本發(fā)明專利技術(shù)公開了一種基于PE文件分析攻擊者來源的方法,包括:提取待分析樣本中的PE文件;獲取所述PE文件的時間戳數(shù)據(jù)并確定攻擊者所在的時區(qū)范圍;獲取所述PE文件的pdb調(diào)試路徑信息并確定攻擊者所使用的語言類型;基于攻擊者所在的時區(qū)范圍和所使用的語言類型確定攻擊者所在的地區(qū)。本發(fā)明專利技術(shù)還公開了一種基于PE文件分析攻擊者來源的系統(tǒng)。本發(fā)明專利技術(shù)所述技術(shù)方案能夠根據(jù)已知攻擊事件的PE文件,進(jìn)而確定攻擊者所在的國家或者地區(qū),從而為進(jìn)一步分析攻擊事件提供線索。
【技術(shù)實(shí)現(xiàn)步驟摘要】
本專利技術(shù)涉及信息安全
,尤其涉及一種基于PE文件分析攻擊者來源的方法及系統(tǒng)。
技術(shù)介紹
隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展,應(yīng)用其技術(shù)的領(lǐng)域也越來越廣泛,網(wǎng)絡(luò)攻擊事件也就頻頻出現(xiàn)。攻擊者在攻擊過程中往往會留下某些線索,通過對線索的分析可以獲得攻擊者來源等信息,進(jìn)而更好的分析和定位攻擊事件。目前對網(wǎng)絡(luò)攻擊來源的判斷,主要根據(jù)攻擊者使用服務(wù)器的IP的進(jìn)行分析,然后確定對應(yīng)的地理位置,這樣的方法存在一些弊端,如:攻擊者使用代理服務(wù)器、攻擊者攻陷一些服務(wù)器將攻擊程序部署在上面,這樣會導(dǎo)致在分析中無法找到真正的攻擊來源。
技術(shù)實(shí)現(xiàn)思路
本專利技術(shù)所述的技術(shù)方案對待分析樣本的PE文件進(jìn)行解析,獲取時間戳數(shù)據(jù)和pdb調(diào)試路徑信息,并分析確定攻擊者所在的時區(qū)范圍和所使用的語言類型,進(jìn)而確定攻擊者可能所在的國家或者地區(qū)。本專利技術(shù)提供的方法和系統(tǒng)有助于追蹤網(wǎng)絡(luò)攻擊事件,并定位惡意攻擊者所在的位置。本專利技術(shù)采用如下方法來實(shí)現(xiàn):一種基于PE文件分析攻擊者來源的方法,包括:提取待分析樣本中的PE文件;獲取所述PE文件的時間戳數(shù)據(jù)并確定攻擊者所在的時區(qū)范圍;獲取所述PE文件的pdb調(diào)試路徑信息并確定攻擊者所使用的語言類型;基于攻擊者所在的時區(qū)范圍和所使用的語言類型確定攻擊者所在的地區(qū)。進(jìn)一步地,所述獲取所述PE文件的時間戳數(shù)據(jù)并確定攻擊者所在的時區(qū)范圍,具體為:獲取所述PE文件在0時區(qū)下的時間戳數(shù)據(jù),并依次轉(zhuǎn)換為24個時區(qū)下的時間點(diǎn);將各時間點(diǎn)與預(yù)設(shè)范圍進(jìn)行匹配,將在預(yù)設(shè)范圍內(nèi)的時間點(diǎn)所在時區(qū)確定為攻擊者所在的時區(qū)范圍。更進(jìn)一步地,所述預(yù)設(shè)范圍為常規(guī)工作時間范圍。進(jìn)一步地,在獲取所述PE文件的時間戳數(shù)據(jù)之后,在確定攻擊者所在的時區(qū)范圍之前,還包括:過濾明顯不符合實(shí)際情況的時間戳數(shù)據(jù)。進(jìn)一步地,所述獲取所述PE文件的pdb調(diào)試路徑信息并確定攻擊者所使用的語言類型,具體為:解析PE文件并獲取pdb調(diào)試路徑信息,將所述pdb調(diào)試路徑信息轉(zhuǎn)換為十六進(jìn)制形式后,與ASCII碼或者Unicode碼進(jìn)行匹配,確定攻擊者所使用的語言類型。本專利技術(shù)可以采用如下系統(tǒng)來實(shí)現(xiàn):一種基于PE文件分析攻擊者來源的系統(tǒng),包括:PE文件提取模塊,用于提取待分析樣本中的PE文件;時區(qū)范圍獲取模塊,用于獲取所述PE文件的時間戳數(shù)據(jù)并確定攻擊者所在的時區(qū)范圍;語言類型獲取模塊,用于獲取所述PE文件的pdb調(diào)試路徑信息并確定攻擊者所使用的語言類型;分析判斷模塊,用于基于攻擊者所在的時區(qū)范圍和所使用的語言類型確定攻擊者所在的地區(qū)。進(jìn)一步地,所述時區(qū)范圍獲取模塊,具體用于:獲取所述PE文件在0時區(qū)下的時間戳數(shù)據(jù),并依次轉(zhuǎn)換為24個時區(qū)下的時間點(diǎn);將各時間點(diǎn)與預(yù)設(shè)范圍進(jìn)行匹配,將在預(yù)設(shè)范圍內(nèi)的時間點(diǎn)所在時區(qū)確定為攻擊者所在的時區(qū)范圍。更進(jìn)一步地,所述預(yù)設(shè)范圍為常規(guī)工作時間范圍。進(jìn)一步地,所述時區(qū)范圍獲取模塊在獲取所述PE文件的時間戳數(shù)據(jù)之后,在確定攻擊者所在的時區(qū)范圍之前,還包括:過濾明顯不符合實(shí)際情況的時間戳數(shù)據(jù)。進(jìn)一步地,所述語言類型獲取模塊,具體用于:解析PE文件并獲取pdb調(diào)試路徑信息,將所述pdb調(diào)試路徑信息轉(zhuǎn)換為十六進(jìn)制形式后,與ASCII碼或者Unicode碼進(jìn)行匹配,確定攻擊者所使用的語言類型。綜上,本專利技術(shù)給出一種基于PE文件分析攻擊者來源的方法及系統(tǒng),首先提取待分析的已知攻擊事件的PE文件,并對所述PE文件進(jìn)行解析后,獲取時間戳數(shù)據(jù)和pdb調(diào)試路徑信息,通過將時間戳數(shù)據(jù)轉(zhuǎn)換為24個時區(qū)下的時間點(diǎn)后,判斷時間點(diǎn)中位于預(yù)設(shè)范圍內(nèi)的時區(qū)有哪些,并將這些時區(qū)確定為攻擊者所在的時區(qū)范圍;通過分析已知事件的pdb調(diào)試路徑信息后,獲取攻擊者所使用的語言類型,進(jìn)而預(yù)測攻擊者所屬國家;綜合攻擊者所在的時區(qū)范圍和所使用的語言類型進(jìn)而預(yù)測攻擊者所在的地區(qū)或者國家。有益效果為:本專利技術(shù)所述技術(shù)方案通過對已知攻擊事件的PE文件分析入手,獲取攻擊者所在的時區(qū)范圍和所使用的語言類型,進(jìn)而確定攻擊者所在的地區(qū)或者國家,有助于進(jìn)一步分析攻擊事件,并快速定位和追蹤網(wǎng)絡(luò)犯罪分子。附圖說明為了更清楚地說明本專利技術(shù)的技術(shù)方案,下面將對實(shí)施例中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本專利技術(shù)中記載的一些實(shí)施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖。圖1為本專利技術(shù)提供的一種基于PE文件分析攻擊者來源的方法實(shí)施例流程圖;圖2為本專利技術(shù)提供的一種基于PE文件分析攻擊者來源的系統(tǒng)實(shí)施例結(jié)構(gòu)圖。具體實(shí)施方式本專利技術(shù)給出了一種基于PE文件分析攻擊者來源的方法及系統(tǒng)實(shí)施例,為了使本
的人員更好地理解本專利技術(shù)實(shí)施例中的技術(shù)方案,并使本專利技術(shù)的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂,下面結(jié)合附圖對本專利技術(shù)中技術(shù)方案作進(jìn)一步詳細(xì)的說明:本專利技術(shù)首先提供了一種基于PE文件分析攻擊者來源的方法實(shí)施例,如圖1所示,包括:S101提取待分析樣本中的PE文件;其中,可以通過解析PE文件的DOS頭或者文件頭篩選出PE文件,使用Python調(diào)用pefile庫篩選出PE文件;S102獲取所述PE文件的時間戳數(shù)據(jù)并確定攻擊者所在的時區(qū)范圍;其中,獲取所述PE文件的時間戳數(shù)據(jù)的方法可以但不限于:從所述PE文件的COFFHeader中提取時間戳數(shù)據(jù),即TimeStamp,如0x51B6E6B5(TueJun118:58:292013+0000)。時間戳記錄了PE文件生成的時間;S103獲取所述PE文件的pdb調(diào)試路徑信息并確定攻擊者所使用的語言類型;其中,獲取所述PE文件的pdb調(diào)試路徑信息的方法可以但不限于:分析PE文件結(jié)構(gòu),查找PE文件的可選頭入口(IMAGE_OPTIONAL_HEADER.DataDirectory[IMAGE_DIRECTORY_ENTRY_DEBUG]);獲取調(diào)試目錄的虛擬地址和大小;基于調(diào)試目錄的虛擬地址,獲取調(diào)試目錄的物理地址,進(jìn)而獲取pdb調(diào)試路徑信息;S104基于攻擊者所在的時區(qū)范圍和所使用的語言類型確定攻擊者所在的地區(qū)。其中,上述方法中,S102和S103彼此之間并無明確的先后順序,也可同時執(zhí)行。優(yōu)選地,所述獲取所述PE文件的時間戳數(shù)據(jù)并確定攻擊者所在的時區(qū)范圍,具體為:獲取所述PE文件在0時區(qū)下的時間戳數(shù)據(jù),并依次轉(zhuǎn)換為24個時區(qū)下的時間點(diǎn);將各時間點(diǎn)與預(yù)設(shè)范圍進(jìn)行匹配,將在預(yù)設(shè)范圍內(nèi)的時間點(diǎn)所在時區(qū)確定為攻擊者所在的時區(qū)范圍。更優(yōu)選地,所述預(yù)設(shè)范圍為常規(guī)工作時間范圍。例如:獲取的時間戳數(shù)據(jù)是0時區(qū)下的,依次計(jì)算24個時區(qū)下的各個時區(qū)的時間點(diǎn);并查看哪些時區(qū)的時間點(diǎn)是在國際標(biāo)準(zhǔn)工作時間范圍內(nèi)的(早八晚五),則認(rèn)為這些時區(qū)為攻擊者所在的時區(qū)范圍。這里所述預(yù)設(shè)范圍可以根據(jù)分析者的經(jīng)驗(yàn)進(jìn)行調(diào)整設(shè)置,并不唯一。假如,提取的時間戳數(shù)據(jù)在0時區(qū)的時間點(diǎn)大部分本文檔來自技高網(wǎng)...
【技術(shù)保護(hù)點(diǎn)】
一種基于PE文件分析攻擊者來源的方法,其特征在于,包括:提取待分析樣本中的PE文件;獲取所述PE文件的時間戳數(shù)據(jù)并確定攻擊者所在的時區(qū)范圍;獲取所述PE文件的pdb調(diào)試路徑信息并確定攻擊者所使用的語言類型;基于攻擊者所在的時區(qū)范圍和所使用的語言類型確定攻擊者所在的地區(qū)。
【技術(shù)特征摘要】
1.一種基于PE文件分析攻擊者來源的方法,其特征在于,包括:
提取待分析樣本中的PE文件;
獲取所述PE文件的時間戳數(shù)據(jù)并確定攻擊者所在的時區(qū)范圍;
獲取所述PE文件的pdb調(diào)試路徑信息并確定攻擊者所使用的語言類型;
基于攻擊者所在的時區(qū)范圍和所使用的語言類型確定攻擊者所在的地區(qū)。
2.如權(quán)利要求1所述的方法,其特征在于,所述獲取所述PE文件的時間戳數(shù)據(jù)并確定攻擊者所在的時區(qū)范圍,具體為:
獲取所述PE文件在0時區(qū)下的時間戳數(shù)據(jù),并依次轉(zhuǎn)換為24個時區(qū)下的時間點(diǎn);
將各時間點(diǎn)與預(yù)設(shè)范圍進(jìn)行匹配,將在預(yù)設(shè)范圍內(nèi)的時間點(diǎn)所在時區(qū)確定為攻擊者所在的時區(qū)范圍。
3.如權(quán)利要求2所述的方法,其特征在于,所述預(yù)設(shè)范圍為常規(guī)工作時間范圍。
4.如權(quán)利要求1所述的方法,其特征在于,在獲取所述PE文件的時間戳數(shù)據(jù)之后,在確定攻擊者所在的時區(qū)范圍之前,還包括:過濾明顯不符合實(shí)際情況的時間戳數(shù)據(jù)。
5.如權(quán)利要求1所述的方法,其特征在于,所述獲取所述PE文件的pdb調(diào)試路徑信息并確定攻擊者所使用的語言類型,具體為:
解析PE文件并獲取pdb調(diào)試路徑信息,將所述pdb調(diào)試路徑信息轉(zhuǎn)換為十六進(jìn)制形式后,與ASCII碼或者Unicode碼進(jìn)行匹配,確定攻擊者所使用的語言類型。
6.一種基于PE...
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:白淳升,李柏松,
申請(專利權(quán))人:哈爾濱安天科技股份有限公司,
類型:發(fā)明
國別省市:黑龍江;23
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。