一种目标样本文件的检测方法和装置制造方法及图纸

本发明专利技术公开了一种目标样本文件的检测方法，包括：从数据源接收目标样本文件，将所述目标样本文件投放到沙箱中运行；监听所述目标样本文件在沙箱中运行的过程中是否发生进程属性修改事件；是则，确定所述目标样本文件是威胁样本文件；否则，确定所述目标样本文件不是威胁样本文件。本方案以沙箱作为虚拟载体运行目标样本文件，能够清晰地检测到目标样本文件的所有运行轨迹，全面分析得到目标样本文件相关的特征信息，根据目标样本文件相关的特征信息可以更为准确地判断所述目标样本文件在虚拟机中运行的过程中是否发生进程属性修改事件，进而确定出威胁样本文件，为后续信息安全防护提供参考和依据。

Method and device for detecting target sample file

The invention discloses a detection method, a target sample file includes: receiving the target sample files from the data source, the target sample files into the sandbox operation; whether change event process attributes listening to the target sample file to run in a sandbox in; it is determined that the target sample. The file is a threat to the sample file; otherwise, determine the target sample file is not a threat to the sample file. This project uses the sandbox as virtual carrier operation target sample files, can clearly detect all target trajectory sample documents, comprehensive analysis to get the characteristic information of the target sample documents, according to the characteristics of information related to the target sample file can more accurately determine whether the modification process attributes of the target event process runs in the sample file in the virtual machine, and then determine the threat of sample files, and provide reference for the follow-up of information security protection.

【技术实现步骤摘要】
一种目标样本文件的检测方法和装置
本专利技术涉及互联网
，具体涉及一种目标样本文件的检测方法和装置。
技术介绍
随着互联网技术的不断发展，人们对于网络的使用愈加频繁，通过网络可以进行工作、学习、生活、娱乐等多方面的事宜，给人们带来了极大的便利。然而，当前互联网技术中存在系统级的内核漏洞，这些漏洞给恶意开发者以可乘之机，恶意开发者们通过威胁样本文件利用这些漏洞对各种客户端、服务端所在的终端进行攻击，获取用户的个人信息，威胁用户的信息安全，给用户的人身、财产等方面损失。其中特别地，恶意开发者们在通过威胁样本文件进行漏洞利用的过程中，常常采用修改进程属性的手段来获取系统级权限进而执行非法操作。因此，如何有效、全面地对互联网中进行漏洞利用攻击的可疑样本进行挖掘、检测和处理，是当前亟待解决的重要问题。
技术实现思路
鉴于上述问题，提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的目标样本文件的检测方法和装置。依据本专利技术的一个方面，提供了一种目标样本文件的检测方法，包括：从数据源接收目标样本文件，将所述目标样本文件投放到沙箱中运行；监听所述目标样本文件在沙箱中运行的过程中是否发生进程属性修改事件；是则，确定所述目标样本文件是威胁样本文件；否则，确定所述目标样本文件不是威胁样本文件。可选地，所述将所述目标样本文件投放到沙箱中运行包括：在沙箱中创建所述目标样本文件对应的进程，通过该进程执行所述目标样本文件在沙箱中的运行；在创建所述目标样本文件对应的进程时，记录所述目标样本文件对应的进程的初始属性值。可选地，所述监听所述目标样本文件在沙箱中运行的过程中是否发生进程属性修改事件包括：监听所述目标样本文件在沙箱中执行的指定操作事件；当监听到指定操作事件发生时，拦截所述指定操作事件，获取当前所述目标样本文件对应的进程的指定属性值；将当前所述目标样本文件对应的进程的指定属性值与所述目标样本文件对应的进程的初始属性值进行匹配，如果至少一项匹配不成功，确定所述目标样本文件在沙箱中运行的过程中发生进程属性修改事件；否则，确定所述目标样本文件在沙箱中运行的过程中未发生进程属性修改事件。可选地，所述目标样本文件对应的进程的初始属性值包括如下一种或多种：Privileges属性值、UserSID属性值、OwnerSID属性值；所述当前所述目标样本文件对应的进程的指定属性值包括如下一种或多种：所述目标样本文件对应的进程的令牌中的Privileges属性值、TokenUser属性值、TokenOwner属性值。可选地，所述监听所述目标样本文件在沙箱中运行的过程中是否发生进程属性修改事件包括：监听所述目标样本文件在沙箱中执行的指定操作事件；当监听到指定操作事件发生时，拦截所述指定操作事件；判断当前所述目标样本文件对应的进程的令牌的访问控制列表是否处于置空状态，是则，确定所述目标样本文件在沙箱中运行的过程中发生进程属性修改事件；否则，确定所述目标样本文件在沙箱中运行的过程中未发生进程属性修改事件。可选地，该方法进一步包括：当确定所述目标样本文件在沙箱中运行的过程中发生进程属性修改事件时，强制结束所述指定操作事件；当确定所述目标样本文件在沙箱中运行的过程中未发生进程属性修改事件时，允许所述指定操作事件继续执行。可选地，所述指定操作事件包括：对执行指定操作的函数进行调用的事件；所述指定操作包括：对沙箱中的内存、特权、注册表、进程、线程、和/或文件进行创建和/或读写的操作。可选地，所述监听所述目标样本文件在沙箱中执行的指定操作事件包括：在执行指定操作的函数上挂载钩子函数，拦截指示对执行所述指定操作的函数进行调用的消息；判断所述指示对执行所述指定操作的函数进行调用的消息的发送者是否为所述目标样本文件；是则，确定监听到所述目标样本文件在沙箱中执行的指定操作事件，否则放行所述指示对执行所述指令操作的函数进行调用的消息。可选地，该方法进一步包括：记录所述目标样本文件在沙箱中运行的运行日志；当确定所述目标样本文件是威胁样本文件时，根据所述目标样本文件在沙箱中运行的运行日志获得所述目标样本文件相关的特征信息；将所述目标样本相关的特征信息放入威胁数据库中。可选地，所述目标样本文件相关的特征信息包括：目标样本文件的静态特征信息，和/或，目标样本文件的行为特征信息。可选地，该方法进一步包括：将所述目标样本相关的特征信息反馈给数据源。依据本专利技术的另一个方面，提供了一种目标样本文件的检测装置，包括：样本接收单元，适于从数据源接收目标样本文件；检测处理单元，适于将所述目标样本文件投放到沙箱中运行，监听所述目标样本文件在沙箱中运行的过程中是否发生进程属性修改事件；是则，确定所述目标样本文件是威胁样本文件；否则，确定所述目标样本文件不是威胁样本文件。可选地，所述检测处理单元，适于在沙箱中创建所述目标样本文件对应的进程，通过该进程执行所述目标样本文件在沙箱中的运行；在创建所述目标样本文件对应的进程时，记录所述目标样本文件对应的进程的初始属性值。可选地，所述检测处理单元，适于监听所述目标样本文件在沙箱中执行的指定操作事件；当监听到指定操作事件发生时，拦截所述指定操作事件，获取当前所述目标样本文件对应的进程的指定属性值；将当前所述目标样本文件对应的进程的指定属性值与所述目标样本文件对应的进程的初始属性值进行匹配，如果至少一项匹配不成功，确定所述目标样本文件在沙箱中运行的过程中发生进程属性修改事件；否则，确定所述目标样本文件在沙箱中运行的过程中未发生进程属性修改事件。可选地，所述目标样本文件对应的进程的初始属性值包括如下一种或多种：Privileges属性值、UserSID属性值、OwnerSID属性值；所述当前所述目标样本文件对应的进程的指定属性值包括如下一种或多种：所述目标样本文件对应的进程的令牌中的Privileges属性值、TokenUser属性值、TokenOwner属性值。可选地，所述检测处理单元，适于监听所述目标样本文件在沙箱中执行的指定操作事件；当监听到指定操作事件发生时，拦截所述指定操作事件；判断当前所述目标样本文件对应的进程的令牌的访问控制列表是否处于置空状态，是则，确定所述目标样本文件在沙箱中运行的过程中发生进程属性修改事件；否则，确定所述目标样本文件在沙箱中运行的过程中未发生进程属性修改事件。可选地，所述检测处理单元，进一步适于当确定所述目标样本文件在沙箱中运行的过程中发生进程属性修改事件时，强制结束所述指定操作事件；当确定所述目标样本文件在沙箱中运行的过程中未发生进程属性修改事件时，允许所述指定操作事件继续执行。可选地，所述指定操作事件包括：对执行指定操作的函数进行调用的事件；所述指定操作包括：对沙箱中的内存、特权、注册表、进程、线程、和/或文件进行创建和/或读写的操作。可选地，所述检测处理单元，适于在执行指定操作的函数上挂载钩子函数，拦截指示对执行所述指定操作的函数进行调用的消息；判断所述指示对执行所述指定操作的函数进行调用的消息的发送者是否为所述目标样本文件；是则，确定监听到所述目标样本文件在沙箱中执行的指定操作事件，否则放行所述指示对执行所述指令操作的函数进行调用的消息。可选地，所述检测处理单元，进一步适于记录所述目标样本文件在沙本文档来自技高网...

【技术保护点】
一种目标样本文件的检测方法，其中，包括：从数据源接收目标样本文件，将所述目标样本文件投放到沙箱中运行；监听所述目标样本文件在沙箱中运行的过程中是否发生进程属性修改事件；是则，确定所述目标样本文件是威胁样本文件；否则，确定所述目标样本文件不是威胁样本文件。

【技术特征摘要】
1.一种目标样本文件的检测方法，其中，包括：从数据源接收目标样本文件，将所述目标样本文件投放到沙箱中运行；监听所述目标样本文件在沙箱中运行的过程中是否发生进程属性修改事件；是则，确定所述目标样本文件是威胁样本文件；否则，确定所述目标样本文件不是威胁样本文件。2.如权利要求1所述的方法，其中，所述将所述目标样本文件投放到沙箱中运行包括：在沙箱中创建所述目标样本文件对应的进程，通过该进程执行所述目标样本文件在沙箱中的运行；在创建所述目标样本文件对应的进程时，记录所述目标样本文件对应的进程的初始属性值。3.如权利要求2所述的方法，其中，所述监听所述目标样本文件在沙箱中运行的过程中是否发生进程属性修改事件包括：监听所述目标样本文件在沙箱中执行的指定操作事件；当监听到指定操作事件发生时，拦截所述指定操作事件，获取当前所述目标样本文件对应的进程的指定属性值；将当前所述目标样本文件对应的进程的指定属性值与所述目标样本文件对应的进程的初始属性值进行匹配，如果至少一项匹配不成功，确定所述目标样本文件在沙箱中运行的过程中发生进程属性修改事件；否则，确定所述目标样本文件在沙箱中运行的过程中未发生进程属性修改事件。4.如权利要求3所述的方法，其中，所述目标样本文件对应的进程的初始属性值包括如下一种或多种：Privileges属性值、UserSID属性值、OwnerSID属性值；所述当前所述目标样本文件对应的进程的指定属性值包括如下一种或多种：所述目标样本文件对应的进程的令牌中的Privileges属性值、TokenUser属性值、TokenOwner属性值。5.如权利要求1所述的方法，其中，所述监听所述目标样本文件在沙箱中运行的过程中是否发生进程属性修改事件包括：监听所述目标样本文件在沙箱中执行的指定操作事件；当监听到指定操作事件发生时，拦截所述指定操作事件；判断当前所述目标样本文件对应的进程的令牌的访问控制列表是否处于置空状态，是则，确定所述目标样本文件在沙箱中运行的过程中发生进程属性修改事件；否则，确定所述目标样本文件...

【专利技术属性】
技术研发人员：邱鹏，
申请(专利权)人：北京奇虎科技有限公司，奇智软件北京有限公司，
类型：发明
国别省市：北京,11