CN116471123A - 针对智能设备安全威胁的智能分析方法、装置及设备 - Google Patents
针对智能设备安全威胁的智能分析方法、装置及设备 Download PDFInfo
- Publication number
- CN116471123A CN116471123A CN202310706187.6A CN202310706187A CN116471123A CN 116471123 A CN116471123 A CN 116471123A CN 202310706187 A CN202310706187 A CN 202310706187A CN 116471123 A CN116471123 A CN 116471123A
- Authority
- CN
- China
- Prior art keywords
- virus sample
- time
- liveness
- target
- virus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 90
- 241000700605 Viruses Species 0.000 claims abstract description 471
- 244000035744 Hura crepitans Species 0.000 claims abstract description 138
- 238000004891 communication Methods 0.000 claims abstract description 89
- 238000000034 method Methods 0.000 claims abstract description 59
- 230000000694 effects Effects 0.000 claims abstract description 54
- 230000008569 process Effects 0.000 claims description 29
- 238000012545 processing Methods 0.000 claims description 12
- 238000013507 mapping Methods 0.000 claims description 6
- 239000000758 substrate Substances 0.000 claims 4
- 230000006399 behavior Effects 0.000 description 46
- 238000010586 diagram Methods 0.000 description 13
- 238000004590 computer program Methods 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 235000012907 honey Nutrition 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000000605 extraction Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 230000001960 triggered effect Effects 0.000 description 3
- 230000016571 aggressive behavior Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 206010001488 Aggression Diseases 0.000 description 1
- 208000012761 aggressive behavior Diseases 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000001939 inductive effect Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Measuring Or Testing Involving Enzymes Or Micro-Organisms (AREA)
Abstract
本申请提供一种针对智能设备安全威胁的智能分析方法、装置及设备,该方法包括:获取病毒样本;将病毒样本发送到沙箱中,通过沙箱对病毒样本进行分析;在活跃度统计周期,基于病毒样本的第一次捕获时间、病毒样本的最后一次捕获时间、病毒样本的捕获次数、病毒样本与控制服务器的最后一次通信时间、病毒样本与控制服务器的通信次数、活跃度统计周期的当前时间,确定病毒样本对应的目标活跃度;若目标活跃度小于预设阈值,则停止对病毒样本进行分析;若目标活跃度不小于预设阈值,则继续对病毒样本进行分析,等到下一个活跃度统计周期,重新确定病毒样本对应的目标活跃度。通过本申请方案,能够准确分析出攻击行为特征,对智能设备进行有效防护。
Description
技术领域
本申请涉及网络安全技术领域,尤其是涉及一种针对智能设备安全威胁的智能分析方法、装置及设备。
背景技术
智能设备可以为物联网设备,也可以为其它类型的设备,可以包括IPC(InternetProtocol Camera,网络摄像机)、DVR(Digital Video Recorder,硬盘录像机)和NVR(Network Video Recorder,网络录像机)等,随着网络技术的快速发展,网络中的智能设备越来越多,针对智能设备的攻击行为也越来越多。为了对智能设备进行有效防护,就需要分析出攻击行为特征,基于攻击行为特征对智能设备进行有针对性的保护。
但是,应该如何分析攻击行为特征,在相关技术中并没有有效的实现方式,即无法准确分析出攻击行为特征,继而导致无法对智能设备进行有效防护。
发明内容
有鉴于此,本申请提供一种针对智能设备安全威胁的智能分析方法、装置及设备,能够准确分析出攻击行为特征,继而对智能设备进行有效防护。
本申请提供一种针对智能设备安全威胁的智能分析方法,包括:
获取针对智能设备的病毒样本;
将所述病毒样本发送到沙箱中,通过所述沙箱对所述病毒样本进行分析;
在活跃度统计周期,基于所述病毒样本的第一次捕获时间、所述病毒样本的最后一次捕获时间、所述病毒样本的捕获次数、所述病毒样本与控制服务器的最后一次通信时间、所述病毒样本与控制服务器的通信次数、所述活跃度统计周期的当前时间,确定所述病毒样本对应的目标活跃度;
若所述目标活跃度小于预设阈值,则停止对所述病毒样本进行分析;
若所述目标活跃度不小于预设阈值,则继续对所述病毒样本进行分析,等到下一个活跃度统计周期,重新确定所述病毒样本对应的目标活跃度。
本申请提供一种针对智能设备安全威胁的智能分析装置,包括:
获取模块,用于获取针对智能设备的病毒样本,将所述病毒样本发送到沙箱中,通过所述沙箱对所述病毒样本进行分析;
确定模块,用于在活跃度统计周期,基于所述病毒样本的第一次捕获时间、所述病毒样本的最后一次捕获时间、所述病毒样本的捕获次数、所述病毒样本与控制服务器的最后一次通信时间、所述病毒样本与控制服务器的通信次数、所述活跃度统计周期的当前时间,确定所述病毒样本对应的目标活跃度;
处理模块,用于若目标活跃度小于预设阈值,则停止对所述病毒样本进行分析;若目标活跃度不小于预设阈值,则继续对所述病毒样本进行分析,等到下一个活跃度统计周期,由确定模块重新确定所述病毒样本对应的目标活跃度。
本申请提供一种电子设备,包括:处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令;其中,处理器用于执行机器可执行指令,以实现上述的针对智能设备安全威胁的智能分析方法。
本申请提供一种机器可读存储介质,所述机器可读存储介质存储有能够被处理器执行的机器可执行指令;其中,所述处理器用于执行所述机器可执行指令,以实现上述的针对智能设备安全威胁的智能分析方法。
本申请提供一种计算机程序,所述计算机程序存储于机器可读存储介质,当处理器执行所述机器可读存储介质中的所述计算机程序时,促使所述处理器实现上述的针对智能设备安全威胁的智能分析方法。
由以上技术方案可见,本申请实施例中,将病毒样本发送到沙箱中,通过沙箱对病毒样本进行分析,从而基于病毒样本准确分析出攻击行为特征,继而对智能设备进行有效防护。可以提取攻击行为对应的病毒样本,获取到病毒样本及病毒样本行为的对应关系,对大规模病毒传播、攻击和控制行为进行收集和分析。在将病毒样本发送到沙箱之后,基于病毒样本对应的目标活跃度决策停止对病毒样本进行分析或继续对病毒样本进行分析,即基于目标活跃度动态决定沙箱分析时间,从而合理规划沙箱分析时间。在病毒样本不活跃时,及时停止对病毒样本进行分析,从而避免沙箱长时间对病毒样本进行分析,节省沙箱分析时间,大大减少沙箱占用的计算资源。在病毒样本活跃时,继续对病毒样本进行分析,从而在病毒样本的活跃周期内,准确分析出攻击行为特征。
附图说明
为了更加清楚地说明本申请实施例或者现有技术中的技术方案,下面将对本申请实施例或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据本申请实施例的这些附图获得其他的附图。
图1是针对智能设备安全威胁的智能分析方法的流程示意图;
图2是针对智能设备安全威胁的智能分析方法的流程示意图;
图3是针对智能设备安全威胁的智能分析方法的流程示意图;
图4是针对智能设备安全威胁的智能分析装置的结构示意图;
图5是本申请一种实施方式中的电子设备的硬件结构图。
具体实施方式
在本申请实施例使用的术语仅仅是出于描述特定实施例的目的,而非限制本申请。本申请和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。还应当理解,本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请实施例可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
本申请实施例中提出一种针对智能设备安全威胁的智能分析方法,可以应用于任意设备,参见图1所示,为该方法的流程示意图,该方法可以包括:
步骤101、获取针对智能设备的病毒样本。
示例性的,可以获取针对智能设备的攻击流量,从该攻击流量中获取有效载荷,该有效载荷包括用于对智能设备进行攻击的代码文件,且该代码文件包括文件服务器(即病毒样本的存储服务器)的地址信息。从该有效载荷中获取文件服务器的地址信息,并基于该地址信息从文件服务器下载该有效载荷对应的病毒样本;其中,文件服务器可以存储有该病毒样本。
步骤102、将病毒样本发送到沙箱中,通过沙箱对病毒样本进行分析。
示例性的,在获取到第一个病毒样本时,可以从该病毒样本中获取目标架构信息,并基于目标架构信息确定该病毒样本对应的目标架构;其中,该病毒样本用于对采用目标架构的智能设备进行攻击;从所有沙箱中选取与目标架构对应的沙箱,并将该病毒样本发送到选取的沙箱中,通过沙箱对该病毒样本进行分析,即通过沙箱运行该病毒样本,并对该病毒样本进行分析。
步骤103、在活跃度统计周期,基于该病毒样本的第一次捕获时间、该病毒样本的最后一次捕获时间、该病毒样本的捕获次数、该病毒样本与控制服务器(即病毒样本的控制服务器)的最后一次通信时间、该病毒样本与控制服务器的通信次数、活跃度统计周期的当前时间,确定该病毒样本对应的目标活跃度。
示例性的,可以基于该第一次捕获时间、该最后一次通信时间、该通信次数和当前时间确定第一活跃度;其中,第一活跃度可以与当前时间和第一次捕获时间的差值成正比,第一活跃度可以与通信次数成反比,第一活跃度可以与当前时间和最后一次通信时间的差值成反比。可以基于该第一次捕获时间、该最后一次捕获时间、该捕获次数和当前时间确定第二活跃度;其中,第二活跃度可以与当前时间和第一次捕获时间的差值成正比,第二活跃度可以与捕获次数成反比,第二活跃度可以与当前时间和最后一次捕获时间的差值成反比。对第一活跃度和第二活跃度进行加权处理,得到该病毒样本对应的目标活跃度。
示例性的,基于该第一次捕获时间、该最后一次通信时间、该通信次数和当前时间确定第一活跃度,可以包括但不限于:可以采用如下公式确定第一活跃度:(T4-T1)/(N2*(T4-T3));其中,T1用于表示第一次捕获时间,T3用于表示最后一次通信时间,N2用于表示通信次数,T4用于表示当前时间。
示例性的,基于该第一次捕获时间、该最后一次捕获时间、该捕获次数和当前时间确定第二活跃度,可以包括但不限于:可以采用如下公式确定第二活跃度:(T4-T1)/(N1*(T4-T2));其中,T1用于表示第一次捕获时间,T2用于表示最后一次捕获时间,N1用于表示捕获次数,T4用于表示当前时间。
步骤104、判断目标活跃度是否小于预设阈值(可以根据经验配置)。
如果是,即目标活跃度小于预设阈值,则可以执行步骤105。
如果否,即目标活跃度不小于预设阈值,则可以执行步骤106。
步骤105、停止对病毒样本进行分析,即停止通过沙箱对病毒样本进行分析。
步骤106、继续对病毒样本进行分析(即继续通过沙箱对病毒样本进行分析),等到下一个活跃度统计周期,重新确定病毒样本对应的目标活跃度。
示例性的,在获取到第一个病毒样本时,将该病毒样本的获取时间作为第一次捕获时间,并将捕获次数加1;其中,捕获次数的初始值为0。在获取到第一个病毒样本之后,在每次获取到病毒样本时,将该病毒样本的获取时间作为最后一次捕获时间,将捕获次数加1。在通过沙箱运行病毒样本的过程中,在每次接收到控制服务器向该病毒样本发送的指令时,将该指令的接收时间作为最后一次通信时间,将通信次数加1;其中,通信次数的初始值为0。
示例性的,在停止对病毒样本进行分析之后,还可以获取病毒样本在分析过程中产生的目标特征,并在特征库中记录病毒样本的特征码、目标特征和已结束标记之间的映射关系。进一步的,在获取到针对智能设备的病毒样本时,确定病毒样本对应的目标特征码,若特征库中已存在病毒样本对应的目标特征码,且目标特征码对应有已结束标记,则禁止将病毒样本发送到沙箱中。
由以上技术方案可见,本申请实施例中,将病毒样本发送到沙箱中,通过沙箱对病毒样本进行分析,从而基于病毒样本准确分析出攻击行为特征,继而对智能设备进行有效防护。可以提取攻击行为对应的病毒样本,获取到病毒样本及病毒样本行为的对应关系,对大规模病毒传播、攻击和控制行为进行收集和分析。在将病毒样本发送到沙箱之后,基于病毒样本对应的目标活跃度决策停止对病毒样本进行分析或继续对病毒样本进行分析,即基于目标活跃度动态决定沙箱分析时间,从而合理规划沙箱分析时间。在病毒样本不活跃时,及时停止对病毒样本进行分析,从而避免沙箱长时间对病毒样本进行分析,节省沙箱分析时间,大大减少沙箱占用的计算资源。在病毒样本活跃时,继续对病毒样本进行分析,从而在病毒样本的活跃周期内,准确分析出攻击行为特征。
以下结合具体应用场景,对本申请实施例的技术方案进行说明。
随着网络中的智能设备越来越多,针对智能设备的攻击行为也越来越多。为了对智能设备进行有效防护,就需要分析出攻击行为特征,基于攻击行为特征对智能设备进行有针对性的保护。但是,应该如何分析攻击行为特征,在相关技术中并没有有效的实现方式,继而导致无法对智能设备进行有效防护。
比如说,在获取到攻击流量后,将攻击流量发送到沙箱中,通过沙箱对攻击流量进行分析,得到攻击流量的攻击行为特征。然而,沙箱中执行的是攻击流量,而不是病毒本体(即病毒样本),无法有效分析病毒样本的攻击行为特征,也就无法基于病毒样本的攻击行为特征对智能设备进行有针对性的保护。
此外,在将攻击流量发送到沙箱之后,会约定沙箱对该攻击流量的分析时长(如用户配置分析时长),为了有效分析攻击流量的攻击行为特征,通常分析时长会比较大,即沙箱需要长时间运行攻击流量,得到攻击行为特征。然而,攻击流量在沙箱内运行时,可能长时间处于休眠(这是由于病毒本身特性导致,即控制服务器可能长时间都不会下发指令,导致攻击流量长时间处于休眠),这样,导致沙箱分析时间很长,且无法得到攻击行为特征,且沙箱长时间运行攻击流量时,也会占用大量计算资源,浪费了大量计算资源。
针对上述发现,本申请实施例提出一种针对智能设备安全威胁的智能分析方法,在获取到攻击流量之后,获取攻击流量对应的病毒样本,将病毒样本发送到沙箱中,通过沙箱对病毒样本进行分析,得到病毒样本的攻击行为特征。由于沙箱中执行的是病毒样本(即病毒本体),从而能够有效分析病毒样本的攻击行为特征,基于病毒样本的攻击行为特征对智能设备进行有针对性的保护。
此外,在将攻击流量发送到沙箱之后,基于病毒样本对应的目标活跃度决策停止对病毒样本进行分析或继续对病毒样本进行分析,即基于目标活跃度动态决定沙箱分析时间,从而合理规划沙箱分析时间。在病毒样本不活跃时,及时停止对病毒样本进行分析,从而避免沙箱长时间对病毒样本进行分析,节省沙箱分析时间,大大减少沙箱占用的计算资源。在病毒样本活跃时,继续对病毒样本进行分析,从而在病毒样本的活跃周期内,准确分析出攻击行为特征。
本申请实施例中,涉及病毒样本的提取过程,以及,基于病毒样本的分析过程。针对病毒样本的提取过程,可以将病毒样本的提取过程划分为三个阶段进行分析:流量阶段、有效载荷执行阶段、病毒样本执行阶段。
针对流量阶段,针对智能设备的病毒会使用一个体积较小的脚本或程序作为攻击的有效载荷(有效载荷也可以称为下载器),因此,在流量阶段,可以对攻击流量中的有效载荷进行提取,即从攻击流量中提取出有效载荷,从而能够获得病毒的有效载荷,基于该有效载荷进行有效载荷执行阶段。
针对有效载荷执行阶段,可以对有效载荷进行静态分析或者动态分析,得到有效载荷对应的病毒样本,该病毒样本也可以称为病毒本体,并将病毒样本归档,基于该病毒样本进行病毒样本执行阶段。
针对病毒样本执行阶段,可以对病毒样本进行静态分析,确定病毒样本攻击的目标架构,并将病毒样本发送到与该目标架构对应沙箱中,以通过沙箱对病毒样本进行动态分析,获得病毒样本的攻击行为特征。关于“通过沙箱对病毒样本进行动态分析”的过程,可以参见基于病毒样本的分析过程。
针对基于病毒样本的分析过程,可以通过沙箱执行病毒样本,在病毒样本执行时,实时获取病毒样本的攻击行为特征,并对病毒样本的攻击和传播行为进行拦截,并提取病毒样本的多种行为特征综合得出病毒样本的活跃度指标,根据病毒样本的活跃度指标动态决定沙箱分析时间,合理规划沙箱分析时间。
针对病毒样本的提取过程,可以应用于任意设备,为了方便描述,可以将该设备称为管理设备,参见图2所示,该过程可以包括:
步骤201、获取针对智能设备的攻击流量。
示例性的,管理设备可以从智能设备获取攻击流量。比如说,智能设备在接收到流量后,分析该流量是否为攻击流量,若是,则将攻击流量发送给管理设备,由管理设备获取到针对智能设备的攻击流量。
示例性的,管理设备还可以从蜜罐系统获取攻击流量。比如说,蜜罐是一种对攻击者进行欺骗的技术,可以通过布置一些诱饵(如主机、网络服务等),诱使攻击者对诱饵进行攻击,从而对攻击行为进行捕获和分析,了解攻击者使用的工具与方法,是发现攻击者技术特征和攻击工具的有效方法。
基于此,可以构建一个针对智能设备的蜜罐系统,该蜜罐系统通过搭建虚拟的智能设备,诱导攻击者访问或者攻击蜜罐系统,从而使蜜罐系统能够得到攻击流量,这样,管理设备就可以从蜜罐系统获取攻击流量。
其中,为了构建针对智能设备的蜜罐系统,可以生成智能设备的设备指纹,该设备指纹可以包括智能设备的协议端口等,如HTTP端口、RTSP端口等,从而诱导攻击者访问或者攻击蜜罐系统,对此过程不做限制。
当然,上述只是获取攻击流量的两个示例,对此获取方式不做限制。
步骤202、从攻击流量中获取有效载荷,该有效载荷包括用于对智能设备进行攻击的代码文件,且该代码文件包括文件服务器的地址信息。
示例性的,针对智能设备的病毒会使用一个体积较小的脚本或程序作为攻击的有效载荷,即攻击流量会包括有效载荷,从而通过有效载荷对智能设备进行攻击,因此,管理设备可以对攻击流量中的有效载荷进行提取,即从攻击流量中获取有效载荷,这个过程就是流量阶段。
示例性的,在网络安全领域,攻击流量中实际产生作用、且被执行的代码部分被称为有效载荷,因此,有效载荷可以包括用于对智能设备进行攻击的代码文件,在执行这个代码文件时,就会对智能设备进行攻击。
该代码文件包括文件服务器的地址信息,文件服务器是病毒样本的存储服务器,文件服务器用于存储病毒样本,显然,在执行代码文件时,该代码文件就会从文件服务器下载病毒样本,继而通过病毒样本对智能设备进行攻击。
步骤203、从该有效载荷中获取文件服务器的地址信息,并基于文件服务器的地址信息从文件服务器下载该有效载荷对应的病毒样本。
示例性的,在从攻击流量中获取有效载荷后,不是执行这个有效载荷,而是通过对该有效载荷进行分析,从有效载荷中获取文件服务器的地址信息。显然,既然有效载荷的代码文件中包括文件服务器的地址信息,那么,就可以从该有效载荷中获取到文件服务器的地址信息,对此过程不做限制。
在得到文件服务器的地址信息之后,就可以基于该地址信息从文件服务器下载该有效载荷对应的病毒样本。显然,由于文件服务器是病毒样本的存储服务器,且已经存储病毒样本,因此,管理设备可以基于该地址信息从文件服务器下载该有效载荷对应的病毒样本,这个过程就是有效载荷执行阶段。
步骤204、确定病毒样本对应的目标特征码和目标架构。
示例性的,在得到有效载荷对应的病毒样本之后,可以对病毒样本进行分析,得到病毒样本对应的目标特征码,目标特征码是病毒样本的唯一标识。比如说,对病毒样本的部分内容或者全部内容进行哈希运算,得到病毒样本对应的目标特征码。或者,对病毒样本的部分内容或者全部内容进行摘要运算,得到病毒样本对应的目标特征码。当然,上述只是示例,对此目标特征码的获取方式不做限制,只要目标特征码能够作为病毒样本的唯一标识即可。
示例性的,在得到有效载荷对应的病毒样本之后,可以对病毒样本进行分析,得到病毒样本对应的目标架构,该病毒样本用于对采用该目标架构的智能设备进行攻击。比如说,病毒样本可以包括与目标架构有关的信息,如某个字段表示与目标架构有关的信息,将该信息称为目标架构信息,这样,就可以从该病毒样本中获取目标架构信息,并基于目标架构信息确定该病毒样本对应的目标架构。比如说,目标架构可以如X86架构、ARM架构等,若目标架构信息为A1,则确定目标架构为X86架构,即病毒样本用于对采用X86架构的智能设备进行攻击。若目标架构信息为A2,则确定目标架构为ARM架构,即病毒样本用于对采用ARM架构的智能设备进行攻击。当然,上述只是示例,对此目标架构的获取方式不做限制,只要能够得到目标架构即可。
示例性的,在得到病毒样本对应的目标特征码之后,还可以判断特征库(用于记录攻击行为特征)中是否已存在病毒样本对应的目标特征码。
如果否,则表示该病毒样本是第一个病毒样本,从所有沙箱中选取与目标架构对应的沙箱,并将该病毒样本发送到选取的沙箱中,通过该沙箱对该病毒样本进行分析,即通过该沙箱运行该病毒样本,并对该病毒样本进行分析。
比如说,管理设备可以维护每个目标架构对应的沙箱,如X86架构对应的沙箱、ARM架构对应的沙箱等,针对第一个病毒样本,可以将该病毒样本发送到与目标架构对应的沙箱,这个过程就是病毒样本执行阶段。
其中,沙箱是一种虚拟系统程序,为程序提供隔离环境,是用来获取不受信任程序的行为的工具,可以通过沙箱对病毒样本进行分析。
如果是,则表示该病毒样本不是第一个病毒样本,还可以判断特征库中是否存在目标特征码对应的已结束标记。如果存在已结束标记,则表示病毒样本已完成分析过程,已得到该病毒样本的攻击行为特征,禁止将病毒样本发送到沙箱中,也不再通过沙箱对病毒样本进行分析,该病毒样本的分析过程已结束,也就是说,不会再基于该病毒样本进行分析,该病毒样本的处理已结束。
如果不存在已结束标记,则表示病毒样本未完成分析过程,该病毒样本正在分析过程中,还未得到该病毒样本的攻击行为特征(或只得到部分攻击行为特征),该病毒样本对应的第一个病毒样本仍然在沙箱中运行。由于该病毒样本对应的第一个病毒样本仍然在沙箱中运行,因此,禁止将该病毒样本发送到沙箱中。由于该病毒样本正在分析过程中,即仍然通过沙箱对该病毒样本对应的第一个病毒样本进行分析,该病毒样本的分析过程未结束,因此,还需要基于该病毒样本更新病毒样本的最后一次捕获时间、病毒样本的捕获次数等参数,基于这些参数对第一个病毒样本进行分析,该过程参见后续实施例。
综上可以看出,在将病毒样本发送到沙箱之前,会增加病毒样本的分析过程,得到病毒样本对应的目标特征码,若特征库中已存在目标特征码对应的已结束标记,则表示是相同病毒样本,针对该病毒样本不再进入沙箱分析阶段。
在针对智能设备的攻击中,普遍采用蠕虫方式传播,被攻击设备又会对其它设备进行扫描和攻击,因此,可能得到来自同一病毒的大量攻击流量,即得到同类型的大量病毒样本,基于此,在获取到病毒样本之后,相同来源的病毒样本不会送入沙箱再次执行,从而减少送入沙箱的病毒样本数量。由于沙箱分析阶段是最消耗时间和计算资源的阶段,因此,通过减少送入沙箱的病毒样本数量,能够节省时间和计算资源,能够有效提升系统的性能。
针对病毒样本的分析过程,可以应用于任意设备,为了方便描述,将该设备称为管理设备,参见图3所示,该过程可以包括:
步骤301、在获取到第一个病毒样本时,将该病毒样本发送到沙箱中,通过沙箱对该病毒样本进行分析,即分析病毒样本的攻击行为特征。
示例性的,在获取到第一个病毒样本时,从该病毒样本中获取目标架构信息,基于目标架构信息确定该病毒样本对应的目标架构,从所有沙箱中选取与目标架构对应的沙箱,并将该病毒样本发送到选取的沙箱中,通过该沙箱对该病毒样本进行分析,即通过沙箱运行该病毒样本,并对该病毒样本进行分析。
示例性的,在获取到病毒样本时,可以对该病毒样本进行分析,得到该病毒样本对应的目标特征码,并判断特征库中是否已存在该病毒样本对应的目标特征码,如果否,则表示该病毒样本是第一个病毒样本。
示例性的,在病毒样本是第一个病毒样本时,还可以在特征库中记录该病毒样本对应的目标特征码,如该病毒样本对应的目标特征码为H1,并将目标特征码对应的已结束标记设置为否,参见表1所示,为特征库的一个示例。
表1
步骤302、在获取到第一个病毒样本时,将该病毒样本的获取时间作为第一次捕获时间,并将捕获次数加1;其中,捕获次数的初始值为0。
示例性的,在获取到第一个病毒样本时,还可以在特征库中记录病毒样本的第一次捕获时间T1、病毒样本的最后一次捕获时间T2、病毒样本的捕获次数N1,参见表2所示,为特征库的一个示例。显然,在获取到第一个病毒样本时,最后一次捕获时间T2与第一次捕获时间T1相同,捕获次数N1为1。
表2
步骤303、在获取到第一个病毒样本之后,在每次获取到病毒样本时,将该病毒样本的获取时间作为最后一次捕获时间T2,并将捕获次数加1,即对捕获次数N1进行更新,更新后的捕获次数N1是更新前的捕获次数N1+1。
示例性的,在每次获取到病毒样本时,可以对该病毒样本进行分析,得到该病毒样本对应的目标特征码(如H1),并判断特征库中是否已存在该病毒样本对应的目标特征码,如果是,还需要判断该目标特征码对应的已结束标记是否为否,如果已结束标记为否,则表示病毒样本未完成分析过程,因此,可以将该病毒样本的获取时间作为最后一次捕获时间T2,并对捕获次数N1进行更新,即将捕获次数N1+1,也就是说,在已结束标记为否时,每次获取到病毒样本时,就需要更新最后一次捕获时间T2和捕获次数N1,已结束标记为否表示仍然需要更新最后一次捕获时间T2和捕获次数N1。或者,如果已结束标记为是,则表示病毒样本已完成分析过程,不再更新最后一次捕获时间T2和捕获次数N1,也就是说,在已结束标记为是时,每次获取到病毒样本时,不再更新最后一次捕获时间T2和捕获次数N1,表示这个病毒样本的处理过程已经结束。
步骤304、在通过沙箱运行病毒样本的过程中,在每次接收到控制服务器向该病毒样本发送的指令时,将该指令的接收时间作为最后一次通信时间,并将通信次数加1,即对通信次数进行更新,其中,通信次数的初始值为0。
示例性的,在将第一个病毒样本发送到沙箱之后,通过沙箱对该病毒样本进行分析,即分析病毒样本的攻击行为特征。而且,沙箱会使用流量阻断策略对病毒传播和攻击行为进行阻断,但会保留病毒样本与控制服务器之间的通信。
示例性的,控制服务器可以是病毒样本的控制服务器,控制服务器与文件服务器可以是同一个服务器,也可以是不同服务器。控制服务器通过向病毒样本下发指令,以使病毒样本执行与该指令匹配的攻击行为,继而对智能设备进行攻击。显然,由于沙箱会保留病毒样本与控制服务器之间的通信,因此,病毒样本仍然可以接收到控制服务器下发的指令。基于此,在通过沙箱运行病毒样本的过程中,在每次接收到控制服务器向病毒样本发送的指令时,还可以在特征库中记录病毒样本与控制服务器的最后一次通信时间T3、病毒样本与控制服务器的通信次数N2。比如说,将该指令的接收时间作为最后一次通信时间T3,并将通信次数N2加1,即对通信次数N2进行更新,更新后的通信次数N2是更新前的通信次数N2+1。参见表3所示,为特征库的一个示例。
表3
步骤305、在活跃度统计周期,基于第一次捕获时间T1、最后一次捕获时间T2、捕获次数N1、最后一次通信时间T3、通信次数N2、活跃度统计周期的当前时间T4,确定该病毒样本对应的目标活跃度。
示例性的,可以周期性统计病毒样本对应的目标活跃度,比如说,每隔5分钟统计病毒样本对应的目标活跃度,这样,在每个活跃度统计周期(如第5、10、15分钟等),均会执行步骤305,得到病毒样本对应的目标活跃度。活跃度统计周期可以是根据经验配置的,也可以是采用某种策略得到,如管理设备的性能比较好时,活跃度统计周期可以设置的比较小,如几十秒、1分钟等,如管理设备的性能比较差时,活跃度统计周期可以设置的比较大,如十几分钟等。关于活跃度的统计也可以通过捕获到病毒样本的时机触发,例如间隔捕获到指定次数病毒样本时触发一次活跃度统计,即活跃度统计周期为指定病毒样本捕获次数的时间周期;关于活跃度的统计也可以通过接收到控制服务器向病毒样本发送指令的时机触发,例如间隔指定通信次数触发一次活跃度统计,即活跃度统计周期为指定通信次数的时间周期。
其中,在活跃度统计周期,可以从特征库中获取第一次捕获时间T1、最后一次捕获时间T2、捕获次数N1、最后一次通信时间T3、通信次数N2,并将活跃度统计周期的当前时间作为T4,基于上述参数确定目标活跃度。
为了确定病毒样本对应的目标活跃度,可以采用如下步骤,当然,如下步骤只是示例,对此不做限制,只要能够基于上述参数确定目标活跃度即可。
步骤3051、基于第一次捕获时间T1、最后一次通信时间T3、通信次数N2和当前时间T4确定第一活跃度,第一活跃度也可以称为控制服务器的活跃度。
示例性的,第一活跃度与当前时间T4和第一次捕获时间T1的差值成正比,第一活跃度与通信次数N2成反比,第一活跃度与当前时间T4和最后一次通信时间T3的差值成反比。比如说,可以采用如下公式确定第一活跃度:(T4-T1)/(N2*(T4-T3))。当然,上述公式只是一个示例,对此不做限制。
步骤3052、基于第一次捕获时间T1、最后一次捕获时间T2、捕获次数N1和当前时间T4确定第二活跃度,第二活跃度也可以称为病毒传播活跃度。
示例性的,第二活跃度与当前时间T4和第一次捕获时间T1的差值成正比,第二活跃度与捕获次数N1成反比,第二活跃度与当前时间T4和最后一次捕获时间T2的差值成反比。比如说,可以采用如下公式确定第二活跃度:(T4-T1)/(N1*(T4-T2))。当然,上述公式只是一个示例,对此不做限制。
步骤3053、对第一活跃度和第二活跃度进行加权处理,得到该病毒样本对应的目标活跃度,目标活跃度也可以称为病毒样本的综合活跃度。
比如说,可以采用如下公式确定目标活跃度:M3=M1*W1+M2*W2。其中,M3表示目标活跃度,M1表示第一活跃度,M2表示第二活跃度。W1表示第一活跃度的权重系数,W2表示第二活跃度的权重系数。W1和W2可以根据经验配置,W1可以大于W2,W1可以等于W2,W1可以小于W2。
至此,完成步骤305,得到病毒样本对应的目标活跃度。
步骤306、判断目标活跃度是否小于预设阈值。
如果是,即目标活跃度小于预设阈值,则可以执行步骤307。
如果否,即目标活跃度不小于预设阈值,则可以执行步骤308。
步骤307、停止对病毒样本进行分析,即停止通过沙箱对病毒样本进行分析,获取病毒样本在分析过程中产生的目标特征(即攻击行为特征),并在特征库中记录病毒样本的特征码、目标特征和已结束标记之间的映射关系。
示例性的,若目标活跃度小于预设阈值,则表示病毒样本不活跃,需要及时停止对病毒样本的分析,避免沙箱占用大量计算资源,并在特征库中记录病毒样本的特征码(即目标特征码)、目标特征(即分析过程中产生的攻击行为特征)和已结束标记之间的映射关系,参见表4所示,为特征库的一个示例。
表4
显然,再次获取到针对智能设备的病毒样本时,确定该病毒样本对应的目标特征码,若该病毒样本对应的目标特征码为H1,即特征库中已存在该病毒样本对应的目标特征码,且目标特征码对应有已结束标记,因此,禁止将病毒样本发送到沙箱中,也不再通过沙箱对病毒样本进行分析。
步骤308、继续对病毒样本进行分析,等到下一个活跃度统计周期,重新确定病毒样本对应的目标活跃度,即返回步骤305,在此不再重复赘述。
以下结合一个例子,对针对智能设备安全威胁的智能分析方法进行说明。
步骤S11、生成智能设备的设备指纹,该设备指纹包括智能设备的协议端口等,诱导攻击者访问或者攻击蜜罐系统,并从蜜罐系统获取攻击流量。
步骤S12、对攻击流量进行分析,提取有效载荷。
步骤S13、对有效载荷进行分析,获取病毒样本。
步骤S14、提取病毒样本的静态特征,得到目标特征码H1和目标架构。
步骤S15、判断特征库中是否已存在目标特征码H1。
步骤S16、若特征库中存在目标特征码H1,且目标特征码H1对应已结束标记,则结束病毒样本的处理流程,特征库中已存在攻击行为特征。
步骤S17、若特征库中未存在目标特征码H1,则从所有沙箱中选取与目标架构对应的沙箱,将该病毒样本发送到该沙箱中,通过该沙箱对该病毒样本进行分析。以及,在特征库中记录该病毒样本对应的目标特征码H1,将目标特征码H1对应的已结束标记设置为否,在特征库中记录病毒样本的第一次捕获时间T1、病毒样本的最后一次捕获时间T2、病毒样本的捕获次数N1。
步骤S18、若特征库中存在目标特征码H1,且目标特征码H1未对应已结束标记,则将病毒样本的获取时间作为最后一次捕获时间T2,将捕获次数加1,即对捕获次数N1进行更新,更新后的捕获次数N1是更新前的捕获次数N1+1。
步骤S19、在通过沙箱运行病毒样本的过程中,在每次接收到控制服务器向病毒样本发送的指令时,在特征库中记录最后一次通信时间T3、通信次数N2。比如说,将该指令的接收时间作为最后一次通信时间T3,并将通信次数N2加1。
步骤S20、在活跃度统计周期,基于第一次捕获时间T1、最后一次捕获时间T2、捕获次数N1、最后一次通信时间T3、通信次数N2、活跃度统计周期的当前时间T4,确定该病毒样本对应的目标活跃度。
步骤S21、判断目标活跃度是否小于预设阈值。
如果是,则可以执行步骤S22。如果否,则执行步骤S23。
步骤S22、停止对病毒样本进行分析,对沙箱实例进行销毁(即表示该病毒样本的分析过程已结束),进入下一轮事件(即其它病毒样本的分析)循环。
步骤S23、继续对病毒样本进行分析。
由以上技术方案可见,本申请实施例中,提取攻击行为对应的病毒样本,获取到病毒样本及病毒样本行为的对应关系,对大规模病毒传播、攻击和控制行为进行收集和分析。在将病毒样本发送到沙箱后,基于病毒样本对应的目标活跃度决策停止对病毒样本进行分析或继续对病毒样本进行分析,即基于目标活跃度动态决定沙箱分析时间,合理规划沙箱分析时间。在病毒样本不活跃时,及时停止对病毒样本进行分析,从而避免沙箱长时间对病毒样本进行分析,节省沙箱分析时间,大大减少沙箱占用的计算资源。在病毒样本活跃时,继续对病毒样本进行分析,从而在病毒样本的活跃周期内,准确分析出攻击行为特征。
基于与上述方法同样的申请构思,本申请实施例提出一种针对智能设备安全威胁的智能分析装置,参见图4所示,为该装置的结构示意图,该装置包括:
获取模块41,用于获取针对智能设备的病毒样本,将所述病毒样本发送到沙箱中,通过所述沙箱对所述病毒样本进行分析;
确定模块42,用于在活跃度统计周期,基于所述病毒样本的第一次捕获时间、所述病毒样本的最后一次捕获时间、所述病毒样本的捕获次数、所述病毒样本与控制服务器的最后一次通信时间、所述病毒样本与控制服务器的通信次数、所述活跃度统计周期的当前时间,确定所述病毒样本对应的目标活跃度;
处理模块43,用于若目标活跃度小于预设阈值,则停止对所述病毒样本进行分析;若目标活跃度不小于预设阈值,则继续对所述病毒样本进行分析,等到下一个活跃度统计周期,由确定模块42重新确定病毒样本对应的目标活跃度。
示例性的,所述确定模块42具体用于:基于所述第一次捕获时间、所述最后一次通信时间、所述通信次数和所述当前时间确定第一活跃度;其中,所述第一活跃度与所述当前时间和所述第一次捕获时间的差值成正比,所述第一活跃度与所述通信次数成反比,所述第一活跃度与所述当前时间和所述最后一次通信时间的差值成反比;基于所述第一次捕获时间、所述最后一次捕获时间、所述捕获次数和所述当前时间确定第二活跃度;其中,所述第二活跃度与所述当前时间和所述第一次捕获时间的差值成正比,所述第二活跃度与所述捕获次数成反比,所述第二活跃度与所述当前时间和所述最后一次捕获时间的差值成反比;对第一活跃度和第二活跃度进行加权处理,得到所述目标活跃度。
示例性的,所述确定模块42基于所述第一次捕获时间、所述最后一次通信时间、所述通信次数和所述当前时间确定第一活跃度时具体用于:采用如下公式确定第一活跃度:(T4-T1)/(N2*(T4-T3));所述确定模块42基于所述第一次捕获时间、所述最后一次捕获时间、所述捕获次数和所述当前时间确定第二活跃度时具体用于:采用如下公式确定第二活跃度:(T4-T1)/(N1*(T4-T2));T1表示第一次捕获时间,T3表示最后一次通信时间,N2表示通信次数,T4表示当前时间;T2表示最后一次捕获时间,N1表示捕获次数。
示例性的,所述处理模块43,还用于在获取到第一个病毒样本时,将该病毒样本的获取时间作为所述第一次捕获时间,并将所述捕获次数加1;其中,所述捕获次数的初始值为0;在获取到第一个病毒样本之后,在每次获取到病毒样本时,将该病毒样本的获取时间作为所述最后一次捕获时间,将所述捕获次数加1;在通过所述沙箱运行所述病毒样本的过程中,在每次接收到所述控制服务器向该病毒样本发送的指令时,将该指令的接收时间作为所述最后一次通信时间,将所述通信次数加1;其中,所述通信次数的初始值为0。
示例性的,所述获取模块41获取针对智能设备的病毒样本时具体用于:获取针对智能设备的攻击流量;从所述攻击流量中获取有效载荷,所述有效载荷包括用于对智能设备进行攻击的代码文件,所述代码文件包括文件服务器的地址信息;从所述有效载荷中获取所述地址信息,基于所述地址信息从文件服务器下载所述有效载荷对应的病毒样本;文件服务器存储有所述病毒样本。
示例性的,所述获取模块41将所述病毒样本发送到沙箱中,通过所述沙箱对所述病毒样本进行分析时具体用于:在获取到第一个病毒样本时,从所述病毒样本中获取目标架构信息,并基于所述目标架构信息确定所述病毒样本对应的目标架构;其中,所述病毒样本用于对采用所述目标架构的智能设备进行攻击;从所有沙箱中选取与所述目标架构对应的沙箱,将所述病毒样本发送到选取的沙箱中,通过所述沙箱对所述病毒样本进行分析。
示例性的,所述获取模块41,还用于在停止对所述病毒样本进行分析后,获取所述病毒样本在分析过程中产生的目标特征,并在特征库中记录所述病毒样本的特征码、所述目标特征和已结束标记之间的映射关系;所述获取模块41,还用于在获取到针对智能设备的病毒样本时,确定所述病毒样本对应的目标特征码,若所述特征库中已存在所述病毒样本对应的目标特征码,且所述目标特征码对应有已结束标记,则禁止将所述病毒样本发送到沙箱中。
基于与上述方法同样的申请构思,本申请实施例提出一种电子设备(如管理设备),参见图5所示,包括处理器51和机器可读存储介质52,机器可读存储介质52存储有能够被处理器51执行的机器可执行指令;处理器51用于执行机器可执行指令,以实现上述针对智能设备安全威胁的智能分析方法。
基于与上述方法同样的申请构思,本申请实施例还提供一种机器可读存储介质,机器可读存储介质上存储有若干计算机指令,计算机指令被处理器执行时,能够实现上述示例的针对智能设备安全威胁的智能分析方法。
其中,上述机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种针对智能设备安全威胁的智能分析方法,其特征在于,包括:
获取针对智能设备的病毒样本;
将所述病毒样本发送到沙箱中,通过所述沙箱对所述病毒样本进行分析;
在活跃度统计周期,基于所述病毒样本的第一次捕获时间、所述病毒样本的最后一次捕获时间、所述病毒样本的捕获次数、所述病毒样本与控制服务器的最后一次通信时间、所述病毒样本与控制服务器的通信次数、所述活跃度统计周期的当前时间,确定所述病毒样本对应的目标活跃度;
若所述目标活跃度小于预设阈值,则停止对所述病毒样本进行分析;
若所述目标活跃度不小于预设阈值,则继续对所述病毒样本进行分析,等到下一个活跃度统计周期,重新确定所述病毒样本对应的目标活跃度。
2.根据权利要求1所述的方法,其特征在于,
所述基于所述病毒样本的第一次捕获时间、所述病毒样本的最后一次捕获时间、所述病毒样本的捕获次数、所述病毒样本与控制服务器的最后一次通信时间、所述病毒样本与控制服务器的通信次数、所述活跃度统计周期的当前时间,确定所述病毒样本对应的目标活跃度,包括:
基于所述第一次捕获时间、所述最后一次通信时间、所述通信次数和所述当前时间确定第一活跃度;其中,所述第一活跃度与所述当前时间和所述第一次捕获时间的差值成正比,所述第一活跃度与所述通信次数成反比,所述第一活跃度与所述当前时间和所述最后一次通信时间的差值成反比;
基于所述第一次捕获时间、所述最后一次捕获时间、所述捕获次数和所述当前时间确定第二活跃度;其中,所述第二活跃度与所述当前时间和所述第一次捕获时间的差值成正比,所述第二活跃度与所述捕获次数成反比,所述第二活跃度与所述当前时间和所述最后一次捕获时间的差值成反比;
对第一活跃度和第二活跃度进行加权处理,得到所述目标活跃度。
3.根据权利要求2所述的方法,其特征在于,
所述基于所述第一次捕获时间、所述最后一次通信时间、所述通信次数和所述当前时间确定第一活跃度,包括:采用如下公式确定所述第一活跃度:
(T4-T1)/(N2*(T4-T3))
其中,T1用于表示所述第一次捕获时间,T3用于表示所述最后一次通信时间,N2用于表示所述通信次数,T4用于表示所述当前时间;
所述基于所述第一次捕获时间、所述最后一次捕获时间、所述捕获次数和所述当前时间确定第二活跃度,包括:采用如下公式确定所述第二活跃度:
(T4-T1)/(N1*(T4-T2))
其中,T2用于表示所述最后一次捕获时间,N1用于表示所述捕获次数。
4.根据权利要求1-3任一所述的方法,其特征在于,所述方法还包括:
在获取到第一个病毒样本时,将该病毒样本的获取时间作为所述第一次捕获时间,并将所述捕获次数加1;其中,所述捕获次数的初始值为0;
在获取到第一个病毒样本之后,在每次获取到病毒样本时,将该病毒样本的获取时间作为所述最后一次捕获时间,将所述捕获次数加1;
在通过所述沙箱运行所述病毒样本的过程中,在每次接收到所述控制服务器向该病毒样本发送的指令时,将该指令的接收时间作为所述最后一次通信时间,将所述通信次数加1;其中,所述通信次数的初始值为0。
5.根据权利要求1所述的方法,其特征在于,
所述获取针对智能设备的病毒样本,包括:
获取针对智能设备的攻击流量;
从所述攻击流量中获取有效载荷,所述有效载荷包括用于对智能设备进行攻击的代码文件,且所述代码文件包括文件服务器的地址信息;
从所述有效载荷中获取所述文件服务器的地址信息,基于所述地址信息从所述文件服务器下载所述有效载荷对应的病毒样本;
其中,所述文件服务器存储有所述病毒样本。
6.根据权利要求1所述的方法,其特征在于,所述将所述病毒样本发送到沙箱中,通过所述沙箱对所述病毒样本进行分析,包括:
在获取到第一个病毒样本时,从所述病毒样本中获取目标架构信息,并基于所述目标架构信息确定所述病毒样本对应的目标架构;其中,所述病毒样本用于对采用所述目标架构的智能设备进行攻击;
从所有沙箱中选取与所述目标架构对应的沙箱,将所述病毒样本发送到选取的沙箱中,通过所述沙箱对所述病毒样本进行分析。
7.根据权利要求1所述的方法,其特征在于,
所述停止对所述病毒样本进行分析之后,所述方法还包括:
获取所述病毒样本在分析过程中产生的目标特征,并在特征库中记录所述病毒样本的特征码、所述目标特征和已结束标记之间的映射关系;
在获取到针对智能设备的病毒样本时,确定所述病毒样本对应的目标特征码,若所述特征库中已存在所述病毒样本对应的目标特征码,且所述目标特征码对应有已结束标记,则禁止将所述病毒样本发送到沙箱中。
8.一种针对智能设备安全威胁的智能分析装置,其特征在于,包括:
获取模块,用于获取针对智能设备的病毒样本,将所述病毒样本发送到沙箱中,通过所述沙箱对所述病毒样本进行分析;
确定模块,用于在活跃度统计周期,基于所述病毒样本的第一次捕获时间、所述病毒样本的最后一次捕获时间、所述病毒样本的捕获次数、所述病毒样本与控制服务器的最后一次通信时间、所述病毒样本与控制服务器的通信次数、所述活跃度统计周期的当前时间,确定所述病毒样本对应的目标活跃度;
处理模块,用于若目标活跃度小于预设阈值,则停止对所述病毒样本进行分析;若目标活跃度不小于预设阈值,则继续对所述病毒样本进行分析,等到下一个活跃度统计周期,由确定模块重新确定所述病毒样本对应的目标活跃度。
9.根据权利要求8所述的装置,其特征在于,
其中,所述确定模块具体用于:基于所述第一次捕获时间、所述最后一次通信时间、所述通信次数和所述当前时间确定第一活跃度;其中,所述第一活跃度与所述当前时间和所述第一次捕获时间的差值成正比,所述第一活跃度与所述通信次数成反比,所述第一活跃度与所述当前时间和所述最后一次通信时间的差值成反比;基于所述第一次捕获时间、所述最后一次捕获时间、所述捕获次数和所述当前时间确定第二活跃度;其中,所述第二活跃度与所述当前时间和所述第一次捕获时间的差值成正比,所述第二活跃度与所述捕获次数成反比,所述第二活跃度与所述当前时间和所述最后一次捕获时间的差值成反比;对第一活跃度和第二活跃度进行加权处理,得到所述目标活跃度;
其中,所述确定模块基于所述第一次捕获时间、所述最后一次通信时间、所述通信次数和所述当前时间确定第一活跃度时具体用于:采用如下公式确定第一活跃度:(T4-T1)/(N2*(T4-T3));所述确定模块基于所述第一次捕获时间、所述最后一次捕获时间、所述捕获次数和所述当前时间确定第二活跃度时具体用于:采用如下公式确定第二活跃度:(T4-T1)/(N1*(T4-T2));T1表示第一次捕获时间,T3表示最后一次通信时间,N2表示通信次数,T4表示当前时间;T2表示最后一次捕获时间,N1表示捕获次数;
其中,所述处理模块,还用于在获取到第一个病毒样本时,将该病毒样本的获取时间作为所述第一次捕获时间,并将所述捕获次数加1;其中,所述捕获次数的初始值为0;在获取到第一个病毒样本之后,在每次获取到病毒样本时,将该病毒样本的获取时间作为所述最后一次捕获时间,将所述捕获次数加1;在通过所述沙箱运行所述病毒样本的过程中,在每次接收到所述控制服务器向该病毒样本发送的指令时,将该指令的接收时间作为所述最后一次通信时间,将所述通信次数加1;其中,所述通信次数的初始值为0;
其中,所述获取模块获取针对智能设备的病毒样本时具体用于:获取针对智能设备的攻击流量;从所述攻击流量中获取有效载荷,所述有效载荷包括用于对智能设备进行攻击的代码文件,所述代码文件包括文件服务器的地址信息;从所述有效载荷中获取所述地址信息,基于所述地址信息从文件服务器下载所述有效载荷对应的病毒样本;所述文件服务器存储有所述病毒样本;
其中,所述获取模块将所述病毒样本发送到沙箱中,通过所述沙箱对所述病毒样本进行分析时具体用于:在获取到第一个病毒样本时,从所述病毒样本中获取目标架构信息,并基于所述目标架构信息确定所述病毒样本对应的目标架构;其中,所述病毒样本用于对采用所述目标架构的智能设备进行攻击;从所有沙箱中选取与所述目标架构对应的沙箱,将所述病毒样本发送到选取的沙箱中,通过所述沙箱对所述病毒样本进行分析;
其中,所述获取模块,还用于在停止对所述病毒样本进行分析后,获取所述病毒样本在分析过程中产生的目标特征,并在特征库中记录所述病毒样本的特征码、所述目标特征和已结束标记之间的映射关系;所述获取模块,还用于在获取到针对智能设备的病毒样本时,确定所述病毒样本对应的目标特征码,若所述特征库中已存在所述病毒样本对应的目标特征码,且所述目标特征码对应有已结束标记,则禁止将所述病毒样本发送到沙箱中。
10.一种电子设备,其特征在于,包括:处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;所述处理器用于执行机器可执行指令,以实现权利要求1-7任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310706187.6A CN116471123B (zh) | 2023-06-14 | 2023-06-14 | 针对智能设备安全威胁的智能分析方法、装置及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310706187.6A CN116471123B (zh) | 2023-06-14 | 2023-06-14 | 针对智能设备安全威胁的智能分析方法、装置及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116471123A true CN116471123A (zh) | 2023-07-21 |
CN116471123B CN116471123B (zh) | 2023-08-25 |
Family
ID=87181088
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310706187.6A Active CN116471123B (zh) | 2023-06-14 | 2023-06-14 | 针对智能设备安全威胁的智能分析方法、装置及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116471123B (zh) |
Citations (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012064208A (ja) * | 2010-09-15 | 2012-03-29 | Chunghwa Telecom Co Ltd | ネットワークウイルス防止方法及びシステム |
CN102750476A (zh) * | 2012-06-07 | 2012-10-24 | 腾讯科技(深圳)有限公司 | 鉴定文件安全性的方法和系统 |
CN102833240A (zh) * | 2012-08-17 | 2012-12-19 | 中国科学院信息工程研究所 | 一种恶意代码捕获方法及系统 |
CN105187367A (zh) * | 2015-06-04 | 2015-12-23 | 何飚 | 基于大数据发现的僵尸木马病毒检测及管控方法 |
WO2016110087A1 (zh) * | 2015-01-08 | 2016-07-14 | 中兴通讯股份有限公司 | 一种控制上网时间的方法、装置及计算机存储介质 |
CN106778273A (zh) * | 2016-12-28 | 2017-05-31 | 北京安天网络安全技术有限公司 | 一种验证恶意代码在受害者主机中活跃度的方法及系统 |
CN107066288A (zh) * | 2017-01-17 | 2017-08-18 | 北京光年无限科技有限公司 | 一种用于智能机器人的多模态交互方法及装置 |
CN109558726A (zh) * | 2018-09-29 | 2019-04-02 | 四川大学 | 一种基于动态分析的控制流劫持攻击检测技术与系统 |
CN109873811A (zh) * | 2019-01-16 | 2019-06-11 | 光通天下网络科技股份有限公司 | 基于攻击ip画像的网络安全防护方法及其网络安全防护系统 |
CN110222715A (zh) * | 2019-05-07 | 2019-09-10 | 国家计算机网络与信息安全管理中心 | 一种基于动态行为链和动态特征的样本同源分析方法 |
CN111177720A (zh) * | 2019-08-08 | 2020-05-19 | 腾讯科技(深圳)有限公司 | 基于大数据生成威胁情报的方法、装置及可读存储介质 |
CN111651751A (zh) * | 2019-03-04 | 2020-09-11 | 腾讯科技(深圳)有限公司 | 安全事件的分析报告生成方法、装置、存储介质及设备 |
EP3211558B1 (en) * | 2016-02-25 | 2021-09-22 | Cyren Inc. | Multi-threat analyzer array system and method of use |
CN113935022A (zh) * | 2021-12-17 | 2022-01-14 | 北京微步在线科技有限公司 | 一种同源样本捕获方法、装置、电子设备及存储介质 |
CN114117408A (zh) * | 2021-11-17 | 2022-03-01 | 绿盟科技集团股份有限公司 | 一种监听攻击端命令的方法、装置及可读存储介质 |
CN114629714A (zh) * | 2022-03-29 | 2022-06-14 | 济南大学 | 蜜罐和沙箱相互增强的恶意程序行为处理方法及系统 |
CN114692150A (zh) * | 2022-04-06 | 2022-07-01 | 安天科技集团股份有限公司 | 一种基于沙箱环境的恶意代码分析方法、装置及相关设备 |
WO2022156293A1 (zh) * | 2021-01-22 | 2022-07-28 | 华为技术有限公司 | 处理告警日志的方法、装置及存储介质 |
US20230004639A1 (en) * | 2021-06-30 | 2023-01-05 | Palo Alto Networks, Inc. | Early exit dynamic analysis of a virtual machine |
-
2023
- 2023-06-14 CN CN202310706187.6A patent/CN116471123B/zh active Active
Patent Citations (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012064208A (ja) * | 2010-09-15 | 2012-03-29 | Chunghwa Telecom Co Ltd | ネットワークウイルス防止方法及びシステム |
CN102750476A (zh) * | 2012-06-07 | 2012-10-24 | 腾讯科技(深圳)有限公司 | 鉴定文件安全性的方法和系统 |
CN102833240A (zh) * | 2012-08-17 | 2012-12-19 | 中国科学院信息工程研究所 | 一种恶意代码捕获方法及系统 |
WO2016110087A1 (zh) * | 2015-01-08 | 2016-07-14 | 中兴通讯股份有限公司 | 一种控制上网时间的方法、装置及计算机存储介质 |
CN105187367A (zh) * | 2015-06-04 | 2015-12-23 | 何飚 | 基于大数据发现的僵尸木马病毒检测及管控方法 |
EP3211558B1 (en) * | 2016-02-25 | 2021-09-22 | Cyren Inc. | Multi-threat analyzer array system and method of use |
CN106778273A (zh) * | 2016-12-28 | 2017-05-31 | 北京安天网络安全技术有限公司 | 一种验证恶意代码在受害者主机中活跃度的方法及系统 |
CN107066288A (zh) * | 2017-01-17 | 2017-08-18 | 北京光年无限科技有限公司 | 一种用于智能机器人的多模态交互方法及装置 |
CN109558726A (zh) * | 2018-09-29 | 2019-04-02 | 四川大学 | 一种基于动态分析的控制流劫持攻击检测技术与系统 |
CN109873811A (zh) * | 2019-01-16 | 2019-06-11 | 光通天下网络科技股份有限公司 | 基于攻击ip画像的网络安全防护方法及其网络安全防护系统 |
CN111651751A (zh) * | 2019-03-04 | 2020-09-11 | 腾讯科技(深圳)有限公司 | 安全事件的分析报告生成方法、装置、存储介质及设备 |
CN110222715A (zh) * | 2019-05-07 | 2019-09-10 | 国家计算机网络与信息安全管理中心 | 一种基于动态行为链和动态特征的样本同源分析方法 |
CN111177720A (zh) * | 2019-08-08 | 2020-05-19 | 腾讯科技(深圳)有限公司 | 基于大数据生成威胁情报的方法、装置及可读存储介质 |
WO2022156293A1 (zh) * | 2021-01-22 | 2022-07-28 | 华为技术有限公司 | 处理告警日志的方法、装置及存储介质 |
US20230004639A1 (en) * | 2021-06-30 | 2023-01-05 | Palo Alto Networks, Inc. | Early exit dynamic analysis of a virtual machine |
CN114117408A (zh) * | 2021-11-17 | 2022-03-01 | 绿盟科技集团股份有限公司 | 一种监听攻击端命令的方法、装置及可读存储介质 |
CN113935022A (zh) * | 2021-12-17 | 2022-01-14 | 北京微步在线科技有限公司 | 一种同源样本捕获方法、装置、电子设备及存储介质 |
CN114629714A (zh) * | 2022-03-29 | 2022-06-14 | 济南大学 | 蜜罐和沙箱相互增强的恶意程序行为处理方法及系统 |
CN114692150A (zh) * | 2022-04-06 | 2022-07-01 | 安天科技集团股份有限公司 | 一种基于沙箱环境的恶意代码分析方法、装置及相关设备 |
Also Published As
Publication number | Publication date |
---|---|
CN116471123B (zh) | 2023-08-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20170034189A1 (en) | Remediating ransomware | |
US10218717B1 (en) | System and method for detecting a malicious activity in a computing environment | |
US9392017B2 (en) | Methods, systems, and media for inhibiting attacks on embedded devices | |
US10291630B2 (en) | Monitoring apparatus and method | |
US10621338B1 (en) | Method to detect forgery and exploits using last branch recording registers | |
US20140157415A1 (en) | Information security analysis using game theory and simulation | |
US11438349B2 (en) | Systems and methods for protecting devices from malware | |
EP3270318B1 (en) | Dynamic security module terminal device and method for operating same | |
CN110602032A (zh) | 攻击识别方法及设备 | |
CN114363036B (zh) | 一种网络攻击路径获取方法、装置及电子设备 | |
JP6341964B2 (ja) | 悪意のあるコンピュータシステムを検出するシステム及び方法 | |
US10339307B2 (en) | Intrusion detection system in a device comprising a first operating system and a second operating system | |
KR20140125860A (ko) | 매립 디바이스에 대한 공격을 금지하기 위한 방법, 시스템 및 미디어 | |
CN110674496A (zh) | 程序对入侵终端进行反制的方法、系统以及计算机设备 | |
CN106682493B (zh) | 一种防止进程被恶意结束的方法、装置及电子设备 | |
CN116471123B (zh) | 针对智能设备安全威胁的智能分析方法、装置及设备 | |
Cedeno | Mitigating cyberattacks affecting resource-constrained devices through moving target defense (mtd) mechanisms | |
CN114285608B (zh) | 一种网络攻击诱捕方法、装置、电子设备及存储介质 | |
CN115688100A (zh) | 一种放置诱饵文件的方法、装置、设备及介质 | |
EP3252645B1 (en) | System and method of detecting malicious computer systems | |
CN113709130A (zh) | 基于蜜罐系统的风险识别方法及装置 | |
CN111680294A (zh) | 一种基于高交互蜜罐技术的数据库监控方法、装置、设备 | |
CN112090087A (zh) | 游戏外挂的检测方法及装置、存储介质、计算机设备 | |
CN114285622B (zh) | 一种主动诱捕安全防御方法、系统、电子设备及存储介质 | |
CN115189926B (zh) | 网络流量的检测方法、网络流量的检测系统和电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |