CN113031942A - 一种威胁处置工具的生成方法、装置和计算机可读介质 - Google Patents

一种威胁处置工具的生成方法、装置和计算机可读介质 Download PDF

Info

Publication number
CN113031942A
CN113031942A CN202110324387.6A CN202110324387A CN113031942A CN 113031942 A CN113031942 A CN 113031942A CN 202110324387 A CN202110324387 A CN 202110324387A CN 113031942 A CN113031942 A CN 113031942A
Authority
CN
China
Prior art keywords
threat
disposal
script
handling
generating
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110324387.6A
Other languages
English (en)
Inventor
刘佳男
王昆明
李柏松
肖新光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Harbin Antian Science And Technology Group Co ltd
Harbin Antiy Technology Group Co Ltd
Original Assignee
Harbin Antian Science And Technology Group Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Antian Science And Technology Group Co ltd filed Critical Harbin Antian Science And Technology Group Co ltd
Priority to CN202110324387.6A priority Critical patent/CN113031942A/zh
Publication of CN113031942A publication Critical patent/CN113031942A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/30Creation or generation of source code
    • G06F8/35Creation or generation of source code model driven
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/561Virus type analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Processing Of Solid Wastes (AREA)

Abstract

本发明涉及一种威胁处置工具的生成方法、装置和计算机可读介质,该方法包括:获取终端设备的威胁情报;对威胁情报进行威胁特征提取;其中,威胁特征包括威胁情报的至少一种基本类型所具有的特征信息,每一种基本类型唯一表征注册表、计划任务、文件和进程中的一个;按照预先定义的开放式处置规则,针对威胁特征生成处置脚本;其中,开放式处置规则包括对威胁情报在至少一种基本类型层面进行处置的指令集;将处置脚本封装为处置工具。本方案能够根据威胁情报迅速生成威胁处置工具。

Description

一种威胁处置工具的生成方法、装置和计算机可读介质
技术领域
本发明涉及网络安全技术领域,尤其涉及一种威胁处置工具的生成方法、装置和计算机可读介质。
背景技术
随着网络空间安全威胁的不断涌现,网络空间安全防御作战形势日趋严峻,积极防御工作压力增大,网络空间的合法用户(包括网络安全从业者)对网络空间威胁处置工具的需求更加迫切,尤其是对生成威胁处置工具提出来更高的要求。
现有的威胁处置工具在进行威胁处置时,通常需要在后端针对每一个网络空间威胁开发生成一个处置脚本和处置工具,因此往往无法迅速的对网络空间威胁做出响应。
因此,亟需提供一种威胁处置工具的生成方案以解决上述现有技术的不足。
发明内容
本发明要解决的问题在于现有技术在进行威胁处置时,通常需要在后端针对一个网络空间开发生成一个处置脚本和处置工具,如此经常无法对威胁情报做出迅速的响应。本发明通过提供了一种威胁处置工具的生成方法、装置和计算机可读介质,能够根据威胁情报迅速生成威胁处置工具。
第一方面,本发明实施例提供了一种威胁处置工具的生成方法,该方法包括:
获取终端设备的威胁情报;
对所述威胁情报进行威胁特征提取;其中,所述威胁特征包括所述威胁情报的至少一种基本类型所具有的特征信息,每一种所述基本类型唯一表征注册表、计划任务、文件和进程中的一个;
按照预先定义的开放式处置规则,针对所述威胁特征生成处置脚本;其中,所述开放式处置规则包括对所述威胁情报在至少一种基本类型层面进行处置的指令集;
将所述处置脚本封装为处置工具。
在一种可能的实现方式中,所述获取终端设备的威胁情报,包括:获取来自终端设备上加载的终端安全响应系统发现的所述威胁情报。
在一种可能的实现方式中,所述获取终端设备的威胁情报,包括:
与至少一个外部的终端安全系统建立连接;
获取所述至少一个外部的终端安全系统输出的所述威胁情报。
在一种可能的实现方式中,每一种所述基本类型所对应的指令集包括至少一个功能处置指令,且每一个所述功能处置指令唯一对应一种所述基本类型;
所述按照预先定义的开放式处置规则,针对所述威胁特征生成处置脚本,包括:
根据所述威胁特征确定至少一种对所述威胁情报进行处置的目标基本类型;
针对每一种所述基本类型,确定对所述威胁情报进行处置时该基本类型所对应的目标功能处置指令;
利用所述威胁特征对应的每一种所述基本类型的特征信息与该基本类型所对应的目标功能处置指令编写处置脚本。
在一种可能的实现方式中,所述开放式处置规则包括脚本指令集,且所述脚本指令集包括至少一个脚本功能指令;
所述生成所述处置脚本,包括:
确定所述威胁情报所需要的目标脚本功能指令;
利用所述目标脚本功能指令生成所需的处置脚本。
在一种可能的实现方式中,所述按照预先定义的开放式处置规则,针对所述威胁特征生成处置脚本,包括:
与外部的至少一个安全防御系统建立连接;其中,所述安全防御系统的脚本生成规则遵循所述开放式处置规则;
利用所述安全防御系统生成所述处置脚本。
在一种可能的实现方式中,所述将所述处置脚本封装为处置工具,包括:
根据实际的应用需求,对所述处置脚本的处理机制进行调整;其中,所述应用需求包括系统兼容性;
将经处理机制调整后的所述处置脚本加载至系统工具框架的处置功能中;
对完成处置脚本加载的所述工具框架进行格式化封装,获得所述处置工具;其中,所述格式化封装包括:定义对所述威胁情报的各基本类型进行处置的顺序。
第二方面,本发明实施例还提供了一种威胁处置工具的生成装置,该装置可以包括:获取模块、特征提取模块、处置脚本生成模块和封装模块;
所述获取模块,用于获取终端设备的威胁情报;
所述特征提取模块,用于对所述获取模块获取到的所述威胁情报进行威胁特征提取;其中,所述威胁特征包括所述威胁情报的至少一种基本类型所具有的特征信息,每一种所述基本类型唯一表征注册表、计划任务、文件和进程中的一个;
所述处置脚本生成模块,用于按照预先定义的开放式处置规则,针对所述特征提取模块得到的所述威胁特征生成处置脚本;其中,所述开放式处置规则包括对所述威胁情报在至少一种基本类型层面进行处置的指令集;
所述封装模块,用于将所述处置脚本生成模块得到的所述处置脚本封装为处置工具。
第三方面,本发明实施例还提供了一种威胁处置工具的生成装置,包括:至少一个存储器和至少一个处理器;
所述至少一个存储器,用于存储机器可读程序;
所述至少一个处理器,用于调用所述机器可读程序,执行上述第一方面任一实施例所述的方法。
第四方面,本发明实施例还提供了一种计算机可读介质,所述计算机可读介质上存储有计算机指令,所述计算机指令在被处理器执行时,使所述处理器执行上述第一方面任一实施例所述的方法。
实施本发明的一种威胁处置工具的生成方法、装置和计算机可读介质,至少具有以下有益效果:
本方案通过从终端设备上获取威胁情报,然后按照注册表、计划任务、文件以及进程等基本类型从威胁情报中进行威胁特征的提取,预先定义的开放式处置规则是包含对威胁情报在各个基本类型的层面上进行处置的指令集,如此通过利用该指令集和提取出的威胁特征即可生成处置脚本,进一步将处置脚本封装成处置工具,以用来对威胁情报进行处置。由此可见,有威胁情报产生时,本方案将威胁情报进行基本类型的威胁特征提取,然后利用开放式处置规则中各基本类型所对应的指令集对该威胁特征生成处置脚本,不需要对每一种威胁情报都在后端进行处置工具的开发。因此,本方案能够根据威胁情报迅速生成威胁处置工具。
附图说明
图1是本发明一个实施例提供的一种威胁处置工具的生成方法的流程图;
图2是本发明另一个实施例提供的一种威胁处置工具的生成方法的流程图;
图3是本发明一个实施例提供的一种威胁处置工具的生成装置所在设备的示意图;
图4是本发明一个实施例提供的一种威胁处置工具的生成装置的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供了一种威胁处置工具的生成方法,该方法可以包括以下步骤:
步骤101:获取终端设备的威胁情报;
步骤102:对威胁情报进行威胁特征提取;其中,威胁特征包括威胁情报的至少一种基本类型所具有的特征信息,每一种基本类型唯一表征注册表、计划任务、文件和进程中的一个;
步骤103:按照预先定义的开放式处置规则,针对威胁特征生成处置脚本;其中,开放式处置规则包括对威胁情报在至少一种基本类型层面进行处置的指令集;
步骤104:将处置脚本封装为处置工具。
在本发明实施例中,通过从终端设备上获取威胁情报,然后按照注册表、计划任务、文件以及进程等基本类型从威胁情报中进行威胁特征的提取,预先定义的开放式处置规则是包含对威胁情报在各个基本类型的层面上进行处置的指令集,如此通过利用该指令集和提取出的威胁特征即可生成处置脚本,进一步将处置脚本封装成处置工具,以用来对威胁情报进行处置。由此可见,有威胁情报产生时,本方案将威胁情报进行基本类型的威胁特征提取,然后利用开放式处置规则中各基本类型所对应的指令集对该威胁特征生成处置脚本,不需要对每一种威胁情报都在后端进行处置工具的开发。因此,本方案提供的威胁处置工具的研制过程简单,研制周期短,从设计研发到部署应用的过程非常迅捷,能够及时应对快速变化中的网空威胁。
在一种可能的实施例中,在获取终端设备的威胁情报时,可以获取来自终端设备上加载的终端安全响应系统发现的威胁情报。该终端安全响应系统可以包括对组织网络中的所有入口和行为在内存、文件系统、注册表和进程等范围内进行实时和不间断检测的端点威胁检测和响应EDR。
在一种可能的实施例中,在获取终端设备的威胁情报时,还可以通过如下步骤来实现:
与至少一个外部的终端安全系统建立连接;
获取至少一个外部的终端安全系统输出的威胁情报。
在本发明实施例中,通过与外部的终端安全系统建立连接,可以直接获取这些外部的终端安全系统所输出的威胁情报,如此能够实现与其它外部的网络空间威胁防御措施紧密协同、高效联动,从而助力实现细粒度的威胁对抗,弥补现有集成化防御措施在某些细节方面的能力缺失,进而助力构建全面有效的积极防御体系。
在与外部的终端安全系统建立连接时,可以是与防护响应*DR、终端防御系统/终端防护平台(EPP)、威胁分析系统/沙箱、威胁情报系统、安全协调自动化和响应(SecurityOrchestration Automation and Response,SOAR)等进行连接,实现协同联动。其中防护响应*DR进一步可以包括EDR、NDR和XDR等类型的基于威胁检测和响应技术理念的防御措施。
在获取终端设备的威胁情报时,可以是获取来自终端设备上加载的终端安全系统发现的威胁情报,也可以是获取的外部的终端安全系统输出的威胁情报,如此能够以技术实现的便捷性正面促进使用者不忽视、不放过任何一个在单点上发现的安全威胁,而且能够充分利用现有其它网空威胁防御措施输出的威胁情报信息。
在一种可能的实施例中,每一种基本类型所对应的指令集包括至少一个功能处置指令,且每一个功能处置指令唯一对应一种基本类型;
如此,在按照预先定义的开放式处置规则,针对威胁特征生成处置脚本时,具体可以通过如下步骤来实现:
根据威胁特征确定至少一种对威胁情报进行处置的目标基本类型;
针对每一种基本类型,确定对威胁情报进行处置时该基本类型对应的目标功能处置指令;
利用威胁特征对应的每一种基本类型的特征信息与该基本类型所对应的目标功能处置指令编写处置脚本。
在本发明实施例中,预先定义的开放式处置规则包括至少一个基本类型(比如注册表、计划任务、文件、进程等),而每一个基本类型都会包括至少一个功能处置指令(比如删除注册表、修改文件、创建文件等)。如此在利用开放式处置规则对威胁特征生成处置脚本时,首先需要确定至少一种基本类型,即确定是对注册表、计划任务、文件和进程等中的哪一个进行处置,进一步确定利用该基本类型中的哪一个功能处置指令对威胁特征中的该类型进行处置(比如是对文件这一基本类型进行删除,创建还是修改等)。在确定好每一种基本类型的功能处置指令后,利用每一种功能处置指令和该功能处置指令对应的基本类型的威胁特征信息生成处置脚本,由此可见,本方案只需要通过对威胁情报按照开放式处置规则中的基本类型进行威胁特征提取,然后利用开放式处置规则中对应基本类型中的功能处置指令即可生成处置脚本,如此生成处置脚本的过程迅速高效。而且处置规则及脚本采用一种通用、简单的标准格式,便于使用者根据某一台终端上发现的威胁,快速生成可用于其内部网络全范围排查和威胁处置的专业化工具。
例如,通过威胁特征提取,得到的一个威胁特征是test.exe的进程,开放式处置规则中的进程的基本类型中包括的功能处置指令有:“创建进程[Proc_Create]”、“挂起/恢复进程[Proc_Modify]”、“结束进程[Proc_Terminate]”、“挂起指定模块进程[Proc_Module_Threads]”。在对该威胁特征进行处置,生成处置脚本时,首先需要在进程的基本类型中确定对该进程进行处置的功能处置指令,例如该进程的功能处置指令为[Proc_Create],则可以利用该威胁特征与该功能处置指令[Proc_Create]生成处置脚本。
在一种可能的实施例中,开放式处置规则中包括脚本指令集,且脚本指令集包括至少一个脚本功能指令。如此在生成处置脚本时,具体可以通过如下步骤来实现:
确定威胁情报所需要的目标脚本功能指令;
利用目标脚本功能指令生成所需的处置脚本。
在本发明实施例中,脚本指令集中可以包括:下发bat脚本并运行、下发shell脚本并运、下发vbs脚本并运行、下发powershell脚本并运行以及下载文件并运行等,如此可以根据具体的需求进行脚本类型的选择,从而具有更大的应用范围。
在一种可能的实现方式中,在按照预先定义的开放式处置规则,针对威胁特征生成处置脚本时,还可以通过如下过程实现:
与外部的至少一个安全防御系统建立连接;其中,安全防御系统的脚本生成规则遵循开放式处置规则;
利用安全防御系统生成处置脚本。
在本发明实施例中,当外部的安全防御系统具有生成处置脚本的作用时,并且该安全防御系统的脚本生成规则遵循的是本发明中预先定义的开放式处置规则,那么可以与该外部的安全防御系统建立连接,然后实现直接利用该安全防御系统生成所需要的处置脚本。如此为生成处置脚本的方式提供了多样性选择,从而也节省了生成处置脚本所需要的资源。
例如,与外部的安全防御系统建立连接生成处置脚本时,通常可以选择与安全协调自动化和响应(SOAR)建立协同联动,从而进一步利用该安全协调自动化和响应系统生成处置脚本。
在本发明的一个实施例中,在将处置脚本封装为处置工具时,具体可以通过如下过程来实现:
根据实际的应用需求,对处置脚本的处理机制进行调整;其中,应用需求包括系统兼容性;
将经处理机制调整后的处置脚本加载至系统工具框架的处置功能中;
对完成处置脚本加载的工具框架进行格式化封装,获得处置工具;其中,格式化封装包括:定义对威胁情报的各基本类型进行处置的顺序。
在本发明实施例中,在将处置脚本封装为处置工具时,需要进一步对处置脚本进行优化测试以及格式化封装。通过对处置脚本进行优化测试能够保证最终封装完成的处置工具与各种应用系统兼容,而格式化封装能够定义威胁情报的各基本类型进行处置的顺序,如此可以满足更多的应用需求。
比如,在对处置脚本进行优化和测试时,发现生成的处置脚本在win7系统和xp系统中可以运行,而在win10系统中有些指令是不兼容的,此时可以对该脚本中的指令进行适当的优化和修改,从而使其兼容性更强。
再比如,在将优化后的处置脚本加载到工具框架的处置功能后,即在进行格式化封装时,需要根据需求对威胁情报的各基本类型的处置顺序进行定义。比如,对威胁情报的各基本类型进行处置的顺序可以为:进程-注册表-计划任务-文件,那么在进行格式化封装时,按照该处置顺序将处置脚本封装为处置工具。
下面对本发明实施例提供的一种威胁处置工具的生成方法作进一步详细的说明。
基于上述背景技术,本发明涵盖的威胁处置工具生成方法,不仅能够简化研制过程,缩短研制周期,使威胁工具从设计研发到部署应用的过程变得非常迅捷,及时应对快速变化中的网空威胁,而且处置规则及脚本采用一种通用、简单的标准格式,便于使用者根据某一台终端上发现的威胁,快速生成可用于其内部网络全范围排查和威胁处置的专业化工具,同时,与*DR、终端防御系统/终端防护平台(EPP)、威胁分析系统/沙箱、威胁情报系统、安全协调自动化和响应(Security Orchestration Automation and Response,SOAR)等其它网空威胁防御措施紧密协同、高效联动,从而助力实现细粒度的威胁对抗,弥补现有集成化防御措施在某些细节方面的能力缺失,进而助力构建全面有效的积极防御体系。如图2所示,具体可以包括如下步骤:
步骤201:单点威胁发现。在某一台终端上发现安全威胁,作为触发整个流程的出发点之一。
步骤202:威胁情报利用。通过对已有的*DR、终端防御系统/终端防护平台(EPP)、威胁分析系统/沙箱、威胁情报系统等所输出的威胁情报信息(内含IoC等,包括但不限于报告等形式)进行充分利用,达成与上述防御措施协同联动的同时,也作为触发整个流程的另一个出发点,与步骤201为并列关系。
值得注意的是,步骤201和步骤202为并列关系,在获取威胁情报时,可以利用步骤201的方式获取,也可以利用步骤202的方式来获取,还可以同时利用步骤201和步骤202的方式对威胁情报进行获取和监控。
步骤203:提取威胁特征。根据S01-1中发现的威胁或S01-2中可利用的威胁情报,提取出具备高可信度的威胁特征。
在本发明实施例中,在对威胁情报进行威胁特征提取时,威胁特征信息主要包括如下方面:进程\线程的PID或名称、注册表项或值、服务名或服务文件路径和文件名等主要关键信息。
步骤204:编写处置脚本。基于步骤203中提取所得威胁特征,依据ARR(AntiyResponse Rule)开放式处置规则定义,快速、规范地编写处置脚本。其中,ARR(AntiyResponse Rule)的部分指令集如下表1所示:
表1-ARR(Antiy Response Rule)的部分指令集
Figure BDA0002994013120000111
Figure BDA0002994013120000121
在利用ARR处置规则生成处置脚本时,通过采用ARR的功能处置指令和威胁特征信息来实现。
1)比如,实现对威胁文件的删除:
File_Delete
condition:
全盘:alldisk,系统磁盘:systemdisk,磁盘根目录:diskroot,全盘指定深度:alldisk_deep:1-100
移动设备:udisk
2)再比如,实现对被威胁破坏或修改的主引导记录(MBR)扇区的修复:
File_repairMbr
condition:
[判定方式],[偏移],[对比内容]
[equal/Unequal],[offset:0],[31c0fa]
目前ARR处置规则涵盖注册表、计划任务、文件、进程、脚本等6大类、共计30种,当然具体并不对处置规则的大类和种数作具体的限定。
步骤205:生成处置脚本。基于步骤203中提取所得威胁特征,通过与安全协调自动化和响应(SOAR)的协同联动,生成处置脚本;与S03-1为并列关系。
值得注意的是,步骤204和步骤205为并列关系,在编写和生成处置工具时,可以采用步骤204的方式来实现,也可以采用步骤205的方式来实现,还可以同时利用步骤204和步骤205来实现处置工具的生成。
步骤206:验证和优化处置脚本。根据步骤204和步骤205形成的处置脚本,结合指定安全威胁,进行测试验证,并依据验证结果对处置脚本进行优化和完善。
步骤207:加载处置脚本。根据步骤206的验证和优化完成的处置脚本,采用开放式工具框架给予承载,将处置脚本加载进入工具框架的处置功能部分。
步骤208:封装处置工具。根据步骤207完成处置脚本加载的工具框架,进行必要的格式化封装,使其适配于部署和应用环境。
如图3和图4所示,本发明实施例提供了一种威胁处置工具的生成装置所在的设备和一种威胁处置工具的生成装置。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图3所示,为本发明实施例提供了一种威胁处置工具的生成装置所在的设备的一种硬件结构图,除了图3所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图4所示,作为一个逻辑意义上的装置,是通过其所在设备的CPU将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。如图4所示,本发明实施例提供了一种威胁处置工具的生成装置,包括:获取模块401、特征提取模块402、处置脚本生成模块403和封装模块404;
获取模块401,用于获取终端设备的威胁情报;
特征提取模块402,用于对获取模块401获取到的威胁情报进行威胁特征提取;其中,威胁特征包括威胁情报的至少一种基本类型所具有的特征信息,每一种基本类型唯一表征注册表、计划任务、文件和进程中的一个;
处置脚本生成模块403,用于按照预先定义的开放式处置规则,针对特征提取模块402得到的威胁特征生成处置脚本;其中,开放式处置规则包括对威胁情报在至少一种基本类型层面进行处置的指令集;
封装模块404,用于将处置脚本生成模块403得到的处置脚本封装为处置工具。
如图4所示的一种威胁处置工具的生成装置中,在一种可能的实施例中,获取模块401,用于执行如下操作:
获取来自终端设备上加载的终端安全响应系统发现的威胁情报。
如图4所示的一种威胁处置工具的生成装置中,在一种可能的实施例中,获取模块401,用于执行如下操作:
与至少一个外部的终端安全系统建立连接;
获取至少一个外部的终端安全系统输出的威胁情报。
如图4所示的一种威胁处置工具的生成装置中,在一种可能的实施例中,每一种基本类型所对应的指令集包括至少一个功能处置指令,且每一个功能处置指令唯一对应一种基本类型;处置脚本生成模块403,用于执行如下操作:
根据威胁特征确定至少一种对威胁情报进行处置的目标基本类型;
针对每一种基本类型,确定对威胁情报进行处置时该基本类型对应的目标功能处置指令;
利用威胁特征对应的每一种基本类型的特征信息与该基本类型所对应的目标功能处置指令编写处置脚本。
如图4所示的一种威胁处置工具的生成装置中,在一种可能的实施例中,处置脚本生成模块403,用于执行如下操作:
确定威胁情报所需要的目标脚本功能指令;
利用目标脚本功能指令生成所需的处置脚本。
如图4所示的一种威胁处置工具的生成装置中,在一种可能的实施例中,处置脚本生成模块403,用于执行如下操作:
与外部的至少一个安全防御系统建立连接;其中,安全防御系统的脚本生成规则遵循开放式处置规则;
利用安全防御系统生成处置脚本。
如图4所示的一种威胁处置工具的生成装置中,在一种可能的实施例中,封装模块404用于执行如下操作:
根据实际的应用需求,对处置脚本的处理机制进行调整;其中,应用需求包括系统兼容性;
将经处理机制调整后的处置脚本加载至系统工具框架的处置功能中;
对完成处置脚本加载的工具框架进行格式化封装,获得处置工具;其中,格式化封装包括:定义对威胁情报的各基本类型进行处置的顺序。
本发明实施例还提供了一种威胁处置工具的生成装置,包括:至少一个存储器和至少一个处理器;
至少一个存储器,用于存储机器可读程序;
至少一个处理器,用于调用机器可读程序,执行本发明任一实施例中的威胁处置工具的生成方法。
本发明实施例还提供了一种计算机可读介质,该计算机可读介质存储有计算机指令,计算机指令在被处理器执行时,使处理器执行本发明任一实施例中的威胁处置工具的生成方法。具体地,可以提供配有存储介质的方法或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该方法或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
在这种情况下,从计算机可读介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的计算机可读介质构成了本发明的一部分。
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上下载程序代码。
此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作方法等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。
需要说明的是,上述装置内的各单元之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
综上,本发明各个实施例提供的一种威胁处置工具的生成方法、装置和计算机可读介质,至少具有如下有益效果:
1、在本发明实施例中,通过从终端设备上获取威胁情报,然后按照注册表、计划任务、文件以及进程等基本类型从威胁情报中进行威胁特征的提取,预先定义的开放式处置规则是包含对威胁情报在各个基本类型的层面上进行处置的指令集,如此通过利用该指令集和提取出的威胁特征即可生成处置脚本,进一步将处置脚本封装成处置工具,以用来对威胁情报进行处置。由此可见,有威胁情报产生时,本方案将威胁情报进行基本类型的威胁特征提取,然后利用开放式处置规则中各基本类型所对应的指令集对该威胁特征生成处置脚本,不需要对每一种威胁情报都在后端进行处置工具的开发。因此,本方案提供的威胁处置工具的研制过程简单,研制周期短,从设计研发到部署应用的过程非常迅捷,能够及时应对快速变化中的网空威胁。
2、在本发明实施例中,通过与外部的终端安全系统建立连接,可以直接获取这些外部的终端安全系统所输出的威胁情报,如此能够实现与其它外部的网络空间威胁防御措施紧密协同、高效联动,从而助力实现细粒度的威胁对抗,弥补现有集成化防御措施在某些细节方面的能力缺失,进而助力构建全面有效的积极防御体系。
3、在本发明实施中,在获取终端设备的威胁情报时,可以是获取来自终端设备上加载的终端安全系统发现的威胁情报,也可以是获取的外部的终端安全系统输出的威胁情报,如此能够以技术实现的便捷性正面促进使用者不忽视、不放过任何一个在单点上发现的安全威胁,而且能够充分利用现有其它网空威胁防御措施输出的威胁情报信息。
4、本方案只需要通过对威胁情报按照开放式处置规则中的基本类型进行威胁特征提取,然后利用开放式处置规则中对应基本类型中的功能处置指令即可生成处置脚本,如此生成处置脚本的过程迅速高效。而且处置规则及脚本采用一种通用、简单的标准格式,便于使用者根据某一台终端上发现的威胁,快速生成可用于其内部网络全范围排查和威胁处置的专业化工具。
5、在本发明实施例中,当外部的安全防御系统具有生成处置脚本的作用时,并且该安全防御系统的脚本生成规则遵循的是本发明中预先定义的开放式处置规则,那么可以与该外部的安全防御系统建立连接,然后实现直接利用该安全防御系统生成所需要的处置脚本。如此为生成处置脚本的方式提供了多样性选择,从而也节省了生成处置脚本所需要的资源。
6、在本发明实施例中,在将处置脚本封装为处置工具时,需要进一步对处置脚本进行优化测试以及格式化封装。通过对处置脚本进行优化测试能够保证最终封装完成的处置工具与各种应用系统兼容,而格式化封装能够定义威胁情报的各基本类型进行处置的顺序,如此可以满足更多的应用需求。

Claims (10)

1.一种威胁处置工具的生成方法,其特征在于,包括:
获取终端设备的威胁情报;
对所述威胁情报进行威胁特征提取;其中,所述威胁特征包括所述威胁情报的至少一种基本类型所具有的特征信息,每一种所述基本类型唯一表征注册表、计划任务、文件和进程中的一个;
按照预先定义的开放式处置规则,针对所述威胁特征生成处置脚本;其中,所述开放式处置规则包括对所述威胁情报在至少一种基本类型层面进行处置的指令集;
将所述处置脚本封装为处置工具。
2.根据权利要求1所述的方法,其特征在于,所述获取终端设备的威胁情报,包括:获取来自终端设备上加载的终端安全响应系统发现的所述威胁情报。
3.根据权利要求1所述的方法,其特征在于,所述获取终端设备的威胁情报,包括:
与至少一个外部的终端安全系统建立连接;
获取所述至少一个外部的终端安全系统输出的所述威胁情报。
4.根据权利要求1所述的方法,其特征在于,每一种所述基本类型所对应的指令集包括至少一个功能处置指令,且每一个所述功能处置指令唯一对应一种所述基本类型;
所述按照预先定义的开放式处置规则,针对所述威胁特征生成处置脚本,包括:
根据所述威胁特征确定至少一种对所述威胁情报进行处置的目标基本类型;
针对每一种所述基本类型,确定对所述威胁情报进行处置时该基本类型所对应的目标功能处置指令;
利用所述威胁特征对应的每一种所述基本类型的特征信息与该基本类型所对应的目标功能处置指令编写处置脚本。
5.根据权利要求4所述的方法,其特征在于,所述开放式处置规则包括脚本指令集,且所述脚本指令集包括至少一个脚本功能指令;
所述生成所述处置脚本,包括:
确定所述威胁情报所需要的目标脚本功能指令;
利用所述目标脚本功能指令生成所需的处置脚本。
6.根据权利要求1所述的方法,其特征在于,所述按照预先定义的开放式处置规则,针对所述威胁特征生成处置脚本,包括:
与外部的至少一个安全防御系统建立连接;其中,所述安全防御系统的脚本生成规则遵循所述开放式处置规则;
利用所述安全防御系统生成所述处置脚本。
7.根据权利要求1至6中任一所述的方法,其特征在于,所述将所述处置脚本封装为处置工具,包括:
根据实际的应用需求,对所述处置脚本的处理机制进行调整;其中,所述应用需求包括系统兼容性;
将经处理机制调整后的所述处置脚本加载至系统工具框架的处置功能中;
对完成处置脚本加载的所述工具框架进行格式化封装,获得所述处置工具;其中,所述格式化封装包括:定义对所述威胁情报的各基本类型进行处置的顺序。
8.一种威胁处置工具的生成装置,其特征在于,包括:获取模块、特征提取模块、处置脚本生成模块和封装模块;
所述获取模块,用于获取终端设备的威胁情报;
所述特征提取模块,用于对所述获取模块获取到的所述威胁情报进行威胁特征提取;其中,所述威胁特征包括所述威胁情报的至少一种基本类型所具有的特征信息,每一种所述基本类型唯一表征注册表、计划任务、文件和进程中的一个;
所述处置脚本生成模块,用于按照预先定义的开放式处置规则,针对所述特征提取模块得到的所述威胁特征生成处置脚本;其中,所述开放式处置规则包括对所述威胁情报在至少一种基本类型层面进行处置的指令集;
所述封装模块,用于将所述处置脚本生成模块得到的所述处置脚本封装为处置工具。
9.一种威胁处置工具的生成装置,其特征在于,包括:至少一个存储器和至少一个处理器;
所述至少一个存储器,用于存储机器可读程序;
所述至少一个处理器,用于调用所述机器可读程序,执行权利要求1至7中任一所述的方法。
10.一种计算机可读介质,其特征在于,
所述计算机可读介质上存储有计算机指令,所述计算机指令在被处理器执行时,使所述处理器执行权利要求1至7中任一所述的方法。
CN202110324387.6A 2021-03-26 2021-03-26 一种威胁处置工具的生成方法、装置和计算机可读介质 Pending CN113031942A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110324387.6A CN113031942A (zh) 2021-03-26 2021-03-26 一种威胁处置工具的生成方法、装置和计算机可读介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110324387.6A CN113031942A (zh) 2021-03-26 2021-03-26 一种威胁处置工具的生成方法、装置和计算机可读介质

Publications (1)

Publication Number Publication Date
CN113031942A true CN113031942A (zh) 2021-06-25

Family

ID=76474302

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110324387.6A Pending CN113031942A (zh) 2021-03-26 2021-03-26 一种威胁处置工具的生成方法、装置和计算机可读介质

Country Status (1)

Country Link
CN (1) CN113031942A (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106650436A (zh) * 2016-12-29 2017-05-10 北京奇虎科技有限公司 一种基于局域网的安全检测方法和装置
CN109698819A (zh) * 2018-11-19 2019-04-30 中国科学院信息工程研究所 一种网络中的威胁处置管理方法及系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106650436A (zh) * 2016-12-29 2017-05-10 北京奇虎科技有限公司 一种基于局域网的安全检测方法和装置
CN109698819A (zh) * 2018-11-19 2019-04-30 中国科学院信息工程研究所 一种网络中的威胁处置管理方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
安天应急响应中心: "专杀工具在应急响应服务中的价值", pages 1 - 27, Retrieved from the Internet <URL:《https://wtc.antiy.cn/download/2021020317.pdf》> *

Similar Documents

Publication Publication Date Title
US8645763B2 (en) Memory dump with expanded data and user privacy protection
TWI575397B (zh) 利用運行期代理器及動態安全分析之應用程式逐點保護技術
CN108229148B (zh) 一种基于Android虚拟机的沙箱脱壳方法及系统
CN108614702B (zh) 字节码优化方法及装置
CN109255235B (zh) 基于用户态沙箱的移动应用第三方库隔离方法
US8510523B2 (en) Memory dump with expanded data and user privacy protection
CN111400757B (zh) 防止安卓第三方库中native代码泄露用户隐私的方法
JP2003533820A (ja) 特に組込システムにおける型付きデータ用型付き言語の安全化方法とその方法を利用する組込システム
CN115062309B (zh) 一种新型电力系统下基于设备固件仿真的漏洞挖掘方法及存储介质
CN108322458B (zh) Web应用入侵检测方法、系统、计算机设备和存储介质
CN108763924B (zh) 一种安卓应用程序中不可信第三方库访问权限控制方法
CN116502220A (zh) 一种对抗性Java内存马的检测方法及处理方法
CN102831343B (zh) 一种目标程序处理方法、处理装置及云端服务设备
CN108133026B (zh) 一种多数据的处理方法、系统及存储介质
CN114282212A (zh) 流氓软件识别方法、装置、电子设备及存储介质
CN112445706A (zh) 程序异常代码获取方法、装置、电子设备以及存储介质
CN108985096B (zh) 一种Android SQLite数据库安全增强、安全操作方法以及装置
CN116668202A (zh) 一种容器环境下内存马检测方法及系统
CN106354624B (zh) 一种自动化测试方法和装置
CN113031942A (zh) 一种威胁处置工具的生成方法、装置和计算机可读介质
CN109214184A (zh) 一种Android加固应用程序通用自动化脱壳方法和装置
CN108304230A (zh) 调整应用属性的实现方法、装置及可读存储介质
CN114936368A (zh) 一种Java内存木马检测方法、终端设备及存储介质
CN111625225A (zh) 一种程序指定数据输出方法和装置
CN112181816A (zh) 一种基于场景的接口测试方法、装置、计算机设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road)

Applicant after: Antan Technology Group Co.,Ltd.

Address before: Room 506, 162 Hongqi Street, Nangang 17 building, high tech entrepreneurship center, high tech Industrial Development Zone, Songbei District, Harbin City, Heilongjiang Province

Applicant before: Harbin Antian Science and Technology Group Co.,Ltd.

CB02 Change of applicant information