一种勒索病毒传播路径的确定方法、装置、设备及介质与流程

1.本发明涉及服务器技术领域，特别涉及一种勒索病毒传播路径的确定方法、装置、设备及介质。


背景技术：

2.勒索病毒是一种新型的电脑病毒，主要以邮件、程序木马以及网页挂马等形式进行传播。此病毒的危害极大，用户终端一旦感染勒索病毒将会造成巨大的经济损失。在现有技术中，一般先是利用沙箱设备来检测勒索病毒，然后，再通过专家经验来判断勒索病毒的传播路径和影响范围，但是，利用沙箱设备来检测勒索病毒非常依赖于病毒文件的有效捕获，而威胁情报仅能识别已知风险。并且，利用专家经验来判断勒索病毒的传播路径对专家的经验技能要求极高，普通的专家经验难以企及。这样就无法保证确定出来勒索病毒传播路径的准确性与可靠性。
3.由此可见，如何准确地检测出勒索病毒的传播路径，是本领域技术人员亟待解决的技术问题。


技术实现要素：

4.有鉴于此，本发明的目的在于提供一种勒索病毒传播路径的确定方法、装置、设备及介质，以能够准确地检测出勒索病毒的传播路径。其具体方案如下：
5.一种勒索病毒传播路径的确定方法，包括：
6.s11：对目标安全网络的网络流量镜像进行解析，得到访问有向图；
7.s12：对所述访问有向图中目的端口为445端口的访问进行统计，得到访问统计结果，并从所述访问统计结果中筛选符合预设筛选条件的目标访问源；
8.s13：利用图遍历算法确定所述目标访问源的所有访问路径，得到访问路径集合；
9.s14：在所述访问路径集合中，对访问资产在各个访问路径上出现的概率进行统计，得到当前时刻的资产分布概率向量；
10.s15：在预设时长后，重复执行s11至s14，并计算当前时刻与前一时刻的资产分布概率向量之间的欧氏距离；其中，当前时刻与前一时刻的间隔时长为所述预设时长；
11.s16：重复执行s11至s15，直至得到由n个欧氏距离组成的目标距离集合，并根据所述目标距离集合中的所有欧氏距离拟合生成目标置信区间；n≥3；
12.s17：若所述目标距离集合中存在欧氏距离大于所述目标置信区间的目标欧氏距离，则判定所述目标安全网络中存在勒索病毒；
13.s18：重复执行s11至s13，以获取所述勒索病毒的传播路径。
14.优选的，所述判定所述目标安全网络中存在勒索病毒的过程之后，还包括：
15.提示报警信息。
16.优选的，所述若所述目标距离集合中存在欧氏距离大于所述目标置信区间的目标欧氏距离，则判定所述目标安全网络中存在勒索病毒的过程，包括：
17.对所述目标距离集合中的欧氏距离进行时序异常检测，得到目标检测结果；
18.若根据所述目标检测结果判定出所述目标距离集合中存在欧氏距离大于所述目标置信区间的所述目标欧氏距离，则判定所述目标安全网络中存在所述勒索病毒。
19.优选的，所述对所述目标距离集合中的欧氏距离进行时序异常检测的过程，包括：
20.利用arima算法对所述目标距离集合中的欧氏距离进行时序异常检测。
21.优选的，所述对目标安全网络的网络流量镜像进行解析，得到访问有向图的过程，包括：
22.对所述目标安全网络的所述网络流量镜像进行解析，得到源ip地址、目的ip地址、源端口和目的端口；
23.利用所述源ip地址、所述目的ip地址、所述源端口和所述目的端口生成所述访问有向图。
24.优选的，所述对所述目标安全网络的所述网络流量镜像进行解析的过程，包括：
25.利用netflow对所述目标安全网络的所述网络流量镜像进行解析。
26.相应的，本发明还提供了一种勒索病毒传播路径的确定装置，包括：
27.流量解析模块，用于执行s11：对目标安全网络的网络流量镜像进行解析，得到访问有向图；
28.访问统计模块，用于执行s12：对所述访问有向图中目的端口为445端口的访问进行统计，得到访问统计结果，并从所述访问统计结果中筛选符合预设筛选条件的目标访问源；
29.路径确定模块，用于执行s13：利用图遍历算法确定所述目标访问源的所有访问路径，得到访问路径集合；
30.概率统计模块，用于执行s14：在所述访问路径集合中，对访问资产在各个访问路径上出现的概率进行统计，得到当前时刻的资产分布概率向量；
31.距离计算模块，用于执行s15：在预设时长后，重复执行s11至s14，并计算当前时刻与前一时刻的资产分布概率向量之间的欧氏距离；其中，当前时刻与前一时刻的间隔时长为所述预设时长；
32.集合生成模块，用于执行s16：重复执行s11至s15，直至得到由n个欧氏距离组成的目标距离集合，并根据所述目标距离集合中的所有欧氏距离拟合生成目标置信区间；n≥3；
33.病毒判定模块，用于执行s17：若所述目标距离集合中存在欧氏距离大于所述目标置信区间的目标欧氏距离，则判定所述目标安全网络中存在勒索病毒；
34.路径确定模块，用于执行s18：重复执行s11至s13，以获取所述勒索病毒的传播路径。
35.相应的，本发明还提供了一种勒索病毒传播路径的确定设备，包括：
36.存储器，用于存储计算机程序；
37.处理器，用于执行所述计算机程序时实现如前述所公开的一种勒索病毒传播路径的确定方法的步骤。
38.相应的，本发明还公开了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如前述所公开的一种勒索病毒传播路径的确定方法的步骤。
39.可见，在本发明中，因为勒索病毒的传播路径既不需要依赖于专家系统的训练数据，也不需要依赖于病毒文件的有效捕获以及已知威胁情报的数据特征，而是直接通过对目标安全网络的网络流量镜像所蕴含的特征数据进行分析来确定勒索病毒及其传播路径，所以，通过本发明所提供的方法就可以准确识别出安全网络中的勒索病毒以及勒索病毒的传播路径。相应的，本发明所提供的一种勒索病毒传播路径的确定装置、设备及介质，同样具有上述有益效果。
附图说明
40.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
41.图1为本发明实施例所提供的一种勒索病毒传播路径的确定方法的流程图；
42.图2为本发明实施例所提供的一种勒索病毒传播路径的确定装置的结构图；
43.图3为本发明实施例所提供的一种勒索病毒传播路径的确定设备的结构图。
具体实施方式
44.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
45.请参见图1，图1为本发明实施例所提供的一种勒索病毒传播路径的确定方法的流程图，该方法包括：
46.s11：对目标安全网络的网络流量镜像进行解析，得到访问有向图；
47.s12：对访问有向图中目的端口为445端口的访问进行统计，得到访问统计结果，并从访问统计结果中筛选符合预设筛选条件的目标访问源；
48.s13：利用图遍历算法确定目标访问源的所有访问路径，得到访问路径集合；
49.s14：在访问路径集合中，对访问资产在各个访问路径上出现的概率进行统计，得到当前时刻的资产分布概率向量；
50.s15：在预设时长后，重复执行s11至s14，并计算当前时刻与前一时刻的资产分布概率向量之间的欧氏距离；其中，当前时刻与前一时刻的间隔时长为预设时长；
51.s16：重复执行s11至s15，直至得到由n个欧氏距离组成的目标距离集合，并根据目标距离集合中的所有欧氏距离拟合生成目标置信区间；n≥3；
52.s17：若目标距离集合中存在欧氏距离大于目标置信区间的目标欧氏距离，则判定目标安全网络中存在勒索病毒；
53.s18：重复执行s11至s13，以获取勒索病毒的传播路径。
54.在本实施例中，是提供了一种勒索病毒传播路径的确定方法，利用该方法可以准确地检测出勒索病毒的传播路径。在该方法中，如果想要检测出目标安全网络中是否存在有勒索病毒，首先是对目标安全网络的网络流量镜像进行解析，得到访问有向图，并对访问
有向图中目的端口为445端口的访问进行统计，得到访问统计结果。
55.可以理解的是，因为勒索病毒在对目标安全网络进行攻击时，很多时候会通过445端口来访问目标安全网络中的重要资源，所以，在本实施例中，为了确定出目标安全网络中是否会存在勒索病毒，需要对访问有向图中目的端口为445端口的访问进行统计，并根据访问统计结果来判断目标安全网络中是否会存在勒索病毒。
56.当获取得到访问统计结果时，就可以从访问统计结果中发现访问频率较高的资产，此时从访问统计结果中筛选符合预设筛选条件的目标访问源，并利用图遍历算法就可以确定出有关于目标访问源的所有访问路径，得到访问路径集合。其中，预设筛选条件根据用户自身需求以及对勒索病毒的检测精度进行自定义设置。比如：可以将预设筛选条件设置为访问统计结果中访问445端口排名前三位的目标访问源。然后，再利用图遍历算法确定排名前三访问源的所有访问路径，得到访问路径集合。当然，在实际操作过程中，还可以对预设筛选条件进行适应性的调整，此处不作具体赘述。
57.当获取得到访问路径集合后，再对访问路径集合中每一个访问路径上出现访问资产的概率进行统计，得到当前时刻的资产分布概率向量。具体的，假设第一条访问路径上出现资产的概率为v
11
、第二条访问路径上出现资产概率为v
12
、第三条访问路径上出现资产的概率为v
13
、
……
、第m条访问路径上出现资产的概率为v
1m
，那么，当前时刻的资产分布概率向量就可以标记为：v1＝{v
11
，v
12
,v
13
,...,v
1m
}；之后，再在预设时长后重复执行s11至s14，就可以得到预设时长后的资产分布概率向量，也即，v2＝{v
21
，v
22
,v
23
,...,v
2m
}。
58.能够想到的是，如果以资产分布概率向量v1＝{v
11
，v
12
,v
13
,...,v
1m
}为起始向量，那么，每隔预设时长就能够得到一个资产分布概率向量。也即，资产分布概率向量v2＝{v
21
，v
22
,v
23
,...,v
2m
}、v3＝{v
31
，v
32
,v
33
,...,v
3m
}
……vn
＝{v
n1
，v
n2
,v
n3
,...,v
nm
}；然后，再计算任意两个相邻时刻资产分布概率向量之间的欧式距离，也即，计算资产分布概率向量v2＝{v
21
，v
22
,v
23
,...,v
2m
}与v1＝{v
11
，v
12
,v
13
,...,v
1m
}之间的欧氏距离，得到l1，计算分布概率向量v3＝{v
31
，v
32
,v
33
,...,v
3m
}与v2＝{v
21
，v
22
,v
23
,...,v
2m
}之间的欧氏距离，得到l2；依次类推，重复执行s11至s15，就可以得到由n个欧氏距离组成的目标距离集合h＝{l1,l2,l3,...,ln}。
59.当获取得到由n个欧氏距离组成的目标距离集合h＝{l1,l2,l3,...,ln}之后，再对目标距离集合h＝{l1,l2,l3,...,ln}中的所有欧氏距离进行数据拟合，就可以生成有关于目标距离集合的目标置信区间。
60.可以理解的是，如果目标距离集合中存在欧氏距离大于目标置信区间的目标欧氏距离，则说明目标欧氏距离存在异常，目标安全网络中存在勒索病毒；如果目标距离集合中不存在欧氏距离大于目标置信区间的欧式距离，则说明目标距离集合中不存在有异常的欧氏距离，目标安全网络中不存在勒索病毒。当目标安全网络中存在勒索病毒时，重复执行s11至s13，就可以确定出勒索病毒的访问路径，并确定出勒索病毒的传播路径。
61.另外，因为目标置信区间是通过对目标距离集合h＝{l1,l2,l3,...,ln}进行数据拟合得到的，所以，随着目标距离集合h＝{l1,l2,l3,...,ln}中的数据发生变化，目标置信区间也会随之发生变化。
62.相较于现有技术而言，在利用本实施例所提供的方法在对勒索病毒的传播路径进行检测时，由于既不需要依赖于专家系统的训练数据，也不需要依赖于病毒文件的有效捕
获以及已知威胁情报的数据特征，而是直接通过对目标安全网络的网络流量镜像所蕴含的特征数据进行分析来确定勒索病毒及其传播路径，所以，通过本实施例所提供的方法就可以准确识别出安全网络中的勒索病毒以及勒索病毒的传播路径。
63.可见，在本实施例中，因为勒索病毒的传播路径既不需要依赖于专家系统的训练数据，也不需要依赖于病毒文件的有效捕获以及已知威胁情报的数据特征，而是直接通过对目标安全网络的网络流量镜像所蕴含的特征数据进行分析来确定勒索病毒及其传播路径，所以，通过本实施例所提供的方法就可以准确识别出安全网络中的勒索病毒以及勒索病毒的传播路径。
64.基于上述实施例，本实施例对技术方案作进一步的说明与优化，作为一种优选的实施方式，上述步骤：判定目标安全网络中存在勒索病毒的过程之后，还包括：
65.提示报警信息。
66.在本实施例中，当判定出目标安全网络中存在勒索病毒之后，还提示了报警信息。能够想到的是，通过这样的设置方式，就可以使得工作人员能够清楚地知悉到目标安全网络的当前运行状态，并及时采取相应的补救措施来避免目标安全网络遭受更大的经济损失。
67.基于上述实施例，本实施例对技术方案作进一步的说明与优化，作为一种优选的实施方式，上述步骤：若目标距离集合中存在欧氏距离大于目标置信区间的目标欧氏距离，则判定目标安全网络中存在勒索病毒的过程，包括：
68.对目标距离集合中的欧氏距离进行时序异常检测，得到目标检测结果；
69.若根据目标检测结果判定出目标距离集合中存在欧氏距离大于目标置信区间的目标欧氏距离，则判定目标安全网络中存在勒索病毒。
70.可以理解的是，因为通过时序异常检测能够检测出目标距离集合中偏离标准或偏离正常数据波动范围的离群数据点，所以，在本实施例中，为了能够更为准确、快速地查找出目标距离集合中大于目标置信区间的目标欧氏距离，首先是对目标距离集合中的欧氏距离进行时序异常检测，得到目标检测结果；然后，再根据目标检测结果来判断目标距离集合中是否存在欧氏距离大于目标置信区间的目标欧氏距离。如果目标距离集合中存在欧氏距离大于目标置信区间的目标欧氏距离，则说明目标安全网络中存在勒索病毒。
71.作为一种优选的实施方式，上述步骤：对目标距离集合中的欧氏距离进行时序异常检测的过程，包括：
72.利用arima算法对目标距离集合中的欧氏距离进行时序异常检测。
73.具体的，在实际应用中，可以利用arima(autoregressive integrated moving average model，整合移动平均自回归模型)算法对目标距离集合中的欧氏距离进行时序异常检测。因为arima算法不仅算法原理简单，而且，支持开源运算，所以，当利用arima算法来对目标距离集合中的欧氏距离进行时序异常检测时，就可以进一步提高用户在利用该方法对勒索病毒传播路径进行检测时的便捷性。
74.基于上述实施例，本实施例对技术方案作进一步的说明与优化，作为一种优选的实施方式，上述步骤：对目标安全网络的网络流量镜像进行解析，得到访问有向图的过程，包括：
75.对目标安全网络的网络流量镜像进行解析，得到源ip地址、目的ip地址、源端口和
目的端口；
76.利用源ip地址、目的ip地址、源端口和目的端口生成访问有向图。
77.在本实施例中，在对目标安全网络的网络流量镜像进行解析的过程中，主要是提取网络流量镜像中的源ip地址(internet protocol address，互联网协议地址)、目的ip地址、源端口以及目的端口，因为通过网络流量镜像中的源ip地址、目的ip地址、源端口和目的端口就可以表征出一个数据的传输路径，所以，利用网络流量镜像中的源ip地址、目的ip地址、源端口和目的端口就可以生成访问有向图。
78.作为一种优选的实施方式，上述步骤：对目标安全网络的网络流量镜像进行解析的过程，包括：
79.利用netflow对目标安全网络的网络流量镜像进行解析。
80.具体的，在实际应用中，可以利用netflow来对目标安全网络的网络流量镜像进行解析，并解析得到网络流量镜像的源ip地址、目的ip地址、源端口和目的端口。因为netflow是一款性能稳定可靠的网络流量分析工具，不仅安装方便、检测成本低廉，而且，netflow记录的流量数据中蕴含了丰富的数据信息，所以，当利用netflow来对目标安全网络的网络流量镜像进行解析时，不仅可以保证解析结果的准确性与可靠性，而且，也可以相对降低在对目标安全网络的网络流量镜像进行解析时所需要投入的解析成本。
81.请参见图2，图2为本发明实施例所提供的一种勒索病毒传播路径的确定装置的结构图，该装置包括：
82.流量解析模块21，用于执行s11：对目标安全网络的网络流量镜像进行解析，得到访问有向图；
83.访问统计模块22，用于执行s12：对访问有向图中目的端口为445端口的访问进行统计，得到访问统计结果，并从访问统计结果中筛选符合预设筛选条件的目标访问源；
84.路径确定模块23，用于执行s13：利用图遍历算法确定目标访问源的所有访问路径，得到访问路径集合；
85.概率统计模块24，用于执行s14：在访问路径集合中，对访问资产在各个访问路径上出现的概率进行统计，得到当前时刻的资产分布概率向量；
86.距离计算模块25，用于执行s15：在预设时长后，重复执行s11至s14，并计算当前时刻与前一时刻的资产分布概率向量之间的欧氏距离；其中，当前时刻与前一时刻的间隔时长为预设时长；
87.集合生成模块26，用于执行s16：重复执行s11至s15，直至得到由n个欧氏距离组成的目标距离集合，并根据目标距离集合中的所有欧氏距离拟合生成目标置信区间；n≥3；
88.病毒判定模块27，用于执行s17：若目标距离集合中存在欧氏距离大于目标置信区间的目标欧氏距离，则判定目标安全网络中存在勒索病毒；
89.路径确定模块28，用于执行s18：重复执行s11至s13，以获取勒索病毒的传播路径。
90.本发明实施例所提供的一种勒索病毒传播路径的确定装置，具有前述所公开的一种勒索病毒传播路径的确定方法所具有的有益效果。
91.请参见图3，图3为本发明实施例所提供的一种勒索病毒传播路径的确定设备的结构图，该设备包括：
92.存储器31，用于存储计算机程序；
93.处理器32，用于执行计算机程序时实现如前述所公开的一种勒索病毒传播路径的确定方法的步骤。
94.本发明实施例所提供的一种勒索病毒传播路径的确定设备，具有前述所公开的一种勒索病毒传播路径的确定方法所具有的有益效果。
95.相应的，本发明实施例还公开了一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现如前述所公开的一种勒索病毒传播路径的确定方法的步骤。
96.本发明实施例所提供的一种计算机可读存储介质，具有前述所公开的一种勒索病毒传播路径的确定方法所具有的有益效果。
97.本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
98.最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
99.以上对本发明所提供的一种勒索病毒传播路径的确定方法、装置、设备及介质进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。