CN113452717B - 通信软件安全防护的方法、装置、电子设备及存储介质 - Google Patents
通信软件安全防护的方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN113452717B CN113452717B CN202110752418.8A CN202110752418A CN113452717B CN 113452717 B CN113452717 B CN 113452717B CN 202110752418 A CN202110752418 A CN 202110752418A CN 113452717 B CN113452717 B CN 113452717B
- Authority
- CN
- China
- Prior art keywords
- suspicious process
- traffic
- communication software
- threat
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种通信软件安全防护的方法、装置、电子设备及存储介质,其中方法包括:提取通信软件在通信时的流量特征;将提取到的流量特征发送给流量检测设备,所述流量检测设备检测预设网段内的流量包是否异常;若异常,则检测所述流量包所属的可疑进程是否存在威胁;若存在威胁,则结束存在威胁的可疑进程。本发明提供的技术方案能够提高具有匿名信道的通信软件的安全防护能力。
Description
技术领域
本发明实施例涉及计算机技术领域,特别涉及一种通信软件安全防护的方法、装置、电子设备及存储介质。
背景技术
随着互联网的飞速发展和计算机的快速普及,在方便人们的同时,也带来了安全隐患。为了对抗层出不穷的恶意软件,人们对网络安全的保护意识逐渐增强,网络安全防护技术的功能也越来越强大。为了绕过安全软件的检测,攻击者采用了多种手段。
近些年,由于一些通信软件(例如Discord和Telegram)具有匿名信道(即隐蔽通信流中的通信关系,难以获取或推知通信双方的关系及内容),越来越多的攻击者选择使用Discord、Telegram等通信软件来传递信息。由于信任关系,终端设备上的安全软件不会对攻击行为产生阻止或告警的操作,这也就导致了用户财产很可能会遭受损失。
因此,亟待需要一种通信软件安全防护的方法、装置、电子设备及存储介质来解决上述技术问题。
发明内容
本发明实施例提供了一种通信软件安全防护的方法、装置、电子设备及存储介质,能够提高具有匿名信道的通信软件的安全防护能力。
第一方面,本发明实施例提供了一种通信软件安全防护的方法,包括:
提取通信软件在通信时的流量特征;
将提取到的流量特征发送给流量检测设备,所述流量检测设备检测预设网段内的流量包是否异常;
若异常,则检测所述流量包所属的可疑进程是否存在威胁;
若存在威胁,则结束存在威胁的可疑进程。
在一种可能的设计中,所述提取通信软件在通信时的流量特征,包括:
确定通信软件在通信时调用的URL;
根据确定出的URL提取所述通信软件在通信时的流量特征。
在一种可能的设计中,所述若异常,则检测所述流量包所属的可疑进程是否存在威胁,包括:
若异常,则接收由所述流量检测设备发来的告警信息;
若用户将所述告警信息确定为非法操作,则检测所述流量包所属的可疑进程是否存在威胁。
在一种可能的设计中,所述若异常,则检测所述流量包所属的可疑进程是否存在威胁,包括:
若异常,则接收由所述流量检测设备发来的告警信息;
若所述告警信息的响应时长超过预设时长,则检测所述流量包所属的可疑进程是否存在威胁。
在一种可能的设计中,所述检测所述流量包所属的可疑进程是否存在威胁,包括:
接收由所述流量检测设备发来的所述流量包的特征信息;其中,所述特征信息包括源IP地址、目的IP地址、源端口和目的端口;
基于所述特征信息,确定所述流量包所属的可疑进程;
检测确定出的可疑进程是否调用第一API函数;其中,所述第一API函数包括Gethostname函数和Bitblt函数。
在一种可能的设计中,所述检测所述流量包所属的可疑进程是否存在威胁,包括:
接收由所述流量检测设备发来的所述流量包的特征信息;其中,所述特征信息包括源IP地址、目的IP地址、源端口和目的端口;
基于所述特征信息,确定所述流量包所属的可疑进程;
在预设时长内,检测确定出的可疑进程调用第二API函数的次数是否超过预设次数;其中,所述第二API函数包括CreateFile函数和DeleteFile函数。
在一种可能的设计中,
结束存在威胁的可疑进程之后,还包括:
