CN113032784B - 一种威胁处置方法、威胁处置工具和计算机可读介质 - Google Patents
一种威胁处置方法、威胁处置工具和计算机可读介质 Download PDFInfo
- Publication number
- CN113032784B CN113032784B CN202110324389.5A CN202110324389A CN113032784B CN 113032784 B CN113032784 B CN 113032784B CN 202110324389 A CN202110324389 A CN 202110324389A CN 113032784 B CN113032784 B CN 113032784B
- Authority
- CN
- China
- Prior art keywords
- threat
- key information
- information
- hash value
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种威胁处置方法、威胁处置工具和计算机可读介质,该方法包括:获取至少一种威胁关键信息;其中,威胁关键信息包括:进程、注册表、服务和文件;针对每一种威胁关键信息,均执行:对该威胁关键信息进行关联性检索,获得与该威胁关键信息相关的关联威胁信息;从威胁处置方式中确定与当前威胁关键信息所对应的目标威胁处置方式;利用目标威胁处置方式,对关联威胁信息进行处理。本方案能够更加彻底的对威胁程序进行清除,提高对网络威胁事件进行处置的有效性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种威胁处置方法、威胁处置工具和计算机可读介质。
背景技术
近年来,随着互联网的不断普及和我国网民数量的不断增加,木马、病毒等僵尸程序等后门程序问题也越来越受到人们的关注。
传统的基于主机的检测手段(包括防病毒软件、各种防火墙等)虽然可以有效地查杀木马、病毒等僵尸程序,可以抵挡一些网络攻击,但是近几年出现的顽固病毒一些杀毒软件无法进行清除。此外,恶意代码的快速迭代光靠杀毒软件更新进行处置也已经力不从心。
因此,需要提供一种威胁处置方案,以提高对网络威胁事件的处置效率。
发明内容
本发明要解决的问题在于传统的基于主机的检测手段在对现阶段的木马、病毒等僵尸程序无法进行彻底的处理。本发明通过提供了一种威胁处置方法、威胁处置工具和计算机可读介质,能够更加彻底的对威胁程序进行清除,提高对网络威胁事件进行处置的有效性。
第一方面,本发明实施例提供了一种威胁处置方法,该方法包括:
获取至少一种威胁关键信息;其中,所述威胁关键信息包括:进程、注册表、服务和文件;
针对每一种威胁关键信息,均执行:
对该威胁关键信息进行关联性检索,获得与该威胁关键信息相关的关联威胁信息;
从威胁处置方式中确定与当前威胁关键信息所对应的目标威胁处置方式;
利用所述目标威胁处置方式,对所述关联威胁信息进行处理。
在一种可能的实现方式中,所述对该威胁关键信息进行关联性检索,获得与该威胁关键信息相关的关联威胁信息,包括:
获取所述威胁关键信息的目标文件名;
分别在进程、注册表和系统文件层面检索与所述目标文件名相同的信息,得到关联信息;
计算所述威胁关键信息的哈希值,得到第一哈希值;
计算所述关联信息中每一个文件的哈希值,得到至少一个第二哈希值;其中,所述第二哈希值用于表征与所述威胁关键信息的文件名相同的文件的哈希值;
将每一个所述第二哈希值和所述第一哈希值进行比较,并将所述第二哈希值与所述第一哈希值相等的所述关联信息确定为关联威胁信息。
在一种可能的实现方式中,在利用所述目标威胁处置方式,对所述关联威胁信息进行处理之后,进一步包括:
在系统中建立所述威胁关键信息的免疫机制,以避免系统再次产生该威胁关键信息。
在一种可能的实现方式中,所述在系统中建立所述威胁关键信息的免疫机制,包括:
获取所述目标文件名;
在系统中创建免疫目录,并利用所述目标文件名对创建的所述免疫目录进行命名。
在一种可能的实现方式中,
当所述威胁关键信息为进程时,所述威胁处置方式包括:结束进程、休眠进程和修改进程;
和/或,
当所述威胁关键信息为注册表或服务时,所述威胁处置方式包括:删除注册表、修改注册表、新建注册表、删除服务、修改服务和新建服务;
和/或,
当所述威胁关键信息为文件时,所述威胁处置方式包括:删除文件、修改文件和新建文件;
和/或,
当所述威胁关键信息为除进程、注册表、服务和文件之外的其他信息时,所述威胁处置方式包括:删除启动项和修复硬盘的主引导记录。
第二方面,本发明实施例还提供了一种威胁处置工具,该处置工具可以包括:获取模块、关联检索模块、确定模块和处理模块;
所述获取模块,用于获取至少一种威胁关键信息;其中,所述威胁关键信息包括:进程、注册表、服务和文件;
所述关联检索模块,用于针对所述获取模块获取到的每一种所述威胁关键信息,对该威胁关键信息进行关联性检索,获得与该威胁关键信息相关的关联威胁信息;
所述确定模块,用于从威胁处置方式中确定与所述获取模块获取到的当前威胁关键信息所对应的目标威胁处置方式;
所述处理模块,用于利用所述确定模块确定的所述目标威胁处置方式,对所述关联检索模块检索得到的所述关联威胁信息进行处理。
在一种可能的实现方式中,所述关联检索模块,用于执行如下操作:
获取所述威胁关键信息的目标文件名;
分别在进程、注册表和系统文件层面检索与所述目标文件名相同的信息,得到关联信息;
计算所述威胁关键信息的哈希值,得到第一哈希值;
计算所述关联信息中每一个文件的哈希值,得到至少一个第二哈希值;其中,所述第二哈希值用于表征与所述威胁关键信息的文件名相同的文件的哈希值;
将每一个所述第二哈希值和所述第一哈希值进行比较,并将所述第二哈希值与所述第一哈希值相等的所述关联信息确定为关联威胁信息。
在一种可能的实现方式中,该威胁处置工具可以进一步包括:免疫机制构建模块;
所述免疫机制构建模块,用于在系统中建立所述威胁关键信息的免疫机制,以避免系统再次产生该威胁关键信息。
第三方面,本发明实施例还提供了一种威胁处置工具,包括:至少一个存储器和至少一个处理器;
所述至少一个存储器,用于存储机器可读程序;
所述至少一个处理器,用于调用所述机器可读程序,执行上述第一方面任一实施例所述的方法。
第四方面,本发明实施例还提供了一种计算机可读介质,所述计算机可读介质上存储有计算机指令,所述计算机指令在被处理器执行时,使所述处理器执行上述第一方面任一实施例所述的方法。
实施本发明的一种威胁处置方法、威胁处置工具和计算机可读介质,至少具有以下有益效果:
由上述技术方案可知,当获取到威胁关键信息时,根据获取到的威胁关键信息在系统中进行关联性检索,检索出与该威胁关键信息相关的所有关联威胁信息,然后确定每一种关联威胁信息的目标威胁处置方式,从而可以利用该目标威胁处置方式对关联威胁信息进行针对性处理。由此可见,本方案在获取到威胁关键信息后,在系统中进行了全面的关联性检索,从而可以将所有与威胁关键信息相关的信息都检索出来,保证了能够对威胁程序进行更加彻底的清除,提高对网络威胁事件进行处置的有效性。
附图说明
图1是本发明一个实施例提供的一种威胁处置方法的流程图;
图2是本发明另一个实施例提供的一种威胁处置方法的流程图;
图3是本发明一个实施例提供的一种威胁处置工具所在设备的示意图;
图4是本发明一个实施例提供的一种威胁处置工具的结构示意图;
图5是本发明另一个实施例提供的一种威胁处置工具的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供了一种威胁处置方法,该方法可以包括以下步骤:
步骤101:获取至少一种威胁关键信息;其中,威胁关键信息包括:进程、注册表、服务和文件;
步骤102:针对每一种威胁关键信息,对该威胁关键信息进行关联性检索,获得与该威胁关键信息相关的关联威胁信息;
步骤103:从威胁处置方式中确定与当前威胁关键信息所对应的目标威胁处置方式;
步骤104:利用目标威胁处置方式,对关联威胁信息进行处理。
在本发明实施例中,当获取到威胁关键信息时,根据获取到的威胁关键信息在系统中进行关联性检索,检索出与该威胁关键信息相关的所有关联威胁信息,然后确定每一种关联威胁信息的目标威胁处置方式,从而可以利用该目标威胁处置方式对关联威胁信息进行针对性处理。由此可见,本方案在获取到威胁关键信息后,在系统中进行了全面的关联性检索,从而可以将所有与威胁关键信息相关的信息都检索出来,保证了能够对威胁程序进行更加彻底的清除,提高对网络威胁事件进行处置的有效性。
具体地,当发现威胁时,只需要知道其威胁的基本信息就可以进行智能化的威胁处置,用户可将找到的威胁关键信息(比如进程\线程的PID或名称、注册表项或值、服务名或服务文件路径和文件名等主要关键信息)进行输入,然后利用该威胁关键其信息进行检索相关信息,将找到的不同信息根据不同的类别和用户的处置需求分别进行不同的处理,从而最终实现对威胁的彻底清除。
在一种可能的实现方式中,在对威胁关键信息进行关联性检索,获得与该威胁关键信息相关的关联威胁信息时,具体可以通过以下步骤来实现:
获取威胁关键信息的目标文件名;
分别在进程、注册表和系统文件层面检索与目标文件名相同的信息,得到关联信息;
计算威胁关键信息的哈希值,得到第一哈希值;
计算关联信息中每一个文件的哈希值,得到至少一个第二哈希值;其中,第二哈希值用于表征与威胁关键信息的文件名相同的文件的哈希值;
将每一个第二哈希值和第一哈希值进行比较,并将第二哈希值与第一哈希值相等的关联信息确定为关联威胁信息。
在本发明实施例中,在对威胁关键信息进行关联性检索时,首先可以通过该威胁关键信息的目标文件名在系统中进行搜索,即分别在进程、注册表和系统文件层面检索与该目标文件名相同的信息,得到关联信息,然后分别计算得到威胁关键信息和检索到的各个关联信息的哈希值,通过比较各个关联信息和威胁关键信息的哈希值,将哈希值相同的关联信息确定为关联威胁信息。由此可见,本方案通过相同文件名检索的方式能够检索到与该威胁关键信息相关的信息,能够保证在对威胁信息进行处理时更加彻底。
更值得注意的是,本方案在检索出关联信息后,并没有直接将关联信息当作关联威胁信息进行处理,而是进一步通过哈希值来进行判断检索出的关联信息是否真的是威胁信息,如此保证了确定关联威胁信息的准确性,避免了由于和威胁信息具有相同文件名的信息被当作了关联威胁信息清除掉。
例如,当发现威胁时可根据威胁的信息进行提取相关信息作为关键信息。而这些威胁关键信息可以包括:进程\线程的PID或名称、注册表项或值、服务名或服务文件路径和文件名等主要关键信息。这些信息只需要基本的系统知识就可以找到。当得到这些威胁关键信息后,根据输入的关键信息对系统进行关联检索,找到系统上所有和关键信息相关的信息。比如,关键信息为test.exe的进程,那么就会检索test.exe进程的文件路径、检索注册表中是否有test.exe相关信息、检索服务中是否存在test.exe服务名或文件路径,以及检索系统中是否还有相同的test.exe文件且文件的HASH值是一样的。如此通过全面的检索和哈希值比较,准确地得到关联威胁信息。
进一步简单举例来说,在确定关联威胁信息时,通过利用获得的威胁关键信息的目标文件名来进行搜索,即可查询出与威胁关键信息的文件名相同的关联信息,然而得到的这些关联信息中并不一定都是关联威胁信息,仍然存在文件名相同,但实则为正常文件的文件。考虑该类型的威胁关键信息和关联威胁信息具有相同的哈希值,因此,通过计算得到威胁关键信息的第一哈希值和各个关联信息的第二哈希值,通过分别比较各个第二哈希值是否等于第一哈希值,如果相等,则可将该第二哈希值对应的关联信息确定为关联威胁信息。
在一种可能的实现方式中,在利用目标威胁处置方式,对关联威胁信息进行处理之后,还可以在系统中建立该威胁关键信息的免疫机制,以避免系统再次产生威胁关键信息。
在本发明实施例中,考虑到本次完成对该威胁关键信息进行查杀之后,后续还会有可能生成该威胁关键信息。因此,本方案考虑采用在完成该威胁关键信息的处置之后,在系统中建立该威胁关键信息的免疫机制,如此由于免疫机制的作用,该威胁关键信息将无法再次在系统中生成,从而能够起到一劳永逸的作用。
在一种可能的实现方式中,在系统中建立威胁关键信息的免疫机制时,可以考虑在系统中创建与该威胁关键信息具有相同文件名的免疫目录。具体可以包括如下步骤:
获取目标文件名;
在系统中创建免疫目录,并利用目标文件名对创建的免疫目录进行命名。
在本发明实施例中,在系统中建立威胁关键信息的免疫机制时,首先确定该威胁关键信息的目标文件名,然后在系统中创建一个免疫目录,并且将创建的免疫目录的命名修改为目标文件名。如此免疫目录和该威胁关键信息具有相同的目标文件名。当该威胁关键信息要再次生成时,查询到系统中具有该文件,那么会默认为系统中已经存在了该威胁关键信息,从而就不会生成真正的威胁关键信息了。
例如,一个威胁关键信息的文件名为host.exe,当完成对该威胁关键信息的处置之后,可以在系统中创建一个文件目录,其中该文件目录的命名为host.exe,如此可以避免系统中再次生成该文件威胁关键信息。
在一种可能的实现方式中,当威胁关键信息不同,其对应的威胁处置方式也存在不同。具体地如下:
当威胁关键信息为进程时,威胁处置方式包括:结束进程、休眠进程和修改进程;
和/或,
当威胁关键信息为注册表或服务时,威胁处置方式包括:删除注册表、修改注册表、新建注册表、删除服务、修改服务和新建服务;
和/或,
当威胁关键信息为文件时,威胁处置方式包括:删除文件、修改文件和新建文件;
和/或,
当威胁关键信息为除进程、注册表、服务和文件之外的其他信息时,威胁处置方式包括:删除启动项和修复硬盘的主引导记录。
在本发明实施例中,当威胁关键信息对应的类型不同时,其分别对应的威胁处置方式也存在差异。比如当威胁关键信息为进程时,对应的威胁处置方式可以为结束进程、休眠进程和修改进程等;而当威胁关键信息为文件时,对应的威胁处置方式可以为删除文件、修改文件和新建文件。由此可见,在对各种类型的威胁关键信息进行处置时,可以针对各种类型的威胁信息分别进行处置,而且每种类型的处置方式可以根据需求进行针对性选择,即为用户提供了个性化选择。
例如,命名为host.exe文件的木马程序,在对该木马程序进行处置时,针对该进程可以选择结束进程,而针对该木马程序所对应的文件可以选择删除文件,即可以根据需求进行选择。
当获取到的威胁关键信息不属于进程、注册表、服务和文件。那么,在对该威胁关键信息进行处置时,威胁处置方式可以是删除启动项或者修复硬盘的主引导记录。由此可见,本方案不仅考虑到了威胁关键信息为进程、注册表、服务和文件的形成,还考虑到了不属于这四种的情况下该如何对该威胁事件进行处置。因此本方案能够提高威胁处置的有效性。
下面对本发明实施例提供的一种威胁处置方法作进一步详细的说明:
基于上述背景技术,传统的基于主机的检测手段无法有效对近几年出现的顽固病毒和恶意代码进行查杀。本方案考虑当发现威胁时,只需要知道其威胁的基本信息就可以进行智能化威胁处置,用户可根据找到的威胁关键信息(进程\线程的PID或名称、注册表项或值、服务名或服务名或服务文件路径和文件名等主要关键信息),输入给智能化威胁处置工具,然后对该威胁关键信息进行检索相关联的信息,然后将检索到的关联威胁信息根据不同的分类采取不同的处理方法进行处理以最终完成将威胁彻底清除。本方案提供的威胁处置方法可根据用户自身进行处置恶意代码,而不需要进行升级和更新就可以有效进行恶意代码的查杀。如图2所示,具体的实现过程可以包括如下步骤:
步骤201:查找威胁关键信息。
首先需要找到认为是威胁的关键信息,如:进程\线程名、进程\线程PID、服务名、文件名、启动项名等。
步骤202:威胁关键信息的关联性检索。
在完成步骤201后,将利用得到的威胁关键信息进行关联性检索。在进行关联性检索时,会根据威胁关键系信息的不同种类采取不同的检索和关联(即可以采用进程检索、注册表检索和文件检索等不同的检索方式进行关联检索)。比如:威胁的关键信息是一个进程名为hacking.exe的进程,这样就会把这个文件名传给进程智能检索模块,进程智能检索模块会根据这一信息在进程中找到其进程,并找到其文件在磁盘中的路径,在调用文件检索模块对文件相关信息记录下来(文件HASH值、文件大小、属性等一些基本信息)。然后再通过注册表智能检索模块进行检索其在注册表中是否有相关的信息,其它智能检索方式同上面一样,都是根据不同模块去关联检索相关信息,并将找到后将信息记录并传给处置部分进行处理。
步骤203:调用不同的处置子模块进行威胁处置。
在完成步骤201和步骤202之后,进入威胁处置过程,根据智能检索传递过来的数据进行调用不同的处置子模块;
步骤204:进程/线程处置。
在完成步骤201、202和203之后进入进程\线程处置流程中,对步骤202中进程\线程检索流程中给出的来的信息进行相应的处置过程。如:结束进程\线程、休眠进程\线程、修改进程\线程等常规进程操作;
步骤205:注册表/服务处置。
在完成步骤201、202和203之后进入注册表\服务处置流程中,对步骤202中注册表\服务检索流程中给出来的信息进行相应的处置过程。如:删除、修改和新建等常规操作,包括服务相关内容处置;
步骤206:文件处置。
在完成步骤201、202和203之后进入文件处置子模块中,对步骤202中文件检索流程中给出来的信息进行相应的处置过程。如:删除、修改和新建等常规操作;
步骤207:其他处置。
在完成步骤201、202和203之后进入其它处置流程中,对步骤202中其它检索流程中给出来的信息进行相应的处置过程。如:删除启动项、修复MBR等常规除进程\线程、注册表、文件相关的处置方法。
由上述威胁处置流程可知,本方案提供的威胁处置方案适用于对威胁了解的人员,可以实现快速地对威胁进行处置;不需要杀毒软件也可以清除威胁程序;简单实用,完全不需要了解威胁处置过程;通过后台智能化进行威胁检索和处置时完全自动化的。
如图3和图4所示,本发明实施例提供了一种威胁处置工具所在的设备和一种威胁处置工具。该威胁处置工具的实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图3所示,为本发明实施例提供了一种威胁处置工具所在的设备的一种硬件结构图,除了图3所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中处置工具所在的设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图4所示,作为一个逻辑意义上的装置,是通过其所在设备的CPU将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。如图4所示,本发明实施例提供了一种威胁处置工具,包括:获取模块401、关联检索模块402、确定模块403和处理模块404;
获取模块401,用于获取至少一种威胁关键信息;其中,威胁关键信息包括:进程、注册表、服务和文件;
关联检索模块402,用于针对获取模块401获取到的每一种威胁关键信息,对该威胁关键信息进行关联性检索,获得与该威胁关键信息相关的关联威胁信息;
确定模块403,用于从威胁处置方式中确定与获取模块401获取到的当前威胁关键信息所对应的目标威胁处置方式;
处理模块404,用于利用确定模块403确定的目标威胁处置方式,对关联检索模块402检索得到的关联威胁信息进行处理。
如图4所示的一种威胁处置工具,在一种可能的实施例中,关联检索模块402,用于执行如下操作:
获取威胁关键信息的目标文件名;
分别在进程、注册表和系统文件层面检索与目标文件名相同的信息,得到关联信息;
计算威胁关键信息的哈希值,得到第一哈希值;
计算关联信息中每一个文件的哈希值,得到至少一个第二哈希值;其中,第二哈希值用于表征与威胁关键信息的文件名相同的文件的哈希值;
将每一个第二哈希值和第一哈希值进行比较,并将第二哈希值与第一哈希值相等的关联信息确定为关联威胁信息。
基于图4所示的一种威胁处置工具,如图5所示,在一种可能的实施例中,该威胁处置工具进一步包括:免疫机制构建模块405;
免疫机制构建模块405,用于在系统中建立威胁关键信息的免疫机制,以避免系统再次产生该威胁关键信息。
如图5所示的一种威胁处置工具,在一种可能的实施例中,免疫机制构建模块405,用于执行如下操作:
获取目标文件名;
在系统中创建免疫目录,并利用目标文件名对创建的免疫目录进行命名。
如图4所示的一种威胁处置工具,在一种可能的实施例中,确定模块403在执行从威胁处置方式中确定与当前威胁关键信息所对应的目标威胁处置方式时,
当威胁关键信息为进程时,威胁处置方式包括:结束进程、休眠进程和修改进程;
和/或,
当威胁关键信息为注册表或服务时,威胁处置方式包括:删除注册表、修改注册表、新建注册表、删除服务、修改服务和新建服务;
和/或,
当威胁关键信息为文件时,威胁处置方式包括:删除文件、修改文件和新建文件;
和/或,
当威胁关键信息为除进程、注册表、服务和文件之外的其他信息时,威胁处置方式包括:删除启动项和修复硬盘的主引导记录。
本发明实施例还提供了一种威胁处置工具,包括:至少一个存储器和至少一个处理器;
至少一个存储器,用于存储机器可读程序;
至少一个处理器,用于调用机器可读程序,执行本发明任一实施例中的威胁处置方法。
本发明实施例还提供了一种计算机可读介质,该计算机可读介质存储有计算机指令,计算机指令在被处理器执行时,使处理器执行本发明任一实施例中的威胁处置方法。具体地,可以提供配有存储介质的方法或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该方法或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
在这种情况下,从计算机可读介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的计算机可读介质构成了本发明的一部分。
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上下载程序代码。
此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作方法等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。
需要说明的是,上述装置内的各单元之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
综上,本发明各个实施例提供的一种威胁处置方法、威胁处置工具和计算机可读介质,至少具有如下有益效果:
1、在本发明实施例中,当获取到威胁关键信息时,根据获取到的威胁关键信息在系统中进行关联性检索,检索出与该威胁关键信息相关的所有关联威胁信息,然后确定每一种关联威胁信息的目标威胁处置方式,从而可以利用该目标威胁处置方式对关联威胁信息进行针对性处理。由此可见,本方案在获取到威胁关键信息后,在系统中进行了全面的关联性检索,从而可以将所有与威胁关键信息相关的信息都检索出来,保证了能够对威胁程序进行更加彻底的清除,提高对网络威胁事件进行处置的有效性。
2、在本发明实施例中,在对威胁关键信息进行关联性检索时,首先可以通过该威胁关键信息的目标文件名在系统中进行搜索,即分别在进程、注册表和系统文件层面检索与该目标文件名相同的信息,得到关联信息,然后分别计算得到威胁关键信息和检索到的各个关联信息的哈希值,通过比较各个关联信息和威胁关键信息的哈希值,将哈希值相同的关联信息确定为关联威胁信息。由此可见,本方案通过相同文件名检索的方式能够检索到与该威胁关键信息相关的信息,能够保证在对威胁信息进行处理时更加彻底。
3、本方案在检索出关联信息后,并没有直接将关联信息当作关联威胁信息进行处理,而是进一步通过哈希值来进行判断检索出的关联信息是否真的是威胁信息,如此保证了确定关联威胁信息的准确性,避免了由于和威胁信息具有相同文件名的信息被当作了关联威胁信息清除掉。
4、在本发明实施例中,考虑到本次完成对该威胁关键信息进行查杀之后,后续还会有可能生成该威胁关键信息。因此,本方案考虑采用在完成该威胁关键信息的处置之后,在系统中建立该威胁关键信息的免疫机制,如此由于免疫机制的作用,该威胁关键信息将无法再次在系统中生成,从而能够起到一劳永逸的作用。
5、在本发明实施例中,当威胁关键信息对应的类型不同时,其分别对应的威胁处置方式也存在差异。比如当威胁关键信息为进程时,对应的威胁处置方式可以为结束进程、休眠进程和修改进程等;而当威胁关键信息为文件时,对应的威胁处置方式可以为删除文件、修改文件和新建文件。由此可见,在对各种类型的威胁关键信息进行处置时,可以实现对各种类型的威胁关键信息分别进行处置,而且每种类型的处置方式可以根据需求进行针对性选择,即为用户提供了个性化选择。
Claims (10)
1.一种威胁处置方法,其特征在于,包括:
获取至少一种威胁关键信息;其中,所述威胁关键信息包括:进程、注册表、服务和文件;
针对每一种威胁关键信息,均执行:
获取所述威胁关键信息的目标文件名;分别在进程、注册表和系统文件层面检索与所述目标文件名相同的信息,得到关联信息;计算所述威胁关键信息的哈希值,得到第一哈希值;计算所述关联信息中每一个文件的哈希值,得到至少一个第二哈希值;其中,所述第二哈希值用于表征与所述威胁关键信息的文件名相同的文件的哈希值;将每一个所述第二哈希值和所述第一哈希值进行比较,并将所述第二哈希值与所述第一哈希值相等的所述关联信息确定为关联威胁信息;
从威胁处置方式中确定与当前威胁关键信息所对应的目标威胁处置方式;
利用所述目标威胁处置方式,对所述关联威胁信息进行处理。
2.根据权利要求1所述的方法,其特征在于,在利用所述目标威胁处置方式,对所述关联威胁信息进行处理之后,进一步包括:
在系统中建立所述威胁关键信息的免疫机制,以避免系统再次产生该威胁关键信息。
3.根据权利要求2所述的方法,其特征在于,所述在系统中建立所述威胁关键信息的免疫机制,包括:
获取所述目标文件名;
在系统中创建免疫目录,并利用所述目标文件名对创建的所述免疫目录进行命名。
4.根据权利要求1至3中任一所述的方法,其特征在于,
当所述威胁关键信息为进程时,所述威胁处置方式包括:结束进程、休眠进程和修改进程;
和/或,
当所述威胁关键信息为注册表或服务时,所述威胁处置方式包括:删除注册表、修改注册表、新建注册表、删除服务、修改服务和新建服务;
和/或,
当所述威胁关键信息为文件时,所述威胁处置方式包括:删除文件、修改文件和新建文件;
和/或,
当所述威胁关键信息为除进程、注册表、服务和文件之外的其他信息时,所述威胁处置方式包括:删除启动项和修复硬盘的主引导记录。
5.一种威胁处置工具,其特征在于,包括:获取模块、关联检索模块、确定模块和处理模块;
所述获取模块,用于获取至少一种威胁关键信息;其中,所述威胁关键信息包括:进程、注册表、服务和文件;
所述关联检索模块,用于针对所述获取模块获取到的每一种所述威胁关键信息,对该威胁关键信息进行关联性检索,获得与该威胁关键信息相关的关联威胁信息;
所述确定模块,用于从威胁处置方式中确定与所述获取模块获取到的当前威胁关键信息所对应的目标威胁处置方式;
所述处理模块,用于利用所述确定模块确定的所述目标威胁处置方式,对所述关联检索模块检索得到的所述关联威胁信息进行处理;
所述关联检索模块,用于执行如下操作:获取所述威胁关键信息的目标文件名;分别在进程、注册表和系统文件层面检索与所述目标文件名相同的信息,得到关联信息;计算所述威胁关键信息的哈希值,得到第一哈希值;计算所述关联信息中每一个文件的哈希值,得到至少一个第二哈希值;其中,所述第二哈希值用于表征与所述威胁关键信息的文件名相同的文件的哈希值;将每一个所述第二哈希值和所述第一哈希值进行比较,并将所述第二哈希值与所述第一哈希值相等的所述关联信息确定为关联威胁信息。
6.根据权利要求5所述的处置工具,其特征在于,进一步包括:免疫机制构建模块;
所述免疫机制构建模块,用于在系统中建立所述威胁关键信息的免疫机制,以避免系统再次产生该威胁关键信息。
7.根据权利要求6所述的处置工具,其特征在于,所述免疫机制构建模块,用于执行如下操作:获取目标文件名;在系统中创建免疫目录,并利用目标文件名对创建的免疫目录进行命名。
8.根据权利要求5-7中任一所述的处置工具,其特征在于,所述确定模块在执行从威胁处置方式中确定与当前威胁关键信息所对应的目标威胁处置方式时,
当威胁关键信息为进程时,威胁处置方式包括:结束进程、休眠进程和修改进程;
和/或,
当威胁关键信息为注册表或服务时,威胁处置方式包括:删除注册表、修改注册表、新建注册表、删除服务、修改服务和新建服务;
和/或,
当威胁关键信息为文件时,威胁处置方式包括:删除文件、修改文件和新建文件;
和/或,
当威胁关键信息为除进程、注册表、服务和文件之外的其他信息时,威胁处置方式包括:删除启动项和修复硬盘的主引导记录。
9.一种威胁处置工具,其特征在于,包括:至少一个存储器和至少一个处理器;
所述至少一个存储器,用于存储机器可读程序;
所述至少一个处理器,用于调用所述机器可读程序,执行权利要求1至4中任一所述的方法。
10.一种计算机可读介质,其特征在于,
所述计算机可读介质上存储有计算机指令,所述计算机指令在被处理器执行时,使所述处理器执行权利要求1至4中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110324389.5A CN113032784B (zh) | 2021-03-26 | 2021-03-26 | 一种威胁处置方法、威胁处置工具和计算机可读介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110324389.5A CN113032784B (zh) | 2021-03-26 | 2021-03-26 | 一种威胁处置方法、威胁处置工具和计算机可读介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113032784A CN113032784A (zh) | 2021-06-25 |
| CN113032784B true CN113032784B (zh) | 2023-07-21 |
Family
ID=76474412
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110324389.5A Active CN113032784B (zh) | 2021-03-26 | 2021-03-26 | 一种威胁处置方法、威胁处置工具和计算机可读介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113032784B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104700033A (zh) * | 2015-03-30 | 2015-06-10 | 北京瑞星信息技术有限公司 | 病毒检测的方法及装置 |
| CN108763582A (zh) * | 2018-06-11 | 2018-11-06 | 腾讯科技(深圳)有限公司 | 文件搜索方法、装置、终端及存储介质 |
| CN112115183A (zh) * | 2020-09-18 | 2020-12-22 | 广州锦行网络科技有限公司 | 一种基于图的蜜罐系统威胁情报分析方法 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103390130B (zh) * | 2013-07-18 | 2017-04-05 | 北京奇虎科技有限公司 | 基于云安全的恶意程序查杀的方法、装置和服务器 |
| US10333962B1 (en) * | 2016-03-30 | 2019-06-25 | Amazon Technologies, Inc. | Correlating threat information across sources of distributed computing systems |
| US11228610B2 (en) * | 2016-06-15 | 2022-01-18 | Cybereason Inc. | System and method for classifying cyber security threats using natural language processing |
| CN106709341B (zh) * | 2016-06-30 | 2019-01-29 | 腾讯科技(深圳)有限公司 | 一种针对文件包的病毒处理方法及装置 |
| CN106384048B (zh) * | 2016-08-30 | 2021-05-07 | 北京奇虎科技有限公司 | 一种威胁信息处理方法与装置 |
| US10565372B1 (en) * | 2017-08-03 | 2020-02-18 | Amazon Technologies, Inc. | Subscription-based multi-tenant threat intelligence service |
| CN108875364B (zh) * | 2017-12-29 | 2020-06-26 | 北京安天网络安全技术有限公司 | 未知文件的威胁性判定方法、装置、电子设备及存储介质 |
| CN110287696B (zh) * | 2018-03-19 | 2023-06-20 | 华为技术有限公司 | 一种反弹shell进程的检测方法、装置和设备 |
| US11487879B2 (en) * | 2018-12-28 | 2022-11-01 | Tenable, Inc. | Threat score prediction model |
| CN111092886B (zh) * | 2019-12-17 | 2023-05-12 | 深信服科技股份有限公司 | 一种终端防御方法、系统、设备及计算机可读存储介质 |
| CN111027071B (zh) * | 2019-12-19 | 2024-05-24 | 北京安天网络安全技术有限公司 | 一种威胁程序全行为关联分析方法及装置 |
| CN111447215A (zh) * | 2020-03-25 | 2020-07-24 | 深信服科技股份有限公司 | 数据检测方法、装置和存储介质 |
-
2021
- 2021-03-26 CN CN202110324389.5A patent/CN113032784B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104700033A (zh) * | 2015-03-30 | 2015-06-10 | 北京瑞星信息技术有限公司 | 病毒检测的方法及装置 |
| CN108763582A (zh) * | 2018-06-11 | 2018-11-06 | 腾讯科技(深圳)有限公司 | 文件搜索方法、装置、终端及存储介质 |
| CN112115183A (zh) * | 2020-09-18 | 2020-12-22 | 广州锦行网络科技有限公司 | 一种基于图的蜜罐系统威胁情报分析方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113032784A (zh) | 2021-06-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9892261B2 (en) | Computer imposed countermeasures driven by malware lineage | |
| US9715588B2 (en) | Method of detecting a malware based on a white list | |
| US8375450B1 (en) | Zero day malware scanner | |
| RU2473122C2 (ru) | Доверительная среда для обнаружения вредоносных программ | |
| RU2444056C1 (ru) | Система и способ ускорения решения проблем за счет накопления статистической информации | |
| Crussell et al. | Scalable semantics-based detection of similar android applications | |
| US9135443B2 (en) | Identifying malicious threads | |
| US20050251570A1 (en) | Intrusion detection system | |
| US20090307742A1 (en) | Indexing of Security Policies | |
| CN107563201B (zh) | 基于机器学习的关联样本查找方法、装置及服务器 | |
| JP2010527075A (ja) | マルウェア検出のための信頼できる動作環境 | |
| CN106549980B (zh) | 一种恶意c&c服务器确定方法及装置 | |
| CN103473501B (zh) | 一种基于云安全的恶意软件追踪方法 | |
| US20090287641A1 (en) | Method and system for crawling the world wide web | |
| CN109983464B (zh) | 检测恶意脚本 | |
| CN111104579A (zh) | 一种公网资产的识别方法、装置及存储介质 | |
| CN114363036B (zh) | 一种网络攻击路径获取方法、装置及电子设备 | |
| US20210334371A1 (en) | Malicious File Detection Technology Based on Random Forest Algorithm | |
| CN113190838A (zh) | 一种基于表达式的web攻击行为检测方法及系统 | |
| CN114969819A (zh) | 数据资产风险发现方法和装置 | |
| US9256741B2 (en) | Method and device for determining propagation relationship of Trojan horse files | |
| CN113032784B (zh) | 一种威胁处置方法、威胁处置工具和计算机可读介质 | |
| CN116150765B (zh) | 一种基于api依赖的模糊变异方法及装置 | |
| RU2747464C2 (ru) | Способ обнаружения вредоносных файлов на основании фрагментов файлов | |
| CN117061202A (zh) | 一种基于多源漏洞数据知识图谱的攻击链路生成方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road) Applicant after: Antan Technology Group Co.,Ltd. Address before: Room 506, 162 Hongqi Street, Nangang 17 building, high tech entrepreneurship center, high tech Industrial Development Zone, Songbei District, Harbin City, Heilongjiang Province Applicant before: Harbin Antian Science and Technology Group Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |