CN106209867B - 一种高级威胁防御方法及系统 - Google Patents

Abstract

本发明公开了一种高级威胁防御方法，包括如下步骤：监控携带有虚拟资源的终端；当监控到高级威胁攻击所述携带有虚拟资源的终端后，在网卡驱动上切断与所述高级威胁所属IP地址的通信连接；向其它终端下发携带有所述IP地址的告警信息。本发明中，实现了有效拦截、检测APT、TA、未知威胁攻击，发现0Day漏洞，完善了信息安全解决方案，提高了信息安全性。

Description

一种高级威胁防御方法及系统

技术领域

本发明涉及信息安全技术领域，特别是涉及一种高级威胁防御方法及系统。

背景技术

随着网络信息技术的不断发展，越来越多的人开始依赖电子设备处理重要事件，一些高级威胁，例如APT(Advanced Persistent Threat，高级持续威胁)、TA(TargetAttack，目标攻击)、0Day和未知威胁攻击频繁出现，已经对用户造成了难以估量的损失。目前存在的特征比对、大数据分析、沙箱技术不能有效防御这几类攻击。

由于现有绝大部分信息安全产品均采用特征比对的方式检测、拦截各类攻击；或者采用大数据或沙箱行为分析方法检测恶意行为，而对于APT、TA、0Day、未知威胁等攻击往往无效。随着新技术的快速发展，数据的价值越来越高，APT、TA、0Day攻击越来越频繁，给用户带来极大的困扰。

