【技術(shù)實現(xiàn)步驟摘要】
本專利技術(shù)涉及計算機(jī),特別是一種通過漏洞傳播的惡意樣本的捕獲方法。
技術(shù)介紹
1、隨著互聯(lián)網(wǎng)的普及和數(shù)字化生活的發(fā)展,網(wǎng)絡(luò)安全威脅日益增多。惡意軟件和病毒等惡意樣本的傳播已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域的嚴(yán)重問題。黑客和惡意攻擊者不斷尋找新的方法來利用系統(tǒng)和應(yīng)用程序中的漏洞,以便植入惡意軟件并對受害者造成損害。
2、目前主要的捕獲惡意樣本的方法是部署蜜罐吸引黑客投放惡意樣本,然而這種方法一是需要捕獲的樣本數(shù)量取決于部署的蜜罐的數(shù)量,效率低且成本高;二是蜜罐容易被攻擊者識破從而放棄繼續(xù)攻擊進(jìn)而很難捕獲到惡意樣本;三是蜜罐系統(tǒng)本身如果存在漏洞的話就容易遭受損害。
3、其中,蜜罐可以是軟件、硬件設(shè)備或網(wǎng)絡(luò)資源,它們故意暴露于互聯(lián)網(wǎng)上,與真實系統(tǒng)或網(wǎng)絡(luò)相隔離,不包含真實的敏感數(shù)據(jù)。攻擊者被吸引到這些蜜罐后,他們會嘗試攻擊或入侵,而蜜罐則記錄并監(jiān)視攻擊的活動。
4、因此,需要一種安全可靠且高效的方法來捕獲惡意樣本。
技術(shù)實現(xiàn)思路
1、本專利技術(shù)的目的是為了解決上述問題,設(shè)計了一種通過漏洞傳播的惡意樣本的捕獲方法,該方法用于借助漏洞傳播捕獲黑客投放的惡意樣本,該方法包括:
2、s1、利用深度報文檢測設(shè)備實時獲取網(wǎng)絡(luò)流量數(shù)據(jù);
3、s2、將獲得的網(wǎng)絡(luò)流量數(shù)據(jù)按照協(xié)議進(jìn)行解析,將解析內(nèi)容轉(zhuǎn)化為結(jié)構(gòu)化數(shù)據(jù);
4、s3、將s2中得到的結(jié)構(gòu)化數(shù)據(jù)與漏洞攻擊檢測規(guī)則庫中的規(guī)則進(jìn)行比對;
5、當(dāng)結(jié)構(gòu)化數(shù)據(jù)與漏洞攻擊檢測規(guī)則比對成功時,進(jìn)
6、當(dāng)結(jié)構(gòu)化數(shù)據(jù)與漏洞攻擊檢測規(guī)則比對失敗時,返回s1;
7、s4、從結(jié)構(gòu)化數(shù)據(jù)中提取并保存payload數(shù)據(jù);
8、s5、s4中payload數(shù)據(jù)進(jìn)行語義分析,從payload中提取并解析攻擊命令x,其中,語義分析為對payload數(shù)據(jù)進(jìn)行分句,將payload數(shù)據(jù)拆分成單句,從單句中提取攻擊命令x;
9、s6、判斷s5中提取出的攻擊命令x中是否包含終端系統(tǒng)用于執(zhí)行下載任務(wù)的下載指令,若是存在下載指令,執(zhí)行s7;
10、反之,則返回s1;
11、s7、從s5中的攻擊命令x中提取出相對應(yīng)的地址數(shù)據(jù),記為下載地址d;
12、s8、對s7提取出的下載地址d發(fā)送下載請求,并得到下載地址數(shù)據(jù)d;
13、s9、模擬攻擊命令x向s8獲得的下載地址d發(fā)起下載請求,下載樣本文件;
14、當(dāng)從下載地址數(shù)據(jù)d成功下載到樣本文件,樣本文件經(jīng)過沙箱分析系統(tǒng)進(jìn)行分析,樣本文件中存在惡意行為且確定對目標(biāo)資產(chǎn)造成危害情情況時,該樣本文件為惡意樣本;
15、s10、根據(jù)下載地址數(shù)據(jù)d和預(yù)設(shè)的猜解指標(biāo)k猜解出多個下載地址數(shù)據(jù);
16、s11、對s10中猜解出的每個下載地址數(shù)據(jù)重復(fù)執(zhí)行s8-s9。
17、進(jìn)一步的,其中s2中:
18、所述網(wǎng)絡(luò)流量數(shù)據(jù)至少包括http、ftp、udp、tcp協(xié)議數(shù)據(jù);
19、若為http協(xié)議數(shù)據(jù),則提取并記錄uri、http頭、http頭參數(shù)、http請求和響應(yīng)數(shù)據(jù);
20、若為ftp、udp、tcp協(xié)議數(shù)據(jù),則記錄傳輸?shù)膒ayload數(shù)據(jù),數(shù)據(jù)以結(jié)構(gòu)化形式存儲;
21、結(jié)構(gòu)化數(shù)據(jù)可以為json格式數(shù)據(jù),不做強(qiáng)制約束;結(jié)構(gòu)化數(shù)據(jù)以鍵值對的形式存儲。
22、進(jìn)一步的,其中s3中:
23、漏洞攻擊檢測規(guī)則庫由包含漏洞攻擊檢測的指紋數(shù)據(jù)組成,其中指紋數(shù)據(jù)包括字符串特征匹配數(shù)據(jù)、正則模式匹配數(shù)據(jù)和十六進(jìn)制匹配數(shù)據(jù)。
24、進(jìn)一步的,其中s3中還包括:
25、規(guī)則若為漏洞攻擊字符串規(guī)則和/或漏洞攻擊十六進(jìn)制數(shù)據(jù)規(guī)則,當(dāng)滿足結(jié)構(gòu)化數(shù)據(jù)中指定位置,指定大小處包含規(guī)則中的字符串或十六進(jìn)制數(shù)據(jù)時,判定為匹配成功,所述指定位置、指定大小由漏洞攻擊規(guī)則指定;
26、規(guī)則若為正則模式規(guī)則,即當(dāng)結(jié)構(gòu)化數(shù)據(jù)滿足正則規(guī)則時,判定匹配成功。
27、進(jìn)一步的,其中s4中:
28、所述payload數(shù)據(jù)為由漏洞攻擊檢測規(guī)則庫指定,將s2中格式化數(shù)據(jù)中匹配到漏洞攻擊檢測規(guī)則特征的位置向前和向后截取指定大小的數(shù)據(jù)并經(jīng)過base64編碼,其中截取指定大小由規(guī)則指定。
29、進(jìn)一步的,其中s5中:所述攻擊命令x包括在終端系統(tǒng)上用于執(zhí)行下載任務(wù)的下載指令,攻擊命令x至少為downloadfile,certutil、bitsadmin、powershell、hta、wget、curl或ftp的一種指令。
30、進(jìn)一步的,其中s7中:所述下載地址d至少為http協(xié)議、ftp協(xié)議、scp協(xié)議的一種地址數(shù)據(jù)。
31、進(jìn)一步的,其中s10還包括:
32、s1001、獲取下載地址服務(wù)器目錄,遍歷下載地址服務(wù)器路徑,獲取多個下載地址數(shù)據(jù),多個下載地址數(shù)據(jù)形成預(yù)設(shè)的猜解指標(biāo)k;
33、s1002、提取下載地址d的指紋信息,通過主動探測的方式在現(xiàn)網(wǎng)進(jìn)行掃描,獲取擁有相同指紋的下載地址。
34、利用本專利技術(shù)的技術(shù)方案制作的一種通過漏洞傳播的惡意樣本的捕獲方法,達(dá)到的有益效果:
35、在于高效的捕獲借助漏洞傳播的惡意樣本,這種方法一是只需要監(jiān)測進(jìn)出口流量,成本低;二是可以在waf、ids設(shè)備檢測漏洞攻擊的同時捕獲惡意樣本,提升了產(chǎn)品的功能;三是不需要運行惡意樣本,大大提高了安全性。
本文檔來自技高網(wǎng)...【技術(shù)保護(hù)點】
1.一種通過漏洞傳播的惡意樣本的捕獲方法,其特征在于,該方法用于借助漏洞傳播捕獲黑客投放的惡意樣本,該方法包括:
2.根據(jù)權(quán)利要求1所述的一種通過漏洞傳播的惡意樣本的捕獲方法,其特征在于,其中S2中:
3.根據(jù)權(quán)利要求1所述的一種通過漏洞傳播的惡意樣本的捕獲方法,其特征在于,其中S3中:
4.根據(jù)權(quán)利要求1所述的一種通過漏洞傳播的惡意樣本的捕獲方法,其特征在于,其中S3中還包括:
5.根據(jù)權(quán)利要求1所述的一種通過漏洞傳播的惡意樣本的捕獲方法,其特征在于,其中S4中:
6.根據(jù)權(quán)利要求1所述的一種通過漏洞傳播的惡意樣本的捕獲方法,其特征在于,其中S5中:所述攻擊命令X包括在終端系統(tǒng)上用于執(zhí)行下載任務(wù)的下載指令,攻擊命令X至少為DownloadFile,certutil、bitsadmin、powershell、hta、wget、curl或ftp的一種指令。
7.根據(jù)權(quán)利要求1所述的一種通過漏洞傳播的惡意樣本的捕獲方法,其特征在于,其中S7中:所述下載地址D至少為http協(xié)議、ftp協(xié)議、scp協(xié)議的一種地址數(shù)據(jù)
8.根據(jù)權(quán)利要求1所述的一種通過漏洞傳播的惡意樣本的捕獲方法,其特征在于,其中S10還包括:
...【技術(shù)特征摘要】
1.一種通過漏洞傳播的惡意樣本的捕獲方法,其特征在于,該方法用于借助漏洞傳播捕獲黑客投放的惡意樣本,該方法包括:
2.根據(jù)權(quán)利要求1所述的一種通過漏洞傳播的惡意樣本的捕獲方法,其特征在于,其中s2中:
3.根據(jù)權(quán)利要求1所述的一種通過漏洞傳播的惡意樣本的捕獲方法,其特征在于,其中s3中:
4.根據(jù)權(quán)利要求1所述的一種通過漏洞傳播的惡意樣本的捕獲方法,其特征在于,其中s3中還包括:
5.根據(jù)權(quán)利要求1所述的一種通過漏洞傳播的惡意樣本的捕獲方法,其特征在于,其中s4中:
6.根據(jù)權(quán)利要求1所...
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:王永康,李現(xiàn)強(qiáng),肖梅,魏強(qiáng),
申請(專利權(quán))人:北京浩瀚深度信息技術(shù)股份有限公司,
類型:發(fā)明
國別省市:
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。