CN106341282A

CN106341282A - 一种恶意代码行为分析装置

Info

Publication number: CN106341282A
Application number: CN201610989753.9A
Authority: CN
Inventors: 胡朝辉; 梁智强; 李书杰; 黄曙; 林丹生; 伍晓泉; 胡海生
Original assignee: Electric Power Research Institute of Guangdong Power Grid Co Ltd
Current assignee: Electric Power Research Institute of Guangdong Power Grid Co Ltd
Priority date: 2016-11-10
Filing date: 2016-11-10
Publication date: 2017-01-18

Abstract

本发明实施例提供的一种恶意代码行为分析装置，包括：存储模块、展示模块、网络数据流量采集还原模块、中央处理器、综合管理模块、网络流量行为分析引擎、文件静态分析引擎、文件动态行为分析引擎、WEB威胁检测模块、网络行为异常检测模块、邮件威胁检测模块、文件威胁检测模块、文件异常行为分析模块、沙箱模块，实现了对网络数据流进行重组和还原，实现网络行为的异常检测，能对可疑文件进行还原提取分析，并将可疑文件放置在沙箱模板当中实现对文件行为的动态监控分析，并结合静态分析和动态分析的结果，给出可疑文件的信息安全风险程度，解决了目前无法应对日益严峻的高级别恶意代码攻击的技术问题。

Description

一种恶意代码行为分析装置

技术领域

本发明涉及电力技术领域，尤其涉及一种恶意代码行为分析装置。

背景技术

近年来，网络安全问题日益突出，黑客入侵以及网络攻击现象日益增多。而随着计算机网络技术的不断普及，公众使用计算机的次数越来越多。特别是公用信息基础设施建设推动了政府、企业日益依赖各种信息系统，一些涉及国计民生的业务、系统受到了前所未有的安全挑战。如维基解密网站泄漏了大量政府的机密信息；花旗集团受黑客攻击导致36多万的客户账户信息被窃取；CSDN网站被攻击导致600余万用户资料被泄漏等。这些事故充分说明网络安全对国家、政府和企业的重要性。

目前，在所有的网络入侵行为当中，恶意代码是承载网络攻击行为的重要载体，服务器的远程控制，非正常操作都依托于恶意代码来实现；另外一方面，为实现更加高级的网络攻击，越来越多的恶意代码逐步采用混淆技术、虚拟机技术对恶意代码进行了伪装，甚至利用0day漏洞绕过杀毒软件的查收，因此通过传统特征码来鉴别恶意代码显得力不从心。如何应对日益严峻的高级别恶意代码攻击的技术问题，已经成为了本领域技术人员亟待解决的技术问题。

发明内容

本发明实施例提供的一种恶意代码行为分析装置，实现了对网络数据流进行重组和还原，实现网络行为的异常检测，能对可疑文件进行还原提取分析，并将可疑文件放置在沙箱模板当中实现对文件行为的动态监控分析，并结合静态分析和动态分析的结果，给出可疑文件的信息安全风险程度，解决了目前无法应对日益严峻的高级别恶意代码攻击的技术问题。

本发明实施例提供的一种恶意代码行为分析装置，包括：

存储模块、展示模块、网络数据流量采集还原模块、中央处理器、综合管理模块、网络流量行为分析引擎、文件静态分析引擎、文件动态行为分析引擎、WEB威胁检测模块、网络行为异常检测模块、邮件威胁检测模块、文件威胁检测模块、文件异常行为分析模块、沙箱模块；

所述的中央处理器分别与存储模块、展示模板、网络数据流量采集还原模块、综合管理模块相连；

所述的综合管理模块与网络流量行为分析引擎、文件静态分析引擎、文件动态行为分析引擎相连；

所述的网络流量行为分析引擎分别与综合管理模块、文件静态分析引擎、文件动态行为分析引擎、WEB威胁检测模块、网络行为异常检测模块、邮件威胁检测模块相连；

所述的文件静态分析引擎分别与综合管理模块、网络流量行为分析引擎、文件动态行为分析引擎、文件威胁检测模块相连；

文件动态行为分析引擎分别与综合管理模块、网络流量行为分析引擎、文件静态分析引擎、文件异常行为分析模块相连；

沙箱模块分别与WEB威胁检测模块、网络行为异常检测模块、邮件威胁检测模块、文件威胁检测模块、文件异常行为分析模块相连。

从以上技术方案可以看出，本发明实施例具有以下优点：

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。

图1为本发明实施例提供的一种恶意代码行为分析装置的结构示意图。

具体实施方式

为使得本发明的发明目的、特征、优点能够更加的明显和易懂，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，下面所描述的实施例仅仅是本发明一部分实施例，而非全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

本发明实施例提供的一种恶意代码行为分析装置，包括：

各功能模块的主要功能如下：

综合管理模块：综合管理模块提供恶意代码行为分析装置与业务人员的使用界面。基于该模块，业务人员能实现设备进行配置、管理、设定恶意代码检测策略、手工上传分析恶意代码、报告生成及导出等功能。

网络数据流量采集还原模块：网络数据流量采集还原模块能实现对网络流量的集中采集，还能对采集的网络流量进一步进行数据包重组，并根据OSI模型还原出数据流以及网络会话。

网络流量行为分析引擎：网络流量行为分析引擎基于网络流量分析及还原技术，对通过网络数据流量采集还原模块分析出的数据和网络访问行为进行分析。根据网络协议、IP地址、端口号、应用层数据类型对网络流量进行进一步归类分析；对还原出的可疑文件调用文件静态分析引擎和文件动态行为分析引擎实现文件威胁检测和文件异常行为分析；对还原出的WEB访问行为调用WEB威胁检测模块，以发现入侵者非法访问和利用WEB应用系统的恶意行为；对还原出的邮件访问及登录行为调用邮件威胁检测模块，以发现入侵者非法访问和利用邮件系统的恶意行为；对所有还原的数据调用网络行为异常检测模块，以发现基于网络异常扫描和攻击的行为。网络流量行为分析引擎支持HTTP、ftp、smb、SMTP、POP3等协议传输文件检测，文件类型支持doc,xls,ppt,swf,pdf,java,rar,zip,exe,vbs,scr,html等多种文件解析。

文件静态分析引擎：文件静态分析引擎内包括反恶意代码引擎，能对可疑文件多维静态扫描，分析出可疑文件的版本信息、段信息、资源信息、导入表、字符串信息、删除文件信息等内容；文件静态分析引擎还能实现诸如：文件外壳检测及自动脱壳、病毒特征码检测、可执行文件逆向分析、恶意代码指令检测等功能；文件静态分析引擎支持Shellcode检测，能通过分析文件中的二进制代码，找到文件溢出攻击的代码，并能找到APT攻击中的0day攻击，还可以对文件内部嵌入的子文件可进行二次扫描，分析隐藏在样本内部的文件安全性。

文件动态行为分析引擎：文件动态行为分析引擎将可疑文件投放至建有模拟环境、配有模拟用户操作(诱导可疑文件发出攻击行为)的沙箱环境当中，动态执行可疑文件，监控其运行过程以及所有进程的活动，并对其代码特征和攻击特点进行详细的分析。文件动态行为分析引擎通过不同沙箱环境的组合观察可疑文件的动态行为，包括可疑文件对注册表的行为、进程行为、网络行为、文件行为以及相关行为的信息(如互斥量、进程运行的函数、返回结果、返回值)等，并对可疑文件关键行为截图等；文件动态行为分析引擎还能对沙箱操作系统之上的应用文件关键行为进行监控，分析可疑文件的信息安全风险。文件动态行为分析引擎可有效检测文档格式溢出，发现攻击行为。

WEB威胁检测模块：WEB威胁检测模块能解码所有网络进入进出的请求，检查这些请求是否合法或合乎规定，能检测限制正确格式或RFC遵从的请求通过，并阻断已知的恶意请求，阻止非法植入到Header、Form和URL中的脚本；WEB威胁检测模块除了对上传webshell的攻击进行检测，还可以对访问和利用webshell行为进行检测，通过对请求和返回数据包综合检测，分析各种上传和利用的webshell行为；WEB威胁检测模块还能对过去一段时间的web访问行为进行综合分析，分析异常攻击者与正常用户访问的区别，进一步判断一次完整的扫描或渗透过程。

网络行为异常检测模块：网络行为异常检测模块不仅可以深度分析来自外部的网络攻击，能对内网向外请求异常行为进行分析，如非法请求外连、恶意盗取数据和敏感数据回传等，通过对内外部主机的异常流量检测、非法请求检测等判断，定位僵尸主机和网络异常行为检测；通过基于恶意行为的模型化分析，提取真正的恶意回连行为；通过利用开放端口非法传输数据行为监控，判断异常数据传输、传输数据内容、数据量等检测。

邮件威胁检测模块：邮件威胁检测模块能对邮件协议进行深度分析，记录并分析每个邮件，并对其中的附件进行分析并检测，发现其中的安全问题。包括WEBMail漏洞利用、邮件社工行为、恶意邮件附件等威胁。通过对附件进行对已知攻击特征的扫描、未知攻击漏洞的扫描和动态分析的方式进行测试，发现其中的攻击。

文件威胁检测模块:文件威胁检测模块能通过二进制分析技术发现文件中的恶意代码；利用二进制分析技术，可以发现可能存在的恶意代码攻击；通过在内存中对静态二进制文件安全分析可发现常见格式文件的异常行为，如：pdf、doc、exe、xls等。文件威胁检测模块能根据其异常格式、文件异常行为、异常代码等判断文件的可疑行为。

文件异常行为分析模块：文件异常行为分析模块基于可以文件在沙箱环境中的运行结果以及行为，综合判断可疑文件的风险程度。

沙箱模块：沙箱模块基于虚拟化技术，能虚拟出不同类型的操作系统与应用环境结合的漏洞环境，沙箱模块内置文件行为监视功能，能对可疑文件的运行情况进行监视，并通过文件异常行为分析模块判断文件的异常行为。沙箱模块采用多沙箱并发设计，每个沙箱通过特有的文件重定向、注册表重定向和进程权限控制技术，降低任务启动和结束对性能的影响；沙箱模块支持同时运行的多个文件检测任务，进程(树)数据相互隔离，每个检测任务仅能获取到系统的基础信息以及自己进程(树)产生或修改的信息，但无法获取其他进程(树)产生或者修改的文件信息；沙箱模块禁止被检测进程(树)加载未经数字签名的驱动程序，实现单沙箱多任务并行操作且互不影响；沙箱模块具备虚拟机自我保护功能，可对恶意软件隐藏虚拟机进程。

恶意代码行为分析装置通过网络旁路接入的方式实现企业网络数据采集，通过网络数据流量采集还原模块对网络流量进行采集并还原成会话数据流和数据文件；网络数据流量采集还原模块将采集的数据流以及数据文件发送给综合管理模块，综合管理模块通过预先设定好的分析策略，依次调用网络流量行为分析引擎、文件静态分析引擎、文件动态行为分析引擎对数据流以及数据文件进行分析，在分析的过程中基于沙箱模块依次调用WEB威胁检测模块、网络行为异常检测模块、邮件威胁检测模块、文件威胁检测模块、文件异常行为分析模块对数据流和可疑文件进行综合分析判断，并给出数据流以及可疑文件的信息安全风险判断。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-OnlyMemory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

1.一种恶意代码行为分析装置，其特征是包括：