The invention relates to a method, the detection of malicious code include: NIDS, according to the rules found suspected malicious code attacks, NIDS attacks according to the preset rules will be issued to the relevant information and the process of terminal side port No., information is key to get and process related events; malicious code information collection terminal the samples and related documents, and malicious code event collection information and sample documents are sent to NIDS NIDS for malicious code event judgment; obtained by NIDS to determine the malicious code and related events to determine the disposal instructions, and will send it to the terminal side terminal probe victims on the host, for executing terminal probe related action. The invention avoids the traditional NIDS malware detection process, due to lack of host side key information of false positives, and compensate for the traditional NIDS can not be lack of rapid disposal of security threats detected.
【技术实现步骤摘要】
一种恶意代码检测的方法、装置及系统
本发属于网络安全
,特别是涉及一种恶意代码检测的方法、装置及系统。
技术介绍
基于网络的入侵检测系统(NIDS)部署在重要信息系统互联网出入口,采用旁路镜像或分光的方式,对网络流量进行分析,在不影响网络性能的情况下对网络入侵、恶意代码感染和传播进行实时监测,从而提高了网络的安全性。现有技术中,在恶意代码检测上,NIDS具有如下局限性:随着业务应用系统安全性需求的提高,越来越多的业务系统、互联网网站、移动终端APP等交互的网络通讯都开始采用HTTPS加密传输。一方面这种方式的采用提升了网络应用的安全性,另一方面也给NIDS仅仅通过分析网络流量来发现恶意代码威胁的方法带来了新挑战。同时各种恶意代码攻击也更多通过采用针对NIDS检测的逃逸技术,来隐藏真实的攻击载荷。基于深度包识别/深度流识别(DPI/DFI)技术为核心的NIDS类产品因需要综合考虑性能、实时性、用户体验等因素,在应对此类威胁时难以施力,应用效果受到很大限制。现在的高级持续性威胁(APT)攻击越发呈现出攻击手段多样化、攻击维度立体化的趋势,在常用的利用系统漏洞、邮件、网络共享、移动存储等方式上,还更多的融合无线热点伪造、网络钓鱼、水坑攻击、Cookie窃取等多种攻击形式,再辅之社会工程学,让攻击发现、攻击源头定位以及网络系统内部入侵薄弱点定位变得更加困难。在传统安全检测及防护方案中,往往只是通过NIDS类产品发现了最终的攻击行为和后果,很难还原整个威胁攻击路径,也不清楚如何在后续进行有针对性防御和追溯,从而在实际环境中往往会发生重复遭受攻击入侵,安全防御应 ...
【技术保护点】
