CN115766279A - 网络攻击取证方法、装置、电子设备及可读取存储介质 - Google Patents
网络攻击取证方法、装置、电子设备及可读取存储介质 Download PDFInfo
- Publication number
- CN115766279A CN115766279A CN202211559502.9A CN202211559502A CN115766279A CN 115766279 A CN115766279 A CN 115766279A CN 202211559502 A CN202211559502 A CN 202211559502A CN 115766279 A CN115766279 A CN 115766279A
- Authority
- CN
- China
- Prior art keywords
- file
- information
- program
- malicious
- memory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本申请提供一种网络攻击取证方法、装置、电子设备及可读取存储介质,涉及网络安全技术领域。该方法包括:根据网络攻击的恶意连接信息确定进程信息;根据进程信息确定文件类型;基于文件类型确定程序进程中对应的取证信息;其中,文件类型包括白文件、黑文件以及灰文件。本申请能够对网络攻击的多种不同类型的恶意连接的程序进程进行分类,并根据分类情况对各种不同的情况的程序进程中的恶意程序文件或恶意程序代码进行有效地取证,提高了对网络攻击进行取证的效率和准确性,从而提高了取证信息的准确性和有效性,优化了取证时的效果,以供防火墙等设备根据取证信息进行更深层次的分析、研判、溯源等操作,以有效地提高网络环境的安全性。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种网络攻击取证方法、装置、电子设备及可读取存储介质。
背景技术
随着计算机网络技术的高速发展,网络攻击也随之增多。发起网络攻击,通常需要运行恶意程序,如果能够对这些恶意程序进行取证,则可以进行更深层次的分析、研判、溯源等操作,以提高网络的安全性。
恶意程序为了隐藏自身,可能会将恶意代码注入到正常程序的内存中,以达到借用正常程序的内存空间,执行恶意代码的目的。现有技术中,防火墙虽然能够检测到恶意行为,例如检测到恶意连接信息,但是无法定位到具体的恶意进程的位置,导致取证时只能对正常文件取证得到正常文件,无法对正常程序中的恶意程序文件或恶意程序代码进行有效取证,对网络攻击的取证的效果较差,会对网络安全造成不利影响。
发明内容
有鉴于此,本申请实施例的目的在于提供一种网络攻击取证方法、装置、电子设备及可读取存储介质,以改善现有技术中存在的网络攻击的取证效果较差的问题。
为了解决上述问题,第一方面,本申请实施例提供了一种网络攻击取证方法,所述方法包括:
根据网络攻击的恶意连接信息确定进程信息;
根据所述进程信息确定文件类型;
基于所述文件类型确定程序进程中对应的取证信息;
其中,所述文件类型包括白文件、黑文件以及灰文件。
在上述实现过程中,能够对网络攻击的恶意连接信息进行分析,从而定位到相应的进程信息,以确定表征程序进程类型的不同文件类型。并基于不同的文件类型对程序进程进行不同方式地取证,得到相应的取证信息。能够对网络攻击的多种不同类型的恶意连接的程序进程进行分类,并根据分类情况对各种不同的情况的程序进程中的恶意程序文件或恶意程序代码进行有效地取证,提高了对网络攻击进行取证的效率和准确性,从而提高了取证信息的准确性和有效性,优化了取证时的效果,以供防火墙等设备根据取证信息进行更深层次的分析、研判、溯源等操作,以有效地提高网络环境的安全性。
可选地,若确定所述文件类型为所述白文件,则所述基于所述文件类型确定程序进程中对应的取证信息,包括:
获取所述白文件对应的正常程序的第一内存数据;
基于所述第一内存数据进行还原处理,得到第一文件,并将所述第一文件作为所述取证信息;其中,所述第一文件中包括所述正常程序内注入的恶意代码的片段。
在上述实现过程中,在进程信息对应的文件类型为白文件时,则对应的程序进程为正常程序,网络攻击的手段为在正常程序的内存中注入恶意代码或内容,因此,在对这种类型的网络攻击进行取证时,可以获取程序进程相应的内存数据,以对其进行还原处理,得到相应的包括正常程序内注入的恶意代码片段的第一文件作为对其进行取证的取证信息。能够有效地提取正常程序中隐藏的恶意代码或文件并进行取证,提高了对正常程序进行取证时的有效性和准确性,以提高网络环境的安全性。
可选地,所述基于所述第一内存数据进行还原处理,得到第一文件,包括:
获取所述第一内存数据中的多个内存块的内存属性;
根据预设条件和所述内存属性,在所述内存块中确定可疑内存块;
根据所述可疑内存块中的可疑数据匹配相应的可执行文件格式特征或机器码;
若所述可疑数据匹配到所述可执行文件格式特征或所述机器码,则以所述可疑数据还原的可执行文件或码源文件作为所述第一文件;
若所述可疑数据未匹配到所述可执行文件格式特征和所述机器码,则以所述可疑数据作为所述第一文件。
在上述实现过程中,在对程序进程的内存数据进行处理时,可以根据预设条件,对内存数据中的多个内存块的内存属性进行筛选,以确定相应的可疑内存块。通过将可疑内存块中的可疑数据匹配相应的可执行文件格式特征或机器码,并根据匹配的结果,以相应的可执行文件、码源文件或可疑数据作为对应的第一文件。能够根据程序进程中内存块的实际情况确定相应的第一文件,有效地提高了第一文件的有效性和准确性。
可选地,若确定所述文件类型为所述黑文件,则所述基于所述文件类型确定程序进程中对应的取证信息,包括:
确定所述黑文件对应的恶意程序;
获取所述恶意程序中的程序信息作为所述取证信息;其中,所述程序信息包括文件哈希值、文件大小数据、文件属性数据、文件时间数据中的至少一种。
在上述实现过程中,在进程信息对应的文件类型为黑文件时,则对应的程序进程即为恶意程序,网络攻击的手段为直接以恶意程序进行连接。因此,在对这种类型的网络攻击进行取证时,可以直接获取恶意程序中多种与程序文件相关的程序信息,以作为取证信息。能够对恶意程序的程序信息进行针对性地取证,提高了取证信息的有效性和准确性,并且,无需对完整的恶意程序文件进行取证和传输,有效地节约了网络资源。
可选地,若确定所述文件类型为所述灰文件,则所述基于所述文件类型确定程序进程中对应的取证信息,包括:
获取所述灰文件对应的未知进程的第二内存数据;
基于所述第二内存数据进行还原处理,得到第二文件,以所述第二文件和所述未知进程的程序文件作为所述取证信息。
在上述实现过程中,在进程信息对应的文件类型为灰文件时,则对应的程序进程为无法确定类型的未知程序,网络攻击的手段也为无法确定的未知方式。因此,在对这种类型的网络攻击进行取证时,为了进行有效地取证,也可以获取程序进程中相应的内存数据,以对其进行还原处理,从而还原得到的第二文件,以及未知进程对应的程序文件作为对其进行取证的取证信息。通过对未知程序的内存处理,能够结合内存中的实际情况以及整个程序文件进行取证,在网络攻击手段未知的情况下也能够进行取证,提高了取证信息的有效性和准确性。
可选地,所述根据网络攻击的恶意连接信息确定进程信息,包括:
获取防火墙中检测到的网络攻击的所述恶意连接信息;其中,所述恶意连接信息包括五元组信息或黑域名信息;
基于恶意连接信息定位对应的所述程序进程;
根据所述程序进程确定相应的所述进程信息。
在上述实现过程中,可以获取防火墙中检测到的网络攻击的恶意连接信息中的五元组信息或黑域名信息,并根据五元组信息或黑域名信息快速、准确地定位到本机中与恶意连接相关的程序进程,从而根据程序进程定位得到对应的进程信息。能够有效地提高对程序进程和进程信息进行定位的效率和精度,从而提高了进程信息的准确性和有效性。
可选地,所述根据所述进程信息确定文件类型,包括:
基于所述进程信息计算哈希值;
获取防火墙基于哈希值确定的所述文件类型。
在上述实现过程中,能够根据进程信息计算对应的哈希值,并将哈希值上传至防火墙中由防火墙进行处理,从而获取防火墙基于哈希值确定的文件类型,以根据进程信息的文件类型快速、准确地判断程序进程的类型,从而确定相应的网络攻击的手段。
第二方面,本申请实施例还提供了一种网络攻击取证装置,所述装置包括:
进程模块,用于根据网络攻击的恶意连接信息确定进程信息;
类型模块,用于根据所述进程信息确定文件类型;
取证模块,用于基于所述文件类型确定程序进程中对应的取证信息;
其中,所述文件类型包括白文件、黑文件以及灰文件。
在上述实现过程中,通过进程模块对网络攻击的恶意连接信息进行分析,从而定位到相应的进程信息,通过类型模块确定表征程序进程类型的不同文件类型,通过取证模块基于不同的文件类型对程序进程进行不同方式地取证,得到相应的取证信息。
第三方面,本申请实施例还提供了一种电子设备,所述电子设备包括存储器和处理器,所述存储器中存储有程序指令,所述处理器读取并运行所述程序指令时,执行上述网络攻击取证方法中任一实现方式中的步骤。
第四方面,本申请实施例还提供了一种计算机可读取存储介质,所述可读取存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行上述网络攻击取证方法中任一实现方式中的步骤。
综上所述,本申请实施例提供了一种网络攻击取证方法、装置、电子设备及可读取存储介质,能够对网络攻击的多种不同类型的恶意连接的程序进程进行有效地取证,提高了对网络攻击进行取证的效率和准确性,从而提高了取证信息的准确性和有效性,优化了取证时的效果,以供防火墙等设备根据取证信息进行更深层次的分析、研判、溯源等操作,以有效地提高网络环境的安全性。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种电子设备的方框示意图;
图2为本申请实施例提供的一种网络攻击取证方法的流程示意图;
图3为本申请实施例提供的第一种步骤S400的详细流程示意图;
图4为本申请实施例提供的一种步骤S420的详细流程示意图;
图5为本申请实施例提供的第二种步骤S400的详细流程示意图;
图6为本申请实施例提供的第三种步骤S400的详细流程示意图;
图7为本申请实施例提供的一种步骤S200的详细流程示意图;
图8为本申请实施例提供的一种步骤S300的详细流程示意图;
图9为本申请实施例提供的一种网络攻击取证装置的结构示意图。
图标:100-电子设备;111-存储器;112-存储控制器;113-处理器;114-外设接口;115-输入输出单元;116-显示单元;500-网络攻击取证装置;510-进程模块;520-类型模块;530-取证模块。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本申请实施例的一部分实施例,而不是全部的实施例。基于本申请实施例的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请实施例保护的范围。
现有的网络攻击方式中,恶意程序为了隐藏自身,可能会将恶意代码注入到正常程序的内存中,以达到借用正常程序的内存空间,执行恶意代码的目的,例如,某终端感染了Sality病毒,该病毒为感染型病毒,会将连接C2的代码注入到FeiQ.exe软件(局域网聊天传输文件软件)的进程中。目前的检测技术中,防火墙虽然能够检测到恶意行为,例如检测到恶意连接信息,但是无法定位到具体的恶意进程的位置,导致取证时只能对正常文件取证得到正常文件,无法对正常程序中的恶意程序文件或恶意程序代码进行有效取证,例如,使用现有的取证方式对上述案例进行取证时,只会取到FeiQ.exe软件的进程文件,无法取到恶意进程代码。因此,目前对网络攻击的取证的效果较差,会对网络安全造成不利影响。
因此,为了解决上述问题,本申请实施例提供了一种网络攻击取证方法,应用于电子设备,电子设备可以为服务器、个人电脑(Personal Computer,PC)、平板电脑、智能手机、个人数字助理(Personal Digital Assistant,PDA)等具有逻辑计算功能的电子设备,能够与防火墙连接,作为取证终端对各种网络攻击的程序进程进行有效地取证。
可选地,防火墙对应的终端可以与多个电子设备连接,以为多个电子设备提供相应的数据,多个电子设备能够将取证得到的取证信息上传至防火墙中,以供防火墙根据取证信息进行分析、研判、溯源等处理。
可选地,请参阅图1,图1为本申请实施例提供的一种电子设备的方框示意图。电子设备100可以包括存储器111、存储控制器112、处理器113、外设接口114、输入输出单元115、显示单元116。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对电子设备100的结构造成限定。例如,电子设备100还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
上述的存储器111、存储控制器112、处理器113、外设接口114、输入输出单元115及显示单元116各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。上述的处理器113用于执行存储器中存储的可执行模块。
其中,存储器111可以是,但不限于,随机存取存储器(Random Access Memory,简称RAM),只读存储器(Read Only Memory,简称ROM),可编程只读存储器(ProgrammableRead-Only Memory,简称PROM),可擦除只读存储器(Erasable Programmable Read-OnlyMemory,简称EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-OnlyMemory,简称EEPROM)等。其中,存储器111用于存储程序,处理器113在接收到执行指令后,执行程序,本申请实施例任一实施例揭示的过程定义的电子设备100所执行的方法可以应用于处理器113中,或者由处理器113实现。
上述的处理器113可能是一种集成电路芯片,具有信号的处理能力。上述的处理器113可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(digital signalprocessor,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器,也可以是任何常规的处理器等。
上述的外设接口114将各种输入/输出装置耦合至处理器113以及存储器111。在一些实施例中,外设接口114,处理器113以及存储控制器112可以在单个芯片中实现。在其他一些实例中,他们可以分别由独立的芯片实现。
上述的输入输出单元115用于提供给用户输入数据。输入输出单元115可以是,但不限于,鼠标和键盘等。
上述的显示单元116在电子设备100与用户之间提供一个交互界面(例如用户操作界面)或用于显示图像数据给用户参考。在本实施例中,显示单元可以是液晶显示器或触控显示器。若为触控显示器,其可为支持单点和多点触控操作的电容式触控屏或电阻式触控屏等。支持单点和多点触控操作是指触控显示器能感应到来自该触控显示器上一个或多个位置处同时产生的触控操作,并将该感应到的触控操作交由处理器进行计算和处理。在本申请实施例中,显示单元116可以显示程序进程的多种信息。
本实施例中的电子设备可以用于执行本申请实施例提供的各个网络攻击取证方法中的各个步骤。下面通过几个实施例详细描述网络攻击取证方法的实现过程。
请参阅图2,图2为本申请实施例提供的一种网络攻击取证方法的流程示意图,该方法可以包括步骤S200-S400。
步骤S200,根据网络攻击的恶意连接信息确定进程信息。
其中,防火墙能够对电子设备中存在的网络攻击的恶意连接进行检测,以确定相应的恶意连接信息,以使电子设备能够根据恶意连接信息,确定网络攻击对应的程序进程中相应的进程信息。
步骤S300,根据进程信息确定文件类型。
其中,由于进程信息能够表征程序进程的多种相关信息,因此,可以根据进程信息确定其程序进程相应的文件类型,文件类型可以包括白文件、黑文件以及灰文件,文件类型能够表征程序进程的类型,从而确定网络攻击的具体类型,例如,白文件则表征对应的程序进程为正常程序,黑文件则表征对应的程序进程为恶意程序,灰文件则表征程序进程的类型未知,为未知程序。
步骤S400,基于文件类型确定程序进程中对应的取证信息。
其中,由于文件类型不同,程序进程的类型也不相同,因此,针对不同的程序进程,可以采用对应的方式进行取证,以得到相应的取证信息。
可选地,取证端的电子设备得到相应的取证信息后,能够将取证信息发送给相应的防火墙设备,以供防火墙设备对取证信息进行显示,还能够根据取证信息进行分析、研判、溯源等处理,从而提高网络环境的安全性。
在图2所示的实施例中,能够对网络攻击的多种不同类型的恶意连接的程序进程进行分类,并根据分类情况对各种不同的情况的程序进程中的恶意程序文件或恶意程序代码进行有效地取证,提高了对网络攻击进行取证的效率和准确性,从而提高了取证信息的准确性和有效性,优化了取证时的效果。
可选地,请参阅图3,图3为本申请实施例提供的第一种步骤S400的详细流程示意图,若确定文件类型为白文件,则步骤S400中可以包括步骤S410-S420。
步骤S410,获取白文件对应的正常程序的第一内存数据。
其中,在进程信息对应的文件类型为白文件时,则对应的程序进程为正常程序,网络攻击的手段为在正常程序的内存中注入恶意代码或内容。因此,可以获取白文件对应的正常程序中的第一内存数据,以对其中注入的恶意代码的片段内容进行提取。
步骤S420,基于第一内存数据进行还原处理,得到第一文件,并将第一文件作为取证信息。
其中,可以在第一内存数据中对注入恶意代码的片段内容进行还原处理,以从恶意代码片段中还原出相应的第一文件作为取证信息。第一文件中可以包括正常程序内注入的恶意代码的片段,例如修改剪切板内容的可执行程序,和完整的恶意域名等信息。
在图3所示的实施例中,能够有效地提取正常程序中隐藏的恶意代码或文件并进行取证,提高了对正常程序进行取证时的有效性和准确性,以提高网络环境的安全性。
可选地,请参阅图4,图4为本申请实施例提供的一种步骤S420的详细流程示意图,步骤S420中可以包括步骤S421-S425。
步骤S421,获取第一内存数据中的多个内存块的内存属性。
其中,第一内存数据中可以包括多个内存块,每个内存块具有不同的内存属性,可以查询获取每个内存块的内存属性。内存属性可以包括内存块的名称、类型、编号等相关数据。
步骤S422,根据预设条件和内存属性,在内存块中确定可疑内存块。
其中,由于恶意代码注入到正常进程的程序时,通常会注入一些相应的内存块中,因此,可以根据历史数据设置相应的预设条件,例如,根据历史的正常进程中恶意代码注入的内存块位置,确定容易被注入的内存块的属性条件,从而结合预设条件和内存属性对多个内存块进行筛选,找到相应的可疑内存块。
示例地,预设条件可以为对多个内存块中,内存块属性为MEM_PRIVATE、MEM_COMMIT、PAGE_EXECUTE_READWRITE等的内存块进行筛选,以得到相应的可疑内存块。
步骤S423,根据可疑内存块中的可疑数据匹配相应的可执行文件格式特征或机器码。
其中,为了对可疑内存块中的可疑数据进行还原,可以将可疑数据与可执行文件格式特征或机器码进行匹配,以确定是否能够进行还原。
可选地,在进行匹配时,可以先将可疑数据与可执行文件格式特征进行匹配,在未匹配到相应的可执行文件格式特征时,在将可疑数据与机器码进行匹配,从而进行多层次地匹配。
步骤S424,若可疑数据匹配到可执行文件格式特征或机器码,则以可疑数据还原的可执行文件或码源文件作为第一文件。
可选地,在可疑数据匹配到相应的可执行文件格式时,则可以根据相应的可执行文件格式特征对可疑数据进行还原,得到相应的可执行文件,在可疑数据匹配到相应的机器码时,则可以根据相应的机器码对可疑数据进行还原,得到相应的码源文件,码源文件可以为汇编码源文件。以可执行文件和码源文件作为第一文件,可执行文件或码源文件可以包括多种不同类型的数据,数据的类型可以由病毒的种类以及病毒所对应的程序功能决定,例如,在FeiQ.exe感染了Sality病毒后,可执行文件或码源文件中可以包括修改剪切板内容的可执行程序,和完整的恶意域名等信息。
步骤S425,若可疑数据未匹配到可执行文件格式特征和机器码,则以可疑数据作为第一文件。
其中,在可疑数据既未匹配到相应的可执行文件格式特征,也未匹配到相应的机器码时,则可以师姐以可疑内存块中的可疑数据作为第一文件进行保存和发送,以供防火墙对第一文件进行分析。
在图4所示的实施例中,能够根据程序进程中内存块的实际情况确定相应的第一文件,有效地提高了第一文件的有效性和准确性。
可选地,请参阅图5,图5为本申请实施例提供的第二种步骤S400的详细流程示意图,若确定文件类型为黑文件,则步骤S400中可以包括步骤S430-S440。
步骤S430,确定黑文件对应的恶意程序。
其中,进程信息对应的文件类型为黑文件时,则对应的程序进程即为恶意程序,网络攻击的手段为直接以恶意程序进行连接。因此,可以直接以黑文件对应的程序进程作为恶意程序进行处理。
步骤S440,获取恶意程序中的程序信息作为取证信息。
其中,在对恶意程序进行处理时,可以直接获取恶意程序中多种与程序文件相关的程序信息,程序信息中可以包括文件哈希值、文件大小数据、文件属性数据、文件时间数据等一种或多种与恶意程序相关的多种信息,从而对恶意程序中的恶意内容进行针对性地取证,以程序信息作为取证信息,无需对完整的恶意程序文件进行取证和传输,从而减少了取证信息的大小和其中无关的冗余数据,提高了对取证信息进行传输时的效率。
在图5所示的实施例中,提高了取证信息的有效性和准确性,有效地节约了网络资源。
可选地,请参阅图6,图6为本申请实施例提供的第三种步骤S400的详细流程示意图,若确定文件类型为灰文件,则步骤S400中可以包括步骤S450-S460。
步骤S450,获取灰文件对应的未知进程的第二内存数据。
其中,在进程信息对应的文件类型为灰文件时,则对应的程序进程为无法确定类型的未知程序,网络攻击的手段也为无法确定的未知方式。因此,在对这种类型的网络攻击进行取证时,为了进行有效地取证,也可以获取未知进程中相应的第二内存数据,以对第二内存数据进行分析,提取其中的相关数据。
步骤S460,基于第二内存数据进行还原处理,得到第二文件,以第二文件和未知进程的程序文件作为取证信息。
其中,可以对第二内存数据进行还原处理,以提取其中的第二文件,并且,考虑到未知进程的未知性,可以获取未知程序的程序文件,结合提取的第二文件与程序文件,作为未知程序的取证信息。
需要说明的是,对第二内存数据进行还原处理的方式可以与第一内存数据的还原处理的方式相同,可以参考图4中实施例的方式进行处理,在此不再进行赘述。
在图6所示的实施例中,通过对未知程序的内存处理,能够结合内存中的实际情况以及整个程序文件进行取证,在网络攻击手段未知的情况下也能够进行取证,提高了取证信息的有效性和准确性。
可选地,请参阅图7,图7为本申请实施例提供的一种步骤S200的详细流程示意图,步骤S200中可以包括步骤S210-S230。
步骤S210,获取防火墙中检测到的网络攻击的恶意连接信息。
其中,防火墙能够对取证端的电子设备与其他终端进行连接时的网络连接进行检测,以检测到网络攻击的恶意连接信息,并发送到取证端的电子设备中以供处理,恶意连接信息可以包括五元组信息或黑域名信息。
步骤S220,基于恶意连接信息定位对应的程序进程。
其中,取证端的电子设备能够根据恶意连接信息,定位本机中存在的网络连接对应的程序进程。
步骤S230,根据程序进程确定相应的进程信息。
其中,能够根据定位的程序进程继续进行定位,以确定相关的进程信息。进程信息可以为程序进程的程序文件等相关信息。
在图7所示的实施例中,能够有效地提高对程序进程和进程信息进行定位的效率和精度,从而提高了进程信息的准确性和有效性。
可选地,请参阅图8,图8为本申请实施例提供的一种步骤S300的详细流程示意图,步骤S300中可以包括步骤S310-S320。
步骤S310,基于进程信息计算哈希值。
其中,取证端的电子设备能够基于进程信息进行计算,以得到程序进程相应的哈希值,并将哈希值上传至防火墙中进行处理。
步骤S320,获取防火墙基于哈希值确定的文件类型。
其中,防火墙中的相应模块,例如威胁情报***,能够根据哈希值的具体情况对程序进程进行分类,以确定程序进程为白文件、黑文件还是灰文件。
在图8所示的实施例中,能够根据进程信息的文件类型快速、准确地判断程序进程的类型,从而确定相应的网络攻击的手段。
请参阅图9,图9为本申请实施例提供的一种网络攻击取证装置的结构示意图,网络攻击取证装置500可以包括:
进程模块510,用于根据网络攻击的恶意连接信息确定进程信息;
类型模块520,用于根据进程信息确定文件类型;
取证模块530,用于基于文件类型确定程序进程中对应的取证信息;
其中,文件类型包括白文件、黑文件以及灰文件。
在一可选的实施方式中,取证模块530可以包括第一内存子模块和第一还原子模块;
若确定文件类型为白文件,第一内存子模块,用于获取白文件对应的正常程序的第一内存数据;
第一还原子模块,用于基于第一内存数据进行还原处理,得到第一文件,并将第一文件作为取证信息;其中,第一文件中包括正常程序内注入的恶意代码的片段。
在一可选的实施方式中,第一还原子模块具体用于:获取第一内存数据中的多个内存块的内存属性;根据预设条件和内存属性,在内存块中确定可疑内存块;根据可疑内存块中的可疑数据匹配相应的可执行文件格式特征或机器码;若可疑数据匹配到可执行文件格式特征或机器码,则以可疑数据还原的可执行文件或码源文件作为第一文件;若可疑数据未匹配到可执行文件格式特征和机器码,则以可疑数据作为第一文件。
在一可选的实施方式中,取证模块530可以包括获取子模块;
若确定文件类型为黑文件,获取子模块用于确定黑文件对应的恶意程序;获取恶意程序中的程序信息作为取证信息;其中,程序信息包括文件哈希值、文件大小数据、文件属性数据、文件时间数据中的至少一种。
在一可选的实施方式中,取证模块530可以包括第二内存子模块和第二还原子模块;
若确定文件类型为灰文件,第二内存子模块,用于获取灰文件对应的未知进程的第二内存数据;
第二还原子模块,用于基于第二内存数据进行还原处理,得到第二文件,以第二文件和未知进程的程序文件作为取证信息。
在一可选的实施方式中,进程模块510可以包括信息子模块和定位子模块;
信息子模块,用于获取防火墙中检测到的网络攻击的恶意连接信息;其中,恶意连接信息包括五元组信息或黑域名信息;
定位子模块,用于基于恶意连接信息定位对应的程序进程;根据程序进程确定相应的进程信息。
在一可选的实施方式中,类型模块520可以包括计算子模块和接收子模块;
计算子模块,用于基于进程信息计算哈希值;
接收子模块,用于获取防火墙基于哈希值确定的文件类型。
由于本申请实施例中的网络攻击取证装置500解决问题的原理与前述的网络攻击取证方法的实施例相似,因此本实施例中的网络攻击取证装置500的实施可以参见上述网络攻击取证方法的实施例中的描述,重复之处不再赘述。
本申请实施例还提供了一种计算机可读取存储介质,可读取存储介质中存储有计算机程序指令,计算机程序指令被一处理器读取并运行时,执行本实施例提供的网络攻击取证方法中任一项方法中的步骤。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的框图显示了根据本申请的多个实施例的设备的可能实现的体系架构、功能和操作。在这点上,框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图中的每个方框、以及框图的组合,可以用执行规定的功能或动作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种网络攻击取证方法,其特征在于,所述方法包括:
根据网络攻击的恶意连接信息确定进程信息;
根据所述进程信息确定文件类型;
基于所述文件类型确定程序进程中对应的取证信息;
其中,所述文件类型包括白文件、黑文件以及灰文件。
2.根据权利要求1所述的方法,其特征在于,若确定所述文件类型为所述白文件,则所述基于所述文件类型确定程序进程中对应的取证信息,包括:
获取所述白文件对应的正常程序的第一内存数据;
基于所述第一内存数据进行还原处理,得到第一文件,并将所述第一文件作为所述取证信息;其中,所述第一文件中包括所述正常程序内注入的恶意代码的片段。
3.根据权利要求2所述的方法,其特征在于,所述基于所述第一内存数据进行还原处理,得到第一文件,包括:
获取所述第一内存数据中的多个内存块的内存属性;
根据预设条件和所述内存属性,在所述内存块中确定可疑内存块;
根据所述可疑内存块中的可疑数据匹配相应的可执行文件格式特征或机器码;
若所述可疑数据匹配到所述可执行文件格式特征或所述机器码,则以所述可疑数据还原的可执行文件或码源文件作为所述第一文件;
若所述可疑数据未匹配到所述可执行文件格式特征和所述机器码,则以所述可疑数据作为所述第一文件。
4.根据权利要求1所述的方法,其特征在于,若确定所述文件类型为所述黑文件,则所述基于所述文件类型确定程序进程中对应的取证信息,包括:
确定所述黑文件对应的恶意程序;
获取所述恶意程序中的程序信息作为所述取证信息;其中,所述程序信息包括文件哈希值、文件大小数据、文件属性数据、文件时间数据中的至少一种。
5.根据权利要求1所述的方法,其特征在于,若确定所述文件类型为所述灰文件,则所述基于所述文件类型确定程序进程中对应的取证信息,包括:
获取所述灰文件对应的未知进程的第二内存数据;
基于所述第二内存数据进行还原处理,得到第二文件,以所述第二文件和所述未知进程的程序文件作为所述取证信息。
6.根据权利要求1所述的方法,其特征在于,所述根据网络攻击的恶意连接信息确定进程信息,包括:
获取防火墙中检测到的网络攻击的所述恶意连接信息;其中,所述恶意连接信息包括五元组信息或黑域名信息;
基于恶意连接信息定位对应的所述程序进程;
根据所述程序进程确定相应的所述进程信息。
7.根据权利要求1所述的方法,其特征在于,所述根据所述进程信息确定文件类型,包括:
基于所述进程信息计算哈希值;
获取防火墙基于哈希值确定的所述文件类型。
8.一种网络攻击取证装置,其特征在于,所述装置包括:
进程模块,用于根据网络攻击的恶意连接信息确定进程信息;
类型模块,用于根据所述进程信息确定文件类型;
取证模块,用于基于所述文件类型确定程序进程中对应的取证信息;
其中,所述文件类型包括白文件、黑文件以及灰文件。
9.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器中存储有程序指令,所述处理器运行所述程序指令时,执行权利要求1-7中任一项所述方法中的步骤。
10.一种计算机可读取存储介质,其特征在于,所述可读取存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器运行时,执行权利要求1-7任一项所述方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211559502.9A CN115766279A (zh) | 2022-12-06 | 2022-12-06 | 网络攻击取证方法、装置、电子设备及可读取存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211559502.9A CN115766279A (zh) | 2022-12-06 | 2022-12-06 | 网络攻击取证方法、装置、电子设备及可读取存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115766279A true CN115766279A (zh) | 2023-03-07 |
Family
ID=85343769
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211559502.9A Pending CN115766279A (zh) | 2022-12-06 | 2022-12-06 | 网络攻击取证方法、装置、电子设备及可读取存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115766279A (zh) |
-
2022
- 2022-12-06 CN CN202211559502.9A patent/CN115766279A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108881294B (zh) | 基于网络攻击行为的攻击源ip画像生成方法以及装置 | |
| AU2015380394B2 (en) | Methods and systems for identifying potential enterprise software threats based on visual and non-visual data | |
| CN109376078B (zh) | 移动应用的测试方法、终端设备及介质 | |
| TWI709057B (zh) | 診斷網路系統是否已受到駭客入侵的方法以及相關的可疑事件時序圖產生方法 | |
| EP2693356B1 (en) | Detecting pirated applications | |
| CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| CN110474900B (zh) | 一种游戏协议测试方法及装置 | |
| KR101858620B1 (ko) | 기계 학습을 이용한 자바스크립트 분석 장치 및 방법 | |
| CN111460445A (zh) | 样本程序恶意程度自动识别方法及装置 | |
| US11531748B2 (en) | Method and system for autonomous malware analysis | |
| US20220200959A1 (en) | Data collection system for effectively processing big data | |
| Nguyen et al. | Detecting repackaged android applications using perceptual hashing | |
| US20180341770A1 (en) | Anomaly detection method and anomaly detection apparatus | |
| Handaya et al. | Machine learning approach for detection of fileless cryptocurrency mining malware | |
| CN106709335B (zh) | 漏洞检测方法和装置 | |
| CN108229168B (zh) | 一种嵌套类文件的启发式检测方法、***及存储介质 | |
| CN109325348B (zh) | 应用安全的分析方法、装置、计算设备及计算机存储介质 | |
| CN111368128A (zh) | 目标图片的识别方法、装置和计算机可读存储介质 | |
| CN115766279A (zh) | 网络攻击取证方法、装置、电子设备及可读取存储介质 | |
| CN102598008A (zh) | Windows内核改变搜索方法 | |
| CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
| AbuAlghanam et al. | Android Malware Detection System Based on Ensemble Learning | |
| EP2750066B1 (en) | System and method for detecting malware that interferes with a user interface | |
| CN110719274B (zh) | 网络安全控制方法、装置、设备及存储介质 | |
| CN112347479A (zh) | 恶意软件检测的误报纠正方法、装置、设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |