[发明专利]威胁情报分析方法和装置在审
| 申请号: | 201711010422.7 | 申请日: | 2017-10-26 |
| 公开(公告)号: | CN109714296A | 公开(公告)日: | 2019-05-03 |
| 发明(设计)人: | 吴吞;庆骏凡;姚腾东;王玉良 | 申请(专利权)人: | 中国电信股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 中国国际贸易促进委员会专利商标事务所 11038 | 代理人: | 刘剑波 |
| 地址: | 100033 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 情报分析 可疑特征 威胁 方法和装置 攻击特征 应用 安全领域 移动应用 大数据 动态的 样本库 样本 检索 关联 对抗 检测 分析 | ||
1.一种威胁情报分析方法,包括:
获取待检测的应用样本;
对所述应用样本进行分析,以得到可疑特征;
根据所述可疑特征在样本库中进行检索,以得到具有所述可疑特征的恶意应用;
提取与所述恶意应用相关联的攻击特征;
根据所述攻击特征生成相应的威胁情报分析报告。
2.根据权利要求1所述的方法,其中:
对所述应用样本进行分析包括以下的至少一种情况:
对所述应用样本的图标进行分析,将与指定图标相似的相似图标作为可疑特征;
对所述应用样本的证书进行分析,将重复签名作为可疑特征;
对所述应用样本的链接进行分析,将恶意链接作为可疑特征。
3.根据权利要求2所述的方法,其中:
检索恶意应用包括以下的至少一种情况:
将具有所述相似图标的全部应用作为恶意应用;
将具有所述重复签名的全部应用作为恶意应用;
将具有所述恶意链接的全部应用作为恶意应用。
4.根据权利要求1-3中任一项所述的方法,还包括:
将所述待检测的应用样本添加到所述样本库中;
将所述可疑特征进行标识,以便对所述样本库进行更新。
5.一种威胁情报分析装置,包括:
获取模块,被配置为获取待检测的应用样本;
分析模块,被配置为对所述应用样本进行分析,以得到可疑特征;
检索模块,被配置为根据所述可疑特征在样本库中进行检索,以得到具有所述可疑特征的恶意应用;
攻击特征提取模块,被配置为提取与所述恶意应用相关联的攻击特征;
分析报告生成模块,被配置为根据所述攻击特征生成相应的威胁情报分析报告。
6.根据权利要求5所述的装置,其中:
分析模块被配置为执行以下的至少一种操作:对所述应用样本的图标进行分析,将与指定图标相似的相似图标作为可疑特征;对所述应用样本的证书进行分析,将重复签名作为可疑特征;对所述应用样本的链接进行分析,将恶意链接作为可疑特征。
7.根据权利要求6所述的装置,其中:
检索模块被配置为执行以下的至少一种操作:将具有所述相似图标的全部应用作为恶意应用;将具有所述重复签名的全部应用作为恶意应用;将具有所述恶意链接的全部应用作为恶意应用。
8.根据权利要求5-7中任一项所述的装置,还包括:
更新模块,被配置为将所述待检测的应用样本添加到所述样本库中;将所述可疑特征进行标识,以便对所述样本库进行更新。
9.一种威胁情报分析装置,包括:
存储器,被配置为存储指令;
处理器,耦合到存储器,处理器被配置为基于存储器存储的指令执行实现如权利要求1-4中任一项的方法。
10.一种计算机可读存储介质,其中,
计算机可读存储介质存储有计算机指令,指令被处理器执行时实现如权利要求1-4中任一项的方法。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国电信股份有限公司,未经中国电信股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201711010422.7/1.html,转载请声明来源钻瓜专利网。
