本发明专利技术提供了一种采用沙箱集群检测数据的方法及装置,其中,该方法包括:采集样本数据,其中,所述样本数据包括邮件样本和恶意文件;将所述样本数据投递至沙箱集群,其中,所述沙箱集群包括静态沙箱和动态沙箱;采用所述沙箱集群检测所述样本数据,并将检测结果和所述样本数据关联后存储至高级持续性威胁APT攻击的情报数据库。通过本发明专利技术,解决了相关技术中收集APT攻击的情报数据库效率低下的技术问题。
Method and Device of Using Sandbox Cluster to Detect Data
【技术实现步骤摘要】
采用沙箱集群检测数据的方法及装置
本专利技术涉及网络安全领域,具体而言,涉及一种采用沙箱集群检测数据的方法及装置。
技术介绍
网络攻击是黑客或者病毒木马等对电子设备发起的攻击,通过窃取文件等给用户带来了巨大损失。在对高级持续性威胁(AdvancedPersistentThreat,APT)团伙进行追踪发现时,主要依据网络传播中的恶意文件、钓鱼邮件等攻击进行上下文关联分析。攻击者利用恶意程序对网络及信息系统进行入侵控制,达到窃取敏感数据和破坏系统和网络环境的目的,亟待提高对企业网络中传播的恶意样本检测率和批量分析能力。相关技术中,在计算机安全领域内,目前网络攻击变得越来越专业化和针对性。面对这样的攻击事件,往往缺少对该攻击事件的整体认识,而对其防御也是各自为战,并没有形成一个很好的防御体系。比如APT(高级持续性威胁)攻击或者“震网”病毒,这种攻击是有目的性和针对性的,只对特定的行业或者某些目标系统才具有攻击性。而目前没有方案当这些攻击事件在小范围内发生时,能够提前获得威胁情报,并在大范围内进行预警和防御。导致网络攻击的防御滞后。针对相关技术中存在的上述问题,目前尚未发现有效的解决方案。
技术实现思路
本专利技术实施例提供了一种采用沙箱集群检测数据的方法及装置。根据本专利技术的一个实施例,提供了一种采用沙箱集群检测数据的方法,包括:采集样本数据,其中,所述样本数据包括邮件样本和恶意文件;将所述样本数据投递至沙箱集群,其中,所述沙箱集群包括静态沙箱和动态沙箱;采用所述沙箱集群检测所述样本数据,并将检测结果和所述样本数据关联后存储至高级持续性威胁APT攻击的情报数据库。可选的,将所述样本数据投递至沙箱集群包括:判断静态沙箱的静态OWL检测规则是否匹配所述样本数据;在静态沙箱的静态OWL检测规则匹配所述样本数据时,将所述样本数据投递至静态沙箱;在静态沙箱的静态OWL检测规则不匹配所述样本数据时,将所述样本数据投递至动态沙箱。可选的,采用所述沙箱集群检测所述样本数据包括:采用所述沙箱集群基于语义及文件元信息对所述样本数据进行检测提取,识别所述样本数据的文件信息,其中,所述文件信息包括以下至少之一:文件名、文件类型、文件类型匹配度、文件大小、消息摘要算法MD5、安全散列算法SHA1、SHA256、SHA512、模糊哈希算法SSDeep;根据所述文件信息抽取所述样本数据的元信息,其中,所述元信息包括以下至少之一:可移植的执行体PE的字节数、签名信息、程序数据库文件PDB路径。可选的,采用所述沙箱集群检测所述样本数据包括:通过动态沙箱模拟虚拟环境;在所述虚拟环境中运行所述样本数据,记录和分析所述样本数据从进程启动到结束的所有行为动作,并抓取执行过程中的流量包,生成过程报表。可选的,在将检测结果和所述样本数据关联后存储至APT攻击的情报数据库之后,所述方法还包括:根据所述情报数据库追踪和定位APT攻击源。根据本专利技术的另一个实施例,提供了一种采用沙箱集群检测数据的装置,包括:采集模块,用于采集样本数据,其中,所述样本数据包括邮件样本和恶意文件;投递模块,用于将所述样本数据投递至沙箱集群,其中,所述沙箱集群包括静态沙箱和动态沙箱;处理模块,用于采用所述沙箱集群检测所述样本数据,并将检测结果和所述样本数据关联后存储至高级持续性威胁APT攻击的情报数据库。可选的,所述投递模块包括:判断单元,用于判断静态沙箱的静态OWL检测规则是否匹配所述样本数据;投递单元,用于在静态沙箱的静态OWL检测规则匹配所述样本数据时,将所述样本数据投递至静态沙箱;在静态沙箱的静态OWL检测规则不匹配所述样本数据时,将所述样本数据投递至动态沙箱。可选的,所述处理模块包括:识别单元,用于采用所述沙箱集群基于语义及文件元信息对所述样本数据进行检测提取,识别所述样本数据的文件信息,其中,所述文件信息包括以下至少之一:文件名、文件类型、文件类型匹配度、文件大小、消息摘要算法MD5、安全散列算法SHA1、SHA256、SHA512、模糊哈希算法SSDeep;抽取单元,用于根据所述文件信息抽取所述样本数据的元信息,其中,所述元信息包括以下至少之一:可移植的执行体PE的字节数、签名信息、程序数据库文件PDB路径。可选的,所述处理模块包括:模拟单元,用于通过动态沙箱模拟虚拟环境;处理单元,用于在所述虚拟环境中运行所述样本数据,记录和分析所述样本数据从进程启动到结束的所有行为动作,并抓取执行过程中的流量包,生成过程报表。可选的,所述装置还包括:追踪模块,用于在所述处理模块将检测结果和所述样本数据关联后存储至APT攻击的情报数据库之后,根据所述情报数据库追踪和定位APT攻击源。根据本专利技术的又一个实施例,还提供了一种存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。根据本专利技术的又一个实施例,还提供了一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。通过本专利技术,采集样本数据,然后将所述样本数据投递至沙箱集群,其中,所述沙箱集群包括静态沙箱和动态沙箱,最后采用所述沙箱集群检测所述样本数据,并将检测结果和所述样本数据关联后存储至高级持续性威胁APT攻击的情报数据库,通过对静态沙箱的运行结果进行日志分析规则维护、动态沙箱的核心对抗结果进行跟踪,可以对可疑对象进行更精确的过滤和定位,解决了相关技术中收集APT攻击的情报数据库效率低下的技术问题。极大提高了运营分析人员对恶意样本的分析追踪定位能力,对安全人员追踪APT攻击者的身份信息有极大的帮助。附图说明此处所说明的附图用来提供对本专利技术的进一步理解,构成本申请的一部分,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中:图1是本专利技术实施例的一种采用沙箱集群检测数据的服务器的硬件结构框图;图2是根据本专利技术实施例的一种采用沙箱集群检测数据的方法的流程图;图3是本专利技术实施例完整的业务逻辑图;图4是本专利技术实施例的业务流程图;图5是根据本专利技术实施例的采用沙箱集群检测数据的装置的结构框图。具体实施方式为了使本
的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。实本文档来自技高网...
【技术保护点】
1.一种采用沙箱集群检测数据的方法,其特征在于,包括:采集样本数据,其中,所述样本数据包括邮件样本和恶意文件;将所述样本数据投递至沙箱集群,其中,所述沙箱集群包括静态沙箱和动态沙箱;采用所述沙箱集群检测所述样本数据,并将检测结果和所述样本数据关联后存储至高级持续性威胁APT攻击的情报数据库。
【技术特征摘要】
1.一种采用沙箱集群检测数据的方法,其特征在于,包括:采集样本数据,其中,所述样本数据包括邮件样本和恶意文件;将所述样本数据投递至沙箱集群,其中,所述沙箱集群包括静态沙箱和动态沙箱;采用所述沙箱集群检测所述样本数据,并将检测结果和所述样本数据关联后存储至高级持续性威胁APT攻击的情报数据库。2.根据权利要求1所述的方法,其特征在于,将所述样本数据投递至沙箱集群包括:判断静态沙箱的静态OWL检测规则是否匹配所述样本数据;在静态沙箱的静态OWL检测规则匹配所述样本数据时,将所述样本数据投递至静态沙箱;在静态沙箱的静态OWL检测规则不匹配所述样本数据时,将所述样本数据投递至动态沙箱。3.根据权利要求1述的方法,其特征在于,采用所述沙箱集群检测所述样本数据包括:采用所述沙箱集群基于语义及文件元信息对所述样本数据进行检测提取,识别所述样本数据的文件信息,其中,所述文件信息包括以下至少之一:文件名、文件类型、文件类型匹配度、文件大小、消息摘要算法MD5、安全散列算法SHA1、SHA256、SHA512、模糊哈希算法SSDeep;根据所述文件信息抽取所述样本数据的元信息,其中,所述元信息包括以下至少之一:可移植的执行体PE的字节数、签名信息、程序数据库文件PDB路径。4.根据权利要求1述的方法,其特征在于,采用所述沙箱集群检测所述样本数据包括:通过动态沙箱模拟虚拟环境;在所述虚拟环境中运行所述样本数据,记录和分析所述样本数据从进程启动到结束的所有行为动作,并抓取执行过程中的流量包,生成过程报表。5.根据权利要求1述的方法,其特征在于,在将检测结果和所述样本数据关联后存储至APT攻击的情报数据库之后,所述方法还包括:根据所述情报数据库追...
【专利技术属性】
技术研发人员:白敏,白皓文,罗炳聪,
申请(专利权)人:北京奇安信科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。