CN113076540B - 一种攻击检测的方法、装置、电子设备及存储介质 - Google Patents
一种攻击检测的方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN113076540B CN113076540B CN202110415712.XA CN202110415712A CN113076540B CN 113076540 B CN113076540 B CN 113076540B CN 202110415712 A CN202110415712 A CN 202110415712A CN 113076540 B CN113076540 B CN 113076540B
- Authority
- CN
- China
- Prior art keywords
- file
- detected
- sensitive
- executing
- central processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Abstract
本申请实施例提供一种攻击检测的方法、装置、电子设备及存储介质,该方法包括:获取所述待检测文件;将所述待检测文件传入所述虚拟中央处理器并执行;在执行所述待检测文件的过程中,监测到所述待检测文件至少一次访问敏感对象,则确认所述待检测文件为恶意文件,其中,所述敏感对象包括敏感接口和敏感内存区域中的至少一个,能够实现高效检测恶意攻击。
Description
技术领域
本申请实施例涉及计算机安全领域,具体涉及一种攻击检测的方法、装置、电子设备及存储介质。
背景技术
相关技术中,大多数APT(高级可持续威胁攻击)检测产品都是采用将带有漏洞攻击的文档(PDF、DOC、XLS等)放到虚拟机中利用办公软件打开并记录下文档软件进程的行为,结合一定的行为模型来监测文件是否带有漏洞攻击载荷,导致在恶意样本检测到虚拟机自身特征而隐藏攻击,使攻击检测有较高的漏报率。
因此,如何高效检测恶意攻击成为亟待解决的问题。
发明内容
本申请实施例提供一种攻击检测的方法、装置、电子设备及存储介质,通过本申请的一些实施例至少能够实现对漏洞攻击检测的精准检测,从而实现高效检测恶意攻击。
第一方面,本申请的一些实施例提供一种攻击检测的方法,应用于虚拟中央处理器,所述攻击检测的方法包括:获取待检测文件;将待检测文件传入虚拟中央处理器并执行;在执行待检测文件的过程中,监测到待检测文件至少一次访问敏感对象,则确认待检测文件为恶意文件,其中,敏感对象包括敏感接口和敏感内存区域中的至少一个。
因此,本申请实施例通过的攻击检测的方法,能够使攻击程序无法逃避检测,从而能够执行待检测文件,通过监测访问敏感对象的方式,判断恶意攻击,由于的攻击检测的方法,应用于虚拟中央处理器,因此提高了运行效率,减小资源消耗,从而实现高效检测恶意攻击。
结合第一方面,在一种实施方式中,敏感对象包括敏感接口和敏感内存区域;在执行待检测文件的过程中,监测到待检测文件至少一次访问敏感对象,则确认待检测文件为恶意文件,包括:在执行待检测文件的过程中,监测到敏感接口至少一次被访问;监测到敏感内存区域至少一次被访问;确认待检测文件为恶意文件。
结合第一方面,在一种实施方式中,敏感对象包括敏感接口和敏感内存区域;在执行待检测文件的过程中,监测到待检测文件至少一次访问敏感对象,则确认待检测文件为恶意文件,包括:监测到敏感接口至少一次被访问时,使用第一标记对待检测文件进行标记;监测到敏感内存区域至少一次被访问时,使用第二标记对待检测文件进行标记;通过识别第一标记和第二标记,确认待检测文件为恶意文件。
因此,本申请实施例通过对敏感接口和对敏感内存区域的监测,能够识别出待检测文件是否为恶意文件,从而实现高效检测恶意攻击。
结合第一方面,在一种实施方式中,所述将所述待检测文件传入所述虚拟中央处理器并执行,包括:在执行待检测文件的过程中,若遇到跳转,在判断跳转地址为合法的情况下,选择新的执行路径执行;在判断跳转地址为非法的情况下,则忽略跳转且继续执行待检测文件。
因此,本申请实施例通过根据跳转地址在待检测文件中的位置,选择执行路径,能够有效的保证在监测恶意攻击的过程中监测的全面性,降低漏报的风险,从而实现完整地检测恶意攻击,具体的,如果跳转地址合法,则有可能跳转地址是合法的代码执行路径,因此增加新的执行路径是为了避免漏掉检测。
结合第一方面,在一种实施方式中,所述虚拟中央处理器的个数为至少一个。
因此,本申请实施例设置至少一个虚拟中央处理器,能够在至少一个虚拟中央处理器中的每个虚拟中央处理器都监测出待检测文件的情况下,提高监测的准确率,减少误判。
结合第一方面,在一种实施方式中,至少一个虚拟中央处理器包括:第一虚拟中央处理器和第二虚拟中央处理器;将待检测文件输入虚拟中央处理器并执行,包括:将待检测文件传入第一虚拟中央处理器和第二虚拟中央处理器并执行;在执行待检测文件的过程中,监测到待检测文件至少一次访问敏感对象,则确认待检测文件为恶意文件,包括:在执行待检测文件的过程中,监测到第一虚拟中央处理器和/或第二虚拟中央处理器的待检测文件至少一次访问敏感对象,则确认待检测文件为恶意文件。
因此,本申请实施例通过将待检测文件分别输入两个虚拟中央处理器进行执行,能够保证监测恶意攻击的准确性,从而减小误报的可能性,实现高效检测恶意攻击。
第二方面,本申请的一些实施例中提供一种攻击检测的装置,攻击检测的装置包括:获取单元,被配置为获取待检测文件;执行单元,被配置为将待检测文件传入虚拟中央处理器并执行;监测单元,被配置为在执行待检测文件的过程中,监测到待检测文件至少一次访问敏感对象,则确认待检测文件为恶意文件,其中,敏感对象包括敏感接口和敏感内存区域中的至少一个。
结合第二方面,在一种实施方式中,敏感对象包括敏感接口和敏感内存区域,监测单元还被配置为:在执行待检测文件的过程中,监测到所述敏感接口至少一次被访问;监测到所述敏感内存区域至少一次被访问;确认待检测文件为恶意文件。
结合第二方面,在一种实施方式中,监测单元还被配置为:监测到敏感接口至少一次被访问时,使用第一标记对待检测文件进行标记;监测到敏感内存区域至少一次被访问时,使用第二标记对待检测文件进行标记;通过识别第一标记和第二标记,确认待检测文件为恶意文件。
结合第二方面,在一种实施方式中,执行单元还被配置为:在执行待检测文件的过程中,若遇到跳转,在判断跳转地址为合法的情况下,选择新的执行路径执行;在判断跳转地址为非法的情况下,则忽略跳转且继续执行待检测文件。
结合第二方面,在一种实施方式中,所述虚拟中央处理器的个数为至少一个。
结合第二方面,在一种实施方式中,至少一个虚拟中央处理器包括:第一虚拟中央处理器和第二虚拟中央处理器;执行单元还被配置为:将待检测文件传入第一虚拟中央处理器和第二虚拟中央处理器并执行;监测单元还被配置为:在执行待检测文件的过程中,监测到第一虚拟中央处理器和/或第二虚拟中央处理器的待检测文件至少一次访问敏感对象,则确认待检测文件为恶意文件。
第三方面,一种电子设备,包括:处理器、存储器和总线;处理器通过总线与存储器相连,存储器存储有计算机可读取指令,当计算机可读取指令由处理器执行时,用于实现如第一方面及第一方面的实施方式中任一项方法。
第四方面,一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被服务器执行时实现如第一方面及第一方面的实施方式中任一项方法。
附图说明
图1为本申请实施例示出的虚拟中央处理器的执行和构建的流程;
图2为本申请实施例示出的一种攻击检测的方法实施流程;
图3为本申请实施例示出的一种攻击检测的装置的内部结构;
图4为本申请实施例示出的一种电子设备。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本申请的一部分实施例,而不是全部实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对附图中提供的本申请的实施例的详情描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护范围。
下面结合附图详细描述本申请实施例中的方法步骤。
本申请实施例可以应用于多种恶意攻击的场景,例如,这些场景包括在执行待检测文件的过程中,监测漏洞利用代码(shellcode)攻击的场景。以shellcode恶意攻击为例示例性阐述相关技术中攻击检测方法存在的问题。具体的,shellcode会通过各种方式来隐藏自己行为,在分析恶意代码时,经常遇见隐蔽恶意动作逃避检测的反虚拟机技术,使攻击检测有较高的失误率。
至少为了解决上述问题,本申请一些实施例提供一种在虚拟中央处理器中执行待检测文件,监测待检测文件访问敏感对象的行为,从而能够监测恶意攻击的方法。可以理解的是,本申请实施例的应用场景不限于此。
由于,shellcode会通过各种方式来隐藏自己行为,而且在分析恶意代码时,经常遇见反虚拟机技术,并且虚拟机本身运行了真实的操作系统(如Windows等),启动系统以及运行操作系统需要大量的系统资源,且执行效率低。因此,本申请实施例使用虚拟中央处理器来监测待检测文件。
可以理解的是,为了执行本申请实施例的攻击检测方法需要预先构建虚拟中央处理器,作为本申请的一个示例,虚拟中央处理器是通过如下方法构建的:
虚拟中央处理器通过软件的方式实现中央处理器的硬件逻辑,中央处理器的基本硬件逻辑为:获取指令、解析指令和执行指令。
本申请实施例构建的虚拟中央处理器的工作流程,如图1所示,虚拟中央处理器在接收到信号,执行步骤101开始,先进行步骤102初始化进入工作程序,在初始化成功的时候执行后续步骤,在初始化失败的时候执行步骤103结束,在初始化成功的时候,开始步骤104获取指令,获取成功后执行步骤105判断指令类型。
在步骤105判定指令类型成功的时候执行步骤109算数运算指令后,执行步骤107解析指令,解析成功后开始执行步骤108执行指令,并且在执行指令之后继续步骤104获取指令,解析指令失败的时候,进行步骤112异常处理;
在步骤105判定指令类型失败的时候,开始执行步骤111转移指令(跳转或者函数访问)后,执行步骤107解析指令,在解析指令成功的时候,执行步骤108执行指令,并且在执行指令之后继续步骤104获取指令;
在步骤105判定指令类型是其他指令106的时候,开始执行步骤107解析指令,如果解析失败,执行步骤112异常处理,如果解析成功,执行步骤108执行指令,并且在执行指令之后继续步骤104获取指令。
下文将详细描述由虚拟中央处理器执行的一种攻击检测方法的实施方式。
S110,获取待检测文件。
在一种实施方式中,获取待检测文件,其中,待检测文件中包括能够被执行的指令和/或不能够被执行的文件信息。在不含有恶意攻击指令的文件中包含有文字、图片等,不包含有可执行的机器代码。而在本申请实施例的待检测文件中,由于在获取待检测文件的时候,不确定待检测文件是否是恶意文件,因此,本申请实施例的待检测文件包括三类,第一类的待检测文件中只包括能够被执行的指令;第二类的待检测文件只包含不能够被执行的文件信息,例如:文字、图片等;第三类的待检测文件既包含能够被执行的指令,又包含不能够被执行的文件信息。通过本申请的实施例可以检测出第三类待检测文件中存在的恶意攻击。
作为一种实施例,第三类的待检测文件使用仿真的形式产生恶意代码,可以利用内存进程来进行shellcode仿真。Shellcode通常是以位置无关方式进行访问的,并且可以在任何进程中运行。在仿真环境方面,既然所有必须的内存组件都可以从进程映像转储中获得,如线程环境块(ThreadEnvironmentBlock,TEB)/进程环境块(ProcessEnvironmentBlock,PEB),已加载的模块映像列表甚至动态链接库(Dynamic LinkLibrary,DLL)代码等相关的内存结构都可以在映像中获取,那么在本申请实施例中可以将Windows进程映像作为仿真环境,本申请实施例不限于此。
需要说明的是,待检测文件可以是DOC/XLS/PDF格式的文件,也可以是Office系列中其他格式的文件,本申请实施例不限于此。
虚拟中央处理器在获取未知的是否具有恶意攻击指令的待检测文件之后,执行S120。
下文示例性的阐述S120的实施方式。
S120,将待检测文件传入虚拟中央处理器并执行。
在一种实施方式中,在执行待检测文件的过程中,若遇到跳转,在判断跳转地址为合法的情况下,选择新的执行路径执行;在判断跳转地址为非法的情况下,则忽略跳转且继续执行待检测文件。
由于可能具有攻击性的第三类文件中大部分的数据为特定格式文件数据,例如:DOC格式,而不是处理器可以识别的有效的机器指令,因此,通常会产生大量的异常,在本申请实施例中,可以和忽略无效的指令和异常,将待检测文件以字节流的形式当做特定架构指令进行线性执行。
由于具有攻击性的第三类的待检测文件中可能会包含跳转指令,那么,在执行待检测文件的过程中,若执行到跳转指令,在执行过程中会产生跳转地址,作为一种实施例,判断跳转地址是否在待检测文件的之内,若跳转地址在待检测文件之内,就判定跳转地址合法,那么就继续跳转地址所在的路径继续执行;作为另一种实施例,判断跳转地址是否在待检测文件之内,若跳转地址在待检测文件之外,就判定跳转地址非法,那么就忽略此次跳转继续跳转之前的路径继续执行待检测文件。
因此,本申请实施例通过根据跳转地址在待检测文件中的位置,选择执行路径,能够有效的保证在监测恶意攻击的过程中监测的全面性,降低误报的风险,从而实现高效检测恶意攻击。
下文示例性阐述S130的实施方式。
S130,在执行待检测文件的过程中,监测到待检测文件至少一次访问敏感对象,则确认待检测文件为恶意文件。
在一种实施方式中,敏感对象包括敏感接口和敏感内存区域中的至少一个。
在一种实施方式中,敏感对象包括敏感接口和敏感内存区域;在执行待检测文件的过程中,监测到敏感接口至少一次被访问;监测到敏感内存区域至少一次被访问;则确认待检测文件为恶意文件。
为了提升监测速度,在本申请的一些实施例中S130包括:监测到所述敏感接口至少一次被访问时,使用第一标记对所述待检测文件进行标记;监测到所述敏感内存区域至少一次被访问时,使用第二标记对所述待检测文件进行标记;通过识别所述第一标记和所述第二标记,确认所述待检测文件为恶意文件。
可以理解的是,为了确定在执行待检测文件的过程中访问的接口是否为敏感接口,或者访问的内存是否为敏感内存区域,需要预先设置敏感对象列表,敏感对象列表包括敏感接口列表和敏感内存区域列表,其中,敏感接口列表来自于恶意指令经常攻击的接口,以及对于系统较为重要的接口,例如:攻击系统需要访问的地址的接口、内存接口等。在执行待检测文件的过程中,若监测到待检测文件中使用call函数等访问指令,访问了预先设置的敏感接口列表中的敏感接口,则记录该行为并且使用第一标记对所述待检测文件进行标记。在执行待检测文件的过程中,若监测到待检测文件访问了敏感内存区域,则记录并且使用第二标记对待检测文件进行标记。作为一种实施例,Shellcode是现代恶意软件的重要组成部分,Shellcode中最重要的部分是访问PEB结构。因为PEB结构将告诉Shellcode关于进程自身的关键信息,比如Shellcode自身所在的内存地址,进程DLL列表等,为Shellcode进一步实现更复杂的功能提供帮助。可以说获取(访问)进程的PEB结构是大多数Shellcode获得执行攻击时第一件要做的事情,因此如果检测到待检测文件中的内存访问指令访问了当前进程的PEB结构,则将记录该行为并使用第二标记对待检测文件进行标记。
由于,在上述实施方式中,敏感对象包括敏感接口和敏感内存区域,在执行待检测文件的过程中,执行了若干的指令以及路径之后,在待检测文件同时存在第一标记和第二标记的情况下,则确认该待检测文件包含了漏洞攻击载荷,属于恶意文件,此时停止执行指令,并且向用户告知该待检测文件为恶意文件。
需要说明的是,监测到敏感接口被访问和监测到敏感内存区域被访问不限定次序,可以是先监测到敏感接口被访问,也可以是先监测到敏感内存区域被访问,也可以是同时监测到敏感接口和敏感内存区域被访问,本申请实施例不限于此。
作为另一种实施方式,在敏感对象包括敏感接口的情况下,执行待检测文件的过程中,执行了若干的指令以及路径之后,在待检测文件同时存在第一标记,则确认该待检测文件包含了漏洞攻击载荷,属于恶意文件,此时停止执行指令,并且向用户告知该待检测文件为恶意文件。
作为另一种实施方式,在敏感对象包括敏感内存区域的情况下,执行待检测文件的过程中,执行了若干的指令以及路径之后,在待检测文件同时存在第二标记,则确认该待检测文件包含了漏洞攻击载荷,属于恶意文件,此时停止执行指令,并且向用户告知该待检测文件为恶意文件。
需要说明的是,敏感对象可能被多次访问,可以是一次也可以是两次,但只要是监测到敏感对象被访问时,就确认待检测文件为恶意文件;第一标记和第二标记可以是任何对待检测文件的标记,可以是标记符号,也可以是标记数字,本申请实施例不限于此。
若执行完成待检测文件,没有监测到待检测文件访问敏感接口和敏感内存区域,或者待检测文档不存在第一标记和第二标记,那么则判断待检测文档是安全的。
因此,本申请实施例通过对敏感接口和对敏感内存区域的监测,能够识别出待检测文件是否为恶意文件,从而实现高效检测恶意攻击。
在一种实施方式中,虚拟中央处理器的个数为至少一个。
本申请实施例设置多个虚拟中央处理器是为能够提高监测的准确率,因此,在至少一个虚拟中央处理器中的每个虚拟中央处理器都监测出待检测文件的情况下,能够提高监测的准确率,减少误判。
在一种实施方式中,至少一个虚拟中央处理器包括:第一虚拟中央处理器和第二虚拟中央处理器;将待检测文件传入第一虚拟中央处理器和第二虚拟中央处理器并执行;在执行待检测文件的过程中,监测到第一虚拟中央处理器和/或第二虚拟中央处理器的待检测文件至少一次访问敏感对象,则确认待检测文件为恶意文件。
作为一种实施例,在执行待检测文件的过程中,监测到使用X86架构的第一虚拟中央处理器访问了敏感对象,则确认待检测文件为恶意文件。
作为另一种实施例,在执行待检测文件的过程中,监测到使用X86_64的第二虚拟中央处理器的待检测文件访问了敏感对象,则确认待检测文件为恶意文件。
作为另一种实施例,在执行待检测文件的过程中,监测到使用X86架构的第一虚拟中央处理器和使用X86_64的第二虚拟中央处理器的待检测文件,都访问了敏感对象,则确认待检测文件为恶意文件。
因此,本申请实施例通过将待检测文件分别输入两个虚拟中央处理器进行执行,能够保证监测恶意攻击的准确性,从而减小误报的可能性,实现高效检测恶意攻击。
因此,本申请实施例通过的攻击检测的方法,能够使攻击程序无法逃避检测,从而能够执行待检测文件,通过监测访问敏感对象的方式,判断恶意攻击,由于的攻击检测的方法,应用于虚拟中央处理器,因此提高了运行效率,减小资源消耗,从而实现高效检测恶意攻击。传统基于虚拟机检测的方法依赖进程行为模型,如果模型选取不合适则可能造成误报。本申请实施例中利用了“安全文件中绝不应包含任何具有可执行属性的机器代码”这一原则来实现对文件中的漏洞利用载荷进行检测,因此具有低误报的优点。
上文描述了一种攻击检测的方法的具体实施例,下文将描述一种攻击检测的装置。
如图3所示,一种攻击检测的装置200,包括:获取单元210,执行单元220和监测单元230。
在一种实施方式中,本申请的一些实施例中提供一种攻击检测的装置,包括:获取单元,被配置为获取待检测文件,其中,待检测文件中包括能够被执行的指令和/或不能够被执行的文件信息;执行单元,被配置为将待检测文件传入虚拟中央处理器并执行;监测单元,被配置为在执行待检测文件的过程中,监测到待检测文件至少一次访问敏感对象,则确认待检测文件为恶意文件,其中,敏感对象包括敏感接口和敏感内存区域中的至少一个。
在一种实施方式中,敏感对象包括敏感接口和敏感内存区域,监测单元还被配置为:在执行待检测文件的过程中,监测到敏感接口至少一次被访问;监测到敏感内存区域至少一次被访问;确认待检测文件为恶意文件。
在一种实施方式中,监测单元还被配置为:监测到敏感接口至少一次被访问时,使用第一标记对待检测文件进行标记;监测到敏感内存区域至少一次被访问时,使用第二标记对待检测文件进行标记;通过识别第一标记和第二标记,确认待检测文件为恶意文件。
在一种实施方式中,执行单元还被配置为:在执行待检测文件的过程中,若遇到跳转,在判断跳转地址为合法的情况下,选择新的执行路径执行;在判断跳转地址为非法的情况下,则忽略跳转且继续执行待检测文件。
在一种实施方式中,所述虚拟中央处理器的个数为至少一个。
在一种实施方式中,至少一个虚拟中央处理器包括:第一虚拟中央处理器和第二虚拟中央处理器;执行单元还被配置为:将待检测文件传入第一虚拟中央处理器和第二虚拟中央处理器并执行;监测单元还被配置为:在执行待检测文件的过程中,监测到第一虚拟中央处理器和/或第二虚拟中央处理器的待检测文件至少一次访问敏感对象,则确认待检测文件为恶意文件。
在本申请实施例中,图3所示模块能够实现图2方法实施例中的各个过程。图2中的各个模块的操作和/或功能,分别为了实现图2中的方法实施例中的相应流程。具体可参见上述方法实施例中的描述,为避免重复,此处适当省略详细描述。
如图4所示,本申请实施例提供一种电子设备300,包括:处理器310、存储器320和总线330,处理器通过总线与存储器相连,存储器存储有计算机可读取指令,当计算机可读取指令由处理器执行时,用于实现如上述所有实施例中任一项的方法,具体可参见上述方法实施例中的描述,为避免重复,此处适当省略详细描述。
其中,总线用于实现这些组件直接的连接通信。其中,本申请实施例中处理器可以是一种集成电路芯片,具有信号的处理能力。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。存储器中存储有计算机可读取指令,当计算机可读取指令由处理器执行时,可以执行上述实施例中的方法。
可以理解,图4所示的结构仅为示意,还可包括比图4中所示更多或者更少的组件,或者具有与图4所示不同的配置。图4中所示的各组件可以采用硬件、软件或其组合实现。
本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被服务器执行时实现上述所有实施方式中任一的方法,具体可参见上述方法实施例中的描述,为避免重复,此处适当省略详细描述。
以上仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (9)
1.一种攻击检测的方法,其特征在于,应用于虚拟中央处理器,所述方法包括:
获取待检测文件;
将所述待检测文件传入所述虚拟中央处理器并执行;
在执行所述待检测文件的过程中,监测到所述待检测文件至少一次访问敏感对象,则确认所述待检测文件为恶意文件,其中,所述敏感对象包括敏感接口和敏感内存区域中的至少一个;
其中,所述将所述待检测文件传入所述虚拟中央处理器并执行,包括:
在执行所述待检测文件的过程中,若遇到跳转,在判断跳转地址为合法的情况下,选择新的执行路径执行;在判断所述跳转地址为非法的情况下,则忽略所述跳转且继续执行所述待检测文件;
其中,所述跳转地址为合法或非法是通过如下方法判断的:
若所述跳转地址在所述待检测文件之内,则判定所述跳转地址合法;
若所述跳转地址在所述待检测文件之外,则判定跳转地址非法。
2.根据权利要求1所述的方法,其特征在于,所述敏感对象包括敏感接口和敏感内存区域;
所述在执行所述待检测文件的过程中,监测到所述待检测文件至少一次访问敏感对象,则确认所述待检测文件为恶意文件,包括:
在执行所述待检测文件的过程中,监测到所述敏感接口至少一次被访问;
监测到所述敏感内存区域至少一次被访问;
确认所述待检测文件为所述恶意文件。
3.根据权利要求2所述的方法,其特征在于,所述敏感对象包括敏感接口和敏感内存区域;
所述在执行所述待检测文件的过程中,监测到所述待检测文件至少一次访问敏感对象,则确认所述待检测文件为恶意文件,包括:
监测到所述敏感接口至少一次被访问时,使用第一标记对所述待检测文件进行标记;
监测到所述敏感内存区域至少一次被访问时,使用第二标记对所述待检测文件进行标记;
通过识别所述第一标记和所述第二标记,确认所述待检测文件为恶意文件。
4.根据权利要求1所述的方法,其特征在于,所述虚拟中央处理器的个数为至少一个。
5.根据权利要求4所述的方法,其特征在于,至少一个所述虚拟中央处理器包括:第一虚拟中央处理器和第二虚拟中央处理器;
所述将所述待检测文件输入所述虚拟中央处理器并执行,包括:
将所述待检测文件传入所述第一虚拟中央处理器和所述第二虚拟中央处理器并执行;
所述在执行所述待检测文件的过程中,监测到所述待检测文件至少一次访问敏感对象,则确认所述待检测文件为恶意文件,包括:
在执行所述待检测文件的过程中,监测到所述第一虚拟中央处理器和/或所述第二虚拟中央处理器的所述待检测文件至少一次访问所述敏感对象,则确认所述待检测文件为所述恶意文件。
6.一种攻击检测的装置,其特征在于,所述装置包括:
获取单元,被配置为获取待检测文件;
执行单元,被配置为将所述待检测文件传入虚拟中央处理器并执行;
监测单元,被配置为在执行所述待检测文件的过程中,监测到所述待检测文件至少一次访问敏感对象,则确认所述待检测文件为恶意文件,其中,所述敏感对象包括敏感接口和敏感内存区域中的至少一个;
其中,所述执行单元还被配置为:
在执行所述待检测文件的过程中,若遇到跳转,在判断跳转地址为合法的情况下,选择新的执行路径执行;在判断所述跳转地址为非法的情况下,则忽略所述跳转且继续执行所述待检测文件;
其中,所述跳转地址为合法或非法是通过如下方法判断的:
若所述跳转地址在所述待检测文件之内,则判定所述跳转地址合法;
若所述跳转地址在所述待检测文件之外,则判定跳转地址非法。
7.根据权利要求6所述的装置,其特征在于,所述敏感对象包括敏感接口和敏感内存区域,所述监测单元还被配置为:
在执行所述待检测文件的过程中,监测到所述敏感接口至少一次被访问;
监测到所述敏感内存区域至少一次被访问;
确认所述待检测文件为所述恶意文件。
8.一种电子设备,其特征在于,包括:处理器、存储器和总线;
所述处理器通过所述总线与所述存储器相连,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,用于实现如权利要求1-5任一项所述方法。
9.一种计算机可读存储介质,其特征在于,该计算机可读存储介质上存储有计算机程序,该计算机程序被服务器执行时实现如权利要求1-5任一项所述方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110415712.XA CN113076540B (zh) | 2021-04-16 | 2021-04-16 | 一种攻击检测的方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110415712.XA CN113076540B (zh) | 2021-04-16 | 2021-04-16 | 一种攻击检测的方法、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113076540A CN113076540A (zh) | 2021-07-06 |
CN113076540B true CN113076540B (zh) | 2023-04-14 |
Family
ID=76617976
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110415712.XA Active CN113076540B (zh) | 2021-04-16 | 2021-04-16 | 一种攻击检测的方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113076540B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101826139A (zh) * | 2009-12-30 | 2010-09-08 | 厦门市美亚柏科信息股份有限公司 | 一种非可执行文件挂马检测方法及其装置 |
CN106372507A (zh) * | 2016-08-30 | 2017-02-01 | 北京奇虎科技有限公司 | 恶意文档的检测方法及装置 |
CN111460447A (zh) * | 2020-03-06 | 2020-07-28 | 奇安信科技集团股份有限公司 | 恶意文件检测方法、装置、电子设备与存储介质 |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101964036B (zh) * | 2010-10-29 | 2013-01-16 | 深圳市安盾椒图科技有限公司 | 漏洞检测方法及装置 |
CN105204985A (zh) * | 2014-06-23 | 2015-12-30 | 腾讯科技(深圳)有限公司 | 漏洞检测方法及装置 |
CN104506495A (zh) * | 2014-12-11 | 2015-04-08 | 国家电网公司 | 一种智能化网络apt攻击威胁分析方法 |
CN104731708A (zh) * | 2015-03-25 | 2015-06-24 | 北京信息控制研究所 | 一种Shellcode的动态检测方法 |
CN107368740B (zh) * | 2016-05-12 | 2020-10-27 | 中国科学院软件研究所 | 一种针对数据文件中可执行代码的检测方法及系统 |
CN106055976B (zh) * | 2016-05-16 | 2021-05-28 | 新华三技术有限公司 | 文件检测方法及沙箱控制器 |
CN106874758B (zh) * | 2016-08-22 | 2021-03-16 | 创新先进技术有限公司 | 一种识别文档代码的方法和装置 |
CN106682496A (zh) * | 2016-12-06 | 2017-05-17 | 北京奇虎科技有限公司 | 一种代码注入攻击的检测方法和装置 |
CN109784062B (zh) * | 2018-12-29 | 2021-07-20 | 360企业安全技术(珠海)有限公司 | 漏洞检测方法及装置 |
CN111444504A (zh) * | 2020-03-30 | 2020-07-24 | 安芯网盾(北京)科技有限公司 | 一种用于软件运行时自动识别恶意代码的方法及装置 |
-
2021
- 2021-04-16 CN CN202110415712.XA patent/CN113076540B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101826139A (zh) * | 2009-12-30 | 2010-09-08 | 厦门市美亚柏科信息股份有限公司 | 一种非可执行文件挂马检测方法及其装置 |
CN106372507A (zh) * | 2016-08-30 | 2017-02-01 | 北京奇虎科技有限公司 | 恶意文档的检测方法及装置 |
CN111460447A (zh) * | 2020-03-06 | 2020-07-28 | 奇安信科技集团股份有限公司 | 恶意文件检测方法、装置、电子设备与存储介质 |
Non-Patent Citations (1)
Title |
---|
APT检测系统应用分析;王嘉春等;《信息科技辑》;20180220;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN113076540A (zh) | 2021-07-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8627478B2 (en) | Method and apparatus for inspecting non-portable executable files | |
RU2698776C2 (ru) | Способ ведения базы данных и соответствующий сервер | |
EP2701092A1 (en) | Method for identifying malicious executables | |
US20170353481A1 (en) | Malware detection by exploiting malware re-composition variations using feature evolutions and confusions | |
CN109101815B (zh) | 一种恶意软件检测方法及相关设备 | |
US9507933B2 (en) | Program execution apparatus and program analysis apparatus | |
US9117072B2 (en) | Software exploit detection | |
CN109271789B (zh) | 恶意进程检测方法、装置、电子设备及存储介质 | |
CN108256322B (zh) | 安全测试方法、装置、计算机设备和存储介质 | |
CN114254304A (zh) | 容器安全入侵检测方法、装置、计算机设备及存储介质 | |
CN105095759A (zh) | 文件的检测方法及装置 | |
CN113114680B (zh) | 用于文件上传漏洞的检测方法和检测装置 | |
CN112738094B (zh) | 可扩展的网络安全漏洞监测方法、系统、终端及存储介质 | |
US8646076B1 (en) | Method and apparatus for detecting malicious shell codes using debugging events | |
CN113076540B (zh) | 一种攻击检测的方法、装置、电子设备及存储介质 | |
US10931693B2 (en) | Computation apparatus and method for identifying attacks on a technical system on the basis of events of an event sequence | |
CN112685745B (zh) | 一种固件检测方法、装置、设备及存储介质 | |
CN114417349A (zh) | 攻击结果判定方法、装置、电子设备及存储介质 | |
CN113849813A (zh) | 数据检测方法、装置、电子设备及存储介质 | |
CN111538986A (zh) | 一种基于调用栈轨迹进行动态度量计算机可信状态装置及其方法 | |
CN111177726A (zh) | 一种系统漏洞检测方法、装置、设备及介质 | |
CN114301672B (zh) | 网络风险检测方法、装置及电子设备 | |
CN110543759A (zh) | 恶意文件检测方法、装置、计算机设备和存储介质 | |
CN112131584A (zh) | 保证bios和bmc之间传输数据准确的方法、系统、设备及介质 | |
Yagemann | Hardware-Assisted Processor Tracing for Automated Bug Finding and Exploit Prevention. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address |
Address after: Room 601, Building 4, No. 165 Wuchang Avenue, Wuchang Street, Yuhang District, Hangzhou City, Zhejiang Province, 311100 Patentee after: Hangzhou Dingxiang Technology Co.,Ltd. Address before: Room 603b, building 19, No. 998, Wenyi West Road, Wuchang Street, Yuhang District, Hangzhou City, Zhejiang Province Patentee before: Top Elephant Technology Co.,Ltd. |
|
CP03 | Change of name, title or address |