攻击指标获取方法、装置、设备及存储介质与流程

1.本发明涉及网络安全技术领域，尤其涉及一种攻击指标获取方法、装置、设备及存储介质。


背景技术：

2.在威胁情报领域最常用到失陷指标(indicator of compromise，ioc)进行检测设备是否收到攻击，但是这种检测属于事后的检测，观察到的异常设备已经是失陷的状态，若仅通过失陷指标无法提前发现攻击并拦截，而若需要提前发现攻击，则需要收集恶意程序的攻击指标(indicator of attack，ioa)，通过收集的攻击指标在恶意程序在攻击过程中就发现攻击者的活动，可以提前发现设备受到攻击，便于进行防御，但是，目前现有技术要收集攻击指标十分依赖于人工分析，无法自动化获取恶意程序的攻击指标。
3.上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。


技术实现要素：

4.本发明的主要目的在于提供一种攻击指标获取方法、装置、设备及存储介质，旨在解决现有技术无法自动获取恶意程序的攻击指标的技术问题。
5.为实现上述目的，本发明提供了一种攻击指标获取方法，所述方法包括以下步骤:
6.在沙箱中运行恶意程序样本，获得所述恶意程序样本运行产生的操作行为日志；
7.通过攻击操作映射规则库对所述操作行为日志进行攻击操作匹配，获得样本攻击行为报告；
8.根据所述样本攻击行为报告确定所述恶意程序样本的攻击指标。
9.可选地，所述在沙箱中运行恶意程序样本，获得所述恶意程序样本运行产生的操作行为日志的步骤之前，还包括：
10.获取攻击行为框架中记录的攻击行为，将所述攻击行为进行操作拆解，获得各攻击行为对应的攻击操作；
11.根据所述攻击操作及所述攻击行为构建攻击操作映射规则库。
12.可选地，所述根据所述样本攻击行为报告确定所述恶意程序样本的攻击指标的步骤之前，还包括：
13.获取所述恶意程序样本对应的历史样本攻击行为报告，所述历史样本攻击行为报告包括历史攻击行为和所述历史攻击行为的行为标识；
14.相应的，所述根据所述样本攻击行为报告确定所述恶意程序样本的攻击指标的步骤，包括：
15.获取所述样本攻击行为报告对应的攻击行为，并获取所述历史样本攻击行为报告对应的历史攻击行为；
16.获取所述攻击行为的行为标识，并根据所述行为标识在所述历史攻击行为中查找
对应的目标攻击行为；
17.根据所述攻击行为与所述目标攻击行为确定所述攻击行为对应的攻击类型；
18.根据所述攻击类型、所述攻击行为及所述历史攻击行为确定所述恶意程序样本的攻击指标。
19.可选地，所述根据所述攻击行为与所述目标攻击行为确定所述攻击行为对应的攻击类型的步骤，包括：
20.获取所述攻击行为对应的失陷指标及所述目标攻击行为对应的目标失陷指标；
21.比对所述失陷指标及所述目标失陷指标，获得比对结果；
22.根据所述比对结果确定所述攻击行为对应的攻击类型。
23.可选地，所述在沙箱中运行恶意程序样本，获得所述恶意程序样本运行产生的操作行为日志的步骤，包括：
24.获取恶意程序样本的程序类型，根据所述程序类型获取对应的运行方式；根据所述运行方式在沙箱中运行所述恶意程序样本，获得所述恶意程序样本运行产生的api调用日志；
25.对所述api调用日志进行操作行为分析，获得所述恶意程序样本运行产生的操作行为日志。
26.可选地，所述通过攻击操作映射规则库对所述操作行为日志进行攻击操作匹配，获得样本攻击行为报告的步骤之前，还包括：
27.根据所述操作行为日志进行运行状态检测，确定所述恶意程序样本是否正确运行；
28.在所述恶意程序样本正确运行时，执行所述通过攻击操作映射规则库对所述操作行为日志进行攻击操作匹配，获得样本攻击行为报告的步骤；
29.在所述恶意程序样本未正确运行时，获取所述恶意程序样本的历史未正确运行次数；
30.将所述历史未正确运行次数的数值加一，获得未正确运行次数；
31.在所述未正确运行次数小于或等于预设阈值时，返回所述在沙箱中运行恶意程序样本，获得所述恶意程序样本运行产生的操作行为日志的步骤。
32.可选地，其特征根据所述样本攻击行为报告确定所述恶意程序样本的攻击指标的步骤之后，还包括：
33.获取所述恶意程序样本运行过程中调用的应用程序；
34.将所述应用程序与恶意程序样本库中的恶意程序样本进行比对，确定关联程序样本；
35.获取所述关联程序样本对应的攻击指标作为关联攻击指标；
36.将所述攻击指标与所述关联攻击指标进行聚合，获得复合攻击指标。
37.此外，为实现上述目的，本发明还提出一种攻击指标获取装置，所述攻击指标获取装置包括以下模块：
38.程序运行模块，用于在沙箱中运行恶意程序样本，获得所述恶意程序样本运行产生的操作行为日志；
39.报告生成模块，用于通过攻击操作映射规则库对所述操作行为日志进行攻击操作
匹配，获得样本攻击行为报告；
40.指标获取模块，用于根据所述样本攻击行为报告确定所述恶意程序样本的攻击指标。
41.此外，为实现上述目的，本发明还提出一种攻击指标获取设备，所述攻击指标获取设备包括：处理器、存储器及存储在所述存储器上并可在所述处理器上运行的攻击指标获取程序，所述攻击指标获取程序被所述处理器执行时实现如上所述的攻击指标获取方法的步骤。
42.此外，为实现上述目的，本发明还提出一种计算机可读存储介质，所述计算机可读存储介质上存储有攻击指标获取程序，所述攻击指标获取程序执行时实现如上所述的攻击指标获取方法的步骤。
43.本发明通过在沙箱中运行恶意程序样本，获得所述恶意程序样本运行产生的操作行为日志；通过攻击操作映射规则库对所述操作行为日志进行攻击操作匹配，获得样本攻击行为报告；根据所述样本攻击行为报告确定所述恶意程序样本的攻击指标。由于是在沙箱中自动化运行恶意程序样本，并通过攻击操作映射规则库对收集的恶意程序样本运行产生的操作行为日志进行攻击操作匹配，可快速发现可疑的操作行为日志，并形成样本攻击行为报告，再根据样本攻击行为报告即可确定恶意程序样本的攻击指标，不需人工分析即可获得恶意程序样本的攻击指标。
附图说明
44.图1是本发明实施例方案涉及的硬件运行环境的电子设备的结构示意图；
45.图2为本发明攻击指标获取方法第一实施例的流程示意图；
46.图3为本发明攻击指标获取方法第二实施例的流程示意图；
47.图4为本发明攻击指标获取方法第三实施例的流程示意图；
48.图5为本发明攻击指标获取装置第一实施例的结构框图。
49.本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
50.应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。
51.参照图1，图1为本发明实施例方案涉及的硬件运行环境的攻击指标获取设备结构示意图。
52.如图1所示，该电子设备可以包括：处理器1001，例如中央处理器(central processing unit，cpu)，通信总线1002、用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(display)、输入单元比如键盘(keyboard)，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(wireless-fidelity，wi-fi)接口)。存储器1005可以是高速的随机存取存储器(random access memory，ram)存储器，也可以是稳定的非易失性存储器(non-volatile memory，nvm)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
53.本领域技术人员可以理解，图1中示出的结构并不构成对电子设备的限定，可以包
括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。
54.如图1所示，作为一种存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及攻击指标获取程序。
55.在图1所示的电子设备中，网络接口1004主要用于与网络服务器进行数据通信；用户接口1003主要用于与用户进行数据交互；本发明电子设备中的处理器1001、存储器1005可以设置在攻击指标获取设备中，所述电子设备通过处理器1001调用存储器1005中存储的攻击指标获取程序，并执行本发明实施例提供的攻击指标获取方法。
56.本发明实施例提供了一种攻击指标获取方法，参照图2，图2为本发明一种攻击指标获取方法第一实施例的流程示意图。
57.本实施例中，所述攻击指标获取方法包括以下步骤：
58.步骤s10：在沙箱中运行恶意程序样本，获得所述恶意程序样本运行产生的操作行为日志。
59.需要说明的是，本实施例的执行主体可以为所述攻击指标获取设备，所述攻击指标获取设备可以是个人电脑、服务器等电子设备，也可以是其他可实现相同或相似功能的设备，本实施例对此不加以限制，在本实施例及下述各实施例中，以攻击指标获取设备为例对本发明攻击指标获取方法进行说明。
60.需要说明的是，沙箱(sandbox)是计算机安全领域中的一种安全机制，可以为运行中的程序提供隔离环境。恶意程序样本可以是存放有恶意程序的文件，恶意程序可以是具备恶意攻击行为的程序。操作行为日志可以包括文件操作、进程操作、网路操作、注册表操作(windows系统特有)及其他操作(非前述类别的操作)的日志。
61.进一步地，为了适应各种不同的恶意程序样本，本实施例步骤s10，可以包括：
62.获取恶意程序样本的程序类型，根据所述程序类型获取对应的运行方式；根据所述运行方式在沙箱中运行所述恶意程序样本，获得所述恶意程序样本运行产生的api调用日志；对所述api调用日志进行操作行为分析，获得所述恶意程序样本运行产生的操作行为日志。
63.需要说明的是，恶意程序样本可以是不同格式的文件，例如：可执行文件(例如：.exe后缀文件)、文档类文件、系统脚本类文件(例如：.bat后缀文件、.sh后缀文件)，而不同格式的文件运行方式也是不同的，因此，可以先确定恶意程序样本的程序类型，根据程序类型确定运行此类程序的运行方式，根据运行方式在沙箱中模拟不同的运行环境来执行恶意程序样本，然后获取恶意程序样本在运行过程中调用各种不同的应用程序接口(application programming interface，api)的api调用日志，根据api调用日志中各个api的功能进行分析，确定恶意程序样本在运行过程中的各项操作(例如：文件操作、进程操作、网路操作、注册表操作及其他操作)，获得恶意程序样本运行产生的操作行为日志。
64.需要说明的是，部分恶意程序样本的文件格式是特殊格式，通过常规手段无法获得其运行方式，此时还可以根据恶意程序样本中记载的恶意程序的病毒名或关联的病毒家族确定恶意程序样本的运行方式。
65.步骤s20：通过攻击操作映射规则库对所述操作行为日志进行攻击操作匹配，获得样本攻击行为报告。
66.需要说明的是，攻击操作映射规则库可以是对各种攻击行为对应的攻击操作进行
聚合得到的，通过攻击操作映射规则库可以对操作行为日志进行匹配，确定操作行为日志中可疑的操作行为，并为其匹配对应的攻击行为，获得样本攻击行为报告。
67.在实际使用中，可以通过攻击操作映射规则库对操作行为日志进行攻击操作匹配，为可疑的操作行为日志匹配对应的攻击行为，并通过匹配得到的攻击行为的标识对可疑的操作行为日志进行标记，最后将所有被标记的操作行为日志输出，即可得到样本攻击行为报告。攻击行为的标识可以是攻击行为的编号(id)，也可以是攻击行为的其他唯一标识。
68.进一步地，为了便于匹配恶意程序样本的攻击行为，本实施例步骤s10之前，还可以包括：
69.获取攻击行为框架中记录的攻击行为，将所述攻击行为进行操作拆解，获得各攻击行为对应的攻击操作；根据所述攻击操作及所述攻击行为构建攻击操作映射规则库。
70.需要说明的是，攻击行为框架可以是att&ck框架(又叫att&ck模型，adversarial tactics,techniques,and common knowledge)，att&ck框架是一个攻击行为知识库和模型，主要应用于评估攻防能力覆盖、apt情报分析、威胁狩猎及攻击模拟等领域，其中记录有领域内收集的恶意程序的各种攻击行为。攻击行为可以是由一个或多个攻击操作构成的，因此，可以对攻击行为进行操作拆解，将攻击行为细化为文件操作、注册表操作、网络操作、进程操作等攻击操作，根据拆解的攻击操作及攻击行为即可构建攻击操作映射规则库。
71.可以理解的是，由于操作行为日志中记录的均是各种操作行为，若要直接通过攻击行为进行匹配确定可疑的操作行为日志较为困难，而若是通过攻击操作映射规则库中更加细化的攻击操作对操作行为日志进行匹配，则更容易确定可疑的操作行为日志，通过匹配成功的攻击操作即可确定可疑的操作行为日志对应的攻击行为，更便于匹配恶意程序样本的攻击行为。
72.步骤s30：根据所述样本攻击行为报告确定所述恶意程序样本的攻击指标。
73.需要说明的是，攻击指标是一组用于识别正在发生的攻击的指标，是恶意程序在攻击过程中的活动行为，例如：连接恶意域名、篡改特定应用进程或篡改特定文件等。
74.可以理解的是，样本攻击行为报告中可以包括各种可疑的操作行为日志及对应的攻击行为，通过对样本攻击行为报告中可疑的操作行为日志及对应的攻击行为进行归纳汇总，即可确定恶意程序样本的攻击指标。
75.进一步地，为了更准确的获取恶意程序样本的攻击指标，本实施例步骤s30之前，还可以包括：
76.获取所述恶意程序样本对应的历史样本攻击行为报告，所述历史样本攻击行为报告包括历史攻击行为和所述历史攻击行为的行为标识。
77.需要说明的是，历史样本攻击行为报告可以是之前运行恶意程序样本获得的样本攻击行为报告。
78.相应的，本实施例步骤s30，可以包括：
79.获取所述样本攻击行为报告对应的攻击行为，并获取所述历史样本攻击行为报告对应的历史攻击行为；获取所述攻击行为的行为标识，并根据所述行为标识在所述历史攻击行为中查找对应的目标攻击行为；根据所述攻击行为与所述目标攻击行为确定所述攻击行为对应的攻击类型；根据所述攻击类型、所述攻击行为及所述历史攻击行为确定所述恶
意程序样本的攻击指标。
80.需要说明的是，攻击行为的攻击类型可以包括固定攻击、随机攻击及半随机攻击。历史攻击行为可以是根据历史样本攻击报告中可疑的操作行为日志对应的攻击行为，目标攻击行为可以是与攻击行为标识相同的历史攻击行为。恶意程序样本的攻击指标若只通过一次运行确定可能会出现获取攻击指标不全的情况，且恶意程序样本在重复运行时，因攻击策略不同，同一攻击行为可能攻击对象也不相同，若仅以一次运行确定攻击指标，可能会导致攻击指标确定不准，因此，可以在沙箱中多次运行恶意程序样本，获取攻击行为的攻击类型，再根据攻击行为、攻击类型及历史攻击行为确定攻击指标，可以防止获取的攻击指标不全或攻击指标不准。
81.在实际使用中，在获取攻击指标之前可以多次在沙箱中运行恶意程序样本(例如预先运行2次或以上)，获得多份历史样本攻击报告，再结合当前次运行恶意程序样本获得的样本攻击报告，通过样本攻击报告对应的攻击行为及历史样本攻击报告对应的历史攻击行为确定攻击行为的攻击类型，通过攻击类型对攻击行为进行标记，最后再根据标记后的攻击行为及历史攻击行为进行聚合，获得攻击指标。
82.例如：样本攻击报告中记载攻击行为共三种，分别为a、b，历史攻击行为报告共两份，第一份历史攻击行为报告记载的攻击行为有a1、b1，第二份历史攻击行为报告记载的攻击行为有a2、b2、c，其中，a、a1、a2的标识相同，b、b1、b2的标识相同，则a对应的目标攻击行为为a1、a2，根据a、a1、a2确定a的攻击类型为固定攻击，将a标记为固定攻击，b对应的目标攻击行为为b1、b2，根据b、b1、b2确定b的攻击类型为随机攻击，将b标记为随机攻击，则最终可以确定攻击指标为a、b、c。
83.需要说明的是，偶尔部分恶意程序样本在不同时间运行可能也会存在不同的攻击行为或只有特定时间才执行攻击，因此，为了规避时间等因素的影响，可以在不同的时间段多次在沙箱中运行恶意程序样本。
84.可以理解的是，重复执行次数越多，获取的历史样本攻击报告越多，则确定的攻击指标更加的准确、更加的全面，但分析聚合的复杂度就越高，因此，具体需要预先运行恶意程序样本多少次，可以根据实际需要进行设置。
85.进一步地，为了合理的判断攻击行为的攻击类型，本实施例根据所述攻击行为与所述目标攻击行为确定所述攻击行为对应的攻击类型的步骤，可以包括：
86.获取所述攻击行为对应的失陷指标及所述目标攻击行为对应的目标失陷指标；比对所述失陷指标及所述目标失陷指标，获得比对结果；根据所述比对结果确定所述攻击行为对应的攻击类型。
87.需要说明的是，失陷指标可以是用于识别存在的恶意活动的指标，当在系统日志、文件、网络流量等数据中观察到失陷指标，则说明设备已经失陷，常见的失陷指标有恶意程序的hash值，域名拦截、病毒签名等。目标攻击指标可以是目标攻击行为的失陷指标。
88.在实际使用中，获取攻击行为对应的失陷指标及目标攻击行为对应的目标失陷指标，例如：提取ip、域名、服务名、文件路径、文件名、注册表键或注册表值等被篡改的数据中的一个或多个作为失陷指标，将失陷指标与目标失陷指标进行对比，若失陷指标与目标失陷指标完全相同，则判定攻击行为对应的攻击类型为固定攻击，若失陷指标与目标失陷指标部分相同或不同但有相似部分，则判定攻击行为对应的攻击类型为半随机攻击，若失陷
指标与目标失陷指标不同且没有相似部分，则判定攻击行为对应的攻击类型为随机攻击。
89.本实施例通过在沙箱中运行恶意程序样本，获得所述恶意程序样本运行产生的操作行为日志；通过攻击操作映射规则库对所述操作行为日志进行攻击操作匹配，获得样本攻击行为报告；根据所述样本攻击行为报告确定所述恶意程序样本的攻击指标。由于是在沙箱中自动化运行恶意程序样本，并通过攻击操作映射规则库对收集的恶意程序样本运行产生的操作行为日志进行攻击操作匹配，可快速发现可疑的操作行为日志，并形成样本攻击行为报告，再根据样本攻击行为报告即可确定恶意程序样本的攻击指标，不需人工分析即可获得恶意程序样本的攻击指标。
90.参考图3，图3为本发明一种攻击指标获取方法第二实施例的流程示意图。
91.基于上述第一实施例，本实施例攻击指标获取方法在所述步骤s20之前，还包括：
92.步骤s11：根据所述操作行为日志进行运行状态检测，确定所述恶意程序样本是否正确运行。
93.需要说明的是，通过对操作行为日志进行分析，可获得恶意程序样本的样本进程启动情况、样本运行时间、系统错误弹窗信息等判定依据，通过判定依据确定恶意程序样本是否运行正常。例如：在恶意程序样本进程启动失败时，判定恶意程序样本未正确运行；在样本运行时间超出预设最大运行时长时，判定恶意程序样本未正确运行；在存在系统错误弹窗信息时，判定恶意程序样本未正确运行。
94.步骤s12：在所述恶意程序样本正确运行时，执行所述通过攻击操作映射规则库对所述操作行为日志进行攻击操作匹配，获得样本攻击行为报告的步骤。
95.可以理解的是，若恶意程序样本正确运行，则其可以正常执行攻击行为，因此，可以执行所述通过攻击操作映射规则库对所述操作行为日志进行攻击操作匹配，获得样本攻击行为报告的步骤。
96.需要说明的是，在恶意程序样本正确运行时，还可以将历史未正确运行次数重置，例如：将历史未正确运行次数设置为0或直接将历史未正确运行次数清除。
97.步骤s13：在所述恶意程序样本未正确运行时，获取所述恶意程序样本的历史未正确运行次数。
98.需要说明的是，历史未正确运行次数可以是记录在内存或数据库中用于表示恶意程序样本连续未正确运行的次数的数值。
99.可以理解的是，在恶意程序样本对应的历史未正确运行未查找到的时候，可以判定历史为正确运行次数的数值为0。
100.步骤s14：将所述历史未正确运行次数的数值加一，获得未正确运行次数。
101.可以理解的是，在将历史为正确运行次数的数值加一之后，即可获得恶意程序样本当前连续未正确运行次数。在获得未正确运行次数之后，还可以使用未正确运行次数对历史未正确运行次数进行更新。
102.步骤s15：在所述未正确运行次数小于或等于预设阈值时，返回所述在沙箱中运行恶意程序样本，获得所述恶意程序样本运行产生的操作行为日志的步骤。
103.需要说明的是，预设阈值可以根据实际需要自行进行设置或调整。
104.可以理解的是，若恶意程序样本在连续未正确运行次数超过一定次数时，可以判定恶意程序样本无法运行，此时，可以不再尝试运行恶意程序样本并通知操作人员进行检
查。
105.在实际使用中，可以根据实际需要设置预设阈值为5次，在未正确运行次数小于或等于5次时，返回所述在沙箱中运行恶意程序样本，获得所述恶意程序样本运行产生的操作行为日志的步骤继续尝试运行恶意程序样本，在未正确运行次数大于5次时，不再尝试运行恶意程序样本，以弹框、邮件或短信方式通知操作人员检查恶意程序样本无法运行的原因。
106.本实施例通过根据所述操作行为日志进行运行状态检测，确定所述恶意程序样本是否正确运行；在所述恶意程序样本正确运行时，执行所述通过攻击操作映射规则库对所述操作行为日志进行攻击操作匹配，获得样本攻击行为报告的步骤；在所述恶意程序样本未正确运行时，获取所述恶意程序样本的历史未正确运行次数；将所述历史未正确运行次数的数值加一，获得未正确运行次数；在所述未正确运行次数小于或等于预设阈值时，返回所述在沙箱中运行恶意程序样本，获得所述恶意程序样本运行产生的操作行为日志的步骤。由于根据恶意程序样本的操作行为日志判定恶意程序样本是否正确运行，在确定恶意程序样本正确运行时再根据运行时的操作行为日志进行后续分析确定恶意程序样本的攻击指标，避免了因恶意程序样本无法正确运行导致攻击指标获取失败或获取错误的情况，使得获取的攻击指标更加可靠，且在确定恶意程序样本未正确运行时尝试重新运行恶意程序样本，可以规避恶意程序样本的伪装策略而无法获取对应的攻击指标的现象，进一步提高了获取攻击指标的成功率。
107.参考图4，图4为本发明一种攻击指标获取方法第三实施例的流程示意图。
108.基于上述第一实施例，本实施例攻击指标获取方法在所述步骤s30之后，还包括：
109.步骤s40：获取所述恶意程序样本运行过程中调用的应用程序。
110.需要说明的是，部分恶意程序样本在运行时并不仅仅只是通过自身进行攻击行为，还可能会自行下载其他恶意程序并调用该恶意程序协同进行攻击，因此，还可以获取恶意程序样本在运行过程中调用的各个应用程序。
111.步骤s50：将所述应用程序与恶意程序样本库中的恶意程序样本进行比对，确定关联程序样本。
112.需要说明的是，恶意程序样本库中记载了各种恶意程序的样本，将应用程序与恶意程序样本库中的恶意程序样本进行比对，可以快速区分应用程序是否为恶意程序。
113.在实际使用中，可以根据实际需要设置一相似度阈值，将被调用的应用程序与恶意程序样本库中的恶意程序样本进行比对，当被调用的应用程序与恶意程序样本的相似度高于相似度阈值时，判定被调用的应用程序是恶意程序，此时，可以将被调用的应用程序作为关联程序样本。
114.步骤s60：获取所述关联程序样本对应的攻击指标作为关联攻击指标。
115.可以理解的是，在确定关联程序样本之后，获取关联程序样本对应的攻击指标作为关联攻击指标，关联攻击指标获取方式可以与恶意程序样本的攻击指标的获取方式相同。
116.步骤s70：将所述攻击指标与所述关联攻击指标进行聚合，获得复合攻击指标。
117.可以理解的是，将攻击指标与关联攻击指标进行聚合，补充上下文的信息，即可获得恶意程序样本在进行攻击行为中调用其他恶意程序协同进行攻击的复合攻击指标。
118.本实施例通过获取所述恶意程序样本运行过程中调用的应用程序；将所述应用程
序与恶意程序样本库中的恶意程序样本进行比对，确定关联程序样本；获取所述关联程序样本对应的攻击指标作为关联攻击指标；将所述攻击指标与所述关联攻击指标进行聚合，获得复合攻击指标。由于在获取到恶意程序样本的攻击指标之后还对恶意程序样本调用的应用程序进行了进一步的判断，可以获取恶意程序样本与其他恶意程序协同进行攻击的复合攻击指标，使得攻击指标获取方法的适用范围更加广泛，能够适应更多复杂的攻击场景。
119.此外，本发明实施例还提出一种存储介质，所述存储介质上存储有攻击指标获取程序，所述攻击指标获取程序被处理器执行时实现如上文所述的攻击指标获取方法的步骤。
120.参照图5，图5为本发明攻击指标获取装置第一实施例的结构框图。
121.如图5所示，本发明实施例提出的攻击指标获取装置包括：
122.程序运行模块501，用于在沙箱中运行恶意程序样本，获得所述恶意程序样本运行产生的操作行为日志；
123.报告生成模块502，用于通过攻击操作映射规则库对所述操作行为日志进行攻击操作匹配，获得样本攻击行为报告；
124.指标获取模块503，用于根据所述样本攻击行为报告确定所述恶意程序样本的攻击指标。
125.本实施例通过在沙箱中运行恶意程序样本，获得所述恶意程序样本运行产生的操作行为日志；通过攻击操作映射规则库对所述操作行为日志进行攻击操作匹配，获得样本攻击行为报告；根据所述样本攻击行为报告确定所述恶意程序样本的攻击指标。由于是在沙箱中自动化运行恶意程序样本，并通过攻击操作映射规则库对收集的恶意程序样本运行产生的操作行为日志进行攻击操作匹配，可快速发现可疑的操作行为日志，并形成样本攻击行为报告，再根据样本攻击行为报告即可确定恶意程序样本的攻击指标，不需人工分析即可获得恶意程序样本的攻击指标。
126.进一步地，所述程序运行模块501，还用于获取攻击行为框架中记录的攻击行为，将所述攻击行为进行操作拆解，获得各攻击行为对应的攻击操作；根据所述攻击操作及所述攻击行为构建攻击操作映射规则库。
127.进一步地，所述指标获取模块503，还用于获取所述恶意程序样本对应的历史样本攻击行为报告，所述历史样本攻击行为报告包括历史攻击行为和所述历史攻击行为的行为标识；
128.所述指标获取模块503，还用于获取所述样本攻击行为报告对应的攻击行为，并获取所述历史样本攻击行为报告对应的历史攻击行为；获取所述攻击行为的行为标识，并根据所述行为标识在所述历史攻击行为中查找对应的目标攻击行为；根据所述攻击行为与所述目标攻击行为确定所述攻击行为对应的攻击类型；根据所述攻击类型、所述攻击行为及所述历史攻击行为确定所述恶意程序样本的攻击指标。
129.进一步地，所述指标获取模块503，还用于获取所述攻击行为对应的失陷指标及所述目标攻击行为对应的目标失陷指标；比对所述失陷指标及所述目标失陷指标，获得比对结果；根据所述比对结果确定所述攻击行为对应的攻击类型。
130.进一步地，所述程序运行模块501，还用于获取恶意程序样本的程序类型，根据所述程序类型获取对应的运行方式；根据所述运行方式在沙箱中运行所述恶意程序样本，获
得所述恶意程序样本运行产生的api调用日志；对所述api调用日志进行操作行为分析，获得所述恶意程序样本运行产生的操作行为日志。
131.进一步地，所述报告生成模块502，还用于根据所述操作行为日志进行运行状态检测，确定所述恶意程序样本是否正确运行；在所述恶意程序样本正确运行时，执行所述通过攻击操作映射规则库对所述操作行为日志进行攻击操作匹配，获得样本攻击行为报告的步骤；在所述恶意程序样本未正确运行时，获取所述恶意程序样本的历史未正确运行次数；将所述历史未正确运行次数的数值加一，获得未正确运行次数；在所述未正确运行次数小于或等于预设阈值时，返回所述在沙箱中运行恶意程序样本，获得所述恶意程序样本运行产生的操作行为日志的步骤。
132.进一步地，所述指标获取模块503，还用于获取所述恶意程序样本运行过程中调用的应用程序；将所述应用程序与恶意程序样本库中的恶意程序样本进行比对，确定关联程序样本；获取所述关联程序样本对应的攻击指标作为关联攻击指标；将所述攻击指标与所述关联攻击指标进行聚合，获得复合攻击指标。
133.应当理解的是，以上仅为举例说明，对本发明的技术方案并不构成任何限定，在具体应用中，本领域的技术人员可以根据需要进行设置，本发明对此不做限制。
134.需要说明的是，以上所描述的工作流程仅仅是示意性的，并不对本发明的保护范围构成限定，在实际应用中，本领域的技术人员可以根据实际的需要选择其中的部分或者全部来实现本实施例方案的目的，此处不做限制。
135.另外，未在本实施例中详尽描述的技术细节，可参见本发明任意实施例所提供的攻击指标获取方法，此处不再赘述。
136.此外，需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
137.上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
138.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如只读存储器(read only memory，rom)/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。
139.以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。