【技术实现步骤摘要】
一种特定威胁的识别方法及电子设备
本专利技术涉及计算机
,尤其涉及一种特定威胁的识别方法及电子设备。
技术介绍
随着互联网技术的发展,政府和企业均使用互联网办公,虽然使用互联网办公非常便利,但是需要面对众多针对国家机密或者企业秘密的针对性攻击,例如高级持续性威胁(AdvancedPersistentThreat,APT)攻击,上述APT攻击已经成为网络安全和国家安全必须关心的问题,一旦遭受APT攻击,政府和企业的机密信息或数据将遭受侵害,因此,在短时间内有效地发现APT攻击可使得国家或企业减少损失,但上述APT攻击往往比较隐蔽,并且具备持续性,更新频繁的特点,如何准确快速的识别出进行APT攻击的特定威胁是目前需要解决的问题。在现有技术中,定位特定威胁时通常采用以下两种方式,方式一,通过APT检测装置使用漏洞利用程序对已知的恶意程序与未知的文件数据进行监测和动态分析,然后使用人力分析定位识别特定威胁,但是由于文件数据非常庞大,因此识别特定威胁的效率非常低。方式二,对反病毒引擎无法监测出的未知的文件行虚拟执行,使用人力对文件数据进行分析,并进行长时间观察进行定性...
【技术保护点】
1.一种特定威胁的识别方法,其特征在于,包括:根据预先设置的协议,在互联网流量数据的镜像数据中确定第一流量数据;响应于所述第一流量数据还原为传播文件,提取所述第一流量数据的第一协议信息以及所述传播文件中所包含的附件的第一哈希hash值;根据所述第一协议信息、所述第一哈希hash值以及所述传播文件,确定恶意程序传播记录表;按照设定条件确定所述恶意程序传播记录表中的特定威胁的hash值。
【技术特征摘要】
1.一种特定威胁的识别方法,其特征在于,包括:根据预先设置的协议,在互联网流量数据的镜像数据中确定第一流量数据;响应于所述第一流量数据还原为传播文件,提取所述第一流量数据的第一协议信息以及所述传播文件中所包含的附件的第一哈希hash值;根据所述第一协议信息、所述第一哈希hash值以及所述传播文件,确定恶意程序传播记录表;按照设定条件确定所述恶意程序传播记录表中的特定威胁的hash值。2.如权利要求1所述的方法,其特征在于,所述按照设定条件确定所述恶意程序传播记录表中的特定威胁的hash值之后,该方法还包括:根据所述特定威胁的hash值确定出对应的特定威胁的传播文件。3.如权利要求1所述的方法,其特征在于,根据所述第一协议信息、所述第一哈希hash值以及所述传播文件,确定恶意程序传播记录表,具体包括:将所述第一协议信息与所述第一hash值保存到第一列表;将所述传播文件进行威胁检测;将具备威胁的所述传播文件对应的第一协议信息确定为第二协议信息,并确定所述第二协议信息所对应的第二hash值;将所述第二协议信息与所述第二hash值保存到所述恶意程序传播记录表。4.如权利要求1所述的方法,其特征在于,所述预先设置的协议包括:简单邮件传输协议SMTP、邮局协议版本POP3、邮件访问协议IMAP、超文本传输协议HTTP、简单文件传输协议TFTP、文件传输协议FTP或服务器消息块SMB协议。5.如权利要求1所述的方法,其特征在于,所述第一协议信息包括:源IP、目的IP、源端口、目的端口、传输协议类型、文件名、文件统一资源定位符URL、邮件发件人、邮件收件人、邮件抄送人、邮件暗送人、邮件主题数据或邮件附件名中的至少一项。6.如权利要求1所述的方法,其特征在于,按照设定条件确定所述恶意程序传播记录表中的特定威胁hash值,具体包括:确定所述恶意程序传播记录表中传播量小于设定阈值的第二协议信息所对应的hash值为特定威胁hash值。7.如权利要求6所述的方法,其特征在于,确定所述恶意程...
【专利技术属性】
技术研发人员:秦梦姣,
申请(专利权)人:北斗智谷北京安全技术有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。