The invention discloses a detection method, a target sample file includes: receiving the target sample files from the data source, the target sample files into the sandbox operation; whether change event process attributes listening to the target sample file to run in a sandbox in; it is determined that the target sample. The file is a threat to the sample file; otherwise, determine the target sample file is not a threat to the sample file. This project uses the sandbox as virtual carrier operation target sample files, can clearly detect all target trajectory sample documents, comprehensive analysis to get the characteristic information of the target sample documents, according to the characteristics of information related to the target sample file can more accurately determine whether the modification process attributes of the target event process runs in the sample file in the virtual machine, and then determine the threat of sample files, and provide reference for the follow-up of information security protection.
【技术实现步骤摘要】
一种目标样本文件的检测方法和装置
本专利技术涉及互联网
,具体涉及一种目标样本文件的检测方法和装置。
技术介绍
随着互联网技术的不断发展,人们对于网络的使用愈加频繁,通过网络可以进行工作、学习、生活、娱乐等多方面的事宜,给人们带来了极大的便利。然而,当前互联网技术中存在系统级的内核漏洞,这些漏洞给恶意开发者以可乘之机,恶意开发者们通过威胁样本文件利用这些漏洞对各种客户端、服务端所在的终端进行攻击,获取用户的个人信息,威胁用户的信息安全,给用户的人身、财产等方面损失。其中特别地,恶意开发者们在通过威胁样本文件进行漏洞利用的过程中,常常采用修改进程属性的手段来获取系统级权限进而执行非法操作。因此,如何有效、全面地对互联网中进行漏洞利用攻击的可疑样本进行挖掘、检测和处理,是当前亟待解决的重要问题。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的目标样本文件的检测方法和装置。依据本专利技术的一个方面,提供了一种目标样本文件的检测方法,包括:从数据源接收目标样本文件,将所述目标样本文件投放到沙箱中运行;监听所述目标样本文件在沙箱中运行的过程中是否发生进程属性修改事件;是则,确定所述目标样本文件是威胁样本文件;否则,确定所述目标样本文件不是威胁样本文件。可选地,所述将所述目标样本文件投放到沙箱中运行包括:在沙箱中创建所述目标样本文件对应的进程,通过该进程执行所述目标样本文件在沙箱中的运行;在创建所述目标样本文件对应的进程时,记录所述目标样本文件对应的进程的初始属性值。可选地,所述监听所述目标样本文件在沙箱中运行的过程 ...
【技术保护点】
一种目标样本文件的检测方法,其中,包括:从数据源接收目标样本文件,将所述目标样本文件投放到沙箱中运行;监听所述目标样本文件在沙箱中运行的过程中是否发生进程属性修改事件;是则,确定所述目标样本文件是威胁样本文件;否则,确定所述目标样本文件不是威胁样本文件。
【技术特征摘要】
1.一种目标样本文件的检测方法,其中,包括:从数据源接收目标样本文件,将所述目标样本文件投放到沙箱中运行;监听所述目标样本文件在沙箱中运行的过程中是否发生进程属性修改事件;是则,确定所述目标样本文件是威胁样本文件;否则,确定所述目标样本文件不是威胁样本文件。2.如权利要求1所述的方法,其中,所述将所述目标样本文件投放到沙箱中运行包括:在沙箱中创建所述目标样本文件对应的进程,通过该进程执行所述目标样本文件在沙箱中的运行;在创建所述目标样本文件对应的进程时,记录所述目标样本文件对应的进程的初始属性值。3.如权利要求2所述的方法,其中,所述监听所述目标样本文件在沙箱中运行的过程中是否发生进程属性修改事件包括:监听所述目标样本文件在沙箱中执行的指定操作事件;当监听到指定操作事件发生时,拦截所述指定操作事件,获取当前所述目标样本文件对应的进程的指定属性值;将当前所述目标样本文件对应的进程的指定属性值与所述目标样本文件对应的进程的初始属性值进行匹配,如果至少一项匹配不成功,确定所述目标样本文件在沙箱中运行的过程中发生进程属性修改事件;否则,确定所述目标样本文件在沙箱中运行的过程中未发生进程属性修改事件。4.如权利要求3所述的方法,其中,所述目标样本文件对应的进程的初始属性值包括如下一种或多种:Privileges属性值、UserSID属性值、OwnerSID属性值;所述当前所述目标样本文件对应的进程的指定属性值包括如下一种或多种:所述目标样本文件对应的进程的令牌中的Privileges属性值、TokenUser属性值、TokenOwner属性值。5.如权利要求1所述的方法,其中,所述监听所述目标样本文件在沙箱中运行的过程中是否发生进程属性修改事件包括:监听所述目标样本文件在沙箱中执行的指定操作事件;当监听到指定操作事件发生时,拦截所述指定操作事件;判断当前所述目标样本文件对应的进程的令牌的访问控制列表是否处于置空状态,是则,确定所述目标样本文件在沙箱中运行的过程中发生进程属性修改事件;否则,确定所述目标样本文件...
【专利技术属性】
技术研发人员:邱鹏,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。