本申请实施例提供一种恶意程序防御方法、装置、电子设备及存储介质,其中,方法包括:获取恶意应用程序;将恶意应用程序移动至安全沙箱进行运行,得到恶意应用程序的基本信息;根据基本信息生成攻击链;获取恶意应用程序的通信数据;根据通信数据和攻击链获取恶意应用程序对应的攻击意图;根据攻击意图获取防御方案;根据防御方案进行防御。在本申请实施例中,通过针对不同的攻击意图提供不同的防御方案,根据防御方案进行防御,能够在对设备进行防护的同时最大化保留设备的工作能力。的同时最大化保留设备的工作能力。的同时最大化保留设备的工作能力。
【技术实现步骤摘要】
一种恶意程序防御方法、装置、电子设备及存储介质
[0001]本申请涉及网络安全
,具体而言,涉及一种恶意程序防御方法、装置、电子设备及计算机可读存储介质。
技术介绍
[0002]随着信息技术和互联网络的快速发展,国家安全的边界已经超越地理空间的限制,扩展至网络,网络安全成为事关国家安全的重要问题。当前,木马僵尸网络、钓鱼网站等非传统网络安全威胁有增无减,分布式拒绝服务(DDOS)、高级持续威胁(APT)等新型网络攻击愈演愈烈。网络安全威胁的范围和内容不断扩大和演化,网络安全形势与挑战日益严峻复杂。
[0003]现有技术的恶意程序防御技术无法进一步识别该恶意程序的攻击意图,无法进一步提供防御方案。
技术实现思路
[0004]本申请实施例的目的在于提供一种恶意程序防御方法、装置、电子设备及存储介质,能够将识别而已程序。
[0005]本申请实施例提供了一种恶意程序的防御方法,该方法包括:
[0006]获取恶意应用程序;
[0007]将所述恶意应用程序移动至安全沙箱进行运行,得到所述恶意应用程序的基本信息;
[0008]根据所述基本信息生成攻击链;
[0009]获取所述恶意应用程序的通信数据;
[0010]根据所述通信数据和所述攻击链获取所述恶意应用程序对应的攻击意图;
[0011]根据所述攻击意图获取防御方案;
[0012]根据所述防御方案进行防御。
[0013]在上述实现过程中,首先获取恶意程序,为了保证能够恶意程序不对计算机产生其他损害性的影响,同时对恶意程序进行分析,将恶意程序移动至沙箱进行运行,在此基础上,可以获取到恶意程序的基本信息。同时,进一步获取恶意程序的通信数据,基于通信数据和上述得到的恶意程序的基本信息可以获取到恶意程序的攻击意图,有了恶意程序的攻击意图,可以根据攻击意图获取相关的防御方案,根据该防御方案可以对设备进行防御。现有技术中通常对不同的恶意程序采取相同的防御方案进行防御,这种防御方式虽然能够对设备进行防护,但是几乎对设备的所有工作能力进行了限制,降低了设备的工作能力,本申请通过针对不同的攻击意图提供不同的防御方案,根据防御方案进行防御,能够在对设备进行防护的同时最大化保留设备的工作能力。
[0014]进一步地,所述将所述恶意应用程序移动至安全沙箱进行运行的步骤,包括:
[0015]利用多模匹配算法将所述应用程序和Yara规则库进行匹配,得到匹配结果;
[0016]若所述匹配结果为是,对所述恶意程序进行处理;
[0017]若所述匹配结果为否,将所述恶意应用程序移动至安全沙箱进行运行。
[0018]在上述实现过程中,利用多模匹配算法、将恶意应用程序和Yara规则库进行匹配,得到匹配结果,根据匹配结果对该恶意应用程序进行处置。Yara规则库中包括基于已经收集到的恶意程序的多种行为,将恶意程序和该Yara规则库进行匹配可以提高识别恶意程序的精确度,识别该恶意应用程序是否为已知恶意应用程序,如果不是已知恶意应用程序,讲所述恶意应用程序移动至沙箱运行,防止对设备产生危害。
[0019]进一步地,在所述根据所述基本信息生成攻击链的步骤之后,还包括:
[0020]获取所述攻击链对应的关键信息;
[0021]将所述关键信息和已知攻击链的恶意应用程序的关键信息进行比对,得到比对结果;
[0022]若所述比对结果为相同,将该已知攻击链确定为所述攻击链;
[0023]若所述比对结果为不相同,将所述攻击链进行存储。
[0024]在上述实现过程中,恶意程序的攻击特征在攻击链中具有较明显的体现,不同的恶意应用程序的攻击链不同,为了便于管理以及获取防御方案,将恶意应用程序的攻击链和已知应用程序的攻击链进行比对,得到比对结果,如果比对结果为相同,则可以确定该攻击链确定为所述恶意应用程序对应的攻击链。若所述比对结果为不相同,将所述攻击链进行存储。基于上述实施方式,能够便于对恶意应用程序的管理,便于后续识别其他恶意应用程序。
[0025]进一步地,在所述根据所述基本信息生成攻击链的步骤之后,还包括:
[0026]获取所述恶意应用程序的多个行为;
[0027]将所述恶意应用程序的多个行为和已知攻击链特征库中已知攻击链的多个行为进行匹配,得到匹配成功数量;
[0028]根据所述匹配成功数量获取匹配分数;
[0029]根据所述匹配分数将所述攻击链加入所述已知攻击链特征库。
[0030]在上述实现过程中,不同的恶意应用程序的行为是不同,已知攻击链特征库中存储有多个已知攻击链的多个行为,将恶意程序的多个行为和已知攻击链中的已知攻击链中的多个行为进行匹配,根据匹配成功的数量获取匹配分数,根据匹配分数可以该攻击链是否是已知攻击链特征库中的已知攻击链,根据匹配分数还可以将该攻击链加入已知攻击链特征库,扩大已知攻击链特征库中已知攻击链数量,方便后续对其他恶意应用程序的识别。
[0031]进一步地,在所述根据所述通信数据和所述基本信息获取所述恶意应用程序对应的攻击意图的步骤之后,还包括:
[0032]根据所述攻击意图、所述攻击链生成所述攻击者的画像。
[0033]在上述实现过程中,攻击者画像描述了攻击者的行为特征,根据攻击意图可以方便后续对于攻击者的监视、分析。
[0034]进一步地,在所述根据所述攻击意图、所述攻击链生成所述攻击者的画像的步骤之后,还包括:
[0035]将所述攻击者的画像与已知的画像特征库中的已知攻击者的画像进行匹配,获得匹配结果;
[0036]根据所述匹配结果将所述攻
[0037]击者的画像加入所述画像特征库。
[0038]在上述实现过程中,将攻击者的画像和已知的画像特征库中的已知攻击者的画像进行匹配,根据匹配结果将攻击者的画像加入画像特征库,有利于扩大攻击者画像特征库的容量,提高后续的恶意程序识别效率。
[0039]进一步地,所述将所述攻击者的画像与已知的画像特征库中的已知攻击者的画像进行匹配,获得匹配结果的步骤,包括:
[0040]将所述恶意应用程序对应的攻击链与所述已知攻击者的画像对应的攻击链进行匹配,得到匹配成功数量;
[0041]根据所述匹配成功数量获取匹配分数;
[0042]所述根据所述匹配结果将所述攻击者的画像加入所述画像特征库的步骤,包括:
[0043]根据所述匹配分数将所述攻击者的画像加入所述已知的画像特征库。
[0044]在上述实现过程中,相同的攻击者其攻击链是相似的,因此,为了判断该恶意程序对应的攻击者的画像是否是画像特征库中已知攻击者的画像,可以将恶意程序对应的攻击链和已知攻击者的画像对应的攻击链进行匹配,根据匹配结果获取匹配分数,根据匹配根数将该恶意程序对应的攻击者画像加入已知的画像特征库。
[0045]第二方面,本申请实施例提供一种恶意程序的防御装置,该装置包括:
[0046]本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种恶意程序防御方法,其特征在于,包括:获取恶意应用程序;将所述恶意应用程序移动至安全沙箱进行运行,得到所述恶意应用程序的基本信息;根据所述基本信息生成攻击链;获取所述恶意应用程序的通信数据;根据所述通信数据和所述攻击链获取所述恶意应用程序对应的攻击意图;根据所述攻击意图获取防御方案;根据所述防御方案进行防御。2.根据权利要求1所述的恶意程序防御方法,其特征在于,所述将所述恶意应用程序移动至安全沙箱进行运行的步骤,包括:利用多模匹配算法将所述应用程序和Yara规则库进行匹配,得到匹配结果;若所述匹配结果为是,对所述恶意程序进行处理;若所述匹配结果为否,将所述恶意应用程序移动至安全沙箱进行运行。3.根据权利要求1所述的恶意程序防御方法,其特征在于,在所述根据所述基本信息生成攻击链的步骤之后,还包括:获取所述攻击链对应的关键信息;将所述关键信息和已知攻击链的恶意应用程序的关键信息进行比对,得到比对结果;若所述比对结果为相同,将该已知攻击链确定为所述攻击链;若所述比对结果为不相同,将所述攻击链进行存储。4.根据权利要求2所述的恶意程序防御方法,其特征在于,在所述根据所述基本信息生成攻击链的步骤之后,还包括:获取所述恶意应用程序的多个行为;将所述恶意应用程序的多个行为和已知攻击链特征库中已知攻击链的多个行为进行匹配,得到匹配成功数量;根据所述匹配成功数量获取匹配分数;根据所述匹配分数将所述攻击链加入所述已知攻击链特征库。5.根据权利要求1所述的恶意程序防御方法,其特征在于,在所述根据所述通信数据和所述基本信息获取所述恶意应用程序对应的攻击意图的步骤之后,还包括:根据所述攻击意图、所述攻击链生成所述攻击者的画像。6.根据权利要求5所述的恶意程序防御方法,其特征在于,在所述...
【专利技术属性】
技术研发人员:曹佳旭,邹建,崔益玮,宗锐,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。