CN116582351A - 一种基于云环境的apt攻击的沙箱检测方法及系统 - Google Patents
一种基于云环境的apt攻击的沙箱检测方法及系统 Download PDFInfo
- Publication number
- CN116582351A CN116582351A CN202310689288.7A CN202310689288A CN116582351A CN 116582351 A CN116582351 A CN 116582351A CN 202310689288 A CN202310689288 A CN 202310689288A CN 116582351 A CN116582351 A CN 116582351A
- Authority
- CN
- China
- Prior art keywords
- sandbox
- target application
- apt
- application
- apt attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 244000035744 Hura crepitans Species 0.000 title claims abstract description 124
- 238000001514 detection method Methods 0.000 title claims abstract description 77
- 238000000034 method Methods 0.000 claims abstract description 32
- 230000003993 interaction Effects 0.000 claims abstract description 17
- 230000006870 function Effects 0.000 claims abstract description 14
- 206010000117 Abnormal behaviour Diseases 0.000 claims abstract description 11
- 230000006399 behavior Effects 0.000 claims description 64
- 230000002159 abnormal effect Effects 0.000 claims description 41
- 230000008569 process Effects 0.000 claims description 26
- 230000003068 static effect Effects 0.000 claims description 14
- 238000012544 monitoring process Methods 0.000 claims description 11
- 230000002441 reversible effect Effects 0.000 claims description 3
- 238000004088 simulation Methods 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 description 22
- 238000004458 analytical method Methods 0.000 description 8
- 230000007123 defense Effects 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 4
- 238000011160 research Methods 0.000 description 3
- FAPWRFPIFSIZLT-UHFFFAOYSA-M Sodium chloride Chemical compound [Na+].[Cl-] FAPWRFPIFSIZLT-UHFFFAOYSA-M 0.000 description 2
- 230000009471 action Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000003111 delayed effect Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000004622 sleep time Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 239000012530 fluid Substances 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000000873 masking effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000035699 permeability Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000011897 real-time detection Methods 0.000 description 1
- 230000002829 reductive effect Effects 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
- 239000011780 sodium chloride Substances 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
Abstract
一种基于云环境的APT攻击的沙箱检测方法,所述方法包括以下步骤:步骤一、在云平台构建APT攻击行为样本特征库,将收集整理的已知APT攻击行为样本特征保存在APT攻击行为样本库特征中;步骤二、当出现目标应用时,针对该目标应用在云平台构建多个独立的沙箱,每个沙箱内设置应用监视器,每个沙箱分配不同的检测粒度和检测资源。本发明提供的方法及系统中集成了方针人机交互功能,降低新型APT攻击逃避沙箱检测的可能性;通过设置多次返回检测,扰乱APT的攻击,提高APT在运行时被检测到的成功率;部署在私有云平台的APT沙箱,可以更好地发现和识别APT攻击,并将异常行为信息扩充至样本特征库,智能设置恶意代码的检测粒度,分配检测资源,以更有效应对集成沙箱逃逸功能的新型APT攻击。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于云环境的APT攻击的沙箱检测方法及系统。
背景技术
在网络反窃密工作中发现,具备隐蔽性、渗透性和针对性的APT(AdvancedPersistent Threat,高级持续性威胁)攻击对各类高等级信息安全系统造成的威胁日益严重,针对特定目标的有组织的APT攻击日益增多,国家、企业的网络信息系统和数据安全面临严峻挑战。APT攻击以窃取核心资料为目的,针对特定对象,长期、有计划性和组织性地窃取数据,具备高度的隐蔽性,已经对各类关键信息基础设施安全造成巨大威胁,开展APT攻击防御工作刻不容缓。
APT最初是由美国国防部和美国空军提出,用于描述一个有针对性的攻击,其旨在窃取敏感信息或使一个组织内信息系统瘫痪的操作。美国北卡罗莱那州立大学研究团队开发出新的软件算法,能够在APT检测方面有效利用。该算法通过基于分布式网络控制系统反馈的信息有效地识别出网络攻击,这一算法也被认为是后来出现的基于系统已知特征的统计分析检测APT攻击的基础。许多安全公司也在密切关注APT动向,分别提出自己的防范APT解决方案。Arbor Networks、Fidelis的AMP等机构提出运用现有的网络流量分析和云计算平台建立一种正常流量模式基准,能够通过网络流量的细微的变化逆向推出可能出现的攻击。McAfee、Palo Alto网络和趋势科技认为对于载荷的分析可以使用沙箱技术对负载实现近乎实时检测,能够最大限度的识别正在发生或者可能发生的网络攻击。
目前,国内外许多学者也提出了不同的抗APT攻击安全框架,为高等级安全网络的建设提供了重要的参考依据。其中,针对高等级安全网络的APT防御问题框架,李凤海等让建立了包含APT检测网关、组织内部私有云、安全管理中心、安全存储中心和APT威胁管理控制台的APT防御体系结构。此外,针对现有抗APT攻击安全产品单纯分析恶意行为而无法解读未知威胁的问题,杜跃进等提出了一种基于异常发现的“慧眼”架构。“慧眼”架构将网络安全监测过程分为低位监测和高位监测,利用低位监测机制监控主机的应用环境、系统环境、通信环境、传输环境和数据环境,并利用高位监测机制对网络协议特征和流量统计特征进行分析。另外,针对传统的“网关、服务器和PC终端”三层网络架构应对APT攻击的劣势。许婷等提出了一种改进的分层集中式网络安全架构,通过集中分析和管控的方法,使企业内部的安全防护部件构成一个有机整体,能够有效地防范APT网络攻击。
在APT攻击防御工作中,攻击检测是安全防护和加固的前提和依据,也是APT攻击防御中最困难的部分,因此新型APT攻击检测技术已成为当前攻防领域的研究热点。现阶段的APT检测技术主要有沙箱技术、异常检测技术、全流量审计技术和智能化关联分析技术等几种。其中,沙箱技术是目前相对成熟、应用较广泛的检测技术,也是下一代APT检测的核心技术。国内外学者对于沙箱检测技术的研究始于二进制程序的沙箱,McCamant S等设计了PITTSFIELD沙箱系统,采用指令对齐和掩码技术来保证程序的数据访问和控制流转移在可控的范围内;Ford B等设计的Vx32系统将沙箱技术进一步细分为数据沙箱和控制流沙箱;Google公司推出的面向X86结构的二进制沙箱NaCl是一个双层沙箱,内层沙箱在指令层限制不可信程序的控制流,外层沙箱在系统调用层监视验证不可信程序的系统调用行为。B.Zeng等将静态分析和CFI引入到数据沙箱的研究中,在静态分析二进制程序时,利用指令重写等CFI技术对可能的数据污染指令进行重写,实现对内存数据的读写保护。C.Zhang等将地址随机化技术应用到沙箱实现中,将需要计算获得的间接控制流转移地址随机存放在“SpringBroad”段中,实现控制流完整性。
然而,根据APT样本分析,当前新型的APT攻击大都集成了沙箱逃逸功能,利用沙箱系统在系统内存或运行时加载的程序、文件系统和注册表中留下的典型特征来判断是否有沙箱正在运行,从而采取相应的手段逃避沙箱的检测。常见的沙箱逃逸手段包括虚拟机环境检测、分析软件检测、检测hooks、检测时间加速、检测交互行为等多种方式。此外,沙箱检测需要对环境的模拟尽可能真实,但在实际情况下,一台检测设备很难提供足够的计算和内存资源用于模拟大量主机上不同的操作系统和应用软件版本,这也客观上制约了恶意样本在沙箱中顺利执行的比例,同时许多厂商对于沙箱和虚拟机技术认识存在误区,导致逃避沙箱检测的APT攻击逐渐增多,而新型APT攻击总能找出目标沙箱检测系统的薄弱之处,实施逃避沙箱检测行动,增加了信息系统风险。
面对层出不穷的新型APT攻击,传统沙箱难以发现和识别所有恶意代码,尤其是集成了沙箱逃逸功能的攻击,为有效应对新型APT攻击对高等级信息安全系统造成的威胁,需要开展云计算环境下的新型APT沙箱检测技术研究,利用网络安全大数据分析方法识别APT攻击,绘制APT攻击知识图谱,实现APT攻击的有效发现和分析。
发明内容
有鉴于此,本发明提供一种基于云环境的APT攻击的沙箱检测方法及系统,对传统沙箱检测技术进行了改进,可以有效杜绝APT攻击集成的常见沙箱逃逸功能,准确识别APT攻击,扩充APT样本库,实现对APT攻击的有效分析、发现和处理。
本发明技术方案如下:
一种基于云环境的APT攻击的沙箱检测方法,所述方法包括以下步骤:
步骤一、在云平台构建APT攻击行为样本特征库,将收集整理的已知APT攻击行为样本特征保存在APT攻击行为样本库特征中;
步骤二、当出现目标应用时,针对该目标应用在云平台构建多个独立的沙箱,每个沙箱内设置应用监视器,每个沙箱分配不同的检测粒度和检测资源;
步骤三、将目标应用输入至多个沙箱中,在沙箱中对目标应用进行静态扫描,提取目标应用的静态特征信息,对目标应用的静态特征信息进行分析;
步骤四、将目标应用在多个独立的沙箱中同时运行,通过应用监视器监控目标应用运行全过程中的行为,按照设定的间隔时长多次提取目标应用的动态特征信息;
步骤五、沙箱对提取出的多组动态特征信息进行检测,检测动态特征信息中的异常动态特征信息,并根据APT攻击行为样本库来判断目标应用的动态特征信息是否符合已知APT攻击行为:
当判定符合已知APT攻击的行为时,认定该应用为恶意应用,将该应用在沙箱中隔离并清除,并对恶意应用进行溯源,将恶意应用源头判定为网络安全威胁行为体;
当判定不符合已知APT攻击的行为,但检测到动态特征信息中存在异常动态特征信息时,认定该应用为异常应用,通过人工来判定目标应用是否属于恶意应用,人工判定属于恶意应用,则将目标应用的异常动态特征信息扩充至APT攻击行为样本库,并对恶意应用进行溯源,将恶意应用源头判定为网络安全威胁行为体;
当判定不符合已知APT攻击的行为,没有检测到动态特征信息中存在异常动态特征信息时,认定该应用为正常应用。
优选地,所述步骤二中构建的多个独立的沙箱,每个沙箱针对终端设备模拟不同的版本操作系统、不同的配置环境、不同的系统文件以及不同的端口。
优选地,所述步骤三中对目标的静态特征信息进行分析包括:
分析目标应用的文件名和文件大小;
分析目标应用中是否存在恶意代码;
分析目标应用中是否存在集成隐藏进程、特殊环境和执行路径嗅探功能的代码。
优选地,所述步骤四中,目标应用在多个独立的沙箱中同时运行时,每个沙箱使用具有人机交互能力的人工操作模拟程序来模拟目标应用的人机交互过程。
优选地,所述模拟目标应用的人机交互过程包括:
鼠标向特定方向移动;
鼠标点击特定次数;
鼠标点击特定对话框。
优选地,所述步骤四中的动态特征信息包括:
通过目标应用运行全过程中涉及的行为提取出的行为信息;
通过目标应用运行全过程中涉及的流量提取出的流量特征信息;
通过目标应用运行全过程中涉及的网络连接提取出的网络连接信息。
优选地,所述步骤五中的异常动态特征信息包括:
异常行为信息、异常流量特征信息、异常网络连接信息。
优选地,所述异常行为信息包括:
异常注册表操作行为信息、异常文件操作行为信息、异常进程线程行为信息、异常驱动行为信息、端口监听行为信息、其它异常行为信息。
优选地,所述异常网络连接信息包括:
恶意文件下载、恶意网络访问、恶意反向连接。
本发明还提供了一种基于云环境的APT攻击的沙箱检测系统,所述系统包括:
一个或多个服务器,一个或多个终端设备;
所述服务器包含一个或多个处理器;存储器,所述存储器上存储有一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现上述的基于云环境的APT攻击的沙箱检测方法。
根据本发明提供的基于云环境的APT攻击的沙箱检测方法及系统,在出现目标应用时,通过拥有大量数据的云平台对终端目标应用做深度分析,先让应用在多个独立的云沙箱中执行,获取其真实细致的信息,从而在一段时间内全面检测一款完全未知的终端应用的可疑行为和安全性,其全部行为或者病毒攻击都将被局限于云沙箱中,保障用户使用的系统本身是安全的。本发明提供的方法及系统中集成了仿真人机交互功能,降低新型APT攻击逃避沙箱检测的可能性;通过设置多次返回检测,扰乱APT的攻击,提高APT在运行时被检测到的成功率;部署在私有云平台的APT沙箱,可以更好地发现和识别APT攻击,并将异常行为信息扩充至样本特征库,智能设置恶意代码的检测粒度,分配检测资源,以更有效应对集成了沙箱逃逸功能的新型APT攻击。
附图说明
图1是本发明基于云环境的APT攻击的沙箱检测方法的流程图。
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
此外,下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
在本实施例中,提供一种基于云环境的APT攻击的沙箱检测方法,包括以下步骤:
步骤一、在云平台构建APT攻击行为样本特征库,将收集整理的已知APT攻击行为样本特征保存在APT攻击行为样本库特征中。
该样本特征库用于比对目标应用,判断目标应用是否存在APT攻击行为,并将发现的新型APT攻击扩充到样本特征库中。
步骤二、当出现目标应用时,针对该目标应用在云平台构建多个独立的沙箱,每个沙箱针对终端设备模拟不同的版本操作系统、不同的配置环境、不同的系统文件以及不同的端口;每个沙箱内设置应用监视器,每个沙箱分配不同的检测粒度和检测资源。
许多恶意代码都是在特定版本的应用或操作系统中利用特定漏洞执行的,而所有的沙箱系统都有预先设定的配置环境,如果沙箱没有安装特定版本的应用,那么有些恶意的Flash文件和PDF文件就不会下载,这时沙箱就检测不到恶意代码。新型APT攻击的恶意代码还能通过对经典虚拟机的系统服务、自带的特殊文件、VMX通信端口等一些指标判断自己是否在虚拟的环境中,从而尽可能的躲避沙箱的检测。因此,在步骤二中,每个沙箱都针对终端设备模拟不同的版本操作系统、不同的配置环境、不同的系统文件以及不同的端口,使得异常应用无法躲避至少一个沙箱的检测。
对于可能集成了隐藏进程、特殊环境和执行路径嗅探功能的APT攻击,本方法将通过多个沙箱,进行不同粒度、不同资源的检测,实现长期监测、目标分析、弹性云计算环境部署,避免恶意代码逃避沙箱检测。
步骤三、将目标应用输入至多个沙箱中,在沙箱中对目标应用进行静态扫描,提取目标应用的静态特征信息,对目标的静态特征信息进行分析;对目标的静态特征信息进行分析包括:
分析目标应用的文件名和文件大小;
分析目标应用中是否存在恶意代码;
分析目标应用中是否存在集成隐藏进程、特殊环境和执行路径嗅探功能的代码。
在该步骤中,如果在静态扫描阶段即可发现恶意应用,可以跳过后续步骤,直接将恶意应用隔离并清除。
步骤四、将目标应用在多个独立的沙箱中同时运行,每个沙箱使用具有人机交互能力的人工操作模拟程序来模拟目标应用的人机交互过程,模拟目标应用的人机交互过程包括:鼠标向特定方向移动、鼠标点击特定次数、鼠标点击特定对话框。通过应用监视器监控应用运行全过程中的行为,按照设定的间隔时长多次提取目标应用的动态特征信息;动态特征信息包括:
通过目标应用运行全过程中涉及的行为提取出的行为信息;
通过目标应用运行全过程中涉及的流量提取出的流量特征信息;
通过目标应用运行全过程中涉及的网络连接提取出的网络连接信息。
缺乏人机交互是传统沙箱本身存在的技术漏洞之一,新型APT攻击通过判断入侵系统中的有无鼠标的点击、移动以及对话框的弹出判断自身是否处于沙箱的环境中。这种APT在入侵到目标系统之后就会一直处于潜伏状态,直到它们检测到目标系统中有鼠标移动、点击以及对话框的智能反应等人机交互的情况时,才开始执行恶意代码。部分APT攻击用这种技术不断进化出其它更高级的沙箱逃逸技术,例如通过设置鼠标点击后的延时,在察觉到有鼠标点击之后的一段时间内才会执行恶意代码或者增加循环计数功能,在检测到鼠标若干次单击后才会执行恶意代码,甚至有些恶意代码会检测鼠标的移动方向,只有在鼠标向特定的方向移动后才会执行。这些恶意代码的隐蔽性更高,更不容易被察觉,从而很容易的逃避沙箱系统的检测。
新型APT攻击对人机交互的嗅探还包括对话框的点击情况,恶意代码会在应用程序和动态链接库中利用Message Box()和Message Box Ex()应用程序接口创建对话框,且只有在用户点击按钮之后才会执行。通常弹出的对话框是警示性的对话框,只有当用户点击弹出对话框上的“确定”按键时,APT攻击认为自己已经在真实的目标系统中,此时恶意代码才会被激活和执行。
为应对该类新型APT攻击,本方法在传统沙箱基础上,定制加入鼠标向特定方向移动、鼠标点击特定次数、鼠标点击特定对话框的程序模块,使沙箱系统具备仿真人机交互的能力,使得恶意代码无法察觉当前运行的环境是沙箱或是真实环境,进一步降低新型APT攻击逃避沙箱检测的几率。
由于沙箱要检测大量的加载文件,因此在对单一文件的检测时间是有限的,新型APT攻击中的邮箱恶意代码会设置睡眠时间,延时执行恶意行为从而避免沙箱的检测。研究发现恶意代码Trojan Nap可以延长睡眠时钟,等待沙箱检测完之后再执行代码。代码利用超时变量参数调用Sleep Ex(),使得在10分钟之后恶意代码才可以被执行。而10分钟的时间大于大多数沙箱检测文件样本所需的时间,这样恶意代码的行为就成功避开了沙箱的检测。
为了充分利用沙箱检测个体文件时间的有限性,许多APT攻击会利用时间触发器功能和睡眠唤醒功能共同作用,在时间没有到达预置的时间时恶意代码将不会被执行,从而避开沙箱的监控。如恶意代码Trojan Hastati利用Get Local Time()应用程序接口获得系统的当前时间,如果获取到的当前时间没有到达恶意代码设置的时间,恶意代码将会睡眠等待一段时间之后再检测时间,如此往复循环下去,直到到达设定的时间为止。
针对传统沙箱无法长时间加载并检测单一文件的不足,新型沙箱检测技术改进检测方式,设置多次返回的检测策略。当恶意代码企图通过设置睡眠来逃过检测时,多次返回检测方式将使APT攻击的睡眠时间设置无效化,提高其在运行时被检测到的成功率。在本实施例中,可以将多次提取目标应用的动态特征信息的间隔时长设置为10-15分钟。沙箱检测配合多次返回检测机制,保证恶意代码在执行的第一时间就能被沙箱发现,有效弥补传统沙箱单一文件加载时间的漏洞,从而达到进一步降低新型APT攻击逃避沙箱检测的几率的效果。
步骤五、沙箱对提取出的多组动态特征信息进行检测,检测动态特征信息中的异常动态特征信息,异常动态特征信息包括:
异常行为信息、异常流量特征信息、异常网络连接信息。其中,异常行为信息包括:异常注册表操作行为信息、异常文件操作行为信息、异常进程线程行为信息、异常驱动行为信息、端口监听行为信息、其它异常行为信息。异常网络连接信息包括:恶意文件下载、恶意网络访问、恶意反向连接。
根据APT攻击行为样本库来判断目标应用的动态特征信息是否符合已知APT攻击行为:
当判定符合已知APT攻击的行为时,认定该应用为已知的恶意应用,将该应用在沙箱中隔离并清除,并对恶意应用进行溯源,将恶意应用源头判定为网络安全威胁行为体;
当判定不符合已知APT攻击的行为,但检测到动态特征信息中存在异常动态特征信息时,认定该应用为新型异常应用,通过人工来判定目标应用是否属于恶意应用,人工判定属于恶意应用,则将目标应用的异常动态特征信息扩充至APT攻击行为样本库;
当判定不符合已知APT攻击的行为,没有检测到动态特征信息中存在异常动态特征信息时,认定该应用为正常应用。
最后说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本技术方案的宗旨和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (10)
1.一种基于云环境的APT攻击的沙箱检测方法,其特征在于,所述方法包括以下步骤:
步骤一、在云平台构建APT攻击行为样本特征库,将收集整理的已知APT攻击行为样本特征保存在APT攻击行为样本库特征中;
步骤二、当出现目标应用时,针对该目标应用在云平台构建多个独立的沙箱,每个沙箱内设置应用监视器,每个沙箱分配不同的检测粒度和检测资源;
步骤三、将目标应用输入至多个沙箱中,在沙箱中对目标应用进行静态扫描,提取目标应用的静态特征信息,对目标应用的静态特征信息进行分析;
步骤四、将目标应用在多个独立的沙箱中同时运行,通过应用监视器监控目标应用运行全过程中的行为,按照设定的间隔时长多次提取目标应用的动态特征信息;
步骤五、沙箱对提取出的多组动态特征信息进行检测,检测动态特征信息中的异常动态特征信息,并根据APT攻击行为样本库来判断目标应用的动态特征信息是否符合已知APT攻击行为:
当判定符合已知APT攻击的行为时,认定该应用为恶意应用,将该应用在沙箱中隔离并清除,并对恶意应用进行溯源,将恶意应用源头判定为网络安全威胁行为体;
当判定不符合已知APT攻击的行为,但检测到动态特征信息中存在异常动态特征信息时,认定该应用为异常应用,通过人工来判定目标应用是否属于恶意应用,人工判定属于恶意应用,则将目标应用的异常动态特征信息扩充至APT攻击行为样本库,并对恶意应用进行溯源,将恶意应用源头判定为网络安全威胁行为体;
当判定不符合已知APT攻击的行为,并且没有检测到动态特征信息中存在异常动态特征信息时,认定该应用为正常应用。
2.根据权利要求1所述的基于云环境的APT攻击的沙箱检测方法,其特征在于,所述步骤二中构建的多个独立的沙箱,每个沙箱针对终端设备模拟不同的版本操作系统、不同的配置环境、不同的系统文件以及不同的端口。
3.根据权利要求1所述的基于云环境的APT攻击的沙箱检测方法,其特征在于,所述步骤三中对目标的静态特征信息进行分析包括:
分析目标应用的文件名和文件大小;
分析目标应用中是否存在恶意代码;
分析目标应用中是否存在集成隐藏进程、特殊环境和执行路径嗅探功能的代码。
4.根据权利要求1所述的基于云环境的APT攻击的沙箱检测方法,其特征在于,所述步骤四中,目标应用在多个独立的沙箱中同时运行时,每个沙箱使用具有人机交互能力的人工操作模拟程序来模拟目标应用的人机交互过程。
5.根据权利要求4所述的基于云环境的APT攻击的沙箱检测方法,其特征在于,所述模拟目标应用的人机交互过程包括:
鼠标向特定方向移动;
鼠标点击特定次数;
鼠标点击特定对话框。
6.根据权利要求1所述的基于云环境的APT攻击的沙箱检测方法,其特征在于,所述步骤四中的动态特征信息包括:
通过目标应用运行全过程中涉及的行为提取出的行为信息;
通过目标应用运行全过程中涉及的流量提取出的流量特征信息;
通过目标应用运行全过程中涉及的网络连接提取出的网络连接信息。
7.根据权利要求1所述的基于云环境的APT攻击的沙箱检测方法,其特征在于,所述步骤五中的异常动态特征信息包括:
异常行为信息、异常流量特征信息、异常网络连接信息。
8.根据权利要求7所述的基于云环境的APT攻击的沙箱检测方法,其特征在于,所述异常行为信息包括:
异常注册表操作行为信息、异常文件操作行为信息、异常进程线程行为信息、异常驱动行为信息、端口监听行为信息、其它异常行为信息。
9.根据权利要求7所述的基于云环境的APT攻击的沙箱检测方法,其特征在于,所述异常网络连接信息包括:
恶意文件下载、恶意网络访问、恶意反向连接。
10.一种基于云环境的APT攻击的沙箱检测系统,其特征在于,所述系统包括:
一个或多个服务器,一个或多个终端设备;
所述服务器包含一个或多个处理器;存储器,所述存储器上存储有一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1-9中任一项所述的基于云环境的APT攻击的沙箱检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310689288.7A CN116582351A (zh) | 2023-06-12 | 2023-06-12 | 一种基于云环境的apt攻击的沙箱检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310689288.7A CN116582351A (zh) | 2023-06-12 | 2023-06-12 | 一种基于云环境的apt攻击的沙箱检测方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116582351A true CN116582351A (zh) | 2023-08-11 |
Family
ID=87534174
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310689288.7A Withdrawn CN116582351A (zh) | 2023-06-12 | 2023-06-12 | 一种基于云环境的apt攻击的沙箱检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116582351A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117896175A (zh) * | 2024-03-04 | 2024-04-16 | 北京浩瀚深度信息技术股份有限公司 | 一种通过漏洞传播的恶意样本的捕获方法 |
-
2023
- 2023-06-12 CN CN202310689288.7A patent/CN116582351A/zh not_active Withdrawn
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117896175A (zh) * | 2024-03-04 | 2024-04-16 | 北京浩瀚深度信息技术股份有限公司 | 一种通过漏洞传播的恶意样本的捕获方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10599841B2 (en) | System and method for reverse command shell detection | |
| CN111756759B (zh) | 一种网络攻击溯源方法、装置及设备 | |
| Ma et al. | Shadow attacks: automatically evading system-call-behavior based malware detection | |
| CN110784476A (zh) | 一种基于虚拟化动态部署的电力监控主动防御方法及系统 | |
| JP2017539039A (ja) | 悪意のあるコードの検出のためのシステムおよび方法 | |
| CN113422771A (zh) | 威胁预警方法和系统 | |
| CN110958257B (zh) | 一种内网渗透过程还原方法和系统 | |
| CN101872400B (zh) | 建立根据计算系统操作请求关联关系判断计算机操作请求安全性的计算机信息安全防护方法 | |
| Lajevardi et al. | A semantic-based correlation approach for detecting hybrid and low-level APTs | |
| Grégio et al. | Ontology for malware behavior: A core model proposal | |
| CN110401638B (zh) | 一种网络流量分析方法及装置 | |
| CN116582351A (zh) | 一种基于云环境的apt攻击的沙箱检测方法及系统 | |
| CN111859394A (zh) | 基于tee的软件行为主动度量方法及系统 | |
| Toker et al. | Mitre ics attack simulation and detection on ethercat based drinking water system | |
| Pandey et al. | A lifecycle based approach for malware analysis | |
| Abbas et al. | Generic signature development for IoT Botnet families | |
| Cao et al. | Learning state machines to monitor and detect anomalies on a kubernetes cluster | |
| Mehresh et al. | A deception framework for survivability against next generation cyber attacks | |
| CN115086081B (zh) | 一种蜜罐防逃逸方法及系统 | |
| CN109684826B (zh) | 应用程序沙箱反逃逸方法和电子设备 | |
| Salah et al. | Surviving cyber warfare with a hybrid multiagent-base intrusion prevention system | |
| CN115033879A (zh) | 一种针对物联网恶意木马的检测方法 | |
| CN111680294A (zh) | 一种基于高交互蜜罐技术的数据库监控方法、装置、设备 | |
| Grégio et al. | Pinpointing malicious activities through network and system-level malware execution behavior | |
| Venkatraman | Autonomic context-dependent architecture for malware detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20230811 |
|
| WW01 | Invention patent application withdrawn after publication |