发明内容

本发明提供一种高级威胁防御方法及系统，以有效拦截、检测APT、TA、未知威胁攻击，发现0Day漏洞，完善信息安全解决方案，并提高信息安全性。

为了达到上述目的，本发明提供一种高级威胁防御方法，包括如下步骤：

监控携带有虚拟资源的终端；

当监控到高级威胁攻击所述携带有虚拟资源的终端后，在网卡驱动上切断与所述高级威胁所属IP地址的通信连接；

向其它终端下发携带有所述IP地址的告警信息。

进一步地，所述监控携带有虚拟资源的终端之前，还包括：

采集资源属性信息，根据所述资源属性信息生成相应的虚拟资源，将所述虚拟资源携带于终端上。

进一步地，所述资源属性信息为终端的属性信息和/或操作系统的属性信息，所述根据所述资源属性信息生成相应的虚拟资源，将所述虚拟资源携带于终端上，具体包括：

根据所述终端的属性信息生成虚拟文件和虚拟进程，并将所述虚拟文件和虚拟进程携带于所述终端上；和/或，

根据所述操作系统的属性信息生成虚拟操作系统，并将所述虚拟操作系统携带于所述终端上。

进一步地，所述监控到高级威胁攻击所述虚拟资源，具体包括：

监控所述终端，当监控到某个IP地址的程序试图进入所述终端所携带的虚拟文件或虚拟进程时，确定该IP地址携带有高级威胁；和/或，

监控所述终端，当监控到某个IP地址的程序试图进入所述终端所携带的虚拟操作系统时，确定该IP地址携带有高级威胁。

进一步地，所述资源属性信息为网络拓扑结构，所述根据所述资源属性信息生成相应的虚拟资源，将所述虚拟资源携带于终端上，具体包括：

根据所述网络拓朴结构生成虚拟终端属性信息，将所述虚拟终端属性信息携带于终端上，构成虚拟终端。

进一步地，所述监控到高级威胁攻击所述虚拟资源，具体包括：

监控所述终端，当监控到某个IP地址的程序试图进入所述虚拟终端时，确定该IP地址携带有高级威胁。

本发明还公开了一种高级威胁防御系统，包括监控模块、处理模块和通知模块，

所述监控模块，用于监控携带有虚拟资源的终端；

所述处理模块，用于当所述监控模块监控到高级威胁攻击所述携带有虚拟资源的终端后，在网卡驱动上切断与所述高级威胁所属IP地址的通信连接；

所述通知模块，用于向其它终端下发携带有所述IP地址的告警信息

进一步地，还包括采集模块和生成模块，

所述采集模块，用于采集资源属性信息；

所述生成模块，用于根据所述资源属性信息生成相应的虚拟资源，将所述虚拟资源携带于终端上。

与现有技术相比，本发明至少具有以下优点：

实现了有效拦截、检测APT、TA、未知威胁攻击，发现0Day漏洞，完善了信息安全解决方案，提高了信息安全性。

附图说明

图1是本发明所提供的高级威胁防御方法的步骤示意图。

具体实施方式

本发明提出一种高级威胁防御方法及系统，下面结合附图，对本发明具体实施方式进行详细说明。

如图1所示，具体包括如下步骤：

步骤101，监控携带有虚拟资源的终端。

其中，所述监控携带有虚拟资源的终端之前，还包括：

采集资源属性信息，根据所述资源属性信息生成相应的虚拟资源，将所述虚拟资源携带于终端上。

具体的，所述资源属性信息为终端的属性信息和/或操作系统的属性信息，所述根据所述资源属性信息生成相应的虚拟资源，将所述虚拟资源携带于终端上，具体包括：

根据所述终端的属性信息生成虚拟文件和虚拟进程，并将所述虚拟文件和虚拟进程携带于所述终端上；和/或，

根据所述操作系统的属性信息生成虚拟操作系统，并将所述虚拟操作系统携带于所述终端上；和/或，

根据所述网络拓朴结构生成虚拟终端属性信息，将所述虚拟终端属性信息携带于终端上，构成虚拟终端。

当监控到高级威胁攻击所述携带有虚拟资源的终端后，转到步骤102。

步骤102，在网卡驱动上切断与所述高级威胁所属IP地址的通信连接。

具体的，

所述监控到高级威胁攻击所述虚拟资源，具体包括：

监控所述终端，当监控到某个IP地址的程序试图进入所述终端所携带的虚拟文件或虚拟进程时，确定该IP地址携带有高级威胁；和/或，

监控所述终端，当监控到某个IP地址的程序试图进入所述终端所携带的虚拟操作系统时，确定该IP地址携带有高级威胁和/或，

监控所述终端，当监控到某个IP地址的程序试图进入所述虚拟终端时，确定该IP地址携带有高级威胁。

步骤103，向其它终端下发携带有所述IP地址的告警信息。

通过将该IP地址分发给内网中所有终端，可以做到‘单点检测，全网收益’，使所有终端受到保护。

其中，上述所提及的虚拟文件具体可以包括接收到的正常文件(例如终端上面已经存在的)和/或接收到的混淆、欺骗、伪装文件；虚拟进程具体可以包括接收到的正常进程(例如终端上面已经存在的)和/或接收到的混淆、欺骗、伪装进程；虚拟资源包括但不仅限于文件、进程、网络等。

在具体实施例中，在终端侧，

(1)采集操作系统属性、终端属性。

(2)根据不同的操作系统属性(Linux/Windows/Mac等)以及终端属性(DB/APP/WEB等)，在不同文件目录中生成不同的文件、生成不同的进程、在登陆和进入终端之间部署关卡，并且监控这些文件、进程。根据不同的操作系统产生一个轻量级的微型操作系统。根据现有的网络拓扑结构构造一些不存在的网络拓扑等一系列手段。以上所有的手段我们称之为幻影技术，通过幻影技术来迷惑高级威胁攻击。并且该技术中的一些手法是可以根据硬件配合来授权是否生效。

(3)当高级威胁攻击命中幻影技术中的迷惑手段后，我们可以通过报警形式来通知管理员该终端受到高级威胁攻击，并且可以在网卡驱动上来进行掐断与来源IP的通信或者封锁登陆帐户来保护该终端。迷惑手段包括：是否打开监控的文件、进程、在登陆之后的关卡中的行为等等。

(4)当一台终端检测到有问题的攻击来源IP后，将该来源IP分发至内网中所有终端，可以做到‘单点检测，全网收益’。

在网络侧，

(1)采集当前网络拓扑结构。

(2)通过幻影技术来虚拟出一些虚拟终端，进行对网络拓扑结构的混淆。

(3)当有高级威胁入侵网络时，如果访问虚拟终端，我们可以通过报警形式来通知管理员网络受到高级威胁攻击，并且可以在网卡驱动上来进行掐断与来源IP的通信来保护该服务器。

(4)被访问的虚拟终端将来源IP分发至所有终端，使所有终端受到保护。

本发明还公开了一种高级威胁防御系统，包括监控模块、处理模块、通知模块、采集模块和生成模块，

所述监控模块，用于监控携带有虚拟资源的终端；

所述处理模块，用于当所述监控模块监控到高级威胁攻击所述携带有虚拟资源的终端后，在网卡驱动上切断与所述高级威胁所属IP地址的通信连接；

所述通知模块，用于向其它终端下发携带有所述IP地址的告警信息

所述采集模块，用于采集资源属性信息；

所述生成模块，用于根据所述资源属性信息生成相应的虚拟资源，将所述虚拟资源携带于终端上。

其中，本发明装置的各个模块可以集成于一体，也可以分离部署。上述模块可以合并为一个模块，也可以进一步拆分成多个子模块。

本领域技术人员可以理解附图只是一个优选实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。

本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中，也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块，也可以进一步拆分成多个子模块。

上述本发明序号仅仅为了描述，不代表实施例的优劣。

以上公开的仅为本发明的几个具体实施例，但是，本发明并非局限于此，任何本领域的技术人员能思之的变化都应落入本发明的保护范围。

Claims (7)

1.一种高级威胁防御方法，其特征在于，包括如下步骤:

监控携带有虚拟资源的终端，具体包括:

监控所述终端，当监控到某个IP地址的程序试图进入所述终端所携带的虚拟文件或虚拟进程时，确定该IP地址携带有高级威胁；

和/或，

监控所述终端，当监控到某个IP地址的程序试图进入所述终端所携带的虚拟操作系统时，确定该IP地址携带有高级威胁；

和/或，

监控所述终端，当监控到某个IP地址的程序试图进入所述终端时，确定该IP地址携带有高级威胁；

通过幻影技术虚拟出一些携带有虚拟资源的终端，进行对网络拓扑结构的混淆；

当监控到高级威胁攻击所述携带有虚拟资源的终端后，在网卡驱动上切断与所述高级威胁所属IP地址的通信连接；

向其它终端下发携带有所述IP地址的告警信息；

在所述终端侧，具体包括：

(1)采集操作系统属性、终端属性；

(2)根据不同的操作系统属性以及终端属性，在不同文件目录中生成不同的文件、生成不同的进程，在登录和进入终端之间部署关卡，并且监控所述文件、进程；根据不同的操作系统产生一个轻量级的微型操作系统，根据现有的网络拓扑结构构造不存在的网络拓扑手段，以上所有的手段称之为幻影技术，通过幻影技术来迷惑高级威胁攻击；所述幻影技术中的一些手法是根据硬件配合来授权是否生效；

(3)当高级威胁攻击命中幻影技术中的迷惑手段后，通过报警形式来通知管理员该终端受到高级威胁攻击，并且在网卡驱动上来进行掐断与来源IP的通信或者封锁登录帐户来保护该终端，迷惑手段包括：是否打开监控的文件、进程、在登录之后的关卡中的行为；

(4)当一台终端检测到有问题的攻击来源IP后，将该来源IP分发至内网中所有终端，做到‘单点检测，全网受益’；

在网络侧，具体包括：

(1)采集当前网络拓扑结构；

(2)通过幻影技术来虚拟出虚拟终端，进行对网络拓扑结构的混淆；

(3)当有高级威胁入侵网络时，如果访问虚拟终端，通过报警形式来通知管理员网络受到高级威胁攻击，并且在网卡驱动上进行掐断与来源IP的通信来保护服务器；

(4)被访问的虚拟终端将来源IP分发至所有终端，使所有终端受到保护。

2.如权利要求1所述的高级威胁防御方法，其特征在于，所述监控携带有虚拟资源的终端之前，还包括:

采集资源属性信息，根据所述资源属性信息生成相应的虚拟资源，将所述虚拟资源携带于终端上。

3.如权利要求2所述的高级威胁防御方法，其特征在于，所述资源属性信息为终端的属性信息和/或操作系统的属性信息，所述根据所述资源属性信息生成相应的虚拟资源，将所述虚拟资源携带于终端上，具体包括:

根据所述终端的属性信息生成虚拟文件和虚拟进程，并将所述虚拟文件和虚拟进程携带于所述终端上；和/或，

根据所述操作系统的属性信息生成虚拟操作系统，并将所述虚拟操作系统携带于所述终端上。

4.如权利要求2所述的高级威胁防御方法，其特征在于，所述资源属性信息为网络拓扑结构，所述根据所述资源属性信息生成相应的虚拟资源，将所述虚拟资源携带于终端上，具体包括:

根据所述网络拓扑结构生成虚拟终端属性信息，将所述虚拟终端属性信息携带于终端上，构成虚拟终端。

5.如权利要求4所述的高级威胁防御方法，其特征在于，所述监控携带有虚拟资源的终端，具体包括:

监控所述终端，当监控到某个IP地址的程序试图进入所述虚拟终端时，确定该IP地址携带有高级威胁。

6.一种高级威胁防御系统，其特征在于，包括监控模块，处理模块和通知模块，

所述监控模块，用于监控携带有虚拟资源的终端，所述携带有虚拟资源的终端还包括通过幻影技术来虚拟出一些携带有虚拟资源的终端；

所述处理模块，用于当所述监控模块监控到高级威胁攻击所述携带有虚拟资源的终端后，在网卡驱动上切断与所述高级威胁所属IP地址的通信连接；

所述通知模块，用于向其它终端下发携带有所述IP地址的告警信息；

在所述终端侧，具体包括：

(1)采集操作系统属性、终端属性；

(2)根据不同的操作系统属性以及终端属性，在不同文件目录中生成不同的文件、生成不同的进程、在登录和进入终端之间部署关卡，并且监控所述文件、进程；根据不同的操作系统产生一个轻量级的微型操作系统，根据现有的网络拓扑结构构造不存在的网络拓扑手段，以上所有的手段称之为幻影技术，通过幻影技术来迷惑高级威胁攻击；并且所述幻影技术中的一些手法是根据硬件配合来授权是否生效；

(3)当高级威胁攻击命中幻影技术中的迷惑手段后，通过报警形式来通知管理员该终端受到高级威胁攻击，并且在网卡驱动上来进行掐断与来源IP的通信或者封锁登录帐户来保护该终端，迷惑手段包括：是否打开监控的文件、进程、在登录之后的关卡中的行为；

(4)当一台终端检测到有问题的攻击来源IP后，将该来源IP分发至内网中所有终端，做到‘单点检测，全网受益’；

在网络侧，具体包括：

(1)采集当前网络拓扑结构；

(2)通过幻影技术来虚拟出虚拟终端，进行对网络拓扑结构的混淆；

(3)当有高级威胁入侵网络时，如果访问虚拟终端，通过报警形式来通知管理员网络受到高级威胁攻击，并且在网卡驱动上进行掐断与来源IP的通信来保护服务器；

(4)被访问的虚拟终端将来源IP分发至所有终端，使所有终端受到保护。

7.如权利要求6所述的高级威胁防御系统，其特征在于，还包括采集模块和生成模块，

所述采集模块，用于采集资源属性信息；

所述生成模块，用于根据所述资源属性信息生成相应的虚拟资源，将所述虚拟资源携带于终端上。

Images