CN117792805A - 一种基于内存马模拟仿真的网络安全检测方法以及装置 - Google Patents
一种基于内存马模拟仿真的网络安全检测方法以及装置 Download PDFInfo
- Publication number
- CN117792805A CN117792805A CN202410223015.8A CN202410223015A CN117792805A CN 117792805 A CN117792805 A CN 117792805A CN 202410223015 A CN202410223015 A CN 202410223015A CN 117792805 A CN117792805 A CN 117792805A
- Authority
- CN
- China
- Prior art keywords
- memory
- horse
- core
- attack packet
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 54
- 238000004088 simulation Methods 0.000 title claims abstract description 40
- 238000000034 method Methods 0.000 claims abstract description 14
- 230000001419 dependent effect Effects 0.000 claims abstract description 12
- 238000004806 packaging method and process Methods 0.000 claims abstract description 10
- 238000012545 processing Methods 0.000 claims description 17
- 230000008569 process Effects 0.000 claims description 9
- 238000013515 script Methods 0.000 claims description 8
- 230000006870 function Effects 0.000 claims description 7
- 230000005540 biological transmission Effects 0.000 claims description 6
- 230000035772 mutation Effects 0.000 claims description 5
- 238000000605 extraction Methods 0.000 claims description 3
- 241000283086 Equidae Species 0.000 description 9
- 238000005457 optimization Methods 0.000 description 9
- 239000013598 vector Substances 0.000 description 9
- 238000012360 testing method Methods 0.000 description 7
- 238000004458 analytical method Methods 0.000 description 5
- 230000009286 beneficial effect Effects 0.000 description 5
- 238000004422 calculation algorithm Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 230000000873 masking effect Effects 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 239000003795 chemical substances by application Substances 0.000 description 2
- 230000006378 damage Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000012856 packing Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了一种基于内存马模拟仿真的网络安全检测方法以及装置,属于网络安全技术领域,方法包括:收集内存马样本;提取各个内存马样本中的核心代码;将核心代码与不同类型的Web组件结合,模拟仿真出不同类型的内存马核心模块;模拟仿真出内存马核心模块的依赖模块;将内存马核心模块与相应的依赖模块打包,形成内存马攻击包;将内存马攻击包传输至待检测主机,以在待检测主机中运行内存马攻击包,模拟内存马攻击,检测待检测主机的网络安全性能。在本发明中,通过提取内存马样本的核心代码,根据核心代码模拟仿真出不同类型的内存马攻击包,可以更真实地模拟实际的网络攻击场景,使检测更接近实际威胁,提高网络安全检测的可信度。
Description
技术领域
本申请各实施例属于网络安全技术领域,具体涉及一种基于内存马模拟仿真的网络安全检测方法以及装置。
背景技术
内存马是一种无文件Webshell网络安全威胁,简单来说就是服务器上不会存在需要链接的Webshell脚本文件。内存马的原理就是在Web组件或者应用程序中,注册一层访问路由,访问者通过这层路由,来执行控制器中的代码。企业主要通过部署EDR(EndpointDetection and Response,端点检测与响应)等安全设备来避免内存马对企业计算机系统造成严重危害。
然而,然而当前的内存马检测技术主要依赖于特征匹配和签名检测,容易被变种和新型的内存马规避,导致内存马安全检测准确性低。
发明内容
为了解决现有技术存在的当前内存马检测技术主要依赖于特征匹配和签名检测,容易被变种和新型的内存马规避,导致内存马安全检测准确性低的技术问题,本发明提供了一种基于内存马模拟仿真的网络安全检测方法及装置。
第一方面,本发明提供了一种基于内存马模拟仿真的网络安全检测方法,包括:
收集内存马样本;
提取各个所述内存马样本中的核心代码;
将所述核心代码与不同类型的Web组件结合,模拟仿真出不同类型的内存马核心模块;
模拟仿真出所述内存马核心模块的依赖模块;
将所述内存马核心模块与相应的所述依赖模块打包,形成内存马攻击包;
将所述内存马攻击包传输至待检测主机,以在所述待检测主机中运行所述内存马攻击包,模拟内存马攻击,检测所述待检测主机的网络安全性能。
第二方面,本发明提供了一种基于内存马模拟仿真的网络安全检测装置,包括:
收集模块,用于收集内存马样本;
提取模块,用于提取各个所述内存马样本中的核心代码;
第一仿真模块,用于将所述核心代码与不同类型的Web组件结合,模拟仿真出不同类型的内存马核心模块;
第二仿真模块,用于模拟仿真出所述内存马核心模块的依赖模块;
打包模块,用于将所述内存马核心模块与相应的所述依赖模块打包,形成内存马攻击包;
传输模块,用于将所述内存马攻击包传输至待检测主机,以在所述待检测主机中运行所述内存马攻击包,模拟内存马攻击,检测所述待检测主机的网络安全性能。
与现有技术相比,本发明至少具有以下有益效果:
在本发明中,通过提取内存马样本的核心代码,根据核心代码模拟仿真出不同类型的内存马攻击包,通过模拟仿真出的内存马攻击包对待检测主机进行网络安全检查,可以更真实地模拟实际的网络攻击场景,使检测更接近实际威胁,提高网络安全检测的可信度。同时,通过模拟仿真出变种和新型的内存马并进行测试,可以提升实际应用过程中对多样化内存马安全检测的准确性。
附图说明
图1是本发明提供的一种基于内存马模拟仿真的网络安全检测方法的流程示意图。
图2是本发明提供的一种掩饰性处理的示意图。
图3是本发明提供的一种内存马攻击包优先权参数的示意图。
图4是本发明提供的一种基于内存马模拟仿真的网络安全检测装置的结构示意图。
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。后文将参照附图以示例性而非限制性的方式详细描述本申请的一些具体实施例。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获取的所有其他实施例,都应当属于本申请保护的范围。
第一方面,参考说明书附图1,示出了本发明实施例提供的一种基于内存马模拟仿真的网络安全检测方法的流程示意图。
本发明提供了一种基于内存马模拟仿真的网络安全检测方法,包括:
S1:收集内存马样本。
具体而言,可以在日常安全运营、应急过程中收集内存马样本。
进一步地,还可以监视恶意网站、恶意软件样本库以及其他安全情报源,获取已知的内存马样本。
S2:提取各个内存马样本中的核心代码。
其中,核心代码是指webshell部分的代码。
这是由于Webshell部分的代码通常被认为是关键的,因为它包含了攻击的主要逻辑和功能。通过分析和提取Webshell的核心代码,安全研究人员可以更好地理解攻击者的意图、攻击方式,以及受感染系统所面临的威胁。
在一种可能的实施方式中,S2具体包括子步骤S201和S202:
S201:获取各个内存马样本中的webshell脚本。
S202:提取webshell脚本中的核心代码。
在本发明中,通过提取Webshell脚本中的核心代码,能够更全面、深入地了解内存马的攻击特征,为网络安全的预防、检测和响应提供有力的支持。
在一种可能的实施方式中,在S2之后,基于内存马模拟仿真的网络安全检测方法还包括:
随机选取两个核心代码。
将两个核心代码进行交叉处理或者变异处理,生成新核心代码。
其中,交叉处理是指选择两个核心代码作为父代,然后选择一个交叉点或交叉区域。将两个父代在交叉点处交叉,交叉点之前的部分来自一个父代,交叉点之后的部分来自另一个父代,形成新的核心代码。
其中,变异处理是指选择一个核心代码作为父代,然后在核心代码的某些位置引入随机变更,如插入、删除、替换或修改某些代码片段,形成新的核心代码。
在本发明中,引入核心代码的随机选取、交叉处理或变异处理,有助于使仿真攻击更具多样性和对抗性,提高内存马检测系统的准确性和鲁棒性。可以更好地模拟实际威胁,帮助提高网络安全检测系统的性能和可靠性。
在一种可能的实施方式中,在S2之后,基于内存马模拟仿真的网络安全检测方法还包括:
对核心代码进行掩饰性处理。
在本发明中,掩饰性处理使得核心代码更加接近实际攻击场景中的恶意代码,从而使测试更加逼真,有助于评估系统在面对复杂和高级的内存马攻击时的能力,提高检测和防御水平。同时,掩饰性处理引入了一定的混淆和复杂性,测试系统在这种情况下是否能够准确地检测和识别内存马,有助于评估系统的鲁棒性,即在面对变种攻击时的性能表现。
参考说明书附图2,示出了本发明实施例提供的一种掩饰性处理的示意图。
在一种可能的实施方式中,对核心代码进行掩饰性处理,具体包括:
拆解核心代码,在核心代码中加入乱码,增加了代码的混淆度,使得代码结构难以理解;
和/或,将核心代码通过加密方式进行反射调用,可以通过反射调用来动态加载和执行代码,增加了对抗静态分析的能力;
和/或,打乱核心代码的顺序,将真实的执行顺序隐藏到数字组合中,可以使得代码的执行逻辑更难以理解,对抗静态和动态分析;
和/或,对隐藏执行顺序的数字组合进行加密,进一步增加了执行逻辑的保密性,对抗分析工具的查找和理解代码执行流程的难度;
和/或,对核心代码的输入部分进行Base64加密以及恺撒加密,针对输入部分的加密使得对用户输入的分析更加困难,增加了攻击者识别输入处理逻辑的难度;
和/或,对核心代码中的标识符进行随机命名,增加了代码的混淆度,使得变量和函数名不易理解,对抗静态分析,提高了攻击者对代码结构的理解难度。
S3:将核心代码与不同类型的Web组件结合,模拟仿真出不同类型的内存马核心模块。
其中,Web组件是构成Web应用程序的独立、可重用的模块或部件,它们可以被动态加载到Web页面中,并且具有自己的生命周期和功能。在将核心代码与不同类型的Web组件结合时,旨在模拟不同类型的内存马核心模块,这些组件通常涵盖了Web应用程序的不同方面和功能。
具体而言,核心代码可以与agent类型的Web组件结合,形成agent类型内存马核心模块。可以与filter类型的Web组件结合,形成filter类型内存马核心模块。可以与listenter类型的Web组件结合,形成listenter类型内存马核心模块。可以与servlet类型的Web组件结合,形成servlet类型内存马核心模块。可以与controller类型的Web组件结合,形成controller类型内存马核心模块。
在本发明中,通过与不同类型的Web组件结合,模拟出不同类型的内存马核心模块,可以进行更全面的多样性测试,有助于评估系统对各种不同类型内存马攻击的检测和防御能力,提高网络安全检测方法的适用性和鲁棒性。
S4:模拟仿真出内存马核心模块的依赖模块。
在实际应用过程中,内存马核心模块的执行通常依赖于目标系统中的特定环境和模块(依赖模块)。通过模拟内存马核心模块的依赖模块,可以使仿真更加真实和逼真,反映实际攻击场景中的环境和依赖关系。
具体地,依赖模块可以是javax.servlet.filter、javax.servlet.request、javax.servlet.response等等。
S5:将内存马核心模块与相应的依赖模块打包,形成内存马攻击包。
具体地,可以将内存马核心模块与相应的依赖模块打包,形成JAR(Java Archive)包。JAR 文件是一种 Java 平台的标准压缩文件格式,用于将多个 Java 类文件、元数据和资源文件打包到单个文件中。
在本发明中,内存马攻击包中包含了模拟实际攻击所需的所有组件,包括攻击代码和其依赖的模块。这样的打包方式更真实地模拟了实际攻击者可能使用的内存马形式,提高了仿真环境的实际性。
S6:将内存马攻击包传输至待检测主机,以在待检测主机中运行内存马攻击包,模拟内存马攻击,检测待检测主机的网络安全性能。
在一种可能的实施方式中,将内存马攻击包传输至待检测主机,具体为:通过非对称加密方式将内存马攻击包进行加密后传输至待检测主机。
其中,非对称加密是一种使用一对相关的密钥,其中一个是私钥,另一个是公钥的加密方法。这两个密钥是由数学相关的算法生成的,被称为密钥对。非对称加密算法的特点是用公钥进行加密的信息,只能用对应的私钥解密,反之亦然。
在本发明中,通过非对称加密方式传输内存马攻击包有助于提高数据的机密性、完整性和可信度,是一种有效的网络安全保障手段。
在一种可能的实施方式中,在待检测主机中运行内存马攻击包,具体包括:
根据内存马攻击包的优先级参数,确定内存马的选取概率。
其中,内存马攻击包的优先级参数可以根据攻击者的目的、攻击类型、攻击难度等因素进行设置,以更真实地模拟不同优先级的攻击。
在本发明中,内存马攻击包的优先级参数可以用于确定哪些攻击会被选择性地运行,从而提高测试效率。对于一些低优先级的攻击,可以降低其被选择运行的概率,减少测试过程中的资源和时间消耗。
参考说明书附图3,示出了本发明实施例提供的一种内存马攻击包优先权参数的示意图。
在一种可能的实施方式中,内存马攻击包的优先级参数的确定方式为:其中,A表示内存马攻击包的优先级参数,f表示内存马攻击包中的核心代码在所有内存马样本中的出现频率,λ表示出现频率的权重系数,w表示内存马攻击包的危害程度。
其中,本领域技术人员可以根据实际情况设置出现频率的权重系数λ的大小,本发明不做限定。
需要说明的是,考虑了核心代码在所有样本中的出现频率,能够更好地反映实际攻击场景中不同类型攻击的普遍性,有助于模拟更真实的网络威胁环境。
进一步地,考虑了内存马攻击包的危害程度,使得系统更关注那些可能对系统造成更大威胁的攻击,有助于提高测试的实际性和目标导向性。
在本发明中,综合考虑了核心代码的频率和危害程度,使得优先级参数更全面地反映了内存马攻击的整体特征,有助于系统管理员更全面地评估不同攻击的优先级。
根据内存马的选取概率,选择性地选取内存马攻击包,在待检测主机中运行选取内存马攻击包。
在本发明中,根据内存马攻击包的优先级参数设定概率,并选择性地运行攻击包,有助于更有效地模拟威胁场景,减少资源消耗,提高测试效率,并全面评估系统对于不同威胁的防御能力。
在一种可能的实施方式中,根据内存马攻击包的优先级参数,确定内存马的选取概率,具体为:其中,P表示选取概率,Sigmoid()表示Sigmoid函数,A表示内存马攻击包的优先级参数,e表示自然对数的底数。
在本发明中,通过使用 Sigmoid 函数,可以将优先级参数映射到一个合理的选取概率范围内,实现平滑的概率变化,适应二元决策场景,并保持概率的解释性和可调节性,有助于在内存马攻击检测中灵活地确定是否选取某个攻击包进行模拟。
在一种可能的实施方式中,基于内存马模拟仿真的网络安全检测方法,还包括:
当待检测主机未能通过目标内存马攻击包的攻击时,向待检测主机提供安全优化策略。
其中,安全优化策略可以是一些安全优化建议。安全优化策略的实施可以帮助待检测主机加强安全防护措施,防范类似攻击。通过修复或调整系统配置,可以有效地提高系统的整体安全性,减少潜在的漏洞。
在待检测主机经过安全优化之后,通过聚类算法,选取与目标内存马攻击包的相似度大于预设相似度的其他内存马攻击包对待检测主机进行复检。
其中,本领域技术人员可以根据实际情况设置预设相似度的大小,本发明不做限定。
在本发明中,安全优化策略可以增强系统的抵抗力,使其更难受到类似攻击的影响。通过聚类算法复检,可以验证优化策略的有效性,确保系统的整体安全性得到持续提高。
在一种可能的实施方式中,目标内存马攻击包与其他内存马攻击包之间的相似度计算方式为:其中,sim i 表示第i个内存马攻击包与目标内存马攻击包的相似度,B表示目标内存马攻击包的特征向量,B i 表示第i个内存马攻击包的特征向量,/>表示向量的转置,/>表示向量的模运算。
具体而言,内存马攻击包的特征向量可以包括:代码结构特征、关键字和模式匹配特征、加密和编码特征以及依赖模块和库调用特征等。
在本发明中,采用上述相似度计算方式有助于在多维特征空间中有效地度量内存马攻击包之间的相似性,提供了一个可靠的相似度评估方法。
与现有技术相比,本发明至少具有以下有益效果:
在本发明中,通过提取内存马样本的核心代码,根据核心代码模拟仿真出不同类型的内存马攻击包,通过模拟仿真出的内存马攻击包对待检测主机进行网络安全检查,可以更真实地模拟实际的网络攻击场景,使检测更接近实际威胁,提高网络安全检测的可信度。同时,通过模拟仿真出变种和新型的内存马并进行测试,可以提升实际应用过程中对多样化内存马安全检测的准确性。
第二方面,参考说明书附图4,示出了本发明实施例提供的一种基于内存马模拟仿真的网络安全检测装置的结构示意图。
本发明提供了一种基于内存马模拟仿真的网络安全检测装置20,包括:
收集模块201,用于收集内存马样本;
提取模块202,用于提取各个所述内存马样本中的核心代码;
第一仿真模块203,用于将所述核心代码与不同类型的Web组件结合,模拟仿真出不同类型的内存马核心模块;
第二仿真模块204,用于模拟仿真出所述内存马核心模块的依赖模块;
打包模块205,用于将所述内存马核心模块与相应的所述依赖模块打包,形成内存马攻击包;
传输模块206,用于将所述内存马攻击包传输至待检测主机,以在所述待检测主机中运行所述内存马攻击包,模拟内存马攻击,检测所述待检测主机的网络安全性能。
在一种可能的实施方式中,提取模块202具体用于:
获取各个所述内存马样本中的webshell脚本;
提取所述webshell脚本中的核心代码。
在一种可能的实施方式中,基于内存马模拟仿真的网络安全检测装置20还包括:
选取模块,用于随机选取两个核心代码;
生成模块,用于将两个核心代码进行交叉处理或者变异处理,生成新核心代码。
在一种可能的实施方式中,基于内存马模拟仿真的网络安全检测装置20还包括:
掩饰处理模块,用于对所述核心代码进行掩饰性处理。
在一种可能的实施方式中,掩饰处理模块具体用于:
拆解所述核心代码,在所述核心代码中加入乱码;
和/或,将所述核心代码通过加密方式进行反射调用;
和/或,打乱所述核心代码的顺序,将真实的执行顺序隐藏到数字组合中;
和/或,对隐藏执行顺序的数字组合进行加密;
和/或,对所述核心代码的输入部分进行Base64加密以及恺撒加密;
和/或,对所述核心代码中的标识符进行随机命名。
在一种可能的实施方式中,传输模块206具体用于:
通过非对称加密方式将所述内存马攻击包进行加密后传输至待检测主机。
在一种可能的实施方式中,传输模块206具体用于:
根据所述内存马攻击包的优先级参数,确定所述内存马的选取概率;
根据所述内存马的选取概率,选择性地选取内存马攻击包,在所述待检测主机中运行选取内存马攻击包。
在一种可能的实施方式中,所述内存马攻击包的优先级参数的确定方式为:其中,A表示所述内存马攻击包的优先级参数,f表示所述内存马攻击包中的核心代码在所有内存马样本中的出现频率,λ表示出现频率的权重系数,w表示所述内存马攻击包的危害程度。
在一种可能的实施方式中,所述根据所述内存马攻击包的优先级参数,确定所述内存马的选取概率,具体为:其中,P表示选取概率,Sigmoid()表示Sigmoid函数,A表示所述内存马攻击包的优先级参数,e表示自然对数的底数。
在一种可能的实施方式中,基于内存马模拟仿真的网络安全检测装置20还包括:
提供模块,用于当所述待检测主机未能通过目标内存马攻击包的攻击时,向所述待检测主机提供安全优化策略;
复检模块,用于在所述待检测主机经过安全优化之后,通过聚类算法,选取与所述目标内存马攻击包的相似度大于预设相似度的其他内存马攻击包对所述待检测主机进行复检。
在一种可能的实施方式中,所述目标内存马攻击包与其他内存马攻击包之间的相似度计算方式为:其中,sim i 表示第i个内存马攻击包与目标内存马攻击包的相似度,B表示目标内存马攻击包的特征向量,B i 表示第i个内存马攻击包的特征向量,表示向量的转置,/>表示向量的模运算。
本发明提供的基于内存马模拟仿真的网络安全检测装置20能够实现上述第一方面的方法实施例中实现的各个过程,为避免重复,这里不再赘述。
本发明提供的虚拟装置可以是装置,也可以是终端中的部件、集成电路、或芯片。
与现有技术相比,本发明至少具有以下有益效果:
在本发明中,通过提取内存马样本的核心代码,根据核心代码模拟仿真出不同类型的内存马攻击包,通过模拟仿真出的内存马攻击包对待检测主机进行网络安全检查,可以更真实地模拟实际的网络攻击场景,使检测更接近实际威胁,提高网络安全检测的可信度。同时,通过模拟仿真出变种和新型的内存马并进行测试,可以提升实际应用过程中对多样化内存马安全检测的准确性。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (10)
1.一种基于内存马模拟仿真的网络安全检测方法,其特征在于,包括:
收集内存马样本;
提取各个所述内存马样本中的核心代码;
将所述核心代码与不同类型的Web组件结合,模拟仿真出不同类型的内存马核心模块;
模拟仿真出所述内存马核心模块的依赖模块;
将所述内存马核心模块与相应的所述依赖模块打包,形成内存马攻击包;
将所述内存马攻击包传输至待检测主机,以在所述待检测主机中运行所述内存马攻击包,模拟内存马攻击,检测所述待检测主机的网络安全性能。
2.根据权利要求1所述的基于内存马模拟仿真的网络安全检测方法,其特征在于,所述提取各个所述内存马样本中的核心代码,具体包括:
获取各个所述内存马样本中的webshell脚本;
提取所述webshell脚本中的核心代码。
3.根据权利要求1所述的基于内存马模拟仿真的网络安全检测方法,其特征在于,在所述提取各个所述内存马样本中的核心代码之后,还包括:
随机选取两个核心代码;
将两个核心代码进行交叉处理或者变异处理,生成新核心代码。
4.根据权利要求1所述的基于内存马模拟仿真的网络安全检测方法,其特征在于,在所述提取各个所述内存马样本中的核心代码之后,还包括:
对所述核心代码进行掩饰性处理。
5.根据权利要求4所述的基于内存马模拟仿真的网络安全检测方法,其特征在于,所述对所述核心代码进行掩饰性处理,具体包括:
拆解所述核心代码,在所述核心代码中加入乱码;
和/或,将所述核心代码通过加密方式进行反射调用;
和/或,打乱所述核心代码的顺序,将真实的执行顺序隐藏到数字组合中;
和/或,对隐藏执行顺序的数字组合进行加密;
和/或,对所述核心代码的输入部分进行Base64加密以及恺撒加密;
和/或,对所述核心代码中的标识符进行随机命名。
6.根据权利要求1所述的基于内存马模拟仿真的网络安全检测方法,其特征在于,所述将所述内存马攻击包传输至待检测主机,具体为:
通过非对称加密方式将所述内存马攻击包进行加密后传输至待检测主机。
7.根据权利要求1所述的基于内存马模拟仿真的网络安全检测方法,其特征在于,所述在所述待检测主机中运行所述内存马攻击包,具体包括:
根据所述内存马攻击包的优先级参数,确定所述内存马的选取概率;
根据所述内存马的选取概率,选择性地选取内存马攻击包,在所述待检测主机中运行选取内存马攻击包。
8.根据权利要求7所述的基于内存马模拟仿真的网络安全检测方法,其特征在于,所述内存马攻击包的优先级参数的确定方式为:其中,A表示所述内存马攻击包的优先级参数,f表示所述内存马攻击包中的核心代码在所有内存马样本中的出现频率,λ表示出现频率的权重系数,w表示所述内存马攻击包的危害程度。
9.根据权利要求7所述的基于内存马模拟仿真的网络安全检测方法,其特征在于,所述根据所述内存马攻击包的优先级参数,确定所述内存马的选取概率,具体为:其中,P表示选取概率,Sigmoid()表示Sigmoid函数,A表示所述内存马攻击包的优先级参数,e表示自然对数的底数。
10.一种基于内存马模拟仿真的网络安全检测装置,其特征在于,包括:
收集模块,用于收集内存马样本;
提取模块,用于提取各个所述内存马样本中的核心代码;
第一仿真模块,用于将所述核心代码与不同类型的Web组件结合,模拟仿真出不同类型的内存马核心模块;
第二仿真模块,用于模拟仿真出所述内存马核心模块的依赖模块;
打包模块,用于将所述内存马核心模块与相应的所述依赖模块打包,形成内存马攻击包;
传输模块,用于将所述内存马攻击包传输至待检测主机,以在所述待检测主机中运行所述内存马攻击包,模拟内存马攻击,检测所述待检测主机的网络安全性能。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410223015.8A CN117792805B (zh) | 2024-02-28 | 2024-02-28 | 一种基于内存马模拟仿真的网络安全检测方法以及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410223015.8A CN117792805B (zh) | 2024-02-28 | 2024-02-28 | 一种基于内存马模拟仿真的网络安全检测方法以及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117792805A true CN117792805A (zh) | 2024-03-29 |
CN117792805B CN117792805B (zh) | 2024-05-24 |
Family
ID=90385806
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410223015.8A Active CN117792805B (zh) | 2024-02-28 | 2024-02-28 | 一种基于内存马模拟仿真的网络安全检测方法以及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117792805B (zh) |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105491053A (zh) * | 2015-12-21 | 2016-04-13 | 用友网络科技股份有限公司 | 一种Web恶意代码检测方法及系统 |
US20170046519A1 (en) * | 2015-08-12 | 2017-02-16 | U.S Army Research Laboratory ATTN: RDRL-LOC-I | Methods and systems for defending cyber attack in real-time |
CN106961419A (zh) * | 2017-02-13 | 2017-07-18 | 深信服科技股份有限公司 | WebShell检测方法、装置及系统 |
CN114553459A (zh) * | 2021-12-16 | 2022-05-27 | 南京理工大学 | 基于软件无线电的lte网络控制面漏洞分析方法及系统 |
CN114826787A (zh) * | 2022-06-29 | 2022-07-29 | 北京长亭未来科技有限公司 | 一种针对后门攻击的主动对抗方法、系统、设备及介质 |
CN115659343A (zh) * | 2022-12-27 | 2023-01-31 | 北京知其安科技有限公司 | 一种模仿真实攻击的容器攻击模拟方法、检测方法和终端 |
CN115688106A (zh) * | 2022-11-16 | 2023-02-03 | 安芯网盾(北京)科技有限公司 | 一种Java agent无文件注入内存马的检测方法及装置 |
CN115828228A (zh) * | 2023-02-22 | 2023-03-21 | 北京知其安科技有限公司 | 一种验证内存马检测能力的方法、装置及电子设备 |
CN116257848A (zh) * | 2022-12-28 | 2023-06-13 | 安天科技集团股份有限公司 | 一种内存马检测方法 |
CN116502220A (zh) * | 2023-02-22 | 2023-07-28 | 安芯网盾(北京)科技有限公司 | 一种对抗性Java内存马的检测方法及处理方法 |
-
2024
- 2024-02-28 CN CN202410223015.8A patent/CN117792805B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170046519A1 (en) * | 2015-08-12 | 2017-02-16 | U.S Army Research Laboratory ATTN: RDRL-LOC-I | Methods and systems for defending cyber attack in real-time |
CN105491053A (zh) * | 2015-12-21 | 2016-04-13 | 用友网络科技股份有限公司 | 一种Web恶意代码检测方法及系统 |
CN106961419A (zh) * | 2017-02-13 | 2017-07-18 | 深信服科技股份有限公司 | WebShell检测方法、装置及系统 |
CN114553459A (zh) * | 2021-12-16 | 2022-05-27 | 南京理工大学 | 基于软件无线电的lte网络控制面漏洞分析方法及系统 |
CN114826787A (zh) * | 2022-06-29 | 2022-07-29 | 北京长亭未来科技有限公司 | 一种针对后门攻击的主动对抗方法、系统、设备及介质 |
CN115688106A (zh) * | 2022-11-16 | 2023-02-03 | 安芯网盾(北京)科技有限公司 | 一种Java agent无文件注入内存马的检测方法及装置 |
CN115659343A (zh) * | 2022-12-27 | 2023-01-31 | 北京知其安科技有限公司 | 一种模仿真实攻击的容器攻击模拟方法、检测方法和终端 |
CN116257848A (zh) * | 2022-12-28 | 2023-06-13 | 安天科技集团股份有限公司 | 一种内存马检测方法 |
CN115828228A (zh) * | 2023-02-22 | 2023-03-21 | 北京知其安科技有限公司 | 一种验证内存马检测能力的方法、装置及电子设备 |
CN116502220A (zh) * | 2023-02-22 | 2023-07-28 | 安芯网盾(北京)科技有限公司 | 一种对抗性Java内存马的检测方法及处理方法 |
Also Published As
Publication number | Publication date |
---|---|
CN117792805B (zh) | 2024-05-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Arshad et al. | SAMADroid: a novel 3-level hybrid malware detection model for android operating system | |
US10657251B1 (en) | Multistage system and method for analyzing obfuscated content for malware | |
Sharma et al. | Advanced Persistent Threats (APT): evolution, anatomy, attribution and countermeasures | |
CN110417768B (zh) | 一种僵尸网络的跟踪方法及装置 | |
Khalifa et al. | A lightweight cryptography (LWC) framework to secure memory heap in Internet of Things | |
CN116860489A (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
Wang et al. | A combined static and dynamic analysis approach to detect malicious browser extensions | |
Keong Ng et al. | VoterChoice: A ransomware detection honeypot with multiple voting framework | |
Tchakounté et al. | LimonDroid: a system coupling three signature-based schemes for profiling Android malware | |
CN108345795A (zh) | 用于检测和分类恶意软件的系统和方法 | |
Maynard et al. | Modelling Duqu 2.0 Malware using Attack Trees with Sequential Conjunction. | |
Kumar et al. | A zero-day resistant malware detection method for securing cloud using SVM and sandboxing techniques | |
Zakaria et al. | Early Detection of Windows Cryptographic Ransomware Based on Pre-Attack API Calls Features and Machine Learning | |
Mira | A review paper of malware detection using api call sequences | |
Schmidbauer et al. | Hunting shadows: Towards packet runtime-based detection of computational intensive reversible covert channels | |
Yadav et al. | A Review on malware analysis for IoT and android system | |
CN117032894A (zh) | 容器安全状态检测方法、装置、电子设备及存储介质 | |
CN117792805B (zh) | 一种基于内存马模拟仿真的网络安全检测方法以及装置 | |
Muhammad et al. | A systematic evaluation of android anti-malware tools for detection of contemporary malware | |
He et al. | A comprehensive detection method for the lateral movement stage of apt attacks | |
Sha et al. | Catching escapers: A detection method for advanced persistent escapers in industry Internet of Things based on Identity-based Broadcast Encryption (IBBE) | |
Bokolo et al. | Hybrid analysis based cross inspection framework for android malware detection | |
Hao et al. | JavaScript malicious codes analysis based on naive bayes classification | |
Tafkov | Cloud Intelligence Network for Ransomware Detection and Infection Effect Reversing,” | |
Bărbieru et al. | Integrated software platform for malware analysis of mobile terminals |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |