[发明专利]威胁溯源方法及相关设备有效
申请号: | 202011308949.X | 申请日: | 2020-11-20 |
公开(公告)号: | CN112131571B | 公开(公告)日: | 2021-03-19 |
发明(设计)人: | 沈江波;彭宁;谭昱;杨耀荣;罗梦霞 | 申请(专利权)人: | 腾讯科技(深圳)有限公司 |
主分类号: | G06F21/56 | 分类号: | G06F21/56 |
代理公司: | 深圳市隆天联鼎知识产权代理有限公司 44232 | 代理人: | 朱黎 |
地址: | 518057 广东省深圳*** | 国省代码: | 广东;44 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 威胁 溯源 方法 相关 设备 | ||
1.一种威胁溯源方法,其特征在于,包括:
监测可疑文本在沙箱中的运行,获得所述可疑文本的监测数据;
从所述监测数据中提取静态特征和动态行为特征;
根据所述静态特征进行线索拓线,确定针对所述可疑文本的第一溯源结果;以及
根据所述动态行为特征进行行为拓线,确定针对所述可疑文本的第二溯源结果;
将所述第一溯源结果和所述第二溯源结果进行融合,得到目标溯源结果;
其中,所述根据所述动态行为特征进行行为拓线,确定针对所述可疑文本的第二溯源结果,包括:
根据所述动态行为特征在攻击技术规则库中进行规则匹配,确定目标技术规则;
在家族库中确定所述目标技术规则对应的目标家族;
根据所述目标家族生成针对所述可疑文本的第二溯源结果。
2.根据权利要求1所述的方法,其特征在于,所述根据所述动态行为特征在攻击技术规则库中进行规则匹配,确定目标技术规则之后,所述方法还包括:
从所述攻击技术规则库中获取所述第一溯源结果所指示目标攻击者对应的历史技术规则;
若所述历史技术规则与所述目标技术规则不一致,则生成变种指示信息,通过所述变种指示信息指示所述可疑文本所来源的攻击者发生了变种。
3.根据权利要求1所述的方法,其特征在于,所述根据所述静态特征进行线索拓线,确定针对所述可疑文本的第一溯源结果,包括:
获取与所述静态特征相关联的关联信息;
根据所述关联信息与所述静态特征构建知识图谱;
根据所述知识图谱进行溯源,得到所述第一溯源结果。
4.根据权利要求3所述的方法,其特征在于,所述根据所述知识图谱进行溯源,得到所述第一溯源结果,包括:
获取所述知识图谱中各条攻击者线索所对应的线索权重;
根据各条攻击者线索所指向的攻击者和所述攻击者线索所对应的线索权重,确定所述第一溯源结果。
5.根据权利要求1所述的方法,其特征在于,所述根据所述动态行为特征在攻击技术规则库中进行规则匹配,确定目标技术规则之后,所述方法还包括:
若所述第一溯源结果指示所述可疑文本的来源方为非攻击者,则根据所述目标技术规则生成新威胁指示信息,通过所述新威胁指示信息指示所述可疑文本的来源方由非攻击者转变为了攻击者。
6.根据权利要求1所述的方法,其特征在于,所述将所述第一溯源结果和所述第二溯源结果进行融合,得到目标溯源结果之后,所述方法还包括:
获取对应于所述第一溯源结果的第一溯源信息;以及获取对应于所述第二溯源结果的第二溯源信息;
根据所述目标溯源结果、所述第一溯源信息和所述第二溯源信息生成告警提示信息。
7.根据权利要求1所述的方法,其特征在于,所述监测可疑文本在沙箱中的运行,获得所述可疑文本的监测数据之前,所述方法还包括:
获取探针所捕获到的可疑信息;
确定对应于所述可疑信息的目标分析任务;
确定与所述目标分析任务相适配的沙箱平台;
在所确定沙箱平台中部署的沙箱中运行所述可疑信息对应的可疑文本。
8.根据权利要求7所述的方法,其特征在于,所述监测可疑文本在沙箱中的运行,获得所述可疑文本的监测数据,包括:
获取为所述目标分析任务配置的监测指示信息,所述监测指示信息指示了为所述目标分析任务设置的至少一监测任务;
在所述可疑文本在沙箱中运行的过程中,对所述监测任务对应的监测对象进行监测,获得对应的监测数据。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于腾讯科技(深圳)有限公司,未经腾讯科技(深圳)有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202011308949.X/1.html,转载请声明来源钻瓜专利网。
- 上一篇:腺苷脱氨酶及其相关生物材料与应用
- 下一篇:网站管理脚本安全认证的方法及系统