入侵者模拟攻击检测方法、装置、存储介质及电子设备

技术领域

本发明涉及安全性检测技术领域，尤其涉及一种入侵者模拟攻击检测方法、装置、存储介质及电子设备。

背景技术

如图1所示，现有入侵者模拟攻击系统普遍采用控制服务器101下发命令和载 荷，通过在客户机102安装代理进程103并执行的方式来考察客户环境的安全设备 的阻断或检测能力。控制服务器在模拟场景式(如APT攻击活动)攻击活动时，通 常将此次攻击活动中所涉及的技战术及实现过程(TTPs)进行拆分，并将拆分后的 各分段TTPs的代码和载荷下发给代理进程，由代理进程在客户机针对各分段TTPs 逐一通过启动新的进程的方式进行执行。但该入侵者模拟攻击系统架构仍然考察的 是客户环境中安全设备对单点安全事件的阻断或检测能力，其基于端点检测和响应 工具(EDR)、安全运营平台等架构，由于缺少安全事件上下文信息而导致的无法 正确对TTPs攻击事件进行关联分析和检测，导致对客户环境中的安全能力评估失 真的问题。

发明内容

本发明实施例的目的是提供一种入侵者模拟攻击检测方法、装置、存储介质 及电子设备，其通过极高仿真度的上下文关联式自动化安全地入侵和攻击模拟， 能够确保客户环境中的关联分析设备接受到真实安全事件的上下文，更好地评估 安全设备关联分析及检测能力。

为了实现上述目的，本发明一方面提供一种入侵者模拟攻击检测方法，包括：

获取模拟场景式攻击活动中的所有TTPs攻击事件，并将各所述TTPs攻击 事件之间进行关联性分析，生成第一TTPs序列；

将所述第一TTPs序列的代码和载荷编译生成第一链接库；

响应于对所述第一链接库的第一操作，将所述第一链接库加载至傀儡进程；

调用执行所述傀儡进程。

可选的，所述生成第一TTPs序列的步骤，进一步包括：

获取所述模拟场景式攻击活动中的所有TTPs攻击事件组成第二TTPs序列；

将所述第二TTPs序列拆分成多个第二TTPs子序列；

比较各所述第二TTPs子序列，确定各所述第二TTPs子序列的置信度；

将各所述第二TTPs子序列的置信度与预设置信度阈值比较，筛选出满足预 设置信度阈值的所述第二TTPs子序列，组成所述第一TTPs序列。

可选的，所述比较各所述第二TTPs子序列，确定各所述第二TTPs子序列 的置信度，包括：

将各所述第二TTPs子序列两两比较或多重比较，通过分析所述第二TTPs 子序列之间的代码、域名、和/或IP地址的关联性，确定所述第二TTPs子序列 的置信度。

可选的，所述将所述第一链接库注入到傀儡进程中之前，还包括：

响应于对所述第一链接库的第一操作，代理进程创建所述傀儡进程。

可选的，所述的方法还包括：

调用所述傀儡进程，获取所述傀儡进程的进程号以及加载运行情况；

所述代理进程上报所述傀儡进程的进程号以及加载运行情况。

可选的，所述第一链接库为动态链接库或静态链接库；

所述响应于对所述第一链接库的第一操作，包括：动态或静态调用所述所述 第一链接库的步骤。

可选的，所述TTPs攻击事件为网络链接事件、攻击载荷Payload下载事件、 攻击载荷Payload解密事件、攻击载荷Payload执行事件中多个所述TTPs攻击事 件之一、或者部分、或者全部。

本发明另一方面还提供一种入侵者模拟攻击检测装置，包括：

关联模块，用于获取模拟场景式攻击活动中的所有TTPs攻击事件，并将各 所述TTPs攻击事件之间进行关联性分析，生成第一TTPs序列；

编译模块，用于将所述第一TTPs序列的代码和载荷编译生成第一链接库；

加载模块，用于响应于对所述第一链接库的第一操作，将所述第一链接库加 载至傀儡进程；

执行模块，用于调用执行所述傀儡进程。

可选的，所述生成第一TTPs序列的步骤，进一步包括：

获取所述模拟场景式攻击活动中的所有TTPs攻击事件组成第二TTPs序列；

将所述第二TTPs序列拆分成多个第二TTPs子序列；

比较各所述第二TTPs子序列，确定各所述第二TTPs子序列的置信度；

将各所述第二TTPs子序列的置信度与预设置信度阈值比较，筛选出满足预 设置信度阈值的所述第二TTPs子序列，组成所述第一TTPs序列。

可选的，所述比较各所述第二TTPs子序列，确定各所述第二TTPs子序列 的置信度，包括：

将各所述第二TTPs子序列两两比较或多重比较，通过分析所述第二TTPs 子序列之间的代码、域名、和/或IP地址的关联性，确定所述第二TTPs子序列 的置信度。

可选的，所述将所述第一链接库注入到傀儡进程中之前，还包括：

响应于对所述第一链接库的第一操作，代理进程创建所述傀儡进程。

可选的，所述的装置还包括上报模块，所述上报模块用于：

调用所述傀儡进程，获取所述傀儡进程的进程号以及加载运行情况；

所述代理进程上报所述傀儡进程的进程号以及加载运行情况。

可选的，所述第一链接库为动态链接库或静态链接库；

所述响应于对所述第一链接库的第一操作，包括：动态或静态调用所述所述 第一链接库的步骤。

可选的，所述TTPs攻击事件为网络链接事件、攻击载荷Payload下载事件、 攻击载荷Payload解密事件、攻击载荷Payload执行事件中多个所述TTPs攻击事 件之一、或者部分、或者全部。

本发明另一方面还提供一种存储介质，用于存储一种用于执行上述的入侵者 模拟攻击检测方法的计算机程序。

本发明另一方面还提供一种电子设备，包括存储器、处理器以及存储在所述 存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行 所述计算机程序时实现上述的入侵者模拟攻击检测方法。

在本发明实施例中，通过对模拟场景式攻击活动中的所有TTPs攻击事件的 关联性分析，将模拟场景式攻击活动中具有关联性的第一TTPs序列的代码和载 荷编译成第一链接库的形式，作为控制服务器下发执行的内容；在客户机上，由 代理进程创建新的傀儡进程，将接收到的第一TTPs序列的第一链接库注入到傀 儡进程中后调用执行傀儡进程。该方法能够保证TTPs序列执行后保持连贯的上 下文环境，能够精确模拟APT场景中木马或后门的运行方式，极高仿真度地上 下文关联式自动化入侵和攻击模拟，能够确保客户环境中的关联分析设备接收到 真实安全事件的上下文，更好地评估安全设备关联分析及检测能力。

附图说明

图1是背景技术中入侵者模拟攻击系统架构图；

其中：101-控制服务器；

102-客户机；

103-代理进程

图2为本发明实施例一提供的入侵者模拟攻击检测方法流程示意图；

图3为针对本发明实施例一的入侵者模拟攻击系统架构图；

其中：101-控制服务器；

102-客户机；

103-代理进程；

104-傀儡进程；

105-第一链接库；

图4是本发明实施例二提供的入侵者模拟攻击检测方法步骤S1的流程示意图；

图5是本发明实施例三提供的入侵者模拟攻击检测方法流程示意图；

图6是本发明的入侵者模拟攻击检测装置结构示意图；

其中：400-入侵者模拟攻击检测装置；

401-关联模块；

402-编译模块；

403-加载模块；

404-执行模块；

405-上报模块；

图7是电子设备的结构示意图；

其中：500-电子设备500；

501-存储介质；

502-处理器。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本 发明，并不用于限定本发明。

需要说明的，本说明书中针对“一个实施例”、“实施例”、“示例实施例”等 的引用，指的是描述的该实施例可包括特定的特征、结构或特性，但是不是每个实施 例必须包含这些特定特征、结构或特性。此外，这样的表述并非指的是同一个实施例。 进一步，在结合实施例描述特定的特征、结构或特性时，不管有没有明确的描述， 已经表明将这样的特征、结构或特性结合到其它实施例中是在本领域技术人员的知识 范围内的。

此外，在说明书及后续的权利要求当中使用了某些词汇来指称特定组件或部件，所属领域中具有通常知识者应可理解，制造商可以用不同的名词或术语来称呼同一个 组件或部件。本说明书及后续的权利要求并不以名称的差异来作为区分组件或部件的 方式，而是以组件或部件在功能上的差异来作为区分的准则。在通篇说明书及后续的 权利要求书中所提及的“包括”和“包含”为一开放式的用语，故应解释成“包含但 不限定于”。

APT组织，通常具有国家或情报机构背景，或者专门实施网络间谍活动，其攻击 动机主要是长久性的情报刺探、收集和监控，也会实施如牟利和破坏为意图的攻击威 胁。APT组织主要攻击的目标包括政府、军队、外交、国防外，也覆盖科研、能源以 及国家基础设施性质的行业和产业，该组织采用多种攻击活动，如将攻击活动的载荷 都存储在同一个WEB服务器上，每一个攻击流程内的载荷都按照目录存放，其攻击流 程是首先传播含有漏洞的Office文档，通过漏洞文档下载执行恶意载荷(EXE)，随 后通过C2对目标主机进行远程控制。如何精确模拟各种APT攻击活动，更好地评估 安全设备检测能力，为计算机网络安全性监测的亟待解决的问题。

如前所述，在相关技术中，采用控制服务器下发命令和载荷，通过在客户机安 装代理并执行的方式来考察客户环境的安全设备的阻断或检测能力的入侵者模 拟攻击检测方法缺乏对TTPs攻击事件进行关联分析和检测，导致对客户环境中 的安全能力评估失真的问题。

针对此，本发明实施例一提供了一种入侵者模拟攻击检测方法，参考图2，图 2示出了本实施例的步骤流程图，图3是相应的入侵者模拟攻击系统架构图；

一种入侵者模拟攻击检测方法，可以包括如下步骤：

S1、获取模拟场景式攻击活动中的所有TTPs攻击事件，并将各所述TTPs 攻击事件之间进行关联性分析，生成第一TTPs序列。

在本实施例中，通过对模拟场景式攻击活动中的所有TTPs攻击事件的关联 性分析，通过发现存在于模拟场景式攻击活动各TTPs攻击事件数据集中的关联 性或相关性，进而描述模拟场景式攻击活动中的TTPs攻击事件某些属性同时出 现的规律和模式。至于在具体实现过程中，可以采用Apriori算法、FP-growth算 法等关联性分析手段，具体分析TTPs攻击事件之间在代码、域名、和/或IP地 址的关联性。至于具体采用何种关联性分析手段，本实施例不做具体限定。

S2、将所述第一TTPs序列的代码和载荷编译生成第一链接库。

S3、响应于对所述第一链接库的第一操作，将所述第一链接库加载至傀儡进 程。

在一些实施例中，所述第一链接库可以为动态链接库，所述响应于对所述第 一链接库的第一操作，包括：动态调用所述所述第一链接库。

在另一些实施例中，所述第一链接库也可以为静态链接库，所述响应于对所 述第一链接库的第一操作，包括：静态调用所述所述第一链接库。

S4、调用执行所述傀儡进程。

在本发明的上述实施例中，通过对模拟场景式攻击活动中的所有TTPs攻击 事件的关联性分析，将模拟场景式攻击活动中具有关联性的第一TTPs序列的代 码和载荷编译成第一链接库105的形式，作为控制服务器101下发执行的内容； 在客户机102上，由代理进程103创建新的傀儡进程104，将接收到的第一TTPs 序列的第一链接库105注入到傀儡进程104中后调用执行傀儡进程104。该方法 能够保证TTPs序列执行后保持连贯的上下文环境，能够精确模拟APT场景中木 马或后门的运行方式，极高仿真度地上下文关联式自动化入侵和攻击模拟，能够 确保客户环境中的关联分析设备接收到真实安全事件的上下文，更好地评估安全 设备关联分析及检测能力。

本发明实施例二提供了一种入侵者模拟攻击检测方法，可以包括如下步骤：

S1、获取模拟场景式攻击活动中的所有TTPs攻击事件，并将各所述TTPs 攻击事件之间进行关联性分析，生成第一TTPs序列。

对于模拟场景式攻击活动中的所有TTPs攻击事件的关联性分析，通过发现 存在于模拟场景式攻击活动各TTPs攻击事件数据集中的关联性或相关性，进而 描述了模拟场景式攻击活动中的TTPs攻击事件某些属性同时出现的规律和模 式。

图4示出了步骤S1的具体流程图，具体包括：

S11、获取所述模拟场景式攻击活动中的所有TTPs攻击事件组成第二TTPs 序列；

S12、将所述第二TTPs序列拆分成多个第二TTPs子序列；

S13、比较各所述第二TTPs子序列，确定各所述第二TTPs子序列的置信度。

在具体实现中，可以通过两两比较或多重比较各所述第二TTPs子序列，通 过分析所述第二TTPs子序列之间的代码、域名、和/或IP地址的关联性，确定 所述第二TTPs子序列的置信度。例如，可以通过提取各第二TTPs子序列的域 名信息，分析域名的相关性；或者还可以通过提取各第二TTPs子序列域名的曾 跳转IP和现跳转IP，分析IP地址关联性。至于具体采用何种方式进行关联性分 析，本实施例不做具体限定。

S14、将各所述第二TTPs子序列的置信度与预设置信度阈值比较，筛选出满 足预设置信度阈值的所述第二TTPs子序列，组成所述第一TTPs序列。

S2、将所述第一TTPs序列的代码和载荷编译生成第一链接库；

S3、响应于对所述第一链接库的第一操作，代理进程创建所述傀儡进程，将 所述第一链接库加载至傀儡进程；

在一些实施例中，所述第一链接库可以为动态链接库，所述响应于对所述第 一链接库的第一操作，包括：动态调用所述所述第一链接库。

在另一些实施例中，所述第一链接库也可以为静态链接库，所述响应于对所 述第一链接库的第一操作，包括：静态调用所述所述第一链接库。

S4、调用执行所述傀儡进程。

参考图5，图5示出了一种入侵者模拟攻击检测方法实施例三的步骤流程图， 可以包括如下步骤：

S1、获取模拟场景式攻击活动中的所有TTPs攻击事件，并将各所述TTPs 攻击事件之间进行关联性分析，生成第一TTPs序列。

对于模拟场景式攻击活动中的所有TTPs攻击事件的关联性分析，通过发现 存在于模拟场景式攻击活动各TTPs攻击事件数据集中的关联性或相关性，进而 描述了模拟场景式攻击活动中的TTPs攻击事件某些属性同时出现的规律和模 式。

图4示出了步骤S1的具体流程图，具体包括：

S11、获取所述模拟场景式攻击活动中的所有TTPs攻击事件组成第二TTPs 序列；

S12、将所述第二TTPs序列拆分成多个第二TTPs子序列；

S13、比较各所述第二TTPs子序列，确定各所述第二TTPs子序列的置信度。

在具体实现中，可以通过两两比较或多重比较各所述第二TTPs子序列，通 过分析所述第二TTPs子序列之间的代码、域名、和/或IP地址的关联性，确定 所述第二TTPs子序列的置信度。例如，可以通过提取各第二TTPs子序列的域 名信息，分析域名的相关性；或者还可以通过提取各第二TTPs子序列域名的曾 跳转IP和现跳转IP，分析IP地址关联性。至于具体采用何种方式进行关联性分 析，本实施例不做具体限定。

S14、将各所述第二TTPs子序列的置信度与预设置信度阈值比较，筛选出满 足预设置信度阈值的所述第二TTPs子序列，组成所述第一TTPs序列。

S2、将所述第一TTPs序列的代码和载荷编译生成第一链接库；

S3、响应于对所述第一链接库的第一操作，代理进程创建所述傀儡进程，将 所述第一链接库加载至傀儡进程；

在一些实施例中，所述第一链接库可以为动态链接库，所述响应于对所述第 一链接库的第一操作，包括：动态调用所述所述第一链接库。

在另一些实施例中，所述第一链接库也可以为静态链接库，所述响应于对所 述第一链接库的第一操作，包括：静态调用所述所述第一链接库。

S4、调用执行所述傀儡进程；

S5、获取所述傀儡进程的进程号以及加载运行情况，所述代理进程上报所述 傀儡进程的进程号以及加载运行情况。

在本实施例中，模拟场景式攻击活动中的所有TTPs攻击事件可以包括网络 链接事件、攻击载荷Payload下载事件、攻击载荷Payload解密事件、以及攻击 载荷Payload执行事件等各种攻击事件，将需要进行关联分析的各TTPs攻击事 件进行关联性分析，生成第一TTPs序列。通过将所述第一TTPs序列的代码和 载荷编译生成第一链接库，代理进程创建所述傀儡进程并将所述第一链接库加载 至傀儡进程的手段，各关联攻击事件即可获得统一的傀儡进程的进程号。通过调 用执行所述傀儡进程，获取所述傀儡进程的进程号以及加载运行情况，代理进程 可以实时上报所述傀儡进程的进程号以及加载运行情况，控制服务器实时监测评 估设备的安全性。

需要说明的是，对于方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明实施例并不受所描述的动作顺序的限制， 因为依据本发明实施例，某些步骤可以采用其他顺序或者同时进行。其次，本领域技 术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作并不 一定是本发明实施例所必须的。

本发明上述实施例可以应用于具有入侵者模拟攻击检测能力的终端设备中，该终端设备可以包括掌上电脑、台式电脑、提供用户进行电子签名的签名终端，以及 手机、PDA(Personal Digital Assistant，个人数字助理)等等，本发明实施例对此 不加以限制。该终端可以支持Windows、Android(安卓)、IOS、WindowsPhone等操 作系统。

参照图4，图4示出了一种入侵者模拟攻击检测装置400，所述入侵者模拟攻击 检测装置400可应用于电脑等终端设备中，其可实现通过如图1-图3所示的入侵者模 拟攻击检测方法，至少包括关联模块401、编译模块402、加载模块403、执行模 块404，即具体为：

一种入侵者模拟攻击检测装置400，包括：

关联模块401，用于获取模拟场景式攻击活动中的所有TTPs攻击事件，并 将各所述TTPs攻击事件之间进行关联性分析，生成第一TTPs序列；

编译模块402，用于将所述第一TTPs序列的代码和载荷编译生成第一链接 库；

加载模块403，用于响应于对所述第一链接库的第一操作，将所述第一链接 库加载至傀儡进程；

执行模块404，用于调用执行所述傀儡进程。

可选的，所述获取模拟场景式攻击活动中的所有TTPs攻击事件，并将各所 述TTPs攻击事件之间进行关联性分析，生成第一TTPs序列，包括：

获取所述模拟场景式攻击活动中的所有TTPs攻击事件组成第二TTPs序列；

将所述第二TTPs序列拆分成多个第二TTPs子序列；

比较各所述第二TTPs子序列，确定各所述第二TTPs子序列的置信度；

将各所述第二TTPs子序列的置信度与预设置信度阈值比较，筛选出满足预 设置信度阈值的所述第二TTPs子序列，组成所述第一TTPs序列。

可选的，所述比较各所述第二TTPs子序列，确定各所述第二TTPs子序列 的置信度，包括：

将各所述第二TTPs子序列两两比较或多重比较，通过分析所述第二TTPs 子序列之间的代码、域名、和/或IP地址的关联性，确定所述第二TTPs子序列 的置信度。

可选的，所述将所述第一链接库注入到傀儡进程中之前，还包括：

响应于对所述第一链接库的第一操作，代理进程创建所述傀儡进程。

可选的，所述的装置还包括上报模块405，所述上报模块405用于：

调用所述傀儡进程，获取所述傀儡进程的进程号以及加载运行情况；

所述代理进程上报所述傀儡进程的进程号以及加载运行情况。

可选的，所述第一链接库为动态链接库，

所述响应于对所述第一链接库的第一操作，包括：

动态调用所述所述第一链接库；或

所述第一链接库为静态链接库，

所述响应于对所述第一链接库的第一操作，包括：

静态调用所述所述第一链接库。

可选的，所述所有TTPs攻击事件包括网络链接事件、攻击载荷Payload下 载事件、攻击载荷Payload解密事件、攻击载荷Payload执行事件多个攻击事件 之一、或者部分、或者全部。

本发明还提供一种存储介质，用于存储用于执行如图1-图3所述任意一种入侵者模拟攻击检测方法的计算机程序。例如计算机程序指令，当其被计算机执行时，通过 该计算机的操作，可以调用或提供根据本发明的方法和/或技术方案。而调用本发明的 方法的程序指令，可能被存储在固定的或可移动的存储介质中，和/或通过广播或其他 信号承载媒体中的数据流而被传输和/或被存储在根据程序指令运行的存储介质中。

在此，根据本发明的一个实施例包括一个如图5所示的电子设备500，在一些实 施方式中，包括用于存储计算机程序的存储介质501和用于执行计算机程序的处理器 502，其中，当该计算机程序被该处理器执行时，触发该电子设备执行基于前述多个实 施例中的方法和/或技术方案，该电子设备500可以为手机、电脑等终端设备。

需要注意的是，本发明的软件程序可以通过处理器执行以实现上文步骤或功能。同样地，本发明的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介 质中，例如，RAM存储器，磁或光驱动器或软磁盘及类似设备。根据本发明的日程提 醒方法可以作为计算机实现方法在计算机上实现，用于根据本发明的方法的可执行代 码或其部分可以存储在计算机程序产品上。计算机程序产品的示例包括存储器设备、 光学存储设备、集成电路、服务器、在线软件等。在一些实施方式中，计算机程序产 品包括存储在计算机可读介质上以便当所述程序产品在计算机上执行时执行根据本发 明的方法的非临时程序代码部件。

综上所述，本发明提供的入侵者模拟攻击检测方法，通过对模拟场景式攻击活 动中的所有TTPs攻击事件的关联性分析，将模拟场景式攻击活动中具有关联性 的第一TTPs序列的代码和载荷编译成第一链接库的形式，作为控制服务器下发 执行的内容；在客户机上，由代理进程创建新的傀儡进程，将接收到的第一TTPs 序列的第一链接库注入到傀儡进程中后调用执行傀儡进程。该方法能够保证TTPs 序列执行后保持连贯的上下文环境，能够精确模拟APT场景中木马或后门的运 行方式，极高仿真度地上下文关联式自动化入侵和攻击模拟，能够确保客户环境 中的关联分析设备接收到真实安全事件的上下文，更好地评估安全设备关联分析 及检测能力。

当然，本发明还可有其它多种实施例，在不背离本发明精神及其实质的情况下，熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形，但这些相应的改 变和变形都应属于本发明所附的权利要求的保护范围。

本发明公开A1、一种入侵者模拟攻击检测方法，包括：

获取模拟场景式攻击活动中的所有TTPs攻击事件，并将各所述TTPs攻击 事件之间进行关联性分析，生成第一TTPs序列；

将所述第一TTPs序列的代码和载荷编译生成第一链接库；

响应于对所述第一链接库的第一操作，将所述第一链接库加载至傀儡进程；

调用执行所述傀儡进程。

A2、根据A1所述的方法，所述获取模拟场景式攻击活动中的所有TTPs攻 击事件，并将各所述TTPs攻击事件之间进行关联性分析，生成第一TTPs序列， 包括：

获取所述模拟场景式攻击活动中的所有TTPs攻击事件组成第二TTPs序列；

将所述第二TTPs序列拆分成多个第二TTPs子序列；

比较各所述第二TTPs子序列，确定各所述第二TTPs子序列的置信度；

将各所述第二TTPs子序列的置信度与预设置信度阈值比较，筛选出满足预 设置信度阈值的所述第二TTPs子序列，组成所述第一TTPs序列。

A3、根据A2所述的方法，所述比较各所述第二TTPs子序列，确定各所述 第二TTPs子序列的置信度，包括：

将各所述第二TTPs子序列两两比较或多重比较，通过分析所述第二TTPs 子序列之间的代码、域名、和/或IP地址的关联性，确定所述第二TTPs子序列 的置信度。

A4、根据A1所述的方法，所述将所述第一链接库注入到傀儡进程中之前， 还包括：

响应于对所述第一链接库的第一操作，代理进程创建所述傀儡进程。

A5、根据A4所述的方法，还包括：

调用所述傀儡进程，获取所述傀儡进程的进程号以及加载运行情况；

所述代理进程上报所述傀儡进程的进程号以及加载运行情况。

A6、根据A1所述的方法，

所述第一链接库为动态链接库，

所述响应于对所述第一链接库的第一操作，包括：

动态调用所述所述第一链接库；或

所述第一链接库为静态链接库，

所述响应于对所述第一链接库的第一操作，包括：

静态调用所述所述第一链接库。

A7、根据A1所述的方法，所述所有TTPs攻击事件包括网络链接事件、攻 击载荷Payload下载事件、攻击载荷Payload解密事件、攻击载荷Payload执行事 件多个攻击事件之一、或者部分、或者全部。

本发明还公开B8、一种入侵者模拟攻击检测装置，包括：

关联模块，用于获取模拟场景式攻击活动中的所有TTPs攻击事件，并将各 所述TTPs攻击事件之间进行关联性分析，生成第一TTPs序列；

编译模块，用于将所述第一TTPs序列的代码和载荷编译生成第一链接库；

加载模块，用于响应于对所述第一链接库的第一操作，将所述第一链接库加 载至傀儡进程；

执行模块，用于调用执行所述傀儡进程。

B9、根据B8所述的装置，所述获取模拟场景式攻击活动中的所有TTPs攻 击事件，并将各所述TTPs攻击事件之间进行关联性分析，生成第一TTPs序列， 包括：

获取所述模拟场景式攻击活动中的所有TTPs攻击事件组成第二TTPs序列；

将所述第二TTPs序列拆分成多个第二TTPs子序列；

比较各所述第二TTPs子序列，确定各所述第二TTPs子序列的置信度；

将各所述第二TTPs子序列的置信度与预设置信度阈值比较，筛选出满足预 设置信度阈值的所述第二TTPs子序列，组成所述第一TTPs序列。

B10、根据B8所述的装置，所述比较各所述第二TTPs子序列，确定各所述 第二TTPs子序列的置信度，包括：

将各所述第二TTPs子序列两两比较或多重比较，通过分析所述第二TTPs 子序列之间的代码、域名、和/或IP地址的关联性，确定所述第二TTPs子序列 的置信度。

B11、根据B8所述的装置，所述将所述第一链接库注入到傀儡进程中之前， 还包括：

响应于对所述第一链接库的第一操作，代理进程创建所述傀儡进程。

B12、根据B11所述的装置，还包括上报模块，所述上报模块用于：

调用所述傀儡进程，获取所述傀儡进程的进程号以及加载运行情况；

所述代理进程上报所述傀儡进程的进程号以及加载运行情况。

B13、根据B8所述的装置，

所述第一链接库为动态链接库，

所述响应于对所述第一链接库的第一操作，包括：

动态调用所述所述第一链接库；或

所述第一链接库为静态链接库，

所述响应于对所述第一链接库的第一操作，包括：

静态调用所述所述第一链接库。

B14、根据B8所述的装置，所述所有TTPs攻击事件包括网络链接事件、攻 击载荷Payload下载事件、攻击载荷Payload解密事件、攻击载荷Payload执行事 件多个攻击事件之一、或者部分、或者全部。

本发明还公开C15、一种存储介质，用于存储一种用于执行A1～A7中任一项 所述的入侵者模拟攻击检测方法的计算机程序。

本发明还公开D16、一种电子设备，包括存储器、处理器以及存储在所述存储 器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时 实现A1～A7中任一项所述的入侵者模拟攻击检测方法。