CN112866291A - 一种威胁处置脚本的生成方法、装置和计算机可读介质 - Google Patents
一种威胁处置脚本的生成方法、装置和计算机可读介质 Download PDFInfo
- Publication number
- CN112866291A CN112866291A CN202110236905.9A CN202110236905A CN112866291A CN 112866291 A CN112866291 A CN 112866291A CN 202110236905 A CN202110236905 A CN 202110236905A CN 112866291 A CN112866291 A CN 112866291A
- Authority
- CN
- China
- Prior art keywords
- script
- handling
- threat
- sequence
- generating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/40—Transformation of program code
- G06F8/41—Compilation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45504—Abstract machines for programme code execution, e.g. Java virtual machine [JVM], interpreters, emulators
- G06F9/45508—Runtime interpretation or emulation, e g. emulator loops, bytecode interpretation
- G06F9/45512—Command shells
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Stored Programmes (AREA)
Abstract
本发明提供了一种威胁处置脚本的生成方法、装置和计算机可读介质,该方法包括:从威胁信息库中获取至少一种威胁事件;其中,每一种威胁事件至少包括一种语义类型的信息,语义类型包括注册表、计划任务、文件、进程、脚本和服务;针对每一种威胁事件,将该威胁事件生成目标处置序列;其中,目标处置序列用于表征威胁事件包含的各语义类型的处置顺序;根据目标处置序列,确定至少一组用于生成威胁处置脚本的脚本编译数据;利用脚本编译数据生成威胁事件的威胁处置脚本。本方案能够便捷的根据威胁事件生成处置脚本,简化威胁事件的处置过程。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种威胁处置脚本的生成方法、装置和计算机可读介质。
背景技术
随着网络空间安全威胁的不断涌现,网络空间安全防御作战形式日趋严峻,积极防御工作压力增大,网络空间的合法用户(包括网络安全从业者)对网络空间威胁进行处置的需求更加迫切,尤其是对生成威胁处置脚本提出了更高的要求。
目前,传统的企业安全业务系统在遭遇复杂业务威胁攻击时,非专业人员很难通过网内数据进行分析处置,需要专业的安全服务人员进行取证后才可以进行处置,使得威胁处置的过程极为不便。
因此,亟需提供一种威胁处置脚本的生成方案,以解决上述现有技术的不足。
发明内容
本发明要解决的问题在于传统的安全业务系统在遭遇复杂业务威胁攻击时,非专业人员很难通过网内数据进行处置,需要专业的安全服务人员进行针对性的处置,如此的处置过程非常繁琐。本发明通过提供一种威胁处置脚本的生成方法、装置和计算机可读介质,能够便捷的根据威胁事件生成处置脚本,简化威胁事件的处置过程。
第一方面,本发明实施例提供了一种威胁处置脚本的生成方法,该方法包括:
从威胁信息库中获取至少一种威胁事件;其中,每一种所述威胁事件至少包括一种语义类型的信息,所述语义类型包括注册表、计划任务、文件、进程、脚本和服务;
针对每一种威胁事件,将该威胁事件生成目标处置序列;其中,所述目标处置序列用于表征所述威胁事件包含的各语义类型的处置顺序;
根据所述目标处置序列,确定至少一组用于生成威胁处置脚本的脚本编译数据;
利用所述脚本编译数据生成所述威胁事件的威胁处置脚本。
在一种可能的实现方式中,所述将该威胁事件生成目标处置序列,包括:
利用所述威胁事件生成初始化处置序列;其中,所述初始化处置序列用于表征所述威胁事件所包含的各语义类型处于预先定义的最原始的处置顺序;
判断所述初始化处置序列是否需要进行修正;
若所述初始化处置序列需要进行修正,则根据处置需求将所述威胁事件所包含的各语义类型的处置顺序进行调整,生成目标处置序列;
若所述初始化处置序列不需要进行修正,则将所述初始化处置序列确定为目标处置序列。
在一种可能的实现方式中,所述根据所述目标处置序列,确定至少一组用于生成威胁处置脚本的脚本编译数据,包括:
从所述目标处置序列中提取所述威胁事件所包含的各语义类型、各语义类型所对应的参数、以及各语义类型的处置顺序;
调用转换函数,将各所述语义类型、所述参数和所述处置顺序转换为机器语言,得到至少一组所述脚本编译数据。
在一种可能的实现方式中,所述利用所述脚本编译数据生成所述威胁事件的威胁处置脚本,包括:
根据所述各语义类型的处置顺序,将各组所述脚本编译数据进行组合,得到预编译处置脚本;
判断所述预编译处置脚本是否正确;
若所述预编译处置脚本正确,则将所述预编译处置脚本确定为所述威胁处置脚本;
若所述预编译处置脚本不正确,则返回失败原因,以提示人员进行修正。
第二方面,本发明实施例还提供了一种威胁处置脚本的生成装置,该装置可以包括:获取模块、目标处置序列生成模块、确定模块和威胁处置脚本生成模块;
所述获取模块,用于从威胁信息库中获取至少一种威胁事件;其中,每一种所述威胁事件至少包括一种语义类型的信息,所述语义类型包括注册表、计划任务、文件、进程、脚本和服务;
所述目标处置序列生成模块,用于针对所述获取模块获取到的每一种威胁事件,将该威胁事件生成目标处置序列;其中,所述目标处置序列用于表征所述威胁事件包含的各语义类型的处置顺序;
所述确定模块,用于根据所述目标处置序列生成模块生成的所述目标处置序列,确定至少一组用于生成威胁处置脚本的脚本编译数据;
所述威胁处置脚本生成模块,用于利用所述确定模块确定的所述脚本编译数据生成所述威胁事件的威胁处置脚本。
在一种可能的实现方式中,所述目标处置序列生成模块,用于执行如下操作:
利用所述威胁事件生成初始化处置序列;其中,所述初始化处置序列用于表征所述威胁事件所包含的各语义类型处于预先定义的最原始的处置顺序;
判断所述初始化处置序列是否需要进行修正;
若所述初始化处置序列需要进行修正,则根据处置需求将所述威胁事件所包含的各语义类型的处置顺序进行调整,生成目标处置序列;
若所述初始化处置序列不需要进行修正,则将所述初始化处置序列确定为目标处置序列。
在一种可能的实现方式中,所述确定模块,用于执行如下操作:
从所述目标处置序列中提取所述威胁事件所包含的各语义类型、各语义类型所对应的参数、以及各语义类型的处置顺序;
调用转换函数,将各所述语义类型、所述参数和所述处置顺序转换为机器语言,得到至少一组所述脚本编译数据。
在一种可能的实现方式中,所述威胁处置脚本生成模块,用于执行如下操作:
根据所述各语义类型的处置顺序,将各组所述脚本编译数据进行组合,得到预编译处置脚本;
判断所述预编译处置脚本是否正确;
若所述预编译处置脚本正确,则将所述预编译处置脚本确定为所述威胁处置脚本;
若所述预编译处置脚本不正确,则返回失败原因,以提示人员进行修正。
第三方面,本发明实施例还提供了一种威胁处置脚本的生成装置,包括:至少一个存储器和至少一个处理器;
所述至少一个存储器,用于存储机器可读程序;
所述至少一个处理器,用于调用所述机器可读程序,执行上述第一方面任一实施例所述的方法。
第四方面,本发明实施例还提供了一种计算机可读介质,所述计算机可读介质上存储有计算机指令,所述计算机指令在被处理器执行时,使所述处理器执行上述第一方面任一实施例所述的方法。
实施本发明的一种威胁处置脚本的生成方法、装置和计算机可读介质,至少具有以下有益效果:
本方案通过从威胁信息库中获取威胁事件,该威胁事件中包括注册表、计划任务、文件、进程、脚本和服务等语义类型,然后通过确定这些语义类型的威胁处置顺序生成目标处置序列,进一步根据该目标处置序列来确定出至少一组用于生成威胁处置脚本的脚本编译数据,最后通过该脚本编译数据即可生成对应于该威胁事件的威胁处置脚本,从而能够实现对该威胁事件进行处置。由此可见,本方案通过将威胁事件包含的信息生成处置序列,然后将该处置序列转换和翻译成机器可以识别的脚本编译数据,从而可以利用该脚本编译数据生成威胁处置脚本。如此生成威胁处置脚本的过程简单通用,威胁处置过程也适用于更多人群来操作,不需要由专业安全服务人员对该威胁事件进行调查研究后,花费大量的时间和资源来编写一套针对性的威胁处置方案。
附图说明
图1是本发明一个实施例提供的一种威胁处置脚本的生成方法的流程图;
图2是本发明一个实施例提供的一种威胁处置脚本的生成装置所在设备的示意图;
图3是本发明一个实施例提供的一种威胁处置脚本的生成装置的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供了一种威胁处置脚本的生成方法,该方法可以包括以下步骤:
步骤101:从威胁信息库中获取至少一种威胁事件;其中,每一种威胁事件至少包括一种语义类型的信息,语义类型包括注册表、计划任务、文件、进程、脚本和服务;
步骤102:针对每一种威胁事件,将该威胁事件生成目标处置序列;其中,目标处置序列用于表征威胁事件包含的各语义类型的处置顺序;
步骤103:根据目标处置序列,确定至少一组用于生成威胁处置脚本的脚本编译数据;
步骤104:利用脚本编译数据生成威胁事件的威胁处置脚本。
在本发明实施例中,通过从威胁信息库中获取威胁事件,该威胁事件中包括注册表、计划任务、文件、进程、脚本和服务等语义类型,然后通过确定这些语义类型的威胁处置顺序生成目标处置序列,进一步根据该目标处置序列来确定出至少一组用于生成威胁处置脚本的脚本编译数据,最后通过该脚本编译数据即可生成对应于该威胁事件的威胁处置脚本,从而能够实现对该威胁事件进行处置。由此可见,本方案通过将威胁事件包含的信息生成处置序列,然后将该处置序列转换和翻译成机器可以识别的脚本编译数据,从而可以利用该脚本编译数据生成威胁处置脚本。如此生成威胁处置脚本的过程简单通用,威胁处置过程也适用于更多人群来操作,不需要由专业安全服务人员对该威胁事件进行调查研究后,花费大量的时间和资源来编写一套针对性的威胁处置方案。
在本发明实施例中,在从威胁信息库中获取威胁事件时,威胁事件可以是一种,也可以是多种,其中每一种威胁事件都应该包括至少一种语义类型的信息,而该语义类型包括注册表、计划任务、文件、进程、脚本和服务等,也就是说,该威胁事件可以是注册表、计划任务、文件、进程、脚本和服务中的任意一个或多个。
例如,针对A威胁事件,若该A威胁事件包含的语义类型为进程和注册表,则在获取该A威胁事件时,应获取到A威胁事件的进程和注册表语义类型的信息。若该A威胁事件包含的语义类型为文件和计划任务,则在获取该A威胁事件时,应获取到A威胁事件的文件和计划任务语义类型的信息。
在本发明实施例中,在通过目标处置序列生成脚本编译数据时,具体可以通过将该目标处置序列推送给处置序列解释器来获得脚本编译数据以及生成该威胁事件的威胁处置脚本。而具体的语义定义可以包括如下内容:
注册表(可配自动处置规则)
1.创建注册表项/值[Reg_Create]
2.修改注册表项/值[Reg_Modify]
3.删除注册表项/值[Reg_Delete]
4.重命名注册表项/值[Reg_Rename]
5.删除注册表值[Reg_Delete_Value]
计划任务(可配自动处置规则)
1.创建计划任务[Task_Create]
2.修改计划任务[Task_Modify]
3.删除计划任务[Task_Delete]
文件(可配自动处置规则)
1.创建文件[File_Create]
2.修改文件[File_Modify]
3.删除文件[File_Delete]
4.重命名文件[File_Rename]
5.修改文件属性[File_Attribute]
6.删除文件指定内容[File_DelText]
7.MBR修复[File_repairMbr]
进程(可配自动处置规则)
1.创建进程[Proc_Create]
2.挂起/恢复进程[Proc_Modify]
3.结束进程[Proc_Terminate]
4.挂起指定模块线程[Proc_Module_Threads]
脚本
1.下发bat脚本并运行[Script_Bat]
2.下发shell脚本并运行[Script_Shell]
3.下发vbs脚本并运行[Script_Vbs]
4.下发powershell脚本并运行[Script_PWL]
5.下载文件并运行[Script_File]
服务
1.删除服务[svr_Delete]
2.禁用服务[svr_Disable]
3.启动服务[svr_Enable]
其他
1.外设弹出/规则[Other_Device]
2.断网处置[Other_NetOff]
3.禁用端口[Other_Disabled_Port]
3.禁用ip[Other_Disabled_Ip]
4.补丁修复[Other_Fix_patch]
5.创建互斥免疫[Other_Create_Mutex]
6.创建扫描并自动处置[Other_QuickScan]
由上述语义内容可知,本发明实施例提供的威胁处置脚本的生成方案中,不仅提供了当威胁事件包含的语义类型为注册表、计划任务、文件、进程、脚本和服务的处置方案,而且提供了当该威胁事件不属于注册表、计划任务、文件、进程、脚本和服务中的任意一种时,可以采用语义类型为“其他”的功能处置指令来进行威胁处置。
例如,当从威胁信息库中获取到的威胁事件不属于注册表、计划任务、文件、进程、脚本和服务中的任意一种时,可以采用外设弹出/规则、断网处置、禁用端口、禁用ip、补丁修复、创建互斥免疫和创建扫描并自动处置等功能来进行威胁处置。
在一种可能的实施例中,在将该威胁事件生成目标处置序列时,具体可以通过如下步骤来实现:
利用威胁事件生成初始化处置序列;其中,初始化处置序列用于表征威胁事件所包含的各语义类型处于预先定义的最原始的处置顺序;
判断初始化处置序列是否需要进行修正;
若初始化处置序列需要进行修正,则根据处置需求将威胁事件所包含的各语义类型的处置顺序进行调整,生成目标处置序列;
若初始化处置序列不需要进行修正,则将初始化处置序列确定为目标处置序列。
在本发明实施例中,在将威胁事件生成目标处置序列时,首先可以利用威胁事件生成初始化处置序列,也就是说将威胁事件所包含的各语义类型的处置顺序初始化为预先定义的最原始的处置顺序。然后再确定该初始化后的处置序列是否需要进行修正,即是否需要调整该威胁事件所包含的各语义类型的处置顺序。如果需要,则根据处置顺序的要求对该处置序列进行修正,并将修正后的处置序列确定目标处置序列,若不需要,则可以直接将该初始化处置序列确定为目标处置序列。
由此可见,本方案在生成处置序列时,首先对现有的序列进行了初始化,然后再对初始化后的处置序列根据需求进行了修正,如此不仅保证了该处置序列不受原有的处置顺序的干扰,而且可以根据需求对处置顺序进行修正和定义,从而能够极大地满足应用者的需求。
在本发明实施例中,处置序列是可以被进行修正的。初始化处置序列就是将从威胁信息库中获取到的威胁事件的数据铺到该处置序列中。例如,从浏览器中下载一个安装包,该安装包在运行时释放了三个文件,当过了一段时间后,其中一个文件修改了注册表,如果这一系列数据均为威胁信息库中的东西,那么这些数据在处置时是没有时序的,需要将这些数据输入到初始化处置序列中,然后根据需求对该处置序列进行修正,即对处置这些文件的顺序进行修正。
在一种可能的实现方式中,当根据目标处置序列,确定至少一组用于生成威胁处置脚本的脚本编译数据时,具体可以通过以下步骤来实现:
从目标处置序列中提取威胁事件所包含的各语义类型,各语义类型所对应的参数、以及各语义类型的处置顺序;
调用转换函数,将各语义类型、参数和处置顺序转换为机器语言,得到至少一组脚本编译数据。
在本发明实施例中,在确定用于生成威胁处置脚本的脚本编译数据时,首先从生成的目标处置序列中提取出该威胁事件所包含的语义类型、各语义类型对应的参数和各语义类型的处置顺序,如此通过调用转换函数,将各语义类型、参数和处置顺序等转换为机器语言,从而得到用于生成处置脚本的脚本编译数据。
在本发明实施例中威胁事件包括的语义类型可以为注册表、计划任务、文件、进程、脚本和服务等中的一个或多个。如此在提取时将威胁事件包含的语义类型对应的数据提取出来,即各语义类型所对应的参数,以及将各语义类型的威胁处置顺序提取出来。然后调用转换函数对提取出来的各数据进行转换,得到脚本编译数据。
在一个处置序列中可以包含多个处置步骤,如此在调用转换函数进行转换时,每一个处置步骤对应一个转换函数,基于一个转换函数处理一件事的原则,该一个处置序列则会由每一个步骤所对应的转换函数来进行转换,从而得到至少一组脚本编译数据。比如,在host威胁事件的一个处置序列中包含三个处置步骤,第一个步骤是结束host威胁事件的进程、第二个步骤是修改host威胁事件的计划任务、第三个步骤是删除host威胁事件的文件,那么分别利用结束进程的转换函数、修改计划任务的转换函数和删除文件的转换函数对对应的步骤进行数据语言转换,得到三组脚本编译数据。进而后续可以利用该三组脚本编译数据生成威胁处置脚本。
由此可见,本发明实施例中通过按照预先定义的语义类型进行语义和语义对应的参数进行提取数据,然后利用定义好的各种语义对应的转换函数来生成脚本编译数据,如此为生成脚本编译数据提供了一种通用简洁的方式,避免了由专业安全服务人员进行考察和编写处置方案的繁琐。
在一种可能的实现方式中,当利用脚本编译数据生成威胁事件的威胁处置脚本时,具体可以采用如下步骤来实现:
根据各语义类型的处置顺序,将各组脚本编译数据进行组合,得到预编译处置脚本;
判断预编译处置脚本是否正确;
若预编译处置脚本正确,则将预编译处置脚本确定为威胁处置脚本;
若预编译处置脚本不正确,则返回失败原因,以提示人员进行修正。
在本发明实施例中,利用脚本编译数据生成威胁事件的处置脚本时,首先需要将按照处置序列对应的威胁处置顺序,将各组脚本编译数据进行组合,得到预编译处置脚本,然后判断该预编译处置脚本是否能够生成正确的威胁处置脚本,并在与编译处置脚本存在问题时返回失败原因以提示人员进行修正。由此可见,本方案通过按照修正好的处置序列来组合得到处置脚本,能够满足用户对威胁进行处置的需求,而且能够更加彻底的实现威胁事件的处置。此外通过对预编译结果正确与否进行再次确认,保证了生成的威胁处置脚本的准确性和可用性。
例如,当生成脚本编译数据时,由于传递的参数不正确,此时则会导致预编译结果不成功,此时可以通过编译结果确认判断,从而返回给客户进行修正,以获得正确的脚本编译结果。
当然,在一种可能的实施例中,在生成处置脚本之后,还可以将生成处的置脚本封装为处置工具,具体可以通过如下过程来实现:
根据实际的应用需求,对处置脚本的处理机制进行调整;其中,应用需求包括系统兼容性;
将经处理机制调整后的处置脚本加载至系统工具框架的处置功能中;
对完成处置脚本加载的工具框架进行格式化封装,获得处置工具。
在本发明实施例中,在将处置脚本封装为处置工具时,需要进一步对处置脚本进行优化测试以及格式化封装。通过对处置脚本进行优化测试能够保证最终封装完成的处置工具与各种应用系统兼容,而格式化封装能够定义威胁事件的各基本类型进行处置的顺序,如此可以满足更多的应用需求。
比如,在对处置脚本进行优化和测试时,发现生成的处置脚本在win7系统和xp系统中可以运行,而在win10系统中有些指令是不兼容的,此时可以对该脚本中的指令进行适当的优化和修改,从而使其兼容性更强。
如图2和图3所示,本发明实施例提供了一种威胁处置脚本的生成装置所在的设备和一种威胁处置脚本的生成装置。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图2所示,为本发明实施例提供了一种威胁处置脚本的生成装置所在的设备的一种硬件结构图,除了图2所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图3所示,作为一个逻辑意义上的装置,是通过其所在设备的CPU将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。如图3所示,本发明实施例提供了一种威胁处置脚本的生成装置,包括:获取模块301、目标处置序列生成模块302、确定模块303和威胁处置脚本生成模块304;
获取模块301,用于从威胁信息库中获取至少一种威胁事件;其中,每一种威胁事件至少包括一种语义类型的信息,语义类型包括注册表、计划任务、文件、进程、脚本和服务;
目标处置序列生成模块302,用于针对获取模块301获取到的每一种威胁事件,将该威胁事件生成目标处置序列;其中,目标处置序列用于表征威胁事件包含的各语义类型的处置顺序;
确定模块303,用于根据目标处置序列生成模块302生成的目标处置序列,确定至少一组用于生成威胁处置脚本的脚本编译数据;
威胁处置脚本生成模块304,用于利用确定模块303确定的脚本编译数据生成威胁事件的威胁处置脚本。
如图3所示的一种威胁处置脚本的生成装置中,在一种可能的实施例中,目标处置序列生成模块302,用于执行如下操作:
利用威胁事件生成初始化处置序列;其中,初始化处置序列用于表征威胁事件所包含的各语义类型处于预先定义的最原始的处置顺序;
判断初始化处置序列是否需要进行修正;
若初始化处置序列需要进行修正,则根据处置需求将威胁事件所包含的各语义类型的处置顺序进行调整,生成目标处置序列;
若初始化处置序列不需要进行修正,则将初始化处置序列确定为目标处置序列。
如图3所示的一种威胁处置脚本的生成装置中,在一种可能的实施例中,确定模块303,用于执行如下操作:
从目标处置序列中提取威胁事件所包含的各语义类型,各语义类型所对应的参数、以及各语义类型的处置顺序;
调用转换函数,将各语义类型、参数和处置顺序转换为机器语言,得到至少一组脚本编译数据。
如图3所示的一种威胁处置脚本的生成装置中,在一种可能的实施例中,威胁处置脚本生成模块304,用于执行如下操作:
根据各语义类型的处置顺序,将各组脚本编译数据进行组合,得到预编译处置脚本;
判断预编译处置脚本是否正确;
若预编译处置脚本正确,则将预编译处置脚本确定为威胁处置脚本;
若预编译处置脚本不正确,则返回失败原因,以提示人员进行修正。
本发明实施例还提供了一种威胁处置脚本的生成装置,包括:至少一个存储器和至少一个处理器;
至少一个存储器,用于存储机器可读程序;
至少一个处理器,用于调用机器可读程序,执行本发明任一实施例中的威胁处置脚本的生成方法。
本发明实施例还提供了一种计算机可读介质,该计算机可读介质存储有计算机指令,计算机指令在被处理器执行时,使处理器执行本发明任一实施例中的威胁处置脚本的生成方法。具体地,可以提供配有存储介质的方法或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该方法或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
在这种情况下,从计算机可读介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的计算机可读介质构成了本发明的一部分。
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上下载程序代码。
此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作方法等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。
需要说明的是,上述装置内的各单元之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
综上,本发明各个实施例提供的一种威胁处置脚本的生成方法、装置和计算机可读介质,至少具有如下有益效果:
1、在本发明实施例中,通过从威胁信息库中获取威胁事件,该威胁事件中包括注册表、计划任务、文件、进程、脚本和服务等语义类型,然后通过确定这些语义类型的威胁处置顺序生成目标处置序列,进一步根据该目标处置序列来确定出至少一组用于生成威胁处置脚本的脚本编译数据,最后通过该脚本编译数据即可生成对应于该威胁事件的威胁处置脚本,从而能够实现对该威胁事件进行处置。由此可见,本方案通过将威胁事件包含的信息生成处置序列,然后将该处置序列转换和翻译成机器可以识别的脚本编译数据,从而可以利用该脚本编译数据生成威胁处置脚本。如此生成威胁处置脚本的过程简单通用,威胁处置过程也适用于更多人群来操作,不需要由专业安全服务人员对该威胁事件进行调查研究后,花费大量的时间和资源来编写一套针对性的威胁处置方案。
2、本方案在生成处置序列时,首先对现有的序列进行了初始化,然后再对初始化后的处置序列根据需求进行了修正,如此不仅保证了该处置序列不受原有的处置顺序的干扰,而且可以根据需求对处置顺序进行修正和定义,从而能够极大地满足应用者的需求。
3、本发明实施例中通过按照预先定义的语义类型进行语义和语义对应的参数进行提取数据,然后利用定义好的各种语义对应的转换函数来生成脚本编译数据,如此为生成脚本编译数据提供了一种通用简洁的方式,避免了由专业安全服务人员进行考察和编写处置方案的繁琐。
4、在本发明实施例中,利用脚本编译数据生成威胁事件的处置脚本时,首先需要将按照处置序列对应的威胁处置顺序,将各组脚本编译数据进行组合,得到预编译处置脚本,然后判断该预编译处置脚本是否能够生成正确的威胁处置脚本,并在与编译处置脚本存在问题时返回失败原因以提示人员进行修正。由此可见,本方案通过按照修正好的处置序列来组合得到处置脚本,能够满足用户对威胁进行处置的需求,而且能够更加彻底的实现威胁事件的处置。此外通过对预编译结果正确与否进行再次确认,保证了生成的威胁处置脚本的准确性和可用性。
Claims (10)
1.一种威胁处置脚本的生成方法,其特征在于,包括:
从威胁信息库中获取至少一种威胁事件;其中,每一种所述威胁事件至少包括一种语义类型的信息,所述语义类型包括注册表、计划任务、文件、进程、脚本和服务;
针对每一种威胁事件,将该威胁事件生成目标处置序列;其中,所述目标处置序列用于表征所述威胁事件包含的各语义类型的处置顺序;
根据所述目标处置序列,确定至少一组用于生成威胁处置脚本的脚本编译数据;
利用所述脚本编译数据生成所述威胁事件的威胁处置脚本。
2.根据权利要求1所述的方法,其特征在于,所述将该威胁事件生成目标处置序列,包括:
利用所述威胁事件生成初始化处置序列;其中,所述初始化处置序列用于表征所述威胁事件所包含的各语义类型处于预先定义的最原始的处置顺序;
判断所述初始化处置序列是否需要进行修正;
若所述初始化处置序列需要进行修正,则根据处置需求将所述威胁事件所包含的各语义类型的处置顺序进行调整,生成目标处置序列;
若所述初始化处置序列不需要进行修正,则将所述初始化处置序列确定为目标处置序列。
3.根据权利要求1所述的方法,其特征在于,所述根据所述目标处置序列,确定至少一组用于生成威胁处置脚本的脚本编译数据,包括:
从所述目标处置序列中提取所述威胁事件所包含的各语义类型、各语义类型所对应的参数、以及各语义类型的处置顺序;
调用转换函数,将各所述语义类型、所述参数和所述处置顺序转换为机器语言,得到至少一组所述脚本编译数据。
4.根据权利要求1至3中任一所述的方法,其特征在于,所述利用所述脚本编译数据生成所述威胁事件的威胁处置脚本,包括:
根据所述各语义类型的处置顺序,将各组所述脚本编译数据进行组合,得到预编译处置脚本;
判断所述预编译处置脚本是否正确;
若所述预编译处置脚本正确,则将所述预编译处置脚本确定为所述威胁处置脚本;
若所述预编译处置脚本不正确,则返回失败原因,以提示人员进行修正。
5.一种威胁处置脚本的生成装置,其特征在于,包括:获取模块、目标处置序列生成模块、确定模块和威胁处置脚本生成模块;
所述获取模块,用于从威胁信息库中获取至少一种威胁事件;其中,每一种所述威胁事件至少包括一种语义类型的信息,所述语义类型包括注册表、计划任务、文件、进程、脚本和服务;
所述目标处置序列生成模块,用于针对所述获取模块获取到的每一种威胁事件,将该威胁事件生成目标处置序列;其中,所述目标处置序列用于表征所述威胁事件包含的各语义类型的处置顺序;
所述确定模块,用于根据所述目标处置序列生成模块生成的所述目标处置序列,确定至少一组用于生成威胁处置脚本的脚本编译数据;
所述威胁处置脚本生成模块,用于利用所述确定模块确定的所述脚本编译数据生成所述威胁事件的威胁处置脚本。
6.根据权利要求5所述的装置,其特征在于,
所述目标处置序列生成模块,用于执行如下操作:
利用所述威胁事件生成初始化处置序列;其中,所述初始化处置序列用于表征所述威胁事件所包含的各语义类型处于预先定义的最原始的处置顺序;
判断所述初始化处置序列是否需要进行修正;
若所述初始化处置序列需要进行修正,则根据处置需求将所述威胁事件所包含的各语义类型的处置顺序进行调整,生成目标处置序列;
若所述初始化处置序列不需要进行修正,则将所述初始化处置序列确定为目标处置序列。
7.根据权利要求5所述的装置,其特征在于,
所述确定模块,用于执行如下操作:
从所述目标处置序列中提取所述威胁事件所包含的各语义类型、各语义类型所对应的参数、以及各语义类型的处置顺序;
调用转换函数,将各所述语义类型、所述参数和所述处置顺序转换为机器语言,得到至少一组所述脚本编译数据。
8.根据权利要求5至7中任一所述的装置,其特征在于,
所述威胁处置脚本生成模块,用于执行如下操作:
根据所述各语义类型的处置顺序,将各组所述脚本编译数据进行组合,得到预编译处置脚本;
判断所述预编译处置脚本是否正确;
若所述预编译处置脚本正确,则将所述预编译处置脚本确定为所述威胁处置脚本;
若所述预编译处置脚本不正确,则返回失败原因,以提示人员进行修正。
9.一种威胁处置脚本的生成装置,其特征在于,包括:至少一个存储器和至少一个处理器;
所述至少一个存储器,用于存储机器可读程序;
所述至少一个处理器,用于调用所述机器可读程序,执行权利要求1至4中任一所述的方法。
10.一种计算机可读介质,其特征在于,
所述计算机可读介质上存储有计算机指令,所述计算机指令在被处理器执行时,使所述处理器执行权利要求1至4中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110236905.9A CN112866291B (zh) | 2021-03-03 | 2021-03-03 | 一种威胁处置脚本的生成方法、装置和计算机可读介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110236905.9A CN112866291B (zh) | 2021-03-03 | 2021-03-03 | 一种威胁处置脚本的生成方法、装置和计算机可读介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112866291A true CN112866291A (zh) | 2021-05-28 |
| CN112866291B CN112866291B (zh) | 2023-02-28 |
Family
ID=75991513
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110236905.9A Active CN112866291B (zh) | 2021-03-03 | 2021-03-03 | 一种威胁处置脚本的生成方法、装置和计算机可读介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112866291B (zh) |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1981289A (zh) * | 2004-07-13 | 2007-06-13 | 国际商业机器公司 | 目标计算机系统间入侵检测、入侵响应和漏洞修复的方法、计算机程序产品和数据结构 |
| CN105122727A (zh) * | 2013-01-11 | 2015-12-02 | Db网络公司 | 用于检测并减轻对结构化数据存储系统的威胁的系统和方法 |
| US20150365456A1 (en) * | 2008-11-26 | 2015-12-17 | David Harrison | System and method of discovery and launch associated with a networked media device |
| CN106650436A (zh) * | 2016-12-29 | 2017-05-10 | 北京奇虎科技有限公司 | 一种基于局域网的安全检测方法和装置 |
| CN106856477A (zh) * | 2016-12-29 | 2017-06-16 | 北京奇虎科技有限公司 | 一种基于局域网的威胁处理方法和装置 |
| CN107608752A (zh) * | 2016-07-12 | 2018-01-19 | 中国科学院信息工程研究所 | 基于虚拟机自省的威胁情报响应与处置方法及系统 |
| US20180115577A1 (en) * | 2016-10-21 | 2018-04-26 | Tata Consultancy Services Limited | System and method for detecting and mitigating ransomware threats |
| CN110875920A (zh) * | 2018-12-24 | 2020-03-10 | 哈尔滨安天科技集团股份有限公司 | 一种网络威胁分析方法、装置、电子设备及存储介质 |
| CN111030968A (zh) * | 2019-01-24 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种可自定义威胁检测规则的检测方法、装置及存储介质 |
| CN111737697A (zh) * | 2020-08-06 | 2020-10-02 | 中国人民解放军国防科技大学 | 一种基于原子化功能的安全扫描系统及扫描方法 |
| CN111857965A (zh) * | 2020-07-28 | 2020-10-30 | 浙江军盾信息科技有限公司 | 内网威胁检测方法、装置、设备和计算机设备 |
| US10846405B1 (en) * | 2018-06-19 | 2020-11-24 | NortonLifeLock Inc. | Systems and methods for detecting and protecting against malicious software |
| US20200389472A1 (en) * | 2019-06-05 | 2020-12-10 | Vmware, Inc. | Stateful rule generation for behavior based threat detection |
| CN112307478A (zh) * | 2020-11-30 | 2021-02-02 | 深信服科技股份有限公司 | 一种脚本病毒检测方法、系统及电子设备和存储介质 |
-
2021
- 2021-03-03 CN CN202110236905.9A patent/CN112866291B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1981289A (zh) * | 2004-07-13 | 2007-06-13 | 国际商业机器公司 | 目标计算机系统间入侵检测、入侵响应和漏洞修复的方法、计算机程序产品和数据结构 |
| US20150365456A1 (en) * | 2008-11-26 | 2015-12-17 | David Harrison | System and method of discovery and launch associated with a networked media device |
| CN105122727A (zh) * | 2013-01-11 | 2015-12-02 | Db网络公司 | 用于检测并减轻对结构化数据存储系统的威胁的系统和方法 |
| CN107608752A (zh) * | 2016-07-12 | 2018-01-19 | 中国科学院信息工程研究所 | 基于虚拟机自省的威胁情报响应与处置方法及系统 |
| US20180115577A1 (en) * | 2016-10-21 | 2018-04-26 | Tata Consultancy Services Limited | System and method for detecting and mitigating ransomware threats |
| CN106650436A (zh) * | 2016-12-29 | 2017-05-10 | 北京奇虎科技有限公司 | 一种基于局域网的安全检测方法和装置 |
| CN106856477A (zh) * | 2016-12-29 | 2017-06-16 | 北京奇虎科技有限公司 | 一种基于局域网的威胁处理方法和装置 |
| US10846405B1 (en) * | 2018-06-19 | 2020-11-24 | NortonLifeLock Inc. | Systems and methods for detecting and protecting against malicious software |
| CN110875920A (zh) * | 2018-12-24 | 2020-03-10 | 哈尔滨安天科技集团股份有限公司 | 一种网络威胁分析方法、装置、电子设备及存储介质 |
| CN111030968A (zh) * | 2019-01-24 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种可自定义威胁检测规则的检测方法、装置及存储介质 |
| US20200389472A1 (en) * | 2019-06-05 | 2020-12-10 | Vmware, Inc. | Stateful rule generation for behavior based threat detection |
| CN111857965A (zh) * | 2020-07-28 | 2020-10-30 | 浙江军盾信息科技有限公司 | 内网威胁检测方法、装置、设备和计算机设备 |
| CN111737697A (zh) * | 2020-08-06 | 2020-10-02 | 中国人民解放军国防科技大学 | 一种基于原子化功能的安全扫描系统及扫描方法 |
| CN112307478A (zh) * | 2020-11-30 | 2021-02-02 | 深信服科技股份有限公司 | 一种脚本病毒检测方法、系统及电子设备和存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| LISA TOMPSON,SPENCER CHAINEY: "Profilling illegal waste activity:Using Crime Scripts as a Data collection and analytical strategy", 《SPRINGERLINK》 * |
| 吴迪,连一峰,陈恺,刘玉岭: "一种基于攻击图的安全威胁识别和分析方法", 《计算机学报》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112866291B (zh) | 2023-02-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10482262B2 (en) | Static analysis based on abstract program representations | |
| CN108932406B (zh) | 虚拟化软件保护方法和装置 | |
| Lawall et al. | Coccinelle: 10 years of automated evolution in the Linux kernel | |
| Sridharan et al. | F4F: taint analysis of framework-based web applications | |
| Livshits et al. | Reflection analysis for Java | |
| Schäfer et al. | Mining framework usage changes from instantiation code | |
| Thai et al. | . NET framework essentials | |
| KR101120853B1 (ko) | 관리 도구 환경 | |
| RU2520344C2 (ru) | Кэширование генерируемого во время выполнения кода | |
| Yu et al. | Patching vulnerabilities with sanitization synthesis | |
| US20100333079A1 (en) | Binary Code Modification System and Method for Implementing Identity and Access Management or Governance Policies | |
| US8141035B2 (en) | Method for accessing internal states of objects in object oriented programming | |
| EP3198452B1 (en) | On-demand loading of dynamic scripting language code for reduced memory usage | |
| CN104536797A (zh) | 一种Java程序预编译方法和预编译器 | |
| US20060230397A1 (en) | Method for third-party registration of software components | |
| US8788884B2 (en) | Automatic correction of program logic | |
| Ernst et al. | Boolean formulas for the static identification of injection attacks in Java | |
| Kim et al. | Reuse-oriented reverse engineering of functional components from x86 binaries | |
| CN112052433A (zh) | 一种Jar文件的虚拟化保护方法、终端及存储介质 | |
| Grech et al. | Efficient reflection string analysis via graph coloring | |
| Arzt et al. | Towards cross-platform cross-language analysis with soot | |
| CN112866291B (zh) | 一种威胁处置脚本的生成方法、装置和计算机可读介质 | |
| US20100333065A1 (en) | Binary code modification system and method for implementing a web service interface | |
| CN112052047A (zh) | 一种指令处理方法、终端及存储介质 | |
| KR102439778B1 (ko) | 애플리케이션의 보안성 향상을 위한 애플리케이션 변환 장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road) Applicant after: Antan Technology Group Co.,Ltd. Address before: Room 506, 162 Hongqi Street, Nangang 17 building, high tech entrepreneurship center, high tech Industrial Development Zone, Songbei District, Harbin City, Heilongjiang Province Applicant before: Harbin Antian Science and Technology Group Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |