CN113726826A - 一种威胁情报生成方法及装置 - Google Patents
一种威胁情报生成方法及装置 Download PDFInfo
- Publication number
- CN113726826A CN113726826A CN202111297033.3A CN202111297033A CN113726826A CN 113726826 A CN113726826 A CN 113726826A CN 202111297033 A CN202111297033 A CN 202111297033A CN 113726826 A CN113726826 A CN 113726826A
- Authority
- CN
- China
- Prior art keywords
- fingerprint
- malicious
- protocol
- domain name
- sample
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
一种威胁情报生成方法及装置,涉及网络安全技术领域,该威胁情报生成方法包括:先获取预收集的样本文件和候选协议指纹白名单;然后根据样本文件构建恶意指纹情报库;再对样本文件进行分析,得到与恶意指纹情报库相匹配的域名地址集合;进一步地,扫描域名地址集合得到与域名地址集合对应的协议指纹数据集合;再根据协议指纹数据集合和候选协议指纹白名单确定综合协议指纹库;最后将恶意指纹情报库、域名地址集合以及综合协议指纹库进行对应关联,得到威胁情报库,能够生成生产范围更广和更准确的威胁情报,有利于丰富和提高威胁检测和分析能力。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种威胁情报生成方法及装置。
背景技术
威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。现有的威胁情报生成方法,通常是先通过静态解析木马配置进行威胁情报生产,依托于人的持续逆向分析,成本高,产出低。在实际应用中,当木马经过加壳等对抗处理时,通过现有方法可能无法通过静态进行提取,导致实际提取的覆盖面较窄,威胁情报覆盖范围小、存在误报漏报问题,从而降低了威胁检测和分析能力。
发明内容
本申请实施例的目的在于提供一种威胁情报生成方法及装置,能够生成生产范围更广和更准确的威胁情报,有利于丰富和提高威胁检测和分析能力。
本申请实施例第一方面提供了一种威胁情报生成方法,包括:
获取预收集的样本文件和候选协议指纹白名单;
根据所述样本文件构建恶意指纹情报库;
对所述样本文件进行分析,得到与所述恶意指纹情报库相匹配的域名地址集合;
扫描所述域名地址集合得到与所述域名地址集合对应的协议指纹数据集合;
根据所述协议指纹数据集合和所述候选协议指纹白名单确定综合协议指纹库;
将所述恶意指纹情报库、所述域名地址集合以及所述综合协议指纹库进行对应关联,得到威胁情报库。
在上述实现过程中,先获取预收集的样本文件和候选协议指纹白名单;然后根据样本文件构建恶意指纹情报库;再对样本文件进行分析,得到与恶意指纹情报库相匹配的域名地址集合;进一步地,扫描域名地址集合得到与域名地址集合对应的协议指纹数据集合;再根据协议指纹数据集合和候选协议指纹白名单确定综合协议指纹库;最后将恶意指纹情报库、域名地址集合以及综合协议指纹库进行对应关联,得到威胁情报库,能够生成生产范围更广和更准确的威胁情报,有利于丰富和提高威胁检测和分析能力。
进一步地,所述获取预收集的样本文件和候选协议指纹白名单,包括:
获取原始恶意样本数据、常见应用程序数据以及主流网站域名数据;
对所述原始恶意样本数据进行分析检测,得到恶意样本,以及对所述常见应用程序数据进行预处理,得到白样本;
汇总所述恶意样本和所述白样本,得到样本文件;
扫描所述主流网站域名数据得到候选协议指纹白名单。
进一步地,所述根据所述样本文件构建恶意指纹情报库,包括:
通过预先部署的沙箱运行白样本得到指纹白名单;其中,所述样本文件包括恶意样本和所述白样本;
通过所述沙箱运行所述恶意样本得到恶意指纹名单;
将所述指纹白名单和所述恶意指纹名单进行比对,确定所述恶意指纹名单中与所述指纹白名单相匹配的目标指纹;
将所述恶意指纹名单中的所述目标指纹进行过滤处理,得到恶意指纹情报库。
进一步地,所述对所述样本文件进行分析,得到与所述恶意指纹情报库相匹配的域名地址集合,包括:
判断是否获取到新的恶意样本;
如果否,提取与所述恶意指纹情报库中每个恶意指纹对应的通信域名地址,得到域名地址集合;
如果是,则通过预先部署的沙箱运行所述新的恶意样本,得到新增恶意指纹;
根据所述新增恶意指纹对所述恶意指纹情报库进行更新,得到更新的恶意指纹情报库;
提取所述更新的恶意指纹情报库中每个恶意指纹对应的通信域名地址,得到域名地址集合。
在上述实现过程中,通过新的恶意样本,能够自动并持续对域名地址集合和恶意指纹情报库进行更新,从而能够对威胁情报库进行更新。
进一步地,所述根据所述协议指纹数据集合和所述候选协议指纹白名单确定综合协议指纹库,包括:
将所述协议指纹数据集合和所述候选协议指纹白名单进行匹配比较,获取可疑协议指纹集合、恶意协议指纹集合以及白协议指纹集合;其中,所述可疑协议指纹集合包括所述协议指纹数据集合中与所述候选协议指纹白名单相匹配的协议指纹,所述恶意协议指纹集合包括所述协议指纹数据集合中与所述候选协议指纹白名单不相匹配的协议指纹,所述白协议指纹集合包括所述候选协议指纹白名单中与所述协议指纹数据集合不相匹配的协议指纹;
根据所述可疑协议指纹集合以及所述恶意协议指纹集合以及白协议指纹集合,构建综合协议指纹库。
进一步地,所述方法还包括:
判断是否接收到全网扫描的域名地址数据;
如果是,根据所述全网扫描的域名地址数据获取扫描协议指纹;
根据所述综合协议指纹库判断所述扫描协议指纹是否为恶意的协议指纹;
如果是,则获取所述扫描协议指纹对应的扫描通信域名地址;
根据所述扫描通信域名地址对所述威胁情报库进行更新。
本申请实施例第二方面提供了一种威胁情报生成装置,所述威胁情报生成装置包括:
获取单元,用于获取预收集的样本文件和候选协议指纹白名单;
构建单元,用于根据所述样本文件构建恶意指纹情报库;
分析单元,用于对所述样本文件进行分析,得到与所述恶意指纹情报库相匹配的域名地址集合;
扫描单元,用于扫描所述域名地址集合得到与所述域名地址集合对应的协议指纹数据集合;
确定单元,用于根据所述协议指纹数据集合和所述候选协议指纹白名单确定综合协议指纹库;
关联单元,用于将所述恶意指纹情报库、所述域名地址集合以及所述综合协议指纹库进行对应关联,得到威胁情报库。
在上述实现过程中,获取单元先获取预收集的样本文件和候选协议指纹白名单;然后构建单元根据样本文件构建恶意指纹情报库;分析单元再对样本文件进行分析,得到与恶意指纹情报库相匹配的域名地址集合;进一步地,扫描单元扫描域名地址集合得到与域名地址集合对应的协议指纹数据集合;确定单元再根据协议指纹数据集合和候选协议指纹白名单确定综合协议指纹库;最后关联单元将恶意指纹情报库、域名地址集合以及综合协议指纹库进行对应关联,得到威胁情报库,能够生成生产范围更广和更准确的威胁情报,有利于丰富和提高威胁检测和分析能力。
进一步地,所述获取单元包括:
获取子单元,用于获取原始恶意样本数据、常见应用程序数据以及主流网站域名数据;
预处理子单元,用于对所述原始恶意样本数据进行分析检测,得到恶意样本,以及对所述常见应用程序数据进行预处理,得到白样本;
汇总子单元,用于汇总所述恶意样本和所述白样本,得到样本文件;
扫描子单元,用于扫描所述主流网站域名数据得到候选协议指纹白名单。
本申请实施例第三方面提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例第一方面中任一项所述的威胁情报生成方法。
本申请实施例第四方面提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例第一方面中任一项所述的威胁情报生成方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种威胁情报生成方法的流程示意图;
图2为本申请实施例提供的另一种威胁情报生成方法的流程示意图;
图3为本申请实施例提供的一种威胁情报生成装置的结构示意图;
图4为本申请实施例提供的另一种威胁情报生成装置的结构示意图;
图5为本申请实施例提供的一种获取恶意样本的Domain、IP、JA3指纹以及JA3S指纹的流程示意图;
图6为本申请实施例提供的一种对域名地址集合进行主动扫描的示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
实施例1
请参看图1,图1为本申请实施例提供了一种威胁情报生成方法的流程示意图。其中,该威胁情报生成方法包括:
S101、获取预收集的样本文件和候选协议指纹白名单。
本申请实施例中,该方法的执行主体可以为威胁情报生成装置,具体的,该威胁情报生成装置可以运行于计算机、服务器等计算装置上,对此本实施例中不作任何限定。
在本申请实施例中,该威胁情报生成装置还可以运行于智能手机、平板电脑等智能设备上,对此本实施例中不作任何限定。
本申请实施例中,预收集的样本文件包括恶意样本和白样本,其中,恶意样本具体可以为后门、远程访问木马、间谍软件等恶意程序样本等,白样本可以为不具有网络威胁的程序样本等,对此本申请实施例不作限定。
本申请实施例中,候选协议指纹白名单具体可以为候选JARM指纹白名单。
本申请实施例中,JARM指纹为主动式TLS服务器指纹。JARM通过主动向TLS服务器发送10个专门设计的TLS Client Hello包,以获取服务器端对应的特殊TLS ServerHello,用以生成TLS Server指纹。其核心原理是TLS Server Hello受TLS Client Hello影响,TLS Server Hello则受应用程序或服务器构建的影响,具体包含操作系统、操作系统版本、适用的库、库的版本、调用库的顺序、自定义配置等的影响。
在步骤S101之后,还包括以下步骤:
S102、根据样本文件构建恶意指纹情报库。
本申请实施例中,恶意指纹情报库至少包括恶意JA3指纹和恶意JA3S指纹等,对此本申请实施例不作限定。
本申请实施例中,JA3 指纹和 JA3S 指纹是根据 ClientHello 和 ServerHello消息中的特定属性生成的。ClientHello 是发送到服务器以初始化与服务器通信的第一条消息。ServerHello 消息是服务器对客户端消息的响应。
S103、对样本文件进行分析,得到与恶意指纹情报库相匹配的域名地址集合。
本申请实施例中,可以根据恶意指纹情报库中的恶意JA3指纹和恶意JA3S指纹,获取与恶意JA3指纹对应的客户端域名地址,以及与恶意JA3S指纹对应的服务端域名地址。其中,恶意指纹情报库中的恶意指纹与域名地址集合中的域名地址一一对应。
本申请实施例中,域名地址集合包括Domain(域名)和/或IP地址,对此本申请实施例不作限定。
本申请实施例中,客户端域名地址具体可以为客户端Domain和/或IP地址,服务端域名地址具体可以为服务端Domain和/或IP地址,对此本申请实施例不作限定。
本申请实施例中,IP表示IP地址,即Internet Protocol Address,是指互联网协议地址,又译为网际协议地址。IP地址是IP协议提供的一种统一的地址格式,它为互联网上的每一个网络和每一台主机分配一个逻辑地址,以此来屏蔽物理地址的差异。
S104、扫描域名地址集合得到与域名地址集合对应的协议指纹数据集合。
本申请实施例中,协议指纹数据集合具体可以为JARM指纹数据集合。通过对域名地址集合中每个域名地址进行扫描,可以得到每个域名地址对应的JARM指纹,总而得到JARM指纹数据集合。具体的,JARM指纹数据集合包括与每个客户端Domain和IP对应的JARM指纹以及与每个服务端的Domain和IP对应的JARM指纹。其中,域名地址集合中的每个域名地址与协议指纹数据集合中的每个协议指纹一一对应。
S105、根据协议指纹数据集合和候选协议指纹白名单确定综合协议指纹库。
本申请实施例中,综合协议指纹具体可以为综合JARM指纹库。该综合协议指纹库可以包括可疑协议指纹集合、恶意协议指纹集合以及白协议指纹集合等,对此本申请实施例不作限定。
S106、将恶意指纹情报库、域名地址集合以及综合协议指纹库进行对应关联,得到威胁情报库。
本申请实施例中,该威胁情报生产方法,生产的威胁情报库包含Domain、IP、JA3指纹、JA3S指纹以及JARM指纹等,拓宽了威胁情报的范围,提高了威胁情报的生产效率,能自动并持续生产JA3、JA3S和JARM,以及Domain和IP情报。通过生产范围更广和更准确的威胁情报直接提高了防守方的威胁发现和检测能力。
可见,实施本实施例所描述的威胁情报生成方法,能够生成生产范围更广和更准确的威胁情报,有利于丰富和提高威胁检测和分析能力。
实施例2
请参看图2,图2为本申请实施例提供的另一种威胁情报生成方法的流程示意图。如图2所示,其中,该威胁情报生成方法包括:
S201、获取原始恶意样本数据、常见应用程序数据以及主流网站域名数据。
本申请实施例中,可以收集主流木马家族样本等得到原始恶意样本数据。也可以通过文件检测模块对样本进行检测得到原始恶意样本数据。
S202、对原始恶意样本数据进行分析检测,得到恶意样本,以及对常见应用程序数据进行预处理,得到白样本。
本申请实施例中,可以通过文件检测模块对原始恶意样本数据进行分析检测,得到恶意样本。
S203、汇总恶意样本和白样本,得到样本文件。
在步骤S203之后,还包括以下步骤:
S204、扫描主流网站域名数据得到候选协议指纹白名单。
本申请实施例中,主流网站域名数据具体可以为主流网站的网站域名数据。举例来说,在实际使用中,可以扫描Alexa排名前10万网站域名作为主流网站域名数据。
本申请实施例中,候选协议指纹白名单具体可以为候选JARM指纹白名单。
本申请实施例中,实施上述步骤S201~步骤S204,能够获取预收集的样本文件和候选协议指纹白名单。
S205、通过预先部署的沙箱运行白样本得到指纹白名单;其中,样本文件包括恶意样本和白样本。
本申请实施例中,收集常见应用程序作为白样本,沙箱运行白样本,获得指纹白名单,具体的,该指纹白名单可以为JA3指纹和JA3S指纹白名单。
在步骤S205之后,还包括以下步骤:
S206、通过沙箱运行恶意样本得到恶意指纹名单。
本申请实施例中,沙箱运行恶意样本,通过监控和分析模块捕获恶意程序和控制服务器的TLS通信流量,提取恶意样本运行时和控制服务器通信时向控制服务器发送的TLSClient Hello包中的详细信息,基于特定算法生产恶意样本的JA3指纹;并提取控制服务器返回的TLS Server Hello包中的详细信息生产恶意样本的JA3S指纹。
本申请实施例中,恶意指纹名单包括恶意样本的JA3指纹和恶意样本的JA3S指纹。
S207、将指纹白名单和恶意指纹名单进行比对,确定恶意指纹名单中与指纹白名单相匹配的目标指纹。
本申请实施例中,综合比对恶意指纹名单和指纹白名单,判断恶意指纹名单中的指纹是否出现在指纹白名单中,如果出现,则确定该恶意指纹名单中的指纹与指纹白名单匹配,如果未出现,则确定该恶意指纹名单中的指纹与指纹白名单不匹配。
在步骤S207之后,还包括以下步骤:
S208、将恶意指纹名单中的目标指纹进行过滤处理,得到恶意指纹情报库。
本申请实施例中,比对恶意指纹名单与指纹白名单,得到目标指纹,然后将恶意指纹名单中的目标指纹剔除,得到的就是用于威胁情报检测的恶意指纹情报库,具体包含JA3指纹和JA3S指纹。
本申请实施例中,实施上述步骤S205~步骤S208,能够根据样本文件构建恶意指纹情报库。
S209、对样本文件进行分析,得到与恶意指纹情报库相匹配的域名地址集合。
作为一种可选的实施方式,对样本文件进行分析,得到与恶意指纹情报库相匹配的域名地址集合,包括:
判断是否获取到新的恶意样本;
如果否,提取与恶意指纹情报库中每个恶意指纹对应的通信域名地址,得到域名地址集合;
如果是,则通过预先部署的沙箱运行新的恶意样本,得到新增恶意指纹;
根据新增恶意指纹对恶意指纹情报库进行更新,得到更新的恶意指纹情报库;
提取更新的恶意指纹情报库中每个恶意指纹对应的通信域名地址,得到域名地址集合。
本申请实施例中,沙箱运行新的恶意样本,如使用TLS通信,同样提取新的恶意样本的JA3和JA3S指纹。先根据新的恶意样本的JA3和JA3S指纹对恶意指纹情报库进行更新,然后再进一步更新上述域名地址集合,例如新样本的JA3和JA3S和库中恶意指纹匹配,但对应通信Domain和/或IP不在恶意指纹情报库中,则可将Domain和/或IP作为库中恶意指纹的关联情报入库。同理可提取新的指纹情报,自动并持续生产威胁情报。
在实际应用中,当新样本的JA3和JA3S与恶意指纹情报库相匹配,且新样本的JA3和JA3S对应通信Domain和/或IP不在域名地址集合中时,则先将该通信Domain和/或IP与新样本的JA3和JA3S进行关联,然后将关联后的通信Domain和/或IP添加至域名地址集合中进行更新,从而根据更新后的域名地址集合实现威胁情报库的持续更新。
同理,当新样本的JA3和JA3S与恶意指纹情报库不相匹配,且新样本的JA3和JA3S对应通信Domain和/或IP在域名地址集合中时,则先将该新样本的JA3和JA3S与其通信Domain和/或IP进行关联,然后将关联后的新样本的JA3和JA3S添加至恶意指纹情报库中进行更新,从而根据更新后的恶意指纹情报库实现威胁情报库的持续更新。
S210、扫描域名地址集合得到与域名地址集合对应的协议指纹数据集合。
S211、将协议指纹数据集合和候选协议指纹白名单进行匹配比较,获取可疑协议指纹集合、恶意协议指纹集合以及白协议指纹集合。
本申请实施例中,可疑协议指纹集合包括协议指纹数据集合中与候选协议指纹白名单相匹配的协议指纹,恶意协议指纹集合包括协议指纹数据集合中与候选协议指纹白名单不相匹配的协议指纹,白协议指纹集合包括候选协议指纹白名单中与协议指纹数据集合不相匹配的协议指纹。
本申请实施例中,可疑协议指纹集合具体可以为可疑JARM指纹集合,恶意协议指纹集合具体可以为恶意JARM指纹集合,白协议指纹集合具体可以为白JARM指纹集合。
本申请实施例中,协议指纹具体可以为JARM指纹。
本申请实施例中,协议指纹数据集合与候选协议指纹白名单进行比较,实际上为两个集合的比较,假设协议指纹数据集合为A,候选协议指纹白名单为B,则可疑协议指纹集合C=A∩B;恶意协议指纹集合D=A-B;白协议指纹集合E=B-A。
S212、根据可疑协议指纹集合以及恶意协议指纹集合以及白协议指纹集合,构建综合协议指纹库。
本申请实施例中,实施上述步骤S211~步骤S212,能够根据协议指纹数据集合和候选协议指纹白名单确定综合协议指纹库。
在步骤S212之后,还包括以下步骤:
S213、将恶意指纹情报库、域名地址集合以及综合协议指纹库进行对应关联,得到威胁情报库。
本申请实施例中,生产的威胁情报库包含Domain、IP、JA3指纹、JA3S指纹、JARM指纹,拓宽了威胁情报的范围,提高了威胁情报的生产效率,直接提高了防守方的威胁发现和检测能力。
作为一种可选的实施方式,在得到威胁情报库之后,还可以包括以下步骤:
判断是否接收到全网扫描的域名地址数据;
如果是,根据全网扫描的域名地址数据获取扫描协议指纹;
根据综合协议指纹库判断扫描协议指纹是否为恶意的协议指纹;
如果是,则获取扫描协议指纹对应的扫描通信域名地址;
根据扫描通信域名地址对威胁情报库进行更新。
在上述实施方式中,通信地址扫描数据具体可以为IP扫描数据、域名和IP地址数据等。扫描协议指纹具体可以为新增JARM指纹。恶意的协议指纹具体可以为恶意的JARM指纹。
在上述实施方式中,进行全网或针对性扫描,可以获取全网扫描的域名地址数据,根据该域名地址数据可以确定相应的待鉴定JARM指纹,然后将待鉴定JARM指纹和综合协议指纹库进行比对,如果待鉴定JARM指纹为恶意JARM指纹,则可以根据待鉴定JARM指纹对应的扫描通信域名地址对威胁情报库进行更新。
在上述实施方式中,通过主动扫描测绘,可以在攻击者尚未将新配置的恶意服务器用于真实攻击时就被作为威胁情报识别出来,可化被动为主动,使得防守方可以掌握一定的主动性。防守方通过及时封堵攻击者网络资产,降低防守方的安全威胁,提高安全性。
请一并参阅图5和图6,图5是本申请实施例提供的一种获取恶意样本的Domain、IP、JA3指纹以及JA3S指纹的流程示意图,图6是本申请实施例提供的一种对域名地址集合进行主动扫描的示意图。如图5所示,能够基于沙箱自动生产恶意软件加密流量指纹和控制端指纹,并能够基于加密流量指纹和主动测绘进行威胁情报生产,同时,能够基于沙箱自动运行预收集的木马文件,通过监控和分析模块获得木马客户端TLS指纹JA3和服务器端指纹JA3S。同时通过流量分析模块,提取出客户端与服务器端通信时的Domain和IP。然后利用沙箱持续分析样本文件,提取并持续丰富JA3和JA3S指纹库,同时根据恶意指纹库提取对应通信的Domain和IP,经分析将之转化为威胁情报。并判断恶意Domain和/或IP对应服务器是否使用TLS,如使用则进行扫描得到JARM指纹,作为JARM黑名单。
如图6所示,第一步先扫描恶意程序通信的Domain和/或IP,得到对应JARM指纹,第二步,全网扫描Alexa前10万网站域名的JARM指纹,作为JARM白名单,第三步,全网扫描或针对性扫描,得到待鉴别Domain和/或IP的JARM指纹,第四步,将待鉴别Domain和/或IP的JARM指纹与木马家族和白名单进行比较,如与恶意程序的相同,则可以将对应Domain和/或IP入库作为威胁情报,最后存储恶意程序、JA3、JA3S、JARM、Domain、IP之间的关联关系,作为威胁情报的上下文。
可见,实施本实施例所描述的威胁情报生成方法,能够生成生产范围更广和更准确的威胁情报,有利于丰富和提高威胁检测和分析能力。
实施例3
请参看图3,图3为本申请实施例提供的一种威胁情报生成装置的结构示意图。如图3所示,该威胁情报生成装置包括:
获取单元310,用于获取预收集的样本文件和候选协议指纹白名单;
构建单元320,用于根据样本文件构建恶意指纹情报库;
分析单元330,用于对样本文件进行分析,得到与恶意指纹情报库相匹配的域名地址集合;
扫描单元340,用于扫描域名地址集合得到与域名地址集合对应的协议指纹数据集合;
确定单元350,用于根据协议指纹数据集合和候选协议指纹白名单确定综合协议指纹库;
关联单元360,用于将恶意指纹情报库、域名地址集合以及综合协议指纹库进行对应关联,得到威胁情报库。
本申请实施例中,该方法能自动并持续生产JA3、JA3S和JARM,以及传统的Domain和IP情报。通过生产范围更广和更准确的威胁情报,丰富和提高了威胁检测和分析能力。
本申请实施例中,对于威胁情报生成装置的解释说明可以参照实施例1或实施例2中的描述,对此本实施例中不再多加赘述。
可见,实施本实施例所描述的威胁情报生成装置,能够生成生产范围更广和更准确的威胁情报,有利于丰富和提高威胁检测和分析能力。
实施例4
请一并参阅图4,图4是本申请实施例提供的另一种威胁情报生成装置的结构示意图。其中,图4所示的威胁情报生成装置是由图3所示的威胁情报生成装置进行优化得到的。如图4所示,获取单元310包括:
获取子单元311,用于获取原始恶意样本数据、常见应用程序数据以及主流网站域名数据;
预处理子单元312,用于对原始恶意样本数据进行分析检测,得到恶意样本,以及对常见应用程序数据进行预处理,得到白样本;
汇总子单元313,用于汇总恶意样本和白样本,得到样本文件;
扫描子单元314,用于扫描主流网站域名数据得到候选协议指纹白名单。
作为一种可选的实施方式,构建单元320包括:
第一运行子单元321,用于通过预先部署的沙箱运行白样本得到指纹白名单;以及通过沙箱运行恶意样本得到恶意指纹名单;其中,样本文件包括恶意样本和白样本;
比对子单元322,用于将指纹白名单和恶意指纹名单进行比对,确定恶意指纹名单中与指纹白名单相匹配的目标指纹;
过滤子单元323,用于将恶意指纹名单中的目标指纹进行过滤处理,得到恶意指纹情报库。
作为一种可选的实施方式,分析单元330包括:
判断子单元331,用于判断是否获取到新的恶意样本;
提取子单元332,用于当判断出未获取到新的恶意样本时,提取与恶意指纹情报库中每个恶意指纹对应的通信域名地址,得到域名地址集合;
第二运行子单元333,用于当判断出获取到新的恶意样本时,则通过预先部署的沙箱运行新的恶意样本,得到新增恶意指纹;
更新子单元334,用于根据新增恶意指纹对恶意指纹情报库进行更新,得到更新的恶意指纹情报库;
提取子单元332,还用于提取更新的恶意指纹情报库中每个恶意指纹对应的通信域名地址,得到域名地址集合。
作为一种可选的实施方式,确定单元350包括:
匹配比较子单元351,用于将协议指纹数据集合和候选协议指纹白名单进行匹配比较,获取可疑协议指纹集合、恶意协议指纹集合以及白协议指纹集合;其中,可疑协议指纹集合包括协议指纹数据集合中与候选协议指纹白名单相匹配的协议指纹,恶意协议指纹集合包括协议指纹数据集合中与候选协议指纹白名单不相匹配的协议指纹,白协议指纹集合包括候选协议指纹白名单中与协议指纹数据集合不相匹配的协议指纹;
构建子单元352,用于根据可疑协议指纹集合以及恶意协议指纹集合以及白协议指纹集合,构建综合协议指纹库。
作为一种可选的实施方式,威胁情报生成装置还包括:
判断单元370,用于判断是否接收到全网扫描的域名地址数据;
指纹获取单元380,用于当判断出接收到全网扫描的域名地址数据,根据全网扫描的域名地址数据获取扫描协议指纹;
判断单元370,还用于根据综合协议指纹库判断扫描协议指纹是否为恶意的协议指纹;
指纹获取单元380,还用于当判断出扫描协议指纹是恶意的协议指纹时,则获取扫描协议指纹对应的扫描通信域名地址;
更新单元390,用于根据扫描通信域名地址对威胁情报库进行更新。
本申请实施例中,对于威胁情报生成装置的解释说明可以参照实施例1或实施例2中的描述,对此本实施例中不再多加赘述。
可见,实施本实施例所描述的威胁情报生成装置,能够生成生产范围更广和更准确的威胁情报,有利于丰富和提高威胁检测和分析能力。
本申请实施例提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例1或实施例2中任一项威胁情报生成方法。
本申请实施例提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例1或实施例2中任一项威胁情报生成方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种威胁情报生成方法,其特征在于,包括:
获取预收集的样本文件和候选协议指纹白名单;
根据所述样本文件构建恶意指纹情报库;
对所述样本文件进行分析,得到与所述恶意指纹情报库相匹配的域名地址集合;
扫描所述域名地址集合得到与所述域名地址集合对应的协议指纹数据集合;
根据所述协议指纹数据集合和所述候选协议指纹白名单确定综合协议指纹库;
将所述恶意指纹情报库、所述域名地址集合以及所述综合协议指纹库进行对应关联,得到威胁情报库。
2.根据权利要求1所述的威胁情报生成方法,其特征在于,所述获取预收集的样本文件和候选协议指纹白名单,包括:
获取原始恶意样本数据、常见应用程序数据以及主流网站域名数据;
对所述原始恶意样本数据进行分析检测,得到恶意样本,以及对所述常见应用程序数据进行预处理,得到白样本;
汇总所述恶意样本和所述白样本,得到样本文件;
扫描所述主流网站域名数据得到候选协议指纹白名单。
3.根据权利要求1所述的威胁情报生成方法,其特征在于,所述根据所述样本文件构建恶意指纹情报库,包括:
通过预先部署的沙箱运行白样本得到指纹白名单;其中,所述样本文件包括恶意样本和所述白样本;
通过所述沙箱运行所述恶意样本得到恶意指纹名单;
将所述指纹白名单和所述恶意指纹名单进行比对,确定所述恶意指纹名单中与所述指纹白名单相匹配的目标指纹;
将所述恶意指纹名单中的所述目标指纹进行过滤处理,得到恶意指纹情报库。
4.根据权利要求1所述的威胁情报生成方法,其特征在于,所述对所述样本文件进行分析,得到与所述恶意指纹情报库相匹配的域名地址集合,包括:
判断是否获取到新的恶意样本;
如果否,提取与所述恶意指纹情报库中每个恶意指纹对应的通信域名地址,得到域名地址集合;
如果是,则通过预先部署的沙箱运行所述新的恶意样本,得到新增恶意指纹;
根据所述新增恶意指纹对所述恶意指纹情报库进行更新,得到更新的恶意指纹情报库;
提取所述更新的恶意指纹情报库中每个恶意指纹对应的通信域名地址,得到域名地址集合。
5.根据权利要求1所述的威胁情报生成方法,其特征在于,所述根据所述协议指纹数据集合和所述候选协议指纹白名单确定综合协议指纹库,包括:
将所述协议指纹数据集合和所述候选协议指纹白名单进行匹配比较,获取可疑协议指纹集合、恶意协议指纹集合以及白协议指纹集合;其中,所述可疑协议指纹集合包括所述协议指纹数据集合中与所述候选协议指纹白名单相匹配的协议指纹,所述恶意协议指纹集合包括所述协议指纹数据集合中与所述候选协议指纹白名单不相匹配的协议指纹,所述白协议指纹集合包括所述候选协议指纹白名单中与所述协议指纹数据集合不相匹配的协议指纹;
根据所述可疑协议指纹集合以及所述恶意协议指纹集合以及白协议指纹集合,构建综合协议指纹库。
6.根据权利要求1所述的威胁情报生成方法,其特征在于,所述方法还包括:
判断是否接收到全网扫描的域名地址数据;
如果是,根据所述全网扫描的域名地址数据获取扫描协议指纹;
根据所述综合协议指纹库判断所述扫描协议指纹是否为恶意的协议指纹;
如果是,则获取所述扫描协议指纹对应的扫描通信域名地址;
根据所述扫描通信域名地址对所述威胁情报库进行更新。
7.一种威胁情报生成装置,其特征在于,所述威胁情报生成装置包括:
获取单元,用于获取预收集的样本文件和候选协议指纹白名单;
构建单元,用于根据所述样本文件构建恶意指纹情报库;
分析单元,用于对所述样本文件进行分析,得到与所述恶意指纹情报库相匹配的域名地址集合;
扫描单元,用于扫描所述域名地址集合得到与所述域名地址集合对应的协议指纹数据集合;
确定单元,用于根据所述协议指纹数据集合和所述候选协议指纹白名单确定综合协议指纹库;
关联单元,用于将所述恶意指纹情报库、所述域名地址集合以及所述综合协议指纹库进行对应关联,得到威胁情报库。
8.根据权利要求7所述的威胁情报生成装置,其特征在于,所述获取单元包括:
获取子单元,用于获取原始恶意样本数据、常见应用程序数据以及主流网站域名数据;
预处理子单元,用于对所述原始恶意样本数据进行分析检测,得到恶意样本,以及对所述常见应用程序数据进行预处理,得到白样本;
汇总子单元,用于汇总所述恶意样本和所述白样本,得到样本文件;
扫描子单元,用于扫描所述主流网站域名数据得到候选协议指纹白名单。
9.一种电子设备,其特征在于,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行权利要求1至6中任一项所述的威胁情报生成方法。
10.一种可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行权利要求1至6任一项所述的威胁情报生成方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111297033.3A CN113726826B (zh) | 2021-11-04 | 2021-11-04 | 一种威胁情报生成方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111297033.3A CN113726826B (zh) | 2021-11-04 | 2021-11-04 | 一种威胁情报生成方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113726826A true CN113726826A (zh) | 2021-11-30 |
| CN113726826B CN113726826B (zh) | 2022-06-17 |
Family
ID=78686645
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111297033.3A Active CN113726826B (zh) | 2021-11-04 | 2021-11-04 | 一种威胁情报生成方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113726826B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114301696A (zh) * | 2021-12-30 | 2022-04-08 | 北京天融信网络安全技术有限公司 | 恶意域名检测方法、装置、计算机设备及存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140007238A1 (en) * | 2012-06-29 | 2014-01-02 | Vigilant Inc. | Collective Threat Intelligence Gathering System |
| WO2016164403A1 (en) * | 2015-04-10 | 2016-10-13 | Level 3 Communications, Llc | Systems and methods for generating network threat intelligence |
| CN106055981A (zh) * | 2016-06-03 | 2016-10-26 | 北京奇虎科技有限公司 | 威胁情报的生成方法及装置 |
| CN107360155A (zh) * | 2017-07-10 | 2017-11-17 | 中国科学院信息工程研究所 | 一种基于威胁情报和沙箱技术的网络攻击自动溯源方法和系统 |
| CN107566390A (zh) * | 2017-09-20 | 2018-01-09 | 东北大学 | 一种基于威胁情报的工业控制系统网络安全性分析系统及方法 |
| CN109522504A (zh) * | 2018-10-18 | 2019-03-26 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报判别仿冒网站的方法 |
| CN109885562A (zh) * | 2019-01-17 | 2019-06-14 | 安徽谛听信息科技有限公司 | 一种基于网络空间安全的大数据智能分析系统 |
| CN110730175A (zh) * | 2019-10-16 | 2020-01-24 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的僵尸网络检测方法及检测系统 |
| WO2020246905A1 (ru) * | 2019-06-04 | 2020-12-10 | Публичное Акционерное Общество "Сбербанк России" | Система интеллектуального управления киберугрозами |
-
2021
- 2021-11-04 CN CN202111297033.3A patent/CN113726826B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140007238A1 (en) * | 2012-06-29 | 2014-01-02 | Vigilant Inc. | Collective Threat Intelligence Gathering System |
| WO2016164403A1 (en) * | 2015-04-10 | 2016-10-13 | Level 3 Communications, Llc | Systems and methods for generating network threat intelligence |
| CN106055981A (zh) * | 2016-06-03 | 2016-10-26 | 北京奇虎科技有限公司 | 威胁情报的生成方法及装置 |
| CN107360155A (zh) * | 2017-07-10 | 2017-11-17 | 中国科学院信息工程研究所 | 一种基于威胁情报和沙箱技术的网络攻击自动溯源方法和系统 |
| CN107566390A (zh) * | 2017-09-20 | 2018-01-09 | 东北大学 | 一种基于威胁情报的工业控制系统网络安全性分析系统及方法 |
| CN109522504A (zh) * | 2018-10-18 | 2019-03-26 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报判别仿冒网站的方法 |
| CN109885562A (zh) * | 2019-01-17 | 2019-06-14 | 安徽谛听信息科技有限公司 | 一种基于网络空间安全的大数据智能分析系统 |
| WO2020246905A1 (ru) * | 2019-06-04 | 2020-12-10 | Публичное Акционерное Общество "Сбербанк России" | Система интеллектуального управления киберугрозами |
| CN110730175A (zh) * | 2019-10-16 | 2020-01-24 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的僵尸网络检测方法及检测系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114301696A (zh) * | 2021-12-30 | 2022-04-08 | 北京天融信网络安全技术有限公司 | 恶意域名检测方法、装置、计算机设备及存储介质 |
| CN114301696B (zh) * | 2021-12-30 | 2023-12-01 | 北京天融信网络安全技术有限公司 | 恶意域名检测方法、装置、计算机设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113726826B (zh) | 2022-06-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11973799B2 (en) | Domain name processing systems and methods | |
| Gupta et al. | A novel approach for phishing URLs detection using lexical based machine learning in a real-time environment | |
| Arshad et al. | SAMADroid: a novel 3-level hybrid malware detection model for android operating system | |
| Vinayakumar et al. | Scalable framework for cyber threat situational awareness based on domain name systems data analysis | |
| CN108471429B (zh) | 一种网络攻击告警方法及系统 | |
| CN111221625B (zh) | 文件检测方法、装置及设备 | |
| KR101851233B1 (ko) | 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체 | |
| CN110149319B (zh) | Apt组织的追踪方法及装置、存储介质、电子装置 | |
| CN106713335B (zh) | 恶意软件的识别方法及装置 | |
| CN110149318B (zh) | 邮件元数据的处理方法及装置、存储介质、电子装置 | |
| CN107395650B (zh) | 基于沙箱检测文件识别木马回连方法及装置 | |
| WO2018066221A1 (ja) | 分類装置、分類方法及び分類プログラム | |
| CN113726818B (zh) | 一种失陷主机检测方法及装置 | |
| CN113965419B (zh) | 一种通过反连判定攻击成功的方法及装置 | |
| CN113726826B (zh) | 一种威胁情报生成方法及装置 | |
| CN115208643A (zh) | 一种基于web动态防御的追踪溯源方法及装置 | |
| CN110188537B (zh) | 数据的分离存储方法及装置、存储介质、电子装置 | |
| CN110224975B (zh) | Apt信息的确定方法及装置、存储介质、电子装置 | |
| CN113722705B (zh) | 一种恶意程序清除方法及装置 | |
| Vijayakanthan et al. | SWMAT: Mel-frequency cepstral coefficients-based memory fingerprinting for IoT devices | |
| CN115913634A (zh) | 一种基于深度学习的网络安全异常的检测方法及系统 | |
| CN115314271A (zh) | 一种访问请求的检测方法、系统及计算机存储介质 | |
| EP3799367B1 (en) | Generation device, generation method, and generation program | |
| Najafi et al. | NLP-based Entity Behavior Analytics for Malware Detection | |
| Hobert et al. | Enhancing Cyber Attribution through Behavior Similarity Detection on Linux Shell Honeypots with ATT&CK Framework |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |