本发明涉及安全检测领域,特别是涉及一种apt攻击检测方法、系统、装置、介质及设备。
背景技术:
1、apt(advancedpersistentthreat----高级持续性威胁)组织会针对客户某场景下的生产环境,进行前期信息探测以了解该环境的特征,然后对应开发针对该场景下的恶意软件。同时apt组织在开发相关样本时,会设置一些对应的绕杀措施,以对特定的杀毒软件进行绕过。同时,还由于apt组织的相关攻击样本具有隐蔽性以及样本独一性,不利于被检出。故此,常见杀毒软件无法检测到该攻击,进而使得被apt组织攻击的单位无法感知到是否被攻击。
技术实现思路
1、针对上述常见杀毒软件无法检测到该攻击,进而使得被apt组织攻击的单位无法感知到是否被攻击的技术问题,本发明采用的技术方案为:
2、根据本发明的一个方面,提供了一种apt攻击检测方法,方法包括如下步骤:
3、响应于检测指令,将待测主机中的所有可执行文件与预设黑白名单库进行匹配,生成第一灰名单;
4、对第一灰名单中对应的每一可执行文件进行数字签名校验处理,生成第二灰名单;
5、对第二灰名单中的对应的每一可执行文件进行沙箱检测处理,生成第三灰名单;
6、对第三灰名单中对应的每一可执行文件进行信息提取处理,生成第三灰名单中对应的每一可执行文件的检测信息;
7、基于所述可执行文件的检测信息,判断是否存在apt攻击。
8、在本发明中,进一步的,将待测主机中的所有可执行文件与预设黑白名单库进行匹配,包括:
9、将待测主机中的所有可执行文件的md5值与预设黑白名单库进行匹配。
10、第一灰名单中包括匹配失败的可执行文件的文件名。
11、在本发明中,进一步的,数字签名校验处理包括:
12、检测可执行文件是否具有数字签名。
13、若可执行文件具有数字签名,则检测数字签名是否有效。
14、若数字签名有效,则可执行文件校验成功。
15、若不具有数字签名或数字签名无效,则可执行文件校验失败;
16、第二灰名单中包括校验失败或无法进行校验的可执行文件的文件名。
17、在本发明中,进一步的,沙箱检测处理包括:
18、对可执行文件进行静态检测,确定可执行文件运行所需要的文件配置信息。以及获取可执行文件所在待测主机的配置信息。
19、根据文件配置信息及所在待测主机的配置信息,在沙箱中搭建可执行文件运行所需要的运行环境,以模拟可执行文件真实运行环境。
20、在沙箱中运行可执行文件,并监控可执行文件运行过程中的行为信息。
21、基于行为信息,生成可执行文件的运行结果。
22、在本发明中,进一步的,基于行为信息,生成可执行文件的运行结果,包括:
23、若行为信息包括存在进程正在进行收集系统信息或运行于系统上的应用软件信息或用户操作系统及应用软件的日志信息的至少一种,则确定在沙箱中运行了可疑的可执行文件;
24、第三灰名单中包括在沙箱中运行可疑的可执行文件的文件名。。
25、在本发明中,进一步的,信息提取处理用于获取每一可执行文件的属性信息及存放路径属性信息包括可执行文件的文件创建时间、文件修改时间、文件类型、文件大小及可执行文件所在待测主机的主机id。
26、根据本发明的第二个方面,提供了一种apt攻击检测系统,包括:服务器及多个客户端,每一客户端均与服务器通信连接。
27、每一客户端用于执行上述的apt检测方法。
28、服务器用于更新预设黑白名单库及接收检测信息。
29、根据本发明的第三个方面,提供了一种apt攻击检测装置,包括:
30、第一检测模块,用于响应于检测指令,将待测主机中的所有可执行文件与预设黑白名单库进行匹配,生成第一灰名单。
31、第二检测模块,用于对第一灰名单中对应的每一可执行文件进行数字签名校验处理,生成第二灰名单。
32、第三检测模块,用于对第二灰名单中的对应的每一可执行文件进行沙箱检测处理,生成第三灰名单。
33、生成模块,用于对第三灰名单中对应的每一可执行文件进行信息提取处理,生成第三灰名单中对应的每一可执行文件的检测信息。
34、判断模块,用于基于所述可执行文件的检测信息,判断是否存在apt攻击。
35、根据本发明的第四个方面,提供了一种非瞬时性计算机可读存储介质,非瞬时性计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现上述的一种apt攻击检测方法。
36、根据本发明的第五个方面,提供了一种电子设备,包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述的一种apt攻击检测方法。
37、本发明至少具有以下有益效果:
38、本发明中通过依次黑白名单库匹配、数字签名校验以及沙箱检测处理等检测手段,可以形成严格程度逐级增加的多级检测方式,进而对待测主机上的所有可执行文件逐步进行筛选,以检测出待检测主机中的未知可执行文件,也即第三灰名单中对应的可执行文件。由于,该可执行文件无法通过上述3种检测手段,可以确定出现有的绝大部分的恶意可执行文件以及非恶意的可执行文件,所以剩余的无法确定其身份的可执行文件,极有可能为apt组织所使用的相关攻击样本。由此,可以快速确定apt组织所使用的相关攻击样本可能存在的范围。然后再对第三灰名单中对应的每一可执行文件进行信息提取处理,以生成第三灰名单中对应的每一可执行文件的检测信息。通过该检测信息作为对应的apt攻击的判断依据,以便于更加快速准确的对待测主机进行安全检测。
1.一种apt攻击检测方法,其特征在于,所述方法包括如下步骤:
2.根据权利要求1所述的方法,其特征在于,将待测主机中的所有可执行文件与预设黑白名单库进行匹配,包括:
3.根据权利要求1所述的方法,其特征在于,数字签名校验处理包括:
4.根据权利要求1所述的方法,其特征在于,所述沙箱检测处理包括:
5.根据权利要求4所述的方法,其特征在于,基于所述行为信息,生成所述可执行文件的运行结果,包括:
6.根据权利要求1所述的方法,其特征在于,所述信息提取处理用于获取每一可执行文件的属性信息及存放路径,所述属性信息包括可执行文件的文件创建时间、文件修改时间、文件类型、文件大小及可执行文件所在待测主机的主机id。
7.一种apt攻击检测系统,其特征在于,包括:服务器及多个客户端,每一所述客户端均与所述服务器通信连接;
8.一种apt攻击检测装置,其特征在于,包括:
9.一种非瞬时性计算机可读存储介质,所述非瞬时性计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的一种apt攻击检测方法。
10.一种电子设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的一种apt攻击检测方法。