S101:对所述待检测样本进行静态安全分析,获得静态安全分析结果。
应当理解的是,对所述待检测样本进行静态安全分析,获得静态安全分析结果可以是直接运行预设静态分析脚本,以对待检测样本进行静态安全分析,获得静态安全分析结果,其中,预设静态分析脚本可以是用户预先设置的静态分析脚本。
进一步地,为了提高静态安全分析的准确性以及可靠性,所述步骤S101,包括:
基于预设反病毒脚本对所述待检测样本进行扫描分析,获得脚本分析结果;
对所述待检测样本进行特征提取,获得样本特征,并根据所述样本特征生成特征分析结果;
基于预设反编译脚本对所述待检测样本进行反编译,获得反编译代码,并对所述反编译代码进行结构分析,获得反编译分析结果;
根据所述脚本分析结果、所述特征分析结果以及所述反编译分析结果确定静态安全分析结果。
需要说明的是,预设反病毒脚本可以是用户预先设置的反病毒脚本,用来检测代码中是否含有病毒;预设反编译脚本可以是用户预先设置的反汇编脚本,可以用来恢复源代码,帮助分析代码结构。
应当理解的是,根据所述样本特征生成特征分析结果可以是将样本特征与预设数据库中的恶意代码特征进行匹配,获得样本特征匹配结果,根据样本特征匹配结果生成特征分析结果。
进一步地,考虑到实际应用中,若将样本特征与预设数据库中的恶意代码特征进行匹配来生成特征分析结果,势必会导致准确性较低。为克服这一缺陷,所述对所述待检测样本进行特征提取,获得样本特征,并根据所述样本特征生成特征分析结果,包括:
对所述待检测样本进行特征提取,获得样本特征;
根据所述样本特征对所述待检测样本进行信息筛选,获得文件格式信息以及字符串信息;
基于所述字符串信息确定所述待检测样本的功能信息以及结构信息;
根据所述文件格式信息、所述功能信息以及所述结构信息生成特征分析结果。
需要说明的是,样本特征可以用来标识待检测样本的格式以及字符串等的特征信息。
可以理解的是,恶意代码的作者有时会在自己的作品中放入某个特定的url或email地址,或者恶意代码会使用到某个特定的库文件和函数。因此,基于字符串信息确定所述待检测样本的功能信息以及结构信息。
应当理解的是,恶意代码通常是以二进制可执行文件格式存在的,根据待检测样本的文件格式信息能够确定恶意代码所期望的运行平台。
步骤S102:对所述待检测样本进行动态安全分析,获得动态安全分析结果。
应当理解的是,对所述待检测样本进行动态安全分析,获得动态安全分析结果可以是直接运行预设动态分析脚本,以对待检测样本进行动态安全分析,获得动态安全分析结果,其中,预设动态分析脚本可以是用户预先设置的动态分析脚本。
进一步地,为了提高动态安全分析的准确性以及可靠性,所述步骤S102,包括:
在接收到动态安全分析指令时,控制所述待检测样本运行,并获取当前系统信息以及所述待检测样本的当前运行数据;
根据所述当前系统信息以及前一时间的历史系统信息确定当前系统变化信息;
根据所述当前运行数据对所述待检测样本进行动态行为监控,获得行为监控数据;
根据所述当前系统变化信息以及所述行为监控数据生成动态安全分析结果。
需要说明的是,当前系统信息可以是当前时刻的系统快照信息;当前运行数据可以是文件系统、运行进程列表、注册表、本地网络栈等信息,本实施例对此不加以限制。
应当理解的是,根据所述当前系统信息以及前一时间的历史系统信息确定当前系统变化信息可以是生成系统资源列表的快照,然后激活待检测样本并给予充分的运行时间,如5分钟,然后再生成待检测样本运行的系统资料列表的快照,并对比两个快照之间的差异来确定当前系统变化信息。
可以理解的是,根据所述当前运行数据对所述待检测样本进行动态行为监控,获得行为监控数据可以是针对待检测样本对文件系统、运行进程列表、注册表、本地网络栈等方面的行为动作,进行实时监视、记录和显示。
步骤S103:根据所述静态安全分析结果以及所述动态安全分析结果生成输出日志。
应当理解的是,根据所述静态安全分析结果以及所述动态安全分析结果生成输出日志可以是对静态安全分析结果以及动态安全分析结果进行聚合,获得输出日志。
在第二实施例中,通过对所述待检测样本进行静态安全分析,获得静态安全分析结果,对所述待检测样本进行动态安全分析,获得动态安全分析结果,根据所述静态安全分析结果以及所述动态安全分析结果生成输出日志,从而能够提高恶意代码检测的准确性以及可靠性。
在第二实施中,所述步骤S20,包括:
步骤S201:对所述输出日志进行特征提取,获得日志特征信息。
需要说明的是,日志特征信息可以是用来标识信息种类的标识信息。
可以理解的是,对输出日志进行特征提取,获得日志特征信息可以是对输出日志中的日志信息进行信息提取,获得标识信息种类的标识信息,并将标识信息作为日志特征信息。
步骤S202:根据所述日志特征信息对所述输出日志进行信息筛选,获得当前攻击信息以及当前场景信息。
需要说明的是,当前攻击信息可以是待检测样本的攻击事件信息,其中,攻击事件信息可以是定向威胁(Advanced Persistent Threat,APT)攻击、病毒家族以及漏洞披露(Common Vulnerabilities&Exposures,CVE)信息;当前场景信息可以是待检测样本的运行场景信息,其中,运行场景信息可以通过设备厂商信息、操作系统信息以及软件信息中的至少一项确定,本实施例对此不加以限制。
可以理解的是,根据日志特征信息对输出日志进行信息筛选,获得当前攻击信息以及当前场景信息可以是将日志特征信息与攻击信息特征进行匹配,将与攻击信息特征匹配成功的日志特征信息对应的输出日志作为当前攻击信息,将日志特征信息与场景信息特征进行匹配,将与场景信息特征匹配成功的日志特征信息对应的输出日志作为当前场景信息。
步骤S203:根据所述当前攻击信息以及所述当前场景信息判断所述待检测样本是否为工业恶意代码。
进一步地,考虑到实际应用中,若工业恶意代码标记设备每次都根据当前攻击信息以及当前场景信息判断待检测样本是否为工业恶意代码,势必会导致判断过程所涉及的对象过多,运算量过大。为克服这一缺陷,所述步骤S203,包括:
获取预设数据库中的历史攻击信息以及历史场景信息;
将所述当前攻击信息与所述历史攻击信息进行匹配,获得攻击信息匹配结果;
将所述当前场景信息与所述历史场景信息进行匹配,获得场景信息匹配结果;
根据所述攻击信息匹配结果以及所述场景信息匹配结果判断所述待检测样本是否为工业恶意代码。
需要说明的是,预设数据库可以是用户预先设置的用来存放历史攻击信息以及历史场景信息的数据库;历史攻击信息可以是历年来工业互联网中发生过的攻击事件的信息;历史场景信息可以是用来标识工业互联网设备特征的信息。
应当理解的是,将所述当前攻击信息与所述历史攻击信息进行匹配,获得攻击信息匹配结果可以是将当前攻击信息与历史攻击信息进行匹配,获得攻击信息匹配度,并判断攻击信息匹配度是否大于预设匹配度阈值,在攻击信息匹配度大于预设匹配度阈值时,将匹配成功作为攻击信息匹配结果,其中,预设匹配度阈值可以根据用户的实际需求进行设置。
可以理解的是,将所述当前场景信息与所述历史场景信息进行匹配,获得场景信息匹配结果可以是将当前场景信息与历史场景信息进行匹配,获得场景信息匹配度,并判断场景信息匹配度是否大于预设匹配度阈值,在场景信息匹配度大于预设匹配度阈值时,将匹配成功作为场景信息匹配结果。
应当理解的是,根据所述攻击信息匹配结果以及所述场景信息匹配结果判断所述待检测样本是否为工业恶意代码可以是在攻击信息匹配结果为匹配成功和/或场景信息匹配结果为匹配成功时,判定待检测样本为工业恶意代码。
进一步地,为了提高当前攻击信息与历史攻击信息匹配的准确性,所述将所述当前攻击信息与所述历史攻击信息进行匹配,获得攻击信息匹配结果,包括:
将所述当前定向威胁攻击信息与所述历史定向威胁攻击信息进行匹配,获得定向威胁攻击匹配结果;
将所述当前病毒家族信息与所述历史病毒家族信息进行匹配,获得病毒家族匹配结果;
将所述当前漏洞披露信息与所述历史漏洞披露信息进行匹配,获得漏洞披露匹配结果;
根据所述定向威胁攻击匹配结果、所述病毒家族匹配结果以及所述漏洞披露匹配结果生成攻击信息匹配结果。
需要说明的是,定向威胁攻击(Advanced Persistent Threat,APT)信息可以是某组织对工业互联网展开的持续有效的攻击活动,例如,ALLANITE、APT33、Dragonfly、Dragonfly 2.0、HEXANE、Equation、Lazarus group、MuddyWater、Sandworm、Leafminer、OilRig、XENOTIME等,本实施例对此不加以限制;病毒家族可以是ACAD/Medre.A、Backdoor.Oldrea、Bad Rabbit、BlackEnergy 3、Conficker、Duqu、Flame、Industroyer、KillDisk、LockerGoga、NotPetya、PLC-Blaster、Ryuk、Stuxnet、Triton、VPNFilter、WannaCry等,本实施例对此不加以限制;漏洞披露(Common Vulnerabilities&Exposures,CVE)可以是广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。
应当理解的是,将当前定向威胁攻击信息与历史定向威胁攻击信息进行匹配,获得定向威胁攻击匹配结果可以是将当前定向威胁攻击信息与历史定向威胁攻击信息进行匹配,获得威胁攻击信息匹配度,并判断威胁攻击信息匹配度是否大于预设匹配度阈值,在威胁攻击信息匹配度大于预设匹配度阈值时,将匹配成功作为定向威胁攻击匹配结果,其中,预设匹配度阈值可以根据用户的实际需求进行设置。
可以理解的是,将当前病毒家族信息与历史病毒家族信息进行匹配,获得病毒家族匹配结果可以是将当前病毒家族信息与历史病毒家族信息进行匹配,获得病毒家族匹配度,并判断病毒家族匹配度是否大于预设匹配度阈值,在病毒家族匹配度大于预设匹配度阈值时,将匹配成功作为病毒家族匹配结果。
应当理解的是,将当前漏洞披露信息与历史漏洞披露信息进行匹配,获得漏洞披露匹配结果可以是将当前漏洞披露信息与历史漏洞披露信息进行匹配,获得漏洞披露匹配度,并判断漏洞披露匹配度是否大于预设匹配度阈值,在漏洞披露匹配度大于预设匹配度阈值时,将匹配成功作为漏洞披露匹配结果。
进一步地,为了提高当前场景信息与历史场景信息匹配的准确性,所述将所述当前场景信息与所述历史场景信息进行匹配,获得场景信息匹配结果,包括:
将所述当前设备厂商信息与所述历史设备厂商信息进行匹配,获得设备厂商匹配结果;
将所述当前操作系统信息与所述历史操作系统信息进行匹配,获得操作系统匹配结果;
将所述当前软件信息与所述历史软件信息进行匹配,获得软件匹配结果;
根据所述设备厂商匹配结果、所述操作系统匹配结果以及所述软件匹配结果生成场景信息匹配结果。
需要说明的是,设备厂商信息可以是在工业互联网中常用设备的厂商信息;操作系统信息可以是在工业互联网中常用操作系统的信息;软件信息可以是工业互联网中常用软件的信息,例如,Auto CAD、PLC软件、组态软件等,本实施例对此不加以限制。
可以理解的是,将所述当前设备厂商信息与所述历史设备厂商信息进行匹配,获得设备厂商匹配结果可以是将当前设备厂商信息与历史设备厂商信息进行匹配,获得设备厂商匹配度,并判断设备厂商匹配度是否大于预设匹配度阈值,在设备厂商匹配度大于预设匹配度阈值时,将匹配成功作为设备厂商匹配结果。
应当理解的是,将所述当前操作系统信息与所述历史操作系统信息进行匹配,获得操作系统匹配结果可以是将当前操作系统信息与历史操作系统信息进行匹配,获得操作系统匹配度,并判断操作系统匹配度是否大于预设匹配度阈值,在操作系统匹配度大于预设匹配度阈值时,将匹配成功作为操作系统匹配结果。
可以理解的是,将所述当前软件信息与所述历史软件信息进行匹配,获得软件匹配结果可以是将当前软件信息与历史软件信息进行匹配,获得软件匹配度,并判断软件匹配度是否大于预设匹配度阈值,在软件匹配度大于预设匹配度阈值时,将匹配成功作为软件匹配结果。
进一步地,考虑到实际应用中,若直接根据攻击信息匹配结果以及场景信息匹配结果判断所述待检测样本是否为工业恶意代码,势必会存在攻击信息匹配结果为匹配成功,而场景信息匹配结果为匹配失败的情况,导致无法判断待检测样本是否为工业恶意代码。为克服这一缺陷,所述根据所述攻击信息匹配结果以及所述场景信息匹配结果判断所述待检测样本是否为工业恶意代码,包括:
获取所述当前攻击信息对应的第一权重值和所述当前场景信息对应的第二权重值;
根据所述攻击信息匹配结果以及所述第一权重值确定第一分值,并根据所述场景信息匹配结果以及所述第二权重值确定第二分值;
根据所述第一分值以及所述第二分值判断所述待检测样本是否为工业恶意代码。
需要说明的是,第一权重值可以是定向威胁攻击、病毒家族以及漏洞披露各自对应的权重值;第二权重值可以是设备厂商、操作系统以及软件信息各自对应的权重值。
应当理解的是,获取所述当前攻击信息对应的第一权重值和所述当前场景信息对应的第二权重值可以是在预设权重关系表中查找当前攻击信息对应的第一权重值,在预设权重关系表中查找当前场景信息对应的第二权重值,其中,预设权重关系表中包含当前攻击信息与第一权重值之间的第一对应关系以及当前场景信息与第二权重值之间的第二对应关系,其中,第一对应关系以及第二对应关系可以根据用户的实际需求进行设置。
可以理解的是,根据所述攻击信息匹配结果以及所述第一权重值确定第一分值可以是获取定向威胁攻击、病毒家族以及漏洞披露的参考分值,并计算上述参考分值的总参考分值,并将总参考分值与第一权重值相乘,获得第一分值。
在具体实现中,例如,在定向威胁攻击匹配结果为匹配成功时,定向威胁攻击的参考分值为1,在病毒家族匹配结果为匹配成功时,病毒家族的参考分值2,在漏洞披露匹配结果为匹配成功时,漏洞披露的参考分值为3,计算获得的总参考分值为6,第一权重值为0.6,此时,计算获得第一分值为3.6。
可以理解的是,根据所述第一分值以及所述第二分值判断所述待检测样本是否为工业恶意代码可以是判断第一分值是否大于第二分值,在第一分值大于第二分值时,根据攻击信息匹配结果判断所述待检测样本是否为工业恶意代码,即攻击信息匹配结果为匹配成功时,判定待检测样本为工业恶意代码。
在第二实施例中,通过对所述输出日志进行特征提取,获得日志特征信息,根据所述日志特征信息对所述输出日志进行信息筛选,获得当前攻击信息以及当前场景信息,根据所述当前攻击信息以及所述当前场景信息判断所述待检测样本是否为工业恶意代码,从而能够快速、准确判断待检测样本是否为工业恶意代码。
参照图4,图4为本发明工业恶意代码标记方法第三实施例的流程示意图,基于上述图3所示的第二实施例,提出本发明工业恶意代码标记方法的第三实施例。
在第三实施例中,所述步骤S10之前,还包括:
步骤S01:在接收到工业恶意代码标记指令时,获取待检测系统的当前系统信息。
需要说明的是,工业恶意代码标记指令可以是用户发出的进行工业恶意代码标记的命令信息;工业恶意代码标记设备的系统;当前系统信息可以是系统的当前运行信息等,本实施例对此不加限制。
步骤S02:根据所述当前系统信息判断所述待检测系统是否处于待测试状态。
应当理解的是,根据所述当前系统信息判断所述待检测系统是否处于待测试状态可以是将当前系统信息与预设系统信息进行匹配,获得匹配结果,在匹配结果为匹配成功时,判定待检测系统处于待测试状态。
相应地,所述步骤S10,包括:
步骤S10':在所述待检测系统处于所述待测试状态时,获取待检测样本,并对所述待检测样本进行恶意代码检测,以生成输出日志。
在第三实施例中,通过在接收到工业恶意代码标记指令时,获取待检测系统的当前系统信息,根据所述当前系统信息判断所述待检测系统是否处于待测试状态,在所述待检测系统处于所述待测试状态时,获取待检测样本,并对所述待检测样本进行恶意代码检测,以生成输出日志,从而能够在测试环境下进行恶意代码检测,提高检测准确性。
在第三实施例中,所述步骤S30之后,还包括:
步骤S40:在对所述待检测样本标记完成后,将标记后的待检测样本存入预设数据库,以使所述预设数据库根据所述标记后的待检测样本进行数据更新。
需要说明的是,预设数据库可以是用户预先设置的用来存放历史攻击信息以及历史场景信息的数据库。
应当理解的是,在对所述待检测样本标记完成后,说明被标记的待检测样本为工业恶意代码,此时,需要将标记后的待检测样本存入用来存放历史攻击信息以及历史场景信息的数据库。
在第三实施例中,通过在对所述待检测样本标记完成后,将标记后的待检测样本存入预设数据库,以使所述预设数据库根据所述标记后的待检测样本进行数据更新,从而能够实时更新工业恶意代码数据库。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有工业恶意代码标记程序,所述工业恶意代码标记程序被处理器执行时实现如上文所述的工业恶意代码标记方法的步骤。
此外,参照图5,本发明实施例还提出一种工业恶意代码标记装置,所述工业恶意代码标记装置包括:检测模块10、判断模块20和标记模块30;
所述检测模块10,用于对待检测样本进行恶意代码检测,以生成输出日志。
所述判断模块20,用于从所述输出日志中提取日志特征信息,并根据所述日志特征信息判断所述待检测样本是否为工业恶意代码。
所述标记模块30,用于在所述待检测样本为所述工业恶意代码时,对所述待检测样本进行标记。
相较于现有的通过人工判断恶意代码是否为工业恶意代码,在恶意代码为工业恶意代码时,对恶意代码进行标记的方式,本实施例中通过对待检测样本进行恶意代码检测,以生成输出日志,从所述输出日志中提取日志特征信息,并根据所述日志特征信息判断所述待检测样本是否为工业恶意代码,在所述待检测样本为所述工业恶意代码时,对所述待检测样本进行标记,使工业恶意代码标记更加客观,从而能够自动对工业恶意代码进行标记,提高标记准确度。
本发明所述工业恶意代码标记装置的其他实施例或具体实现方式可参照上述各方法实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。词语第一、第二、以及第三等的使用不表示任何顺序,可将这些词语解释为名称。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器镜像(Read Only Memory image,ROM)/随机存取存储器(Random AccessMemory,RAM)、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
本发明公开了A1、一种工业恶意代码标记方法,所述工业恶意代码标记方法包括以下步骤:
对待检测样本进行恶意代码检测,以生成输出日志;
从所述输出日志中提取日志特征信息,并根据所述日志特征信息判断所述待检测样本是否为工业恶意代码;
在所述待检测样本为所述工业恶意代码时,对所述待检测样本进行标记。
A2、如A1所述的工业恶意代码标记方法,所述从所述输出日志中提取日志特征信息,并根据所述日志特征信息判断所述待检测样本是否为工业恶意代码的步骤,具体包括:
对所述输出日志进行特征提取,获得日志特征信息;
根据所述日志特征信息对所述输出日志进行信息筛选,获得当前攻击信息以及当前场景信息;
根据所述当前攻击信息以及所述当前场景信息判断所述待检测样本是否为工业恶意代码。
A3、如A2所述的工业恶意代码标记方法,所述根据所述当前攻击信息以及所述当前场景信息判断所述待检测样本是否为工业恶意代码的步骤,具体包括:
获取预设数据库中的历史攻击信息以及历史场景信息;
将所述当前攻击信息与所述历史攻击信息进行匹配,获得攻击信息匹配结果;
将所述当前场景信息与所述历史场景信息进行匹配,获得场景信息匹配结果;
根据所述攻击信息匹配结果以及所述场景信息匹配结果判断所述待检测样本是否为工业恶意代码。
A4、如A3所述的工业恶意代码标记方法,所述当前攻击信息包括:当前定向威胁攻击信息、当前病毒家族信息以及当前漏洞披露信息;所述历史攻击信息包括:历史定向威胁攻击信息、历史病毒家族信息以及历史漏洞披露信息;所述将所述当前攻击信息与所述历史攻击信息进行匹配,获得攻击信息匹配结果的步骤,具体包括:
将所述当前定向威胁攻击信息与所述历史定向威胁攻击信息进行匹配,获得定向威胁攻击匹配结果;
将所述当前病毒家族信息与所述历史病毒家族信息进行匹配,获得病毒家族匹配结果;
将所述当前漏洞披露信息与所述历史漏洞披露信息进行匹配,获得漏洞披露匹配结果;
根据所述定向威胁攻击匹配结果、所述病毒家族匹配结果以及所述漏洞披露匹配结果生成攻击信息匹配结果。
A5、如A3所述的工业恶意代码标记方法,所述当前场景信息包括:当前设备厂商信息、当前操作系统信息以及当前软件信息;所述历史场景信息包括:历史设备厂商信息、历史操作系统信息以及历史软件信息;所述将所述当前场景信息与所述历史场景信息进行匹配,获得场景信息匹配结果的步骤,具体包括:
将所述当前设备厂商信息与所述历史设备厂商信息进行匹配,获得设备厂商匹配结果;
将所述当前操作系统信息与所述历史操作系统信息进行匹配,获得操作系统匹配结果;
将所述当前软件信息与所述历史软件信息进行匹配,获得软件匹配结果;
根据所述设备厂商匹配结果、所述操作系统匹配结果以及所述软件匹配结果生成场景信息匹配结果。
A6、如A3所述的工业恶意代码标记方法,所述根据所述攻击信息匹配结果以及所述场景信息匹配结果判断所述待检测样本是否为工业恶意代码的步骤,具体包括:
获取所述当前攻击信息对应的第一权重值和所述当前场景信息对应的第二权重值;
根据所述攻击信息匹配结果以及所述第一权重值确定第一分值,并根据所述场景信息匹配结果以及所述第二权重值确定第二分值;
根据所述第一分值以及所述第二分值判断所述待检测样本是否为工业恶意代码。
A7、如A1所述的工业恶意代码标记方法,所述对待检测样本进行恶意代码检测,以生成输出日志的步骤之前,所述工业恶意代码标记方法还包括:
在接收到工业恶意代码标记指令时,获取待检测系统的当前系统信息;
根据所述当前系统信息判断所述待检测系统是否处于待测试状态;
相应地,所述对待检测样本进行恶意代码检测,以生成输出日志的步骤,具体包括:
在所述待检测系统处于所述待测试状态时,获取待检测样本,并对所述待检测样本进行恶意代码检测,以生成输出日志。
A8、如A1所述的工业恶意代码标记方法,所述对待检测样本进行恶意代码检测,以生成输出日志的步骤,具体包括:
对所述待检测样本进行静态安全分析,获得静态安全分析结果;
对所述待检测样本进行动态安全分析,获得动态安全分析结果;
根据所述静态安全分析结果以及所述动态安全分析结果生成输出日志。
A9、如A8所述的工业恶意代码标记方法,所述对所述待检测样本进行静态安全分析,获得静态安全分析结果的步骤,具体包括:
基于预设反病毒脚本对所述待检测样本进行扫描分析,获得脚本分析结果;
对所述待检测样本进行特征提取,获得样本特征,并根据所述样本特征生成特征分析结果;
基于预设反编译脚本对所述待检测样本进行反编译,获得反编译代码,并对所述反编译代码进行结构分析,获得反编译分析结果;
根据所述脚本分析结果、所述特征分析结果以及所述反编译分析结果确定静态安全分析结果。
A10、如A9所述的工业恶意代码标记方法,所述对所述待检测样本进行特征提取,获得样本特征,并根据所述样本特征生成特征分析结果的步骤,具体包括:
对所述待检测样本进行特征提取,获得样本特征;
根据所述样本特征对所述待检测样本进行信息筛选,获得文件格式信息以及字符串信息;
基于所述字符串信息确定所述待检测样本的功能信息以及结构信息;
根据所述文件格式信息、所述功能信息以及所述结构信息生成特征分析结果。
A11、如A8所述的工业恶意代码标记方法,所述对所述待检测样本进行动态安全分析,获得动态安全分析结果的步骤,具体包括:
在接收到动态安全分析指令时,控制所述待检测样本运行,并获取当前系统信息以及所述待检测样本的当前运行数据;
根据所述当前系统信息以及前一时间的历史系统信息确定当前系统变化信息;
根据所述当前运行数据对所述待检测样本进行动态行为监控,获得行为监控数据;
根据所述当前系统变化信息以及所述行为监控数据生成动态安全分析结果。
A12、如A1-A11中任一项所述的工业恶意代码标记方法,所述在所述待检测样本为所述工业恶意代码时,对所述待检测样本进行标记的步骤之后,所述工业恶意代码标记方法还包括:
在对所述待检测样本标记完成后,将标记后的待检测样本存入预设数据库,以使所述预设数据库根据所述标记后的待检测样本进行数据更新。
本发明公开了B13、一种工业恶意代码标记设备,所述工业恶意代码标记设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的工业恶意代码标记程序,所述工业恶意代码标记程序被所述处理器执行时实现如上文所述的工业恶意代码标记方法的步骤。
本发明公开了C14、一种存储介质,所述存储介质上存储有工业恶意代码标记程序,所述工业恶意代码标记程序被处理器执行时实现如上文所述的工业恶意代码标记方法的步骤。
本发明公开了D15、一种工业恶意代码标记装置,所述工业恶意代码标记装置包括:检测模块、判断模块和标记模块;
所述检测模块,用于对待检测样本进行恶意代码检测,以生成输出日志;
所述判断模块,用于从所述输出日志中提取日志特征信息,并根据所述日志特征信息判断所述待检测样本是否为工业恶意代码;
所述标记模块,用于在所述待检测样本为所述工业恶意代码时,对所述待检测样本进行标记。
D16、如D15所述的工业恶意代码标记装置,所述判断模块,还用于对所述输出日志进行特征提取,获得日志特征信息;
所述判断模块,还用于根据所述日志特征信息对所述输出日志进行信息筛选,获得当前攻击信息以及当前场景信息;
所述判断模块,还用于根据所述当前攻击信息以及所述当前场景信息判断所述待检测样本是否为工业恶意代码。
D17、如D16所述的工业恶意代码标记装置,所述判断模块,还用于获取预设数据库中的历史攻击信息以及历史场景信息;
所述判断模块,还用于将所述当前攻击信息与所述历史攻击信息进行匹配,获得攻击信息匹配结果;
所述判断模块,还用于将所述当前场景信息与所述历史场景信息进行匹配,获得场景信息匹配结果;
所述判断模块,还用于根据所述攻击信息匹配结果以及所述场景信息匹配结果判断所述待检测样本是否为工业恶意代码。
D18、如D17所述的工业恶意代码标记装置,所述当前攻击信息包括:当前定向威胁攻击信息、当前病毒家族信息以及当前漏洞披露信息;所述历史攻击信息包括:历史定向威胁攻击信息、历史病毒家族信息以及历史漏洞披露信息;所述判断模块,还用于将所述当前定向威胁攻击信息与所述历史定向威胁攻击信息进行匹配,获得定向威胁攻击匹配结果;
所述判断模块,还用于将所述当前病毒家族信息与所述历史病毒家族信息进行匹配,获得病毒家族匹配结果;
所述判断模块,还用于将所述当前漏洞披露信息与所述历史漏洞披露信息进行匹配,获得漏洞披露匹配结果;
所述判断模块,还用于根据所述定向威胁攻击匹配结果、所述病毒家族匹配结果以及所述漏洞披露匹配结果生成攻击信息匹配结果。
D19、如D17所述的工业恶意代码标记装置,所述当前场景信息包括:当前设备厂商信息、当前操作系统信息以及当前软件信息;所述历史场景信息包括:历史设备厂商信息、历史操作系统信息以及历史软件信息;所述判断模块,还用于将所述当前设备厂商信息与所述历史设备厂商信息进行匹配,获得设备厂商匹配结果;
所述判断模块,还用于将所述当前操作系统信息与所述历史操作系统信息进行匹配,获得操作系统匹配结果;
所述判断模块,还用于将所述当前软件信息与所述历史软件信息进行匹配,获得软件匹配结果;
所述判断模块,还用于根据所述设备厂商匹配结果、所述操作系统匹配结果以及所述软件匹配结果生成场景信息匹配结果。
D20、如D17所述的工业恶意代码标记装置,所述判断模块,还用于获取所述当前攻击信息对应的第一权重值和所述当前场景信息对应的第二权重值;
所述判断模块,还用于根据所述攻击信息匹配结果以及所述第一权重值确定第一分值,并根据所述场景信息匹配结果以及所述第二权重值确定第二分值;
所述判断模块,还用于根据所述第一分值以及所述第二分值判断所述待检测样本是否为工业恶意代码。
Claims (10)
1.一种工业恶意代码标记方法,其特征在于,所述工业恶意代码标记方法包括以下步骤:
对待检测样本进行恶意代码检测,以生成输出日志;
从所述输出日志中提取日志特征信息,并根据所述日志特征信息判断所述待检测样本是否为工业恶意代码;
在所述待检测样本为所述工业恶意代码时,对所述待检测样本进行标记。
2.如权利要求1所述的工业恶意代码标记方法,其特征在于,所述从所述输出日志中提取日志特征信息,并根据所述日志特征信息判断所述待检测样本是否为工业恶意代码的步骤,具体包括:
对所述输出日志进行特征提取,获得日志特征信息;
根据所述日志特征信息对所述输出日志进行信息筛选,获得当前攻击信息以及当前场景信息;
根据所述当前攻击信息以及所述当前场景信息判断所述待检测样本是否为工业恶意代码。
3.如权利要求2所述的工业恶意代码标记方法,其特征在于,所述根据所述当前攻击信息以及所述当前场景信息判断所述待检测样本是否为工业恶意代码的步骤,具体包括:
获取预设数据库中的历史攻击信息以及历史场景信息;
将所述当前攻击信息与所述历史攻击信息进行匹配,获得攻击信息匹配结果;
将所述当前场景信息与所述历史场景信息进行匹配,获得场景信息匹配结果;
根据所述攻击信息匹配结果以及所述场景信息匹配结果判断所述待检测样本是否为工业恶意代码。
4.如权利要求3所述的工业恶意代码标记方法,其特征在于,所述当前攻击信息包括:当前定向威胁攻击信息、当前病毒家族信息以及当前漏洞披露信息;所述历史攻击信息包括:历史定向威胁攻击信息、历史病毒家族信息以及历史漏洞披露信息;所述将所述当前攻击信息与所述历史攻击信息进行匹配,获得攻击信息匹配结果的步骤,具体包括:
将所述当前定向威胁攻击信息与所述历史定向威胁攻击信息进行匹配,获得定向威胁攻击匹配结果;
将所述当前病毒家族信息与所述历史病毒家族信息进行匹配,获得病毒家族匹配结果;
将所述当前漏洞披露信息与所述历史漏洞披露信息进行匹配,获得漏洞披露匹配结果;
根据所述定向威胁攻击匹配结果、所述病毒家族匹配结果以及所述漏洞披露匹配结果生成攻击信息匹配结果。
5.如权利要求3所述的工业恶意代码标记方法,其特征在于,所述当前场景信息包括:当前设备厂商信息、当前操作系统信息以及当前软件信息;所述历史场景信息包括:历史设备厂商信息、历史操作系统信息以及历史软件信息;所述将所述当前场景信息与所述历史场景信息进行匹配,获得场景信息匹配结果的步骤,具体包括:
将所述当前设备厂商信息与所述历史设备厂商信息进行匹配,获得设备厂商匹配结果;
将所述当前操作系统信息与所述历史操作系统信息进行匹配,获得操作系统匹配结果;
将所述当前软件信息与所述历史软件信息进行匹配,获得软件匹配结果;
根据所述设备厂商匹配结果、所述操作系统匹配结果以及所述软件匹配结果生成场景信息匹配结果。
6.如权利要求3所述的工业恶意代码标记方法,其特征在于,所述根据所述攻击信息匹配结果以及所述场景信息匹配结果判断所述待检测样本是否为工业恶意代码的步骤,具体包括:
获取所述当前攻击信息对应的第一权重值和所述当前场景信息对应的第二权重值;
根据所述攻击信息匹配结果以及所述第一权重值确定第一分值,并根据所述场景信息匹配结果以及所述第二权重值确定第二分值;
根据所述第一分值以及所述第二分值判断所述待检测样本是否为工业恶意代码。
7.如权利要求1所述的工业恶意代码标记方法,其特征在于,所述对待检测样本进行恶意代码检测,以生成输出日志的步骤之前,所述工业恶意代码标记方法还包括:
在接收到工业恶意代码标记指令时,获取待检测系统的当前系统信息;
根据所述当前系统信息判断所述待检测系统是否处于待测试状态;
相应地,所述对待检测样本进行恶意代码检测,以生成输出日志的步骤,具体包括:
在所述待检测系统处于所述待测试状态时,获取待检测样本,并对所述待检测样本进行恶意代码检测,以生成输出日志。
8.一种工业恶意代码标记设备,其特征在于,所述工业恶意代码标记设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的工业恶意代码标记程序,所述工业恶意代码标记程序被所述处理器执行时实现如权利要求1至7中任一项所述的工业恶意代码标记方法的步骤。
9.一种存储介质,其特征在于,所述存储介质上存储有工业恶意代码标记程序,所述工业恶意代码标记程序被处理器执行时实现如权利要求1至7中任一项所述的工业恶意代码标记方法的步骤。
10.一种工业恶意代码标记装置,其特征在于,所述工业恶意代码标记装置包括:检测模块、判断模块和标记模块;
所述检测模块,用于对待检测样本进行恶意代码检测,以生成输出日志;
所述判断模块,用于从所述输出日志中提取日志特征信息,并根据所述日志特征信息判断所述待检测样本是否为工业恶意代码;
所述标记模块,用于在所述待检测样本为所述工业恶意代码时,对所述待检测样本进行标记。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011513374.5A CN112580047B (zh) | 2020-12-23 | 2020-12-23 | 工业恶意代码标记方法、设备、存储介质及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011513374.5A CN112580047B (zh) | 2020-12-23 | 2020-12-23 | 工业恶意代码标记方法、设备、存储介质及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112580047A true CN112580047A (zh) | 2021-03-30 |
CN112580047B CN112580047B (zh) | 2022-11-04 |
Family
ID=75136358
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011513374.5A Active CN112580047B (zh) | 2020-12-23 | 2020-12-23 | 工业恶意代码标记方法、设备、存储介质及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112580047B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113206849A (zh) * | 2021-04-29 | 2021-08-03 | 杭州安恒信息安全技术有限公司 | 一种基于ghidra的漏洞扫描方法、装置及相关设备 |
CN113254928A (zh) * | 2021-05-14 | 2021-08-13 | 重庆贝特计算机系统工程有限公司 | 基于工业互联网远程恶意代码识别方法 |
CN113688391A (zh) * | 2021-08-31 | 2021-11-23 | 南方电网科学研究院有限责任公司 | 一种电力软件恶意代码监测方法、系统、设备和介质 |
CN114168953A (zh) * | 2021-12-06 | 2022-03-11 | 安天科技集团股份有限公司 | 一种恶意代码检测方法、装置、电子设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103761481A (zh) * | 2014-01-23 | 2014-04-30 | 北京奇虎科技有限公司 | 一种恶意代码样本自动处理的方法及装置 |
CN108694319A (zh) * | 2017-04-06 | 2018-10-23 | 武汉安天信息技术有限责任公司 | 一种恶意代码家族判定方法及装置 |
CN109815701A (zh) * | 2018-12-29 | 2019-05-28 | 360企业安全技术(珠海)有限公司 | 软件安全的检测方法、客户端、系统及存储介质 |
CN110399720A (zh) * | 2018-12-14 | 2019-11-01 | 腾讯科技(深圳)有限公司 | 一种文件检测的方法以及相关装置 |
CN111832019A (zh) * | 2020-06-10 | 2020-10-27 | 国家计算机网络与信息安全管理中心 | 基于生成对抗网络的恶意代码检测方法 |
-
2020
- 2020-12-23 CN CN202011513374.5A patent/CN112580047B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103761481A (zh) * | 2014-01-23 | 2014-04-30 | 北京奇虎科技有限公司 | 一种恶意代码样本自动处理的方法及装置 |
CN108694319A (zh) * | 2017-04-06 | 2018-10-23 | 武汉安天信息技术有限责任公司 | 一种恶意代码家族判定方法及装置 |
CN110399720A (zh) * | 2018-12-14 | 2019-11-01 | 腾讯科技(深圳)有限公司 | 一种文件检测的方法以及相关装置 |
CN109815701A (zh) * | 2018-12-29 | 2019-05-28 | 360企业安全技术(珠海)有限公司 | 软件安全的检测方法、客户端、系统及存储介质 |
CN111832019A (zh) * | 2020-06-10 | 2020-10-27 | 国家计算机网络与信息安全管理中心 | 基于生成对抗网络的恶意代码检测方法 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113206849A (zh) * | 2021-04-29 | 2021-08-03 | 杭州安恒信息安全技术有限公司 | 一种基于ghidra的漏洞扫描方法、装置及相关设备 |
CN113206849B (zh) * | 2021-04-29 | 2022-12-20 | 杭州安恒信息安全技术有限公司 | 一种基于ghidra的漏洞扫描方法、装置及相关设备 |
CN113254928A (zh) * | 2021-05-14 | 2021-08-13 | 重庆贝特计算机系统工程有限公司 | 基于工业互联网远程恶意代码识别方法 |
CN113688391A (zh) * | 2021-08-31 | 2021-11-23 | 南方电网科学研究院有限责任公司 | 一种电力软件恶意代码监测方法、系统、设备和介质 |
CN114168953A (zh) * | 2021-12-06 | 2022-03-11 | 安天科技集团股份有限公司 | 一种恶意代码检测方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN112580047B (zh) | 2022-11-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112580047B (zh) | 工业恶意代码标记方法、设备、存储介质及装置 | |
US8291405B2 (en) | Automatic dependency resolution by identifying similar machine profiles | |
CN111191201B (zh) | 基于数据埋点的用户识别方法、装置、设备及存储介质 | |
CN112668010B (zh) | 扫描工业控制系统的漏洞的方法、系统及计算设备 | |
CN110795732A (zh) | 基于SVM的Android移动网络终端恶意代码的动静结合检测方法 | |
CN111460445A (zh) | 样本程序恶意程度自动识别方法及装置 | |
CN112615873B (zh) | 物联网设备安全检测方法、设备、存储介质及装置 | |
CN112632529A (zh) | 漏洞识别方法、设备、存储介质及装置 | |
CN111914257A (zh) | 文档检测的方法、装置、设备、及计算机存储介质 | |
CN113486350A (zh) | 恶意软件的识别方法、装置、设备及存储介质 | |
CN112529575A (zh) | 风险预警方法、设备、存储介质及装置 | |
CN110287700B (zh) | 一种iOS应用安全分析方法及装置 | |
CN113935022A (zh) | 一种同源样本捕获方法、装置、电子设备及存储介质 | |
CN112632528A (zh) | 威胁情报生成方法、设备、存储介质及装置 | |
CN109325348B (zh) | 应用安全的分析方法、装置、计算设备及计算机存储介质 | |
CN106446687B (zh) | 恶意样本的检测方法及装置 | |
CN115982713A (zh) | 漏洞修复方法、装置、电子设备和计算机可读存储介质 | |
CN115543816A (zh) | 软件回归测试结果验证方法、装置、设备及存储介质 | |
CN115630362A (zh) | 一种无文件攻击的检测方法、装置、设备及存储介质 | |
CN115618350A (zh) | 工控资产漏洞检测方法、设备、存储介质及装置 | |
CN114996698A (zh) | 病毒文件的确定方法、装置、设备及存储介质 | |
CN113778841A (zh) | 提测文件的检测方法、装置、设备及存储介质 | |
CN115495737A (zh) | 恶意程序失效方法、装置、设备及存储介质 | |
CN111225079A (zh) | 恶意软件作者地理位置定位方法、设备、存储介质及装置 | |
CN113055396B (zh) | 一种跨终端溯源分析的方法、装置、系统和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |