一种目标样本文件的检测方法和装置制造方法及图纸

本发明专利技术公开了一种目标样本文件的检测方法和装置，包括：从数据源接收目标样本文件，将所述目标样本文件投放到沙箱中运行；监听所述目标样本文件在沙箱中运行的过程中是否发生系统进程令牌替换事件；是则，确定所述目标样本文件是威胁样本文件；否则，确定所述目标样本文件不是威胁样本文件。本方案以沙箱作为虚拟载体运行目标样本文件，能够清晰地检测到目标样本文件的所有运行轨迹，全面分析得到目标样本文件相关的特征信息，根据目标样本文件相关的特征信息可以更为准确地判断所述目标样本文件在虚拟机中运行的过程中是否发生系统进程令牌替换事件，进而确定出威胁样本文件，为后续信息安全防护提供参考和依据。

Method and device for detecting target sample file

The invention discloses a method and a device, detection of a target sample file includes: receiving the target sample files from the data source, the target sample files into the sandbox operation; whether the replacement event system process token listening to the target sample file to run in the sandbox; is, determining the the target sample file is a threat to the sample file; otherwise, determine the target sample file is not a threat to the sample file. This project uses the sandbox as virtual carrier operation target sample files, can clearly detect all target trajectory sample documents, comprehensive analysis to get the characteristic information of the target sample documents, according to the characteristics of information related to the target sample file can more accurately determine whether the occurrence of token substitution event system process the target sample file operation in the virtual machine, and then determine the threat of sample files, and provide reference for the follow-up of information security protection.

【技术实现步骤摘要】
一种目标样本文件的检测方法和装置
本专利技术涉及互联网
，具体涉及一种目标样本文件的检测方法和装置。
技术介绍
随着互联网技术的不断发展，人们对于网络的使用愈加频繁，通过网络可以进行工作、学习、生活、娱乐等多方面的事宜，给人们带来了极大的便利。然而，当前互联网技术中存在系统级的内核漏洞，这些漏洞给恶意开发者以可乘之机，恶意开发者们通过威胁样本文件利用这些漏洞对各种客户端、服务端所在的终端进行攻击，获取用户的个人信息，威胁用户的信息安全，给用户的人身、财产等方面损失。其中特别地，恶意开发者们在通过威胁样本文件进行漏洞利用的过程中，常常采用替换系统进程令牌的手段来获取系统级权限进行执行非法操作。因此，如何有效、全面地对互联网中进行漏洞利用攻击的可疑样本进行挖掘、检测和处理，是当前亟待解决的重要问题。
技术实现思路
鉴于上述问题，提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的目标样本文件的检测方法和装置。依据本专利技术的一个方面，提供了一种目标样本文件的检测方法，包括：从数据源接收目标样本文件，将所述目标样本文件投放到沙箱中运行；监听所述目标样本文件在沙箱中运行的过程中是否发生系统进程令牌替换事件；是则，确定所述目标样本文件是威胁样本文件；否则，确定所述目标样本文件不是威胁样本文件。可选地，在所述将所述目标样本文件投放到沙箱中运行之前，该方法进一步包括：获取沙箱中具有系统级权限的各个系统进程的令牌信息。可选地，所述监听所述目标样本文件在沙箱中运行的过程中是否发生系统进程令牌替换事件包括：监听所述目标样本文件在沙箱中执行的指定操作事件；当监听到指定操作事件发生时，拦截所述指定操作事件，获取当前所述目标样本文件对应的进程的令牌信息；将当前所述目标样本文件对应的进程的令牌信息与沙箱中各个系统进程的令牌信息进行匹配，如果当前所述目标样本文件对应的进程的令牌信息命中沙箱中系统进程的令牌信息，确定所述目标样本文件在沙箱中运行的过程中发生系统进程令牌替换事件；否则，确定所述目标样本文件在沙箱中运行的过程中未发生系统进程令牌替换事件。可选地，该方法进一步包括：当确定所述目标样本文件在沙箱中运行的过程中发生系统进程令牌替换事件时，强制结束所述指定操作事件；当确定所述目标样本文件在沙箱中运行的过程中未发生系统进程令牌替换事件时，允许所述指定操作事件继续执行。可选地，所述获取沙箱中具有系统级权限的各个系统进程的令牌信息包括：获取沙箱中具有系统级权限的各个系统进程的进程标识；对于每个系统进程，根据该系统进程的进程标识，获取该系统进程的EPROCESS结构地址，进一步获取该系统进程的EPROCESS结构地址中的Token域的指针值。可选地，所述获取当前所述目标样本文件对应的进程的令牌信息包括：获取当前所述目标样本文件对应的进程的EPROCESS结构地址，进一步获取所述目标样本文件对应的进程的EPROCESS结构地址中的Token域的指针值；则所述将当前所述目标样本文件对应的进程的令牌信息与沙箱中各个系统进程的令牌信息进行匹配包括：将所述目标样本文件对应的进程的EPROCESS结构地址中的Token域的指针值与沙箱中各个系统进程的EPROCESS结构地址中的Token域的指针值进行匹配。可选地，沙箱中具有系统级权限的系统进程包括如下一种或多种：Idle进程、System进程、smss.exe进程、csrss.exe进程、wininit.exe进程、service.exe进程、Isass.exe进程、winlogon.exe进程。可选地，所述指定操作事件包括：对执行指定操作的函数进行调用的事件；所述指定操作包括：对沙箱中的内存、特权、注册表、进程、线程、和/或文件进行创建和/或读写的操作。可选地，所述监听所述目标样本文件在沙箱中执行的指定操作事件包括：在执行指定操作的函数上挂载钩子函数，拦截指示对执行所述指定操作的函数进行调用的消息；判断所述指示对执行所述指定操作的函数进行调用的消息的发送者是否为所述目标样本文件；是则，确定监听到所述目标样本文件在沙箱中执行的指定操作事件，否则放行所述指示对执行所述指令操作的函数进行调用的消息。可选地，该方法进一步包括：记录所述目标样本文件在沙箱中运行的运行日志；当确定所述目标样本文件是威胁样本文件时，根据所述目标样本文件在沙箱中运行的运行日志获得所述目标样本文件相关的特征信息；将所述目标样本文件相关的特征信息放入威胁数据库中。可选地，所述目标样本文件相关的特征信息包括：目标样本文件的静态特征信息，和/或，目标样本文件的行为特征信息。可选地，该方法进一步包括：将所述目标样本文件相关的特征信息反馈给数据源。依据本专利技术的另一个方面，提供了一种目标样本文件的检测装置，包括：样本接收单元，适于从数据源接收目标样本文件；检测处理单元，适于将所述目标样本文件投放到沙箱中运行，监听所述目标样本文件在沙箱中运行的过程中是否发生系统进程令牌替换事件；是则，确定所述目标样本文件是威胁样本文件；否则，确定所述目标样本文件不是威胁样本文件。可选地，所述检测处理单元，进一步适于在所述将所述目标样本文件投放到沙箱中运行之前，获取沙箱中具有系统级权限的各个系统进程的令牌信息。可选地，所述检测处理单元，适于监听所述目标样本文件在沙箱中执行的指定操作事件；当监听到指定操作事件发生时，拦截所述指定操作事件，获取当前所述目标样本文件对应的进程的令牌信息；将当前所述目标样本文件对应的进程的令牌信息与沙箱中各个系统进程的令牌信息进行匹配，如果当前所述目标样本文件对应的进程的令牌信息命中沙箱中系统进程的令牌信息，确定所述目标样本文件在沙箱中运行的过程中发生系统进程令牌替换事件；否则，确定所述目标样本文件在沙箱中运行的过程中未发生系统进程令牌替换事件。可选地，所述检测处理单元，进一步适于当确定所述目标样本文件在沙箱中运行的过程中发生系统进程令牌替换事件时，强制结束所述指定操作事件；当确定所述目标样本文件在沙箱中运行的过程中未发生系统进程令牌替换事件时，允许所述指定操作事件继续执行。可选地，所述检测处理单元，适于获取沙箱中具有系统级权限的各个系统进程的进程标识；对于每个系统进程，根据该系统进程的进程标识，获取该系统进程的EPROCESS结构地址，进一步获取该系统进程的EPROCESS结构地址中的Token域的指针值。可选地，所述检测处理单元，适于获取当前所述目标样本文件对应的进程的EPROCESS结构地址，进一步获取所述目标样本文件对应的进程的EPROCESS结构地址中的Token域的指针值；所述检测处理单元，适于将所述目标样本文件对应的进程的EPROCESS结构地址中的Token域的指针值与沙箱中各个系统进程的EPROCESS结构地址中的Token域的指针值进行匹配。可选地，沙箱中具有系统级权限的系统进程包括如下一种或多种：Idle进程、System进程、smss.exe进程、csrss.exe进程、wininit.exe进程、service.exe进程、Isass.exe进程、winlogon.exe进程。可选地，所述指定操作事件包括：对执行指定操作的函数进行调用的事件；所述指定操作包括：对沙箱中的内存、特权、注册表、进本文档来自技高网...

【技术保护点】
一种目标样本文件的检测方法，其中，包括：从数据源接收目标样本文件，将所述目标样本文件投放到沙箱中运行；监听所述目标样本文件在沙箱中运行的过程中是否发生系统进程令牌替换事件；是则，确定所述目标样本文件是威胁样本文件；否则，确定所述目标样本文件不是威胁样本文件。

【技术特征摘要】
1.一种目标样本文件的检测方法，其中，包括：从数据源接收目标样本文件，将所述目标样本文件投放到沙箱中运行；监听所述目标样本文件在沙箱中运行的过程中是否发生系统进程令牌替换事件；是则，确定所述目标样本文件是威胁样本文件；否则，确定所述目标样本文件不是威胁样本文件。2.如权利要求1所述的方法，其中，在所述将所述目标样本文件投放到沙箱中运行之前，该方法进一步包括：获取沙箱中具有系统级权限的各个系统进程的令牌信息。3.如权利要求2所述的方法，其中，所述监听所述目标样本文件在沙箱中运行的过程中是否发生系统进程令牌替换事件包括：监听所述目标样本文件在沙箱中执行的指定操作事件；当监听到指定操作事件发生时，拦截所述指定操作事件，获取当前所述目标样本文件对应的进程的令牌信息；将当前所述目标样本文件对应的进程的令牌信息与沙箱中各个系统进程的令牌信息进行匹配，如果当前所述目标样本文件对应的进程的令牌信息命中沙箱中系统进程的令牌信息，确定所述目标样本文件在沙箱中运行的过程中发生系统进程令牌替换事件；否则，确定所述目标样本文件在沙箱中运行的过程中未发生系统进程令牌替换事件。4.如权利要求3所述的方法，其中，该方法进一步包括：当确定所述目标样本文件在沙箱中运行的过程中发生系统进程令牌替换事件时，强制结束所述指定操作事件；当确定所述目标样本文件在沙箱中运行的过程中未发生系统进程令牌替换事件时，允许所述指定操作事件继续执行。5.如权利要求3所述的方法，其中，所述获取沙箱中具有系统级权限的各个系统进程的令牌信息包括：获取沙箱中具有系统级权限的各个系统进程的进程标识；对于每个系统进程，根据该系统进程的进程标识，获取该系统进程的EPROCESS结构地址，进一步获取该系统进程的EPROCESS结构地址中的To...

【专利技术属性】
技术研发人员：邱鹏，
申请(专利权)人：北京奇虎科技有限公司，奇智软件北京有限公司，
类型：发明
国别省市：北京,11