CN106561024B - 一种基于企业级的远程apt检测方法及高性能服务器 - Google Patents

一种基于企业级的远程apt检测方法及高性能服务器 Download PDF

Info

Publication number
CN106561024B
CN106561024B CN201510998978.6A CN201510998978A CN106561024B CN 106561024 B CN106561024 B CN 106561024B CN 201510998978 A CN201510998978 A CN 201510998978A CN 106561024 B CN106561024 B CN 106561024B
Authority
CN
China
Prior art keywords
enterprise
data
performance server
detected
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510998978.6A
Other languages
English (en)
Other versions
CN106561024A (zh
Inventor
刘佳男
高喜宝
李柏松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Antiy Technology Group Co Ltd
Original Assignee
Harbin Antian Science And Technology Group Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Antian Science And Technology Group Co ltd filed Critical Harbin Antian Science And Technology Group Co ltd
Priority to CN201510998978.6A priority Critical patent/CN106561024B/zh
Publication of CN106561024A publication Critical patent/CN106561024A/zh
Application granted granted Critical
Publication of CN106561024B publication Critical patent/CN106561024B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1475Passive attacks, e.g. eavesdropping or listening without modification of the traffic monitored
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于企业级的远程APT检测方法,包括:在企业内部设置高性能服务器;将企业内部待检测设备的数据同步至所述高性能服务器;所述高性能服务器检测所述数据并判定是否存在APT攻击事件。本发明还公开了一种基于企业级的远程APT检测高性能服务器,所述高性能服务器设置在企业内部,包括:数据同步模块和检测判定模块。本发明所述技术方案能够避免传统杀毒软件被攻击者绕过,从而无法有效检测和防御APT攻击事件的问题,能够有效提高企业对APT事件的检测能力。

Description

一种基于企业级的远程APT检测方法及高性能服务器
技术领域
本发明涉及信息安全技术领域,尤其涉及一种基于企业级的远程APT检测方法及高性能服务器。
背景技术
APT(Advanced Persistent Threat)-高级可持续威胁。这是一种利用高级攻击手段,对特定目标进行长期、持续性网络攻击的形式。由于APT攻击常用于政治、商业、军事等攻击,这种攻击行为经过长期的经营与策划,具备高度的隐蔽性。APT的攻击手段在于隐匿自身,针对特定对象进行长期、有计划和有组织的窃取数据或进行破坏,这种收集资料和窃取资料的行为被称为“网络间谍”行为。因此,APT攻击是直接威胁政府、企业的最严重的网络攻击行为。
对于APT的检测和防范,现有技术都是使用威胁情报及安全分析师参与的方法,通过特征码匹配、启发式行为检测或者黑白名单机制进行检测。这不仅效率低下,极度浪费人力和时间,检测结果也往往不准确。大多数情况下攻击者会针对安全产品对恶意代码进行免杀处理,来阻止安全产品的检测,同时会检测系统中已安装的安全产品并进行绕过处理。
发明内容
针对上述技术问题,本发明所述的技术方案通过在企业内部设置高性能服务器,企业内的所有待检测设备中不安装杀软,只是将各待检测设备的数据同步至所述高性能服务器;所述高性能服务器基于同步的数据判定是否存在可疑攻击,进而判定是否存在APT攻击事件。所述高性能服务器独立于各待检测设备,所述攻击者不会获取该高性能服务器的相关信息,以便该高性能服务器对企业内部各待检测设备进行检测和保护。
本发明采用如下方法来实现:一种基于企业级的远程APT检测方法,包括:
在企业内部设置高性能服务器;
将企业内部待检测设备的数据同步至所述高性能服务器;其中,所述数据根据需要选择,包括但不限于:系统盘信息的哈希值、进程信息、线程信息、端口信息、服务信息或者注册表信息;
所述高性能服务器检测所述数据并判定是否存在APT攻击事件。
进一步地,所述高性能服务器检测所述数据并判定是否存在APT攻击事件为:
所述高性能服务器根据待检测设备的类型定制检测规则;
所述高性能服务器基于所述检测规则检测所述数据判定是否存在APT攻击事件;
其中,所述待检测设备的类型包括:工作机或者服务器,所述服务器包括:web服务器或者FTP服务器。
更进一步地,所述检测规则包括:系统完整性检查法、差异分析法、时序分析法或者数字签名法。
上述方法中,所述将企业内部待检测设备的数据同步至所述高性能服务器为:基于预设时间间隔或者实时将企业内部待检测设备的数据同步至所述高性能服务器。
本发明可以采用如下系统来实现:一种基于企业级的远程APT检测高性能服务器,设置在企业内部,包括:
数据同步模块,用于将企业内部待检测设备的数据同步至所述高性能服务器;其中,所述数据根据需要选择,包括但不限于:系统盘信息的哈希值、进程信息、线程信息、端口信息、服务信息或者注册表信息;
检测判定模块,用于检测所述数据同步模块同步的数据并判定是否存在APT攻击事件。
进一步地,所述检测判定模块,具体用于:
根据待检测设备的类型定制检测规则;
基于所述检测规则检测所述数据并判定是否存在APT攻击事件;
其中,所述待检测设备的类型包括:工作机或者服务器,所述服务器包括:web服务器或者FTP服务器。
更进一步地,所述检测规则包括:系统完整性检查法、差异分析法、时序分析法或者数字签名法。
上述高性能服务器中,所述数据同步模块,具体用于:基于预设时间间隔或者实时将企业内部待检测设备的数据同步至所述高性能服务器。
综上,本发明给出一种基于企业级的远程APT检测方法,首先,在企业内部设置高性能服务器;将企业内部待检测设备的数据同步至所述高性能服务器;所述高性能服务器检测所述数据并判定是否存在APT攻击事件。本发明同时给出了一种基于企业级的远程APT检测高性能服务器。
有益效果为:本发明所述技术方案与传统的查杀方法不同,不在企业内的各待检测设备中安装杀毒软件,因为攻击者会针对杀毒软件做绕过处理,并不能有效检测和保护待检测设备。本发明所述技术方案通过在企业内部架设高性能服务器,所述高性能服务器独立于各待检测设备,使得攻击者无法获取该高性能设备的相关信息,所以能够更有效地检测APT攻击事件,更好地保护企业信息安全。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种基于企业级的远程APT检测方法实施例流程图;
图2为本发明提供的一种基于企业级的远程APT检测高性能服务器实施例结构图。
具体实施方式
本发明给出了一种基于企业级的远程APT检测方法及高性能服务器实施例,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种基于企业级的远程APT检测方法实施例,如图1所示,包括:
S101在企业内部设置高性能服务器;其中,所述高性能服务器独立于其他待检测设备;
S102将企业内部待检测设备的数据同步至所述高性能服务器;其中,所述数据根据需要选择,包括:系统盘信息的哈希值、进程信息、线程信息、端口信息、服务信息或者注册表信息等等;
S103所述高性能服务器检测所述数据并判定是否存在APT攻击事件。
优选地,所述高性能服务器检测所述数据并判定是否存在APT攻击事件为:
所述高性能服务器根据待检测设备的类型定制检测规则;
所述高性能服务器基于所述检测规则检测所述数据并判定是否存在APT攻击事件;
其中,所述待检测设备的类型包括:工作机或者服务器,所述服务器包括:web服务器或者FTP服务器。
更优选地,所述检测规则包括:系统完整性检查法、差异分析法、时序分析法或者数字签名法。
其中,所述系统完整性检测认为系统的变化主要表现在文件和注册表的变化。因此,通过不同时间点或感染恶意代码前后对文件和注册表组成的信息进行“快照”并同步至所述高性能服务器,所述高性能服务器基于所述文件和注册表组成的信息变化判断是否存在攻击行为。
所述差异分析法从分析系统的异常入手,各种类型的恶意代码根据其触发条件、攻击方式、抗杀手段、传播途径等行为在系统的进程、端口、线程、服务、驱动、注册表、目录和文件等方面表现出某种异常,根据异常前后同步数据的变化便可判断是否存在攻击行为。
所述时序分析法认为恶意代码具有时间属性,即恶意代码各文件之间形成某种时序相关性。可以利用这种时序性进行是否存在攻击行为的检测。
所述数字签名法通过验证文件数字签名判断文件的完整性及签署人的“身份”。Windows操作系统的许多文件都具有微软的数字签名,而非微软的文件不可能具有微软的数字签名;将常用的带有数字签名的程序进行信息对应,即程序名对应数字签名,如果对应不同,即异常、可疑。根据类似方法,可以很容易将带有数字签名的系统文件、常用应用程序、可疑文件区分开来。
例如:所述待检测设备的类型为web服务器,web服务器一般除了web目录文件会有变动,其他文件平时不会有变动,则所述高性能服务器根据web服务器的特性定制检测规则,可以选择系统完整性检查法对同步的数据进行检测,判断是否存在可疑文件的变动,或者是否存在PE文件,或者是否存在主动外连的行为,并进一步地利用白名单过滤外连的URL,进而提升判定的准确率。
若所述待检测设备的类型为FTP服务器,根据FTP服务器的工作特性,可以选择差异分析法关注目录变化,进而判断是否存在可疑操作。
若所述待检测设备的类型为普通工作机,则可以将工作机系统盘文件hash同步至所述高性能服务器,通过检测前后变化,判断是否存在可疑操作。
上述方法实施例中,所述将企业内部待检测设备的数据同步至所述高性能服务器为:基于预设时间间隔或者实时将企业内部待检测设备的数据同步至所述高性能服务器。
本发明还提供了一种基于企业级的远程APT检测高性能服务器实施例,如图2所示,所述高性能服务器设置在企业内部,包括:
数据同步模块201,用于将企业内部待检测设备的数据同步至所述高性能服务器;
检测判定模块202,用于检测所述数据同步模块201同步的数据判定是否存在APT攻击事件。
优选地,所述检测判定模块,具体用于:
根据待检测设备的类型定制检测规则;
基于所述检测规则检测所述数据并判定是否存在APT攻击事件;
其中,所述待检测设备的类型包括:工作机或者服务器,所述服务器包括:web服务器或者FTP服务器。
更优选地,所述检测规则包括:系统完整性检查法、差异分析法、时序分析法或者数字签名法。
上述高性能服务器实施例中,所述数据同步模块,具体用于:基于预设时间间隔或者实时将企业内部待检测设备的数据同步至所述高性能服务器。
上述实施例均采用递进的方式描述,各个实施例之间相同或相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。上述方法实施例和高性能服务器实施例中相关之处互相参加即可。
如上所述,上述实施例给出了一种基于企业级的远程APT检测方法及高性能服务器实施例,通过在企业内部架设一个高性能服务器,将企业内部所有待检测设备的关键数据同步至所述高性能服务器,通过前后数据对比,或者基于各待检测设备的类型选择或者定制检测规则,进而判断企业内部是否存在APT攻击事件。
综上,上述实施例通过单独设置一个高性能服务器,从而避免了攻击者察觉该高性能服务器进而进行一些对抗操作;所述高性能服务器可以与企业内所有设备通信,并接收企业内各待检测设备同步过来的数据,并基于同步的数据判断是否存在可疑攻击事件;更为优选地,本发明上述实施例能够根据各待检测设备的类型和特性定制检测规则,进而可以更加有效的识别APT攻击事件。本发明所述技术方案不同于上传云端的检测方法,本发明只存在单向操作行为,即将待检测设备的数据同步至高性能服务器,并不对待检测设备反馈数据或者软件更新操作等。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。

Claims (8)

1.一种基于企业级的远程APT检测方法,其特征在于,包括:
在企业内部设置高性能服务器;
将企业内部待检测设备的数据同步至所述高性能服务器;其中,所述数据根据需要选择,包括但不限于:系统盘信息的哈希值、进程信息、线程信息、端口信息、服务信息或者注册表信息;
所述高性能服务器检测所述数据并判定是否存在APT攻击事件。
2.如权利要求1所述的方法,其特征在于,所述高性能服务器检测所述数据并判定是否存在APT攻击事件为:
所述高性能服务器根据待检测设备的类型定制检测规则;
所述高性能服务器基于所述检测规则检测所述数据并判定是否存在APT攻击事件;
其中,所述待检测设备的类型包括:工作机或者服务器,所述服务器包括:web服务器或者FTP服务器。
3.如权利要求2所述的方法,其特征在于,所述检测规则包括:系统完整性检查法、差异分析法、时序分析法或者数字签名法。
4.如权利要求1~3任一所述的方法,其特征在于,所述将企业内部待检测设备的数据同步至所述高性能服务器为:基于预设时间间隔或者实时将企业内部待检测设备的数据同步至所述高性能服务器。
5.一种基于企业级的远程APT检测高性能服务器,其特征在于,设置在企业内部,包括:
数据同步模块,用于将企业内部待检测设备的数据同步至所述高性能服务器;其中,所述数据根据需要选择,包括但不限于:系统盘信息的哈希值、进程信息、线程信息、端口信息、服务信息或者注册表信息;
检测判定模块,用于检测所述数据同步模块同步的数据并判定是否存在APT攻击事件。
6.如权利要求5所述的高性能服务器,其特征在于,所述检测判定模块,具体用于:
根据待检测设备的类型定制检测规则;
基于所述检测规则检测所述数据并判定是否存在APT攻击事件;
其中,所述待检测设备的类型包括:工作机或者服务器,所述服务器包括:web服务器或者FTP服务器。
7.如权利要求6所述的高性能服务器,其特征在于,所述检测规则包括:系统完整性检查法、差异分析法、时序分析法或者数字签名法。
8.如权利要求5~7任一所述的高性能服务器,其特征在于,所述数据同步模块,具体用于:基于预设时间间隔或者实时将企业内部待检测设备的数据同步至所述高性能服务器。
CN201510998978.6A 2015-12-28 2015-12-28 一种基于企业级的远程apt检测方法及高性能服务器 Active CN106561024B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510998978.6A CN106561024B (zh) 2015-12-28 2015-12-28 一种基于企业级的远程apt检测方法及高性能服务器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510998978.6A CN106561024B (zh) 2015-12-28 2015-12-28 一种基于企业级的远程apt检测方法及高性能服务器

Publications (2)

Publication Number Publication Date
CN106561024A CN106561024A (zh) 2017-04-12
CN106561024B true CN106561024B (zh) 2020-05-19

Family

ID=58485464

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510998978.6A Active CN106561024B (zh) 2015-12-28 2015-12-28 一种基于企业级的远程apt检测方法及高性能服务器

Country Status (1)

Country Link
CN (1) CN106561024B (zh)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101707632A (zh) * 2009-10-28 2010-05-12 浪潮电子信息产业股份有限公司 一种动态监控服务器集群性能并实时报警的方法
US8677487B2 (en) * 2011-10-18 2014-03-18 Mcafee, Inc. System and method for detecting a malicious command and control channel
CN103532780B (zh) * 2013-10-11 2017-09-22 北京有度致远信息科技股份有限公司 用于it领域的运维监控一体化系统及一体化监控方法
CN103634306B (zh) * 2013-11-18 2017-09-15 北京奇虎科技有限公司 网络数据的安全检测方法和安全检测服务器

Also Published As

Publication number Publication date
CN106561024A (zh) 2017-04-12

Similar Documents

Publication Publication Date Title
EP3225009B1 (en) Systems and methods for malicious code detection
KR101057432B1 (ko) 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 시스템, 방법, 프로그램 및 기록매체
US10095866B2 (en) System and method for threat risk scoring of security threats
CN107659583B (zh) 一种检测事中攻击的方法及系统
US8793682B2 (en) Methods, systems, and computer program products for controlling software application installations
RU2726032C2 (ru) Системы и способы обнаружения вредоносных программ с алгоритмом генерации доменов (dga)
KR101697189B1 (ko) 시나리오 기반 사이버 공격 이력 추적 시스템 및 방법
HK1244125A1 (zh) 用於惡意代碼檢測的準確保證的系統及方法
EP3374870B1 (en) Threat risk scoring of security threats
US9961093B1 (en) Monitoring for reverse-connection network activity to detect a remote-administration tool
CN111565202B (zh) 一种内网漏洞攻击防御方法及相关装置
Zhang et al. Anteater: Advanced persistent threat detection with program network traffic behavior
US20050086512A1 (en) Worm blocking system and method using hardware-based pattern matching
KR20110131627A (ko) 악성 코드 진단 및 복구 장치, 그리고 이를 위한 단말 장치
KR102211846B1 (ko) 랜섬웨어 탐지 시스템 및 그의 동작 방법
Kurniawan et al. File integrity monitoring as a method for detecting and preventing web defacement attacks
CN106561024B (zh) 一种基于企业级的远程apt检测方法及高性能服务器
EP3252645B1 (en) System and method of detecting malicious computer systems
CN115442128A (zh) 网络入侵检测方法及装置
Kono et al. An unknown malware detection using execution registry access
CN114969739A (zh) 一种基于时间线的网络攻击溯源分析方法及系统
CN115720150A (zh) 基于rasp的waf联动防护方法、装置、设备及介质
KR101283440B1 (ko) 부비트랩 시그너처를 이용한 정보유출 차단시스템 및 그 방법
CN117439757A (zh) 终端风险程序的数据处理方法、装置和服务器
HK40027433A (zh) 一种内网漏洞攻击防御方法及相关装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin High-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road)

Applicant after: Harbin antiy Technology Group Limited by Share Ltd

Address before: 506 room 162, Hongqi Avenue, Nangang District, Harbin Development Zone, Heilongjiang, 150090

Applicant before: Harbin Antiy Technology Co., Ltd.

GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin High-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road)

Patentee after: Antan Technology Group Co.,Ltd.

Address before: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin High-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road)

Patentee before: Harbin Antian Science and Technology Group Co.,Ltd.