[發明專利]一種基于載荷分析的威脅預測方法、裝置及存儲設備有效
| 申請號: | 201910343300.2 | 申請日: | 2019-04-26 |
| 公開(公告)號: | CN111030975B | 公開(公告)日: | 2023-02-28 |
| 發明(設計)人: | 李林哲;梅宇生;關墨辰;肖新光 | 申請(專利權)人: | 北京安天網絡安全技術有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40;G06F21/57 |
| 代理公司: | 暫無信息 | 代理人: | 暫無信息 |
| 地址: | 100195 北京市海淀區*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 載荷 分析 威脅 預測 方法 裝置 存儲 設備 | ||
1.一種基于載荷分析的威脅預測方法,其特征在于:
提取載荷樣本;
對所述載荷樣本進行分析,判斷是否為惡意載荷;
若為惡意載荷,提取所述載荷樣本的網絡聯通關系、脫殼dump及內存dump;
提取所述載荷樣本的網絡聯通關系中的資產IP地址,與資產信息庫中的資產IP地址進行對比,若網絡聯通關系中的資產IP地址包含資產信息庫中的資產IP地址,則預測下一步攻擊對象為資產信息庫中IP地址對應的資產;
否則,將所述載荷樣本的脫殼dump及內存dump與資產信息庫中的資產域名,機器名,主機域賬號名,責任人員姓名、維護人員姓名進行對比,若全部命中,則預測下一步攻擊對象為資產信息庫中資產域名對應的資產;
否則,將所述載荷樣本的脫殼dump及內存dump與敏感詞庫中的敏感詞匯進行對比,若命中,則預測下一步攻擊對象為敏感詞匯對應的資產,其中敏感詞庫用于集合描述用戶業務的敏感詞匯。
2.如權利要求1所述的方法,其特征在于,若預測到下一步攻擊對象,則通過郵件、短信以及電話的消息方式通知對應用戶。
3.一種基于載荷分析的威脅預測裝置,其特征在于,所述裝置包括存儲器和處理器,所述存儲器用于存儲多條指令,所述處理器用于加載所述存儲器中存儲的指令以執行:
提取載荷樣本;
對所述載荷樣本進行分析,判斷是否為惡意載荷;
若為惡意載荷,提取所述載荷樣本的網絡聯通關系、脫殼dump及內存dump;
提取所述載荷樣本的網絡聯通關系中的資產IP地址,與資產信息庫中的資產IP地址進行對比,若網絡聯通關系中的資產IP地址包含資產信息庫中的資產IP地址,則預測下一步攻擊對象為資產信息庫中IP地址對應的資產;
否則,將所述載荷樣本的脫殼dump及內存dump與資產信息庫中的資產域名,機器名,主機域賬號名,責任人員姓名、維護人員姓名進行對比,若全部命中,則預測下一步攻擊對象為資產信息庫中資產域名對應的資產;
否則,將所述載荷樣本的脫殼dump及內存dump與敏感詞庫中的敏感詞匯進行對比,若命中,則預測下一步攻擊對象為敏感詞匯對應的資產,其中敏感詞庫用于集合描述用戶業務的敏感詞匯。
4.如權利要求3所述的裝置,其特征在于,所述處理器還用于加載所述存儲器中存儲的指令以執行:
若預測到下一步攻擊對象,則通過郵件、短信以及電話的消息方式通知對應用戶。
5.一種基于載荷分析的威脅預測裝置,其特征在于,包括:
載荷提取模塊:用于提取載荷樣本;
載荷分析模塊:用于對所述載荷樣本進行分析;
載荷判斷模塊:用于判斷是否為惡意載荷;
提取模塊:若為惡意載荷,用于提取所述載荷樣本的網絡聯通關系、脫殼dump及內存dump;
對比預測模塊:用于提取所述載荷樣本的網絡聯通關系中的資產IP地址,與資產信息庫中的資產IP地址進行對比,若網絡聯通關系中的資產IP地址包含資產信息庫中的資產IP地址,則預測下一步攻擊對象為資產信息庫中IP地址對應的資產;
否則,將所述載荷樣本的脫殼dump及內存dump與資產信息庫中的資產域名,機器名,主機域賬號名,責任人員姓名、維護人員姓名進行對比,若全部命中,則預測下一步攻擊對象為資產信息庫中資產域名對應的資產;
否則,將所述載荷樣本的脫殼dump及內存dump與敏感詞庫中的敏感詞匯進行對比,若命中,則預測下一步攻擊對象為敏感詞匯對應的資產,其中敏感詞庫用于集合描述用戶業務的敏感詞匯。
6.一種存儲設備,其特征在于,所述存儲設備中存儲有多條指令,所述指令適于由處理器加載并執行權利要求1-2任一所述的方法的步驟。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京安天網絡安全技術有限公司,未經北京安天網絡安全技術有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201910343300.2/1.html,轉載請聲明來源鉆瓜專利網。
