本申请公开了一种勒索病毒传播路径的确定方法,通过该方法来对勒索病毒进行检测,不仅不需要依赖于专家系统的训练数据,而且,也不需要依赖于病毒文件的有效捕获以及已知威胁情报的数据特征,而是直接通过对目标安全网络的网络流量镜像所蕴含的特征数据进行分析来确定勒索病毒及其传播路径,所以,通过该方法就可以准确识别出安全网络中的勒索病毒以及勒索病毒的传播路径。相应的,本申请所提供的一种勒索病毒传播路径的确定装置、设备及介质,同样具有上述有益效果。同样具有上述有益效果。同样具有上述有益效果。
【技术实现步骤摘要】
一种勒索病毒传播路径的确定方法、装置、设备及介质
[0001]本专利技术涉及服务器
,特别涉及一种勒索病毒传播路径的确定方法、装置、设备及介质。
技术介绍
[0002]勒索病毒是一种新型的电脑病毒,主要以邮件、程序木马以及网页挂马等形式进行传播。此病毒的危害极大,用户终端一旦感染勒索病毒将会造成巨大的经济损失。在现有技术中,一般先是利用沙箱设备来检测勒索病毒,然后,再通过专家经验来判断勒索病毒的传播路径和影响范围,但是,利用沙箱设备来检测勒索病毒非常依赖于病毒文件的有效捕获,而威胁情报仅能识别已知风险。并且,利用专家经验来判断勒索病毒的传播路径对专家的经验技能要求极高,普通的专家经验难以企及。这样就无法保证确定出来勒索病毒传播路径的准确性与可靠性。
[0003]由此可见,如何准确地检测出勒索病毒的传播路径,是本领域技术人员亟待解决的技术问题。
技术实现思路
[0004]有鉴于此,本专利技术的目的在于提供一种勒索病毒传播路径的确定方法、装置、设备及介质,以能够准确地检测出勒索病毒的传播路径。其具体方案如下:
[0005]一种勒索病毒传播路径的确定方法,包括:
[0006]S11:对目标安全网络的网络流量镜像进行解析,得到访问有向图;
[0007]S12:对所述访问有向图中目的端口为445端口的访问进行统计,得到访问统计结果,并从所述访问统计结果中筛选符合预设筛选条件的目标访问源;
[0008]S13:利用图遍历算法确定所述目标访问源的所有访问路径,得到访问路径集合;
[0009]S14:在所述访问路径集合中,对访问资产在各个访问路径上出现的概率进行统计,得到当前时刻的资产分布概率向量;
[0010]S15:在预设时长后,重复执行S11至S14,并计算当前时刻与前一时刻的资产分布概率向量之间的欧氏距离;其中,当前时刻与前一时刻的间隔时长为所述预设时长;
[0011]S16:重复执行S11至S15,直至得到由N个欧氏距离组成的目标距离集合,并根据所述目标距离集合中的所有欧氏距离拟合生成目标置信区间;N≥3;
[0012]S17:若所述目标距离集合中存在欧氏距离大于所述目标置信区间的目标欧氏距离,则判定所述目标安全网络中存在勒索病毒;
[0013]S18:重复执行S11至S13,以获取所述勒索病毒的传播路径。
[0014]优选的,所述判定所述目标安全网络中存在勒索病毒的过程之后,还包括:
[0015]提示报警信息。
[0016]优选的,所述若所述目标距离集合中存在欧氏距离大于所述目标置信区间的目标欧氏距离,则判定所述目标安全网络中存在勒索病毒的过程,包括:
[0017]对所述目标距离集合中的欧氏距离进行时序异常检测,得到目标检测结果;
[0018]若根据所述目标检测结果判定出所述目标距离集合中存在欧氏距离大于所述目标置信区间的所述目标欧氏距离,则判定所述目标安全网络中存在所述勒索病毒。
[0019]优选的,所述对所述目标距离集合中的欧氏距离进行时序异常检测的过程,包括:
[0020]利用ARIMA算法对所述目标距离集合中的欧氏距离进行时序异常检测。
[0021]优选的,所述对目标安全网络的网络流量镜像进行解析,得到访问有向图的过程,包括:
[0022]对所述目标安全网络的所述网络流量镜像进行解析,得到源IP地址、目的IP地址、源端口和目的端口;
[0023]利用所述源IP地址、所述目的IP地址、所述源端口和所述目的端口生成所述访问有向图。
[0024]优选的,所述对所述目标安全网络的所述网络流量镜像进行解析的过程,包括:
[0025]利用NetFlow对所述目标安全网络的所述网络流量镜像进行解析。
[0026]相应的,本专利技术还提供了一种勒索病毒传播路径的确定装置,包括:
[0027]流量解析模块,用于执行S11:对目标安全网络的网络流量镜像进行解析,得到访问有向图;
[0028]访问统计模块,用于执行S12:对所述访问有向图中目的端口为445端口的访问进行统计,得到访问统计结果,并从所述访问统计结果中筛选符合预设筛选条件的目标访问源;
[0029]路径确定模块,用于执行S13:利用图遍历算法确定所述目标访问源的所有访问路径,得到访问路径集合;
[0030]概率统计模块,用于执行S14:在所述访问路径集合中,对访问资产在各个访问路径上出现的概率进行统计,得到当前时刻的资产分布概率向量;
[0031]距离计算模块,用于执行S15:在预设时长后,重复执行S11至S14,并计算当前时刻与前一时刻的资产分布概率向量之间的欧氏距离;其中,当前时刻与前一时刻的间隔时长为所述预设时长;
[0032]集合生成模块,用于执行S16:重复执行S11至S15,直至得到由N个欧氏距离组成的目标距离集合,并根据所述目标距离集合中的所有欧氏距离拟合生成目标置信区间;N≥3;
[0033]病毒判定模块,用于执行S17:若所述目标距离集合中存在欧氏距离大于所述目标置信区间的目标欧氏距离,则判定所述目标安全网络中存在勒索病毒;
[0034]路径确定模块,用于执行S18:重复执行S11至S13,以获取所述勒索病毒的传播路径。
[0035]相应的,本专利技术还提供了一种勒索病毒传播路径的确定设备,包括:
[0036]存储器,用于存储计算机程序;
[0037]处理器,用于执行所述计算机程序时实现如前述所公开的一种勒索病毒传播路径的确定方法的步骤。
[0038]相应的,本专利技术还公开了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如前述所公开的一种勒索病毒传播路径的确定方法的步骤。
[0039]可见,在本专利技术中,因为勒索病毒的传播路径既不需要依赖于专家系统的训练数据,也不需要依赖于病毒文件的有效捕获以及已知威胁情报的数据特征,而是直接通过对目标安全网络的网络流量镜像所蕴含的特征数据进行分析来确定勒索病毒及其传播路径,所以,通过本专利技术所提供的方法就可以准确识别出安全网络中的勒索病毒以及勒索病毒的传播路径。相应的,本专利技术所提供的一种勒索病毒传播路径的确定装置、设备及介质,同样具有上述有益效果。
附图说明
[0040]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
[0041]图1为本专利技术实施例所提供的一种勒索病毒传播路径的确定方法的流程图;
[0042]图2为本专利技术实施例所提供的一种勒索病毒传播路径的确定装置的结构图;
[0043]图3为本专利技术实施例所提供的一种勒索病毒传播路径的确定设备的结构图。
具体实施方式本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种勒索病毒传播路径的确定方法,其特征在于,包括:S11:对目标安全网络的网络流量镜像进行解析,得到访问有向图;S12:对所述访问有向图中目的端口为445端口的访问进行统计,得到访问统计结果,并从所述访问统计结果中筛选符合预设筛选条件的目标访问源;S13:利用图遍历算法确定所述目标访问源的所有访问路径,得到访问路径集合;S14:在所述访问路径集合中,对访问资产在各个访问路径上出现的概率进行统计,得到当前时刻的资产分布概率向量;S15:在预设时长后,重复执行S11至S14,并计算当前时刻与前一时刻的资产分布概率向量之间的欧氏距离;其中,当前时刻与前一时刻的间隔时长为所述预设时长;S16:重复执行S11至S15,直至得到由N个欧氏距离组成的目标距离集合,并根据所述目标距离集合中的所有欧氏距离拟合生成目标置信区间;N≥3;S17:若所述目标距离集合中存在欧氏距离大于所述目标置信区间的目标欧氏距离,则判定所述目标安全网络中存在勒索病毒;S18:重复执行S11至S13,以获取所述勒索病毒的传播路径。2.根据权利要求1所述的确定方法,其特征在于,所述判定所述目标安全网络中存在勒索病毒的过程之后,还包括:提示报警信息。3.根据权利要求1所述的确定方法,其特征在于,所述若所述目标距离集合中存在欧氏距离大于所述目标置信区间的目标欧氏距离,则判定所述目标安全网络中存在勒索病毒的过程,包括:对所述目标距离集合中的欧氏距离进行时序异常检测,得到目标检测结果;若根据所述目标检测结果判定出所述目标距离集合中存在欧氏距离大于所述目标置信区间的所述目标欧氏距离,则判定所述目标安全网络中存在所述勒索病毒。4.根据权利要求3所述的确定方法,其特征在于,所述对所述目标距离集合中的欧氏距离进行时序异常检测的过程,包括:利用ARIMA算法对所述目标距离集合中的欧氏距离进行时序异常检测。5.根据权利要求1至4任一项所述的确定方法,其特征在于,所述对目标安全网络的网络流量镜像进行解析,得到访问有向图的过程,包括:对所述目标安全网络的所述网络流量镜像进行解析,得到源IP地址...
【专利技术属性】
技术研发人员:王志远,范渊,刘博,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。