[发明专利]一种靶场应用失陷状态的评估方法及装置在审
| 申请号: | 201910248280.0 | 申请日: | 2019-03-29 |
| 公开(公告)号: | CN111027062A | 公开(公告)日: | 2020-04-17 |
| 发明(设计)人: | 朱晴;曹月;徐艺航;肖新光;黄嘉燕 | 申请(专利权)人: | 哈尔滨安天科技集团股份有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56;H04L29/06 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 150028 黑龙江省哈尔滨市哈尔滨高新技术*** | 国省代码: | 黑龙江;23 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 靶场 应用 失陷 状态 评估 方法 装置 | ||
1.一种靶场应用失陷状态的评估方法,其特征在于,包括:
当应用产生衍生文件时,溯源衍生文件的创建进程,获取创建进程对应的应用名和系统资源标识;
分析衍生文件并判断衍生文件是否存在恶意属性,若存在恶意属性,则基于所述应用名和系统资源标识生成相关应用被攻陷事件。
2.如权利要求1所述的评估方法,其特征在于,还包括:若判定衍生文件不存在恶意属性,则进一步监控该衍生文件创建的子文件,分析子文件并判断子文件是否存在恶意属性,若存在恶意属性,则基于所述应用名和系统资源标识生成相关应用被攻陷事件。
3.如权利要求1或2所述的评估方法,其特征在于,所述分析衍生文件或子文件并判断衍生文件或子文件是否存在恶意属性,包括:
将所述衍生文件或子文件作为待检测文件;
利用静态序列特征检索判断待检测文件是否存在恶意属性;或者,
利用动态行为监控判断待检测文件是否存在恶意属性。
4.如权利要求3所述的评估方法,其特征在于,所述利用动态行为监控判断待检测文件是否存在恶意属性,包括:
监控待检测文件是否存在删除自身的隐藏属性;
监控待检测文件是否存在设置自启动的持久化属性;
监控待检测文件是否存在收集系统配置的可疑行为属性;
若上述行为中的一种或多种组合发生,则判定待检测文件存在恶意属性。
5.一种靶场应用失陷状态的评估装置,其特征在于,包括:
应用溯源模块,用于当应用产生衍生文件时,溯源衍生文件的创建进程,获取创建进程对应的应用名和系统资源标识;
应用评估模块,用于分析衍生文件并判断衍生文件是否存在恶意属性,若存在恶意属性,则基于所述应用名和系统资源标识生成相关应用被攻陷事件。
6.如权利要求5所述的评估装置,其特征在于,所述应用评估模块,还用于:若判定衍生文件不存在恶意属性,则进一步监控该衍生文件创建的子文件,分析子文件并判断子文件是否存在恶意属性,若存在恶意属性则基于所述应用名和系统资源标识生成相关应用被攻陷事件。
7.如权利要求5或6所述的评估装置,其特征在于,所述分析衍生文件或子文件并判断衍生文件或子文件是否存在恶意属性,包括:
将所述衍生文件或子文件作为待检测文件;
利用静态序列特征检索判断待检测文件是否存在恶意属性;或者,
利用动态行为监控判断待检测文件是否存在恶意属性。
8.如权利要求7所述的评估装置,其特征在于,所述利用动态行为监控判断待检测文件是否存在恶意属性,包括:
监控待检测文件是否存在删除自身的隐藏属性;
监控待检测文件是否存在设置自启动的持久化属性;
监控待检测文件是否存在收集系统配置的可疑行为属性;
若上述行为中的一种或多种组合发生,则判定待检测文件存在恶意属性。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于哈尔滨安天科技集团股份有限公司,未经哈尔滨安天科技集团股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201910248280.0/1.html,转载请声明来源钻瓜专利网。
