本发明专利技术公开了一种基于恶意应用的攻击者溯源方法,包括当恶意应用中存与攻击者相关的特征信息时,记录下各特征信息与各恶意应用的对应关系;构建一个图数据库,以每个恶意应用作为节点,各特征信息作为该节点的属性,当各节点中存在一样的属性时连接相应的节点;以相互连接的一个节点出发,遍历图数据库,若经过预设次数的节点关联形成闭合回路,则提取所有节点的属性,并进行溯源。本发明专利技术直观、有效整合了零散分布在各个恶意应用中的攻击者特征信息,通过对该信息进行关联聚合能更容易找到攻击者,并且对于单个攻击者生产多个恶意应用的场合能一次性实现多个应用进行溯源,溯源准确率、效率高。本发明专利技术还公开了一种基于恶意应用的攻击者溯源系统。
【技术实现步骤摘要】
一种基于恶意应用的攻击者溯源方法和系统
本专利技术属于信息安全
,尤其涉及一种基于恶意应用的攻击者溯源方法和系统。
技术介绍
科技给人们的生活带来便利的同时也给我们带来不少安全隐患。当前,终端设备很容易就遭受恶意应用的攻击,而攻击者被查处的难度却很大。现有攻击者信息溯源都是通过单个恶意应用或攻击手段的攻击信息进行溯源的,而这些攻击通常都使用了反侦查的技术,使得后续溯源分析的难度加大。另外,还可以尝试在一些应用中查找开发者信息来溯源,然而会存在通过一个手机号关联出的样本中还包含多个不同邮箱,通过一个邮箱关联出的样本中还包含多个不同的手机号的情况,通过人工一个个查找溯源的效率非常低下,完全不适合样本量较大的场合。
技术实现思路
本专利技术实施例的目的在于提供一种基于恶意应用的攻击者溯源方法和系统,能高效、准确的实现攻击者的溯源。本专利技术公开了一种基于恶意应用的攻击者溯源方法,所述方法包括:判断恶意应用中是否存与攻击者相关的特征信息,若存在则记录下各特征信息与各恶意应用的对应关系;构建一个图数据库,该图数据库以每个恶意应用作为节点,将与该恶意应用对应的所述各特征信息作为该节点的属性,当各节点中存在一样的属性时连接相应的节点;以相互连接的一个节点出发,遍历所述已构建的图数据库,若经过预设次数的节点关联形成闭合回路,则提取所有节点的属性,并根据所提取的属性进行溯源。进一步的,所述判断恶意应用中是否存在与攻击者相关的特征信息的方法包括:预设恶意应用攻击方式及相应的特征信息,当在应用程序中检索到恶意应用攻击方式,且还设置有相关攻击者特征信息时,判断恶意应用中存在与攻击者相关的特征信息。进一步的,所述攻击者相关的特征信息包括:电话号码、邮箱、ip地址、IM应用号码。进一步的,如果以相互连接的一个节点出发,遍历所述已构建的图数据库,若经过预设次数的节点关联不能形成闭合回路,则根据与该节点拥有最多相同属性的节点的溯源的情况来推测攻击者信息。本专利技术公开了一种基于恶意应用的攻击者溯源系统,所述系统包括:攻击者特征信息提取单元,用于判断恶意应用中是否存与攻击者相关的特征信息,若存在则记录下各特征信息与各恶意应用的对应关系;图数据库构建单元,用于构建一个图数据库,该图数据库以每个恶意应用作为节点,将与该恶意应用对应的所述各特征信息作为该节点的属性,当各节点中存在一样的属性时连接相应的节点;溯源单元,用于以相互连接的一个节点出发,遍历所述已构建的图数据库,若经过预设次数的节点关联形成闭合回路,则提取所有节点的属性,并根据所提取的属性进行溯源。进一步的,所述攻击者特征信息提取单元判断恶意应用中是否存在与攻击者相关的特征信息的方法包括:预设恶意应用攻击方式及相应的特征信息,当在应用程序中检索到恶意应用攻击方式,且还设置有相关攻击者特征信息时,判断恶意应用中存在与攻击者相关的特征信息。进一步的,所述攻击者相关的特征信息包括:电话号码、邮箱、ip地址、IM应用号码。进一步的,所述溯源单元还用于当以相互连接的一个节点出发,遍历所述已构建的图数据库,若经过预设次数的节点关联不能形成闭合回路,根据与该节点拥有最多相同属性的节点的溯源的情况来推测攻击者信息。本专利技术相比于现有技术的有益效果在于,本专利技术通过图数据库直观、有效整合了零散分布在各个恶意应用中的攻击者特征信息,通过对攻击者特征信息进行关联聚合能更容易的找到攻击者,并且对于单个攻击者生产多个恶意应用的场合能一次性实现多个应用进行溯源,溯源准确率、效率高。本专利技术能适用于具有大量恶意应用的TTP场景中。附图说明为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术一示例性实施例示出的恶意应用的攻击者溯源方法的流程图。图2为本专利技术一示例性实施例示出的恶意应用的攻击者溯源方法的工作原理图。图3为本专利技术一示例性实施例示出的恶意应用的攻击者溯源系统的结构图。具体实施方式为了使本专利技术的目的、技术方案及优节点更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。在一些实施例中,一种基于恶意应用的攻击者溯源方法,如图1所示,包括以下步骤:S01,判断恶意应用中是否存在与攻击者相关的特征信息,若存在则记录下各特征信息与各恶意应用的对应关系。恶意应用的攻击者往往会在应用中留下一定的联系方式,比如拦截马类型的病毒,其植入手机后会拦截手机的短信内容、邮件内容等,并把短信、邮件发送到攻击者留下的号码、邮箱地址。因此可以预设恶意应用攻击方式及相应的特征信息,当在应用程序中检索到恶意应用攻击方式,且还设置有电话号码、邮箱、ip地址、QQ号等相关攻击者信息时,就将这些特征信息提取出来。常见的恶意应用攻击方式及相应的攻击者相关信息如表1所示。表1S02,用于构建一个图数据库,该图数据库以每个恶意应用作为节点,将与该恶意应用对应的所述各特征信息作为该节点的属性,当各节点中存在一样的属性时连接相应的节点,该连线即为图数据库的边。如图2所示,恶意应用1、恶意应用2、恶意应用3、恶意应用4、恶意应用5、恶意应用6、恶意应用7分别由节点1、节点2、节点3、节点4、节点5、节点6、节点7表示,可以理解的,可以用MD5值来对恶意应用进行区分。各恶意应用存在的与攻击者相关特征信息情况如表2所示。表2由于恶意应用1与恶意应用2存在一样的属性,即手机号信息“123...6789,”则将恶意应用1与恶意应用2连接起来。同理,可以将恶意应用2与恶意应用3、恶意应用1与恶意应用4、恶意应用3与恶意应用4、恶意应用3与恶意应用6连接起来。恶意应用7的属性与其余恶意应用的属性没有一样的,因此没有与之相连的恶意应用。可以理解的,恶意应用7的攻击者相关信息是相对独立的,在溯源时单独考虑该节点的情况即可。S03,以相互连接的一个节点出发,遍历所述已构建的图数据库,若经过预设次数的节点关联形成闭合回路,则提取所有节点的属性,并根据所提取的属性进行溯源。可以理解的,如果从一节点出发经过大于或等于三次的遍历后能回到该节点,则形成了具有较强关联的闭环信息。单个闭环信息可以对应单个攻击者,多个相连的闭环攻击者信息还能形成具非常强关联的攻击者信息网,可能对应一个攻击团伙。在本实施例中,可以通过遍历MD5值来判断当前的节点是否是原节点。在图2所示的实施例中,恶意应用1、恶意应用2、恶意应用3、恶意应用4构成了一个闭环,可以认为这四个恶意应用的攻击者为一人或者多个攻击者之间是密切相关的。通过提取的属性,即攻击者相关信息来溯源。比如,可以根据电话号码“123...6789”、邮箱“xxx@163.om”去查询是否有注册微信或支付宝等,或者根据域名信息去查询域名备案数据。本专利技术通过图数据库有效整合了零散分布在各个恶意应用中的攻击者特征信息,通过对攻击者特征信息进行关联聚合能更容易的找到攻击者,并且对于单个攻击者生产多个恶意应用的场合能一次性实现多个应用进行溯源,溯源准确率、效率高。本专利技术能适用本文档来自技高网...
【技术保护点】
1.一种基于恶意应用的攻击者溯源方法,其特征在于,所述方法包括:判断恶意应用中是否存与攻击者相关的特征信息,若存在则记录下各特征信息与各恶意应用的对应关系;构建一个图数据库,该图数据库以每个恶意应用作为节点,将与该恶意应用对应的所述各特征信息作为该节点的属性,当各节点中存在一样的属性时连接相应的节点;以相互连接的一个节点出发,遍历所述已构建的图数据库,若经过预设次数的节点关联形成闭合回路,则提取所有节点的属性,并根据所提取的属性进行溯源。
【技术特征摘要】
1.一种基于恶意应用的攻击者溯源方法,其特征在于,所述方法包括:判断恶意应用中是否存与攻击者相关的特征信息,若存在则记录下各特征信息与各恶意应用的对应关系;构建一个图数据库,该图数据库以每个恶意应用作为节点,将与该恶意应用对应的所述各特征信息作为该节点的属性,当各节点中存在一样的属性时连接相应的节点;以相互连接的一个节点出发,遍历所述已构建的图数据库,若经过预设次数的节点关联形成闭合回路,则提取所有节点的属性,并根据所提取的属性进行溯源。2.如权利要求1所述的方法,其特征在于,所述判断恶意应用中是否存在与攻击者相关的特征信息的方法包括:预设恶意应用攻击方式及相应的特征信息,当在应用程序中检索到恶意应用攻击方式,且还设置有相关攻击者特征信息时,判断恶意应用中存在与攻击者相关的特征信息。3.如权利要求1所述的方法,其特征在于,所述攻击者相关的特征信息包括:电话号码、邮箱、ip地址、IM应用号码。4.如权利要求1所述的方法,其特征在于,如果以相互连接的一个节点出发,遍历所述已构建的图数据库,经过预设次数的节点关联,不能形成闭合回路,则根据与该节点拥有最多相同属性的节点的溯源的情况来推测攻击者信息。5.一种基于恶意应用的攻击者溯源系统,其特征在于,所...
【专利技术属性】
技术研发人员:徐荣力,张路,乐东,乔伟,
申请(专利权)人:武汉安天信息技术有限责任公司,
类型:发明
国别省市:湖北,42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。