[发明专利]一种基于PE文件分析攻击者来源的方法及系统

说明书

本发明公开了一种基于PE文件分析攻击者来源的方法，包括：提取待分析样本中的PE文件；获取所述PE文件的时间戳数据并确定攻击者所在的时区范围；获取所述PE文件的pdb调试路径信息并确定攻击者所使用的语言类型；基于攻击者所在的时区范围和所使用的语言类型确定攻击者所在的地区。本发明还公开了一种基于PE文件分析攻击者来源的系统。本发明所述技术方案能够根据已知攻击事件的PE文件，进而确定攻击者所在的国家或者地区，从而为进一步分析攻击事件提供线索。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种基于PE文件分析攻击者来源的方法及系统。

背景技术

随着互联网技术的飞速发展，应用其技术的领域也越来越广泛，网络攻击事件也就频频出现。攻击者在攻击过程中往往会留下某些线索，通过对线索的分析可以获得攻击者来源等信息，进而更好的分析和定位攻击事件。目前对网络攻击来源的判断，主要根据攻击者使用服务器的IP的进行分析，然后确定对应的地理位置，这样的方法存在一些弊端，如：攻击者使用代理服务器、攻击者攻陷一些服务器将攻击程序部署在上面，这样会导致在分析中无法找到真正的攻击来源。

发明内容

本发明所述的技术方案对待分析样本的PE文件进行解析，获取时间戳数据和pdb调试路径信息，并分析确定攻击者所在的时区范围和所使用的语言类型，进而确定攻击者可能所在的国家或者地区。本发明提供的方法和系统有助于追踪网络攻击事件，并定位恶意攻击者所在的位置。

本发明采用如下方法来实现：一种基于PE文件分析攻击者来源的方法，包括：

提取待分析样本中的PE文件；

获取所述PE文件的时间戳数据并确定攻击者所在的时区范围；

获取所述PE文件的pdb调试路径信息并确定攻击者所使用的语言类型；

基于攻击者所在的时区范围和所使用的语言类型确定攻击者所在的地区。

进一步地，所述获取所述PE文件的时间戳数据并确定攻击者所在的时区范围，具体为：

获取所述PE文件在0时区下的时间戳数据，并依次转换为24个时区下的时间点；

将各时间点与预设范围进行匹配，将在预设范围内的时间点所在时区确定为攻击者所在的时区范围。

更进一步地，所述预设范围为常规工作时间范围。

进一步地，在获取所述PE文件的时间戳数据之后，在确定攻击者所在的时区范围之前，还包括：过滤明显不符合实际情况的时间戳数据，包括：不符合该类程序的真实编译时间范围或者其他根据经验判定为无效的时间戳数据。

进一步地，所述获取所述PE文件的pdb调试路径信息并确定攻击者所使用的语言类型，具体为：

解析PE文件并获取pdb调试路径信息，将所述pdb调试路径信息转换为十六进制形式后，与ASCII码或者Unicode码进行匹配，确定攻击者所使用的语言类型。

本发明可以采用如下系统来实现：一种基于PE文件分析攻击者来源的系统，包括：

PE文件提取模块，用于提取待分析样本中的PE文件；

时区范围获取模块，用于获取所述PE文件的时间戳数据并确定攻击者所在的时区范围；

语言类型获取模块，用于获取所述PE文件的pdb调试路径信息并确定攻击者所使用的语言类型；

分析判断模块，用于基于攻击者所在的时区范围和所使用的语言类型确定攻击者所在的地区。

进一步地，所述时区范围获取模块，具体用于：

获取所述PE文件在0时区下的时间戳数据，并依次转换为24个时区下的时间点；