CN109327453A - 一种特定威胁的识别方法及电子设备 - Google Patents
一种特定威胁的识别方法及电子设备 Download PDFInfo
- Publication number
- CN109327453A CN109327453A CN201811291181.2A CN201811291181A CN109327453A CN 109327453 A CN109327453 A CN 109327453A CN 201811291181 A CN201811291181 A CN 201811291181A CN 109327453 A CN109327453 A CN 109327453A
- Authority
- CN
- China
- Prior art keywords
- hash value
- specific threat
- propagation
- record sheet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供了一种特定威胁的识别方法及电子设备,用于解决现有技术中识别特定威胁的效率低和准确率低的问题。包括:根据预先设置的协议,在互联网流量数据的镜像数据中确定第一流量数据;响应于所述第一流量数据还原为传播文件,提取所述第一流量数据的第一协议信息以及所述传播文件中所包含的附件的第一哈希hash值;根据所述第一协议信息、所述第一哈希hash值以及所述传播文件,确定恶意程序传播记录表;按照设定条件确定所述恶意程序传播记录表中的特定威胁的hash值。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种特定威胁的识别方法及电子设备。
背景技术
随着互联网技术的发展,政府和企业均使用互联网办公,虽然使用互联网办公非常便利,但是需要面对众多针对国家机密或者企业秘密的针对性攻击,例如高级持续性威胁(Advanced Persistent Threat,APT)攻击,上述APT攻击已经成为网络安全和国家安全必须关心的问题,一旦遭受APT攻击,政府和企业的机密信息或数据将遭受侵害,因此,在短时间内有效地发现APT攻击可使得国家或企业减少损失,但上述APT攻击往往比较隐蔽,并且具备持续性,更新频繁的特点,如何准确快速的识别出进行APT攻击的特定威胁是目前需要解决的问题。
在现有技术中,定位特定威胁时通常采用以下两种方式,方式一,通过APT检测装置使用漏洞利用程序对已知的恶意程序与未知的文件数据进行监测和动态分析,然后使用人力分析定位识别特定威胁,但是由于文件数据非常庞大,因此识别特定威胁的效率非常低。方式二,对反病毒引擎无法监测出的未知的文件行虚拟执行,使用人力对文件数据进行分析,并进行长时间观察进行定性,识别特定威胁的效率非常低,而且由于进行APT攻击的特定威胁被反病毒引擎识别比例也很高,因此仅对未知的文件进行分析,而还会遗漏监测多数数据,导致识别特定威胁的准确率低。
综上所述,如何提高识别特定威胁的效率和准确率是目前需要解决的问题。
发明内容
有鉴于此,本发明提供了一种特定威胁的识别方法及电子设备,用于解决现有技术中识别特定威胁的效率低和准确率低别的问题。
根据本发明实施例的第一个方面,提供了一种特定威胁的识别方法,包括:根据预先设置的协议,在互联网流量数据的镜像数据中确定第一流量数据;响应于所述第一流量数据还原为传播文件,提取所述第一流量数据的第一协议信息以及所述传播文件中所包含的附件的第一哈希hash值;根据所述第一协议信息、所述第一哈希hash值以及所述传播文件,确定恶意程序传播记录表;按照设定条件确定所述恶意程序传播记录表中的特定威胁的hash值。
在一个实施例中,所述按照设定条件确定所述恶意程序传播记录表中的特定威胁的hash值之后,该方法还包括:根据所述特定威胁的hash值确定出对应的特定威胁的传播文件。
在一个实施例中,根据所述第一协议信息、所述第一哈希hash值以及所述传播文件,确定恶意程序传播记录表,具体包括:将所述第一协议信息与所述第一hash值保存到第一列表;将所述传播文件进行威胁检测;将具备威胁的所述传播文件对应的第一协议信息确定为第二协议信息,并确定所述第二协议信息所对应的第二hash值;将所述第二协议信息与所述第二hash值保存到所述恶意程序传播记录表。
在一个实施例中,所述预先设置的协议包括:简单邮件传输协议SMTP、邮局协议版本POP3、邮件访问协议IMAP、超文本传输协议HTTP、简单文件传输协议TFTP、文件传输协议FTP或服务器消息块SMB协议。
在一个实施例中,所述第一协议信息包括:源IP、目的IP、源端口、目的端口、传输协议类型、文件名、文件统一资源定位符URL、邮件发件人、邮件收件人、邮件抄送人、邮件暗送人、邮件主题数据或邮件附件名中的至少一项。
在一个实施例中,按照设定条件确定所述恶意程序传播记录表中的特定威胁hash值,具体包括:确定所述恶意程序传播记录表中传播量小于设定阈值的第二协议信息所对应的hash值为特定威胁hash值。
在一个实施例中,确定所述恶意程序传播记录表中传播量小于设定阈值的第二协议信息所对应的hash值为特定威胁hash值,具体包括:确定所述恶意程序传播记录表中传输协议类型的传播次数小于设定第一阈值的所述传输协议类型所对应的hash值为特定威胁hash值。
在一个实施例中,确定所述恶意程序传播记录表中传播量小于设定阈值的第二协议信息所对应的hash值为特定威胁hash值,具体包括:确定所述恶意程序传播记录表中邮件发件人的传播次数小于设定第二阈值的所述邮件发件人所对应的hash值为特定威胁hash值。
在一个实施例中,确定所述恶意程序传播记录表中传播量小于设定阈值的第二协议信息所对应的hash值为特定威胁hash值,具体包括:确定所述恶意程序传播记录表中邮件收件人的服务器地址去重后小于设定第三阈值的所述邮件收件人所对应的hash值为特定威胁hash值,其中,所述邮件收件人包括邮件收件人、邮件抄送人和邮件暗送人。
在一个实施例中,确定所述恶意程序传播记录表中传播量小于设定阈值的第二协议信息所对应的hash值为特定威胁hash值,具体包括:确定所述恶意程序传播记录表中邮件附件名出现次数小于设定第四阈值的所述邮件附件名所对应的hash值为特定威胁hash值。
在一个实施例中,确定所述恶意程序传播记录表中传播量小于设定阈值的第二协议信息所对应的hash值为特定威胁hash值,具体包括:确定所述恶意程序传播记录表中邮件主题出现次数小于设定第四阈值的所述邮件主题所对应的hash值为特定威胁hash值。
根据本发明实施例的第二个方面,提供了一种特定威胁的识别装置,包括:确认单元,用于根据预先设置的协议,在互联网流量数据的镜像数据中确定第一流量数据;提取单元,响应于所述第一流量数据还原为传播文件,提取所述第一流量数据的第一协议信息以及所述传播文件中所包含的附件的第一哈希hash值;保存单元,用于根据所述第一协议信息、所述第一哈希hash值以及所述传播文件,确定恶意程序传播记录表;所述确认单元还用于按照设定条件确定所述恶意程序传播记录表中的特定威胁的hash值。
在一个实施例中,所述按照设定条件确定所述恶意程序传播记录表中的特定威胁的hash值之后,所述确认单元还用于:根据所述特定威胁的hash值确定出对应的特定威胁的传播文件。
在一个实施例中,所述保存单元具体用于:将所述第一协议信息与所述第一hash值保存到第一列表;将所述传播文件进行威胁检测;将具备威胁的所述传播文件对应的第一协议信息确定为第二协议信息,并确定所述第二协议信息所对应的第二hash值;将所述第二协议信息与所述第二hash值保存到所述恶意程序传播记录表。
在一个实施例中,所述预先设置的协议包括:简单邮件传输协议SMTP、邮局协议版本POP3、邮件访问协议IMAP、超文本传输协议HTTP、简单文件传输协议TFTP、文件传输协议FTP或服务器消息块SMB协议。
在一个实施例中,所述第一协议信息包括:源IP、目的IP、源端口、目的端口、传输协议类型、文件名、文件统一资源定位符URL、邮件发件人、邮件收件人、邮件抄送人、邮件暗送人、邮件主题数据或邮件附件名中的至少一项。
在一个实施例中,所述确认单元具体用于:确定所述恶意程序传播记录表中传播量小于设定阈值的第二协议信息所对应的hash值为特定威胁hash值。
在一个实施例中,所述确认单元具体用于:确定所述恶意程序传播记录表中传输协议类型的传播次数小于设定第一阈值的所述传输协议类型所对应的hash值为特定威胁hash值。
在一个实施例中,所述确认单元具体用于:确定所述恶意程序传播记录表中邮件发件人的传播次数小于设定第二阈值的所述邮件发件人所对应的hash值为特定威胁hash值。
在一个实施例中,所述确认单元具体用于:确定所述恶意程序传播记录表中邮件收件人的服务器地址去重后小于设定第三阈值的所述邮件收件人所对应的hash值为特定威胁hash值,其中,所述邮件收件人包括邮件收件人、邮件抄送人和邮件暗送人。
在一个实施例中,所述确认单元具体用于:确定所述恶意程序传播记录表中邮件附件名出现次数小于设定第四阈值的所述邮件附件名所对应的hash值为特定威胁hash值。
在一个实施例中,所述确认单元具体用于:确定所述恶意程序传播记录表中邮件主题出现次数小于设定第四阈值的所述邮件主题所对应的hash值为特定威胁hash值。
根据本发明实施例的第三个方面,提供了一种电子设备,包括存储器和处理器,所述存储器用于存储一条或多条计算机程序指令,其中,所述一条或多条计算机程序指令被所述处理器执行以实现如第一方面或第一方面任一种可能所述的方法。
根据本发明实施例的第四个方面,提供了一种计算机可读存储介质,其上存储计算机程序指令,其特征在于,所述计算机程序指令在被处理器执行时实现如第一方面或第一方面任一种可能所述的方法。
本发明实施例的有益效果包括:首先根据预先设置的协议,在互联网流量数据的镜像数据中确定第一流量数据;响应于所述第一流量数据还原为传播文件,提取所述第一流量数据的第一协议信息以及所述传播文件中所包含的附件的第一哈希hash值;根据所述第一协议信息、所述第一哈希hash值以及所述传播文件,确定恶意程序传播记录表;按照设定条件确定所述恶意程序传播记录表中的特定威胁的hash值。本发明实施例通过上述方式确认特定威胁的hash值进而确定所述特定威胁的hash值对应的特定威胁的传播文件,不需要用人力进行监测分析,并且对协议为预先设置的协议的流量数据都进行监测,不会发生漏检,提高了识别特定威胁的效率和准确率。
附图说明
通过以下参照附图对本发明实施例的描述,本发明的上述以及其它目的、特征和优点将更为清楚,在附图中:
图1是本发明实施例提供的一种特定威胁的识别方法流程图;
图2是本发明实施例提供的一种生成恶意程序传播记录表的方法流程图;
图3是本发明实施例提供的再一种特定威胁的识别方法流程图;
图4是本发明实施例提供的一种特定威胁的识别装置示意图;
图5是本发明实施例提供的一种电子设备结构示意图。
具体实施方式
以下基于实施例对本发明进行描述,但是本发明并不仅仅限于这些实施例。在下文对本发明的细节描述中,详尽描述了一些特定的细节部分。对本领域技术人员来说没有这些细节部分的描述也可以完全理解本申请。此外,本领域普通技术人员应当理解,在此提供的附图都是为了说明的目的。
除非上下文明确要求,否则整个说明书和权利要求书中的“包括”、“包含”等类似词语应当解释为包含的含义而不是排他或穷举的含义;也就是说,是“包括但不限于”的含义。
在本发明的描述中,需要理解的是,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上。
图1是本发明实施例的一种特定威胁的识别方法流程图,如图1所示,恶意程序识别的方法包括:
步骤S100、根据预先设置的协议,在互联网流量数据的镜像数据中确定第一流量数据。
具体的,所述第一流量数据包括协议以及所传输传播文件的数据包,所述预先设置的协议包括:简单邮件传输协议(Simple Mail Transfer Protocol,SMTP)、邮局协议版本3(Post Office Protocol Version 3,POP3)、邮件访问协议(Internet Mail AccessProtocol,Internet,IMAP)、超文本传输协议(Hyper Text Transport Protocol,HTTP)、简单文件传输协议(Trivial File Transfer Protocol,TFTP)、文件传输协议(FileTransfer Protocol,FTP)或服务器消息块(Server Message Block,SMB)协议。
可选的,在所述步骤S100之前该方法还包括,对互联网流量数据进行镜像,获取互联网流量数据的镜像数据。
步骤S101、响应于所述第一流量数据还原为传播文件,提取所述第一流量数据的第一协议信息以及所述传播文件中所包含的附件的第一哈希hash值。
具体的,所述第一协议信息包括:源IP、目的IP、源端口、目的端口、传输协议类型、文件名、文件统一资源定位符(Uniform Resource Locator,URL)、邮件发件人、邮件收件人、邮件抄送人、邮件暗送人、邮件主题数据以及邮件附件名。
举例说明,判断所述第一流量数据是否可以还原为传输文件,若可以还原为传播文件,则提取所述第一流量数据的第一协议信息及所述传播文件中所包含的附件的第一哈希hash值;例如,第一流量数据为邮件的流量数据,传播该邮件的协议为SMTP,判断接收到的邮件的流量数据中的数据包可以还原为邮件,则提取该邮件所对应的第一流量数据中的第一协议信息以及该邮件中包含的附件的第一hash值。
步骤S102、根据所述第一协议信息、所述第一哈希hash值以及所述传播文件,确定恶意程序传播记录表。
具体的,具体的实现步骤可以如图2所示,具体如下:
步骤S1021、将所述第一协议信息与所述第一hash值保存到第一列表。
举例说明,假设第一协议信息选传输协议类型、邮件发件人、邮件收件人、邮件主题以及邮件附件名(简称附件名),第一hash值为二进制数值,假设存在10个传播文件的协议,获取的所述第一协议信息与所述第一hash值的第一列表,所述第一列表即如表1所示。
表1
| 传输协议类型 | 邮件发件人 | 邮件收件人 | 邮件主题 | 附件名 | Hash |
| SMTP | 张三 | 钱七 | 工作简报 | 附件2 | 00001 |
| POP3 | 张三 | 钱七 | 工作简报 | 附件2 | 00010 |
| IMAP | 张三 | 钱七 | 工作简报 | 附件3 | 00011 |
| TFTP | 李四 | 孙八 | 工作简报 | 附件2 | 00100 |
| TFTP | 赵五 | 孙八 | 工作简报 | 附件3 | 00101 |
| POP3 | 赵五 | 周六 | 优惠政策 | 附件4 | 00110 |
| IMAP | 赵五 | 吴九 | 优惠政策 | 附件4 | 00111 |
| TFTP | 赵五 | 钱七 | 体检报告 | 附件4 | 01000 |
| POP3 | 李四 | 孙八 | 优惠政策 | 附件1 | 01001 |
| POP3 | 王一 | 郑十 | 优惠政策 | 附件4 | 01010 |
步骤S1022、将所述传播文件进行威胁检测。
举例说明:将表1中的第一协议信息所对应的传播文件进行威胁检测,确定传播文件1、4、6、8、9为具有威胁的传播文件。
步骤S1023、将具备威胁的所述传播文件对应的第一协议信息确定为第二协议信息,并确定所述第二协议信息所对应的第二hash值。
举例说明,在第一列表中确定出具备威胁的所述传播文件1、4、6、8、9对应的第二协议信息所对应的第二hash值。
步骤S1024、将所述第二协议信息与所述第二hash值保存到所述恶意程序传播记录表。
具体的,根据步骤S1024的具体举例说明可知所述恶意程序传播记录表如表2所示。
表2
| 传输协议类型 | 邮件发件人 | 邮件收件人 | 邮件主题 | 附件名 | Hash |
| SMTP | 张三 | 钱七 | 工作简报 | 附件2 | 00001 |
| TFTP | 李四 | 孙八 | 工作简报 | 附件2 | 00100 |
| POP3 | 赵五 | 周六 | 优惠政策 | 附件4 | 00110 |
| TFTP | 赵五 | 钱七 | 体检报告 | 附件4 | 01000 |
| POP3 | 李四 | 孙八 | 优惠政策 | 附件1 | 01001 |
本发明实施例中,也可以接根据所述第一协议信息、所述第一哈希hash值以及所述传播文件,直接确定恶意程序传播记录表,具体的,检测所述传播文件是否具有威胁,若具有威胁,则将所述传播文件对应的第一协议信息和第一哈希hash值保存到所述恶意程序传播记录表中。
步骤S103、按照设定条件确定所述恶意程序传播记录表中的特定威胁的hash值。
具体的,确定所述恶意程序传播记录表中传播量小于设定阈值的第二协议信息所对应的hash值为特定威胁hash值。
举例说明:通过以下五种方式确定所述恶意程序传播记录表中传播量小于设定阈值的第二协议信息所对应的hash值为特定威胁hash值。例如,在表2中通过以下5中方式确认特定威胁对应的hash值。
方式一、确定所述恶意程序传播记录表中所述传输协议类型的传播次数小于设定第一阈值的所述传输协议类型所对应的hash值为特定威胁hash值。
具体的,假设第一阈值为2,当传输协议类型的传播次数小于设定第一阈值2时,所述传输协议类型所对应的hash值为特定威胁hash值,例如表2中只有SMTP协议的传播次数为1,小于第一阈值2,因此SMTP对应的hash值00001为特定威胁对应的hash值,本发明实施例中第一阈值的取值根据实际应用确定,本发明对其不做限定。
方式二、确定所述恶意程序传播记录表中所述邮件发件人的传播次数小于设定第二阈值的所述邮件发件人所对应的hash值为特定威胁hash值。
具体的,假设第二阈值为2,当邮件发件人的传播次数小于设定第二阈值2时,所述传输协议类型所对应的hash值为特定威胁hash值,例如表2中只有‘张三’的传播次数为1,小于第一阈值2,因此‘张三’对应的hash值00001为特定威胁对应的hash值。本发明实施例中,按照不同的设定条件筛选出的特定威胁对应的hash值可能相同也可能不同,本发明对其不做限定,本发明实施例中第二阈值的取值根据实际应用确定,本发明对其不做限定。
方式三、确定所述恶意程序传播记录表中所述邮件收件人的服务器地址去重后小于设定第三阈值的所述邮件收件人所对应的hash值为特定威胁hash值,其中,所述邮件收件人包括邮件收件人、邮件抄送人和邮件暗送人。
具体的,假设第三阈值为2,当邮件收件人的传播次数小于设定第三阈值2时,所述收件人所对应的hash值为特定威胁hash值,例如表2中只有‘周六’的传播次数为1,小于第一阈值2,因此‘周六’对应的hash值00110为特定威胁对应的hash值。本发明实施例中第三阈值的取值根据实际应用确定,本发明对其不做限定。
方式四、确定所述恶意程序传播记录表中所述邮件附件名出现次数小于设定第四阈值的所述邮件附件名所对应的hash值为特定威胁hash值。
具体的,假设第四阈值为2,当邮件附件名的传播次数小于设定第四阈值2时,所述邮件附件名所对应的hash值为特定威胁hash值,例如表2中只有‘附件1’的传播次数为1,小于第一阈值2,因此‘附件1’对应的hash值01001为特定威胁对应的hash值。本发明实施例中第四阈值的取值根据实际应用确定,本发明对其不做限定。
方式五、确定所述恶意程序传播记录表中所述邮件主题出现次数小于设定第四阈值的所述邮件主题所对应的hash值为特定威胁hash值。
具体的,假设第五阈值为2,当邮件主题的传播次数小于设定第五阈值2时,所述邮件主题所对应的hash值为特定威胁hash值,例如表2中只有‘体检报告’的传播次数为1,小于第一阈值2,因此‘体检报告’对应的hash值01000为特定威胁对应的hash值。本发明实施例中第五阈值的取值根据实际应用确定,本发明对其不做限定。
本发明实施例中,在所述步骤S103之后,该方法还包括:根据所述特定威胁的hash值确定出对应的特定威胁的传播文件,其中,所述特定威胁还可以称为高级威胁,是指传播量小但是有针对性且危害大传播文件。
下面通过一个具体实施例对一种特定威胁的识别方法的步骤进行详细说明,具体如图3所示:
步骤S300、对互联网流量数据进行镜像,获取互联网流量数据的镜像数据。
步骤S301、根据预先设置的协议,在互联网流量数据的镜像数据中确定第一流量数据。
步骤S302、判断所述第一流量数据是否可以还原为传播文件。
步骤S303、若所述传播文件的协议可以还原为传播文件,提取所述第一流量数据的第一协议信息以及所述传播文件中所包含的附件的第一哈希hash值。
可选的,若所述第一流量数据不可以还原为传播文件,则结束处理。
步骤S304、将所述第一协议信息与所述第一hash值保存到第一列表。
步骤S305、将所述第一列表中的所述第一协议信息所对应的传播文件进行威胁检测。
步骤S306、将具备威胁的所述传播文件对应的第一协议信息确定为第二协议信息,并确定所述第二协议信息所对应的第二hash值。
步骤S307、将具备威胁的所述第二协议信息与第二hash值保存到恶意程序传播记录表。
步骤S308、按照设定条件确定所述恶意程序传播记录表中的特定威胁hash值。
步骤S309、根据所述特定威胁hash值确定所述特定威胁hash值所对应的特定威胁。
具体的,即所述特定威胁hash值所对应的传播文件。
图4是本发明实施例提供的一种特定威胁的识别装置示意图。如图3所示,本实施例的恶意程序识别装置包括:确认单元41、提取单元42、和保存单元43。
其中,确认单元41,用于根据预先设置的协议,在互联网流量数据的镜像数据中确定第一流量数据;提取单元42,响应于所述第一流量数据还原为传播文件,提取所述第一流量数据的第一协议信息以及所述传播文件中所包含的附件的第一哈希hash值;保存单元43,用于根据所述第一协议信息、所述第一哈希hash值以及所述传播文件,确定恶意程序传播记录表;所述确认单元还用于按照设定条件确定所述恶意程序传播记录表中的特定威胁的hash值。
在一个实施例中,所述按照设定条件确定所述恶意程序传播记录表中的特定威胁的hash值之后,所述确认单元还用于:根据所述特定威胁的hash值确定出对应的特定威胁的传播文件。
在一个实施例中,所述保存单元具体用于:将所述第一协议信息与所述第一hash值保存到第一列表;将所述传播文件进行威胁检测;将具备威胁的所述传播文件对应的第一协议信息确定为第二协议信息,并确定所述第二协议信息所对应的第二hash值;将所述第二协议信息与所述第二hash值保存到所述恶意程序传播记录表。
在一个实施例中,所述预先设置的协议包括:简单邮件传输协议SMTP、邮局协议版本POP3、邮件访问协议IMAP、超文本传输协议HTTP、简单文件传输协议TFTP、文件传输协议FTP或服务器消息块SMB协议。
在一个实施例中,所述第一协议信息包括:源IP、目的IP、源端口、目的端口、传输协议类型、文件名、文件统一资源定位符URL、邮件发件人、邮件收件人、邮件抄送人、邮件暗送人、邮件主题数据或邮件附件名中的至少一项。
在一个实施例中,所述确认单元具体用于:确定所述恶意程序传播记录表中传播量小于设定阈值的第二协议信息所对应的hash值为特定威胁hash值。
在一个实施例中,所述确认单元具体用于:确定所述恶意程序传播记录表中传输协议类型的传播次数小于设定第一阈值的所述传输协议类型所对应的hash值为特定威胁hash值。
在一个实施例中,所述确认单元具体用于:确定所述恶意程序传播记录表中邮件发件人的传播次数小于设定第二阈值的所述邮件发件人所对应的hash值为特定威胁hash值。
在一个实施例中,所述确认单元具体用于:确定所述恶意程序传播记录表中邮件收件人的服务器地址去重后小于设定第三阈值的所述邮件收件人所对应的hash值为特定威胁hash值,其中,所述邮件收件人包括邮件收件人、邮件抄送人和邮件暗送人。
在一个实施例中,所述确认单元具体用于:确定所述恶意程序传播记录表中邮件附件名出现次数小于设定第四阈值的所述邮件附件名所对应的hash值为特定威胁hash值。
在一个实施例中,所述确认单元具体用于:确定所述恶意程序传播记录表中邮件主题出现次数小于设定第四阈值的所述邮件主题所对应的hash值为特定威胁hash值。
图5是本发明实施例的电子设备的示意图。图5所示的电子设备为通用恶意程序的识别装置,其包括通用的计算机硬件结构,其至少包括处理器51和存储器52。处理器51和存储器52通过总线53连接。存储器52适于存储处理器51可执行的指令或程序。处理器51可以是独立的微处理器,也可以是一个或者多个微处理器集合。由此,处理器51通过执行存储器52所存储的指令,从而执行如上所述的本发明实施例的方法流程实现对于数据的处理和对于其它装置的控制。总线53将上述多个组件连接在一起,同时将上述组件连接到显示控制器54和显示装置以及输入/输出(I/O)装置55。输入/输出(I/O)装置55可以是鼠标、键盘、调制解调器、网络接口、触控输入装置、体感输入装置、打印机以及本领域公知的其他装置。典型地,输入/输出装置55通过输入/输出(I/O)控制器56与***相连。
如本领域技术人员将意识到的,本发明实施例的各个方面可以被实现为***、方法或计算机程序产品。因此,本发明实施例的各个方面可以采取如下形式:完全硬件实施方式、完全软件实施方式(包括固件、常驻软件、微代码等)或者在本文中通常可以都称为“电路”、“模块”或“***”的将软件方面与硬件方面相结合的实施方式。此外,本发明实施例的各个方面可以采取如下形式:在一个或多个计算机可读介质中实现的计算机程序产品,计算机可读介质具有在其上实现的计算机可读程序代码。
可以利用一个或多个计算机可读介质的任意组合。计算机可读介质可以是计算机可读信号介质或计算机可读存储介质。计算机可读存储介质可以是如(但不限于)电子的、磁的、光学的、电磁的、红外的或半导体***、设备或装置,或者前述的任意适当的组合。计算机可读存储介质的更具体的示例(非穷尽列举)将包括以下各项:具有一根或多根电线的电气连接、便携式计算机软盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪速存储器)、光纤、便携式光盘只读存储器(CD-ROM)、光存储装置、磁存储装置或前述的任意适当的组合。在本发明实施例的上下文中,计算机可读存储介质可以为能够包含或存储由指令执行***、设备或装置使用的程序或结合指令执行***、设备或装置使用的程序的任意有形介质。
计算机可读信号介质可以包括传播的数据信号,所述传播的数据信号具有在其中如在基带中或作为载波的一部分实现的计算机可读程序代码。这样的传播的信号可以采用多种形式中的任何形式,包括但不限于:电磁的、光学的或其任何适当的组合。计算机可读信号介质可以是以下任意计算机可读介质:不是计算机可读存储介质,并且可以对由指令执行***、设备或装置使用的或结合指令执行***、设备或装置使用的程序进行通信、传播或传输。
可以使用包括但不限于无线、有线、光纤电缆、RF等或前述的任意适当组合的任意合适的介质来传送实现在计算机可读介质上的程序代码。
用于执行针对本发明实施例各方面的操作的计算机程序代码可以以一种或多种编程语言的任意组合来编写,所述编程语言包括:面向对象的编程语言如Java、Smalltalk、C++等;以及常规过程编程语言如“C”编程语言或类似的编程语言。程序代码可以作为独立软件包完全地在用户计算机上、部分地在用户计算机上执行;部分地在用户计算机上且部分地在远程计算机上执行;或者完全地在远程计算机或服务器上执行。在后一种情况下,可以将远程计算机通过包括局域网(LAN)或广域网(WAN)的任意类型的网络连接至用户计算机,或者可以与外部计算机进行连接(例如通过使用因特网服务供应商的因特网)。
上述根据本发明实施例的方法、设备(***)和计算机程序产品的流程图图例和/或框图描述了本发明实施例的各个方面。将要理解的是,流程图图例和/或框图的每个块以及流程图图例和/或框图中的块的组合可以由计算机程序指令来实现。这些计算机程序指令可以被提供至通用计算机、专用计算机或其它可编程数据处理设备的处理器,以产生机器,使得(经由计算机或其它可编程数据处理设备的处理器执行的)指令创建用于实现流程图和/或框图块或块中指定的功能/动作的装置。
还可以将这些计算机程序指令存储在可以指导计算机、其它可编程数据处理设备或其它装置以特定方式运行的计算机可读介质中,使得在计算机可读介质中存储的指令产生包括实现在流程图和/或框图块或块中指定的功能/动作的指令的制品。
计算机程序指令还可以被加载至计算机、其它可编程数据处理设备或其它装置上,以使在计算机、其它可编程设备或其它装置上执行一系列可操作步骤来产生计算机实现的过程,使得在计算机或其它可编程设备上执行的指令提供用于实现在流程图和/或框图块或块中指定的功能/动作的过程。
以上所述仅为本发明的优选实施例,并不用于限制本发明,对于本领域技术人员而言,本发明可以有各种改动和变化。凡在本发明的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (13)
1.一种特定威胁的识别方法,其特征在于,包括:
根据预先设置的协议,在互联网流量数据的镜像数据中确定第一流量数据;
响应于所述第一流量数据还原为传播文件,提取所述第一流量数据的第一协议信息以及所述传播文件中所包含的附件的第一哈希hash值;
根据所述第一协议信息、所述第一哈希hash值以及所述传播文件,确定恶意程序传播记录表;
按照设定条件确定所述恶意程序传播记录表中的特定威胁的hash值。
2.如权利要求1所述的方法,其特征在于,所述按照设定条件确定所述恶意程序传播记录表中的特定威胁的hash值之后,该方法还包括:
根据所述特定威胁的hash值确定出对应的特定威胁的传播文件。
3.如权利要求1所述的方法,其特征在于,根据所述第一协议信息、所述第一哈希hash值以及所述传播文件,确定恶意程序传播记录表,具体包括:
将所述第一协议信息与所述第一hash值保存到第一列表;
将所述传播文件进行威胁检测;
将具备威胁的所述传播文件对应的第一协议信息确定为第二协议信息,并确定所述第二协议信息所对应的第二hash值;
将所述第二协议信息与所述第二hash值保存到所述恶意程序传播记录表。
4.如权利要求1所述的方法,其特征在于,所述预先设置的协议包括:简单邮件传输协议SMTP、邮局协议版本POP3、邮件访问协议IMAP、超文本传输协议HTTP、简单文件传输协议TFTP、文件传输协议FTP或服务器消息块SMB协议。
5.如权利要求1所述的方法,其特征在于,所述第一协议信息包括:源IP、目的IP、源端口、目的端口、传输协议类型、文件名、文件统一资源定位符URL、邮件发件人、邮件收件人、邮件抄送人、邮件暗送人、邮件主题数据或邮件附件名中的至少一项。
6.如权利要求1所述的方法,其特征在于,按照设定条件确定所述恶意程序传播记录表中的特定威胁hash值,具体包括:
确定所述恶意程序传播记录表中传播量小于设定阈值的第二协议信息所对应的hash值为特定威胁hash值。
7.如权利要求6所述的方法,其特征在于,确定所述恶意程序传播记录表中传播量小于设定阈值的第二协议信息所对应的hash值为特定威胁hash值,具体包括:
确定所述恶意程序传播记录表中传输协议类型的传播次数小于设定第一阈值的所述传输协议类型所对应的hash值为特定威胁hash值。
8.如权利要求6所述的方法,其特征在于,确定所述恶意程序传播记录表中传播量小于设定阈值的第二协议信息所对应的hash值为特定威胁hash值,具体包括:
确定所述恶意程序传播记录表中邮件发件人的传播次数小于设定第二阈值的所述邮件发件人所对应的hash值为特定威胁hash值。
9.如权利要求6所述的方法,其特征在于,确定所述恶意程序传播记录表中传播量小于设定阈值的第二协议信息所对应的hash值为特定威胁hash值,具体包括:
确定所述恶意程序传播记录表中邮件收件人的服务器地址去重后小于设定第三阈值的所述邮件收件人所对应的hash值为特定威胁hash值,其中,所述邮件收件人包括邮件收件人、邮件抄送人和邮件暗送人。
10.如权利要求6所述的方法,其特征在于,确定所述恶意程序传播记录表中传播量小于设定阈值的第二协议信息所对应的hash值为特定威胁hash值,具体包括:
确定所述恶意程序传播记录表中邮件附件名出现次数小于设定第四阈值的所述邮件附件名所对应的hash值为特定威胁hash值。
11.如权利要求6所述的方法,其特征在于,确定所述恶意程序传播记录表中传播量小于设定阈值的第二协议信息所对应的hash值为特定威胁hash值,具体包括:
确定所述恶意程序传播记录表中邮件主题出现次数小于设定第四阈值的所述邮件主题所对应的hash值为特定威胁hash值。
12.一种电子设备,包括存储器和处理器,其特征在于,所述存储器用于存储一条或多条计算机程序指令,其中,所述一条或多条计算机程序指令被所述处理器执行以实现如权利要求1-11中任一项所述的方法。
13.一种计算机可读存储介质,其上存储计算机程序指令,其特征在于,所述计算机程序指令在被处理器执行时实现如权利要求1-11任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811291181.2A CN109327453B (zh) | 2018-10-31 | 2018-10-31 | 一种特定威胁的识别方法及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811291181.2A CN109327453B (zh) | 2018-10-31 | 2018-10-31 | 一种特定威胁的识别方法及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109327453A true CN109327453A (zh) | 2019-02-12 |
| CN109327453B CN109327453B (zh) | 2021-04-13 |
Family
ID=65260482
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811291181.2A Active CN109327453B (zh) | 2018-10-31 | 2018-10-31 | 一种特定威胁的识别方法及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109327453B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112087294A (zh) * | 2020-08-13 | 2020-12-15 | 中国电子科技集团公司第三十研究所 | 一种基于密态哈希标签防护的便携式安全计算机架构 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102821002A (zh) * | 2011-06-09 | 2012-12-12 | ***通信集团河南有限公司信阳分公司 | 网络流量异常检测方法和*** |
| CN103078752A (zh) * | 2012-12-27 | 2013-05-01 | 华为技术有限公司 | 一种检测邮件攻击的方法、装置及设备 |
| CN105072137A (zh) * | 2015-09-15 | 2015-11-18 | 蔡丝英 | 鱼叉式钓鱼邮件的检测方法及装置 |
| US20160275303A1 (en) * | 2015-03-19 | 2016-09-22 | Netskope, Inc. | Systems and methods of monitoring and controlling enterprise information stored on a cloud computing service (ccs) |
| CN106685746A (zh) * | 2017-03-28 | 2017-05-17 | 上海以弈信息技术有限公司 | 一种异常日志和流量关联分析的方法 |
| CN108229159A (zh) * | 2016-12-09 | 2018-06-29 | 武汉安天信息技术有限责任公司 | 一种恶意代码检测方法及*** |
| CN108337153A (zh) * | 2018-01-19 | 2018-07-27 | 论客科技(广州)有限公司 | 一种邮件的监控方法、***与装置 |
-
2018
- 2018-10-31 CN CN201811291181.2A patent/CN109327453B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102821002A (zh) * | 2011-06-09 | 2012-12-12 | ***通信集团河南有限公司信阳分公司 | 网络流量异常检测方法和*** |
| CN103078752A (zh) * | 2012-12-27 | 2013-05-01 | 华为技术有限公司 | 一种检测邮件攻击的方法、装置及设备 |
| US20160275303A1 (en) * | 2015-03-19 | 2016-09-22 | Netskope, Inc. | Systems and methods of monitoring and controlling enterprise information stored on a cloud computing service (ccs) |
| CN105072137A (zh) * | 2015-09-15 | 2015-11-18 | 蔡丝英 | 鱼叉式钓鱼邮件的检测方法及装置 |
| CN108229159A (zh) * | 2016-12-09 | 2018-06-29 | 武汉安天信息技术有限责任公司 | 一种恶意代码检测方法及*** |
| CN106685746A (zh) * | 2017-03-28 | 2017-05-17 | 上海以弈信息技术有限公司 | 一种异常日志和流量关联分析的方法 |
| CN108337153A (zh) * | 2018-01-19 | 2018-07-27 | 论客科技(广州)有限公司 | 一种邮件的监控方法、***与装置 |
Non-Patent Citations (1)
| Title |
|---|
| 许佳等: "APT攻击及其检测技术综述", 《保密科学技术》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112087294A (zh) * | 2020-08-13 | 2020-12-15 | 中国电子科技集团公司第三十研究所 | 一种基于密态哈希标签防护的便携式安全计算机架构 |
| CN112087294B (zh) * | 2020-08-13 | 2022-03-18 | 中国电子科技集团公司第三十研究所 | 一种基于密态哈希标签防护的便携式安全计算机*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109327453B (zh) | 2021-04-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11516248B2 (en) | Security system for detection and mitigation of malicious communications | |
| US10375089B2 (en) | Multi-host threat tracking | |
| US10467411B1 (en) | System and method for generating a malware identifier | |
| US10243989B1 (en) | Systems and methods for inspecting emails for malicious content | |
| AU2012347793B2 (en) | Detecting malware using stored patterns | |
| US8839401B2 (en) | Malicious message detection and processing | |
| JP2019153336A (ja) | 電子メッセージベースのセキュリティ脅威の自動軽減 | |
| WO2015120752A1 (zh) | 网络威胁处理方法及设备 | |
| CN103338211A (zh) | 一种恶意url鉴定方法及装置 | |
| CN104052722A (zh) | 网址安全性检测的方法、装置及*** | |
| US8443447B1 (en) | Apparatus and method for detecting malware-infected electronic mail | |
| WO2013091435A1 (zh) | 文件类型识别方法及文件类型识别装置 | |
| CN113542253A (zh) | 一种网络流量检测方法、装置、设备及介质 | |
| US20180020092A1 (en) | Detection of a Spear-Phishing Phone Call | |
| CN109150790B (zh) | Web页面爬虫识别方法和装置 | |
| US8949991B2 (en) | Testing web services that are accessible via service oriented architecture (SOA) interceptors | |
| CN109327453A (zh) | 一种特定威胁的识别方法及电子设备 | |
| CN111181967B (zh) | 数据流识别方法、装置、电子设备及介质 | |
| US9740858B1 (en) | System and method for identifying forged emails | |
| US10965693B2 (en) | Method and system for detecting movement of malware and other potential threats | |
| US9584549B2 (en) | Image monitoring framework | |
| CN114143079B (zh) | 包过滤策略的验证装置及方法 | |
| CN103632069B (zh) | 一种内网中终端安全的管理方法和装置 | |
| EP2648384B1 (en) | Information security management | |
| EP3989622A1 (en) | Using signed tokens to verify short message service (sms) message bodies |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |