本技术涉及网络安全领域,尤其涉及一种恶意代码检测方法及相关装置。
背景技术:
1、恶意代码是一种有害的计算机代码或web脚本,其设计目的是创建系统漏洞,并借以造成后门、安全隐患、加密勒索、数据外泄等潜在破坏。
2、常见的恶意代码检测方法是,由安全防护设备根据该安全防护设备采集到的信息检测是否存在恶意代码,检测精度较低。
技术实现思路
1、本技术提供了一种恶意代码检测方法及相关装置,所述方法通过安全防护设备侧提供的信息和对应终端设备侧提供的信息,检测终端设备上是否存在恶意代码,通过多端设备提供的多个信息进行判断,提高了检测精度。
2、第一方面,本技术提供了一种恶意代码检测方法,所述方法包括:获取第一告警信息,所述第一告警信息指示安全防护设备检测到数据流中存在可疑威胁,所述第一告警信息包括所述数据流的五元组;响应于获取到所述第一告警信息,获取所述五元组中的源地址或目的地址所指示的终端设备的日志信息,所述日志信息中包括与所述五元组关联的进程链以及所述进程链关联的第二告警信息;基于所述第一告警信息和所述日志信息,判断所述终端设备上是否存在恶意代码。
3、本技术方案中,基于安全防护设备侧的第一告警信息和终端设备侧的日志信息,判断终端设备上是否存在恶意代码,而非通过单侧设备(例如:仅通过安全防护设备侧)的信息来判断终端设备上是否存在恶意代码,通过多端设备提供的多个信息进行判断,结果更准确,判断速度更快。另外,本技术方案中,由安全防护设备检测到可疑威胁时触发判断操作,而不是在终端设备检测到威胁时再进行判断操作,使得设备能够尽快、尽早地介入判断和阻断操作,减少恶意代码或威胁造成的伤害。
4、基于第一方面,在可能的实现方式中,所述基于所述第一告警信息和所述日志信息,判断所述终端设备上是否存在恶意代码,包括:基于所述第一告警信息和所述日志信息,生成威胁子图,所述威胁子图指示所述可疑威胁入侵所述安全防护设备和所述终端设备所在网络的步骤;基于所述威胁子图,判断所述终端设备上是否存在恶意代码。
5、可以看到,可以根据第一告警信息和日志信息,建立威胁子图,通过威胁子图,获得可疑威胁入侵网络的过程、步骤,根据所述过程、步骤,确定终端设备上是否存在恶意代码。
6、基于第一方面,在可能的实现方式中,所述与所述五元组关联的进程链包括所述五元组对应的进程、与所述五元组对应的进程具有调用关系的至少一个进程,所述日志信息中还包括所述进程链包括的各个进程相关的文件,
7、所述基于所述第一告警信息和所述日志信息,生成威胁子图,包括:以所述进程链包括的各个进程、以及所述各个进程相关的文件为节点,以所述各个进程之间的调用关系、所述各个进程与所述各个进程相关的文件之间的访问关系为边,将所述第一告警信息和所述进程链关联的第二告警信息作为对应进程节点的属性信息,建立所述威胁子图。
8、可以理解,第一告警信息中包括五元组信息,将与五元组关联的进程链中的各个进程以及各个进程相关的文件,建立至威胁子图中,以便后续基于威胁子图判断终端设备上是否存在恶意代码,使得判断结果更加精准。其中,进程相关的文件包括进程文件、进程操作的文件和进程操作的注册表表项中的一项或多项。
9、基于第一方面,在可能的实现方式中,所述基于所述第一威胁子图,判断所述终端设备上是否存在恶意代码,包括:基于所述威胁子图,判断是否存在恶意行为;当存在所述恶意行为时,确定所述终端设备上存在恶意代码;其中,所述恶意行为包括如下一项或多项行为:攻击入侵尝试、破坏所述终端设备的本地保护机制、将恶意样本持久化在终端设备上、提升所述恶意样本的权限、询问外界控制端是否侵入所述终端设备、强制终止所述终端设备上的业务进程、向所述终端设备侵入恶意文件、向用户显示勒索弹窗、反追踪溯源。
10、基于第一方面,在可能的实现方式中,所述方法还包括:在确定所述终端设备上存在恶意代码的情况下,生成第一处置策略和第二处置策略,所述第一处置策略和所述第二处置策略用于阻断所述恶意代码的攻击,所述第一处置策略应用于所述安全防护设备上,所述第二处置策略应用于所述终端设备上。
11、可以理解,在确定终端设备上存在恶意代码的情况下,通过多个处置策略从多个设备着手,阻断恶意代码的攻击,比如,在安全防护设备侧应用第一处置策略,在终端设备侧应用第二处置策略,使得阻断恶意代码或阻断威胁的速度更快,从而减少对终端设备的攻击。
12、基于第一方面,在可能的实现方式中,所述可疑威胁包括通用漏洞披露cve、恶意软件外联操作、web类攻击等。
13、基于第一方面,在可能的实现方式中,所述方法应用于恶意代码检测装置,所述恶意代码检测装置位于所述安全防护设备上或者所述终端设备上,或者,所述恶意代码检测装置位于私有云中或者公有云中。
14、第二方面,本技术提供了一种恶意代码检测装置,所述装置包括:
15、获取模块,用于获取第一告警信息,所述第一告警信息指示安全防护设备检测到数据流中存在可疑威胁,所述第一告警信息包括所述数据流的五元组;
16、所述获取模块还用于,响应于获取到所述第一告警信息,获取所述五元组中的源地址或目的地址所指示的终端设备的日志信息,所述日志信息中包括与所述五元组关联的进程链以及所述进程链关联的第二告警信息;
17、判断模块,用于基于所述第一告警信息和所述日志信息,判断所述终端设备上是否存在恶意代码。
18、基于第二方面,在可能的实现方式中,所述装置还包括生成模块,
19、所述生成模块用于,基于所述第一告警信息和所述日志信息,生成威胁子图,所述威胁子图指示所述可疑威胁入侵所述安全防护设备和所述终端设备所在网络的步骤;
20、所述判断模块用于,基于所述威胁子图,判断所述终端设备上是否存在恶意代码。
21、基于第二方面,在可能的实现方式中,所述与所述五元组关联的进程链包括所述五元组对应的进程、与所述五元组对应的进程具有调用关系的至少一个进程,所述日志信息中还包括所述进程链包括的各个进程相关的文件,
22、所述生成模块用于:
23、以所述进程链包括的各个进程、以及所述各个进程相关的文件为节点,以所述各个进程之间的调用关系、所述各个进程与所述各个进程相关的文件之间的访问关系为边,将所述第一告警信息和所述进程链关联的第二告警信息作为对应进程节点的属性信息,建立所述威胁子图。
24、基于第二方面,在可能的实现方式中,所述判断模块用于:
25、基于所述威胁子图,判断是否存在恶意行为;当存在所述恶意行为时,确定所述终端设备上存在恶意代码;其中,所述恶意行为包括如下一项或多项行为:攻击入侵尝试、破坏所述终端设备的本地保护机制、将恶意样本持久化在终端设备上、提升所述恶意样本的权限、询问外界控制端是否侵入所述终端设备、强制终止所述终端设备上的业务进程、向所述终端设备侵入恶意文件、向用户显示勒索弹窗、反追踪溯源。
26、基于第二方面,在可能的实现方式中,所述判断模块还用于:
27、在确定所述终端设备上存在恶意代码的情况下,生成第一处置策略和第二处置策略,所述第一处置策略和所述第二处置策略用于阻断所述恶意代码的攻击,所述第一处置策略应用于所述安全防护设备上,所述第二处置策略应用于所述终端设备上。
28、基于第二方面,在可能的实现方式中,所述可疑威胁包括通用漏洞披露cve、恶意软件外联操作、web类攻击等。
29、基于第二方面,在可能的实现方式中,所述恶意代码检测装置位于所述安全防护设备上或者所述终端设备上,或者,所述恶意代码检测装置位于私有云中或者公有云中。
30、第二方面的各个功能模块用于实现上述第一方面以及第一方面的任意一种可能的实现方式所述的方法。
31、第三方面,本技术提供了一种恶意代码检测设备,包括存储器和处理器,所述存储器用于存储指令,所述处理器调用所述存储器中存储的所述指令,执行上述第一方面以及第一方面的任意一种可能的实现方式所述的方法。
32、第四方面,本技术提供了一种计算机存储介质,包括指令,当所述指令运行在处理器上时,使得所述处理器执行上述第一方面以及第一方面的任意一种可能的实现方式所述的方法。
33、第五方面,本技术提供了一种计算机程序产品,包括程序指令,当所述程序指令运行在处理器上时,使得所述处理器执行上述第一方面以及第一方面的任意一种可能的实现方式所述的方法。
1.一种恶意代码检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述基于所述第一告警信息和所述日志信息,判断所述终端设备上是否存在恶意代码,包括:
3.根据权利要求2所述的方法,其特征在于,所述与所述五元组关联的进程链包括所述五元组对应的进程、与所述五元组对应的进程具有调用关系的至少一个进程,所述日志信息中还包括所述进程链包括的各个进程相关的文件,
4.根据权利要求2或3所述的方法,其特征在于,所述基于所述第一威胁子图,判断所述终端设备上是否存在恶意代码,包括:
5.根据权利要求1至4任一项所述的方法,其特征在于,所述方法还包括:
6.根据权利要求1至5任一项所述的方法,其特征在于,所述可疑威胁包括通用漏洞披露cve,恶意代码外联操作,或者web类攻击。
7.根据权利要求1至6任一项所述的方法,其特征在于,所述方法应用于恶意代码检测装置,所述恶意代码检测装置位于所述安全防护设备上或者所述终端设备上,或者,所述恶意代码检测装置位于私有云中或者公有云中。
8.一种恶意代码检测装置,其特征在于,所述装置包括:
9.根据权利要求8所述的装置,其特征在于,所述装置还包括生成模块,
10.根据权利要求9所述的装置,其特征在于,所述与所述五元组关联的进程链包括所述五元组对应的进程、与所述五元组对应的进程具有调用关系的至少一个进程,所述日志信息中还包括所述进程链包括的各个进程相关的文件,
11.根据权利要求9或10所述的装置,其特征在于,所述判断模块用于:
12.根据权利要求8至11任一项所述的装置,其特征在于,所述判断模块还用于:
13.根据权利要求8至12任一项所述的装置,其特征在于,所述可疑威胁包括通用漏洞披露cve,恶意软件外联操作,或者web类攻击。
14.根据权利要求8至13任一项所述的装置,其特征在于,所述恶意代码检测装置位于所述安全防护设备上或者所述终端设备上,或者,所述恶意代码检测装置位于私有云中或者公有云中。
15.一种恶意代码检测设备,其特征在于,包括存储器和处理器,所述存储器用于存储指令,所述处理器调用所述存储器中存储的所述指令,执行如权利要求1至7任一项所述的方法。
16.一种计算机存储介质,其特征在于,包括指令,当所述指令运行在处理器上时,使得所述处理器执行如权利要求1至7任一项所述的方法。
17.一种计算机程序产品,其特征在于,包括程序指令,当所述程序指令在处理器上运行时,使得所述处理器执行如权利要求1至7任一项所述的方法。
