一种高级可持续威胁的检测方法及系统技术方案

本发明专利技术公开了一种高级可持续威胁的检测方法及系统，它通过将多种静态和动态的检测方式进行结合，可以在不依赖传统签名技术的同时，能够有效检测通过网页、电子邮件或其他的在线文件共享方式进入网络的已知和未知的恶意软件，发现利用0day漏洞的APT攻击行为，保护客户网络免遭0day等攻击造成的各种风险，如敏感信息泄露、基础设施破坏等，而且具有误报率低的优点。

【技术实现步骤摘要】
一种高级可持续威胁的检测方法及系统
本专利技术涉及一种高级可持续威胁的检测方法及其系统，属于网络安全

技术介绍
如今，政府和企业同时面临着一个不断演变的网络威胁环境。最初的黑客攻击是为了获得影响力及自我满足去攻击媒体网站，或者使用DoS方式来中断网站的服务；而现在已演变成为了经济、政治等目的的攻击。攻击者能够通过窃取知识产权来直接获取利益，也可以入侵、窃取客户的个人金融信息，更有甚者破坏对方的服务以至国家的基础设施。动机的变化，同时也带来了攻击方式的变化。从过去广泛、漫无目的的攻击威胁，在数年内迅速的转化为针对受害者组织将造成严重后果的高级可持续威胁（AdvancedPersistentThreat）。高级可持续威胁（APT）是由美国空军的信息安全分析师与2006年创造的术语，一般来说，高级可持续威胁具备以下三个特点：高级：攻击者为黑客入侵技术方面的专家，能够自主的开发攻击工具，或者挖掘漏洞，并通过结合多种攻击方法和工具，以达到预定攻击目标。持续性渗透：攻击者会针对确定的攻击目标，进行长期的渗透。在不被发现的情况下，持续攻击以获得最大的效果。威胁：这是一个由组织者进行协调和指挥的人为攻击。入侵团队会有一个具体的目标，这个团队训练有素、有组织性、有充足的资金，同时有充分的政治或经济动机。此类APT威胁往往可以绕过防火墙、IPS、AV以及网闸等传统的安全机制，悄无声息的从企业或政府机构获取高级机密资料。在2012年Verizon信息外泄调查报告中可以看到，2011年发生的重大信息数据外泄的受访组织中，有59%是在相关执法机构告知后才知道信息外泄的情况。现今主流的安全防御机制，往往由防火墙或NGFW、入侵检测、网闸及防毒软件建构其核心检测能力，这些产品依靠已知攻击特征码进行模式匹配来检测已知的网络攻击，在一些特定情况下，也可能检测针对已知漏洞的新的未知攻击。这样的解决方案，能非常有效的监测到一般的已知网络攻击，如：蠕虫、特洛伊木马、间谍软件、botnet及基本的电脑病毒等，但针对现今最威胁的高级可持续威胁，却完全没有招架之力。在大多数情况下，APT攻击面对传统的安全防御机制时，有如入无人之境，因为这些攻击没有特征码，故传统的防御机制无法检测攻击者在起始阶段所采取的攻击手段，最终导致网络攻击者可以任意的控制网络。一些防护更深入的传统方案，会结合IPS或者NBA产品进行异常检测，协助找到网络攻击，这种方式虽然可以侦测到新型的APT威胁，但是由于经常受到误报的影响（将正常流量归为异常），因此防御效果不佳，并且也容易出现漏报的问题。
技术实现思路
本专利技术的目的在于，提供一种高级可持续威胁的检测方法。本专利技术可以对高级可持续威胁进行有效地检测，而且防御效果好、误报率低。本专利技术的技术方案：一种高级可持续威胁的检测方法，其特点是，包括以下步骤：①在互联网接入口，镜像出进出网络的流量；②对镜像出的流量进行文件承载协议的解析，并对文件进行解码还原；③对解码还原后的文件进行shellcode的静态检测，以及病毒检测，初步检测恶意软件；④在沙箱中虚拟执行解码还原后的文件中的可执行代码，并跟踪分析所执行的指令特征以及行为特征，进而发现存在安全威胁的文件；⑤结合步骤③和④的检测结果，形成系统日志及相应的告警信息后输出给安全管理员。上述的高级可持续威胁的检测方法中，所述步骤③中跟踪的指令特征包括了堆、栈中的代码执行情况，通过指令运行中的内存空间的异常变化，可以发现各种溢出攻击等漏洞利用行为，发现0day漏洞；所跟踪行为特征，包括进程的创建中止、进程注入、服务、驱动、注册表访问及改写、文件访问改写及下载、程序端口监听和网络访问行为，从而可综合分析找到属于攻击威胁的行为特征，进而发现恶意软件。前述的高级可持续威胁的检测方法中，在步骤③中检测发现恶意软件后，持续观察其进一步的行为，包括网络、文件、进程和注册表，并将这些行为作为报警内容的一部分输出给安全管理员，方便追查和审计；而其中恶意软件连接命令与控制服务器的网络特征也可以进一步被用来发现、跟踪botnet网络（僵尸网络）。前述的高级可持续威胁的检测方法中，步骤④中同时运行多个沙箱，同时利用并行沙箱加快执行检测任务，以达到一个可扩展的平台来处理高速网络流量，及时有效的进行威胁监测。前述的高级可持续威胁的检测方法中，所述步骤①通过SPAN部署方式或TAP部署方式实现。实现前述方法的高级可持续威胁的检测系统：包括主处理器，主处理器上连接有带以太网接口的数据采集模块，主处理器还通过D/A转换模块与带解除电路的警示电路相连，警示电路通过供电电路与电源相连；所述警示电路包括集电极连接至供电电路的电压输出端的第一三极管，第一三极管的发射极依次串联第一电阻、第一非门和第二非门，第二非门的输出端连接至非稳态多谐振荡器电路的电源端，非稳态多谐振荡器电路包含两组放大电路，每组放大电路上分别设置发光颜色不同的第一发光二极管和第二发光二极管；所述第一发光二极管的正向端与第二三极管的基极相连，反向端与第二三极管的发射极相连；所述第二发光二极管的正向端与第三三极管的基极相连，反向端与第三三极管的发射极相连；所述主处理器通过驱动电路与电源相连，主处理器上还连接有外部扩展存储器；所述第一三极管、第二三极管和第三三极管的集电极与D/A转换模块相连。前述的高级可持续威胁的检测系统中，所述供电电路的输出端还依次串联蜂鸣器、第八电阻和第六三极管，其中第六三极管的基集连接第八电阻，发射极接地，集电极连接至第二非门的输出端。前述的高级可持续威胁的检测系统中，所述第一非门和第二非门的串联支路上并联有第二电阻，第一电阻连接第二电阻的一端与第一电容的其中一端相连，第一电容的另一端接地。前述的高级可持续威胁的检测系统中，所述解除电路包括并联在第一电容上的按钮，按钮上串联有第三电阻。前述的高级可持续威胁的检测系统中，所述非稳态多谐振荡器电路包括正向端均与第二非门输出端相连的第一发光二极管和第二发光二极管；第一发光二极管的反向端通过第四电阻连接至第四三极管的基极，第四三极管的发射极接地；所述第二发光二极管的反向端通过第七电阻连接至第五三极管的基极，第五三极管的发射极接地；所述第一发光二极管的正向端通过第五电阻与第五三极管的集电极相连，第二发光二极管的正向端通过第六电阻与第四三极管的集电极相连；所述第四三极管的集电极和第五三极管的基极之间设有第三电容，第五三极管的集电极和第四三极管的基极之间设有第二电容。文中SPAN即SwitchedPortAnalyzer是交换机端口分析，用来监控以太端口数据流的一种管理方式。可以通过使用SPAN将一个监控端口（源端口）上的帧拷贝到交换机上的另一个连接有网络分析设备的目的端口上来分析源端口上的通讯，以进行网络监控和故障排除。SPAN并不影响交换机的正常报文交换，只是所有进入源端口和从源端口输出的帧原样拷贝了一份到目的端口。目的端口带宽应大于等于监控端口带宽，否则可能无法成功对监控端口进行监控。TAP:网络分路器，其作用：串接或并接在网络中，采集网络流量数据，可复制到多个端口、汇聚到个别端口。与现有技术相比，本专利技术通过将多种静态和动态的检测方式进行结合，可以在不依赖传统签名技术的同时，能够有效检测通本文档来自技高网...

【技术保护点】
一种高级可持续威胁的检测方法，其特征在于，包括以下步骤：①在互联网接入口，镜像出进出网络的流量；②对镜像出的流量进行文件承载协议的解析，并对文件进行解码还原；③对解码还原后的文件进行shellcode的静态检测，以及病毒检测，初步检测恶意软件；④在沙箱中虚拟执行解码还原后的文件中的可执行代码，并跟踪分析所执行的指令特征以及行为特征，进而发现存在安全威胁的文件；⑤结合步骤③和④的检测结果，形成系统日志及相应的告警信息后输出给安全管理员。

【技术特征摘要】
1.一种高级可持续威胁的检测方法，其特征在于，包括以下步骤：①在互联网接入口，镜像出进出网络的流量；②对镜像出的流量进行文件承载协议的解析，并对文件进行解码还原；③对解码还原后的文件进行shellcode的静态检测，以及病毒检测，初步检测恶意软件；④在沙箱中虚拟执行解码还原后的文件中的可执行代码，并跟踪分析所执行的指令特征以及行为特征，进而发现存在安全威胁的文件；⑤结合步骤③和④的检测结果，形成系统日志及相应的告警信息后输出给安全管理员。2.根据权利要求1所述的高级可持续威胁的检测方法，其特征在于：所述步骤③中跟踪的指令特征包括了堆、栈中的代码执行情况，通过指令运行中的内存空间的异常变化，可以发现各种溢出攻击等漏洞利用行为，发现0day漏洞；所跟踪行为特征，包括进程的创建中止、进程注入、服务、驱动、注册表访问及改写、文件访问改写及下载、程序端口监听和网络访问行为，从而可综合分析找到属于攻击威胁的行为特征，进而发现恶意软件。3.根据权利要求2所述的高级可持续威胁的检测方法，其特征在于：在步骤③中检测发现恶意软件后，持续观察其进一步的行为，包括网络、文件、进程和注册表，并将这些行为作为报警内容的一部分输出给安全管理员，方便追查和审计；而其中恶意软件连接命令与控制服务器的网络特征也可以进一步被用来发现、跟踪botnet网络。4.根据权利要求1所述的高级可持续威胁的检测方法，其特征在于：步骤④中同时运行多个沙箱，同时利用并行沙箱加快执行检测任务，以达到一个可扩展的平台来处理高速网络流量，及时有效的进行威胁监测。5.根据权利要求1所述的高级可持续威胁的检测方法，其特征在于：所述步骤①通过SPAN部署方式或TAP部署方式实现。6.实现权利要求1至5任一权利要求所述方法的高级可持续威胁的检测系统，其特征在于：包括主处理器（3），主处理器（3）上连接有带以太网接口（1）的数据采集模块（2），主处理器（3）还通过D/A转换模块（4）与带解除电路（9）的警示电路（5）相连，警示电路（5）通过供电电路（10）与电源（8）相连；所述警示电路（5）包括集电极连接至供电电路（10）的电压输出端的第一三极管（Q1），第一三极管（Q1）的发射极依次串联第一电阻（R1）、第一非门（IC1）和第二非门（IC2），第二非门(IC2)的输出端连接至非稳态多谐振荡器电路的电源端，非稳...

【专利技术属性】
技术研发人员：沈宏杰，喻俊浔，刘显明，付萍萍，洪微明，于仕，程明，刘翔，
申请(专利权)人：国网江西省电力公司信息通信分公司，
类型：发明
国别省市：江西,36