一种基于用户行为分析的高级持续性威胁分析方法技术

本发明专利技术提供一种基于用户行为分析的高级持续性威胁分析方法，基于用户行为分析的高级持续性威胁检测方法，使其能够在符合检测要求的前提下，尽可能地获取详细的用户行为，分析用户终端的进程、命令行参数、指令、使用的互联网服务、文件操作、数据访问等，分析得到用户行为异常，分析可疑、恶意行为，用户终端层面捕获内核及内核信息，通过分析用户行为的可疑度并匹配攻击特征库进行决策，动态分析系统用户行为，确定是否存在恶意的攻击行为，从而达到检测高级持续性威胁，检测效率高，能够较全面地分析攻击在系统层面的行为情况。

An Advanced Persistent Threat Analysis Method Based on User Behavior Analysis

The invention provides an advanced persistent threat analysis method based on user behavior analysis, and an advanced persistent threat detection method based on user behavior analysis, so that it can obtain detailed user behavior as far as possible, and analyze the process, command line parameters, instructions, Internet services used, file operation and data access of user terminals on the premise of meeting the detection requirements. By analyzing the user behavior anomalies, analyzing the suspicious and malicious behavior, capturing the kernel and kernel information at the user terminal level, making decision by analyzing the suspicion of user behavior and matching attack feature library, dynamically analyzing the user behavior of the system, and determining whether there are malicious attacks, so as to achieve the detection of high-level persistent threats, high detection efficiency and more comprehensive. Analyse the behavior of attacks at the system level.

【技术实现步骤摘要】
一种基于用户行为分析的高级持续性威胁分析方法
本专利技术是一种基于用户行为分析的高级持续性威胁分析方法，属于网络安全

技术介绍
现有技术中，高级持续性威胁（APT）是一种针对特定高价值的商业或政治实体目标的长时间持续性攻击。高级持续性攻击在长时间的攻击中通常会使用多种复杂技术并长期保持隐匿性，在顺利进入目标系统后往往会缓慢提升自己的权限，监控攻击目标并提取目标数据。对于这种隐蔽性极强的攻击，我们需要有能力即使发现并对其进行处理，保护系统安全、数据安全。高级持续性威胁的攻击通常可分为4个阶段：搜集阶段，进入阶段，渗透阶段以及收获阶段。通常在不同阶段应用不同技术方法进行防御。搜集阶段：在这一阶段攻击者主要收集目标信息并制定攻击计划。在此阶段如果能够通过威胁检测与预警系统发现攻击者对商业或政治团体的网络嗅探和扫描行为，提前进行防范，也可以减少系统信息的暴露。进入阶段：在此阶段攻击者会试图通过各种方式获得系统内部的一台计算机或一个账户作为发动攻击的起点，常见方法有恶意链接、恶意文件、系统漏洞、购买肉鸡等。防御者可以通过防火墙等检测预警系统在此阶段进行防御。渗透阶段：此阶段攻击者会通过已经建立的立足点在系统内部构建命令与控制信道（C&C）通过远程控制的方法逐步提升权限、搜索敏感数据，这一阶段可能会持续相当长的一段时间。在此阶段应当注重对全系统状态、用户行为的审计与分析，定期进行安全风险评估，加强权限管理与敏感数据管理。收获阶段：在收获阶段攻击者会试图建立一条隐匿通信线路将之前阶段获得的有价值数据发送出来，此阶段一般会持续到攻击被发现为止。常见防御策略是加强对网络流量的审查，检测敏感流量与非法链接。经对现有技术文献的检索发现，现有专利及申请中没有基于用户行为分析的对高级持续性威胁的检测方案。
技术实现思路
针对现有技术存在的不足，本专利技术目的是提供一种基于用户行为分析的高级持续性威胁分析方法，以解决上述
技术介绍
中提出的问题，本专利技术使用方便，便于操作，稳定性好，可靠性高。为了实现上述目的，本专利技术是通过如下的技术方案来实现：一种基于用户行为分析的高级持续性威胁分析方法，包括如下步骤：步骤1：接管系统内核所有程序执行管道；步骤2：监控系统终端，若发现进程、文件等异常则系统告警；步骤3：监控账户系统，如果在用户的登录行为中发现异常行为特征则向系统发出警告；步骤4：监控系统数据访问，若发现异常行为如异常数据库操作则系统告警；步骤5：监控网络层数据，如果发现有通过互联网服务如电子邮件的异常行为特征则系统告警；步骤6：从内核层跨界提交捕获的软件执行API信息到应用层交给行为分析引擎，判断是否为恶意行为，若是则发出告警，若否，则返回步骤2继续执行。进一步地，所述步骤1包括接管系统内核所有程序执行管道，捕捉各类系统及应用层操作，将执行过程中的各类指令转化为标准格式进行检测，其中捕捉所有执行性的操作，包括PE文件及各类脚本，将执行行为转化为操作指令，即使用内核函数接管系统中所有的执行进程和命令管道，捕捉内部执行过程和API函数调用情况，将执行过程转化为指令进行检测。进一步地，所述步骤2包括监控系统里面所有文件的生成、重命名、改写、访问、执行、压缩以及从任何变动的文件中提取异常的关键字信息；所述变动包括：文件的新增、修改以及删除；所述关键字信息包括：文件名、文件类型、操作时间，所述监控系统所有进程的启动、行为、对系统驱动、证书的新增、修改以及删除。进一步地，所述步骤3包括：监控系统账户系统，捕捉所有用户的登录行为，检查登陆行为的IP、位置、设备、密码错误次数、登录时间、所使用的证书等是否存在异常特征。当发现异常行为时则系统告警。进一步地，所述步骤4包括：监控系统数据库服务器登陆、读取、查询、写入行为，如果发现异常大量的数据查询、数据库登陆失败次数过多、敏感数据被调取等异常行为则向系统告警。进一步地，所述步骤5包括：监控系统网络层数据，检测是否存在敏感数据、异常文件通过网络服务流出流入，使用异常网络应用等行为，一旦检测到异常行为特征则系统告警。本专利技术的有益效果：本专利技术的一种基于用户行为分析的高级持续性威胁分析方法，在用户终端层面捕获内核及内核信息，通过分析用户行为的可疑度并匹配攻击特征库进行决策，动态分析系统用户行为，确定是否存在恶意的攻击行为，从而达到检测高级持续性威胁，检测效率高，能够较全面地分析攻击在系统层面的行为情况。附图说明通过阅读参照以下附图对非限制性实施例所作的详细描述，本专利技术的其它特征、目的和优点将会变得更明显：图1为本专利技术提供的基于用户行为分析的高级持续性威胁检测方法的流程示意图。具体实施方式为使本专利技术实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体实施方式，进一步阐述本专利技术。请参阅图1，本专利技术提供一种技术方案：一种基于用户行为分析的高级持续性威胁分析方法，包括如下步骤：步骤1：接管系统内核所有程序执行管道；步骤2：监控系统终端，若发现进程、文件等异常则系统告警；步骤3：监控账户系统，如果在用户的登录行为中发现异常行为特征则向系统发出警告；步骤4：监控系统数据访问，若发现异常行为如异常数据库操作则系统告警；步骤5：监控网络层数据，如果发现有通过互联网服务如电子邮件的异常行为特征则系统告警；步骤6：从内核层跨界提交捕获的软件执行API信息到应用层交给行为分析引擎，判断是否为恶意行为，若是则发出告警，若否，则返回步骤2继续执行步骤1包括接管系统内核所有程序执行管道，捕捉各类系统及应用层操作，将执行过程中的各类指令转化为标准格式进行检测，其中捕捉所有执行性的操作，包括PE文件及各类脚本，将执行行为转化为操作指令，即使用内核函数接管系统中所有的执行进程和命令管道，捕捉内部执行过程和API函数调用情况，将执行过程转化为指令进行检测。步骤2包括监控系统里面所有文件的生成、重命名、改写、访问、执行、压缩以及从任何变动的文件中提取异常的关键字信息；变动包括：文件的新增、修改以及删除；关键字信息包括：文件名、文件类型、操作时间，监控系统所有进程的启动、行为、对系统驱动、证书的新增、修改以及删除。步骤3包括：监控系统账户系统，捕捉所有用户的登录行为，检查登陆行为的IP、位置、设备、密码错误次数、登录时间、所使用的证书等是否存在异常特征。当发现异常行为时则系统告警。步骤4包括：监控系统数据库服务器登陆、读取、查询、写入行为，如果发现异常大量的数据查询、数据库登陆失败次数过多、敏感数据被调取等异常行为则向系统告警。步骤5包括：监控系统网络层数据，检测是否存在敏感数据、恶意行为、异常文件通过网络服务流出流入，所述恶意行为包括：进程创建、线程创建、文件操作、网络操作、注册表操作、堆栈操作、线程注入、高级持续性威胁攻击，以及用户账号的操作使用异常网络应用等行为，一旦检测到异常行为特征则系统告警。实施例1：本专利技术提供的基于用户行为分析的高级持续性威胁检测方法，使其能够在符合检测要求的前提下，尽可能地获取详细的用户行为，分析用户终端的进程、命令行参数、指令、使用的互联网服务、文件操作、数据访问等，分析得到用户行为异常，分析可疑、恶意行为。具体针对Windows操作系统下高级持续性威胁，具体的分析流程如图1所示，包本文档来自技高网...

【技术保护点】
1.一种基于用户行为分析的高级持续性威胁分析方法，其特征在于包括如下步骤：步骤1：接管系统内核所有程序执行管道；步骤2：监控系统终端，若发现进程、文件等异常则系统告警；步骤3：监控账户系统，如果在用户的登录行为中发现异常行为特征则向系统发出警告；步骤4：监控系统数据访问，若发现异常行为如异常数据库操作则系统告警；步骤5：监控网络层数据，如果发现有通过互联网服务如电子邮件的异常行为特征则系统告警；步骤6：从内核层跨界提交捕获的软件执行API信息到应用层交给行为分析引擎，判断是否为恶意行为，若是则发出告警，若否，则返回步骤2继续执行。

【技术特征摘要】
1.一种基于用户行为分析的高级持续性威胁分析方法，其特征在于包括如下步骤：步骤1：接管系统内核所有程序执行管道；步骤2：监控系统终端，若发现进程、文件等异常则系统告警；步骤3：监控账户系统，如果在用户的登录行为中发现异常行为特征则向系统发出警告；步骤4：监控系统数据访问，若发现异常行为如异常数据库操作则系统告警；步骤5：监控网络层数据，如果发现有通过互联网服务如电子邮件的异常行为特征则系统告警；步骤6：从内核层跨界提交捕获的软件执行API信息到应用层交给行为分析引擎，判断是否为恶意行为，若是则发出告警，若否，则返回步骤2继续执行。2.根据权利要求1所述的一种基于用户行为分析的高级持续性威胁分析方法，其特征在于：所述步骤1包括接管系统内核所有程序执行管道，捕捉各类系统及应用层操作，将执行过程中的各类指令转化为标准格式进行检测，其中捕捉所有执行性的操作，包括PE文件及各类脚本，将执行行为转化为操作指令，即使用内核函数接管系统中所有的执行进程和命令管道，捕捉内部执行过程和API函数调用情况，将执行过程转化为指令进行检测。3.根据权利要求1所述的一种基于用户行为分析的高级持续性威胁分析方法，其特...

【专利技术属性】
技术研发人员：施勇，傅烨文，刘宁，何翔，
申请(专利权)人：施勇，傅烨文，刘宁，何翔，
类型：发明
国别省市：上海,31