一种恶意代码检测的方法,其特征在于,包括:获取NIDS基于规则匹配生成的包括恶意代码疑似事件的相关攻击事件信息;其中,所述相关攻击事件信息包括事件ID、时间、受害者MAC、受害者IP、受害者端口、攻击者IP、攻击者端口、协议类型、恶意代码名称、恶意代码样本md5、访问url;根据NIDS预设规则将所述相关攻击事件信息下发至终端侧与进程端口号关联,以获取与进程相关的关键信息;其中,所述与进程相关的关键信息包括内存使用、网络连接、文件及注册表操作;收集终端侧的恶意代码事件信息及相关样本文件,并将收集的恶意代码事件信息及相关样本文件发送至NIDS,供NIDS进行恶意代码事件判定;其中,NIDS利用多维数据融合分析和数据挖掘技术对恶意代码事件进行判定;获取经NIDS判定确定后的恶意代码事件和相关处置指令,并将其发送至终端侧受害者主机上的终端探针,供终端探针执行相关处置动作;其中,所述相关处置动作包括对恶意代码威胁行为的阻断、隔离、清除。
【技术特征摘要】
1.一种恶意代码检测的方法,其特征在于,包括:获取NIDS基于规则匹配生成的包括恶意代码疑似事件的相关攻击事件信息;其中,所述相关攻击事件信息包括事件ID、时间、受害者MAC、受害者IP、受害者端口、攻击者IP、攻击者端口、协议类型、恶意代码名称、恶意代码样本md5、访问url;根据NIDS预设规则将所述相关攻击事件信息下发至终端侧与进程端口号关联,以获取与进程相关的关键信息;其中,所述与进程相关的关键信息包括内存使用、网络连接、文件及注册表操作;收集终端侧的恶意代码事件信息及相关样本文件,并将收集的恶意代码事件信息及相关样本文件发送至NIDS,供NIDS进行恶意代码事件判定;其中,NIDS利用多维数据融合分析和数据挖掘技术对恶意代码事件进行判定;获取经NIDS判定确定后的恶意代码事件和相关处置指令,并将其发送至终端侧受害者主机上的终端探针,供终端探针执行相关处置动作;其中,所述相关处置动作包括对恶意代码威胁行为的阻断、隔离、清除。2.根据权利要求1所述的一种恶意代码检测的方法,其特征在于,所述恶意代码疑似事件,基于NIDS对接入互联网出入口原始网络流量,根据恶意代码特征库模式匹配或动态行为分析方法,确认、匹配并输出威胁事件及相关特征,通过与恶意代码知识库的对比对威胁事件进行分析生成。3.根据权利要求2所述的一种恶意代码检测的方法,其特征在于,所述威胁事件通过NIDS以预置加密秘钥进行加密、压缩处理。4.根据权利要求1所述的一种恶意代码检测的方法,其特征在于,所述将收集的恶意代码事件信息及相关样本文件发送至NIDS包括:向NIDS发起文件发送请求;获取NIDS根据所述请求随机生成的一次性会话token;根据所述一次性会话token生成用于请求终端侧恶意代码相关信息和样本文件的uri,并将其发送至NIDS,供NIDS根据所述一次性会话token及终端侧生成的uri,获取所述恶意代码相关信息和样本文件。5.一种恶意代码检测的装置,布置于服务器,其特征在于,包括:信息获取模块,用于获取NIDS基于规则匹配生成的包括恶意代码疑似事件的相关攻击事件信息;其中,所述相关攻击事件信息包括事件ID、时间、受害者MAC、受害者IP、受害者端口、攻击者IP、攻击者端口、协议类型、恶意代码名称、恶意代码样本md5、访问url;关联模块,用于根据NIDS预设规则将所述相关攻击事件信息下发至终端侧与进程端口号关联,以获取与进程相关的关键信息;其中,所述与进程相关的关键信息包括内存使用、网络连接、文件及注册表操作;收集模块,用于收集终端侧的恶意代码事件信息及相关样本文件,并将收集的恶意代码事件信息及相关样本文件发送至NIDS,供NIDS进行恶意代码事件判定;其中,NIDS利用多维数据融合分析和数据挖掘技术对恶意代码事件进行判定;指令获取模块,用于获取经NIDS判定确定后的恶意代码事件和相关处置指令,并将其发送至终端侧受害者主机上的终端探针,供终端探针执行相关处置动作;其中,所述相关处置动作包括对恶意代码威胁行为的阻断、隔离、清除。6.一种恶意代码检测的方法,其特征在于,包括:基于接入互联网出入口原始网络流量的NIDS,根据恶意代码特征库模式匹配或动态行为分析方法,生成恶意代码疑似事件并输出相关攻击事件信息;其中,所述相关攻击事件信息包括事件ID、时间、受害者MAC、受害者IP、受害者端口、攻击者IP、攻击者端口、协议类型、恶意代码名称、恶意代码样本md5、访问url;将所述相关信息加密、压缩后发送至服务器,供服务器根据NIDS预设规则将所述相关攻击事件信息下发至终端侧与进程端口号关...
【专利技术属性】
技术研发人员:李佳,严寒冰,丁丽,徐原,李志辉,高胜,张腾,狄少嘉,张帅,刘丙双,涂波,王学志,吕利锋,
申请(专利权)人:国家计算机网络与信息安全管理中心,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。