公开/公告号CN103902914A
专利类型发明专利
公开/公告日2014-07-02
原文格式PDF
申请/专利权人 北京安天电子设备有限公司;
申请/专利号CN201310423156.6
申请日2013-09-17
分类号G06F21/57;
代理机构
代理人
地址 100080 北京市海淀区中关村大街1号海龙大厦14层1415室
入库时间 2023-12-16 23:56:12
法律状态公告日
法律状态信息
法律状态
2020-06-02
专利权质押合同登记的注销 IPC(主分类):G06F21/57 授权公告日:20170623 登记号:2018990001084 出质人:北京安天网络安全技术有限公司 质权人:上海浦东发展银行股份有限公司哈尔滨分行 解除日:20200508 申请日:20130917
专利权质押合同登记的生效、变更及注销
2018-12-14
专利权质押合同登记的生效 IPC(主分类):G06F21/57 登记号:2018990001084 登记生效日:20181119 出质人:北京安天网络安全技术有限公司 质权人:上海浦东发展银行股份有限公司哈尔滨分行 发明名称:一种针对高级可持续威胁的溢出漏洞检测方法及系统 授权公告日:20170623 申请日:20130917
专利权质押合同登记的生效、变更及注销
2017-06-23
授权
授权
2017-05-10
著录事项变更 IPC(主分类):G06F21/57 变更前: 变更后: 申请日:20130917
著录事项变更
2014-07-30
实质审查的生效 IPC(主分类):G06F21/57 申请日:20130917
实质审查的生效
2014-07-02
公开
公开
查看全部
技术领域
本发明涉及计算机网络安全技术领域,尤其涉及一种针对高级可持续威胁的溢出漏洞检测方法及系统。
背景技术
高级可持续威胁(APT)是指攻击者对目标展开长期、复杂的攻击。其攻击是有针对性的,并进行了长期准备而发起的。其主要特点为:攻击者具备更专业的技术能力,能够充分利用目标的漏洞,还包括利用未知漏洞的能力;APT通常持续时间较长,攻击者可能利用方方面面的机会向目标展开攻击,可能长期收集安全漏洞,最终达到自己的目的。
面对复杂的互联网安全形势和日益增长的高级可持续威胁(APT),采用文档格式溢出漏洞做为渗透进入的手段也越来越普遍。如何发现高级可持续威胁采用的入侵漏洞,以及如何发现最新的0day漏洞是检测APT需要亟待解决的问题。
传统的已知漏洞威胁主要是利用对已知漏洞的格式解析来获得,这种方法对已知漏洞的识别并不全面,并且无法有效检测高级可持续威胁可以利用的0day漏洞。
发明内容
针对上述技术问题,本发明提供了一种针对高级可持续威胁的溢出漏洞检测方法及系统,该发明通过建立从历史到最新的软件的各分支版本,并监控各分支版本是否存在溢出行为,从而更加高效的判断待检测软件是否具有0day漏洞。
本发明采用如下方法来实现:一种针对高级可持续威胁的溢出漏洞检测方法,包括:
选择待检测软件的基础版本,并记录具有补丁文件的分支版本信息;所述基础版本为待检测软件的一个或多个重要版本;
捕获网络中的可疑文档类型样本,投入虚拟机;
依据各补丁文件与各分支版本的对应关系,在虚拟机中构造各分支版本环境;以各重要版本为基础,依据各补丁文件与各分支版本的对应关系,构造各分支版本环境;
在各分支版本环境下加载并打开所述可疑文档类型样本;
监控所述可疑文档类型样本的API调用情况,判断是否存在溢出行为,若不存在则结束,否则记录所述分支版本信息,并判断所述分支版本是否是最新版本,若是,则待检测软件存在0day漏洞,否则待检测软件不存在0day漏洞,但所述可疑文档类型样本中存在利用已知漏洞进行攻击的威胁。
进一步地,所述补丁文件为CVE漏洞补丁文件。
进一步地,所述溢出行为包括:创建可疑进程,创建PE文件或者远程注入行为。
一种针对高级可持续威胁的溢出漏洞检测系统,包括:
预检测模块,选择待检测软件的基础版本,并记录具有补丁文件的分支版本信息;所述基础版本为待检测软件的一个或多个重要版本;
样本捕获模块,捕获网络中的可疑文档类型样本,投入虚拟机;
分支版本构造模块,依据各补丁文件与各分支版本的对应关系,在虚拟机中构造各分支版本环境;
执行模块,在各分支版本环境下加载并打开所述可疑文档类型样本;
判定模块,监控所述可疑文档类型样本的API调用情况,判断是否存在溢出行为,若不存在则结束,否则记录所述分支版本信息,并判断所述分支版本是否是最新版本,若是,则待检测软件存在0day漏洞,否则待检测软件不存在0day漏洞,但所述可疑文档类型样本中存在利用已知漏洞进行攻击的威胁。
进一步地,所述补丁文件为CVE漏洞补丁文件。
进一步地,所述溢出行为包括:创建可疑进程,创建PE文件或者远程注入行为。
综上所述,本发明提供了一种针对高级可持续威胁的溢出漏洞检测方法及系统,首先,利用待检测软件的现有的补丁文件和对应分支版本的关系,建立各分支版本环境,打开在网络捕获的可疑文档类型样本,监控在各分支版本环境下的API动作情况,从而确定是否发生溢出行为,是否存在0day漏洞,最终实现比现有技术更高效的检测已知漏洞和未知漏洞的目标。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种针对高级可持续威胁的溢出漏洞检测方法流程图;
图2为本发明提供的一种针对高级可持续威胁的溢出漏洞检测系统结构图。
具体实施方式
本发明给出了一种针对高级可持续威胁的溢出漏洞检测方法及系统,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种针对高级可持续威胁的溢出漏洞检测方法,如图1所示,包括:
S101选择待检测软件的基础版本,并记录具有补丁文件的分支版本信息;所述基础版本为待检测软件的一个或多个重要版本;
S102捕获网络中的可疑文档类型样本,投入虚拟机;
S103依据各补丁文件与各分支版本的对应关系,在虚拟机中构造各分支版本环境;
S104在各分支版本环境下加载并打开所述可疑文档类型样本;
S105监控所述可疑文档类型样本的API调用情况,判断是否存在溢出行为,若不存在则结束,否则执行S106;
S106记录所述分支版本信息,并判断所述分支版本是否是最新版本,若是,则待检测软件存在0day漏洞,否则待检测软件不存在0day漏洞,但所述可疑文档类型样本中存在利用已知漏洞进行攻击的威胁。
优选地,所述补丁文件为CVE漏洞补丁文件。
优选地,所述溢出行为包括:创建可疑进程,创建PE文件或者远程注入行为
本发明其次提供了一种针对高级可持续威胁的溢出漏洞检测系统,如图2所示,包括:
预检测模块201,选择待检测软件的基础版本,并记录具有补丁文件的分支版本信息;所述基础版本为待检测软件的一个或多个重要版本;
样本捕获模块202,捕获网络中的可疑文档类型样本,投入虚拟机;
分支版本构造模块203,依据各补丁文件与各分支版本的对应关系,在虚拟机中构造各分支版本环境;
执行模块204,在各分支版本环境下加载并打开所述可疑文档类型样本;
判定模块205,监控所述可疑文档类型样本的API调用情况,判断是否存在溢出行为,若不存在则结束,否则记录所述分支版本信息,并判断所述分支版本是否是最新版本,若是,则待检测软件存在0day漏洞,否则待检测软件不存在0day漏洞,但所述可疑文档类型样本中存在利用已知漏洞进行攻击的威胁。
优选地,所述补丁文件为CVE漏洞补丁文件。
优选地,所述溢出行为包括:创建可疑进程,创建PE文件或者远程注入行为。
如上所述,本发明给出了一种针对高级可持续威胁的溢出漏洞检测方法及系统,其与传统方法的区别在于,对于传统方法来说,利用已知漏洞的格式解析来检测已知漏洞,但是其方法不能全面检测已知漏洞,对于未知漏洞束手无策,本发明是利用对历史至最新版本的软件进行动态检测,判断其是否发生溢出行为,并通过查看发生溢出行为的软件版本是否最新,来判断所述漏洞是否是0day漏洞。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。
机译: 一种针对爆炸性威胁提供保护的系统
机译: 一种针对爆炸性威胁提供保护的系统
机译: 一种针对数据库的计算机攻击的检测方法,计算机程序产品及其检测系统