本发明专利技术涉及安全检测领域,特别是涉及一种APT攻击检测方法、系统、装置、介质及设备。包括:将待测主机中的所有可执行文件与预设黑白名单库进行匹配,生成第一灰名单。对第一灰名单中对应的每一可执行文件进行数字签名校验处理,生成第二灰名单。对第二灰名单中的对应的每一可执行文件进行沙箱检测处理,生成第三灰名单。对第三灰名单中对应的每一可执行文件进行信息提取处理,生成第三灰名单中对应的每一可执行文件的检测信息,基于所述可执行文件的检测信息,判断是否存在APT攻击。本发明专利技术可以快速确定APT组织所使用的相关攻击样本可能存在的范围,再通过该检测信息作为对应的APT攻击的判断依据,以便于更加快速准确的对待测主机进行安全检测。机进行安全检测。机进行安全检测。
【技术实现步骤摘要】
一种APT攻击检测方法、系统、装置、介质及设备
[0001]本专利技术涉及安全检测领域,特别是涉及一种APT攻击检测方法、系统、装置、介质及设备。
技术介绍
[0002]APT(AdvancedPersistentThreat
‑‑‑‑
高级持续性威胁)组织会针对客户某场景下的生产环境,进行前期信息探测以了解该环境的特征,然后对应开发针对该场景下的恶意软件。同时APT组织在开发相关样本时,会设置一些对应的绕杀措施,以对特定的杀毒软件进行绕过。同时,还由于APT组织的相关攻击样本具有隐蔽性以及样本独一性,不利于被检出。故此,常见杀毒软件无法检测到该攻击,进而使得被APT组织攻击的单位无法感知到是否被攻击。
技术实现思路
[0003]针对上述常见杀毒软件无法检测到该攻击,进而使得被APT组织攻击的单位无法感知到是否被攻击的技术问题,本专利技术采用的技术方案为:
[0004]根据本专利技术的一个方面,提供了一种APT攻击检测方法,方法包括如下步骤:
[0005]响应于检测指令,将待测主机中的所有可执行文件与预设黑白名单库进行匹配,生成第一灰名单;
[0006]对第一灰名单中对应的每一可执行文件进行数字签名校验处理,生成第二灰名单;
[0007]对第二灰名单中的对应的每一可执行文件进行沙箱检测处理,生成第三灰名单;
[0008]对第三灰名单中对应的每一可执行文件进行信息提取处理,生成第三灰名单中对应的每一可执行文件的检测信息;
[0009]基于所述可执行文件的检测信息,判断是否存在APT攻击。
[0010]在本专利技术中,进一步的,将待测主机中的所有可执行文件与预设黑白名单库进行匹配,包括:
[0011]将待测主机中的所有可执行文件的MD5值与预设黑白名单库进行匹配。
[0012]第一灰名单中包括匹配失败的可执行文件的文件名。
[0013]在本专利技术中,进一步的,数字签名校验处理包括:
[0014]检测可执行文件是否具有数字签名。
[0015]若可执行文件具有数字签名,则检测数字签名是否有效。
[0016]若数字签名有效,则可执行文件校验成功。
[0017]若不具有数字签名或数字签名无效,则可执行文件校验失败;
[0018]第二灰名单中包括校验失败或无法进行校验的可执行文件的文件名。
[0019]在本专利技术中,进一步的,沙箱检测处理包括:
[0020]对可执行文件进行静态检测,确定可执行文件运行所需要的文件配置信息。以及
获取可执行文件所在待测主机的配置信息。
[0021]根据文件配置信息及所在待测主机的配置信息,在沙箱中搭建可执行文件运行所需要的运行环境,以模拟可执行文件真实运行环境。
[0022]在沙箱中运行可执行文件,并监控可执行文件运行过程中的行为信息。
[0023]基于行为信息,生成可执行文件的运行结果。
[0024]在本专利技术中,进一步的,基于行为信息,生成可执行文件的运行结果,包括:
[0025]若行为信息包括存在进程正在进行收集系统信息或运行于系统上的应用软件信息或用户操作系统及应用软件的日志信息的至少一种,则确定在沙箱中运行了可疑的可执行文件;
[0026]第三灰名单中包括在沙箱中运行可疑的可执行文件的文件名。。
[0027]在本专利技术中,进一步的,信息提取处理用于获取每一可执行文件的属性信息及存放路径属性信息包括可执行文件的文件创建时间、文件修改时间、文件类型、文件大小及可执行文件所在待测主机的主机ID。
[0028]根据本专利技术的第二个方面,提供了一种APT攻击检测系统,包括:服务器及多个客户端,每一客户端均与服务器通信连接。
[0029]每一客户端用于执行上述的APT检测方法。
[0030]服务器用于更新预设黑白名单库及接收检测信息。
[0031]根据本专利技术的第三个方面,提供了一种APT攻击检测装置,包括:
[0032]第一检测模块,用于响应于检测指令,将待测主机中的所有可执行文件与预设黑白名单库进行匹配,生成第一灰名单。
[0033]第二检测模块,用于对第一灰名单中对应的每一可执行文件进行数字签名校验处理,生成第二灰名单。
[0034]第三检测模块,用于对第二灰名单中的对应的每一可执行文件进行沙箱检测处理,生成第三灰名单。
[0035]生成模块,用于对第三灰名单中对应的每一可执行文件进行信息提取处理,生成第三灰名单中对应的每一可执行文件的检测信息。
[0036]判断模块,用于基于所述可执行文件的检测信息,判断是否存在APT攻击。
[0037]根据本专利技术的第四个方面,提供了一种非瞬时性计算机可读存储介质,非瞬时性计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现上述的一种APT攻击检测方法。
[0038]根据本专利技术的第五个方面,提供了一种电子设备,包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述的一种APT攻击检测方法。
[0039]本专利技术至少具有以下有益效果:
[0040]本专利技术中通过依次黑白名单库匹配、数字签名校验以及沙箱检测处理等检测手段,可以形成严格程度逐级增加的多级检测方式,进而对待测主机上的所有可执行文件逐步进行筛选,以检测出待检测主机中的未知可执行文件,也即第三灰名单中对应的可执行文件。由于,该可执行文件无法通过上述3种检测手段,可以确定出现有的绝大部分的恶意可执行文件以及非恶意的可执行文件,所以剩余的无法确定其身份的可执行文件,极有可
能为APT组织所使用的相关攻击样本。由此,可以快速确定APT组织所使用的相关攻击样本可能存在的范围。然后再对第三灰名单中对应的每一可执行文件进行信息提取处理,以生成第三灰名单中对应的每一可执行文件的检测信息。通过该检测信息作为对应的APT攻击的判断依据,以便于更加快速准确的对待测主机进行安全检测。
附图说明
[0041]为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0042]图1为本专利技术实施例提供的一种APT攻击检测方法的流程图。
[0043]图2为本专利技术实施例提供的一种APT攻击检测系统的结构示意框图。
[0044]图3为本专利技术实施例提供的一种APT攻击检测装置的结构示意框图。
具体实施方式
[0045]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
...
【技术保护点】
【技术特征摘要】
1.一种APT攻击检测方法,其特征在于,所述方法包括如下步骤:响应于检测指令,将待测主机中的所有可执行文件与预设黑白名单库进行匹配,生成第一灰名单;对所述第一灰名单中对应的每一可执行文件进行数字签名校验处理,生成第二灰名单;对所述第二灰名单中的对应的每一可执行文件进行沙箱检测处理,生成第三灰名单;对第三灰名单中对应的每一可执行文件进行信息提取处理,生成所述第三灰名单中对应的每一可执行文件的检测信息;基于所述可执行文件的检测信息,判断是否存在APT攻击。2.根据权利要求1所述的方法,其特征在于,将待测主机中的所有可执行文件与预设黑白名单库进行匹配,包括:将待测主机中的所有可执行文件的MD5值与预设黑白名单库进行匹配;所述第一灰名单中包括匹配失败的所述可执行文件的文件名。3.根据权利要求1所述的方法,其特征在于,数字签名校验处理包括:检测可执行文件是否具有数字签名;若所述可执行文件具有数字签名,则检测所述数字签名是否有效;若所述数字签名有效,则所述可执行文件校验成功;若不具有所述数字签名或所述数字签名无效,则所述可执行文件校验失败;所述第二灰名单中包括校验失败或无法进行校验的可执行文件的文件名。4.根据权利要求1所述的方法,其特征在于,所述沙箱检测处理包括:对可执行文件进行静态检测,确定所述可执行文件运行所需要的文件配置信息;以及获取可执行文件所在待测主机的配置信息;根据所述文件配置信息及所在待测主机的配置信息,在沙箱中搭建所述可执行文件运行所需要的运行环境,以模拟所述可执行文件真实运行环境;在沙箱中运行所述可执行文件,并监控所述可执行文件运行过程中的行为信息;基于所述行为信息,生成所述可执行文件的运行结果。5.根据权利要求4所述的方法,其特征在于,基于所述行为信息,生成所述可执行文件的运行结果,包括:若所述行为信息包括存在进程正在进行收集...
【专利技术属性】
技术研发人员:张小雷,于泽研,肖新光,
申请(专利权)人:北京安天网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。