ES2775874T3 - Método, aparato y sistema para detectar condiciones de seguridad de un terminal - Google Patents

Método, aparato y sistema para detectar condiciones de seguridad de un terminal Download PDF

Info

Publication number
ES2775874T3
ES2775874T3 ES16877427T ES16877427T ES2775874T3 ES 2775874 T3 ES2775874 T3 ES 2775874T3 ES 16877427 T ES16877427 T ES 16877427T ES 16877427 T ES16877427 T ES 16877427T ES 2775874 T3 ES2775874 T3 ES 2775874T3
Authority
ES
Spain
Prior art keywords
behavior
file
sequence
dynamic
characteristic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES16877427T
Other languages
English (en)
Inventor
Yongcun Gan
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Application granted granted Critical
Publication of ES2775874T3 publication Critical patent/ES2775874T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect

Abstract

Un aparato (200) para detectar un estado de seguridad del terminal, en donde el aparato (200) está ubicado en una unión entre una red privada y una red pública, un terminal está ubicado en la red privada y el aparato comprende: un módulo de generación de resultados de comportamiento dinámico (210), configurado para: recibir un archivo de la red pública y ejecutar el archivo en el aparato para generar un resultado de comportamiento dinámico, en donde el resultado de comportamiento dinámico comprende una secuencia de comportamiento que se genera de acuerdo con un orden cronológico de ocurrencia de comportamientos, los comportamientos en la secuencia de comportamiento pertenecen a diferentes tipos de comportamiento, y los tipos de comportamiento comprenden crear un archivo, modificar un registro, configurar un nombre de dominio, resolver una dirección, conectarse a una red, cargar un proceso y agregar un usuario; un módulo de análisis de comportamiento dinámico (230), configurado para determinar, de acuerdo con el resultado de comportamiento dinámico generado por el módulo de generación de resultados de comportamiento dinámico (210), si el archivo comprende una amenaza persistente avanzada; y un indicador de generador de compromiso (250), configurado para: si el módulo de análisis de comportamiento dinámico (230) determina que el archivo comprende la amenaza persistente avanzada, obtenga una característica de comportamiento estable en el resultado del comportamiento dinámico, genere un indicador de compromiso correspondiente de acuerdo con la característica de comportamiento estable, y envía el indicador de compromiso al terminal, en donde la característica de comportamiento estable es un comportamiento que siempre existe en una secuencia de comportamiento que se genera cada vez que se ejecuta el archivo; en donde el indicador de generador de compromiso (250) se configura para implementar las siguientes etapas para obtener una característica de comportamiento estable en el resultado del comportamiento dinámico: ejecutar el archivo en el aparato dos veces, para obtener por separado una secuencia de comportamiento que se obtiene después de cada vez que se ejecuta, para obtener una primera secuencia de comportamiento y una segunda secuencia de comportamiento; determinar comportamientos idénticos que existen en la primera secuencia de comportamiento y la segunda secuencia de comportamiento, en donde los comportamientos idénticos son comportamientos que son iguales en términos de tipos de comportamiento y contenido de comportamiento; y obtener un conjunto formado por comportamientos idénticos en la primera secuencia de comportamiento y la segunda secuencia de comportamiento, y usar el conjunto como la característica de comportamiento estable.

Description

DESCRIPCIÓN
Método, aparato y sistema para detectar condiciones de seguridad de un terminal
Campo técnico
Esta solicitud se refiere al campo de los ordenadores y, en particular, al campo de la protección de la seguridad informática.
Antecedentes
A medida que surge una amenaza de próxima generación representada por una APT (Advanced Persistent Threat, amenaza persistente avanzada), un enfoque de protección de seguridad convencional enfrenta desafíos. Una vez atacado por la APT, se filtra un secreto comercial central de una empresa, lo que resulta en pérdidas incalculables para la empresa, o más severamente, las industrias relacionadas con las economías nacionales y el sustento de las personas, tales como la industria financiera, la industria energética y la industria del transporte, están paralizados. Su efecto es tan severo como el de una guerra.
En 2010, Google (Google Incorporation) fue atacado por una amenaza de próxima generación de Aurora. Como resultado, se filtró una gran cantidad de correos electrónicos de Gmail (un servicio de correo electrónico de red gratuito de Google), lo que afectó gravemente a la marca Google. En 2010, las instalaciones nucleares de Irán fueron atacadas por Stuxnet (Stuxnet), causando un daño severo a una centrífuga, que es un componente central, de las instalaciones nucleares. Una consecuencia de este ataque es tan grave como un bombardeo de precisión. En 2011, RSA fue atacado por una amenaza de próxima generación para SecureID. En consecuencia, se filtró una gran cantidad de datos de SecureID y la seguridad de los clientes que usaban SecureID se vio gravemente afectada. Las dudas sobre la seguridad de RSA afectaron gravemente la imagen pública de RSA. En marzo de 2013, la industria bancaria de la República de Corea fue atacada por una APT orientada. En consecuencia, muchos sistemas de aplicaciones principales bancarias se averiaron, afectando gravemente la imagen de los bancos en la mente de los clientes. Cómo hacer frente a la amenaza de la próxima generación representada por la APT en el futuro y cómo hacer frente a una posible guerra de red en el futuro son problemas importantes que enfrentan las personas.
En una red de usuarios existente, el programa informático antivirus generalmente se instala en un dispositivo terminal y se implementa un entorno de prueba frente a una puerta de enlace o un servidor de correo electrónico. El programa informático antivirus instalado en el dispositivo terminal detecta el programa informático malicioso principalmente mediante el uso de una biblioteca de características más reciente proporcionada por un proveedor de programas informáticos, y el entorno limitado se implementa frente a la puerta de enlace o el servidor de correo electrónico, principalmente para detectar una APT de Internet.
Un entorno de prueba existente es capaz de detectar la APT desde Internet. En la técnica anterior, puede controlarse que la APT ataque una red interna, pero no se puede detectar si un terminal de usuario está infectado con la APT y los terminales de usuario infectados con la APT. Por ejemplo, un entorno de prueba detecta que una red interna a la que pertenece el entorno de prueba es atacada por una APT, y el ataque APT se envía a los terminales de usuario mediante un correo electrónico. Algunos terminales de usuario están infectados con la APT porque han abierto el correo electrónico, incluido un archivo adjunto de APT, y algunos terminales de usuario no están infectados con la APT porque no han abierto el correo electrónico. Para otro ejemplo, un entorno de prueba detecta que una red interna a la que pertenece el entorno de prueba es atacada por una a Pt , y el ataque APT se implementa mediante el uso de una vulnerabilidad de una versión particular del programa informático de la aplicación. Algunos terminales de usuario usan esta versión del programa informático de la aplicación y, por lo tanto, son atacados por la APT. Algunos terminales de usuario usan una versión posterior, que no tiene la vulnerabilidad correspondiente, del programa informático de la aplicación y, por lo tanto, la APT no ataca a los terminales de usuario.
Sin embargo, si una APT ataca una red puede detectarse mediante el uso de una solución técnica existente, no se puede determinar si un terminal de usuario está infectado con la APT y los terminales de usuario específicos infectados con la APT. Por lo tanto, no se puede utilizar ninguna operación dirigida.
El documento WO 2015/127475 A1 describe un sistema configurado para detectar programa malicioso. El sistema incluye un paquete de verificación de infección configurado para realizar detonación de comportamiento, identificar un objeto de programa malicioso basado en aprendizaje automático; y seleccionar uno o más artefactos persistentes del programa malicioso en el sistema de destino en función de uno o más algoritmos aplicados a los rastros de comportamiento del objeto de programa malicioso.
Resumen
En esta descripción se describe un método, un aparato y un sistema para detectar el estado de seguridad de un terminal, para detectar si un terminal específico está infectado con una APT.
De acuerdo con un primer aspecto, una modalidad de esta solicitud proporciona un aparato para detectar un estado de seguridad del terminal. El aparato está ubicado en una unión entre una red privada y una red pública, y un terminal está ubicado en la red privada. El aparato incluye un módulo de generación de resultados de comportamiento dinámico, un módulo de análisis de comportamiento dinámico y un indicador de generador de compromiso.
El módulo de generación de resultados de comportamiento dinámico se configura para: recibir un archivo de la red pública y ejecutar el archivo en el aparato, para generar un resultado de comportamiento dinámico. El resultado del comportamiento dinámico incluye una secuencia de comportamiento que se genera de acuerdo con un orden cronológico de ocurrencia de comportamientos. Los comportamientos en la secuencia de comportamiento pertenecen a diferentes tipos de comportamiento, y los tipos de comportamiento incluyen crear un archivo, modificar un registro, configurar un nombre de dominio, resolver una dirección, conectarse a una red, cargar un proceso y agregar un usuario. El módulo de análisis de comportamiento dinámico se configura para determinar, de acuerdo con el resultado del comportamiento dinámico generado por el módulo de generación de resultados de comportamiento dinámico, si el archivo incluye una amenaza persistente avanzada. El indicador de generador de compromiso se configura para: si el módulo de análisis de comportamiento dinámico determina que el archivo incluye la amenaza persistente avanzada, obtener una característica de comportamiento estable en el resultado del comportamiento dinámico, generar un indicador de compromiso correspondiente de acuerdo con la característica de comportamiento estable, y enviar el indicador de compromiso al terminal. La característica de comportamiento estable es un comportamiento que siempre existe en una secuencia de comportamiento que se genera cada vez que se ejecuta el archivo.
El indicador de generador de compromiso se configura para implementar las siguientes etapas para obtener una característica de comportamiento estable en el resultado del comportamiento dinámico: ejecutar el archivo en el aparato dos veces, obtener por separado una secuencia de comportamiento que se obtiene después de cada vez que se ejecuta, para obtener una primera secuencia de comportamiento y una segunda secuencia de comportamiento; determinar comportamientos idénticos que existen en la primera secuencia de comportamiento y la segunda secuencia de comportamiento, en donde los comportamientos idénticos son comportamientos que son iguales en términos de tipos de comportamiento y contenido de comportamiento; y obtener un conjunto formado por comportamientos idénticos en la primera secuencia de comportamiento y la segunda secuencia de comportamiento, y usar el conjunto como la característica de comportamiento estable.
De acuerdo con un segundo aspecto, una modalidad de esta solicitud proporciona un sistema para detectar un estado de seguridad del terminal. El sistema incluye el aparato para detectar un estado de seguridad del terminal de acuerdo con el primer aspecto, y un dispositivo de terminal configurado para: recibir un indicador de compromiso del dispositivo de protección de seguridad; analizar el indicador de compromiso, para obtener una característica de comportamiento que corresponde a una amenaza persistente avanzada, APT, y que se incluye en el indicador de compromiso; buscar un sistema operativo y un sistema de archivos del dispositivo terminal, para determinar si un comportamiento descrito por una característica de comportamiento correspondiente a la APT ha ocurrido en el dispositivo terminal; y si el comportamiento descrito por la característica de comportamiento correspondiente a la APT ha ocurrido en el dispositivo terminal, determine que el dispositivo terminal se ha infectado con la APT.
De acuerdo con un tercer aspecto, una modalidad de esta solicitud proporciona un método para detectar un estado de seguridad del terminal. El método lo ejecuta un dispositivo de protección de seguridad, el dispositivo de protección de seguridad está ubicado en una unión entre una red privada y una red pública, y un terminal está ubicado en la red privada.
Primero, el dispositivo de protección de seguridad recibe un archivo de la red pública y ejecuta el archivo en el dispositivo de protección de seguridad para generar un resultado de comportamiento dinámico. El resultado del comportamiento dinámico incluye una secuencia de comportamiento que se genera de acuerdo con un orden cronológico de ocurrencia de comportamientos. Los comportamientos en la secuencia de comportamiento pertenecen a diferentes tipos de comportamiento, y los tipos de comportamiento incluyen crear un archivo, modificar un registro, configurar un nombre de dominio, resolver una dirección, conectarse a una red, cargar un proceso y agregar un usuario. El dispositivo de protección de seguridad determina, de acuerdo con el resultado del comportamiento dinámico generado, si el archivo incluye una amenaza persistente avanzada; si el archivo incluye la amenaza persistente avanzada, obtiene una característica de comportamiento estable en el resultado del comportamiento dinámico; genera un indicador correspondiente de compromiso de acuerdo con la característica de comportamiento estable; y envía el indicador de compromiso al terminal. La característica de comportamiento estable es un comportamiento que siempre existe en una secuencia de comportamiento que se genera cada vez que se ejecuta el archivo.
La obtención de una característica de comportamiento estable en el resultado del comportamiento dinámico comprende:
ejecutar el archivo en el dispositivo de protección de seguridad dos veces, para obtener por separado una secuencia de comportamiento que se obtiene después de cada vez que se ejecuta, para obtener una primera secuencia de comportamiento y una segunda secuencia de comportamiento;
determinar comportamientos idénticos que existen en la primera secuencia de comportamiento y la segunda secuencia de comportamiento, en donde los comportamientos idénticos son comportamientos que son iguales en términos de tipos de comportamiento y contenido de comportamiento; y obtener un conjunto formado por comportamientos idénticos en la primera secuencia de comportamiento y la segunda secuencia de comportamiento, y usar el conjunto como la característica de comportamiento estable.
Breve descripción de los dibujos
Para describir más claramente las soluciones técnicas en las modalidades de la presente solicitud o la técnica anterior, a continuación, se describen brevemente los dibujos adjuntos necesarios para describir las modalidades o la técnica anterior.
La Figura 1 es un diagrama esquemático de una arquitectura de red para detectar que un terminal está infectado con una APT de acuerdo con una modalidad de esta solicitud;
La Figura 2 es un diagrama de bloques de un aparato para detectar un estado de seguridad del terminal de acuerdo con una modalidad de esta solicitud;
La Figura 3 es un diagrama esquemático de un resultado de comportamiento dinámico;
La Figura 4 es un diagrama esquemático de un dispositivo terminal de acuerdo con una modalidad de esta solicitud;
La Figura 5 es un diagrama esquemático gráfico de una salida IOC resumida por un editor de acuerdo con una modalidad de esta solicitud;
La Figura 6 es un diagrama esquemático de un sistema para detectar un estado de seguridad del terminal de acuerdo con una modalidad de esta solicitud;
La Figura 7 es un diagrama de flujo de un método para detectar un estado de seguridad del terminal de acuerdo con una modalidad de esta solicitud;
La Figura 8 es un diagrama de flujo de un método para detectar un estado de seguridad del terminal de acuerdo con otra modalidad de esta solicitud;
La Figura 9 es un diagrama esquemático de un IOC de tipo archivo de acuerdo con una modalidad de esta solicitud;
La Figura 10 es un diagrama esquemático de un IOC de tipo registro de acuerdo con una modalidad de esta solicitud; y
La Figura 11 es un diagrama esquemático de un IOC resumido de acuerdo con una modalidad de esta solicitud.
Descripción de las modalidades
Las soluciones técnicas en las modalidades de esta solicitud se describen clara y completamente a continuación con referencia a los dibujos adjuntos.
La Figura 1 es un diagrama esquemático de una arquitectura de red de un sistema para detectar un estado de seguridad del terminal de acuerdo con una modalidad de esta solicitud. Un dispositivo terminal 110 obtiene datos mediante el uso de Internet, por ejemplo, recibe un correo electrónico. Un cortafuegos 120 dispuesto en una puerta de enlace restaura el tráfico a un archivo. Por ejemplo, el cortafuegos restaura el tráfico a un archivo mediante el uso de un método proxy HTTP (Hypertext Transfer Protocol, Protocolo de transferencia de hipertexto). Los tipos de archivo incluyen un archivo exe (executable program, programa ejecutable), un archivo DLL (Dynamic Link Library, biblioteca de enlaces dinámicos, también denominado expansión de programa de la aplicación), un archivo sys (System, sistema), un archivo com, un archivo doc (un archivo de Word), un archivo xls (hoja de cálculo de Microsoft Excel), un archivo PDF (Portable Document Format, Formato de documento portátil) y similares. El cortafuegos 120 envía un archivo restaurado a un entorno de prueba 130 para su detección. El entorno de prueba 130 se dispone en la puerta de enlace y detecta si el archivo del cortafuegos 120 es un archivo malicioso que incluye una APT (Advanced Persistent Threat, amenaza persistente avanzada). Si se detecta que el archivo incluye el APT, el entorno de prueba 130 genera un IOC (Indicador de compromiso, indicador de compromiso) correspondiente al APT. El entorno de prueba 130 sincroniza el IOC con cada dispositivo terminal. Cada dispositivo terminal analiza el IOC, para obtener una característica de comportamiento que corresponde a una APT y que está incluida en el IOC, y busca un sistema operativo y un sistema de archivos de un terminal correspondiente de acuerdo con la característica, para determinar si el terminal de usuario está infectado con la APT. El entorno de prueba es un mecanismo de seguridad que proporciona un entorno de aislamiento para un programa en ejecución. El entorno de prueba generalmente controla estrictamente un recurso al que puede acceder un programa que se ejecuta en el entorno de prueba. Por ejemplo, el entorno de pruebas puede proporcionar espacio en disco y memoria que puede reciclarse después de usarse. En el entorno de pruebas, el acceso a la red, el acceso a un sistema operativo real y los permisos de lectura y escritura en un dispositivo de entrada están prohibidos o estrictamente restringidos. Un cambio realizado en el entorno de prueba no causa ninguna pérdida en el sistema operativo real. Por lo tanto, dicha tecnología generalmente se aplica ampliamente a las pruebas de un archivo ejecutable que contiene un virus u otro código malicioso.
El terminal de usuario en esta solicitud puede incluir un dispositivo terminal tal como un teléfono móvil, una tableta, un ordenador portátil, una UMPC (Ultra-mobile Personal Computer, computadora personal ultramóvil), un miniordenador portátil o una PDA (Personal Digital Assistant, asistente personal digital).
La Figura 2 es un diagrama de bloques de un aparato para detectar un estado de seguridad del terminal de acuerdo con una modalidad de esta solicitud. El aparato 200 para detectar un estado de seguridad del terminal, es decir, un aparato de protección de seguridad, está ubicado en una unión entre una red privada y una red pública, y un terminal está ubicado en la red privada. El aparato 200 incluye: un módulo de generación de resultados de comportamiento dinámico 210, un módulo de análisis de comportamiento dinámico 230, una biblioteca de características de comportamiento dinámico 220 y un generador de IOC 240.
En un ejemplo, el aparato 200 para detectar el estado de seguridad de un terminal es un entorno de prueba. Además, el entorno de prueba se dispone en una puerta de enlace.
El módulo de generación de resultados de comportamiento dinámico 210 se configura para: recibir un archivo de la red pública y ejecutar el archivo en el aparato 200 para detectar un estado de seguridad del terminal, para generar un resultado de comportamiento dinámico (refiriéndose a la Figura 3). El resultado del comportamiento dinámico incluye una secuencia de comportamiento que se genera de acuerdo con un orden cronológico de ocurrencia de comportamientos. Los comportamientos en la secuencia de comportamiento pertenecen a diferentes tipos de comportamiento, y los tipos de comportamiento incluyen crear un archivo, modificar un registro, configurar un nombre de dominio, resolver una dirección, conectarse a una red, cargar un proceso y agregar un usuario.
El módulo de análisis de comportamiento dinámico 230 se configura para determinar, de acuerdo con el resultado de comportamiento dinámico generado por el módulo de generación de resultados de comportamiento dinámico 210, si el archivo incluye una APT.
El generador de IOC 240 se configura para: si el módulo de análisis de comportamiento dinámico determina que el archivo incluye la APT, obtener una característica de comportamiento estable en el resultado del comportamiento dinámico, generar un IOC correspondiente de acuerdo con la característica de comportamiento estable y enviar el IOC al terminal. La característica de comportamiento estable es un comportamiento que siempre existe en una secuencia de comportamiento que se genera cada vez que se ejecuta el archivo.
En un ejemplo, un archivo de la red pública es, por ejemplo, un archivo exe, un archivo DLL, un archivo sys, un archivo com, un archivo doc, un archivo xls o un archivo PDF.
En un ejemplo, el resultado del comportamiento dinámico incluye una serie de operaciones de comportamiento. Cada operación de comportamiento incluye una secuencia de comportamiento basada en el tiempo.
En un ejemplo, el módulo de generación de resultados de comportamiento dinámico 210 incluye un módulo de motor de detección heurística y un módulo de entorno de ejecución virtual (que no se muestran en la Figura 2) en un entorno de prueba existente. El módulo del motor de detección heurística incluye un submódulo del motor de detección heurística web, un submódulo del motor de detección heurística PDF y un submódulo del motor de detección heurística PE (que no se muestran en la Figura 2). El módulo del motor de detección heurística y el módulo del entorno de ejecución virtual en el entorno limitado se configuran para generar un resultado de comportamiento dinámico correspondiente.
Como se muestra en la Figura 3, la Figura 3 es un diagrama esquemático de un resultado de comportamiento dinámico. El resultado del comportamiento dinámico en la Figura 3 incluye una secuencia de comportamiento que se genera de acuerdo con un orden cronológico de ocurrencia de comportamientos. Los comportamientos en la secuencia de comportamiento pertenecen a diferentes tipos de comportamiento. En la Figura 3, los tipos de comportamiento incluyen crear un archivo, cargar un proceso, modificar un registro y conectarse a una red.
En la Figura 2, la biblioteca de características de comportamiento dinámico 220 incluye múltiples características de comportamiento dinámico relacionadas con una APT. Por ejemplo, la biblioteca de características de comportamiento dinámico 220 incluye una biblioteca de características de comportamiento falso positivo y una biblioteca de características de comportamiento de amenaza (que no se muestran en la Figura 2). La biblioteca de características de comportamiento falso positivo incluye múltiples características de comportamiento falso positivo. La biblioteca de características de comportamiento de amenaza incluye múltiples características de comportamiento de amenaza.
En un ejemplo, el módulo de análisis de comportamiento dinámico 230 coincide con el resultado del comportamiento dinámico del módulo de generación de resultados de comportamiento dinámico 210 con cada característica de comportamiento dinámico en la biblioteca 220 de características de comportamiento dinámico, para determinar si el resultado de comportamiento dinámico incluye la APT.
En un ejemplo, el módulo de análisis de comportamiento dinámico 230 coincide con el resultado del comportamiento dinámico primero con cada característica de comportamiento falso positivo en la biblioteca de características de comportamiento falso positivo de la biblioteca de características de comportamiento dinámico 220, y luego con cada característica de comportamiento de amenazas en la biblioteca de características de comportamiento de amenazas, para determinar si el resultado del comportamiento dinámico incluye la APT.
En un ejemplo, después de determinar que el resultado del comportamiento dinámico incluye la APT, el módulo 230 de análisis del comportamiento dinámico envía el resultado del comportamiento dinámico a un generador de IOC 240. Después de determinar que el resultado del comportamiento dinámico no incluye la APT, el módulo de análisis del comportamiento dinámico 230 envía el archivo (es decir, un archivo normal o un archivo no infectado) recibido por el aparato 200 a un dispositivo terminal. Es decir, el resultado del comportamiento dinámico recibido por el generador de iOc 240 incluye la a Pt .
La APT tiene un alto encubrimiento, y un método de ataque de la APT es ocultar la APT. La APT invade crónicamente un terminal de usuario para un objetivo particular de una manera planificada mediante el uso de una serie de operaciones de comportamiento.
En un ejemplo, el generador de IOC 240 incluye un primer cargador 241, múltiples generadores de IOC y un módulo de resumen de IOC 243. Los múltiples generadores de IOC incluyen múltiples tipos de generadores de IOC, por ejemplo, incluyen un generador de archivos (File generator), un generador de registros (Registry generator), un generador de nombres de dominio (DNS generator), un generador de protocolo de resolución de direcciones (ARP generator), un generador de red (Network generator), un generador de proceso (Process generator) y un generador de usuario (User generator). Un tipo del generador IOC está relacionado con un tipo de comportamiento en la característica de comportamiento estable de la APT. Por ejemplo, si una característica de comportamiento en un resultado de comportamiento dinámico que incluye una APT está creando un archivo, el tipo del generador IOC incluye el generador de archivos.
El primer cargador (loader) 241 en el generador de IOC 240 carga un programa correspondiente del resultado del comportamiento dinámico en la memoria, y asigna operaciones de comportamiento en el resultado del comportamiento dinámico a diferentes generadores. El resultado del comportamiento dinámico incluye una serie de operaciones de comportamiento. Cada operación de comportamiento incluye una secuencia de comportamiento basada en el tiempo.
En un ejemplo, el primer cargador 241 analiza las operaciones de comportamiento en el resultado de comportamiento dinámico uno por uno de acuerdo con un orden cronológico, para obtener las características de comportamiento correspondientes, y envía una operación de comportamiento correspondiente en el resultado de comportamiento dinámico a un generador correspondiente de acuerdo con una característica de comportamiento determinada. Por ejemplo, el primer cargador 241 verifica una operación de comportamiento y obtiene que una característica de comportamiento de la operación de comportamiento es FCreate, es decir, crear un archivo; entonces el primer cargador 241 envía la operación de comportamiento al generador de archivos.
En un ejemplo, el primer cargador 241 incluye una tabla de comparación. La tabla de comparación muestra una correspondencia entre cada característica de comportamiento y cada generador de múltiples tipos de generadores. El primer cargador 241 obtiene una característica de comportamiento de cada operación de comportamiento en el resultado de comportamiento dinámico recibido, determina, buscando en la tabla de comparación, un generador correspondiente a cada operación de comportamiento, y asigna la operación de comportamiento al generador correspondiente.
Por ejemplo, si el primer cargador 241 verifica que una característica de comportamiento de una operación de comportamiento en el resultado de comportamiento dinámico recibido (es decir, ya se determina que el resultado de comportamiento dinámico incluye una APT) incluye la creación de un archivo, el primer cargador 241 determina, al buscar en la tabla de comparación, que un generador correspondiente a la operación de comportamiento es un generador de archivos, y el primer cargador 241 asigna la operación de comportamiento al generador de archivos.
Cada generador de IOC en el generador de IOC 240 analiza una operación de comportamiento correspondiente en el resultado de comportamiento dinámico del primer cargador 241, para obtener la característica de comportamiento estable en el resultado de comportamiento dinámico, es decir, extraer un rastro dejado por la APT, y genera un IOC correspondiente de acuerdo con la característica de comportamiento estable. La característica de comportamiento estable es un comportamiento que siempre existe en una secuencia de comportamiento que se genera cada vez que se ejecuta el archivo, incluida la a Pt .
En un ejemplo, que el generador de IOC 240 obtiene una característica de comportamiento estable en el resultado del comportamiento dinámico incluye: ejecutar el archivo en el aparato 200 al menos dos veces, para obtener por separado una secuencia de comportamiento que se genera cada vez después de la ejecución, para obtener al menos dos secuencias de comportamiento; determinar comportamientos idénticos que existen en al menos dos secuencias de comportamiento, donde los comportamientos idénticos son comportamientos que son iguales en términos de tipos de comportamiento y contenido de comportamiento; y obtener un conjunto formado por comportamientos idénticos en al menos dos secuencias de comportamiento, y usar el conjunto como la característica de comportamiento estable.
Obviamente, en un proceso de obtención de la característica de comportamiento estable, una mayor cantidad de veces de ejecución del archivo indica una mayor precisión de la característica de comportamiento estable finalmente obtenida, y una mayor precisión de identificación, de acuerdo con el IOC generado de acuerdo con la característica de comportamiento estable, si el dispositivo terminal está infectado con la APT.
Un IOC (indicator of compromise, indicador de compromiso) describe un rastro dejado por una APT capturada, y el rastro se describe en un formulario de documento xml. El contenido incluye un atributo de un archivo de virus, una característica modificada de un registro, memoria virtual y similares. Por ejemplo, un rastro que describe un IOC y que deja una APT es: buscar una ruta C:\WINDOWS\apocalyps32.exe para un archivo, y una longitud del archivo es 108544 bytes. El módulo de resumen de IOC 243 resume múltiples IOC de múltiples generadores de IOC (por ejemplo, un generador de archivos y un generador de registro) en un IOC, y envía el IOC resumido al dispositivo terminal. El IOC resumido se representa mediante el uso de un documento XML (Lenguaje de marcado extensible).
La Figura 4 es un diagrama esquemático de un dispositivo terminal de acuerdo con una modalidad de esta solicitud. El dispositivo terminal 400 incluye un intérprete IOC 410, un módulo receptor 430 y un módulo determinante 440.
El módulo receptor 430 se configura para recibir un IOC desde un dispositivo de protección de seguridad.
El intérprete 410 de IOC se configura para analizar el IOC recibido por el módulo receptor 430, para obtener una característica de comportamiento que corresponde a un APT y que está incluida en el IOC.
El módulo de determinación 440 se configura para buscar un sistema operativo y un sistema de archivos del dispositivo terminal 400, para determinar si se ha producido un comportamiento descrito por la característica de comportamiento correspondiente a la APT en el dispositivo terminal 400; y si el comportamiento descrito por la característica de comportamiento correspondiente a la APT ha ocurrido en el dispositivo terminal 400, determine que el dispositivo terminal 400 se ha infectado con la APT.
En un ejemplo, el dispositivo terminal 400 incluye además un editor 420. El editor 420 se configura para describir y mostrar un IOC recibido, tal como un IOC resumido, en forma gráfica, haciendo referencia a la Figura 5. La Figura 5 un diagrama esquemático de una forma de representación gráfica de un IOC resumido. El editor 420 es un módulo opcional.
En un ejemplo, el intérprete IOC 410 está en un módulo TSM (Terminal Security Management, programa informático de gestión de seguridad de terminal) del dispositivo terminal 400.
Un experto en la técnica puede entender que la estructura del dispositivo terminal que se muestra en la Figura 4 no constituye ninguna limitación para el dispositivo terminal, y puede incluir más o menos componentes que los mostrados en la figura, o algunos componentes pueden combinarse, o puede usarse un diseño de componente diferente.
En un ejemplo, el intérprete 410 del IOC incluye un segundo cargador 411 y múltiples tipos de intérpretes.
En la Figura 4, el segundo cargador 411 en el intérprete 410 de IOC recibe un IOC del módulo receptor 430, por ejemplo, recibe un IOC resumido, carga un programa correspondiente del IOC resumido en la memoria y asigna IOC en el IOC resumido a diferentes intérpretes.
En un ejemplo, el segundo cargador 411 analiza los IOC en el IOC resumido uno por uno, para obtener tipos de IOC, y asigna los IOC en el IOC resumido de acuerdo con los tipos determinados de IOC. Por ejemplo, en un IOC, si un tipo de documento de contexto incluido en el IOC es FileItem, indica que el IOC es un IOC de tipo archivo.
En un ejemplo, el segundo cargador 411 incluye una tabla de comparación. La tabla de comparación muestra una correspondencia entre cada tipo de IOC y cada intérprete de múltiples tipos de intérpretes. El segundo cargador 411 obtiene el tipo de IOC del IOC recibido por el segundo cargador 411, determina, buscando en la tabla de comparación, un intérprete correspondiente a cada IOC, y asigna cada IOC en el IOC resumido a un intérprete correspondiente.
Debe observarse que el intérprete de IOC 410 puede incluir alternativamente un asignador (no mostrado en la Figura 4). En este caso, el asignador asigna cada IOC en el IOC resumido a un intérprete correspondiente, y el segundo cargador 411 se configura solo para cargar el programa correspondiente del IOC resumido en la memoria.
El intérprete 410 del IOC incluye algunos o todos los siguientes tipos múltiples de intérpretes: un intérprete de archivos (File interpreter), un intérprete de registro (Registry interpreter), un intérprete de nombre de dominio (DNS interpreter), un intérprete de protocolo de resolución de direcciones (ARP interpreter), un intérprete de red (Network interpreter), un intérprete de proceso (Process interpreter) y un intérprete de usuario (User interpreter). Un tipo de intérprete está relacionado con un tipo de IOC.
Cada intérprete en el intérprete 410 del IOC recibe un IOC correspondiente del segundo cargador 411, y analiza el IOC, para obtener una característica de comportamiento que corresponde a la APT y que se incluye en el IOC, es decir, para obtener un rastro dejado por la APT. El módulo de determinación 440 busca el sistema operativo y el sistema de archivos del dispositivo terminal 400 de acuerdo con la característica, para determinar si se ha producido un comportamiento descrito por la característica de comportamiento correspondiente a la APT en el dispositivo terminal 400; y si el comportamiento descrito por la característica de comportamiento correspondiente a la APT ha ocurrido en el dispositivo terminal 400, determina que el dispositivo terminal 400 se ha infectado con la APT. Por ejemplo, el intérprete de archivos obtiene, al analizar, que una primera característica que corresponde a una APT y que está en un IOC es: una ruta C:\WINDOWS\apocalyps32.exe; y una segunda característica que corresponde a la APT y que está en el IOC es: un archivo cuya longitud es 108544 bytes. El módulo de determinación 440 busca el sistema operativo y el sistema de archivos del dispositivo terminal 440, y consulta una ruta C:\WINDOWS\apocalyps32.exe, para determinar si hay un archivo cuya longitud es 108544 bytes, para determinar si el dispositivo terminal 400 está infectado con el APT.
HIGO. 6 muestra un sistema para detectar un estado de seguridad del terminal de acuerdo con una modalidad de esta solicitud. El sistema incluye el aparato 200 para detectar un estado de seguridad del terminal y el dispositivo terminal 400, el aparato 200 para detectar un estado de seguridad del terminal está ubicado en una unión entre una red privada y una red pública, y el dispositivo terminal 400 está ubicado en la red privada.
El aparato 200 para detectar un estado de seguridad del terminal recibe un archivo de la red pública y ejecuta el archivo para generar un resultado de comportamiento dinámico; determina, de acuerdo con el resultado del comportamiento dinámico, si el archivo incluye una APT; y si el resultado del comportamiento dinámico incluye la APT, obtiene una característica de comportamiento estable en el resultado del comportamiento dinámico y genera un IOC correspondiente de acuerdo con la característica de comportamiento estable. El resultado del comportamiento dinámico incluye una secuencia de comportamiento que se genera de acuerdo con un orden cronológico de ocurrencia de comportamientos. Los comportamientos en la secuencia de comportamiento pertenecen a diferentes tipos de comportamiento, y los tipos de comportamiento incluyen crear un archivo, modificar un registro, configurar un nombre de dominio, resolver una dirección, conectarse a una red, cargar un proceso y agregar un usuario. La característica de comportamiento estable es un comportamiento que siempre existe en una secuencia de comportamiento que se genera cada vez que se ejecuta el archivo.
El dispositivo terminal 400 recibe un IOC del aparato 200 para detectar un estado de seguridad del terminal, analiza el IOC, para obtener una característica de comportamiento que corresponde a una APT y que está incluida en el IOC, y busca un sistema operativo y un sistema de archivos del dispositivo terminal 400 de acuerdo con la característica de comportamiento, para determinar si el comportamiento descrito por la característica de comportamiento correspondiente a la APT ha ocurrido en el dispositivo terminal 400; y si el comportamiento descrito por la característica de comportamiento correspondiente a la APT ha ocurrido en el dispositivo terminal 400, determina que el dispositivo terminal 400 se ha infectado con la APT.
Debe observarse que, para los módulos incluidos en el aparato 200 para detectar un estado de seguridad del terminal y el dispositivo terminal 400 y las funciones de los módulos, consulte la Figura 2, la Figura 4, y descripciones relacionadas. Los detalles no se describen nuevamente en la presente descripción.
La Figura 7 es un diagrama de flujo de un método para detectar un estado de seguridad del terminal de acuerdo con una modalidad de esta solicitud. El método para detectar el estado de seguridad de un terminal lo ejecuta un dispositivo de protección de seguridad. El dispositivo de protección de seguridad está ubicado en una unión entre una red privada y una red pública, y un terminal está ubicado en la red privada.
En un ejemplo, el método para detectar el estado de seguridad de un terminal lo realiza un entorno de prueba, y el entorno de prueba se dispone en una puerta de enlace.
En la etapa 710, el dispositivo de protección de seguridad recibe un archivo de la red pública y ejecuta el archivo en el dispositivo de protección de seguridad, para generar un resultado de comportamiento dinámico, en referencia a la Figura 3. El resultado del comportamiento dinámico incluye una secuencia de comportamiento que se genera de acuerdo con un orden cronológico de ocurrencia de comportamientos. Los comportamientos en la secuencia de comportamiento pertenecen a diferentes tipos de comportamiento, y los tipos de comportamiento incluyen crear un archivo, modificar un registro, configurar un nombre de dominio, resolver una dirección, conectarse a una red, cargar un proceso y agregar un usuario.
En un ejemplo, el resultado del comportamiento dinámico incluye una serie de operaciones de comportamiento. Cada operación de comportamiento incluye una característica de comportamiento basada en el tiempo.
En un ejemplo, un archivo de Internet es, por ejemplo, un archivo exe, un archivo DLL, un archivo sys, un archivo com, un archivo doc, un archivo xls o un archivo PDF.
En la etapa 720, el dispositivo de protección de seguridad determina, de acuerdo con el resultado del comportamiento dinámico generado, si el archivo incluye una APT.
En un ejemplo, el resultado del comportamiento dinámico se corresponde con cada característica de comportamiento dinámico en una biblioteca de características de comportamiento dinámico, para determinar si el resultado del comportamiento dinámico incluye la APT.
En la etapa 730, si el resultado del comportamiento dinámico incluye la APT, el dispositivo de protección de seguridad analiza las operaciones de comportamiento en el resultado del comportamiento dinámico uno por uno, para obtener una característica de comportamiento estable en cada operación de comportamiento, es decir, extraer un rastro dejado por la APT, y genera un IOC correspondiente de acuerdo con la característica de comportamiento estable. La característica de comportamiento estable es un comportamiento que siempre existe en una secuencia de comportamiento que se genera cada vez que se ejecuta el archivo.
En un ejemplo, la obtención de una característica de comportamiento estable en el resultado del comportamiento dinámico incluye: ejecutar el archivo en el dispositivo de protección de seguridad al menos dos veces, para obtener por separado una secuencia de comportamiento que se genera después de cada vez que se ejecuta, para obtener al menos dos secuencias de comportamiento; determinar comportamientos idénticos que existen en al menos dos secuencias de comportamiento, donde los comportamientos idénticos son comportamientos que son iguales en términos de tipos de comportamiento y contenido de comportamiento; y obtener un conjunto formado por comportamientos idénticos en al menos dos secuencias de comportamiento, y usar el conjunto como una característica de comportamiento estable.
En el paso 740, el dispositivo de protección de seguridad resume múltiples IOC generados de acuerdo con el resultado del comportamiento dinámico en un IOC. El IOC resumido se representa mediante el uso de un documento XML (Lenguaje de marcado extensible).
La etapa 740 es una etapa opcional. Cuando se obtiene una IOC de acuerdo con el resultado del comportamiento dinámico, no es necesario resumir el IOC, es decir, no es necesario realizar la etapa 740.
En la etapa 750, el dispositivo de protección de seguridad envía el IOC resumido al dispositivo terminal.
La Figura 8 es un diagrama de flujo de un método para detectar un estado de seguridad del terminal de acuerdo con otra modalidad de esta solicitud.
En la etapa 810, el dispositivo terminal recibe un IOC, tal como un IOC resumido, de un dispositivo de protección de seguridad, donde el IOC resumido incluye múltiples IOC.
En la etapa 820, el dispositivo terminal analiza el IOC para obtener una característica de comportamiento que corresponde a una APT y que está incluida en el IOC.
En un ejemplo, el IOC es un IOC resumido. Los IOC en el IOC resumido se analizan uno por uno, para obtener una característica de comportamiento que corresponde a un APT y que se incluye en cada IOC.
En la etapa 830, el dispositivo terminal busca un sistema operativo y un sistema de archivos del dispositivo terminal de acuerdo con la característica de comportamiento obtenida, para determinar si un comportamiento descrito por la característica de comportamiento correspondiente a la APT ha ocurrido en el dispositivo terminal; y si el comportamiento descrito por la característica de comportamiento correspondiente a la APT ha ocurrido en el dispositivo terminal, determina que el dispositivo terminal se ha infectado con la APT.
Por ejemplo, una primera característica que corresponde a una APT y que está en un IOC es: una ruta C:\WINDOWS\apocalyps32.exe. Una segunda característica correspondiente a la APT es: un archivo cuya longitud es 108544 bytes. Por lo tanto, el terminal de usuario busca la ruta C:\WINDOWS\apocalyps32.exe en el sistema operativo y el sistema de archivos del terminal de usuario, y comprueba si hay un archivo cuya longitud es 108544 bytes en la ruta. Si hay un archivo cuya longitud es 108544 bytes en la ruta, se determina que el terminal se ha infectado con la APT.
En un ejemplo, cuando el dispositivo terminal encuentra que un IOC en el IOC resumido incluye la APT, se determina que el dispositivo terminal está infectado con el APT.
Un resultado de comportamiento dinámico infectado con una APT típica en la Figura 3 se use como ejemplo para describir en detalle cómo un generador de IOC convierte resultado del comportamiento dinámico infectado con la a Pt en un IOC, y cómo el dispositivo terminal determina, de acuerdo con el IOC recibido, si el dispositivo terminal está infectado con la APT.
Un primer cargador 241 en un generador 240 de IOC analiza las operaciones de comportamiento en un resultado de comportamiento dinámico recibido, uno por uno, y primero verifica una primera operación de comportamiento en el resultado de comportamiento dinámico, es decir, verifica una operación de comportamiento "Una muestra libera un archivo PE "en la Figura 3. El primer cargador 241 aprende, de acuerdo con una "acción" de campo en la primera operación de comportamiento, que la característica de comportamiento es FCreate, es decir, crear un archivo. El primer cargador 241 asigna la primera operación de comportamiento, es decir, la operación de comportamiento "Una muestra libera un archivo PE" a un generador de archivos.
El generador de archivos analiza la primera operación de comportamiento y descubre que la operación de comportamiento es FCreate, es decir, crear un archivo, en una ruta C:\windows\apocalyps32.exe; y FWritePE, es decir, escribir un archivo ejecutable. Una longitud es 43008 bytes, es decir, la longitud del archivo es 43008 bytes; un desplazamiento es 65536 bytes y, por lo tanto, la longitud total del archivo es 43008 65536 = 108544. Por lo tanto, el generador de archivos analiza la operación de comportamiento, para obtener que una característica de comportamiento correspondiente esté creando un archivo ejecutable apocalyps32.exe en un directorio C:\windows\, y una longitud del archivo ejecutable es 108544 bytes. Este tipo de característica de comportamiento es estable y no varía con diferentes terminales. Se deja un rastro que tiene la característica de comportamiento siempre que el dispositivo terminal esté infectado con una APT correspondiente. La característica de comportamiento estable es un comportamiento que siempre existe en una secuencia de comportamiento que se genera cada vez que se ejecuta el archivo, incluida la APT. El generador de archivos genera un IOC de tipo archivo de acuerdo con la característica de comportamiento estable. Para el IOC de tipo de archivo, consulte la Figura 9. Por lo tanto, la primera operación de comportamiento en el resultado del comportamiento dinámico se convierte en un IOC.
La Figura 9 es un diagrama esquemático de un IOC de tipo archivo. En la Figura 9, el IOC de tipo de archivo representa que un rastro dejado por una a Pt es un archivo cuya longitud es 108544 bytes en la ruta C:\windows\apocalyps32.exe.
(2) El primer cargador 241 verifica una segunda operación de comportamiento en el resultado de comportamiento dinámico, es decir, verifica una operación de comportamiento "Ejecutar la muestra". El primer cargador 241 aprende, de acuerdo con el campo "acción", que la operación de comportamiento es CreateProcess, es decir, crear un proceso, en una ruta C:\windows\apocalyps32.exe: 1252. El primer cargador 241 asigna la operación de comportamiento a un generador de procesos.
El generador de procesos analiza la segunda operación de comportamiento, para saber que la operación de comportamiento es CreateProcess, es decir, cargar un proceso, en la ruta C:\windows\apocalyps32.exe: 1252, donde el valor de un pid es 1448; y luego FOpen, es decir, abrir un archivo, donde el valor de un pid (un identificador de proceso) es 1488. El pid es una característica inestable, y un valor del pid varía con diferentes dispositivos terminales. Por lo tanto, la operación de comportamiento "Ejecutar la muestra" es una operación de comportamiento inestable y no se genera IOC.
(3) El primer cargador 241 verifica una tercera operación de comportamiento en el resultado de comportamiento dinámico, es decir, verifica una operación de comportamiento "Crear una amenaza e inyectar la amenaza en un proceso IEXPLORE.EXE para ocultar la amenaza". El primer cargador 241 aprende, de acuerdo con el campo "acción", que la operación de comportamiento es Open-Process explorer.exe, es decir, abrir un navegador. El primer cargador 241 asigna la operación de comportamiento a un generador de procesos.
El generador de procesos analiza la tercera operación de comportamiento, para saber que la operación de comportamiento es primero OpenProcess explorer.exe, es decir, abrir un navegador, donde el valor de un pid (un identificador de proceso) es 1244; y luego, WriteOtherProcMem, es decir, escribir una amenaza de IE, donde el valor de un pid es 1488. El pid es una característica inestable, y un valor del pid varía con diferentes dispositivos terminales. Por lo tanto, la operación de comportamiento es una operación de comportamiento inestable y no se genera IOC.
(4) El primer cargador 241 verifica una cuarta operación de comportamiento en el resultado de comportamiento dinámico, es decir, verifica una operación de comportamiento "Modificar un registro para agregar un elemento de inicio automático". El primer cargador 241 aprende, de acuerdo con el campo "acción", que la operación de comportamiento es RegCreateKey, es decir, crear un elemento de registro, en una ruta HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. El primer cargador 241 envía la operación de comportamiento a un generador de registro. El generador de registro analiza la cuarta operación de comportamiento, para saber que la operación de comportamiento es RegCreateKey, es decir, crear un elemento de registro, en HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Un valor clave del elemento de registro se establece en C:\WINDOWS\apocalyps32.exe. Por lo tanto, el generador de registro analiza la operación de comportamiento, para obtener que una característica de comportamiento correspondiente esté agregando un elemento de inicio automático C:\WINDOWS\apocalyps32.exe en una ruta HKLM\SOFTWARE\Microsoft\Windows\Current Version\Run\apocalyps32.
Este tipo de característica de comportamiento es estable y no varía con diferentes dispositivos terminales. Se deja un rastro de la característica de comportamiento siempre que el dispositivo terminal esté infectado con una APT correspondiente. La característica de comportamiento estable es un comportamiento que siempre existe en una secuencia de comportamiento que se genera cada vez que se ejecuta un archivo que incluye la APT. El generador de registro convierte la operación de comportamiento en un IOC de tipo registro, haciendo referencia a la Figura 10.
La Figura 10 es un diagrama esquemático de un IOC de tipo registro. En la Figura 10, un rastro dejado por una APT es: buscar una ruta de registro HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\apocalyps32 para determinar si la ruta existe. Si la ruta existe, un valor correspondiente a la ruta es C:\windows\apocalyps32.exe.
(5) El primer cargador 241 verifica una quinta operación de comportamiento en el resultado de comportamiento dinámico, es decir, verifica una operación de comportamiento "Conectarse a una red externa". El primer cargador 241 aprende, de acuerdo con el campo "acción", que la operación de comportamiento es conectarse, es decir, conectarse a una red externa. El primer cargador 241 asigna la operación de comportamiento a un generador de conexión de red.
El generador de conexión de red analiza la quinta operación de comportamiento, para saber que la operación de comportamiento se está conectando a la red externa, y una dirección IP es 5.5.66.101:1453. 1453 en la dirección IP es una característica inestable, y sus valores varían con los diferentes dispositivos terminales. Por lo tanto, la operación de comportamiento "Conectarse a una red externa" es una operación de comportamiento inestable y no se genera IOC.
Se puede aprender, de acuerdo con el análisis anterior, que un proceso de ejecución APT en la Figura 3 es: primero lanzar un archivo ejecutable; posteriormente, ejecutar el archivo ejecutable; luego, ocultar el proceso de ejecución APT en un navegador iE, de modo que el proceso de ejecución APT no se pueda encontrar en el administrador de tareas; agregar un elemento de registro de inicio automático, para que la APT exista en un sistema cada vez que se reinicie el sistema; y finalmente, robar información o dañar el sistema conectándose a una red externa.
(6) El módulo de resumen de IOC 243 recibe el IOC de tipo de archivo (como se muestra en la Figura 9) del generador de archivos, recibe el IOC de tipo registro (como se muestra en la Figura 10) del generador de registros, resume el IOC de tipo archivo y el IOC de tipo registro, para obtener un IOC resumido, y muestra el IOC resumido en un formulario de documento XML, haciendo referencia a la Figura 11.
La Figura 11 es un diagrama esquemático de un IOC resumido. El IOC resumido se representa en un formulario de archivo XML. El archivo XML incluye información tal como una breve descripción sobre el IOC, un autor y una fecha de creación, e incluye una descripción sobre el rastro de la APT: un archivo ejecutable cuya longitud es 108544 bytes en la ruta C:\windows\apocalyps32.exe; o agregar un elemento de inicio automático C:\WINDOWS\apocalyps32.exe en la ruta HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\apocalyps32.
(7) Un módulo receptor 430 en el dispositivo terminal recibe el IOC resumido (incluyendo el IOC de tipo archivo y el IOC de tipo registro) desde el aparato 200 para detectar un estado de seguridad del terminal (es decir, el dispositivo de protección de seguridad), donde para un lOC resumido específico, consulte la Figura 11, y envía el IOC resumido a un segundo cargador 411.
(8) El segundo cargador 411 analiza los IOC en el IOC resumido uno por uno, y primero verifica un primer IOC, es decir, el IOC de tipo archivo, en el IOC resumido. El segundo cargador 411 aprende, de acuerdo con un campo "Documento de contexto", que una característica de comportamiento es Fileltem, es decir, un elemento de archivo. El segundo cargador 411 asigna el primer IOC, es decir, el lOC de tipo de archivo, a un intérprete de archivos.
(9) El intérprete de archivos analiza el IOC de tipo archivo, para obtener dos características de comportamiento de la APT que se incluyen en el IOC: Una característica de comportamiento es determinar si existe C:\WINDOWS\apocalyps32.exe; y la otra característica de comportamiento es determinar si una longitud del archivo es de 108544 bytes. Las dos características de comportamiento están en una relación "y (inglés: and)", en referencia a la Figura 9.
(10) Un módulo de determinación 440 busca un sistema operativo y un sistema de archivos de un dispositivo terminal 400, para determinar si ha ocurrido un comportamiento descrito por una característica de comportamiento correspondiente a la APT en el dispositivo terminal 400; y si el comportamiento descrito por la característica de comportamiento correspondiente a la APT ha ocurrido en el dispositivo terminal 400, determina que el dispositivo terminal 400 se ha infectado con la APT. Es decir, si se encuentra un archivo cuya longitud es 108544 bytes en la ruta C:\WINDOWS\apocalyps32.exe, el módulo de determinación 440 determina que el dispositivo terminal 400 se ha infectado con la APT.
(11) El segundo cargador 411 verifica un segundo IOC, es decir, el IOC de tipo de registro, en el IOC resumido. El segundo cargador 411 aprende, de acuerdo con el campo "Documento de contexto", que la característica es Registryltem, es decir, un elemento de registro. El segundo cargador 411 asigna el segundo IOC, es decir, el IOC del elemento de registro, a un intérprete de registro.
El intérprete de registro analiza el elemento de registro IOC, para obtener dos características de comportamiento de la APT que se incluyen en el IOC: Una característica de comportamiento es determinar si existe una ruta de registro "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\apocalyps32"; y la otra característica de comportamiento es determinar si el contenido del elemento del registro es "C:\WlNDOWS\apocalyps32.exe". Las dos características de comportamiento están en una relación "y (inglés: and)", en referencia a la Figura 10.
(12) El módulo de determinación 440 busca el sistema operativo y el sistema de archivos del dispositivo terminal 400, para determinar si el comportamiento descrito por la característica de comportamiento correspondiente a la APT ha ocurrido en el dispositivo terminal 400; y si el comportamiento descrito por la característica de comportamiento correspondiente a la APT ha ocurrido en el dispositivo terminal 400, determina que el dispositivo terminal 400 se ha infectado con la APT. Es decir, el módulo de determinación 440 busca en la ruta HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\apocalyps32 para determinar si se incluye el contenido C:\WINDOWS\apocalyps32.exe. Si se incluye el contenido, indica que el dispositivo terminal 400 está infectado con la APT.
Las etapas del método o algoritmo que se describen en el contenido descrito en esta solicitud pueden implementarse de manera de soporte físico, o pueden implementarse de manera de una instrucción de programa informático ejecutada por un procesador. La instrucción de programa informático puede incluir un módulo de programa informático correspondiente. El módulo de programa informático puede ubicarse en una memoria RAM, una memoria flash, una memoria ROM, una memoria EPROM, una memoria EEPROM, un registro, un disco duro, un disco duro extraíble, un CDROM o un medio de almacenamiento de cualquier otra forma conocido en la técnica. Por ejemplo, un medio de almacenamiento está acoplado a un procesador, de modo que el procesador puede leer información del medio de almacenamiento o escribir información en el medio de almacenamiento. Ciertamente, el medio de almacenamiento puede ser un componente del procesador. El procesador y el medio de almacenamiento pueden estar ubicados en un ASIC. Además, el ASIC puede estar ubicado en el equipo del usuario. Ciertamente, el procesador y el medio de almacenamiento pueden existir en el equipo del usuario como componentes discretos.
Una persona experta en la técnica debe ser consciente de que en uno o más de los ejemplos anteriores, las funciones descritas en esta solicitud pueden implementarse mediante soporte físico, programa informático, microprograma o cualquier combinación de los mismos. Cuando la presente solicitud se implementa mediante programa informático, las funciones anteriores pueden almacenarse en un medio legible por ordenador o transmitirse como una o más instrucciones o código en el medio legible por ordenador. El medio legible por ordenador incluye un medio de almacenamiento informático y un medio de comunicaciones, donde el medio de comunicaciones incluye cualquier medio que permita la transmisión de un programa informático de un lugar a otro. El medio de almacenamiento puede ser cualquier medio disponible accesible para un ordenador dedicado o de propósito general.
Los objetivos, las soluciones técnicas y los efectos beneficiosos de esta solicitud se describen con más detalle en las modalidades específicas anteriores. Debe entenderse que las descripciones anteriores son meramente modalidades específicas de esta solicitud, pero la invención está definida por el alcance de las siguientes reivindicaciones.

Claims (5)

REIVINDICACIONES
1. Un aparato (200) para detectar un estado de seguridad del terminal, en donde el aparato (200) está ubicado en una unión entre una red privada y una red pública, un terminal está ubicado en la red privada y el aparato comprende:
un módulo de generación de resultados de comportamiento dinámico (210), configurado para: recibir un archivo de la red pública y ejecutar el archivo en el aparato para generar un resultado de comportamiento dinámico, en donde el resultado de comportamiento dinámico comprende una secuencia de comportamiento que se genera de acuerdo con un orden cronológico de ocurrencia de comportamientos, los comportamientos en la secuencia de comportamiento pertenecen a diferentes tipos de comportamiento, y los tipos de comportamiento comprenden crear un archivo, modificar un registro, configurar un nombre de dominio, resolver una dirección, conectarse a una red, cargar un proceso y agregar un usuario;
un módulo de análisis de comportamiento dinámico (230), configurado para determinar, de acuerdo con el resultado de comportamiento dinámico generado por el módulo de generación de resultados de comportamiento dinámico (210), si el archivo comprende una amenaza persistente avanzada; y
un indicador de generador de compromiso (250), configurado para: si el módulo de análisis de comportamiento dinámico (230) determina que el archivo comprende la amenaza persistente avanzada, obtenga una característica de comportamiento estable en el resultado del comportamiento dinámico, genere un indicador de compromiso correspondiente de acuerdo con la característica de comportamiento estable, y envía el indicador de compromiso al terminal, en donde la característica de comportamiento estable es un comportamiento que siempre existe en una secuencia de comportamiento que se genera cada vez que se ejecuta el archivo; en donde el indicador de generador de compromiso (250) se configura para implementar las siguientes etapas para obtener una característica de comportamiento estable en el resultado del comportamiento dinámico:
ejecutar el archivo en el aparato dos veces, para obtener por separado una secuencia de comportamiento que se obtiene después de cada vez que se ejecuta, para obtener una primera secuencia de comportamiento y una segunda secuencia de comportamiento;
determinar comportamientos idénticos que existen en la primera secuencia de comportamiento y la segunda secuencia de comportamiento, en donde los comportamientos idénticos son comportamientos que son iguales en términos de tipos de comportamiento y contenido de comportamiento; y
obtener un conjunto formado por comportamientos idénticos en la primera secuencia de comportamiento y la segunda secuencia de comportamiento, y usar el conjunto como la característica de comportamiento estable.
2. El aparato de acuerdo con la reivindicación 1, en donde el aparato comprende además una biblioteca de características de comportamiento dinámico (220), en donde la biblioteca de características de comportamiento dinámico (220) comprende múltiples características de comportamiento falso positivo y múltiples características de comportamiento de amenaza; y
el módulo de análisis de comportamiento dinámico (230) se configura para: recibir el resultado del comportamiento dinámico y hacer coincidir el resultado del comportamiento dinámico con las múltiples características de comportamiento falso positivo y las múltiples características de comportamiento de amenaza en la biblioteca de características de comportamiento dinámico (220), para determinar si el archivo comprende la amenaza persistente avanzada.
3. El aparato de acuerdo con la reivindicación 1 o 2, en el que el indicador de compromiso generador (250) comprende múltiples tipos de generadores, y un tipo de generador está relacionado con un tipo de comportamiento en la característica de comportamiento estable.
4. El aparato de acuerdo con una cualquiera de las reivindicaciones 1 a 3, en donde el indicador de generador de compromiso (250) comprende uno o más de un generador de archivos, un generador de registro, un generador de nombres de dominio, un generador de Protocolo de Resolución de Direcciones, un generador de conexión de red, un generador de proceso o un generador de usuario.
5. Un sistema para detectar un estado de seguridad de terminal, en donde un dispositivo de protección de seguridad (200) se encuentra en una unión entre una red privada y una red pública, un dispositivo de terminal (400) se encuentra en la red privada y el sistema comprende:
el dispositivo de protección de seguridad (200), configurado para: recibir un archivo de la red pública y ejecutar el archivo para generar un resultado de comportamiento dinámico; determinar, de acuerdo con el resultado del comportamiento dinámico, si el archivo comprende una amenaza persistente avanzada; si el resultado del comportamiento dinámico comprende la amenaza persistente avanzada, obtener una característica de comportamiento estable en el resultado del comportamiento dinámico y generar un indicador correspondiente de compromiso de acuerdo con la característica de comportamiento estable, en donde el resultado del comportamiento dinámico comprende una secuencia de comportamiento que se genera de acuerdo con un orden cronológico de ocurrencia de comportamientos, los comportamientos en la secuencia de comportamiento pertenecen a diferentes tipos de comportamiento, los tipos de comportamiento comprenden crear un archivo, modificar un registro, configurar un nombre de dominio, resolver una dirección, conectarse a una red, cargar un proceso y agregar un usuario, y la característica de comportamiento estable es un comportamiento que siempre existe en una secuencia de comportamiento que se genera cada vez que se ejecuta el archivo;
en donde el dispositivo de protección de seguridad (200) se configura además para: ejecutar el archivo en el dispositivo de protección de seguridad (200) dos veces, para obtener por separado una secuencia de comportamiento que se obtiene después de cada vez que se ejecuta, para obtener una primera secuencia de comportamiento y una segunda secuencia de comportamiento; determinar comportamientos idénticos que existen en la primera secuencia de comportamiento y la segunda secuencia de comportamiento, en donde los comportamientos idénticos son comportamientos que son iguales en términos de tipos de comportamiento y contenido de comportamiento; y obtener un conjunto formado por comportamientos idénticos en la primera secuencia de comportamiento y la segunda secuencia de comportamiento, y usar el conjunto como la característica de comportamiento estable; y
el dispositivo terminal (400), configurado para: recibir un indicador de compromiso del dispositivo de protección de seguridad; analizar el indicador de compromiso, para obtener una característica de comportamiento que corresponde a una amenaza persistente avanzada, APT, y que se incluye en el indicador de compromiso; buscar un sistema operativo y un sistema de archivos del dispositivo terminal, para determinar si un comportamiento descrito por una característica de comportamiento correspondiente al APT ha ocurrido en el dispositivo terminal; y si el comportamiento descrito por la característica de comportamiento correspondiente a la APT ha ocurrido en el dispositivo terminal, determinar que el dispositivo terminal ha sido infectado con la APT.
Un método para detectar el estado de seguridad de un terminal, en donde el método lo realiza un dispositivo de protección de seguridad, el dispositivo de protección de seguridad se encuentra en una unión entre una red privada y una red pública, un terminal se encuentra en la red privada; y el método comprende:
recibir (710), por el dispositivo de protección de seguridad, un archivo de la red pública y ejecutar el archivo en el dispositivo de protección de seguridad, para generar un resultado de comportamiento dinámico, en donde el resultado de comportamiento dinámico comprende una secuencia de comportamiento que se genera de acuerdo con un el orden cronológico de ocurrencia de comportamientos, los comportamientos en la secuencia de comportamiento pertenecen a diferentes tipos de comportamiento, y los tipos de comportamiento comprenden crear un archivo, modificar un registro, configurar un nombre de dominio, resolver una dirección, conectarse a una red, cargar un proceso y agregar un usuario; y
determinar (720), mediante el dispositivo de protección de seguridad de acuerdo con el resultado del comportamiento dinámico generado, si el archivo comprende una amenaza persistente avanzada; si el archivo comprende la amenaza persistente avanzada, obtener (730) una característica de comportamiento estable en el resultado del comportamiento dinámico; generar (740) un indicador correspondiente de compromiso de acuerdo con la característica de comportamiento estable; y enviar (750) el indicador de compromiso al terminal, en donde la característica de comportamiento estable es un comportamiento que siempre existe en una secuencia de comportamiento que se genera cada vez que se ejecuta el archivo;
en donde la obtención de una característica de comportamiento estable en el resultado del comportamiento dinámico comprende:
ejecutar el archivo en el dispositivo de protección de seguridad dos veces, para obtener por separado una secuencia de comportamiento que se obtiene después de cada vez que se ejecuta, para obtener una primera secuencia de comportamiento y una segunda secuencia de comportamiento;
determinar comportamientos idénticos que existen en la primera secuencia de comportamiento y la segunda secuencia de comportamiento, en donde los comportamientos idénticos son comportamientos que son iguales en términos de tipos de comportamiento y contenido de comportamiento; y
obtener un conjunto formado por los comportamientos idénticos en la primera secuencia de comportamiento y la segunda secuencia de comportamiento, y usar el conjunto como la característica de comportamiento estable.
ES16877427T 2015-12-24 2016-09-30 Método, aparato y sistema para detectar condiciones de seguridad de un terminal Active ES2775874T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201510988051.4A CN106921608B (zh) 2015-12-24 2015-12-24 一种检测终端安全状况方法、装置及系统
PCT/CN2016/101263 WO2017107616A1 (zh) 2015-12-24 2016-09-30 一种检测终端安全状况方法、装置及系统

Publications (1)

Publication Number Publication Date
ES2775874T3 true ES2775874T3 (es) 2020-07-28

Family

ID=59088989

Family Applications (1)

Application Number Title Priority Date Filing Date
ES16877427T Active ES2775874T3 (es) 2015-12-24 2016-09-30 Método, aparato y sistema para detectar condiciones de seguridad de un terminal

Country Status (5)

Country Link
US (2) US10735374B2 (es)
EP (2) EP3687134B1 (es)
CN (2) CN110891048B (es)
ES (1) ES2775874T3 (es)
WO (1) WO2017107616A1 (es)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11240207B2 (en) * 2017-08-11 2022-02-01 L3 Technologies, Inc. Network isolation
US11601467B2 (en) 2017-08-24 2023-03-07 L3 Technologies, Inc. Service provider advanced threat protection
US11178104B2 (en) 2017-09-26 2021-11-16 L3 Technologies, Inc. Network isolation with cloud networks
US11552987B2 (en) 2017-09-28 2023-01-10 L3 Technologies, Inc. Systems and methods for command and control protection
US11374906B2 (en) 2017-09-28 2022-06-28 L3 Technologies, Inc. Data exfiltration system and methods
US11223601B2 (en) 2017-09-28 2022-01-11 L3 Technologies, Inc. Network isolation for collaboration software
US11184323B2 (en) 2017-09-28 2021-11-23 L3 Technologies, Inc Threat isolation using a plurality of containers
US11336619B2 (en) 2017-09-28 2022-05-17 L3 Technologies, Inc. Host process and memory separation
US11550898B2 (en) 2017-10-23 2023-01-10 L3 Technologies, Inc. Browser application implementing sandbox based internet isolation
US11170096B2 (en) 2017-10-23 2021-11-09 L3 Technologies, Inc. Configurable internet isolation and security for mobile devices
US11120125B2 (en) 2017-10-23 2021-09-14 L3 Technologies, Inc. Configurable internet isolation and security for laptops and similar devices
CN108460278B (zh) * 2018-02-13 2020-07-14 奇安信科技集团股份有限公司 一种威胁情报处理方法及装置
CN108563951B (zh) * 2018-04-13 2023-03-24 腾讯科技(深圳)有限公司 病毒检测方法及装置
CN109688092A (zh) * 2018-04-25 2019-04-26 北京微步在线科技有限公司 失陷设备检测方法及装置
CN109040136A (zh) * 2018-09-29 2018-12-18 成都亚信网络安全产业技术研究院有限公司 一种网络攻击的检测方法及电子设备
US10880328B2 (en) * 2018-11-16 2020-12-29 Accenture Global Solutions Limited Malware detection
CN110224975B (zh) * 2019-04-26 2021-10-22 奇安信科技集团股份有限公司 Apt信息的确定方法及装置、存储介质、电子装置
CN110222318B (zh) * 2019-06-05 2023-03-24 卡斯柯信号(成都)有限公司 基于xml的数据生成工具开发方法
US10789354B1 (en) * 2019-10-01 2020-09-29 Capital One Services, Llc Computer-based systems configured for detecting and sandboxing external resources and methods of use thereof
US11336690B1 (en) * 2019-11-15 2022-05-17 National Technology & Engineering Solutions Of Sandia, Llc Threat emulation framework
CN113746781A (zh) * 2020-05-28 2021-12-03 深信服科技股份有限公司 一种网络安全检测方法、装置、设备及可读存储介质
CN112104726A (zh) * 2020-09-09 2020-12-18 上海微亿智造科技有限公司 一种工业物联网对象存储实时监测系统
CN112906011B (zh) * 2021-05-07 2021-08-03 北京安普诺信息技术有限公司 漏洞发现方法、测试方法、安全测试方法及相关装置、平台
CN115408696B (zh) * 2022-11-02 2023-04-07 荣耀终端有限公司 应用识别方法及电子设备

Family Cites Families (83)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6792543B2 (en) * 2001-08-01 2004-09-14 Networks Associates Technology, Inc. Virus scanning on thin client devices using programmable assembly language
US20050273858A1 (en) * 2004-06-07 2005-12-08 Erez Zadok Stackable file systems and methods thereof
US20060259967A1 (en) * 2005-05-13 2006-11-16 Microsoft Corporation Proactively protecting computers in a networking environment from malware
CN100374972C (zh) * 2005-08-03 2008-03-12 珠海金山软件股份有限公司 一种检测和防御计算机恶意程序的系统和方法
CN1760883A (zh) * 2005-11-10 2006-04-19 上海交通大学 支持大规模多用户并发控制的计算机病毒实验方法
US20120167164A1 (en) * 2005-11-16 2012-06-28 Azos Ai, Llc System, method, and apparatus for encryption key cognition incorporating autonomous security protection
US20080016339A1 (en) * 2006-06-29 2008-01-17 Jayant Shukla Application Sandbox to Detect, Remove, and Prevent Malware
CN101034974A (zh) * 2007-03-29 2007-09-12 北京启明星辰信息技术有限公司 基于时间序列和事件序列的关联分析攻击检测方法和装置
CN101572691B (zh) * 2008-04-30 2013-10-02 华为技术有限公司 一种入侵检测方法、系统和装置
US8370932B2 (en) * 2008-09-23 2013-02-05 Webroot Inc. Method and apparatus for detecting malware in network traffic
US8276202B1 (en) * 2009-06-30 2012-09-25 Aleksandr Dubrovsky Cloud-based gateway security scanning
US8938800B2 (en) * 2010-07-28 2015-01-20 Mcafee, Inc. System and method for network level protection against malicious software
US9245114B2 (en) * 2010-08-26 2016-01-26 Verisign, Inc. Method and system for automatic detection and analysis of malware
CN102457495A (zh) * 2010-10-21 2012-05-16 中华电信股份有限公司 网络病毒防护方法及系统
US9690915B2 (en) * 2010-11-29 2017-06-27 Biocatch Ltd. Device, method, and system of detecting remote access users and differentiating among users
US8949992B2 (en) * 2011-05-31 2015-02-03 International Business Machines Corporation Detecting persistent vulnerabilities in web applications
US8904531B1 (en) * 2011-06-30 2014-12-02 Emc Corporation Detecting advanced persistent threats
US9686293B2 (en) * 2011-11-03 2017-06-20 Cyphort Inc. Systems and methods for malware detection and mitigation
US9081959B2 (en) * 2011-12-02 2015-07-14 Invincea, Inc. Methods and apparatus for control and detection of malicious content using a sandbox environment
CN103312679B (zh) * 2012-03-15 2016-07-27 北京启明星辰信息技术股份有限公司 高级持续威胁的检测方法和系统
US8776236B2 (en) * 2012-04-11 2014-07-08 Northrop Grumman Systems Corporation System and method for providing storage device-based advanced persistent threat (APT) protection
US9223962B1 (en) * 2012-07-03 2015-12-29 Bromium, Inc. Micro-virtual machine forensics and detection
CN103634264A (zh) * 2012-08-20 2014-03-12 江苏中科慧创信息安全技术有限公司 一种基于行为分析的主动诱捕方法
US9191399B2 (en) * 2012-09-11 2015-11-17 The Boeing Company Detection of infected network devices via analysis of responseless outgoing network traffic
CN102930210B (zh) * 2012-10-14 2015-11-25 江苏金陵科技集团有限公司 恶意程序行为自动化分析、检测与分类系统及方法
CN103051627B (zh) * 2012-12-21 2016-04-27 公安部第一研究所 一种反弹式木马的检测方法
CN102970309B (zh) * 2012-12-25 2016-12-28 山石网科通信技术有限公司 僵尸主机的检测方法、检测装置及防火墙
US9378361B1 (en) * 2012-12-31 2016-06-28 Emc Corporation Anomaly sensor framework for detecting advanced persistent threat attacks
CN103916365B (zh) * 2012-12-31 2018-09-11 西门子公司 导出和验证恶意代码的网络行为特征的方法和装置
US9165142B1 (en) * 2013-01-30 2015-10-20 Palo Alto Networks, Inc. Malware family identification using profile signatures
US9690931B1 (en) * 2013-03-11 2017-06-27 Facebook, Inc. Database attack detection tool
US9774620B2 (en) * 2013-06-18 2017-09-26 Microsoft Technology Licensing, Llc Automatic code and data separation of web application
CN103354548B (zh) * 2013-06-28 2016-05-25 华为数字技术(苏州)有限公司 高持续性威胁攻击的检测方法、设备及系统
US9065849B1 (en) * 2013-09-18 2015-06-23 Symantec Corporation Systems and methods for determining trustworthiness of software programs
US9628507B2 (en) * 2013-09-30 2017-04-18 Fireeye, Inc. Advanced persistent threat (APT) detection center
US10515214B1 (en) * 2013-09-30 2019-12-24 Fireeye, Inc. System and method for classifying malware within content created during analysis of a specimen
WO2015066604A1 (en) * 2013-11-04 2015-05-07 Crypteia Networks S.A. Systems and methods for identifying infected network infrastructure
CN103905418B (zh) * 2013-11-12 2017-02-15 北京安天电子设备有限公司 一种多维度检测防御apt的系统及方法
US9258324B2 (en) * 2013-11-26 2016-02-09 At&T Intellectual Property I, L.P. Methods, systems, and computer program products for protecting a communication network against internet enabled cyber attacks through use of screen replication from controlled internet access points
US9355246B1 (en) * 2013-12-05 2016-05-31 Trend Micro Inc. Tuning sandbox behavior based on static characteristics of malware
US9665715B1 (en) * 2013-12-23 2017-05-30 Symantec Corporation Systems and methods for detecting malware-induced crashes
US9747446B1 (en) * 2013-12-26 2017-08-29 Fireeye, Inc. System and method for run-time object classification
JP6248649B2 (ja) 2014-01-23 2017-12-20 株式会社デンソー 絶縁通信装置
US9171154B2 (en) * 2014-02-12 2015-10-27 Symantec Corporation Systems and methods for scanning packed programs in response to detecting suspicious behaviors
US10225280B2 (en) * 2014-02-24 2019-03-05 Cyphort Inc. System and method for verifying and detecting malware
US9294486B1 (en) * 2014-03-05 2016-03-22 Sandia Corporation Malware detection and analysis
US20160078365A1 (en) * 2014-03-21 2016-03-17 Philippe Baumard Autonomous detection of incongruous behaviors
US9392015B2 (en) * 2014-04-28 2016-07-12 Sophos Limited Advanced persistent threat detection
US9917851B2 (en) * 2014-04-28 2018-03-13 Sophos Limited Intrusion detection using a heartbeat
US10447710B1 (en) * 2014-06-03 2019-10-15 Cryptonite, LLC Self-shielding dynamic network architecture
US9332022B1 (en) * 2014-07-07 2016-05-03 Symantec Corporation Systems and methods for detecting suspicious internet addresses
US10230747B2 (en) * 2014-07-15 2019-03-12 Cisco Technology, Inc. Explaining network anomalies using decision trees
US9892270B2 (en) * 2014-07-18 2018-02-13 Empow Cyber Security Ltd. System and method for programmably creating and customizing security applications via a graphical user interface
US9565204B2 (en) * 2014-07-18 2017-02-07 Empow Cyber Security Ltd. Cyber-security system and methods thereof
US9596266B1 (en) * 2014-07-23 2017-03-14 Lookingglass Cyber Solutions, Inc. Apparatuses, methods and systems for a real-time cyber threat indicator verification mechanism
US20160065594A1 (en) * 2014-08-29 2016-03-03 Verizon Patent And Licensing Inc. Intrusion detection platform
US9807114B2 (en) * 2014-09-05 2017-10-31 Topspin Securtiy Ltd System and a method for identifying the presence of malware using mini-traps set at network endpoints
US9860208B1 (en) * 2014-09-30 2018-01-02 Palo Alto Networks, Inc. Bridging a virtual clone of a target device in a honey network to a suspicious device in an enterprise network
US9411959B2 (en) * 2014-09-30 2016-08-09 Juniper Networks, Inc. Identifying an evasive malicious object based on a behavior delta
US9882929B1 (en) * 2014-09-30 2018-01-30 Palo Alto Networks, Inc. Dynamic selection and generation of a virtual clone for detonation of suspicious content within a honey network
US9690928B2 (en) * 2014-10-25 2017-06-27 Mcafee, Inc. Computing platform security methods and apparatus
EP3213207A4 (en) * 2014-10-31 2018-04-25 Cyber Crucible Inc. A system and method for network intrusion detection of covert channels based on off-line network traffic
US11212255B2 (en) * 2015-10-30 2021-12-28 Melih Abdulhayoglu System and method of protecting a network
US9338175B1 (en) * 2014-11-24 2016-05-10 At&T Intellectual Property I, L.P. Methods and systems for providing comprehensive cyber-security protection using an open application programming interface based platform solution
CN104506495A (zh) * 2014-12-11 2015-04-08 国家电网公司 一种智能化网络apt攻击威胁分析方法
US9800605B2 (en) * 2015-01-30 2017-10-24 Securonix, Inc. Risk scoring for threat assessment
US9769201B2 (en) * 2015-03-06 2017-09-19 Radware, Ltd. System and method thereof for multi-tiered mitigation of cyber-attacks
CN104657915B (zh) 2015-03-10 2018-12-18 全球能源互联网研究院 一种动态自适应的电力系统终端安全威胁评估方法
US9819689B2 (en) * 2015-03-13 2017-11-14 Microsoft Technology Licensing, Llc Large scale malicious process detection
US10708296B2 (en) * 2015-03-16 2020-07-07 Threattrack Security, Inc. Malware detection based on training using automatic feature pruning with anomaly detection of execution graphs
CN104766006B (zh) * 2015-03-18 2019-03-12 百度在线网络技术(北京)有限公司 一种确定危险文件所对应的行为信息的方法和装置
CN104850780A (zh) * 2015-04-27 2015-08-19 北京北信源软件股份有限公司 一种高级持续性威胁攻击的判别方法
US9954871B2 (en) * 2015-05-06 2018-04-24 Hand Held Products, Inc. Method and system to protect software-based network-connected devices from advanced persistent threat
US10084816B2 (en) * 2015-06-26 2018-09-25 Fortinet, Inc. Protocol based detection of suspicious network traffic
US20160381049A1 (en) * 2015-06-26 2016-12-29 Ss8 Networks, Inc. Identifying network intrusions and analytical insight into the same
US9390268B1 (en) * 2015-08-04 2016-07-12 Iboss, Inc. Software program identification based on program behavior
US9811659B1 (en) * 2015-08-25 2017-11-07 Symantec Corporation Systems and methods for time-shifted detection of security threats
US9742796B1 (en) * 2015-09-18 2017-08-22 Palo Alto Networks, Inc. Automatic repair of corrupt files for a detonation engine
US9825989B1 (en) * 2015-09-30 2017-11-21 Fireeye, Inc. Cyber attack early warning system
US9961093B1 (en) * 2015-09-30 2018-05-01 EMC IP Holding Company LLC Monitoring for reverse-connection network activity to detect a remote-administration tool
US9917854B2 (en) * 2015-09-30 2018-03-13 Emc Corporation Security detection
US10320814B2 (en) * 2015-10-02 2019-06-11 Trend Micro Incorporated Detection of advanced persistent threat attack on a private computer network
US9894036B2 (en) * 2015-11-17 2018-02-13 Cyber Adapt, Inc. Cyber threat attenuation using multi-source threat data analysis

Also Published As

Publication number Publication date
CN110891048A (zh) 2020-03-17
EP3288231A4 (en) 2018-07-04
US20200304463A1 (en) 2020-09-24
EP3288231A1 (en) 2018-02-28
CN106921608B (zh) 2019-11-22
US11431676B2 (en) 2022-08-30
WO2017107616A1 (zh) 2017-06-29
US20180139178A1 (en) 2018-05-17
US10735374B2 (en) 2020-08-04
EP3687134A1 (en) 2020-07-29
EP3288231B1 (en) 2020-02-05
CN106921608A (zh) 2017-07-04
CN110891048B (zh) 2021-09-03
EP3687134B1 (en) 2021-11-24

Similar Documents

Publication Publication Date Title
ES2775874T3 (es) Método, aparato y sistema para detectar condiciones de seguridad de un terminal
US9405899B2 (en) Software protection mechanism
US10691792B2 (en) System and method for process hollowing detection
US9037873B2 (en) Method and system for preventing tampering with software agent in a virtual machine
US10284587B1 (en) Systems and methods for responding to electronic security incidents
US10733297B2 (en) Real-time signatureless malware detection
US20170090929A1 (en) Hardware-assisted software verification and secure execution
US20100199351A1 (en) Method and system for securing virtual machines by restricting access in connection with a vulnerability audit
GB2494738A (en) Detecting security vulnerabilities in web applications using a black-box tester
US11449615B2 (en) System and method of forming a log when executing a file with vulnerabilities in a virtual machine
Kumara et al. Hypervisor and virtual machine dependent Intrusion Detection and Prevention System for virtualized cloud environment
US7975298B1 (en) System, method and computer program product for remote rootkit detection
US9489513B1 (en) Systems and methods for securing computing devices against imposter processes
US11003746B1 (en) Systems and methods for preventing electronic form data from being electronically transmitted to untrusted domains
US11170103B2 (en) Method of detecting malicious files resisting analysis in an isolated environment
US10846405B1 (en) Systems and methods for detecting and protecting against malicious software
Kovah et al. How Many Million BIOSes Would you Like to Infect?
Kumara et al. Virtual machine introspection based spurious process detection in virtualized cloud computing environment
US10248787B1 (en) Systems and methods for determining reputations of files
EP3588346A1 (en) Method of detecting malicious files resisting analysis in an isolated environment
US10572663B1 (en) Systems and methods for identifying malicious file droppers
EP3674940A1 (en) System and method of forming a log when executing a file with vulnerabilities in a virtual machine
Hili et al. The BIOS and Rootkits
JP2016081348A (ja) 情報処理システム、情報処理装置、制御サーバ、生成サーバ、動作制御方法及び動作制御プログラム