本发明专利技术提出了一种高级威胁追溯的方法及系统,通过对高级威胁样本静、动态分析,获取高级威胁追溯特征,并生成高级威胁追溯包,客户端解析高级威胁追溯包,利用其追溯特征对系统中的文件进行检测,判断是否存在高级威胁,并追溯存在威胁的文件。本发明专利技术弥补现有技术不能有效检测高级威胁这一不足的同时,更有效的对系统信息安全进行维护、对攻击进行防御,防止潜在的高级威胁对系统的攻击或者进一步攻击,有效防止高级威胁利用指定终端作为跳板而对其它设备进行攻击或者实现大规模的攻击,从而实现了快速有效的全网高级威胁检测。
【技术实现步骤摘要】
本专利技术涉及网络信息安全
,尤其涉及一种高级威胁追溯的方法及系统。
技术介绍
当今网络威胁已经上升到国家战略层面,网络攻击也从针对大众的无明确目的的恶意攻击转变成为目标明确的以发动信息战为目的的高级威胁攻击。由于传统反恶意程序软件采用的是黑名单机制,依靠单纯的特征码扫描技术作为核心技术,而高级威胁是一系列动态攻击行为的组合,无法通过特征码技术进行检测,并且很多高级威胁利用了系统漏洞等技术,这让传统安全软件无法防御。
技术实现思路
针对上述现有技术存在的不足和缺陷,本专利技术提出一种高级威胁追溯的方法及系统,通过对高级威胁样本静、动态分析,获取高级威胁追溯特征,并生成高级威胁追溯包,客户端解析高级威胁追溯包,利用其追溯特征对系统中的文件进行检测,判断是否存在高级威胁,并追溯存在威胁的文件,有效维护系统信息安全,防止潜在的高级威胁对系统的进一步攻击,或者利用指定设备进行跳板性的攻击。具体
技术实现思路
包括: 一种高级威胁追溯的方法,包括: 服务器端对高级威胁样本利用启发式技术以及动态沙箱技术进行静、动态分析,获取高级威胁样本特征信息,将所述特征信息作为追溯特征,根据追溯特征生成高级威胁追溯包; 当有客户端请求使用高级威胁追溯包时,服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端;指定客户端解析高级威胁追溯包,得到追溯特征,根据追溯特征进行高级威胁追溯。进一步地,所述根据追溯特征生成高级威胁追溯包,具体为:使用JAS0N数据格式对追溯特征进行整理,对整理后的追溯特征进行打包加密,生成高级威胁追溯包。进一步地,所述服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端,具体为:服务器端收到心跳请求时,在心跳包返回数据中加入下载高级威胁追溯包命令,指定客户端根据所述命令从服务器端下载高级威胁追溯包,并进行高级威胁追溯包完整性校验。进一步地,还包括历史威胁追溯,具体为:客户端对其现有的和历史保存过的文件进行建档,监控并保存建档文件的状态信息,包括新建信息、移动信息、删除信息、修改信息,利用高级威胁追溯包中的追溯特征对建档文件进行高级威胁追溯。进一步地,所述高级威胁追溯包括文件追溯、注册表追溯、系统漏洞追溯、数字签名追溯,追溯方法具体为:遍历客户端中所要追溯对象所对应的文件,按规定提取所述文件的特征信息,将各文件的特征信息分别与追溯特征中对应项数据进行匹配,若存在文件使所述匹配成功,则追溯相应文件,若均匹配失败,则说明客户端中该对象数据无威胁。进一步地,所述追溯特征包括:注册表信息、文件MD5值、文件名、文件路径、数字签名信息、系统漏洞信息、软件漏洞信息。一种高级威胁追溯的系统,包括: 追溯包生成模块,用于服务器端对高级威胁样本利用启发式技术以及动态沙箱技术进行静、动态分析,获取高级威胁样本特征信息,将所述特征信息作为追溯特征,根据追溯特征生成高级威胁追溯包; 追溯包请求模块,用于当有客户端请求使用高级威胁追溯包时,服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端; 高级威胁追溯模块,用于指定客户端解析高级威胁追溯包,得到追溯特征,根据追溯特征进行高级威胁追溯。进一步地,所述根据追溯特征生成高级威胁追溯包,具体为:使用JASON数据格式对追溯特征进行整理,对整理后的追溯特征进行打包加密,生成高级威胁追溯包。进一步地,所述服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端,具体为:服务器端收到心跳请求时,在心跳包返回数据中加入下载高级威胁追溯包命令,指定客户端根据所述命令从服务器端下载高级威胁追溯包,并进行高级威胁追溯包完整性校验。进一步地,还包括历史威胁追溯模块,用于对客户端的历史文件进行高级威胁追溯,具体为:客户端对其现有的和历史保存过的文件进行建档,监控并保存建档文件的状态信息,包括新建信息、移动信息、删除信息、修改信息,利用高级威胁追溯包中的追溯特征对建档文件进行高级威胁追溯。进一步地,所述高级威胁追溯包括文件追溯、注册表追溯、系统漏洞追溯、数字签名追溯,追溯方法具体为:遍历客户端中所要追溯对象所对应的文件,按规定提取所述文件的特征信息,将各文件的特征信息分别与追溯特征中对应项数据进行匹配,若存在文件使所述匹配成功,则追溯相应文件,若均匹配失败,则说明客户端中该对象数据无威胁。进一步地,所述追溯特征包括:注册表信息、文件MD5值、文件名、文件路径、数字签名信息、系统漏洞信息、软件漏洞信息。本专利技术的有益效果是: 高级威胁是一系列动态攻击行为的组合,并且很多高级威胁利用系统漏洞等技术释放攻击,这让现有的安全软件无法进行有效的检测和防御,针对上述不足和缺陷,本专利技术提出一种高级威胁追溯的方法及系统,根据训练的高级威胁样本数据,对客户端进行检测,并对威胁源文件进行追溯。本专利技术对高级威胁样本进行静、动态分析,获取静、动态双特征的追溯特征,并将追溯特征打包加密生成追溯包,客户端利用追溯包可以准确的判断系统中是否存在高级威胁,并对存在威胁的目标文件进行追溯,本专利技术还提出了对客户端进行历史威胁追溯的方法,对现有以及历史保存过的文件建档,即使携带威胁的样本文件已经被删除,也可得知目标终端是否曾经受到过高级威胁攻击,便于追责与定损。本专利技术可有效对高级威胁进行检测,并实现对威胁源文件的追溯,弥补现有技术不能有效检测高级威胁这一不足的同时,更有效的对系统信息安全进行维护、对攻击进行防御,防止潜在的高级威胁对系统的攻击或者进一步攻击,有效防止高级威胁利用指定终端作为跳板而对其它设备进行攻击或者实现大规模的攻击,从而实现了快速有效的全网高级威胁检测。【附图说明】为了更清楚地说明本专利技术或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术一种高级威胁追溯的方法流程图; 图2为本专利技术一种高级威胁追溯的系统结构图。【具体实施方式】为了使本
的人员更好地理解本专利技术实施例中的技术方案,并使本专利技术的上述目的、特征和优点能够更加明显易懂,下面结合附图对本专利技术中技术方案作进一步详细的说明。本专利技术给出了一种高级威胁追溯的方法实施例,如图1所示,包括: 5101:服务器端对高级威胁样本利用启发式技术以及动态沙箱技术进行静、动态分析,获取高级威胁样本特征信息,将所述特征信息作为追溯特征; 5102:根据追溯特征生成高级威胁追溯包; 5103:当有客户端请求使用高级威胁追溯包时,服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端; 5104:指定客户端解析高级威胁追溯包,得到追溯特征; 5105:根据追溯特征进行高级威胁追溯,所述追溯包含了对高级威胁进行检测以及对携带威胁的文件进行追溯处理的过程。优选地,所述根据追溯特征生成高级威胁追溯包,具体为:使用JASON数据格式对追溯特征进行整理,对整理后的追溯特征进行打包加密,生成高级威胁追溯包。优选地,所述服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端,具体为:服务器端收到心跳请求时,在心跳包返回数据中加入下载高级威胁追溯包本文档来自技高网...
【技术保护点】
一种高级威胁追溯的方法,其特征在于,包括:服务器端对高级威胁样本利用启发式技术以及动态沙箱技术进行静、动态分析,获取高级威胁样本特征信息,将所述特征信息作为追溯特征,根据追溯特征生成高级威胁追溯包;当有客户端请求使用高级威胁追溯包时,服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端;指定客户端解析高级威胁追溯包,得到追溯特征,根据追溯特征进行高级威胁追溯。
【技术特征摘要】
【专利技术属性】
技术研发人员:庞齐,关墨辰,孙洪伟,匡贺,徐翰隆,肖新光,
申请(专利权)人:哈尔滨安天科技股份有限公司,
类型:发明
国别省市:黑龙江;23
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。