[发明专利]一种靶场应用失陷状态的评估方法及装置

说明书

本发明实施例公开了一种靶场应用失陷状态的评估方法及装置，涉及网络安全技术领域，不需要对所有应用服务进行监控，因此节省了系统资源，包括：当应用产生衍生文件时，溯源衍生文件的创建进程，获取创建进程对应的应用名和系统资源标识；分析衍生文件并判断衍生文件是否存在恶意属性，若存在恶意属性，则基于所述应用名和系统资源标识生成相关应用被攻陷事件。本发明通过对衍生文件的监控与分析，进而分析评估靶场中靶标的状态。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种靶场应用失陷状态的评估方法及装置。

背景技术

网络靶场需要对攻防结果进行准确的统计与评估。通常靶场采用监控靶标是否被攻击来评估攻防的情况。由于操作系统具有多任务多进程的属性，从众多的应用服务中难以准确高效的定位出被攻击失陷的应用服务。传统方法对于服务的监控，产生了巨大的无效数据，对于攻击的判断与定位，造成了巨大的干扰，不仅影响靶场的性能，而且产生了巨大的存储成本负担。

发明内容

有鉴于此，本发明实施例提供一种靶场应用失陷状态的评估方法及装置，通过分析应用产生的衍生文件是否存在恶意属性，进而判定相关应用是否被攻陷。

第一方面，本发明实施例提供一种靶场应用失陷状态的评估方法，包括：

当应用产生衍生文件时，溯源衍生文件的创建进程，获取创建进程对应的应用名和系统资源标识；

分析衍生文件并判断衍生文件是否存在恶意属性，若存在恶意属性，则基于所述应用名和系统资源标识生成相关应用被攻陷事件。

根据本发明实施例的一种具体实现方式，还包括：若判定衍生文件不存在恶意属性，则进一步监控该衍生文件创建的子文件，分析子文件并判断子文件是否存在恶意属性，若存在恶意属性，则基于所述应用名和系统资源标识生成相关应用被攻陷事件。

根据本发明实施例的一种具体实现方式，所述分析衍生文件或子文件并判断衍生文件或子文件是否存在恶意属性，包括：

将所述衍生文件或子文件作为待检测文件；

利用静态序列特征检索判断待检测文件是否存在恶意属性；或者，

利用动态行为监控判断待检测文件是否存在恶意属性。

根据本发明实施例的一种具体实现方式，所述利用动态行为监控判断待检测文件是否存在恶意属性，包括：

监控待检测文件是否存在删除自身的隐藏属性；

监控待检测文件是否存在设置自启动的持久化属性；

监控待检测文件是否存在收集系统配置的可疑行为属性；

若上述行为中的一种或多种组合发生，则判定待检测文件存在恶意属性。

第二方面，本发明实施例提供一种靶场应用失陷状态的评估装置，包括：

应用溯源模块，用于当应用产生衍生文件时，溯源衍生文件的创建进程，获取创建进程对应的应用名和系统资源标识；

应用评估模块，用于分析衍生文件并判断衍生文件是否存在恶意属性，若存在恶意属性，则基于所述应用名和系统资源标识生成相关应用被攻陷事件。

根据本发明实施例的一种具体实现方式，所述应用评估模块，还用于：若判定衍生文件不存在恶意属性，则进一步监控该衍生文件创建的子文件，分析子文件并判断子文件是否存在恶意属性，若存在恶意属性则基于所述应用名和系统资源标识生成相关应用被攻陷事件。

根据本发明实施例的一种具体实现方式，所述分析衍生文件或子文件并判断衍生文件或子文件是否存在恶意属性，具体用于：

将所述衍生文件或子文件作为待检测文件；