【技术实现步骤摘要】
本专利技术属于网络安全,具体涉及一种基于程序执行缓存技术实现的安全威胁检测方法。
技术介绍
1、目前,计算机系统面临着日益复杂和多样化的安全威胁,恶意软件、黑客攻击、后门植入等安全事件层出不穷,传统的安全检测手段依赖于恶意程序行为分析,要花费大量的时间和资源来分析程序的行为模式,因此如何设计一种快速准确的安全威胁检测方法成为一个重要问题。
技术实现思路
1、(一)要解决的技术问题
2、由于网络安全安全问题日益突出,终端侧威胁发现始终存在资源消耗高、检测效率低、实时检测难度大等问题,本专利技术提供一种基于shimcache缓存技术实现的安全威胁检测方法。
3、(二)技术方案
4、为了解决上述技术问题,本专利技术提供了一种基于程序执行缓存技术实现的安全威胁检测方法,包括以下步骤:
5、步骤1:从多个数据来源获取shimcache缓存数据;
6、步骤2:解析shimcache缓存数据的系统信息;
7、步骤3:基于解析到的系统信息解析shimcache缓存数据;
8、步骤4:构建恶意行为特征库;
9、步骤5:将步骤3解析得到的shimcache缓存数据中的程序信息与恶意行为特征库进行匹配,若发现系统中存在可疑程序,则产生异常行为告警;
10、步骤6:进行异常行为分析与应急响应。
11、优选地,步骤1中获取shimcache缓存数据的第一种方式是从系统本地注册表中收集shi
12、①遍历读取系统注册表hklm\system下的所有子键,并获取子键名称;
13、②若子键名称包含“controlset”字符串,则将子键名称存入control_name列表,以解决存在多个controlset的情况下获取所有的缓存数据的问题;
14、③继续遍历读取control_name列表下的\control\sessionmanager\处的子键,若该处子键包含“appcompatcache”或“appcompatibility”字符串特征,则将子键名称存入appcompat_name列表,并提取对应键值;
15、④将键值与路径信息组合,实现shimcache内容提取,其中路径信息为
16、hklm\system\control_name\control\sessionmanager\appcompat_name。
17、优选地,步骤1中获取shimcache缓存数据的第二种方式是从系统内存中解析shimcache缓存数据,实现方式如下:
18、①利用开源工具dumplt对系统内存进行镜像,得到镜像文件;
19、②利用volatility对镜像文件进行数据搜索:
20、对于windows xp:首先找到所有进程的列表,然后在每个进程的句柄表中搜索名为 "shimsharedmemory" 的节对象,然后根据这个节对象中的“segment”段或中指针来定位shimcache缓存数据;
21、对于windows server 2003 至 windows 7:shimcache缓存数据通常位于 nt 内核模块的.data和page节中,在page节中搜索_rtl_avl_table对象,_rtl_avl_table对象后跟随一个shimcache缓存数据的列表。
22、优选地,步骤2中采用特征比对法对系统信息进行判断,检查shimcache缓存数据中的二进制内容前4个字节magic tag的数值,若为0xbadc0fee,则判断为windows7系统;检查二进制内容中unicode_string的大小,若为8字节,则判断为32位系统。
23、优选地,步骤3中采用循环处理法对shimcache缓存数据进行内容提取,根据系统信息解析shimcache缓存数据的内容,生成程序执行列表,程序执行列表中的内容包括程序名称、程序路径、最后修改时间、文件大小、执行标志。
24、优选地,步骤3中解析shimcache缓存数据的内容,生成程序执行列表的具体实现方式如下:
25、①初始化变量:首先初始化一些变量,包括用于存储解析结果的entry_list列表,即所述程序执行列表,以及一些用于解析数据的常量;
26、②跳过头部统计信息:shimcache缓存数据的开始部分包含一些统计信息,使用cache_data = bin_data[win8_stats_size:]跳过这些信息;
27、③遍历数据:使用一个while循环遍历整个shim cache缓存数据,在每次迭代中,读取并解析一个shimcache条目;
28、④读取并检查魔数:每个条目的开始部分包含一个魔数(magic number),读取这个魔数,并检查它是否与预期的值匹配;
29、⑤读取路径:接下来,读取条目中的路径,路径是以utf-16le编码的字符串形式存储的,将其解码为utf-8编码;
30、⑥跳过包数据:如果条目中包含包数据,则跳过这些包数据;
31、⑦读取其他信息:接着读取条目中的其他信息,包括标志、最后修改时间;
32、⑧检查执行标志:检查条目的标志是否包含csrss标志,如果包含,那么这个shimcache缓存数据已经被执行过,结束解析过程,否则得到解析的结果,执行下一步;
33、⑨添加到结果列表:最后,将解析的结果添加到entry_list列表中;
34、⑩返回结果:返回entry_list列表,这个列表包含所有解析过的shimcache条目。
35、优选地,步骤4中,从开源网站收集已知恶意行为特征的样本文件,包括恶意行为类型、文件名称、运行路径、哈希值、文件大小、访问域名信息,并对收集的样本文件进行动态静态分析,构建形成恶意行为特征库。
36、优选地,步骤6中,对异常终端进行取证分析,并同步提取系统服务、计划任务、注册表信息、可疑文件样本、系统配置,对于发现的异常行为,分析和记录获取行为路径、修改的文件、通信流量信息,进行进一步响应。
37、本专利技术还提供了一种用于实现所述方法的系统。
38、本专利技术还提供了一种基于所述方法实现的网络安全检测方法。
39、(三)有益效果
40、本专利技术通过分析shimcache缓存数据中的程序执行记录,与已知病毒、木马等恶意威胁特征库进行比对,从而发现系统中的异常,根据异常线索追踪系统中的安全威胁。该方法通过充分利用shimcache缓存数据中的信息,结合特征匹配和异常检测等技术手段,可以快速准确地检测系统中潜在的安全威胁,提高主机威胁检测识别能力。
本文档来自技高网...【技术保护点】
1.一种基于程序执行缓存技术实现的安全威胁检测方法,其特征在于,包括以下步骤:
2.如权利要求1所述的方法,其特征在于,步骤1中获取ShimCache缓存数据的第一种方式是从系统本地注册表中收集ShimCache缓存数据,实现方式如下:
3.如权利要求1所述的方法,其特征在于,步骤1中获取ShimCache缓存数据的第二种方式是从系统内存中解析ShimCache缓存数据,实现方式如下:
4.如权利要求1所述的方法,其特征在于,步骤2中采用特征比对法对系统信息进行判断,检查ShimCache缓存数据中的二进制内容前4个字节magic tag的数值,若为0xbadc0fee,则判断为windows7系统;检查二进制内容中UNICODE_STRING的大小,若为8字节,则判断为32位系统。
5.如权利要求1所述的方法,其特征在于,步骤3中采用循环处理法对ShimCache缓存数据进行内容提取,根据系统信息解析ShimCache缓存数据的内容,生成程序执行列表,程序执行列表中的内容包括:程序名称、程序路径、最后修改时间、文件大小和执行标志。
6.如权利要求5所述的方法,其特征在于,步骤3中解析ShimCache缓存数据的内容,生成程序执行列表的具体实现方式如下:
7.如权利要求1所述的方法,其特征在于,步骤4中,从开源网站收集已知恶意行为特征的样本文件,包括恶意行为类型、文件名称、运行路径、哈希值、文件大小、访问域名信息,并对收集的样本文件进行动态静态分析,构建形成恶意行为特征库。
8.如权利要求1所述的方法,其特征在于,步骤6中,对异常终端进行取证分析,并同步提取系统服务、计划任务、注册表信息、可疑文件样本、系统配置,对于发现的异常行为,分析和记录获取行为路径、修改的文件、通信流量信息,进行进一步响应。
9.一种用于实现如权利要求1至8中任一项所述方法的系统。
10.一种基于如权利要求1至8中任一项所述方法实现的网络安全检测方法。
...【技术特征摘要】
1.一种基于程序执行缓存技术实现的安全威胁检测方法,其特征在于,包括以下步骤:
2.如权利要求1所述的方法,其特征在于,步骤1中获取shimcache缓存数据的第一种方式是从系统本地注册表中收集shimcache缓存数据,实现方式如下:
3.如权利要求1所述的方法,其特征在于,步骤1中获取shimcache缓存数据的第二种方式是从系统内存中解析shimcache缓存数据,实现方式如下:
4.如权利要求1所述的方法,其特征在于,步骤2中采用特征比对法对系统信息进行判断,检查shimcache缓存数据中的二进制内容前4个字节magic tag的数值,若为0xbadc0fee,则判断为windows7系统;检查二进制内容中unicode_string的大小,若为8字节,则判断为32位系统。
5.如权利要求1所述的方法,其特征在于,步骤3中采用循环处理法对shimcache缓存数据进行内容提取,根据系统信息解析shimcache...
【专利技术属性】
技术研发人员:朱怀东,吴志勇,饶金龙,穆源,黄天纵,吴庆,宋晓斌,马陈城,刘磊,张俊,杨资集,吴吉胜,
申请(专利权)人:中国人民解放军六一六六零部队,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。