CN116502218A - 一种定向威胁攻击检测方法、装置与计算设备 - Google Patents

一种定向威胁攻击检测方法、装置与计算设备 Download PDF

Info

Publication number
CN116502218A
CN116502218A CN202310281313.8A CN202310281313A CN116502218A CN 116502218 A CN116502218 A CN 116502218A CN 202310281313 A CN202310281313 A CN 202310281313A CN 116502218 A CN116502218 A CN 116502218A
Authority
CN
China
Prior art keywords
file
trusted
threat attack
attack detection
detection method
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310281313.8A
Other languages
English (en)
Inventor
冀胜利
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Uniontech Software Technology Co Ltd
Original Assignee
Uniontech Software Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Uniontech Software Technology Co Ltd filed Critical Uniontech Software Technology Co Ltd
Priority to CN202310281313.8A priority Critical patent/CN116502218A/zh
Publication of CN116502218A publication Critical patent/CN116502218A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种定向威胁攻击检测方法、装置与计算设备,涉及APT攻击检测技术领域,目的是为了解决现有的电脑病毒和恶意软件检测技术无法有效地检测APT攻击的问题。上述定向威胁攻击检测方法包括:响应于检测到文件被访问,判断访问所述文件的进程的启动链是否可信;以及若不可信,则认为发生定向威胁攻击,并对所述进程做出响应。上述定向威胁攻击检测装置包括:判断单元和响应单元。本发明通过判断访问进程的启动链是否可信来判断访问进程是否为APT攻击程序,弥补了常规病毒检测手段无法检测APT攻击的这一空缺,通过在系统中创建资源模块限定了监控范围,使得监控更加精准。减少了监控功能所占用的系统资源。

Description

一种定向威胁攻击检测方法、装置与计算设备
技术领域
本发明涉及APT攻击检测技术领域,尤其是一种定向威胁攻击检测方法、装置与计算设备。
背景技术
对电脑病毒或者恶意软件进行检测的常规方式是基于特征库比对的方法。首先把病毒或恶意软件的特征提取出来,根据各个厂家的不同,通过自定义的格式组成特征库,将接口对传入的带测试文件与病毒库中的特征进行比对,当命中特征库中的病毒特征时,此待测试文件即为病毒或恶意软件;如果没有命中特征库的特征,则为非病毒软件。
高级可持续威胁(Advanced Persistent Threat,APT)攻击,也称为定向威胁攻击,指某个组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。APT攻击多以智能手机、平板电脑和USB等移动设备为目标继而入侵企业信息系统。
APT攻击程序属于比较高级的恶意程序,攻击者能适应防御者的入侵检测能力,不断更换和改进入侵方式,具有较强的隐藏能力,攻击入口、途径、和时间都是不确定和不可预见的,病毒特征不明显或者没有明显有效的特征。因此基于特征库比对的检测方法对APT攻击检测一般无效。
综上,由于APT攻击特征不明显,导致上述现有的电脑病毒和恶意软件检测技术无法有效地检测APT攻击。
发明内容
为此,本发明提供了一种定向威胁攻击检测方法、装置与计算设备,以力图解决或者至少缓解上面存在的至少一个问题。
根据本发明的一个方面,提供了定向威胁攻击检测方法,包括:响应于检测到文件被访问,判断访问所述文件的进程的启动链是否可信;以及若不可信,则认为发生定向威胁攻击,并对所述进程做出响应。
可选地,在根据本发明的定向威胁攻击检测方法中,所述文件的文件名以“0”、“.0”或“a”开头。
可选地,在根据本发明的定向威胁攻击检测方法中,所述文件位于所述操作系统的根目录、用户数据存储目录或用户家目录下。
可选地,在根据本发明的定向威胁攻击检测方法中,所述判断访问所述文件的进程的启动链是否可信包括:将所述启动链中的各进程分别与本地可信进程列表进行比对,若所述启动链中的各进程全部存在于所述本地可信进程列表中,则认为所述启动链可信;否则,所述启动链不可信。
可选地,在根据本发明的定向威胁攻击检测方法中,所述文件被访问包括打开所述文件、读取所述文件、变更所述文件的元数据、关闭所述文件、删除所述文件、修改所述文件、移动所述文件以及创建所述文件中的任一项。
可选地,在根据本发明的定向威胁攻击检测方法中,所述文件存储于资源模块中。
可选地,在根据本发明的定向威胁攻击检测方法中,所述创建文件包括在监控目录中创建文件,所述监控目录为监控列表中记录的资源模块中各文件的绝对路径。
根据本发明的另一方面,还提供了一种定向威胁攻击检测装置,包括:判断单元,适于响应于检测到文件被访问,判断访问所述文件的进程的启动链是否可信;以及响应单元,适于若不可信,则认为发生定向威胁攻击,并对所述进程做出响应。
根据本发明的另一方面,还提供了一种计算设备,包括:至少一个处理器和存储有程序指令的存储器;当程序指令被处理器读取并执行时,使得计算设备执行如上的定向威胁攻击检测方法。
根据本发明的再一方面,还提供了一种存储有程序指令的可读存储介质,当程序指令被计算设备读取并执行时,使得计算设备执行如上的定向威胁攻击检测方法。
根据本发明的定向威胁攻击检测方法、装置与计算设备,能够实现以下有益效果中的至少一种:通过判断访问进程的启动链是否可信来判断访问进程是否为APT攻击程序,弥补了常规病毒检测手段无法检测APT攻击的这一空缺。
此外,本发明通过在系统中创建存储有文件名以“0”、“.0”或“a”等开头的文件的资源模块的方式限定了监控范围,这些监控对象理论上不会有正常程序去访问,因此,一旦被访问,大概率为APT攻击程序。资源模块缩小了监控范围,使得监控更加精准,减少了监控功能所占用的系统资源。
附图说明
为了实现上述以及相关目的,本文结合下面的描述和附图来描述某些说明性方面,这些方面指示了可以实践本文所公开的原理的各种方式,并且所有方面及其等效方面旨在落入所要求保护的主题的范围内。通过结合附图阅读下面的详细描述,本公开的上述以及其它目的、特征和优势将变得更加明显。遍及本公开,相同的附图标记通常指代相同的部件或元素。
图1示出了根据本发明一个实施例的定向威胁攻击检测系统100的示意图;
图2示出了根据本发明一个实施例的计算设备200的示意图;
图3示出了根据本发明一个实施例的定向威胁攻击检测方法300的流程图;
图4示出了根据本发明一个实施例的本地可信进程列表215的示意图;
图5示出了根据本发明一个实施例的定向威胁攻击检测装置500的示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
针对现有的电脑病毒和恶意软件检测技术无法有效检测APT攻击的问题,本发明提供了一种定向威胁攻击检测方法,能够有效地识别出APT攻击问题。
图1示出了根据本发明一个实施例的定向威胁攻击检测系统100的示意图。
如图1所示,定向威胁攻击检测系统100包括配置模块110、资源模块120和监控模块130。资源模块120由若干个文件组成,这些文件存放在不同的目录下,模块所包含的文件和文件存储目录均为被监控的对象(以下称监控对象)。监控模块130负责对源模块120内的文件及文件存储路径进行监控、将可疑信息发送给配置模块110、以及获取从配置模块110返回的信息。配置模块110负责对监控模块130发来的可疑信息进行分析,并将分析结果反馈给监控模块130。
当用户空间进程通过系统调用访问资源模块120的文件时,内核空间的监控模块130会捕捉到相应的进程动作并识别出进程信息,然后监控模块130会将这一事件上报给配置模块110,配置模块110分析进程链是否可信,如果不可信,监控模块130将对访问进程做出响应,例如阻止访问等。
应当指出,本发明对定向威胁攻击检测系统100的具体种类不作限制。例如,定向威胁攻击检测系统100可以实现为桌面电脑、笔记本电脑、处理器芯片、手机、平板电脑等计算设备,但不限于此,也可以是驻留在计算设备上的应用程序。
在本发明的实施例中,定向威胁攻击检测系统100适于执行定向威胁攻击检测方法。本发明的定向威胁攻击检测方法300将在下文中详述。
在一个实施例中,本发明的定向威胁攻击检测系统100可以实现为一种计算设备,使得本发明的定向威胁攻击检测方法可以在计算设备中执行。计算设备可以是任意具有存储和计算能力的设备,其例如可以实现为服务器、工作站等,也可以实现为桌面计算机、笔记本计算机等个人配置的计算机,或者实现为手机、平板电脑、智能可穿戴设备、物联网设备等终端设备,但不限于此。
图2示出了根据本发明一个实施例的计算设备200的示意图。需要说明的是,图1所示的计算设备200仅为一个示例,在实践中,用于实施本发明的定向威胁攻击检测方法的计算设备可以是任意型号的设备,其硬件配置情况可以与图1所示的计算设备200相同,也可以与图1所示的计算设备200不同。实践中用于实施本发明的定向威胁攻击检测方法的计算设备可以对图1所示的计算设备200的硬件组件进行增加或删减,本发明对计算设备的具体硬件配置情况不做限制。
如图2所示,计算设备200典型地包括存储器210和一个或者多个处理器220。存储器210和一个或者多个处理器220之间通过器总线进行通信。
取决于期望的配置,处理器220可以是任何类型的处理,包括但不限于:微处理器(μP)、微控制器(μC)、数字信息处理器(DSP)或者它们的任何组合。
取决于期望的配置,存储器210可以是任意类型的存储器,包括但不限于:易失性存储器(诸如RAM)、非易失性存储器(诸如ROM、闪存等)或者它们的任何组合。存储器210可以包括操作系统211、执行定向威胁攻击检测方法的程序指令212、监控文件213、监控列表214以及本地可信进程列表215。
计算设备200可以实现为服务器,例如文件服务器、数据库服务器、应用程序服务器和WEB服务器等,也可以实现为包括桌面计算机和笔记本计算机配置的个人计算机。当然,计算设备200也可以实现为小尺寸便携(或者移动)电子设备的一部分。在根据本发明的实施例中,计算设备200被配置为执行根据本发明的定向威胁攻击检测方法300。
根据本发明实施例的一种定向威胁攻击检测方法300包括:响应于检测到文件被访问,判断访问文件的进程的启动链是否可信;以及若不可信,则认为发生定向威胁攻击,并对进程做出响应。
图3示出了根据本发明一个实施例的定向威胁攻击检测方法300的流程图。方法300在计算设备(例如前述计算设备200)中执行,如图2所示,方法300始于310。
在310中,响应于检测到文件被访问,判断访问文件的进程的启动链是否可信。
310由配置模块110和监控模块130相互配合来共同执行。监控模块130负责持续监控存储在计算机中的文件,如果捕捉到某个进程对某个文件进行了访问,如表1所示,访问事件包括打开、读取、变更元数据、关闭、删除、修改、移动、以及创建文件等类型,监控模块130会识别出这一进程(以下称访问进程)的信息,并把这一进程的信息上报给配置模块110。配置模块110会查询这一进程的启动链上的全部进程,然后判断这些进程是否全部为可信进程,如果启动链上的某个或某些进程为不可信进程,那么认为启动链不可信,只有启动链上的全部进程均为可信进程,才认为启动链可信。
表1访问事件类型
根据一种实现方式,预先创建资源模块120和监控列表214。
资源模块120可以由一些分散的文件夹或文件组成。
APT攻击行为易发生在以下位置:
(1)/:操作系统根目录;
(2)/home:用于存放用户数据的目录;
(3)/home/user:用户的家目录,例如对于test用户来说,家目录指代/home/test目录;
(4)其它常见的目录:例如/opt,/tmp等目录。
APT攻击行为易以以下文件为目标:
(1)文件名为以数字0开头的字符串;
(2)文件名为字母a开头的字符串;
(3)文件名为以“.0”开头的文件(隐藏文件);
(4)特殊文件,例如password、passwd、shadow、RootCA.crt等。
APT攻击的目标文件的常见类型:
(1)文本文档:例如txt类型文档、md类型文档等;
(2)办公文件:例如word文档(doc等)、wps文档(.wps等)、excel文档(xls等)、powerpoint文档(ppt、pps等);
(3)目录:目录文件;
(4)压缩文件:例如rar文件、zip文件、tar文件、gz文件、tgz文件等;
(5)可执行文件文件:例如bin文件、so库等。
根据APT攻击的以上特点,可以在易发生APT攻击的目录下创建一些文件,这些文件的文件名以“0”、“a”、或者“.0”开头,文件内容不做限定,但优选非空文件(因为空文件容易被APT攻击忽略)。由这些文件形成资源模块120,将监控模块130的监控范围缩小至资源模块120,能够大大减少监控过程的数据处理量,节约监控过程所占用的资源。
例如,在操作系统根目录下创建目录1(目录名称:0a)和目录2(目录名称:.0a);然后在目录1和目录2下分别创建一个文件夹,文件夹名称为:0 0.docx 0.pps 0.tar 0.xlsliba.so password 0.doc 0.zip a.doc a.ppt;最后将目录1和目录2复制到/、/home、/home/user、/opt、以及/tmp目录下。目录/、/home、/home/user、/opt、以及/tmp下的目录1和目录2将作为资源模块120的一部分。
APT攻击的入侵和攻击阶段都会读取文件系统中的文件。上述实现方式中,资源模块120中包含文档和目录是经过设计的,文件名称和存放位置都有一定的要求,按照这些要求设计的监控对象理论上不会有正常程序去访问,一旦被访问,大概率为APT攻击,因此,上述实现方式使得APT攻击事件能够被尽早地发现和识别。
监控列表214是资源模块120中所有文件的列表,监控列表214中的文件信息包含文件的名称和绝对路径。例如,监控列表214内容如下:
/home/jsl/0a/0
/home/jsl/0a/0.doc
/home/jsl/0a/0.docx
/home/jsl/0a/0.ppt
/home/jsl/0a/0.rar
/home/jsl/0a/0.tar
/home/jsl/0a/0.tar.gz
/home/jsl/0a/0.tgz
/home/jsl/0a/0.wps
/home/jsl/0a/0.xls
/home/jsl/0a/0.zip
/home/jsl/0a/a
...
监控列表214中的文件及路径均为监控对象。任意一个进程对监控文件进行了任何操作、或者任意一个进程在监控路径下创建了文件,都会被监控模块130捕捉到。
根据一种实现方式,可以预先创建本地可信进程列表215,建本地可信进程列表215是从当前操作系统中获取的可执行程序的列表,将这些可执行程序整理成一定的格式存储到列表中,例如,本地可信进程列表215可以包含如下内容:
watch/usr/bin/watch
wc/usr/bin/wc
wget/usr/bin/wget
whatis/usr/bin/whatis
whereis/usr/bin/whereis
which/usr/bin/which
who/usr/bin/who
whoami/usr/bin/whoami
...
本地可信进程列表215中的进程均为可信进程。创建本地可信进程列表215的方式可以是根据经验来创建,人为地将一些可信进程添加到列表中,也可以开发脚本自动获取可信进程并将其添加到列表中,本申请对创建本地可信进程列表215的方式不做限定。
在上述实现方式中,以本地可信进程列表215做为依据来判断一个进程是否可信,具体为:若一个进程存在于本地可信进程列表215中,那么认为该进程可信,否则,该进程不可信。将启动链中的各个进程分别与本地可信进程列表215进行比对,若启动链中的全部进程均存在于本地可信进程列表215中,那么认为启动链可信;否则,启动链不可信。
如果判断结果为启动链可信,则不对访问进程做出任何操作;如果判断结果为不可信,则认为发生了定向威胁攻击,此时进入320。
接下来,在320中,对进程做出响应。
这里的进程指代访问进程,响应包括将访问进程访问文件这一事件记录在日志中、以及阻止访问进程对文件的任何操作等。响应的具体操作方式可以预先在监控模块130中进行设置,监控模块130将按照设置的响应方式对访问进程进行具体的操作。
以可疑进程d为例。监控模块130向配置模块110发送事件:可疑进程d调用open函数打开监控文件(/0a/0.doc),配置模块110查询到进程d的启动链为:进程a->进程b->进程c->进程d,接下来,配置模块110分别查询进程a、进程b、进程c和进程d是否存在于本地可信进程列表215中。本地可信进程列表215如图4所示,列表包含了进程a、进程b、进程d、进程e、进程f以及进程g,那么查询结果为:进程a、进程b和进程d可信,而进程c不可信,据此可以判断得到进程链不可信,进程d为疑似APT攻击程序。
本发明实施例的定向威胁攻击检测方法300通过判断访问进程的启动链是否可信来判断访问进程是否为APT攻击程序,弥补了常规病毒检测手段无法检测APT攻击的这一空缺。在系统中创建资源模块的方式设置了监控对象,这些监控对象理论上不会有正常程序去访问;在持续监控阶段,如果发现有进程访问了监控对象,可通过配置模块获取可疑进程启动链的所有进程信息,然后去和可信进程列表去比对,如果启动链中的部分进程未命中可信进程列表表项,则认为未命中的进程为APT攻击进程,那么对应的程序则为APT攻击程序。
本发明的实施例还提供了一种定向威胁攻击检测装置500,该装置能够执行如上文所描述的定向威胁攻击检测方法300的各步骤处理。下面,结合图5来描述上述定向威胁攻击检测装置500。
如图5所示,定向威胁攻击检测装置500包括判断单元510和响应单元520。
判断单元510适于适于响应于检测到文件被访问,判断访问所述文件的进程的启动链是否可信。
响应单元520适于若不可信,则认为发生定向威胁攻击,并对所述进程做出响应。
根据一种实现方式,所述文件的文件名以“0”、“.0”或“a”开头。
根据一种实现方式,所述文件位于所述操作系统的根目录、用户数据存储目录或用户家目录下。
根据一种实现方式,所述判断访问所述文件的进程的启动链是否可信包括:将所述启动链中的各进程分别与本地可信进程列表进行比对,若所述启动链中的各进程全部存在于所述本地可信进程列表中,则认为所述启动链可信;否则,所述启动链不可信。
根据一种实现方式,所述文件被访问包括打开所述文件、读取所述文件、变更所述文件的元数据、关闭所述文件、删除所述文件、修改所述文件、移动所述文件以及创建所述文件中的任一项。
根据一种实现方式,所述文件存储于资源模块中。
根据一种实现方式,所述创建文件包括在监控目录中创建文件,所述监控目录为监控列表中记录的资源模块中各文件的绝对路径。
这里描述的各种技术可结合硬件或软件,或者它们的组合一起实现。从而,本发明的方法和设备,或者本发明的方法和设备的某些方面或部分可采取嵌入有形媒介,例如可移动硬盘、U盘、软盘、CD-ROM或者其它任意机器可读的存储介质中的程序代码(即指令)的形式,其中当程序被载入诸如计算机之类的机器,并被所述机器执行时,所述机器变成实践本发明的设备。
在程序代码在可编程计算机上执行的情况下,计算设备一般包括处理器、处理器可读的存储介质(包括易失性和非易失性存储器和/或存储元件),至少一个输入装置,和至少一个输出装置。其中,存储器被配置用于存储程序代码;处理器被配置用于根据该存储器中存储的所述程序代码中的指令,执行本发明的定向威胁攻击检测方法。
以示例而非限制的方式,可读介质包括可读存储介质和通信介质。可读存储介质存储诸如计算机可读指令、数据结构、程序模块或其它数据等信息。通信介质一般以诸如载波或其它传输机制等已调制数据信号来体现计算机可读指令、数据结构、程序模块或其它数据,并且包括任何信息传递介质。以上的任一种的组合也包括在可读介质的范围之内。
在此处所提供的说明书中,算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与本发明的示例一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的优选实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下被实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多特征。本领域那些技术人员应当理解在本文所公开的示例中的设备的模块或单元或组件可以布置在如该实施例中所描述的设备中,或者可替换地可以定位在与该示例中的设备不同的一个或多个设备中。前述示例中的模块可以组合为一个模块或者此外可以分成多个子模块。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。此外,所述实施例中的一些在此被描述成可以由计算机系统的处理器或者由执行所述功能的其它装置实施的方法或方法元素的组合。因此,具有用于实施所述方法或方法元素的必要指令的处理器形成用于实施该方法或方法元素的装置。此外,装置实施例的在此所述的元素是如下装置的例子:该装置用于实施由为了实施该发明的目的的元素所执行的功能。
如在此所使用的那样,除非另行规定,使用序数词“第一”、“第二”、“第三”等等来描述普通对象仅仅表示涉及类似对象的不同实例,并且并不意图暗示这样被描述的对象必须具有时间上、空间上、排序方面或者以任意其它方式的给定顺序。
尽管根据有限数量的实施例描述了本发明,但是受益于上面的描述,本技术领域内的技术人员明白,在由此描述的本发明的范围内,可以设想其它实施例。此外,应当注意,本说明书中使用的语言主要是为了可读性和教导的目的而选择的,而不是为了解释或者限定本发明的主题而选择的。

Claims (10)

1.一种定向威胁攻击检测方法,包括:
响应于检测到文件被访问,判断访问所述文件的进程的启动链是否可信;以及
若不可信,则认为发生定向威胁攻击,并对所述进程做出响应。
2.如权利要求1所述的定向威胁攻击检测方法,其中,所述文件的文件名以“0”、“.0”或“a”开头。
3.如权利要求1或2所述的定向威胁攻击检测方法,其中,所述文件位于所述操作系统的根目录、用户数据存储目录或用户家目录下。
4.如权利要求1至3中任一项所述的定向威胁攻击检测方法,其中,所述判断访问所述文件的进程的启动链是否可信包括:
将所述启动链中的各进程分别与本地可信进程列表进行比对,若所述启动链中的各进程全部存在于所述本地可信进程列表中,则认为所述启动链可信;否则,所述启动链不可信。
5.如权利要求1至4中任一项所述的定向威胁攻击检测方法,其中,所述文件被访问包括打开所述文件、读取所述文件、变更所述文件的元数据、关闭所述文件、删除所述文件、修改所述文件、移动所述文件以及创建所述文件中的任一项。
6.如权利要求1至5中任一项所述的定向威胁攻击检测方法,其中,所述文件存储于资源模块中。
7.如权利要求5所述的定向威胁攻击检测方法,其中,所述创建文件包括在监控目录中创建文件,所述监控目录为监控列表中记录的资源模块中各文件的绝对路径。
8.一种定向威胁攻击检测装置,包括:
判断单元,适于响应于检测到文件被访问,判断访问所述文件的进程的启动链是否可信;以及
响应单元,适于若不可信,则认为发生定向威胁攻击,并对所述进程做出响应。
9.一种计算设备,包括:
至少一个处理器和存储有程序指令的存储器;
当所述程序指令被所述处理器读取并执行时,使得所述计算设备执行如权利要求1-7中任一项所述的定向威胁攻击检测方法。
10.一种存储有程序指令的可读存储介质,当所述程序指令被计算设备读取并执行时,使得所述计算设备执行如权利要求1-7中任一项所述的定向威胁攻击检测方法。
CN202310281313.8A 2023-03-20 2023-03-20 一种定向威胁攻击检测方法、装置与计算设备 Pending CN116502218A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310281313.8A CN116502218A (zh) 2023-03-20 2023-03-20 一种定向威胁攻击检测方法、装置与计算设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310281313.8A CN116502218A (zh) 2023-03-20 2023-03-20 一种定向威胁攻击检测方法、装置与计算设备

Publications (1)

Publication Number Publication Date
CN116502218A true CN116502218A (zh) 2023-07-28

Family

ID=87315696

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310281313.8A Pending CN116502218A (zh) 2023-03-20 2023-03-20 一种定向威胁攻击检测方法、装置与计算设备

Country Status (1)

Country Link
CN (1) CN116502218A (zh)

Similar Documents

Publication Publication Date Title
US11057405B2 (en) Automated malware family signature generation
US9860270B2 (en) System and method for determining web pages modified with malicious code
US8806641B1 (en) Systems and methods for detecting malware variants
US7676845B2 (en) System and method of selectively scanning a file on a computing device for malware
Canali et al. Prophiler: a fast filter for the large-scale detection of malicious web pages
EP2486507B1 (en) Malware detection by application monitoring
US8239944B1 (en) Reducing malware signature set size through server-side processing
US9147073B2 (en) System and method for automatic generation of heuristic algorithms for malicious object identification
US8776236B2 (en) System and method for providing storage device-based advanced persistent threat (APT) protection
US8256000B1 (en) Method and system for identifying icons
US20150012924A1 (en) Method and Device for Loading a Plug-In
Harley et al. Viruses revealed
Nissim et al. ALDROID: efficient update of Android anti-virus software using designated active learning methods
RU2658878C1 (ru) Способ и сервер для классификации веб-ресурса
US20160371492A1 (en) Method and system for searching and killing macro virus
US10621345B1 (en) File security using file format validation
US20240176875A1 (en) Selective import/export address table filtering
Bakour et al. A deep camouflage: evaluating android’s anti-malware systems robustness against hybridization of obfuscation techniques with injection attacks
CN110192195B (zh) 用于安全数据访问的系统、方法和计算机存储介质
US9239907B1 (en) Techniques for identifying misleading applications
Kara Cyber-espionage malware attacks detection and analysis: A case study
Mohata et al. Mobile malware detection techniques
CN116502218A (zh) 一种定向威胁攻击检测方法、装置与计算设备
US11436331B2 (en) Similarity hash for android executables
Gupta et al. Developing a blockchain-based and distributed database-oriented multi-malware detection engine

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination