【技术实现步骤摘要】
一种攻击检测的方法、装置、电子设备及存储介质
本申请实施例涉及计算机安全领域,具体涉及一种攻击检测的方法、装置、电子设备及存储介质。
技术介绍
相关技术中,大多数APT(高级可持续威胁攻击)检测产品都是采用将带有漏洞攻击的文档(PDF、DOC、XLS等)放到虚拟机中利用办公软件打开并记录下文档软件进程的行为,结合一定的行为模型来监测文件是否带有漏洞攻击载荷,导致在恶意样本检测到虚拟机自身特征而隐藏攻击,使攻击检测有较高的漏报率。因此,如何高效检测恶意攻击成为亟待解决的问题。
技术实现思路
本申请实施例提供一种攻击检测的方法、装置、电子设备及存储介质,通过本申请的一些实施例至少能够实现对漏洞攻击检测的精准检测,从而实现高效检测恶意攻击。第一方面,本申请的一些实施例提供一种攻击检测的方法,应用于虚拟中央处理器,所述攻击检测的方法包括:获取待检测文件;将待检测文件传入虚拟中央处理器并执行;在执行待检测文件的过程中,监测到待检测文件至少一次访问敏感对象,则确认待检测文件为恶意文件,其中,敏感对象包...
【技术保护点】
1.一种攻击检测的方法,其特征在于,应用于虚拟中央处理器,所述方法包括:/n获取待检测文件;/n将所述待检测文件传入所述虚拟中央处理器并执行;/n在执行所述待检测文件的过程中,监测到所述待检测文件至少一次访问敏感对象,则确认所述待检测文件为恶意文件,其中,所述敏感对象包括敏感接口和敏感内存区域中的至少一个。/n
【技术特征摘要】
1.一种攻击检测的方法,其特征在于,应用于虚拟中央处理器,所述方法包括:
获取待检测文件;
将所述待检测文件传入所述虚拟中央处理器并执行;
在执行所述待检测文件的过程中,监测到所述待检测文件至少一次访问敏感对象,则确认所述待检测文件为恶意文件,其中,所述敏感对象包括敏感接口和敏感内存区域中的至少一个。
2.根据权利要求1所述的方法,其特征在于,所述敏感对象包括敏感接口和敏感内存区域;
所述在执行所述待检测文件的过程中,监测到所述待检测文件至少一次访问敏感对象,则确认所述待检测文件为恶意文件,包括:
在执行所述待检测文件的过程中,监测到所述敏感接口至少一次被访问;
监测到所述敏感内存区域至少一次被访问;
确认所述待检测文件为所述恶意文件。
3.根据权利要求2所述的方法,其特征在于,所述敏感对象包括敏感接口和敏感内存区域;
所述在执行所述待检测文件的过程中,监测到所述待检测文件至少一次访问敏感对象,则确认所述待检测文件为恶意文件,包括:
监测到所述敏感接口至少一次被访问时,使用第一标记对所述待检测文件进行标记;
监测到所述敏感内存区域至少一次被访问时,使用第二标记对所述待检测文件进行标记;
通过识别所述第一标记和所述第二标记,确认所述待检测文件为恶意文件。
4.根据权利要求1所述的方法,其特征在于,所述将所述待检测文件传入所述虚拟中央处理器并执行,包括:
在执行所述待检测文件的过程中,若遇到跳转,在判断跳转地址为合法的情况下,选择新的执行路径执行;
在判断所述跳转地址为非法的情况下,则忽略所述跳转且继续执行所述待检测文件。
5.根据权利要求1所述的方法,其特征在于,所述虚拟中央处理器的个数为至少一个。
6.根据权...
【专利技术属性】
技术研发人员:董阳,史博,陈树华,
申请(专利权)人:顶象科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。