生成该可疑进程的检测报告;其中,所述检测报告包括与该可疑进程对应的文件名、所在路径和行为信息,所述行为信息是由该可疑进程调用的API函数确定的;
将生成的检测报告存储在预设的隔离区;
将存在威胁的可疑进程由该可疑进程的存储位置转移至所述隔离区;其中,所述存储位置是基于所述特征信息确定的。
第二方面,本发明实施例还提供了一种通信软件安全防护的装置,包括:
提取模块,用于提取通信软件在通信时的流量特征;
发送模块,用于将提取到的流量特征发送给流量检测设备,所述流量检测设备检测预设网段内的流量包是否异常;若异常,则执行检测模块;
所述检测模块,用于检测所述流量包所属的可疑进程是否存在威胁;若存在威胁,则执行结束模块;
所述结束模块,用于结束存在威胁的可疑进程。
第三方面,本发明实施例还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本说明书任一实施例所述的方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行本说明书任一实施例所述的方法。
本发明实施例提供了一种通信软件安全防护的方法、装置、电子设备及存储介质,通过提取通信软件在通信时的流量特征,然后将提取到的流量特征发送给流量检测设备,流量检测设备检测预设网段内的流量包是否异常;若异常,则检测流量包所属的可疑进程是否存在威胁;若存在威胁,则结束存在威胁的可疑进程。上述技术方案,不会因为终端设备上的安全软件与通信软件的信任关系,而不对攻击行为产生阻止或告警的操作,即利用流量检测设备根据提取到的流量特征对预设网段内的流量包进行异常检测,如果存在异常,则告知终端设备上的安全软件需要对终端设备上的流量包所属的可疑进程进行进一步检测,如果检测到存在威胁,则结束存在威胁的可疑进程,从而能够有效保证终端设备的用户信息不被泄露,提高了具有匿名信道的通信软件的安全防护能力。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是本发明一实施例提供的一种通信软件安全防护的方法流程图;
图2是本发明一实施例提供的一种电子设备的硬件架构图;
图3是本发明一实施例提供的一种通信软件安全防护的装置结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其它实施例,都属于本发明保护的范围。
如前所述,由于一些通信软件(例如Discord和Telegram)具有匿名信道(即隐蔽通信流中的通信关系,难以获取或推知通信双方的关系及内容),越来越多的攻击者选择使用Discord、Telegram等通信软件来传递信息。由于信任关系,终端设备上的安全软件不会对攻击行为产生阻止或告警的操作,这也就导致了用户财产很可能会遭受损失。
为了解决上述技术问题,可以考虑检测通信软件在通信时的流量特征,然后基于流量特征确定终端设备上相对应的进程,即存在威胁的进程,然后结束存在威胁的进程,从而可以提高具有匿名信道的通信软件的安全防护能力。
下面描述以上构思的具体实现方式。
请参考图1,本发明实施例提供了一种通信软件安全防护的方法,该方法包括:
步骤100,提取通信软件在通信时的流量特征;
步骤102,提取到的流量特征发送给流量检测设备,流量检测设备检测预设网段内的流量包是否异常;
步骤104,若异常,则检测流量包所属的可疑进程是否存在威胁;
步骤106,若存在威胁,则结束存在威胁的可疑进程。
本发明实施例中,上述技术方案不会因为终端设备上的安全软件与通信软件的信任关系,而不对攻击行为产生阻止或告警的操作,即利用流量检测设备根据提取到的流量特征对预设网段内的流量包进行异常检测,如果存在异常,则告知终端设备上的安全软件需要对终端设备上的流量包所属的可疑进程进行进一步检测,如果检测到存在威胁,则结束存在威胁的可疑进程,从而能够有效保证终端设备的用户信息不被泄露,提高了具有匿名信道的通信软件的安全防护能力。
下面描述图1所示的各个步骤的执行方式。
首先,针对步骤100,流量特征是通信软件之间进行通信的媒介,在一些实施方式中,流量特征是URL(UniformResourceLocator,统一资源定位器)。具体而言,步骤100可以包括:
确定通信软件在通信时调用的URL;
根据确定出的URL提取通信软件在通信时的流量特征。
在本实施例中,通过确定通信软件在通信时调用的URL的格式来提取流量特征,进而通过URL的格式来判断通信软件的通信是否存在异常。一般说来,通信软件在通信时的正常URL可能是协议、主机地址和具体地址的组成方式,而异常的URL则可能是协议、主机地址和API(例如Webhook)的组成方式,因此可以通过调用的URL来提取流量特征。
