攻击识别方法及相关设备技术

本申请公开了一种攻击识别方法，应用于调度服务器，包括：对待识别文件进行类型识别，确定所述待识别文件的文件类型；将所述待识别文件发送至所述文件类型对应的分析沙箱；通过所述分析沙箱对所述待识别文件进行特征提取，获得特征信息；通过特征分析设备根据所述特征信息确定攻击识别结果。应用本申请所提供的技术方案，针对不同类型的待识别文件，采用不同的分析沙箱进行特征提取进而实现攻击识别，可以有效提高网络风险识别的全面性，以便应对不同类型的攻击，保证网络安全；此外，各个分析沙箱可同步运行，为工作效率提供了有效保证。本申请还公开了另一种攻击识别方法以及相关设备，均具有上述有益效果。均具有上述有益效果。均具有上述有益效果。

【技术实现步骤摘要】
攻击识别方法及相关设备


[0001]本申请涉及网络安全
，特别涉及一种攻击识别方法以及相关设备。

技术介绍

[0002]随着网络空间高级威胁对抗态势的不断升级，各种高级威胁给我们带来的危害越来越大，新的攻击方式也层出不穷。由于高级威胁数据的不断增加，使得人工从海量情报和样本数据中筛查出高级威胁数据的难度不断加大，因此业内不断引入了各种自动化分析管理平台针对海量样本和情报进行了存储、分析和管理。
[0003]然而，现有的自动化分析管理平台都存在一定的片面性，如侧重于样本文件分析和管理的VirusTotal平台，虽然可以在静态方面具有高效的鉴别能力，但对于动态行为的威胁情报却比较乏力；再如侧重于网络情报分析和管理的微步威胁情报平台，比较依赖沙箱和安全分析专家的研判分析能力，且单一的网络侧情报存在一定的不确定性。
[0004]因此，如何有效提高网络风险识别的全面性，以便应对不同类型的攻击，保证网络安全是本领域技术人员亟待解决的问题。

技术实现思路

[0005]本申请的目的是提供一种攻击识别方法，该攻击识别方法可以有效提高网络风险识别的全面性，以便应对不同类型的攻击，保证网络安全；本申请的另一目的是提供另一种攻击识别方法以及相关设备，均具有上述有益效果。
[0006]第一方面，本申请提供了一种攻击识别方法，应用于调度服务器，包括：
[0007]对待识别文件进行类型识别，确定所述待识别文件的文件类型；
[0008]将所述待识别文件发送至所述文件类型对应的分析沙箱；<br/>[0009]通过所述分析沙箱对所述待识别文件进行特征提取，获得特征信息；
[0010]通过特征分析设备根据所述特征信息确定攻击识别结果。
[0011]优选的，所述对所述待识别文件进行类型识别，所述对待识别文件进行类型识别，确定所述待识别文件的文件类型，包括：
[0012]对所述待识别文件的预设字段进行分析，获得字段信息；
[0013]根据所述字段信息确定所述待识别文件的文件类型。
[0014]优选的，所述将所述待识别文件发送至所述文件类型对应的分析沙箱，包括：
[0015]在预设映射关系中查询确定所述文件类型对应的沙箱地址，所述预设映射关系为所述文件类型与所述沙箱地址之间的映射关系；
[0016]根据所述沙箱地址将所述待识别文件发送至所述文件类型对应的分析沙箱。
[0017]优选的，所述攻击识别方法还包括：
[0018]生成关于所述待识别文件的调度记录，所述调度记录包括所述待识别文件、所述待识别文件的文件类型、所述文件类型对应的分析沙箱的沙箱地址中的一种或多种；
[0019]将所述调度记录保存至内存数据库。
[0020]第二方面，本申请提供了另一种攻击识别方法，应用于分析沙箱，包括：
[0021]接收待识别文件，所述待识别文件由调度服务器根据所述待识别文件的文件类型发送至所述分析沙箱，所述文件类型与所述分析沙箱相对应；
[0022]对所述待识别文件进行特征提取，获得特征信息；
[0023]将所述特征信息发送至特征分析设备，以使所述特征分析设备根据所述特征信息确定攻击识别结果。
[0024]第三方面，本申请提供了又一种攻击识别方法，应用于特征分析设备，包括：
[0025]接收待识别文件的特征信息，所述特征信息由分析沙箱对所述待识别文件进行特征提取获得，所述待识别文件由调度服务器根据所述待识别文件的文件类型发送至所述分析沙箱，所述文件类型与所述分析沙箱相对应；
[0026]根据所述特征信息确定攻击识别结果。
[0027]第四方面，本申请还公开了一种调度服务器，包括：
[0028]类型识别模块，用于对待识别文件进行类型识别，确定所述待识别文件的文件类型；
[0029]文件发送模块，用于将所述待识别文件发送至所述文件类型对应的分析沙箱；
[0030]第一特征提取模块，用于通过所述分析沙箱对所述待识别文件进行特征提取，获得特征信息；
[0031]第一攻击识别模块，用于通过特征分析设备根据所述特征信息确定攻击识别结果。
[0032]第五方面，本申请还公开了一种分析沙箱，包括：
[0033]文件接收模块，用于接收待识别文件，所述待识别文件由调度服务器根据所述待识别文件的文件类型发送至所述分析沙箱，所述文件类型与所述分析沙箱相对应；
[0034]第二特征提取模块，用于对所述待识别文件进行特征提取，获得特征信息；
[0035]特征信息发送模块，用于将所述特征信息发送至特征分析设备，以使所述特征分析设备根据所述特征信息确定攻击识别结果。
[0036]第六方面，本申请还公开了一种特征分析设备，包括：
[0037]特征信息接收模块，用于接收待识别文件的特征信息，所述特征信息由分析沙箱对所述待识别文件进行特征提取获得，所述待识别文件由调度服务器根据所述待识别文件的文件类型发送至所述分析沙箱，所述文件类型与所述分析沙箱相对应；
[0038]第二攻击识别模块，用于根据所述特征信息确定攻击识别结果。
[0039]第七方面，本申请还公开了一种自动化分析平台，包括调度服务器、特征分析设备和多个分析沙箱；
[0040]所述调度服务器，用于对待识别文件进行类型识别，确定所述待识别文件的文件类型，并将所述待识别文件发送至所述文件类型对应的分析沙箱；
[0041]所述分析沙箱，用于对接收到的待识别文件进行特征提取，获得特征信息，并将所述特征信息发送至所述特征分析设备；
[0042]所述特征分析设备，用于根据所述特征信息确定攻击识别结果。。
[0043]第八方面，本申请还公开了一种攻击识别系统，包括如上所述的自动化分析平台、文件管理平台、结果管理平台；
[0044]所述文件管理平台，用于对待识别文件进行预筛选，并将筛选后的待识别文件发送至所述自动化分析平台；
[0045]所述自动化分析平台，用于对所述待识别文件进行攻击识别，获得攻击识别结果，并将所述攻击识别结果发送至所述结果管理平台；
[0046]所述结果管理平台，用于存储所述待识别文件和所述攻击识别结果。
[0047]优选的，所述文件管理平台具体用于判断所述待识别文件是否命中攻击文件库；若否，则将所述待识别文件发送至所述自动化分析平台；若是，则将所述待识别文件和所述待识别文件在所述攻击文件库中的描述信息发送至所述结果管理平台。
[0048]第九方面，本申请还公开了一种攻击识别设备，包括：
[0049]存储器，用于存储计算机程序；
[0050]处理器，用于执行所述计算机程序时实现如上所述的任一种攻击识别方法的步骤。
[0051]第十方面，本申请还公开了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上所述的任一种攻击识别方法的步骤。
本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种攻击识别方法，其特征在于，应用于调度服务器，包括：对待识别文件进行类型识别，确定所述待识别文件的文件类型；将所述待识别文件发送至所述文件类型对应的分析沙箱；通过所述分析沙箱对所述待识别文件进行特征提取，获得特征信息；通过特征分析设备根据所述特征信息确定攻击识别结果。2.根据权利要求1所述的攻击识别方法，其特征在于，所述对待识别文件进行类型识别，确定所述待识别文件的文件类型，包括：对所述待识别文件的预设字段进行分析，获得字段信息；根据所述字段信息确定所述待识别文件的文件类型。3.根据权利要求1所述的攻击识别方法，其特征在于，所述将所述待识别文件发送至所述文件类型对应的分析沙箱，包括：在预设映射关系中查询确定所述文件类型对应的沙箱地址，所述预设映射关系为所述文件类型与所述沙箱地址之间的映射关系；根据所述沙箱地址将所述待识别文件发送至所述文件类型对应的分析沙箱。4.根据权利要求1所述的攻击识别方法，其特征在于，还包括：生成关于所述待识别文件的调度记录，所述调度记录包括所述待识别文件、所述待识别文件的文件类型、所述文件类型对应的分析沙箱的沙箱地址中的一种或多种；将所述调度记录保存至内存数据库。5.一种攻击识别方法，其特征在于，应用于分析沙箱，包括：接收待识别文件，所述待识别文件由调度服务器根据所述待识别文件的文件类型发送至所述分析沙箱，所述文件类型与所述分析沙箱相对应；对所述待识别文件进行特征提取，获得特征信息；将所述特征信息发送至特征分析设备，以使所述特征分析设备根据所述特征信息确定攻击识别结果。6.一种攻击识别方法，其特征在于，应用于特征分析设备，包括：接收待识别文件的特征信息，所述特征信息由分析沙箱对所述待识别文件进行特征提取获得，所述待识别文件由调度服务器根据所述待识别文件的文件类型发送至所述分析沙箱，所述文件类型与所述分析沙箱相对应；根据所述特征信息确定攻击识别结果。7.一种调度服务器，其特征在于，包括：类型识别模块，用于对待识别文件进行类型识别，确定所述待识别文件的文件类型；文件发送模块，用于将所述待识别文件发送至所述文件类型对应的分析沙箱；第一特征提取模块，用于通过所述分析沙箱对所述待识别文件进行特征提取，获得特征信息；第一攻击识别模块，用于通过特征分析设备根据所述特征信息确定攻击识别结果。8.一种分析沙箱，其特征在于，包括：文件接收模块，用于接收待识别文件，所述待识别文件由调度服务器根据所述待识别...

【专利技术属性】
技术研发人员：周垒，王正，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：