CN115603978A - 一种攻击识别方法、装置及相关设备 - Google Patents
一种攻击识别方法、装置及相关设备 Download PDFInfo
- Publication number
- CN115603978A CN115603978A CN202211213409.2A CN202211213409A CN115603978A CN 115603978 A CN115603978 A CN 115603978A CN 202211213409 A CN202211213409 A CN 202211213409A CN 115603978 A CN115603978 A CN 115603978A
- Authority
- CN
- China
- Prior art keywords
- file
- attack
- feature
- identified
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请公开了一种攻击识别方法,包括:获取待识别文件中的各文件节区;根据各所述文件节区对所述待识别文件进行预设维度的特征提取,获得各所述预设维度的特征信息,所述预设维度包括文件节区信息熵维度和/或文件节区大小维度;根据各所述特征信息确定攻击识别结果。应用本申请所提供的技术方案,将文件节区的信息熵值分布和/或节区大小考虑在内,克服了由于文件节区大小和数量不同导致的难以对系统文件进行攻击识别的痛点,实现了针对系统文件的更为准确的攻击识别,有效地保证了网络安全。本申请还公开了一种攻击识别装置、系统、计算机可读存储介质及计算机程序产品,均具有上述有益效果。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种攻击识别方法,还涉及一种攻击识别装置、系统、计算机可读存储介质及计算机程序产品。
背景技术
随着网络空间高级威胁对抗态势的不断升级,各种高级威胁给我们带来的危害越来越大,新的攻击方式也层出不穷。由于高级威胁数据的不断增加,使得人工从海量情报和样本数据中筛查出高级威胁数据的难度不断加大,因此业内不断引入了各种自动化分析管理平台针对海量样本和情报进行了存储、分析和管理。
针对一些系统文件,如PE(Windows操作系统下使用的可执行文件格式)文件,业内的自动化分析平台只可以解析到PE节区的详细信息,但由于PE文件节区数量和大小的不确定性,例如,有些PE文件有5个节区,而另外一些PE文件可能有7个节区,这种文件节区数量和大小的不确定现状导致了该类系统文件的节区特征没有标准化的存储和匹配方式,因此,业内难以对此类系统文件进行攻击识别,识别结果的准确性也相对较低。
因此,如何对系统文件进行更为准确的攻击识别,保证网络安全是本领域技术人员亟待解决的问题。
发明内容
本申请的目的是提供一种攻击识别方法,该攻击识别方法可以对系统文件进行更为准确的攻击识别,保证网络安全;本申请的另一目的是提供一种攻击识别装置、系统、计算机可读存储介质及计算机程序产品,均具有上述有益效果。
第一方面,本申请提供了一种攻击识别方法,包括:
获取待识别文件中的各文件节区;
根据各所述文件节区对所述待识别文件进行预设维度的特征提取,获得各所述预设维度的特征信息,所述预设维度包括文件节区信息熵维度和/或文件节区大小维度;
根据各所述特征信息确定攻击识别结果。
优选的,所述特征信息包括文件节区信息熵均值、文件节区大小均值、文件节区信息熵标准差、文件节区大小标准差、文件节区大小和信息熵协方差中的一种或多种。
优选的,所述根据各所述文件节区对所述待识别文件进行预设维度的特征提取,获得各所述预设维度的特征信息之前,还包括:
利用预设基准值对各所述文件节区进行标准化处理,获得各标准化文件节区,所述预设基准值为所有所述文件节区中处于正态分布中心位置的文件节区的节区大小。
优选的,所述根据各所述特征信息确定攻击识别结果,包括:
对各所述特征信息进行特征融合,获得第一融合特征;
计算所述第一融合特征与攻击特征库中各攻击特征之间的余弦相似度;
当所述余弦相似度超出预设阈值时,确定所述攻击识别结果为所述待识别文件存在攻击。
优选的,在所有所述余弦相似度均未超出所述预设阈值的情况下,所述方法还包括:
对所述待识别文件进行预设行为类型的特征提取,获得各行为特征,所述预设行为类型包括文件操作类型和/或注册表操作类型和/或进程操作类型;
根据各所述行为特征确定所述攻击识别结果。
优选的,在所述待识别文件存在所述攻击的情况下,所述方法还包括:
根据所述第一融合特征或第二融合特征确定所述待识别文件中的攻击行为,所述第二融合特征为各所述行为特征的融合特征。
优选的,所述根据所述第一融合特征或第二融合特征确定所述待识别文件中的攻击行为之后,还包括:
对所述待识别文件、所述待识别文件中的攻击行为、所述待识别文件中的各所述特征信息或各所述行为特征进行关联,生成链式关联关系;
将所述链式关联关系更新至网状图库。
第二方面,本申请还公开了一种攻击识别装置,包括:
获取模块,用于获取待识别文件中的各文件节区;
提取模块,用于根据各所述文件节区对所述待识别文件进行预设维度的特征提取,获得各所述预设维度的特征信息,所述预设维度包括文件节区信息熵维度和/或文件节区大小维度;
识别模块,用于根据各所述特征信息确定攻击识别结果。
第三方面,本申请还公开了一种攻击识别系统,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上所述的任一种攻击识别方法的步骤。
第四方面,本申请还公开了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的任一种攻击识别方法的步骤。
第五方面,本申请还公开了一种计算机程序产品,所述计算机程序产品包括计算机指令,当所述计算机指令在计算机上运行时,使得计算机可以执行如上所述的任一种攻击识别方法的步骤。
本申请所提供的一种攻击识别方法,包括:获取待识别文件中的各文件节区;根据各所述文件节区对所述待识别文件进行预设维度的特征提取,获得各所述预设维度的特征信息,所述预设维度包括文件节区信息熵维度和/或文件节区大小维度;根据各所述特征信息确定攻击识别结果。
可见,本申请所提供的攻击识别方法,针对待识别文件,首先获取其中的各个文件节区,然后对各文件节区进行文件节区信息熵维度和/或文件节区大小维度的特征提取,最后根据提取到的特征信息实现待识别文件的攻击识别,显然,该种实现方式将文件节区的信息熵值分布和/或节区大小考虑在内,克服了由于文件节区大小和数量不同导致的难以对系统文件进行攻击识别的痛点,实现了针对系统文件的更为准确的攻击识别,有效地保证了网络安全。
本申请所提供的一种攻击识别装置、系统、计算机可读存储介质及计算机程序产品,均具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明现有技术和本申请实施例中的技术方案,下面将对现有技术和本申请实施例描述中需要使用的附图作简要的介绍。当然,下面有关本申请实施例的附图描述的仅仅是本申请中的一部分实施例,对于本领域普通技术人员来说,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图,所获得的其他附图也属于本申请的保护范围。
图1为本申请所提供的一种攻击识别方法的流程示意图;
图2为本申请所提供的另一种攻击识别方法的流程示意图;
图3为本申请所提供的一种攻击识别装置的结构示意图;
图4为本申请所提供的一种攻击识别系统的结构示意图。
具体实施方式
本申请的核心是提供一种攻击识别方法,该攻击识别方法可以对系统文件进行更为准确的攻击识别,保证网络安全;本申请的另一核心是提供一种攻击识别装置、系统、计算机可读存储介质及计算机程序产品,也具有上述有益效果。
为了对本申请实施例中的技术方案进行更加清楚、完整地描述,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行介绍。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供了一种攻击识别方法。
请参考图1,图1为本申请所提供的一种攻击识别方法的流程示意图,该攻击识别方法可以包括如下S101~S103。
S101:获取待识别文件中的各文件节区;
本步骤旨在实现待识别文件中各文件节区的获取。其中,待识别文件即为需要进行攻击识别的系统文件,可以为网络系统中所存在的任意类型的文件,以便于实现网络系统内各类系统文件的攻击识别;当然,待识别文件的获取方式并不唯一,例如,可以为用户直接输入的系统文件,也可以为直接在网络系统内遍历或者监测到的系统文件,本申请对此不做限定。文件节区则为系统文件中最小的数据存储单位。
