【技术实现步骤摘要】
基于动态行为的细粒度RAT程序检测方法、系统及相应的APT攻击检测方法
本专利技术涉及信息安全
,特别涉及一种基于动态行为的细粒度RAT程序检测方法、系统以及相应的APT攻击检测方法。
技术介绍
APT的全称为高级可持续威胁(AdvancedPersistentThreat)。高级指的是APT会使用非常先进的攻击手段,如0day漏洞以及未知的恶意软件,而传统的安全防御手段大多还是基于signature的检测手段,难以检测未知的恶意代码。持续性指的是攻击针对性非常强,目的非常明确,攻击者通常会做大量的侦查工作,长期潜伏于企业中,慢慢地收集信息,并在特定的情况才会下爆发出来。目前APT攻击频繁被报道出来,一般攻击的对象是高价值目标,比如银行、军方、公司等。据360公司的《2016年APT研究报告》称,截至2016年12月底,360威胁情报中心已累计监测到的针对中国境内目标发动攻击的境内外APT组织36个。在这36个APT组织中,针对中国境内目标的攻击最早可以追溯到2007年。而最近三个月(2016年9月-11月)内仍然处于活跃状态的APT组织至少有13个。攻击目...
【技术保护点】
1.一种基于动态行为的细粒度RAT程序检测方法,其特征在于,获取目标程序运行时的动态数据作为待检数据,并将所述的待检数据与各个细粒度行为的特征码进行匹配,若存在匹配成功的特征码,则将匹配成功的特征码对应的细粒度行为作为目标程序的标签,并根据目标程序的标签判断该目标程序是否为RAT程序;所述的各个细粒度行为的特征码通过如下步骤获取:通过RAT程序运行不同细粒度行为,获取各个细粒度行为运行时的动态数据作为训练数据并记录各条动态数据对应的细粒度行为;对所述训练数据进行特征匹配以提取各细粒度行为的特征码。
【技术特征摘要】
1.一种基于动态行为的细粒度RAT程序检测方法,其特征在于,获取目标程序运行时的动态数据作为待检数据,并将所述的待检数据与各个细粒度行为的特征码进行匹配,若存在匹配成功的特征码,则将匹配成功的特征码对应的细粒度行为作为目标程序的标签,并根据目标程序的标签判断该目标程序是否为RAT程序;所述的各个细粒度行为的特征码通过如下步骤获取:通过RAT程序运行不同细粒度行为,获取各个细粒度行为运行时的动态数据作为训练数据并记录各条动态数据对应的细粒度行为;对所述训练数据进行特征匹配以提取各细粒度行为的特征码。2.如权利要求1所述的基于动态行为的细粒度RAT程序检测方法,其特征在于,所述对训练数据进行特征匹配以提取各细粒度行为的特征码包括:针对每一个细粒度行为对应的训练数据分别进行比对提取相同序列,并根据提取得到的相同序列形成该细粒度行为的特征码。3.如权利要求2所述的基于动态行为的细粒度RAT程序检测方法,其特征在于,采用Alignment算法对每一个细粒度行为对应的训练数据分别进行比对提取相同序列。4.如权利要求3所述的基于动态行为的细粒度RAT程序检测方法,其特征在于,采用Alignment算法对每个细粒度行为对应的训练数据分别进行比对提取相同序列包括:采用LocalAlignment将该细粒度行为对应的训练数据进行两两比对提取得到第一版特征,并记录各个第一版特征所对应的训练数据;针对所述的第一版特征进行至少一次GlobalAlignment,并以最后一次GlobalAlignment得到的结果作为最终版特征,并作为对应的相同序列。5.如权利要求2所述的基于动态行为的细粒度RAT程序检测方法,其特征在于,所述获取各个细粒度行为的特征码还包括运行不同安全程序,并获取各个安全程序运行时的动态数据作为修正数据;所述针对每一个细粒度行为对应的训...
【专利技术属性】
技术研发人员:杨润青,熊春霖,李振源,陈焰,宋哲,
申请(专利权)人:杭州奇盾信息技术有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。