【技术实现步骤摘要】
本申请涉及网络安全,提供了一种威胁追踪的方法、装置及存储介质。
技术介绍
1、目前,主动威胁追踪与识别的方法主要包括以下两种:1、基于仿真蜜罐技术,通过模拟服务或应用诱导攻击者攻击,从而识别攻击者或者攻击者相关基础信息;2、基于威胁情报的威胁对抗,通过开源威胁情报、商业威胁情报、情报测绘、失陷应急事件等方式获取的威胁情报,进行威胁攻击源对抗。
2、然而,仿真蜜罐的威胁诱捕对蜜罐的节点存在一定的依赖性,高质量的诱捕节点又很难覆盖或者完全满足威胁追踪与对抗的需要;而商业威胁情报、公开威胁情报等能弥补威胁情报线索数量的不足,但很难兼顾情报的时效性及有效性。
技术实现思路
1、本申请实施例提供一种威胁追踪的方法、装置及存储介质,由于不依赖蜜罐,从而能够提升威胁追踪的全面性和时效性。
2、本申请提供的具体技术方案如下:
3、第一方面,本申请实施例提供了一种威胁追踪的方法,应用于服务器,方法包括:
4、基于获取到的关联威胁特征提取恶意样本,其中,关联威胁特征是至少一个预选控制端发出的威胁事件作用于服务器上生成的特征,威胁事件的类型包括应急事件和/或外部威胁情报;
5、基于恶意样本建立与至少一个预选控制端的通讯行为,从通讯行为中提取恶意样本的通讯行为的特征;
6、将伪造数据包分别发送给各预选控制端,并将对伪造数据包进行回应的预选控制端判定为威胁追踪的目标,其中,伪造数据包是基于通讯行为的特征确定的。
7、可选地,
8、将获取到的关联威胁特征按照杀伤链模型指示的还原步骤对威胁事件进行还原。
9、可选地,基于获取到的关联威胁特征提取恶意样本,包括:
10、基于预设的威胁事件的攻击性质确定还原后的威胁事件的类型;
11、分别从各类型的威胁事件中提取对应的原始威胁特征和原始威胁特征对应的恶意样本。
12、可选地,分别从各类型的威胁事件中提取对应的原始威胁特征和原始威胁特征对应的恶意样本,包括:
13、若威胁事件的类型为应急事件,则将从威胁事件的被攻击数据中提取出的命令控制信息作为原始威胁特征,以及将从威胁事件的被攻击数据中提取出的木马样本文件作为原始威胁特征对应的恶意样本;或者
14、若威胁事件的类型为外部威胁情报,则将从威胁事件的被攻击数据中提取出的命令控制信息作为原始威胁特征,并根据原始威胁特征获取哈希文件,将基于哈希文件下载的恶意木马文件作为原始威胁特征对应的恶意样本。
15、可选地,基于恶意样本建立与至少一个预选控制端的通讯行为,从通讯行为中提取恶意样本的通讯行为的特征,包括:
16、将恶意样本通过网络通讯的形式多次发送给至少一个预选控制端,以建立与至少一个预选控制端的通讯行为;
17、针对每一次建立的通讯行为执行以下操作:从通讯行为中提取恶意样本对应的通讯协议数据,基于通讯协议数据确定通讯行为的特征。
18、可选地,通过以下方式确定伪造数据包:
19、针对同一个恶意样本计算重复得到的多个通讯行为的特征之间的相似度;
20、若相似度大于预设的相似度阈值,则基于通讯行为的特征和预设的脚本模拟样本确定伪造数据包;
21、若相似度不大于预设的相似度阈值,则对恶意样本进行反编译,基于反编译得到的伪代码和运行逻辑确定伪造数据包。
22、可选地,将伪造数据包分别发送给各预选控制端,并将对伪造数据包进行回应的预选控制端判定为威胁追踪的目标,包括:
23、对全网进行端口扫描,以获取各预选控制端;
24、将伪造数据包以问询的方式分别发送给各预选控制端;
25、当任意一个预选控制端以回复的方式对伪造数据包进行回应时,将对伪造数据包进行回应的预选控制端判定为威胁追踪的目标。
26、第二方面,本申请实施例还提供了一种威胁追踪的装置,包括:
27、获取单元,用于基于获取到的关联威胁特征提取恶意样本,其中,关联威胁特征是至少一个预选控制端发出的威胁事件作用于服务器上生成的特征,威胁事件的类型包括应急事件和/或外部威胁情报;
28、提取单元,用于基于恶意样本建立与至少一个预选控制端的通讯行为,从通讯行为中提取恶意样本的通讯行为的特征;
29、判定单元,用于将伪造数据包分别发送给各预选控制端,并将对伪造数据包进行回应的预选控制端判定为威胁追踪的目标,其中,伪造数据包是基于通讯行为的特征确定的。
30、第三方面,一种服务器,包括:
31、存储器,用于存储可执行指令;
32、处理器,用于读取并执行存储器中存储的可执行指令,以实现如第一方面任一项的方法。
33、第四方面,一种计算机可读存储介质,当所述存储介质中的指令由处理器执行时,使得所述处理器能够执行上述第一方面任一项所述的方法。
34、本申请有益效果如下:
35、综上所述,本申请实施例中,提供的一种威胁追踪的方法、装置及存储介质,该方法应用于服务器,方法包括:基于获取到的关联威胁特征提取恶意样本,其中,关联威胁特征是至少一个预选控制端发出的威胁事件作用于服务器上生成的特征,威胁事件的类型包括应急事件和/或外部威胁情报,基于恶意样本建立与至少一个预选控制端的通讯行为,从通讯行为中提取恶意样本的通讯行为的特征,将伪造数据包分别发送给各预选控制端,并将对伪造数据包进行回应的预选控制端判定为威胁追踪的目标,其中,伪造数据包是基于通讯行为的特征确定的,由于不依赖蜜罐,克服了外部威胁情报等滞后的问题,从而能够全面快速的确定出威胁追踪的目标。
36、本申请的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
本文档来自技高网...【技术保护点】
1.一种威胁追踪的方法,其特征在于,应用于服务器,所述方法包括:
2.如权利要求1所述的方法,其特征在于,所述基于获取到的关联威胁特征提取恶意样本之前,还包括:
3.如权利要求2所述的方法,其特征在于,所述基于获取到的关联威胁特征提取恶意样本,包括:
4.如权利要求3所述的方法,其特征在于,所述分别从各类型的所述威胁事件中提取对应的所述原始威胁特征和所述原始威胁特征对应的恶意样本,包括:
5.如权利要求1所述的方法,其特征在于,所述基于所述恶意样本建立与至少一个预选控制端的通讯行为,从所述通讯行为中提取所述恶意样本的通讯行为的特征,包括:
6.如权利要求5所述的方法,其特征在于,通过以下方式确定所述伪造数据包:
7.如权利要求1~6任一项所述的方法,其特征在于,所述将伪造数据包分别发送给各预选控制端,并将对所述伪造数据包进行回应的预选控制端判定为威胁追踪的目标,包括:
8.一种威胁追踪的装置,其特征在于,包括:
9.一种服务器,其特征在于,包括:
10.一种计算机可读存储介
...【技术特征摘要】
1.一种威胁追踪的方法,其特征在于,应用于服务器,所述方法包括:
2.如权利要求1所述的方法,其特征在于,所述基于获取到的关联威胁特征提取恶意样本之前,还包括:
3.如权利要求2所述的方法,其特征在于,所述基于获取到的关联威胁特征提取恶意样本,包括:
4.如权利要求3所述的方法,其特征在于,所述分别从各类型的所述威胁事件中提取对应的所述原始威胁特征和所述原始威胁特征对应的恶意样本,包括:
5.如权利要求1所述的方法,其特征在于,所述基于所述恶意样本建立与至少一个预选控制端的通讯行为,从所述通讯行为中...
【专利技术属性】
技术研发人员:王雨浩,王梓豪,林俊杰,李子奇,刘钟,
申请(专利权)人:绿盟科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。