举例而言,此处以Discord为例。滥用Discord的恶意软件通常使用DiscordAPI的Webhook功能进行数据泄露。Webhook原本的功能是用来将通知或自动消息发送到指定的Discord服务器,该服务器通常与Github或DataDog等其它服务集成。Webhook本质上是客户端发送消息到一个URL,该URL最后将该消息发送到指定的信道,整个过程中都不需要Discord应用程序的参与。任何数据都可以发送到Webhook,最常见的例子就是数据泄露。例如,Discord的通信是基于HTTPS的,那么调用的正常的URL的格式可能为https[:]//discord.com/,而调用的异常的URL的格式可能为https[:]//discord.com/api/webhooks/<webhookid>。也就是说,如果URL的格式含有webhook则可以确定通信软件通信时的流量包存在异常。
然后,针对步骤102,终端设备将提取到的流量特征部署到流量检测设备的检测程序中,并将流量检测设备部署到预设的网段,持续检测该预设的网段中的每个流量包,对每个流量包进行分析。其中,分析的方式就是判断当前流量包中是否有异常的URL的格式,如果有则表明当前流量包异常,否则正常。
具体地,流量检测设备分析预设的网段中的每个数据包,如果当前数据包与步骤100提取的流量特征吻合,则截获当前流量包,并停止发送。
接着,针对步骤104,为了更好地触发上述方法的执行主体(例如终端设备)检测异常流量包所属的可疑进程是否存在威胁,可以考虑利用流量检测设备向终端设备反馈检测结果,即在确定为当前流量包异常时,流量检测设备向终端设备发送针对当前流量包的告警信息。而后,根据这个检测结果确定流量包所属的可疑进程是否存在威胁。
在一些实施方式中,步骤104具体可以包括如下步骤:
若异常,则接收由流量检测设备发来的告警信息;
若用户将告警信息确定为非法操作,则检测流量包所属的可疑进程是否存在威胁。
在本实施例中,在终端设备接收到由流量检测设备发来的告警信息后,用户可以确认该告警信息是否为非法操作,如果不是非法操作,则继续将当前流量包发送出去,以避免影响用户的正常使用;否则将检测流量包所属的可疑进程是否存在威胁。这种方式有利于辅助终端设备是否需要进一步检测流量包所属的可疑进程是否存在威胁。
进一步地,若用户将告警信息确定为合法操作,则确定该流量包所属的进程是可信进程,同时终端设备告知流量检测设备不再检测该进程发送的其它流量包,避免重复发出告警信息,以避免影响到用户的正常使用。
在一些应用场景中,如果某些恶意软件在用户常用的使用终端设备的时间段之外的时间运行,那么用户不能及时针对接收到的告警信息作出回应,这不利于后续的流量包的检测,即可能造成流量检测设备中流量包的拥堵。
为了解决上述技术问题,在一些实施方式中,步骤104具体可以包括如下步骤:
若异常,则接收由流量检测设备发来的告警信息;
若告警信息的响应时长超过预设时长,则检测流量包所属的可疑进程是否存在威胁。
在本实施例中,在终端设备接收到由流量检测设备发来的告警信息后,通过事先设置好的时长,在告警信息的响应时长超过预设时长时,则检测流量包所属的可疑进程是否存在威胁,否则继续等待确认。这种方式也有利于辅助终端设备是否需要进一步检测流量包所属的可疑进程是否存在威胁。当然,这个时长可以由用户根据自身需要来修改。
针对步骤104中的检测所述流量包所属的可疑进程是否存在威胁,在一些实施方式中,具体可以包括:
接收由流量检测设备发来的流量包的特征信息;其中,特征信息包括源IP地址、目的IP地址、源端口和目的端口;
基于特征信息,确定流量包所属的可疑进程;
检测确定出的可疑进程是否调用第一API函数;其中,第一API函数包括Gethostname函数和Bitblt函数。
在本实施例中,Gethostname函数的功能为获取计算机主机名,Bitblt函数的功能为从原设备中复制位图到目标设备,这两个API函数在被调用时,可以认为当前终端设备存在收集系统信息、收集浏览器信息、收集邮件信息、利用计算机外设收集音频和视频信息、屏幕截图、键盘记录等窃取数据的行为。因此,可以根据确定出的可疑进程是否调用第一API函数来确定可疑进程是否存在威胁。即,这种方式主要是确定终端设备中是否存在窃密木马。
需要说明的是,例如可以通过调用系统命令netstat–ano,将源IP地址、目的IP地址、源端口和目的端口作为输入,即可定位到可疑进程和该可疑进程的存储位置。
针对步骤104中的检测所述流量包所属的可疑进程是否存在威胁,在一些实施方式中,具体可以包括:
接收由流量检测设备发来的流量包的特征信息;其中,特征信息包括源IP地址、目的IP地址、源端口和目的端口;
基于特征信息,确定流量包所属的可疑进程;
在预设时长内,检测确定出的可疑进程调用第二API函数的次数是否超过预设次数;其中,第二API函数包括CreateFile函数和DeleteFile函数。
在本实施例中,CreateFile函数的功能为创建文件,DeleteFile函数的功能为删除文件,这两个API函数在被频繁调用时,可以认为当前终端设备存在批量修改文件后缀名、在桌面生成勒索信等勒索软件的常见行为。因此,可以根据确定出的可疑进程是否频繁调用第二API函数(即可疑进程在预设时长内调用第二API函数的次数)来确定可疑进程是否存在威胁。即,这种方式主要是确定终端设备中是否存在勒索软件。
最后,针对步骤106,结束存在威胁的可疑进程,有利于防止恶意软件继续执行窃取信息、加密文件等操作,保证用户信息不被泄露,个人财产不受侵犯,避免文件存在被加密的风险,大幅度提高终端设备的安全防护性能。
在一些实施方式中,在步骤106之后,上述方法还包括:
生成该可疑进程的检测报告;其中,检测报告包括与该可疑进程对应的文件名、所在路径和行为信息,行为信息是由该可疑进程调用的API函数确定的;
将生成的检测报告存储在预设的隔离区;
将存在威胁的可疑进程由该可疑进程的存储位置转移至预设的隔离区;其中,存储位置是基于特征信息确定的。
在本实施例中,根据检测到的进程行为生成检测报告,保存在用户指定文件夹下(即隔离区),用户可以根据该检测报告获取相关恶意软件的文件名、所在路径和行为信息(即窃密行为和勒索行为),及时删除保存在本地的恶意软件,避免重复运行可能造成的其它风险,进一步保障终端设备的安全。
如图2、图3所示,本发明实施例提供了一种通信软件安全防护的装置。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图2所示,为本发明实施例提供的一种通信软件安全防护的装置所在电子设备的一种硬件架构图,除了图2所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的电子设备通常还可以包括其它硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图3所示,作为一个逻辑意义上的装置,是通过其所在电子设备的CPU将非易失性存储器中对应的计算机程序读取到内存中运行形成的。
如图3所示,本实施例提供的一种通信软件安全防护的装置,包括:
提取模块300,用于提取通信软件在通信时的流量特征;
发送模块302,用于将提取到的流量特征发送给流量检测设备,流量检测设备检测预设网段内的流量包是否异常;若异常,则执行检测模块304;
检测模块304,用于检测流量包所属的可疑进程是否存在威胁;若存在威胁,则执行结束模块306;
结束模块306,用于结束存在威胁的可疑进程。
在本发明实施例中,提取模块300可用于执行上述方法实施例中的步骤100,发送模块302可用于执行上述方法实施例中的步骤102,检测模块304可用于执行上述方法实施例中的步骤104,结束模块306可用于执行上述方法实施例中的步骤106。
在本发明的一个实施例中,提取模块300,用于执行如下操作:
确定通信软件在通信时调用的URL;
根据确定出的URL提取通信软件在通信时的流量特征。
在本发明的一个实施例中,还包括:确定模块;
发送模块302在确定流量检测设备检测的结果为异常时,执行确定模块;
确定模块,用于接收由流量检测设备发来的告警信息;若用户将告警信息确定为非法操作,则执行检测模块304。
在本发明的一个实施例中,还包括:确定模块;
发送模块302在确定流量检测设备检测的结果为异常时,执行确定模块;
确定模块,用于接收由流量检测设备发来的告警信息;若告警信息的响应时长超过预设时长,则执行检测模块304。
在本发明的一个实施例中,检测模块304,用于执行如下操作:
接收由流量检测设备发来的流量包的特征信息;其中,特征信息包括源IP地址、目的IP地址、源端口和目的端口;
基于特征信息,确定流量包所属的可疑进程;
检测确定出的可疑进程是否调用第一API函数;其中,第一API函数包括Gethostname函数和Bitblt函数。
在本发明的一个实施例中,检测模块304,用于执行如下操作:
接收由流量检测设备发来的流量包的特征信息;其中,特征信息包括源IP地址、目的IP地址、源端口和目的端口;
基于特征信息,确定流量包所属的可疑进程;
在预设时长内,检测确定出的可疑进程调用第二API函数的次数是否超过预设次数;其中,第二API函数包括CreateFile函数和DeleteFile函数。
在本发明的一个实施例中,
上述装置,还包括:
生成模块,用于生成该可疑进程的检测报告;其中,检测报告包括与该可疑进程对应的文件名、所在路径和行为信息,行为信息是由该可疑进程调用的API函数确定的;
存储模块,用于将生成的检测报告存储在预设的隔离区;
转移模块,用于将存在威胁的可疑进程由该可疑进程的存储位置转移至预设的隔离区;其中,存储位置是基于特征信息确定的。
可以理解的是,本发明实施例示意的结构并不构成对一种通信软件安全防护的装置的具体限定。在本发明的另一些实施例中,一种通信软件安全防护的装置可以包括比图示更多或者更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
上述装置内的各模块之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
本发明实施例还提供了一种电子设备,包括存储器和处理器,存储器中存储有计算机程序,处理器执行计算机程序时,实现本发明任一实施例中的一种通信软件安全防护的方法。
本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序在被处理器执行时,使所述处理器执行本发明任一实施例中的一种通信软件安全防护的方法。
具体地,可以提供配有存储介质的系统或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
在这种情况下,从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上下载程序代码。
此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。
此外,可以理解的是,将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展模块上的CPU等来执行部分和全部实际操作,从而实现上述实施例中任一实施例的功能。
综上所述,本发明各个所述实施例所提供的通信软件安全防护的方法、装置、电子设备及存储介质,至少具有如下有益效果:
1、在本发明实施例中,上述技术方案不会因为终端设备上的安全软件与通信软件的信任关系,而不对攻击行为产生阻止或告警的操作,即利用流量检测设备根据提取到的流量特征对预设网段内的流量包进行异常检测,如果存在异常,则告知终端设备上的安全软件需要对终端设备上的流量包所属的可疑进程进行进一步检测,如果检测到存在威胁,则结束存在威胁的可疑进程,从而能够有效保证终端设备的用户信息不被泄露,提高了具有匿名信道的通信软件的安全防护能力。
2、在本发明实施例中,通过确定通信软件在通信时调用的URL的格式来提取流量特征,进而通过URL的格式来判断通信软件的通信是否存在异常。一般说来,通信软件在通信时的正常URL可能是协议、主机地址和具体地址的组成方式,而异常的URL则可能是协议、主机地址和API(例如Webhook)的组成方式,因此可以通过调用的URL来提取流量特征。
3、在本发明实施例中,在终端设备接收到由流量检测设备发来的告警信息后,用户可以确认该告警信息是否为非法操作,如果不是非法操作,则继续将当前流量包发送出去,以避免影响用户的正常使用;否则将检测流量包所属的可疑进程是否存在威胁。这种方式有利于辅助终端设备是否需要进一步检测流量包所属的可疑进程是否存在威胁。
4、在本发明实施例中,在终端设备接收到由流量检测设备发来的告警信息后,通过事先设置好的时长,在告警信息的响应时长超过预设时长时,则检测流量包所属的可疑进程是否存在威胁,否则继续等待确认。这种方式也有利于辅助终端设备是否需要进一步检测流量包所属的可疑进程是否存在威胁。
5、在本发明实施例中,Gethostname函数的功能为获取计算机主机名,Bitblt函数的功能为从原设备中复制位图到目标设备,这两个API函数在被调用时,可以认为当前终端设备存在收集系统信息、收集浏览器信息、收集邮件信息、利用计算机外设收集音频和视频信息、屏幕截图、键盘记录等窃取数据的行为。因此,可以根据确定出的可疑进程是否调用第一API函数来确定可疑进程是否存在威胁。即,这种方式主要是确定终端设备中是否存在窃密木马。
6、CreateFile函数的功能为创建文件,DeleteFile函数的功能为删除文件,这两个API函数在被频繁调用时,可以认为当前终端设备存在批量修改文件后缀名、在桌面生成勒索信等勒索软件的常见行为。因此,可以根据确定出的可疑进程是否频繁调用第二API函数(即可疑进程在预设时长内调用第二API函数的次数)来确定可疑进程是否存在威胁。即,这种方式主要是确定终端设备中是否存在勒索软件。
7、根据检测到的进程行为生成检测报告,保存在用户指定文件夹下(即隔离区),用户可以根据该检测报告获取相关恶意软件的文件名、所在路径和行为信息(即窃密行为和勒索行为),及时删除保存在本地的恶意软件,避免重复运行可能造成的其它风险,进一步保障终端设备的安全。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其它变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其它要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个…”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (9)
1.一种通信软件安全防护的方法,其特征在于,所述通信软件具有匿名信道,所述通信软件包括Discord和Telegram,所述方法包括:
提取所述通信软件在通信时的流量特征;
将提取到的流量特征发送给流量检测设备,所述流量检测设备检测预设网段内的流量包是否异常;
若异常,则检测所述流量包所属的可疑进程是否存在威胁;
若存在威胁,则结束存在威胁的可疑进程;
所述提取所述通信软件在通信时的流量特征,包括:
确定所述通信软件在通信时调用的URL;
根据确定出的URL的格式提取所述通信软件在通信时的流量特征;其中,异常的URL的格式包括协议、主机地址和API,在所述通信软件为Discord时,所述API为Webhook。
2.根据权利要求1所述的方法,其特征在于,所述若异常,则检测所述流量包所属的可疑进程是否存在威胁,包括:
若异常,则接收由所述流量检测设备发来的告警信息;
若用户将所述告警信息确定为非法操作,则检测所述流量包所属的可疑进程是否存在威胁。
3.根据权利要求1所述的方法,其特征在于,所述若异常,则检测所述流量包所属的可疑进程是否存在威胁,包括:
若异常,则接收由所述流量检测设备发来的告警信息;
若所述告警信息的响应时长超过预设时长,则检测所述流量包所属的可疑进程是否存在威胁。
4.根据权利要求1所述的方法,其特征在于,所述检测所述流量包所属的可疑进程是否存在威胁,包括:
接收由所述流量检测设备发来的所述流量包的特征信息;其中,所述特征信息包括源IP地址、目的IP地址、源端口和目的端口;
基于所述特征信息,确定所述流量包所属的可疑进程;
检测确定出的可疑进程是否调用第一API函数;其中,所述第一API函数包括Gethostname函数和Bitblt函数。
5.根据权利要求1所述的方法,其特征在于,所述检测所述流量包所属的可疑进程是否存在威胁,包括:
接收由所述流量检测设备发来的所述流量包的特征信息;其中,所述特征信息包括源IP地址、目的IP地址、源端口和目的端口;
基于所述特征信息,确定所述流量包所属的可疑进程;
在预设时长内,检测确定出的可疑进程调用第二API函数的次数是否超过预设次数;其中,所述第二API函数包括CreateFile函数和DeleteFile函数。
6.根据权利要求4或5所述的方法,其特征在于,
所述流量包结束存在威胁的可疑进程之后,还包括:
生成该可疑进程的检测报告;其中,所述检测报告包括与该可疑进程对应的文件名、所在路径和行为信息,所述行为信息是由该可疑进程调用的API函数确定的;
将生成的检测报告存储在预设的隔离区;
将存在威胁的可疑进程由该可疑进程的存储位置转移至所述隔离区;其中,所述存储位置是基于所述特征信息确定的。
7.一种通信软件安全防护的装置,其特征在于,所述通信软件具有匿名信道,所述通信软件包括Discord和Telegram,所述装置包括:
提取模块,用于提取所述通信软件在通信时的流量特征;
发送模块,用于将提取到的流量特征发送给流量检测设备,所述流量检测设备检测预设网段内的流量包是否异常;若异常,则执行检测模块;
所述检测模块,用于检测所述流量包所属的可疑进程是否存在威胁;若存在威胁,则执行结束模块;
所述结束模块,用于结束存在威胁的可疑进程;
所述提取模块,用于执行如下操作:
确定所述通信软件在通信时调用的URL;
根据确定出的URL的格式提取通信软件在通信时的流量特征;其中,异常的URL的格式包括协议、主机地址和API,在所述通信软件为Discord时,所述API为Webhook。
8.一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现如权利要求1-6中任一项所述的方法。
9.一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行权利要求1-6中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110752418.8A CN113452717B (zh) | 2021-07-02 | 2021-07-02 | 通信软件安全防护的方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110752418.8A CN113452717B (zh) | 2021-07-02 | 2021-07-02 | 通信软件安全防护的方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113452717A CN113452717A (zh) | 2021-09-28 |
| CN113452717B true CN113452717B (zh) | 2023-02-28 |
Family
ID=77814928
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110752418.8A Active CN113452717B (zh) | 2021-07-02 | 2021-07-02 | 通信软件安全防护的方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113452717B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114285618B (zh) * | 2021-12-20 | 2024-03-19 | 北京安天网络安全技术有限公司 | 一种网络威胁检测方法、装置、电子设备及可读存储介质 |
| CN114285617A (zh) * | 2021-12-20 | 2022-04-05 | 北京安天网络安全技术有限公司 | 一种网络威胁监测方法、装置、电子设备及可读存储介质 |
| CN118101342B (zh) * | 2024-04-23 | 2024-07-26 | 杭州默安科技有限公司 | 一种集群日志审计及攻击行为阻断方法及系统 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103067384B (zh) * | 2012-12-27 | 2016-12-28 | 华为技术有限公司 | 威胁处理方法及系统、联动客户端、安全设备及主机 |
| CN106656991B (zh) * | 2016-10-28 | 2019-05-07 | 上海百太信息科技有限公司 | 一种网络威胁检测系统及检测方法 |
| WO2019091028A1 (zh) * | 2017-11-10 | 2019-05-16 | 华为技术有限公司 | 应用软件恶意行为的动态告警方法和终端 |
| US20200082081A1 (en) * | 2018-09-12 | 2020-03-12 | Symantec Corporation | Systems and methods for threat and information protection through file classification |
| CN109347880A (zh) * | 2018-11-30 | 2019-02-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种安全防护方法、装置及系统 |
| EP3678348A1 (en) * | 2019-01-04 | 2020-07-08 | Ping Identity Corporation | Methods and systems for data traffic based adpative security |
| US11218473B2 (en) * | 2019-11-06 | 2022-01-04 | Capital One Services, Llc | Systems and methods for identifying suspicious logins |
| CN112291277B (zh) * | 2020-12-29 | 2021-05-25 | 腾讯科技(深圳)有限公司 | 一种恶意软件检测方法、装置、设备及存储介质 |
-
2021
- 2021-07-02 CN CN202110752418.8A patent/CN113452717B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN113452717A (zh) | 2021-09-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113452717B (zh) | 通信软件安全防护的方法、装置、电子设备及存储介质 | |
| US7945787B2 (en) | Method and system for detecting malware using a remote server | |
| US8443439B2 (en) | Method and system for mobile network security, related network and computer program product | |
| US9560059B1 (en) | System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection | |
| JP5497060B2 (ja) | 好ましくないソフトウェアまたは悪意のあるソフトウェアを分類するシステムおよび方法 | |
| US9317701B2 (en) | Security methods and systems | |
| US8819835B2 (en) | Silent-mode signature testing in anti-malware processing | |
| US8510839B2 (en) | Detecting malware carried by an E-mail message | |
| US8225394B2 (en) | Method and system for detecting malware using a secure operating system mode | |
| US20060230452A1 (en) | Tagging obtained content for white and black listing | |
| US20100154061A1 (en) | System and method for identifying malicious activities through non-logged-in host usage | |
| JP2010026662A (ja) | 情報漏洩防止システム | |
| US11509691B2 (en) | Protecting from directory enumeration using honeypot pages within a network directory | |
| JP2018074570A (ja) | 疑わしい電子メッセージを検出する技術 | |
| BalaGanesh et al. | Smart devices threats, vulnerabilities and malware detection approaches: a survey | |
| US9069964B2 (en) | Identification of malicious activities through non-logged-in host usage | |
| CN109145602B (zh) | 一种勒索软件攻击的防护方法及装置 | |
| US20060222013A1 (en) | Systems, methods, and media for improving security of a packet-switched network | |
| JP2002259187A (ja) | 異常ファイル検出および除去を目的とした着脱可能ファイル監視システム | |
| CN115603985A (zh) | 入侵检测方法及电子设备、存储介质 | |
| CN115086068A (zh) | 一种网络入侵检测方法和装置 | |
| CN113672925A (zh) | 阻止勒索软件攻击的方法、装置、存储介质及电子设备 | |
| WO2015178002A1 (ja) | 情報処理装置、情報処理システム及び通信履歴解析方法 | |
| CN115022086B (zh) | 网络安全防御方法、装置、电子设备及存储介质 | |
| CN115426192A (zh) | 网络安全防御的方法、装置、自助终端设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |