CN104852910A - 一种攻击检测的方法和装置 - Google Patents
一种攻击检测的方法和装置 Download PDFInfo
- Publication number
- CN104852910A CN104852910A CN201510200768.8A CN201510200768A CN104852910A CN 104852910 A CN104852910 A CN 104852910A CN 201510200768 A CN201510200768 A CN 201510200768A CN 104852910 A CN104852910 A CN 104852910A
- Authority
- CN
- China
- Prior art keywords
- file
- sandbox
- data flow
- detecting device
- attack detecting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种攻击检测的方法和装置,该方法包括:攻击检测装置在接收到数据流后,从所述数据流的附件中分离出文件;所述攻击检测装置将所述文件发送给沙箱,由所述沙箱确定所述文件对应的文件类型,并利用所述文件类型对应的应用程序打开所述文件;所述攻击检测装置监测所述沙箱内是否有网络连接行为;如果是,所述攻击检测装置确定所述数据流为攻击数据流;如果否,所述攻击检测装置确定所述数据流为合法数据流。本发明实施例中,可以不依赖特征码检测出是否发生攻击。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种攻击检测的方法和装置。
背景技术
随着计算机与网络的普及,信息技术正在改变着、影响着人类的生活方式。各种网络应用层出不穷,安全威胁和网络滥用也与日俱增,给网络监管机构对各种网络流量进行深度识别和检测未知威胁提出了新的要求。
目前对流量进行识别与检测的技术包括:DPI(Deep Packet Inspection,深层数据包检测)技术和基于流量特征的行为识别技术。DPI技术主要通过对数据包的负载进行特征匹配来识别流量,从而检测是否发生攻击。基于流量特征的行为识别技术主要是针对网络流量在一段时间内的某些统计特征进行检测和分析,以此为基础判断是否有某种行为,从而检测是否发生攻击。
上述方式均需要基于特征码检测是否发生攻击,但是针对APT(AdvancedPersistent Threat,高级持续性威胁)攻击,由于APT攻击是利用先进攻击手段对特定目标进行长期持续性网络攻击的攻击形式,在发动攻击之前会对攻击对象的业务流程和目标系统进行精确的收集,在收集过程中会主动挖掘被攻击对象受信系统和应用程序的漏洞,并利用这些漏洞进行攻击,因此,APT攻击的漏洞信息从未公开,且没有相应特征码,因此,上述方式(DPI技术和基于流量特征的行为识别技术)是无法检测出是否发生APT攻击的。
发明内容
本发明实施例提供一种攻击检测的方法,所述方法包括以下步骤:
攻击检测装置在接收到数据流之后,从所述数据流的附件中分离出文件;
所述攻击检测装置将所述文件发送给沙箱,由所述沙箱确定所述文件对应的文件类型,并利用所述文件类型对应的应用程序打开所述文件;
所述攻击检测装置监测所述沙箱内是否有网络连接行为;
如果是,则所述攻击检测装置确定所述数据流为攻击数据流;
如果否,则所述攻击检测装置确定所述数据流为合法数据流。
所述沙箱具体包括:内置在所述攻击检测装置中的沙箱,或者,独立于所述攻击检测装置的沙箱。
在所述沙箱打开所述文件之前,在所述沙箱内是不发生网络连接行为的。
所述方法进一步包括:
所述攻击检测装置确定所述数据流为攻击数据流之后,所述攻击检测装置确定所述文件中包含用于从网络中下载并执行可执行文件的恶意指令。
所述数据流具体包括高级持续性威胁APT数据流,所述文件具体包括:WORD文件、EXCEL文件、PPT文件。
本发明实施例提供一种攻击检测装置,所述攻击检测装置具体包括:
分离模块,用于在接收到数据流后,从所述数据流的附件中分离出文件;
发送模块,用于将所述文件发送给沙箱,由所述沙箱确定所述文件对应的文件类型,并利用所述文件类型对应的应用程序打开所述文件;
监测模块,用于监测所述沙箱内是否有网络连接行为;
确定模块,用于当沙箱内有网络连接行为时,则确定所述数据流为攻击数据流;当沙箱内没有网络连接行为时,则确定所述数据流为合法数据流。
所述沙箱具体包括:内置在所述攻击检测装置中的沙箱,或者,独立于所述攻击检测装置的沙箱。
在所述沙箱打开所述文件之前,在所述沙箱内是不发生网络连接行为的。
所述确定模块,还用于在确定所述数据流为攻击数据流之后,确定所述文件中包含用于从网络中下载并执行可执行文件的恶意指令。
所述数据流具体包括高级持续性威胁APT数据流,所述文件具体包括:WORD文件、EXCEL文件、PPT文件。
基于上述技术方案,本发明实施例中,通过自动分离数据流的附件中的文件,并将文件发送给沙箱,由沙箱利用文件对应的应用程序打开文件,并监测沙箱是否有网络连接行为,从而确定数据流是否为攻击数据流,该方式可以不依赖特征码检测出是否发生攻击。
附图说明
图1是本发明实施例提供的一种攻击检测的方法流程示意图;
图2是本发明实施例提供的一种攻击检测装置的结构示意图。
具体实施方式
针对现有技术中存在的问题,本发明实施例提供了一种攻击检测的方法,如图1所示,该攻击检测的方法具体可以包括以下步骤:
步骤101,攻击检测装置在接收到数据流之后,从该数据流的附件中分离出文件。其中,该数据流具体是指附件中包含有文件的数据流。
本发明实施例中,该数据流具体可以包括但不限于:APT数据流,即会发生APT攻击的数据流。进一步的,该数据流的附件中包含的文件具体可以包括但不限于:WORD文件、EXCEL文件、PPT文件等。
步骤102,攻击检测装置将文件发送给沙箱,由沙箱确定该文件对应的文件类型,并利用该文件类型对应的应用程序打开该文件。
例如,攻击检测装置从数据流的附件中分离出WORD文件时,将WORD文件发送给沙箱。沙箱确定该WORD文件对应的文件类型为WORD类型,并利用该WORD类型对应的应用程序(即WORD软件)打开该WORD文件。又例如,攻击检测装置从数据流的附件中分离出EXCEL文件时,将EXCEL文件发送给沙箱。沙箱确定EXCEL文件对应的文件类型为EXCEL类型,并利用该EXCEL类型对应的应用程序(即EXCEL软件)打开该EXCEL文件。
其中,沙箱是指一种按照安全策略限制程序行为的执行环境。
在沙箱确定文件对应的文件类型,并利用文件类型对应的应用程序打开文件的过程中,可以由该沙箱对应的沙箱控制器确定该文件对应的文件类型,并由该沙箱控制器利用该文件类型对应的应用程序打开该文件。
本发明实施例中,沙箱具体包括但不限于:内置在攻击检测装置中的沙箱,或者,独立于攻击检测装置的沙箱。进一步的,当沙箱为独立于攻击检测装置的沙箱时,则还可以在网络中部署一个外置沙箱群,该外置沙箱群中包含多个沙箱。基于此,攻击检测装置在将文件发送给沙箱时,可以基于负载均衡算法将文件发送给沙箱,或者,基于各沙箱的负载情况将文件发送给沙箱。例如,攻击检测装置基于hash算法将文件发送给沙箱,或者,攻击检测装置获取各沙箱的负载情况,并将文件发送给负载最轻的沙箱。
步骤103,攻击检测装置监测沙箱内是否有网络连接行为;如果是,则攻击检测装置执行步骤104;如果否,则攻击检测装置执行步骤105。
步骤104,攻击检测装置确定数据流为攻击数据流。
步骤105,攻击检测装置确定数据流为合法数据流。
本发明实施例中,默认沙箱中是不发生任何网络连接行为的,因此,在沙箱打开来自攻击检测装置的文件之前,在沙箱内是不发生网络连接行为的。基于此,当沙箱打开来自攻击检测装置的文件之后,如果沙箱内有网络连接行为,则说明是基于文件产生的网络连接行为,因此,攻击检测装置可以确定该数据流为攻击数据流,且该数据流的附件中的文件包含用于从网络中下载并执行可执行文件的恶意指令。
以下结合具体应用场景对本发明实施例的上述技术方案进行详细说明。
攻击者向终端设备发送一封包含未知漏洞的WORD文件的邮件,攻击者预期用户在终端设备上打开包含未知漏洞的WORD文件时,在解析异常文件时触发攻击者精心构造的恶意指令,如从网络某处下载并执行可执行文件。
攻击检测装置在接收到附件中包含有文件的邮件(即APT数据流)之后,剥离邮件的附件中包含的WORD文件,并将WORD文件发送给沙箱。沙箱中的沙箱控制器确定WORD文件对应的文件类型为WORD类型,并利用WORD类型对应的应用程序(即WORD软件)模拟用户打开WORD文件。
攻击检测装置监测沙箱内是否有网络连接行为。由于默认沙箱中是不发生任何网络连接行为的,如果沙箱内有网络连接行为,则说明是基于WORD文件产生的网络连接行为,因此攻击检测装置可以确定该WORD文件中包含了用于从网络中下载并执行可执行文件的恶意指令,并包含潜在的网络威胁。
基于上述技术方案,本发明实施例中,通过自动分离数据流的附件中的文件,并将文件发送给沙箱,由沙箱利用文件对应的应用程序打开文件,并监测沙箱是否有网络连接行为,从而确定数据流是否为攻击数据流,该方式可以不依赖特征码检测出是否发生攻击。
基于与上述方法同样的发明构思,本发明实施例中还提供了一种攻击检测装置,如图2所示,所述攻击检测装置具体包括:
分离模块11,用于在接收到数据流之后,从数据流的附件中分离出文件;
发送模块12,用于将所述文件发送给沙箱,由所述沙箱确定所述文件对应的文件类型,并利用所述文件类型对应的应用程序打开所述文件;
监测模块13,用于监测所述沙箱内是否有网络连接行为;
确定模块14,用于当沙箱内有网络连接行为时,则确定所述数据流为攻击数据流;当沙箱内没有网络连接行为时,则确定所述数据流为合法数据流。
本发明实施例中,所述沙箱具体包括:内置在所述攻击检测装置中的沙箱,或者,独立于所述攻击检测装置的沙箱。
在所述沙箱打开所述文件之前,在所述沙箱内是不发生网络连接行为的。
所述确定模块14,还用于在确定所述数据流为攻击数据流之后,确定所述文件中包含用于从网络中下载并执行可执行文件的恶意指令。
本发明实施例中,所述数据流具体包括高级持续性威胁APT数据流,所述文件具体包括:WORD文件、EXCEL文件、PPT文件。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (10)
1.一种攻击检测的方法,其特征在于,所述方法包括以下步骤:
攻击检测装置在接收到数据流之后,从所述数据流的附件中分离出文件;
所述攻击检测装置将所述文件发送给沙箱,由所述沙箱确定所述文件对应的文件类型,并利用所述文件类型对应的应用程序打开所述文件;
所述攻击检测装置监测所述沙箱内是否有网络连接行为;
如果是,则所述攻击检测装置确定所述数据流为攻击数据流;
如果否,则所述攻击检测装置确定所述数据流为合法数据流。
2.如权利要求1所述的方法,其特征在于,所述沙箱具体包括:内置在所述攻击检测装置中的沙箱,或者,独立于所述攻击检测装置的沙箱。
3.如权利要求1或2所述的方法,其特征在于,在所述沙箱打开所述文件之前,在所述沙箱内是不发生网络连接行为的。
4.如权利要求1所述的方法,其特征在于,所述方法进一步包括:
所述攻击检测装置确定所述数据流为攻击数据流之后,所述攻击检测装置确定所述文件中包含用于从网络中下载并执行可执行文件的恶意指令。
5.如权利要求1所述的方法,其特征在于,所述数据流包括高级持续性威胁APT数据流,所述文件包括:WORD文件、EXCEL文件、PPT文件。
6.一种攻击检测装置,其特征在于,所述攻击检测装置具体包括:
分离模块,用于在接收到数据流后,从所述数据流的附件中分离出文件;
发送模块,用于将所述文件发送给沙箱,由所述沙箱确定所述文件对应的文件类型,并利用所述文件类型对应的应用程序打开所述文件;
监测模块,用于监测所述沙箱内是否有网络连接行为;
确定模块,用于当沙箱内有网络连接行为时,则确定所述数据流为攻击数据流;当沙箱内没有网络连接行为时,则确定所述数据流为合法数据流。
7.如权利要求6所述的攻击检测装置,其特征在于,所述沙箱具体包括:内置在所述攻击检测装置中的沙箱,或者,独立于所述攻击检测装置的沙箱。
8.如权利要求6或7所述的攻击检测装置,其特征在于,在所述沙箱打开所述文件之前,在所述沙箱内是不发生网络连接行为的。
9.如权利要求6所述的攻击检测装置,其特征在于,
所述确定模块,还用于在确定所述数据流为攻击数据流之后,确定所述文件中包含用于从网络中下载并执行可执行文件的恶意指令。
10.如权利要求6所述的攻击检测装置,其特征在于,所述数据流具体包括高级持续性威胁APT数据流,所述文件具体包括:WORD文件、EXCEL文件、PPT文件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510200768.8A CN104852910B (zh) | 2015-04-24 | 2015-04-24 | 一种攻击检测的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510200768.8A CN104852910B (zh) | 2015-04-24 | 2015-04-24 | 一种攻击检测的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104852910A true CN104852910A (zh) | 2015-08-19 |
| CN104852910B CN104852910B (zh) | 2018-11-27 |
Family
ID=53852266
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510200768.8A Active CN104852910B (zh) | 2015-04-24 | 2015-04-24 | 一种攻击检测的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104852910B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107347057A (zh) * | 2016-05-06 | 2017-11-14 | 阿里巴巴集团控股有限公司 | 入侵检测方法、检测规则生成方法、装置及系统 |
| CN108959917A (zh) * | 2017-05-25 | 2018-12-07 | 腾讯科技(深圳)有限公司 | 一种电子邮件检测的方法、装置、设备及可读存储介质 |
| CN113010764A (zh) * | 2021-04-15 | 2021-06-22 | 杭州恒声科技有限公司 | 一种舆情监测系统、方法、计算机设备及存储介质 |
| CN113949579A (zh) * | 2021-10-20 | 2022-01-18 | 安天科技集团股份有限公司 | 网站攻击防御方法、装置、计算机设备及存储介质 |
| CN113949588A (zh) * | 2021-12-20 | 2022-01-18 | 北京微步在线科技有限公司 | 一种邮件附件威胁检测方法及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103825888A (zh) * | 2014-02-17 | 2014-05-28 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
| CN103902914A (zh) * | 2013-09-17 | 2014-07-02 | 北京安天电子设备有限公司 | 一种针对高级可持续威胁的溢出漏洞检测方法及系统 |
| CN103902901A (zh) * | 2013-09-17 | 2014-07-02 | 北京安天电子设备有限公司 | 一种基于编译器识别的apt检测方法及系统 |
| CN104200161A (zh) * | 2014-08-05 | 2014-12-10 | 杭州安恒信息技术有限公司 | 一种实现沙箱智能检测文件的方法及其沙箱智能检测系统 |
| US20150096024A1 (en) * | 2013-09-30 | 2015-04-02 | Fireeye, Inc. | Advanced persistent threat (apt) detection center |
| CN104506495A (zh) * | 2014-12-11 | 2015-04-08 | 国家电网公司 | 一种智能化网络apt攻击威胁分析方法 |
-
2015
- 2015-04-24 CN CN201510200768.8A patent/CN104852910B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103902914A (zh) * | 2013-09-17 | 2014-07-02 | 北京安天电子设备有限公司 | 一种针对高级可持续威胁的溢出漏洞检测方法及系统 |
| CN103902901A (zh) * | 2013-09-17 | 2014-07-02 | 北京安天电子设备有限公司 | 一种基于编译器识别的apt检测方法及系统 |
| US20150096024A1 (en) * | 2013-09-30 | 2015-04-02 | Fireeye, Inc. | Advanced persistent threat (apt) detection center |
| CN103825888A (zh) * | 2014-02-17 | 2014-05-28 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
| CN104200161A (zh) * | 2014-08-05 | 2014-12-10 | 杭州安恒信息技术有限公司 | 一种实现沙箱智能检测文件的方法及其沙箱智能检测系统 |
| CN104506495A (zh) * | 2014-12-11 | 2015-04-08 | 国家电网公司 | 一种智能化网络apt攻击威胁分析方法 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107347057A (zh) * | 2016-05-06 | 2017-11-14 | 阿里巴巴集团控股有限公司 | 入侵检测方法、检测规则生成方法、装置及系统 |
| CN107347057B (zh) * | 2016-05-06 | 2021-03-02 | 阿里巴巴集团控股有限公司 | 入侵检测方法、检测规则生成方法、装置及系统 |
| CN108959917A (zh) * | 2017-05-25 | 2018-12-07 | 腾讯科技(深圳)有限公司 | 一种电子邮件检测的方法、装置、设备及可读存储介质 |
| CN113010764A (zh) * | 2021-04-15 | 2021-06-22 | 杭州恒声科技有限公司 | 一种舆情监测系统、方法、计算机设备及存储介质 |
| CN113010764B (zh) * | 2021-04-15 | 2023-08-22 | 德观智能控制设备涿州有限公司 | 一种舆情监测系统、方法、计算机设备及存储介质 |
| CN113949579A (zh) * | 2021-10-20 | 2022-01-18 | 安天科技集团股份有限公司 | 网站攻击防御方法、装置、计算机设备及存储介质 |
| CN113949579B (zh) * | 2021-10-20 | 2024-04-30 | 安天科技集团股份有限公司 | 网站攻击防御方法、装置、计算机设备及存储介质 |
| CN113949588A (zh) * | 2021-12-20 | 2022-01-18 | 北京微步在线科技有限公司 | 一种邮件附件威胁检测方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104852910B (zh) | 2018-11-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| CN101582905B (zh) | 基于分组的网络的攻击保护 | |
| US11201882B2 (en) | Detection of malicious network activity | |
| CN104852910A (zh) | 一种攻击检测的方法和装置 | |
| US8590054B2 (en) | Methods, devices and computer program products for regulating network activity using a subscriber scoring system | |
| CN109711171A (zh) | 软件漏洞的定位方法及装置、系统、存储介质、电子装置 | |
| EP2134057B1 (en) | Method for protecting a packet-based network from attacks, as well as security border node | |
| Hatef et al. | HIDCC: A hybrid intrusion detection approach in cloud computing | |
| CN113472721B (zh) | 一种网络攻击检测方法及装置 | |
| EP3068095A2 (en) | Monitoring apparatus and method | |
| CN107979581B (zh) | 僵尸特征的检测方法和装置 | |
| CN103782303A (zh) | 对于恶意过程的基于非签名的检测的系统和方法 | |
| US9900327B2 (en) | Method for detecting an attack in a computer network | |
| CN108574668B (zh) | 一种基于机器学习的DDoS攻击流量峰值预测方法 | |
| CN109302426A (zh) | 未知漏洞攻击检测方法、装置、设备及存储介质 | |
| CN110417717B (zh) | 登录行为的识别方法及装置 | |
| Vidal et al. | Alert correlation framework for malware detection by anomaly-based packet payload analysis | |
| CN104901971A (zh) | 对网络行为进行安全分析的方法和装置 | |
| CN109995736A (zh) | 检测威胁攻击的方法、装置、设备和存储介质 | |
| US20170142136A1 (en) | Method and apparatus for detecting network attacks and generating attack signatures based on signature merging | |
| CN112685682A (zh) | 一种攻击事件的封禁对象识别方法、装置、设备及介质 | |
| US11411981B2 (en) | Threat mitigation system and method | |
| CN112929340A (zh) | 应用于工业互联网的网络流量异常检测方法及系统 | |
| Guo et al. | Behavior Classification based Self-learning Mobile Malware Detection. | |
| CN110365673B (zh) | 一种隔离网络攻击面的方法、服务器和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |