失陷设备检测方法及装置制造方法及图纸

本发明专利技术提供了一种失陷设备检测方法及装置，该方法包括：步骤1，根据原始网络流量提取出主机的行为特征数据，并将涉及TCP/IP应用的应用数据进行还原；步骤2，基于还原的应用数据进行IOC安全威胁情报的匹配；步骤3，根据所述匹配的结果，确定失陷主机。本系统通过安全威胁情报检测出很多通过传统杀毒软件无法发现的失陷主机，同时也包括中了木马的手机。

Inspection method and device of collapse equipment

The invention provides a detection method and device for the collapsed device, which includes: step 1, extracting the behavior characteristic data of the host according to the original network traffic, and restoring the application data related to TCP/IP application; step 2, matching IOC security threat information based on the restored application data; step 3, determining the collapsed host according to the results of the matching. \u672c\u7cfb\u7edf\u901a\u8fc7\u5b89\u5168\u5a01\u80c1\u60c5\u62a5\u68c0\u6d4b\u51fa\u5f88\u591a\u901a\u8fc7\u4f20\u7edf\u6740\u6bd2\u8f6f\u4ef6\u65e0\u6cd5\u53d1\u73b0\u7684\u5931\u9677\u4e3b\u673a\uff0c\u540c\u65f6\u4e5f\u5305\u62ec\u4e2d\u4e86\u6728\u9a6c\u7684\u624b\u673a\u3002

【技术实现步骤摘要】
失陷设备检测方法及装置
本专利技术涉及一种网络安全
，特别涉及一种失陷设备检测方法及装置。
技术介绍
目前检测失陷设备的通常做法，是在设备上安装杀毒软件。但是，杀毒软件很容易被绕过。比如可以针对特定的杀毒软件做免杀处理；另外，有些强力的恶意软件可以直接关闭杀毒软件，使其失效。此外，恶意软件也可以通过系统的rootkit隐藏自身的进程和端口，防止杀毒软件检测。
技术实现思路
有鉴于上述
技术介绍
中提及的恶意软件可以用多种方式保护自身的技术问题，本专利技术提供了一种失陷设备检测方法及装置，该方法通过识别其特定的网络行为，来定位失陷设备。本专利技术提供了一种失陷设备检测方法，包括：步骤1，根据原始网络流量提取出主机的行为特征数据，并将涉及TCP/IP应用的应用数据进行还原；步骤2，基于还原的应用数据进行IOC安全威胁情报的匹配；步骤3，根据所述匹配的结果，确定失陷主机。作为优选，进行还原操作的所述应用数据包括普通流量的五元组信息、DNS请求应答信息、HTTP请求应答信息。作为优选，所述步骤1包括：步骤11，过滤原始网络数据包；步骤12，做IP分片的还原操作，如果是TCP协议要进行TCP分段的还原操作；步骤13，识别应用层的协议。作为优选，步骤11获取IP数据包，并对端口做数据过滤，保留预设端口号对应的数据包。作为优选，步骤2进一步包括：将所有情报载入内存中进行匹配。作为优选，所述方法还包括：步骤4，将确定的失陷主机的相关信息存储起来，并存储相对应的PCAP文件，供以调查分析。作为优选，所述方法还包括：设置一读写锁，在更新或变动所述安全威胁情报时锁上所述读写锁，否则解开所述读写锁。作为优选，所述方法还包括：在发现失陷主机时报警。本专利技术实施例还提供了一种失陷设备检测装置，包括获取模块、匹配模块和判断模块；所述获取模块配置为根据原始网络流量提取出主机的行为特征数据，并将涉及TCP/IP应用的应用数据进行还原；所述匹配模块配置为根据还原的应用数据进行IOC安全威胁情报的匹配；所述判断模块配置为根据所述匹配的结果，确定失陷主机。作为优选，所述获取模块进一步配置为：过滤原始网络数据包；做IP分片的还原操作，如果是TCP协议要进行TCP分段的还原操作；识别应用层的协议。经过实际测试发现，本方法能够通过安全威胁情报检测出很多通过传统杀毒软件无法发现的失陷主机，同时也包括中了木马的手机。附图说明图1是本专利技术的原理图图2是本专利技术的流程图。具体实施方式为使本领域技术人员更好的理解本专利技术的技术方案，下面结合附图和具体实施方式对本专利技术作详细说明。失陷设备是指已经被黑客攻陷的设备，黑客可以用过失陷设备作为跳板，对失陷设备所在的企业做进一步的渗透。网络流量镜像是指通过交换机或分光设备，将所有流经的原始网络流量全部复制一份发送到指定的设备端口。这样可以在不改动企业现有网络架构的基础上，通过分析镜像网络流量，识别电脑的网络行为。IOC情报(IndicatorsofCompromise，失陷指标)也称作安全威胁情报，一旦主机行为匹配上了失陷指标，就表明这台主机已失陷。失陷指标包括很多种，比如：域名，ip，url，木马文件的hash，注册表的键值，木马运行时所用信号量的名称等等。近年来随着手机病毒的爆发，移动设备也成为黑客的攻击目标。传统的杀软无法覆盖现有的移动设备。虽然恶意软件可以用多种方式保护自身，可以感染非PC设备，但是其触发的网络行为是无法隐藏的。在此基础上，本专利技术提供了一种失陷设备检测方法及装置，该方法是通过分析网络流量来检测企业失陷设备的方法，为达到此目标，结合图1和图2，可以进行如下几个步骤：(1)根据原始网络流量提取出主机的行为特征数据，涉及TCP/IP应用的应用数据高速还原，还原内容包括普通流量的五元组信息；DNS请求应答信息；HTTP请求应答信息等数据。(2)基于还原的应用数据，进行IOC安全威胁情报的匹配，根据匹配的结果，确定失陷主机。即如果匹配成功，则表明发现失陷主机。在一个实施例中，将还原的应用数据与预先存储的特征数据进行匹配，如果匹配成功则表明该应用数据对应的主机为失陷主机。(3)IOC安全威胁情报的自动获取及更新问题。由于安全威胁情报的实时性较高，更新频率也会跟高，所以在更新情报的同时不能影响正在进行的检测功能。(4)恶意流量存储问题，供分析及调查取证。在实施该方法的系统中，主要包括以下几个模块：应用层流量还原模块、安全威胁情报匹配模块、和报警信息及PCAP存储模块。应用层流量还原模块：负责还原应用层协议，主要还原的协议为HTTP和DNS。工作时，首先，过滤原始网络数据包，获取IP数据包，并对端口做数据过滤，保留预设端口号对应的数据包。具体可以为对端口做过滤，保留端口号为80，443，53的数据包；其次，做IP分片的还原操作；如果是TCP协议要进行TCP分段的还原操作。最后，识别应用层的协议。此模块的关键数据结构如下：五元组数据结构：DNS数据结构：HTTP数据结构：威胁情报匹配模块主要负责匹配安全威胁情报。由于面向企业用户，所以威胁情报匹配模块需要保障匹配速度，还需解决情报更新的问题。由于需要保障匹配速度，所以本系统采用将所有情报载入内存中进行匹配的方式，提高匹配效率，具体情报的数据结构如下：其包含IOC的ID、种类、内容、严重等级及可信度等信息。匹配代码如下：由于需要解决热更新问题，所以加了读写锁：更新或变动iocMap时，只需锁上该读写锁即可，防止由于操作混乱而导致数据(如安全威胁情报)损坏：报警信息及pcap存储模块：主要负责将发现的失陷主机的相关信息存储起来，同时存储相关的PCAP文件，供调查分析，此外在发现失陷主机时报警以提醒用户。本系统用日志方式存储报警信息，关键代码如下：PCAP存储关键代码如下：由于采用了上述技术方案，在性能方面，本方法对应的整个系统可由Golang开发，保证了性能可用在企业级网络中。从实际测试结果来看，在单CPU1G内存的低配电脑上也可分析10Gb/s以上的流量，威胁情报的匹配速度可达到20W/s。经过实际测试发现，本方法通过安全威胁情报检测出很多通过传统杀毒软件无法发现的失陷主机，同时由于采用如上步骤，对检测目标并没有被限定，只要涉及到了原始网络流量及其相关的数据的电子设备都能够被作为目标设备来进行检测，如目标设备也包括可能中了木马的手机等。本专利技术实施例还提供了一种失陷设备检测装置，包括获取模块、匹配模块和判断模块；获取模块配置为根据原始网络流量提取出主机的行为特征数据，并将涉及TCP/IP应用的应用数据进行还原；匹配模块配置为根据还原的应用数据进行IOC安全威胁情报的匹配；匹配的结果，确定失陷主机。结合图1，具体来说，获取模块根据原始网络流量提取出主机的行为特征数据，涉及TCP/IP应用的应用数据高速还原，还原内容包括普通流量的五元组信息；DNS请求应答信息；HTTP请求应答信息等数据。匹配模块根据还原的应用信息，进行IOC安全威胁情报的匹配。判断模块根据匹配的结果，确定失陷主机。即如果匹配成功，则表明发现失陷主机。在一个实施例中，将还原的应用数据与预先存储的特征数据进行匹配，如果匹配成功则表明该应用数据对应的主机为失陷主机。而对于IOC安全威胁情报的自动获取及更新问题，由本文档来自技高网...

【技术保护点】
1.一种失陷设备检测方法，其特征在于，包括：步骤1，根据原始网络流量提取出主机的行为特征数据，并将涉及TCP/IP应用的应用数据进行还原；步骤2，基于还原的应用数据进行IOC安全威胁情报的匹配；步骤3，根据所述匹配的结果，确定失陷主机。

【技术特征摘要】
1.一种失陷设备检测方法，其特征在于，包括：步骤1，根据原始网络流量提取出主机的行为特征数据，并将涉及TCP/IP应用的应用数据进行还原；步骤2，基于还原的应用数据进行IOC安全威胁情报的匹配；步骤3，根据所述匹配的结果，确定失陷主机。2.根据权利要求1所述的失陷设备检测方法，其特征在于，进行还原操作的所述应用数据包括普通流量的五元组信息、DNS请求应答信息、HTTP请求应答信息。3.根据权利要求1所述的失陷设备检测方法，其特征在于，所述步骤1包括：步骤11，过滤原始网络数据包；步骤12，做IP分片的还原操作，如果是TCP协议要进行TCP分段的还原操作；步骤13，识别应用层的协议。4.根据权利要求3所述的失陷设备检测方法，其特征在于，步骤11获取IP数据包，并对端口做数据过滤，保留预设端口号对应的数据包。5.根据权利要求1所述的失陷设备检测方法，其特征在于，步骤2进一步包括：将所有情报载入内存中进行匹配。6.根据权利...

【专利技术属性】
技术研发人员：刘斐然，
申请(专利权)人：北京微步在线科技有限公司，
类型：发明
国别省市：北京,11