本发明专利技术公开了一种APT攻击检测系统,所述系统包括若干个前端检测子系统、分析中心以及后台处理子系统,前端检测子系统可部署在任意网络位置,包括网络出口或其他重要链路;分析中心以及后台处理子系统部署在机房服务器中,前端检测子系统与所述分析中心通过内部网络相连接,所述后台处理子系统仅与所述分心中心通过网络相连接,前端检测子系统用于从数据流中提取可疑文件或样本,并发送往所述分析中心,同时根据安全策略进行拦截或防御;分析中心用于汇总可疑文件或样本,并发送往所述后台处理子系统进行检测;后台处理子系统用于对可疑文件或样本进行检测,提取恶意行为特征,生成安全检测报告,形成安全防御策略,所述系统能够有效防御APT攻击。
【技术实现步骤摘要】
一种APT攻击检测系统
本专利技术涉及计算机安全领域,尤其涉及一种APT攻击检测系统。
技术介绍
APT(AdvancedPersistentThreat)是指高级持续性威胁,是一种利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式,严重威胁到了企业的数据安全。APT入侵客户的途径多种多样,利用防火墙、服务器等系统漏洞继而获取访问企业网络的有效凭证信息是其中重要的一种手段,而恶意邮件也是许多APT攻击能够成功的重要因素之一,随着社交工程攻击手法的日益成熟,邮件几乎真假难辨,黑客会针对某些特定员工发送钓鱼邮件,以此作为使用APT手法进行攻击的源头,因此,十分有必要建立一套APT攻击检测系统,对APT攻击进行检测与防御,以提高企业的数据安全性。
技术实现思路
鉴以此,本专利技术的专利技术目的在于提供一种APT攻击检测系统。一种APT攻击检测系统,包括若干个前端检测子系统,分析中心以及后台处理子系统,所述前端检测子系统可部署在任意网络位置,包括网络出口或其他重要链路;所述分析中心以及后台处理子系统部署在机房服务器中,所述前端检测子系统与所述分析中心通过内部网络相连接,所述后台处理子系统仅与所述分析中心通过网络相连接,所述前端检测子系统用于从数据流中提取可疑文件或样本,并发送往所述分析中心,同时根据安全策略进行拦截或防御;所述分析中心用于汇总可疑文件或样本,并发送往所述后台处理子系统进行检测;所述后台处理子系统用于对可疑文件或样本进行检测,提取恶意行为特征,生成安全检测报告,形成安全防御策略。进一步的,所述前端检测子系统包括动态行为分析模块、邮件安全检测模块和防御拦截模块,所述动态行为分析模块用于从网络数据流中提取可疑文件或样本,并通过内部网络发送到所述分析中心;所述邮件安全检测模块用于对来往邮件的附件进行分析,判断是否为恶意攻击邮件;所述防御拦截模块用于根据安全防御策略进行网络拦截和防御。进一步的,所述邮件安全检测模块支持对于SMTP、POP3、IMAP三种标准邮件以及包括sina、sohu、163、126、yeah、21cm、qq在内的web邮件的还原分析。进一步的,所述分析中心包括预检测模块,所述预检测模块用于检测已知的病毒和木马。进一步的,所述后台处理子系统包括事件关联分析模块、多维度行为检测模块和沙箱检测模块,所述事件关联分析模块用于对APT攻击检测结果进行集中关联查询和展示;所述多维度行为检测模块用于从全方位多角度检测并分析异常网络行为并给出故障解决建议;所述沙箱检测模块用于通过虚拟机观察程序行为从而判断是否存在攻击行为。进一步的,所述多维度行为检测模块包括高危邮件分析模块、Web攻击检测模块、账号异常检测模块、隐蔽信道检测模块、TCP异常会话检测模块,所述高危邮件分析模块、Web攻击模块检测、账号异常检测模块、隐蔽信道检测模块、TCP异常会话检测模块分别通过网络与所述分析中心相连接。进一步的,所述APT攻击检测系统的实现,包括以下步骤:S1:将若干个前端检测子系统分别布置在网络出入口或其他重要链路;S2:将分析中心和后台处理子系统部署在用户的核心机房;S3:在所有前端检测子系统与分析中心之间建立内部网络连接;S4:在分析中心与后台处理子系统之间建立内部网络连接;S5:前端检测子系统监控网络数据流并从中提取出可疑文件,并通过内部网络将可疑文件发送到分析中心;S6:所述分析中心对可疑文件或行为进行预检测,如果预检测结果无法辨别出可疑文件或行为的性质,则发送至后台处理子系统;S7:后台处理子系统对可疑文件或行为进行深度检测,提取恶意文件或行为的特征,生成安全检测报告,形成安全策略并发送至前端检测子系统;S8:前端检测子系统根据安全策略对恶意文件或行为进行拦截和防御。与现有技术相比,本专利技术的有益效果是:(1)所述APT攻击检测平台采用分布式部署,集中管理的设计,通过在网络关键节点处设置多个前端检测子系统,有效检测并防御网络攻击;在核心机房部署分析中心及后台处理子系统,对恶意文件或行为集中进行深度检测和分析,系统安全性更高。(2)后台管理子系统设有事件关联分析模块、多维度行为检测模块和沙箱检测模块,能全方位多角度的分析恶意文件或行为,提取其特征,针对性地形成安全策略进行防御,更好地保护企业数据的安全。附图说明为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的优选实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1是本专利技术实施例1的APT攻击检测系统整体结构示意图。图2是本专利技术实施例1的前端检测子系统整体结构示意图。图3是本专利技术实施例1的后台处理子系统整体结构示意图。图4是本专利技术实施例2的前端检测子系统整体结构示意图。图5是本专利技术实施例2的后台处理子系统整体结构示意图。图中,1是前端检测子系统,2是分析中心,3是后台处理子系统,11是动态行为分析模块,12是邮件安全检测模块,13是拦截防御模块,21是预检测模块,31是事件关联分析模块,32是多维度行为检测模块,33是沙箱检测模块。具体实施方式以下结合附图对本专利技术的原理和特征进行描述,所列举实施例只用于解释本专利技术,并非用于限定本专利技术的范围。实施例1参照图1,本专利技术提供一种APT攻击检测系统,所述系统包括:部署在企业网络关键节点的若干个前端检测子系统1、部署在企业核心机房的分析中心2和后台处理子系统3。所述前端监测子系统1通过内部网络与所述分析中心2相连接,所述分析中心2与所述后台处理子系统3通过网络相连以进行数据交互。所述前端检测子系统1用于从网络数据流中提取出各种可疑文件或拦截可疑行为,并将可疑文件或行为转发到所述分析中心2;所述分析中心2用于汇总可疑文件或样本,并发送往后台处理子系统3进行检测。所述后台处理子系统3用于对可疑文件或行为进行深度检测、提取可疑文件或行为的特征,生成安全检测报告,并形成安全策略发送给所述前端检测子系统1,前端检测子系统1会根据安全策略对网络攻击或可疑文件进行防御和拦截。所述APT攻击检测系统采用了分布式部署、集中管理的结构设计,部署在各个关键网络节点的前端检测子系统1可以及时发现可疑文件或网络攻击,并通过分析中心2和后台管理子系统3进行处理,所述后台管理子系统3仅与所述分析中心2相连接,更加强调安全性。具体的,所述前端检测子系统1包括动态行为分析模块11和拦截防御模块13,所述动态行为分析模块11基于硬件虚拟化技术,能够模拟文件的运行环境,捕捉文件的多种动作行为,并准确识别通过各种途径传递的文件中含有的恶意代码。所述拦截防御模块13用于从网络数据流中拦截并提取可疑文件、防御恶意攻击。所述分析中心2设有预检测模块21,所述预检测模块21用于检测前端检测子系统1所传回的可疑文件中是否包含已知的病毒或木马,如果检测到已知病毒或木马则对可疑文件进行删除操作。所述后台处理子系统3包括事件关联分析模块31和沙箱检测模块33。APT网络攻击行为往往通过多种途径实施,通过前端检测子系统1检测到的攻击或可疑行为将被记录,并发送至事件关联分析模块31对记录数据进行集中关联查询和展示,使工作人员可以了解到A本文档来自技高网...
【技术保护点】
一种APT攻击检测系统,其特征在于,包括若干个前端检测子系统,分析中心以及后台处理子系统,所述前端检测子系统可部署在任意网络位置,包括网络出口或其他重要链路;所述分析中心以及后台处理子系统部署在机房服务器中,所述前端检测子系统与所述分析中心通过内部网络相连接,所述后台处理子系统仅与所述分心中心通过网络相连接,所述前端检测子系统用于从数据流中提取可疑文件或样本,并发送往所述分析中心,同时根据安全策略进行拦截或防御;所述分析中心用于汇总可疑文件或样本,并发送往所述后台处理子系统进行检测;所述后台处理子系统用于对可疑文件或样本进行检测,提取恶意行为特征,生成安全检测报告,形成安全防御策略。
【技术特征摘要】
1.一种APT攻击检测系统,其特征在于,包括若干个前端检测子系统,分析中心以及后台处理子系统,所述前端检测子系统可部署在任意网络位置,包括网络出口或其他重要链路;所述分析中心以及后台处理子系统部署在机房服务器中,所述前端检测子系统与所述分析中心通过内部网络相连接,所述后台处理子系统仅与所述分心中心通过网络相连接,所述前端检测子系统用于从数据流中提取可疑文件或样本,并发送往所述分析中心,同时根据安全策略进行拦截或防御;所述分析中心用于汇总可疑文件或样本,并发送往所述后台处理子系统进行检测;所述后台处理子系统用于对可疑文件或样本进行检测,提取恶意行为特征,生成安全检测报告,形成安全防御策略。2.根据权利要求1所述的一种APT攻击检测系统,其特征在于,所述前端检测子系统包括动态行为分析模块、邮件安全检测模块和防御拦截模块,所述动态行为分析模块用于从网络数据流中提取可疑文件或样本,并通过内部网络发送到所述分析中心;所述邮件安全检测模块用于对来往邮件的附件进行分析,判断是否为恶意攻击邮件;所述防御拦截模块用于根据安全防御策略进行网络拦截和防御。3.根据权利要求1所述的一种APT攻击检测系统,其特征在于,所述邮件安全检测模块支持对于SMTP、POP3、IMAP三种标准邮件以及包括sina、sohu、163、126、yeah、21cm、qq在内的web邮件的还原分析。4.根据权利要求1所述的一种APT攻击检测系统,其特征在于,所述分析中心包括预检测模块,所述预检测模块用于检测已知的病毒和木马。5.根据权利要求1所述的一种APT攻击检测系统,其特征...
【专利技术属性】
技术研发人员:王文龙,江隆海,吴多新,
申请(专利权)人:海南上德科技有限公司,
类型:发明
国别省市:海南,46
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。