一種高級可持續威脅的檢測方法及系統技術方案

本發明專利技術公開了一種高級可持續威脅的檢測方法及系統，它通過將多種靜態和動態的檢測方式進行結合，可以在不依賴傳統簽名技術的同時，能夠有效檢測通過網頁、電子郵件或其他的在線文件共享方式進入網絡的已知和未知的惡意軟件，發現利用0day漏洞的APT攻擊行為，保護客戶網絡免遭0day等攻擊造成的各種風險，如敏感信息泄露、基礎設施破壞等，而且具有誤報率低的優點。

【技術實現步驟摘要】
一種高級可持續威脅的檢測方法及系統
本專利技術涉及一種高級可持續威脅的檢測方法及其系統，屬于網絡安全

技術介紹
如今，政府和企業同時面臨著一個不斷演變的網絡威脅環境。最初的黑客攻擊是為了獲得影響力及自我滿足去攻擊媒體網站，或者使用DoS方式來中斷網站的服務；而現在已演變成為了經濟、政治等目的的攻擊。攻擊者能夠通過竊取知識產權來直接獲取利益，也可以入侵、竊取客戶的個人金融信息，更有甚者破壞對方的服務以至國家的基礎設施。動機的變化，同時也帶來了攻擊方式的變化。從過去廣泛、漫無目的的攻擊威脅，在數年內迅速的轉化為針對受害者組織將造成嚴重后果的高級可持續威脅（AdvancedPersistentThreat）。高級可持續威脅（APT）是由美國空軍的信息安全分析師與2006年創造的術語，一般來說，高級可持續威脅具備以下三個特點：高級：攻擊者為黑客入侵技術方面的專家，能夠自主的開發攻擊工具，或者挖掘漏洞，并通過結合多種攻擊方法和工具，以達到預定攻擊目標。持續性滲透：攻擊者會針對確定的攻擊目標，進行長期的滲透。在不被發現的情況下，持續攻擊以獲得最大的效果。威脅：這是一個由組織者進行協調和指揮的人為攻擊。入侵團隊會有一個具體的目標，這個團隊訓練有素、有組織性、有充足的資金，同時有充分的政治或經濟動機。此類APT威脅往往可以繞過防火墻、IPS、AV以及網閘等傳統的安全機制，悄無聲息的從企業或政府機構獲取高級機密資料。在2012年Verizon信息外泄調查報告中可以看到，2011年發生的重大信息數據外泄的受訪組織中，有59%是在相關執法機構告知后才知道信息外泄的情況?，F今主流的安全防御機制，往往由防火墻或NGFW、入侵檢測、網閘及防毒軟件建構其核心檢測能力，這些產品依靠已知攻擊特征碼進行模式匹配來檢測已知的網絡攻擊，在一些特定情況下，也可能檢測針對已知漏洞的新的未知攻擊。這樣的解決方案，能非常有效的監測到一般的已知網絡攻擊，如：蠕蟲、特洛伊木馬、間諜軟件、botnet及基本的電腦病毒等，但針對現今最威脅的高級可持續威脅，卻完全沒有招架之力。在大多數情況下，APT攻擊面對傳統的安全防御機制時，有如入無人之境，因為這些攻擊沒有特征碼，故傳統的防御機制無法檢測攻擊者在起始階段所采取的攻擊手段，最終導致網絡攻擊者可以任意的控制網絡。一些防護更深入的傳統方案，會結合IPS或者NBA產品進行異常檢測，協助找到網絡攻擊，這種方式雖然可以偵測到新型的APT威脅，但是由于經常受到誤報的影響（將正常流量歸為異常），因此防御效果不佳，并且也容易出現漏報的問題。
技術實現思路
本專利技術的目的在于，提供一種高級可持續威脅的檢測方法。本專利技術可以對高級可持續威脅進行有效地檢測，而且防御效果好、誤報率低。本專利技術的技術方案：一種高級可持續威脅的檢測方法，其特點是，包括以下步驟：①在互聯網接入口，鏡像出進出網絡的流量；②對鏡像出的流量進行文件承載協議的解析，并對文件進行解碼還原；③對解碼還原后的文件進行shellcode的靜態檢測，以及病毒檢測，初步檢測惡意軟件；④在沙箱中虛擬執行解碼還原后的文件中的可執行代碼，并跟蹤分析所執行的指令特征以及行為特征，進而發現存在安全威脅的文件；⑤結合步驟③和④的檢測結果，形成系統日志及相應的告警信息后輸出給安全管理員。上述的高級可持續威脅的檢測方法中，所述步驟③中跟蹤的指令特征包括了堆、棧中的代碼執行情況，通過指令運行中的內存空間的異常變化，可以發現各種溢出攻擊等漏洞利用行為，發現0day漏洞；所跟蹤行為特征，包括進程的創建中止、進程注入、服務、驅動、注冊表訪問及改寫、文件訪問改寫及下載、程序端口監聽和網絡訪問行為，從而可綜合分析找到屬于攻擊威脅的行為特征，進而發現惡意軟件。前述的高級可持續威脅的檢測方法中，在步驟③中檢測發現惡意軟件后，持續觀察其進一步的行為，包括網絡、文件、進程和注冊表，并將這些行為作為報警內容的一部分輸出給安全管理員，方便追查和審計；而其中惡意軟件連接命令與控制服務器的網絡特征也可以進一步被用來發現、跟蹤botnet網絡（僵尸網絡）。前述的高級可持續威脅的檢測方法中，步驟④中同時運行多個沙箱，同時利用并行沙箱加快執行檢測任務，以達到一個可擴展的平臺來處理高速網絡流量，及時有效的進行威脅監測。前述的高級可持續威脅的檢測方法中，所述步驟①通過SPAN部署方式或TAP部署方式實現。實現前述方法的高級可持續威脅的檢測系統：包括主處理器，主處理器上連接有帶以太網接口的數據采集模塊，主處理器還通過D/A轉換模塊與帶解除電路的警示電路相連，警示電路通過供電電路與電源相連；所述警示電路包括集電極連接至供電電路的電壓輸出端的第一三極管，第一三極管的發射極依次串聯第一電阻、第一非門和第二非門，第二非門的輸出端連接至非穩態多諧振蕩器電路的電源端，非穩態多諧振蕩器電路包含兩組放大電路，每組放大電路上分別設置發光顏色不同的第一發光二極管和第二發光二極管；所述第一發光二極管的正向端與第二三極管的基極相連，反向端與第二三極管的發射極相連；所述第二發光二極管的正向端與第三三極管的基極相連，反向端與第三三極管的發射極相連；所述主處理器通過驅動電路與電源相連，主處理器上還連接有外部擴展存儲器；所述第一三極管、第二三極管和第三三極管的集電極與D/A轉換模塊相連。前述的高級可持續威脅的檢測系統中，所述供電電路的輸出端還依次串聯蜂鳴器、第八電阻和第六三極管，其中第六三極管的基集連接第八電阻，發射極接地，集電極連接至第二非門的輸出端。前述的高級可持續威脅的檢測系統中，所述第一非門和第二非門的串聯支路上并聯有第二電阻，第一電阻連接第二電阻的一端與第一電容的其中一端相連，第一電容的另一端接地。前述的高級可持續威脅的檢測系統中，所述解除電路包括并聯在第一電容上的按鈕，按鈕上串聯有第三電阻。前述的高級可持續威脅的檢測系統中，所述非穩態多諧振蕩器電路包括正向端均與第二非門輸出端相連的第一發光二極管和第二發光二極管；第一發光二極管的反向端通過第四電阻連接至第四三極管的基極，第四三極管的發射極接地；所述第二發光二極管的反向端通過第七電阻連接至第五三極管的基極，第五三極管的發射極接地；所述第一發光二極管的正向端通過第五電阻與第五三極管的集電極相連，第二發光二極管的正向端通過第六電阻與第四三極管的集電極相連；所述第四三極管的集電極和第五三極管的基極之間設有第三電容，第五三極管的集電極和第四三極管的基極之間設有第二電容。文中SPAN即SwitchedPortAnalyzer是交換機端口分析，用來監控以太端口數據流的一種管理方式?？梢酝ㄟ^使用SPAN將一個監控端口（源端口）上的幀拷貝到交換機上的另一個連接有網絡分析設備的目的端口上來分析源端口上的通訊，以進行網絡監控和故障排除。SPAN并不影響交換機的正常報文交換，只是所有進入源端口和從源端口輸出的幀原樣拷貝了一份到目的端口。目的端口帶寬應大于等于監控端口帶寬，否則可能無法成功對監控端口進行監控。TAP:網絡分路器，其作用：串接或并接在網絡中，采集網絡流量數據，可復制到多個端口、匯聚到個別端口。與現有技術相比，本專利技術通過將多種靜態和動態的檢測方式進行結合，可以在不依賴傳統簽名技術的同時，能夠有效檢測通本文檔來自技高網...

【技術保護點】
一種高級可持續威脅的檢測方法，其特征在于，包括以下步驟：①在互聯網接入口，鏡像出進出網絡的流量；②對鏡像出的流量進行文件承載協議的解析，并對文件進行解碼還原；③對解碼還原后的文件進行shellcode的靜態檢測，以及病毒檢測，初步檢測惡意軟件；④在沙箱中虛擬執行解碼還原后的文件中的可執行代碼，并跟蹤分析所執行的指令特征以及行為特征，進而發現存在安全威脅的文件；⑤結合步驟③和④的檢測結果，形成系統日志及相應的告警信息后輸出給安全管理員。

【技術特征摘要】
1.一種高級可持續威脅的檢測方法，其特征在于，包括以下步驟：①在互聯網接入口，鏡像出進出網絡的流量；②對鏡像出的流量進行文件承載協議的解析，并對文件進行解碼還原；③對解碼還原后的文件進行shellcode的靜態檢測，以及病毒檢測，初步檢測惡意軟件；④在沙箱中虛擬執行解碼還原后的文件中的可執行代碼，并跟蹤分析所執行的指令特征以及行為特征，進而發現存在安全威脅的文件；⑤結合步驟③和④的檢測結果，形成系統日志及相應的告警信息后輸出給安全管理員。2.根據權利要求1所述的高級可持續威脅的檢測方法，其特征在于：所述步驟③中跟蹤的指令特征包括了堆、棧中的代碼執行情況，通過指令運行中的內存空間的異常變化，可以發現各種溢出攻擊等漏洞利用行為，發現0day漏洞；所跟蹤行為特征，包括進程的創建中止、進程注入、服務、驅動、注冊表訪問及改寫、文件訪問改寫及下載、程序端口監聽和網絡訪問行為，從而可綜合分析找到屬于攻擊威脅的行為特征，進而發現惡意軟件。3.根據權利要求2所述的高級可持續威脅的檢測方法，其特征在于：在步驟③中檢測發現惡意軟件后，持續觀察其進一步的行為，包括網絡、文件、進程和注冊表，并將這些行為作為報警內容的一部分輸出給安全管理員，方便追查和審計；而其中惡意軟件連接命令與控制服務器的網絡特征也可以進一步被用來發現、跟蹤botnet網絡。4.根據權利要求1所述的高級可持續威脅的檢測方法，其特征在于：步驟④中同時運行多個沙箱，同時利用并行沙箱加快執行檢測任務，以達到一個可擴展的平臺來處理高速網絡流量，及時有效的進行威脅監測。5.根據權利要求1所述的高級可持續威脅的檢測方法，其特征在于：所述步驟①通過SPAN部署方式或TAP部署方式實現。6.實現權利要求1至5任一權利要求所述方法的高級可持續威脅的檢測系統，其特征在于：包括主處理器（3），主處理器（3）上連接有帶以太網接口（1）的數據采集模塊（2），主處理器（3）還通過D/A轉換模塊（4）與帶解除電路（9）的警示電路（5）相連，警示電路（5）通過供電電路（10）與電源（8）相連；所述警示電路（5）包括集電極連接至供電電路（10）的電壓輸出端的第一三極管（Q1），第一三極管（Q1）的發射極依次串聯第一電阻（R1）、第一非門（IC1）和第二非門（IC2），第二非門(IC2)的輸出端連接至非穩態多諧振蕩器電路的電源端，非穩...

【專利技術屬性】
技術研發人員：沈宏杰，喻俊潯，劉顯明，付萍萍，洪微明，于仕，程明，劉翔，
申請(專利權)人：國網江西省電力公司信息通信分公司，
類型：發明
國別省市：江西,36