S102:根据各文件节区对待识别文件进行预设维度的特征提取,获得各预设维度的特征信息,预设维度包括文件节区信息熵维度和/或文件节区大小维度;
本步骤旨在实现特征提取,以根据各个文件节区从待识别文件中提取获得不同维度的特征信息。其中,预设维度由技术人员根据实际需求进行设定,主要包括文件节区信息熵维度和/或文件节区大小维度,在一种可能的实现方式中,这两类维度的特征信息可以包括文件节区信息熵均值、文件节区大小均值、文件节区信息熵标准差、文件节区大小标准差、文件节区大小和信息熵协方差中的一种或多种。
可以理解的是,上述对待识别文件进行文件节区信息熵维度和/或文件节区大小维度的特征提取,相当于对文件节区的信息熵值分布和/或节区大小进行了考虑,克服了由于文件节区大小和数量不同导致的难以进行攻击识别的痛点,有助于提高该类系统文件的攻击识别结果的准确性。
S103:根据各特征信息确定攻击识别结果。
本步骤旨在实现攻击识别结果的确定。在提取获得各个预设维度的特征信息之后,即可根这些特征信息确定最终的攻击识别结果,也即根据这些特征信息确定待识别文件中是否存在攻击。
可见,本申请所提供的攻击识别方法,针对待识别文件,首先获取其中的各个文件节区,然后对各文件节区进行文件节区信息熵维度和/或文件节区大小维度的特征提取,最后根据提取到的特征信息实现待识别文件的攻击识别,显然,该种实现方式将文件节区的信息熵值分布和/或节区大小考虑在内,克服了由于文件节区大小和数量不同导致的难以对系统文件进行攻击识别的痛点,实现了针对系统文件的更为准确的攻击识别,有效地保证了网络安全。
在本申请的一个实施例中,上述根据各文件节区对待识别文件进行预设维度的特征提取,获得各预设维度的特征信息之前,还可以包括:利用预设基准值对各文件节区进行标准化处理,获得各标准化文件节区,预设基准值为所有文件节区中处于正态分布中心位置的文件节区的节区大小。
本申请实施例所提供的攻击识别方法可以进一步实现待识别文件内各文件节区的标准化处理,可以理解的是,通过对待识别文件中的各个文件节区进行标准化处理,更加方便后续对各个文件节区进行特征信息的提取。在实现过程中,首先,可以预先设定用于实现文件节区标准化处理的基准值,在待识别文件的所有文件节区中,查找到处于正态分布中心位置的文件节区,可以将该文件节区的节区大小作为预设基准值;进一步,则可以利用该预设基准值对待识别文件中的各个文件节区进行标准化处理,以便于实现特征信息的提取。
在本申请的一个实施例中,上述根据各特征信息确定攻击识别结果,可以包括如下步骤:
对各特征信息进行特征融合,获得第一融合特征;
计算第一融合特征与攻击特征库中各攻击特征之间的余弦相似度;
当余弦相似度超出预设阈值时,确定攻击识别结果为待识别文件存在攻击。
本申请实施例提供了一种根据提取到的特征信息确定攻击识别结果的实现方式,即基于特征库匹配的攻击识别方法。在实现过程中,可以预先创建包含有各类攻击特征的攻击特征库,对于提取到的各个维度的特征信息,可以先对这些特征信息进行特征融合,获得第一融合特征,然后将该第一融合特征与攻击特征库进行匹配,若攻击特征库中存在与第一融合特征相同的攻击特征,则说明第一融合特征命中攻击特征库,进而说明待识别文件存在攻击。
其中,将第一融合特征与攻击特征库进行特征匹配的实现流程可以包括:首先,计算第一融合特征与攻击特征库中每一个攻击特征之间的余弦相似度,若攻击特征库中存在余弦相似度超出预设阈值的攻击特征,说明第一融合特征与该攻击特征相匹配,也即说明第一融合特征命中攻击特征库;若攻击特征库中不存在任何一个余弦相似度超出预设阈值的攻击特征,则说明第一融合特征未命中攻击特征库。其中,预设阈值的具体取值并不影响本技术方案的实施,由技术人员根据实际情况进行设定即可,本申请对此不做限定。
在本申请的一个实施例中,在所有余弦相似度均未超出预设阈值的情况下,该方法还可以包括如下步骤:
对待识别文件进行预设行为类型的特征提取,获得各行为特征,预设行为类型包括文件操作类型和/或注册表操作类型和/或进程操作类型;
根据各行为特征确定攻击识别结果。
为进一步提高攻击识别结果的准确性,本申请实施例提出了基于静态特征和动态特征相结合的攻击识别方法。可以理解的是,上述基于预设维度的特征信息的攻击识别方法中,预设维度的特征信息均为从待识别文件的文件节区中提取到的特征信息,这些特征信息均属于静态特征,在此基础上,结合动态特征进行攻击识别的实现流程如下:
由于攻击行为的多样性,在所有余弦相似度均未超出预设阈值的情况下,也就是第一融合特征未命中攻击特征库的情况下,亦无法获得待识别文件中确实不存在攻击这一攻击识别结果,因此,可以对待识别文件进行动态特征提取,也就是进行预设行为类型的特征提取,获得待识别文件中的各行为特征,进而根据各行为特征确定待识别文件中是否存在攻击,获得攻击识别结果。其中,预设行为类型由技术人员根据实际需求进行设定,主要包括文件操作类型和/或注册表操作类型和/或进程操作类型,进程操作是指系统中正在运行的进程变化情况,注册表操作是指系统中正在运行的进程对注册表项的操作行为(如修改、创建等操作行为),文件操作是指系统中正在运行的进程对系统文件的操作行为(如创建、打开、读取、写入、删除等操作行为)。
此外,在本申请实施例中,根据各行为特征确定攻击识别结果的实现过程,类似于上述根据各特征信息确定确定攻击识别结果的实现过程,同样可以通过特征库匹配实现,本申请在此不再赘述。
由此,实现了基于静态特征和动态特征相结合的攻击识别,进一步提高了攻击识别结果的准确性。
当然,当待识别文件的第一融合特征或各行为特征的融合特征(下述称之为第二融合特征)未命中攻击数据库时,由于存在攻击特征库中所包含的攻击类融合特征不全面的可能性,因此,同样无法毫无疑义的确定待识别文件的第一融合特征或第二融合特征不存在攻击,也即无法直接确定待识别文件不存在攻击,基于此,进一步提出了以下人工识别方法。
在本申请的一个实施例中,该攻击识别方法还可以包括如下步骤:
当第一融合特征或第二融合特征未命中攻击特征库时,输出人工识别提示;
接收关于第一融合特征或第二融合特征的人工识别结果;
根据人工识别结果确定攻击识别结果。
本申请实施例提供了一种人工识别第一融合特征或第二融合特征的实现方式。在实现过程中,当通过特征库匹配确定第一融合特征或第二融合特征未命中攻击特征库时,即可输出该第一融合特征或第二融合特征,同时输出相应的人工识别提示,该人工识别提示用于提醒工作人员当前存在不可识别的融合特征,需要进行人工识别;进一步,在技术人员进行识别确定之后,即可将人工识别结果输入至攻击识别设备,由攻击识别设备确定最终的攻击识别结果,攻击识别结果为待识别文件中存在攻击或者待识别文件中不存在攻击。由此,基于本申请实施例,实现了自动化识别加人工识别的攻击识别方式,具有更高的准确性,为网络安全提供了进一步保证。
在本申请的一个实施例中,该攻击识别方法还可以包括:当人工识别结果为待识别文件存在攻击时,将第一融合特征或第二融合特征加入攻击特征库。
如上所述,当第一融合特征或第二融合特征未命中攻击数据库时,无法毫无疑义的确定待识别文件不存在攻击,因为存在攻击特征库中所包含攻击类特征不全面的可能性。基于此,在获得人工识别结果之后,若人工识别结果为第一融合特征或第二融合特征存在网络攻击,说明攻击特征库中确实不包含第一融合特征或第二融合特征这种攻击类特征,因此,可以直接将该第一融合特征或第二融合特征保存至攻击特征库,从而实现攻击特征库的更新,以便于为后续新的待识别文件提供更为全面可靠的识别保证。
在本申请的一个实施例中,在待识别文件存在攻击的情况下,该方法还可以包括:根据第一融合特征或第二融合特征确定待识别文件中的攻击行为,第二融合特征为各行为特征的融合特征。
本申请实施例所提供的攻击识别方法,还可以在确定待识别文件存在攻击的情况下,进一步确定待识别文件中所存在的攻击行为。具体而言,在确定待识别文件存在攻击的情况下,则可以进一步根据待识别文件的融合特征(第一融合特征或第二融合特征)进行攻击行为识别,确定待识别数据中所存在的攻击行为。可以想到的是,当基于第一融合特征确定待识别文件存在攻击时,则可以根据第一融合特征识别确定待识别文件中的攻击行为;当基于第二融合特征确定待识别文件存在攻击时,则可以根据第二融合特征识别确定待识别文件中的攻击行为。其中,第二融合特征类似于第一融合特征,第一融合特征为待识别文件中静态特征(上述各特征信息)的融合特征,第二融合特征为待识别文件中动态特征(上述各行为特征)的融合特征。
在本申请的一个实施例中,上述根据第一融合特征或第二融合特征确定待识别文件中的攻击行为,可以包括如下步骤:
将第一融合特征或第二融合特征与攻击行为特征库进行匹配;
当第一融合特征或第二融合特征命中攻击行为特征库时,将攻击行为特征库中与第一融合特征或第二融合特征相匹配的攻击行为作为待识别文件的攻击行为。
本申请实施例提供了一种基于第一融合特征或第二融合特征识别攻击行为的实现方法。在实现过程中,可以预先构建攻击行为特征库,其中包含有各类攻击类融合特征和攻击行为之间的映射关系;进一步,通过将待识别数据的第一融合特征或第二融合与攻击行为特征库中的各个攻击类融合特征进行匹配,确定与该第一融合特征或第二融合匹配一致的攻击类融合特征,然后查询与该攻击类融合特征相对应的攻击行为,该攻击行为即为待识别数据中所存在的攻击行为。
在本申请的一个实施例中,上述根据第一融合特征或第二融合特征确定待识别文件中的攻击行为之后,还可以包括如下步骤:
对待识别文件、待识别文件中的攻击行为、待识别文件中的各特征信息或各行为特征进行关联,生成链式关联关系;
将链式关联关系更新至网状图库。
本申请实施例所提供的攻击识别方法还可以进一步实现攻击类系统文件、攻击行为、特征信息或行为特征的链条式存储,便于后续进行信息查询。具体而言,在确定待识别文件存在攻击且识别确定待识别文件中所存在的攻击行为之后,则可以将该待识别文件、该待识别文件的攻击行为、该待识别文件的各个特征信息或者各个行为特征进行关联,得到一条链式关联关系,然后,将该链式关联关系更新至网状图库中。
其中,在网状图库中,其存储了各种已知的攻击类文件、攻击类文件的攻击行为、攻击类文件的各特征信息或各行为特征之间的链式关联关系,基于该网状图库,可以实现对于攻击类文件的链条式查询和关联。例如,通过查询某一个行为特征,可以直接关联出存在该行为特征的所有攻击类文件,以及各攻击类文件所存在的攻击行为和所存在的所有特征信息或所有行为特征;通过查询某一个攻击行为,可以直接关联出存在该攻击行为的所有攻击类文件,以及各攻击类文件所存在的所有特征信息或所有行为特征等。
可以理解的是,通过网状图库实现攻击类文件及其相关信息的链式存储,实现了对于行为趋同的攻击类文件进行相似性关联和归类,更加便于后续进行信息查询。
在上述各实施例的基础上,本申请实施例以PE文件为例,提供了另一种攻击识别方法。
请参考图2,图2为本申请所提供的另一种攻击识别方法的流程示意图,其实现流程可以包括:
(1)确定待识别PE文件的所有PE节区中处于正态分布中心位置的PE节区,将该PE节区的节区大小作为基准值,并根据该基准值对待识别PE文件中的各个PE节区进行标准化处理,获得处理后的各个PE节区;
(2)根据待识别PE文件中的各个标准化处理后的PE节区,对待识别PE文件进行特征提取,获得图2所示5维特征向量:PE节区信息熵均值、PE节区大小均值、PE节区信息熵标准差、PE节区大小标准差、PE节区大小和信息熵协方差;
(3)对提取到的5维特征向量进行特征融合获得第一融合特征,并计算该第一融合特征与攻击特征库中每一个攻击特征的余弦相似度,进而确定第一融合特征是否命中攻击特征库;
(4)当第一融合特征命中攻击特征库时,确定待识别PE文件存在攻击;
(5)当第一融合特征未命中攻击特征库时,对待识别PE文件进行行为特征提取,获得3类行为特征:文件操作行为特征、注册表操作行为特征、进程操作行为特征;
(6)对提取到的3类行为特征进行特征融合获得第二融合特征,并判断该第二融合特征是否命中攻击特征库;
(7)当第二融合特征命中攻击特征库时,确定待识别PE文件存在攻击;
(8)当第二融合特征未命中攻击特征库时,将第一融合特征和第二融合特征输入至人工识别队列;
(9)对人工识别队列中的各个融合特征(此处包括第一融合特征和第二融合特征)进行人工识别,获得人工识别结果;
(10)技术人员输入人工识别结果,根据人工识别结果确定待识别PE文件是否存在攻击;
(11)当人工识别结果指示待识别PE文件存在攻击时,将融合特征加入至攻击特征库;
(12)将融合特征与攻击行为特征库进行匹配,确定待识别PE文件中所存在的攻击行为,并将待识别PE文件、待识别PE文件中的攻击行为、待识别PE文件中的5维特征向量和/或3类行为特征生成链式关联关系,并更新至网状图库;
(13)基于网状图库实现信息类查询。
可见,本申请实施例所提供的攻击识别方法,针对待识别文件,首先获取其中的各个文件节区,然后对各文件节区进行文件节区信息熵维度和/或文件节区大小维度的特征提取,最后根据提取到的特征信息实现待识别文件的攻击识别,显然,该种实现方式将文件节区的信息熵值分布和/或节区大小考虑在内,克服了由于文件节区大小和数量不同导致的难以对系统文件进行攻击识别的痛点,实现了针对系统文件的更为准确的攻击识别,有效地保证了网络安全。
本申请还提供了一种攻击识别装置,请参考图3,图3为本申请所提供的一种攻击识别装置的结构示意图,该攻击识别装置可包括:
获取模块1,用于获取待识别文件中的各文件节区;
提取模块2,用于根据各文件节区对待识别文件进行预设维度的特征提取,获得各预设维度的特征信息,预设维度包括文件节区信息熵维度和/或文件节区大小维度;
识别模块3,用于根据各特征信息确定攻击识别结果。
可见,本申请实施例所提供的攻击识别装置,针对待识别文件,首先获取其中的各个文件节区,然后对各文件节区进行文件节区信息熵维度和/或文件节区大小维度的特征提取,最后根据提取到的特征信息实现待识别文件的攻击识别,显然,该种实现方式将文件节区的信息熵值分布和/或节区大小考虑在内,克服了由于文件节区大小和数量不同导致的难以对系统文件进行攻击识别的痛点,实现了针对系统文件的更为准确的攻击识别,有效地保证了网络安全。
在本申请的一个实施例中,上述特征信息可以包括文件节区信息熵均值、文件节区大小均值、文件节区信息熵标准差、文件节区大小标准差、文件节区大小和信息熵协方差中的一种或多种。
在本申请的一个实施例中,该攻击识别装置还可以包括标准化模块,用于在上述根据各文件节区对待识别文件进行预设维度的特征提取,获得各预设维度的特征信息之前,利用预设基准值对各文件节区进行标准化处理,获得各标准化文件节区,预设基准值为所有文件节区中处于正态分布中心位置的文件节区的节区大小。
在本申请的一个实施例中,上述识别模块3可具体用于对各特征信息进行特征融合,获得第一融合特征;计算第一融合特征与攻击特征库中各攻击特征之间的余弦相似度;当余弦相似度超出预设阈值时,确定攻击识别结果为待识别文件存在攻击。
在本申请的一个实施例中,在所有余弦相似度均未超出预设阈值的情况下,该攻击识别装置还可以包括重识别模块,用于对待识别文件进行预设行为类型的特征提取,获得各行为特征,预设行为类型包括文件操作类型和/或注册表操作类型和/或进程操作类型;根据各行为特征确定攻击识别结果。
在本申请的一个实施例中,在待识别文件存在攻击的情况下,该攻击识别装置还可以包括攻击行为识别模块,用于根据第一融合特征或第二融合特征确定待识别文件中的攻击行为,第二融合特征为各行为特征的融合特征。
在本申请的一个实施例中,该攻击识别装置还可以包括存储模块,用于在上述根据第一融合特征或第二融合特征确定待识别文件中的攻击行为之后,对待识别文件、待识别文件中的攻击行为、待识别文件中的各特征信息或各行为特征进行关联,生成链式关联关系;将链式关联关系更新至网状图库。
对于本申请提供的装置的介绍请参照上述方法实施例,本申请在此不做赘述。
本申请还提供了一种攻击识别系统,请参考图4,图4为本申请所提供的一种攻击识别系统的结构示意图,该攻击识别系统可包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时可实现如上述任意一种攻击识别方法的步骤。
如图4所示,为攻击识别系统的组成结构示意图,攻击识别系统可以包括:处理器10、存储器11、通信接口12和通信总线13。处理器10、存储器11、通信接口12均通过通信总线13完成相互间的通信。
在本申请实施例中,处理器10可以为中央处理器(Central Processing Unit,CPU)、特定应用集成电路、数字信号处理器、现场可编程门阵列或者其他可编程逻辑器件等。
处理器10可以调用存储器11中存储的程序,具体的,处理器10可以执行攻击识别方法的实施例中的操作。
存储器11中用于存放一个或者一个以上程序,程序可以包括程序代码,程序代码包括计算机操作指令,在本申请实施例中,存储器11中至少存储有用于实现以下功能的程序:
获取待识别文件中的各文件节区;
根据各文件节区对待识别文件进行预设维度的特征提取,获得各预设维度的特征信息,预设维度包括文件节区信息熵维度和/或文件节区大小维度;
根据各特征信息确定攻击识别结果。
在一种可能的实现方式中,存储器11可包括存储程序区和存储数据区,其中,存储程序区可存储操作系统,以及至少一个功能所需的应用程序等;存储数据区可存储使用过程中所创建的数据。
此外,存储器11可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件或其他易失性固态存储器件。
通信接口12可以为通信模块的接口,用于与其他设备或者系统连接。
当然,需要说明的是,图4所示的结构并不构成对本申请实施例中攻击识别系统的限定,在实际应用中攻击识别系统可以包括比图4所示的更多或更少的部件,或者组合某些部件。
本申请还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时可实现如上述任意一种攻击识别方法的步骤。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
对于本申请提供的计算机可读存储介质的介绍请参照上述方法实施例,本申请在此不做赘述。
本申请还公开了一种计算机程序产品,该计算机程序产品包括计算机指令,当该计算机指令在计算机上运行时,使得计算机可以执行如上所述的任一种攻击识别方法的步骤。
在上述各方法实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现,当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。
其中,计算机程序产品包括一个或多个计算机指令,在计算机上加载和执行计算机指令时,可以全部或部分地产生按照本发明实施例所述的流程或功能,计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。其中,计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一计算机可读存储介质传输,例如,计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的技术方案进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请的保护范围内。
Claims (10)
1.一种攻击识别方法,其特征在于,包括:
获取待识别文件中的各文件节区;
根据各所述文件节区对所述待识别文件进行预设维度的特征提取,获得各所述预设维度的特征信息,所述预设维度包括文件节区信息熵维度和/或文件节区大小维度;
根据各所述特征信息确定攻击识别结果。
2.根据权利要求1所述的攻击识别方法,其特征在于,所述特征信息包括文件节区信息熵均值、文件节区大小均值、文件节区信息熵标准差、文件节区大小标准差、文件节区大小和信息熵协方差中的一种或多种。
3.根据权利要求1所述的攻击识别方法,其特征在于,所述根据各所述文件节区对所述待识别文件进行预设维度的特征提取,获得各所述预设维度的特征信息之前,还包括:
利用预设基准值对各所述文件节区进行标准化处理,获得各标准化文件节区,所述预设基准值为所有所述文件节区中处于正态分布中心位置的文件节区的节区大小。
4.根据权利要求1所述的攻击识别方法,其特征在于,所述根据各所述特征信息确定攻击识别结果,包括:
对各所述特征信息进行特征融合,获得第一融合特征;
计算所述第一融合特征与攻击特征库中各攻击特征之间的余弦相似度;
当所述余弦相似度超出预设阈值时,确定所述攻击识别结果为所述待识别文件存在攻击。
5.根据权利要求4所述的攻击识别方法,其特征在于,在所有所述余弦相似度均未超出所述预设阈值的情况下,所述方法还包括:
对所述待识别文件进行预设行为类型的特征提取,获得各行为特征,所述预设行为类型包括文件操作类型和/或注册表操作类型和/或进程操作类型;
根据各所述行为特征确定所述攻击识别结果。
6.根据权利要求5所述的攻击识别方法,其特征在于,在所述待识别文件存在所述攻击的情况下,所述方法还包括:
根据所述第一融合特征或第二融合特征确定所述待识别文件中的攻击行为,所述第二融合特征为各所述行为特征的融合特征。
7.根据权利要求6所述的攻击识别方法,其特征在于,所述根据所述第一融合特征或第二融合特征确定所述待识别文件中的攻击行为之后,还包括:
对所述待识别文件、所述待识别文件中的攻击行为、所述待识别文件中的各所述特征信息或各所述行为特征进行关联,生成链式关联关系;
将所述链式关联关系更新至网状图库。
8.一种攻击识别装置,其特征在于,包括:
获取模块,用于获取待识别文件中的各文件节区;
提取模块,用于根据各所述文件节区对所述待识别文件进行预设维度的特征提取,获得各所述预设维度的特征信息,所述预设维度包括文件节区信息熵维度和/或文件节区大小维度;
识别模块,用于根据各所述特征信息确定攻击识别结果。
9.一种攻击识别系统,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述的攻击识别方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的攻击识别方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211213409.2A CN115603978A (zh) | 2022-09-30 | 2022-09-30 | 一种攻击识别方法、装置及相关设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211213409.2A CN115603978A (zh) | 2022-09-30 | 2022-09-30 | 一种攻击识别方法、装置及相关设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115603978A true CN115603978A (zh) | 2023-01-13 |
Family
ID=84844566
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211213409.2A Pending CN115603978A (zh) | 2022-09-30 | 2022-09-30 | 一种攻击识别方法、装置及相关设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115603978A (zh) |
-
2022
- 2022-09-30 CN CN202211213409.2A patent/CN115603978A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109189888B (zh) | 电子装置、侵权分析的方法及存储介质 | |
CN108460346B (zh) | 指纹识别方法及装置 | |
CN113609261B (zh) | 基于网络信息安全的知识图谱的漏洞信息挖掘方法和装置 | |
CN111222137A (zh) | 一种程序分类模型训练方法、程序分类方法及装置 | |
CN111339531B (zh) | 恶意代码的检测方法、装置、存储介质及电子设备 | |
CN110598996A (zh) | 一种风险处理方法、装置、电子设备及存储介质 | |
CN113886821A (zh) | 基于孪生网络的恶意进程识别方法、装置、电子设备及存储介质 | |
CN115603978A (zh) | 一种攻击识别方法、装置及相关设备 | |
CN114817518B (zh) | 基于大数据档案识别的证照办理方法、系统及介质 | |
CN114925365A (zh) | 一种文件处理方法、装置、电子设备及存储介质 | |
CN113297583B (zh) | 漏洞风险分析方法、装置、设备及存储介质 | |
CN113535458B (zh) | 异常误报的处理方法及装置、存储介质、终端 | |
CN114579711A (zh) | 诈骗应用程序的识别方法、装置、设备及存储介质 | |
CN111859896B (zh) | 配方文档检测方法、装置、计算机可读介质及电子设备 | |
CN109918293B (zh) | 系统测试方法及装置、电子设备、计算机可读存储介质 | |
CN114297735A (zh) | 数据处理方法及相关装置 | |
CN114924959A (zh) | 页面测试方法、装置、电子设备和介质 | |
CN114189585A (zh) | 骚扰电话异常检测方法、装置及计算设备 | |
CN112417007A (zh) | 一种数据分析方法、装置、电子设备及存储介质 | |
CN115529189A (zh) | 一种攻击识别方法、装置及相关设备 | |
CN112488562B (zh) | 一种业务实现方法及装置 | |
CN113055396B (zh) | 一种跨终端溯源分析的方法、装置、系统和存储介质 | |
CN115906170B (zh) | 应用于存储集群的安全防护方法及ai系统 | |
CN114581693B (zh) | 一种用户行为模式的区分方法和装置 | |
CN115718696B (zh) | 源码密码学误用检测方法、装置、电子设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |