CN106909847B - 一种恶意代码检测的方法、装置及系统 - Google Patents

一种恶意代码检测的方法、装置及系统 Download PDF

Info

Publication number
CN106909847B
CN106909847B CN201710087408.0A CN201710087408A CN106909847B CN 106909847 B CN106909847 B CN 106909847B CN 201710087408 A CN201710087408 A CN 201710087408A CN 106909847 B CN106909847 B CN 106909847B
Authority
CN
China
Prior art keywords
malicious code
nids
relevant
event
event information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201710087408.0A
Other languages
English (en)
Other versions
CN106909847A (zh
Inventor
李佳
严寒冰
丁丽
徐原
李志辉
高胜
张腾
狄少嘉
张帅
刘丙双
涂波
王学志
吕利锋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
National Computer Network and Information Security Management Center
Original Assignee
National Computer Network and Information Security Management Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by National Computer Network and Information Security Management Center filed Critical National Computer Network and Information Security Management Center
Priority to CN201710087408.0A priority Critical patent/CN106909847B/zh
Publication of CN106909847A publication Critical patent/CN106909847A/zh
Application granted granted Critical
Publication of CN106909847B publication Critical patent/CN106909847B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Signal Processing (AREA)
  • Virology (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明是有关于一种恶意代码检测的方法,包括:NIDS根据规则匹配发现恶意代码等疑似攻击事件,NIDS根据预设规则将相关攻击事件信息下发至终端侧与进程端口号关联,以获取与进程相关的关键信息;收集终端侧的恶意代码事件信息及相关样本文件,并将收集的恶意代码事件信息及相关样本文件发送至NIDS,供NIDS进行恶意代码事件判定;获取经NIDS判定确定后的恶意代码事件和相关处置指令,并将其发送至终端侧受害者主机上的终端探针,供终端探针执行相关处置动作。本发明避免了传统NIDS恶意代码检测过程中,由于缺少主机侧关键信息而导致的误判,同时弥补传统NIDS无法对检测出来的安全威胁进行快速处置的不足。

Description

一种恶意代码检测的方法、装置及系统
技术领域
本发属于网络安全技术领域,特别是涉及一种恶意代码检测的方法、装置及系统。
背景技术
基于网络的入侵检测系统(NIDS)部署在重要信息系统互联网出入口,采用旁路镜像或分光的方式,对网络流量进行分析,在不影响网络性能的情况下对网络入侵、恶意代码感染和传播进行实时监测,从而提高了网络的安全性。
现有技术中,在恶意代码检测上,NIDS具有如下局限性:
随着业务应用系统安全性需求的提高,越来越多的业务系统、互联网网站、移动终端APP等交互的网络通讯都开始采用HTTPS加密传输。一方面这种方式的采用提升了网络应用的安全性,另一方面也给NIDS仅仅通过分析网络流量来发现恶意代码威胁的方法带来了新挑战。同时各种恶意代码攻击也更多通过采用针对NIDS检测的逃逸技术,来隐藏真实的攻击载荷。基于深度包识别/深度流识别(DPI/DFI)技术为核心的NIDS类产品因需要综合考虑性能、实时性、用户体验等因素,在应对此类威胁时难以施力,应用效果受到很大限制。
现在的高级持续性威胁(APT)攻击越发呈现出攻击手段多样化、攻击维度立体化的趋势,在常用的利用系统漏洞、邮件、网络共享、移动存储等方式上,还更多的融合无线热点伪造、网络钓鱼、水坑攻击、Cookie窃取等多种攻击形式,再辅之社会工程学,让攻击发现、攻击源头定位以及网络系统内部入侵薄弱点定位变得更加困难。在传统安全检测及防护方案中,往往只是通过NIDS类产品发现了最终的攻击行为和后果,很难还原整个威胁攻击路径,也不清楚如何在后续进行有针对性防御和追溯,从而在实际环境中往往会发生重复遭受攻击入侵,安全防御应对乏力的情况,给正常的业务系统持续稳定运行带来了很大影响。
在传统恶意代码检测解决方案中,除了部署NIDS类产品,通常还会选择终端安全探针类产品。终端安全探针通常安装在被重点检测的主机之上,主要是对该主机的网络实时连接、系统状态、异常进程行为以及系统审计日志进行智能分析和判断,以检测恶意代码感染、发作行为。但是,受限于厂商间的壁垒及产品的独立性部署,二者在安全检测与防御方面“各自为战”,各自采集到的信息及做出的威胁分析相对碎片化,缺乏整体安全的全局化视角,这样最终呈现出的信息价值就大打折扣。同时因为产品间关联性及互操作性较弱,经常无法相互配合联动,即使某一类检测产品已发现异常威胁,但却无法及时将防御动作作用于受攻击或受影响的目标,使得威胁攻击的不良后果没有及时得到制止,直接给国家重要单位和部门造成了巨大的经济损失和社会不良影响。
发明内容
本发明的目的在于提供一种网络侧流量监测和终端侧主机监测相结合的动态联动检测方法,通过构建恶意代码全局检测防御与动态联动的安全检测体系,实现网络侧与终端安全协同配合,并通过整合威胁情报及数据分析能力,对恶意代码传播、感染、出发、运行全生命周期进行有效追踪和检测。
本发明的目的及解决其技术问题是采用以下技术方案来实现的。依据本发明提出的一种恶意代码检测的方法,包括:
获取基于NIDS生成的恶意代码疑似事件输出的相关信息;其中,相关信息包括事件ID、时间、受害者MAC、受害者IP、受害者端口、攻击者IP、攻击者端口、协议类型、恶意代码名称、恶意代码样本md5、访问url;
NIDS根据预设规则将相关攻击事件信息下发至终端侧与进程端口号关联,以获取与进程相关的关键信息;其中,与进程相关的关键信息包括内存使用、网络连接、文件及注册表操作;
收集终端侧的恶意代码事件信息及相关样本文件,并将收集的恶意代码事件信息及相关样本文件发送至NIDS,供NIDS进行恶意代码事件判定;其中,NIDS利用多维数据融合分析和数据挖掘技术对恶意代码事件进行判定;
获取经NIDS判定确定后的恶意代码事件和相关处置指令,并将其发送至终端侧受害者主机上的终端探针,供终端探针执行相关处置动作;其中,相关处置动作包括对恶意代码威胁行为的阻断、隔离、清除。
进一步地,该恶意代码疑似事件,基于NIDS对接入互联网出入口原始网络流量,根据恶意代码特征库模式匹配或动态行为分析方法,确认、匹配并输出威胁事件及相关特征,通过与恶意代码知识库的对比对威胁事件进行分析生成。
进一步地,该相关信息通过NIDS以预置加密秘钥进行加密、压缩处理。
进一步地,将收集的恶意代码事件信息及相关样本文件发送至NIDS包括:
向NIDS发起文件发送请求;
获取NIDS根据该请求随机生成的一次性会话token;
根据一次性会话token生成用于请求终端侧恶意代码相关信息和样本文件的uri,并将其发送至NIDS,供NIDS根据一次性会话token及终端侧生成的uri,获取恶意代码相关信息和样本文件。
本发明的目的及解决其技术问题还采用以下技术方案来实现。依据本发明提出的一种恶意代码检测的装置,其布置于服务器,包括:
信息获取模块,用于获取基于NIDS生成的恶意代码疑似事件输出的相关信息;其中,相关信息包括事件ID、时间、受害者MAC、受害者IP、受害者端口、攻击者IP、攻击者端口、协议类型、恶意代码名称、恶意代码样本md5、访问url;
关联模块,用于将恶意代码疑似事件的相关信息与规则库进行匹配,并将预定义的规则下发至终端侧与进程端口号关联,以获取与进程相关的关键信息;其中,与进程相关的关键信息包括内存使用、网络连接、文件及注册表操作;
收集模块,用于收集终端侧的恶意代码事件信息及相关样本文件,并将收集的恶意代码事件信息及相关样本文件发送至NIDS,供NIDS进行恶意代码事件判定;其中,NIDS利用多维数据融合分析和数据挖掘技术对恶意代码事件进行判定;
指令获取模块,用于获取经NIDS判定确定后的恶意代码事件和相关处置指令,并将其发送至终端侧受害者主机上的终端探针,供终端探针执行相关处置动作;其中,相关处置动作包括对恶意代码威胁行为的阻断、隔离、清除。
本发明的目的及解决其技术问题还采用以下技术方案来实现。依据本发明提出的一种恶意代码检测的方法,包括:
基于接入互联网出入口原始网络流量的NIDS,根据恶意代码特征库模式匹配或动态行为分析方法,生成恶意代码疑似事件并输出相关信息;其中,相关信息包括事件ID、时间、受害者MAC、受害者IP、受害者端口、攻击者IP、攻击者端口、协议类型、恶意代码名称、恶意代码样本md5、访问url;
将相关信息加密、压缩后发送至服务器,供服务器将相关信息与规则库进行匹配,并将预定义的规则下发至终端侧与进程端口号关联,以获取与进程相关的关键信息;其中,与进程相关的关键信息包括内存使用、网络连接、文件及注册表操作;
获取服务器收集的终端侧的恶意代码事件信息及相关样本文件,并根据终端侧的恶意代码事件信息及相关样本文件,利用多维数据融合分析和数据挖掘技术对恶意代码事件进行判定;
将判定确定后的恶意代码事件和相关处置指令,经服务器发送至终端侧受害者主机上的终端探针,供终端探针执行相关处置动作;其中,相关处置动作包括对恶意代码威胁行为的阻断、隔离、清除。
本发明的目的及解决其技术问题还采用以下技术方案来实现。依据本发明提出的一种恶意代码检测的装置,其布置于网络侧,包括:
信息生成模块,用于基于接入互联网出入口原始网络流量的NIDS,根据恶意代码特征库模式匹配或动态行为分析方法,生成恶意代码疑似事件并输出相关信息;其中,相关信息包括事件ID、时间、受害者MAC、受害者IP、受害者端口、攻击者IP、攻击者端口、协议类型、恶意代码名称、恶意代码样本md5、访问url;
信息发送模块,用于将相关信息加密、压缩后发送至服务器,供服务器将相关信息与规则库进行匹配,并将预定义的规则下发至终端侧与进程端口号关联,以获取与进程相关的关键信息;其中,与进程相关的关键信息包括内存使用、网络连接、文件及注册表操作;
判定模块,用于获取服务器收集的终端侧的恶意代码事件信息及相关样本文件,并根据终端侧的恶意代码事件信息及相关样本文件,利用多维数据融合分析和数据挖掘技术对恶意代码事件进行判定;
指令发送模块,用于将判定确定后的恶意代码事件和相关处置指令,经服务器发送至终端侧受害者主机上的终端探针,供终端探针执行相关处置动作;其中,相关处置动作包括对恶意代码威胁行为的阻断、隔离、清除。
本发明的目的及解决其技术问题还采用以下技术方案来实现。依据本发明提出的一种恶意代码检测的方法,包括:
基于NIDS生成的恶意代码疑似事件的相关信息与服务器规则库的匹配,根据服务器预定义的规则,通过终端探针收集终端侧的恶意代码事件信息及相关样本文件;其中,终端侧与服务器的进程端口号关联;相关信息包括:事件ID、时间、受害者MAC、受害者IP、受害者端口、攻击者IP、攻击者端口、协议类型、恶意代码名称、恶意代码样本md5、访问url;
将收集的终端侧的恶意代码事件信息及相关样本文件通过服务器发送至NIDS,供NIDS进行恶意代码事件判定;其中,NIDS利用多维数据融合分析和数据挖掘技术对恶意代码事件进行判定;
根据服务器获取的经NIDS判定确定后的恶意代码事件和相关处置指令,通过终端探针执行相关处置动作;其中,相关处置动作包括对恶意代码威胁行为的阻断、隔离、清除。
本发明的目的及解决其技术问题还采用以下技术方案来实现。依据本发明提出的一种恶意代码检测的装置,其布置于终端侧,包括:终端探针,该终端探针具体用于:
基于NIDS生成的恶意代码疑似事件的相关信息与服务器规则库的匹配,根据服务器预定义的规则,收集终端侧的恶意代码事件信息及相关样本文件;其中,终端侧与服务器的进程端口号关联;相关信息包括:事件ID、时间、受害者MAC、受害者IP、受害者端口、攻击者IP、攻击者端口、协议类型、恶意代码名称、恶意代码样本md5、访问url;
将收集的终端侧的恶意代码事件信息及相关样本文件通过服务器发送至NIDS,供NIDS进行恶意代码事件判定;其中,NIDS利用多维数据融合分析和数据挖掘技术对恶意代码事件进行判定;
根据服务器获取的经NIDS判定确定后的恶意代码事件和相关处置指令,执行相关处置动作;其中,相关处置动作包括对恶意代码威胁行为的阻断、隔离、清除。
本发明的目的及解决其技术问题另外还采用以下技术方案来实现。依据本发明提出的一种恶意代码检测的系统,包括上述布置于服务器的装置、上述布置于网络侧的装置以及上述布置于终端侧的装置。
按照本发明的恶意代码检测的方法、装置及系统,可有效避免传统NIDS恶意代码检测过程中,由于缺少主机侧关键信息而导致的误判,同时弥补传统NIDS无法对检测出来的安全威胁进行快速处置的不足。
本发明在技术上有显著的进步,并具有明显的积极效果,诚为一新颖、进步、实用的新设计。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其他目的、特征和优点能够更明显易懂,以下特举较佳实施例,并配合附图,详细说明如下。
附图说明
图1是本发明一种恶意代码检测的方法一实施例的流程图;
图2是本发明一种恶意代码检测的装置一实施例的结构框图;
图3是本发明一种恶意代码检测的方法另一实施例的流程图;
图4是本发明一种恶意代码检测的装置另一实施例的结构框图;
图5是本发明一种恶意代码检测的方法又一实施例的流程图;
图6是本发明中网络侧与终端侧联动的示意图;
图7是利用本发明进行僵尸网络-conficker检测的流程图。
具体实施方式
为更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效,以下结合附图及较佳实施例,对依据本发明提出的一种恶意代码检测的方法、装置及系统其具体实施方式、方法、步骤、结构、特征及其功效,详细说明如后。
参图1所示,图1示出了本发明一种恶意代码检测的方法一实施例的流程图。
本实施例提供了一种恶意代码检测的方法,包括:
步骤S11,获取基于NIDS生成的恶意代码疑似事件输出的相关信息;其中,相关信息包括事件ID、时间、受害者MAC、受害者IP、受害者端口、攻击者IP、攻击者端口、协议类型、恶意代码名称、恶意代码样本md5、访问url;
步骤S12,将恶意代码疑似事件的相关信息与规则库进行匹配,并将预定义的规则下发至终端侧与进程端口号关联,以获取与进程相关的关键信息;其中,与进程相关的关键信息包括内存使用、网络连接、文件及注册表操作;
步骤S13,收集终端侧的恶意代码事件信息及相关样本文件,并将收集的恶意代码事件信息及相关样本文件发送至NIDS,供NIDS进行恶意代码事件判定;其中,NIDS利用多维数据融合分析和数据挖掘技术对恶意代码事件进行判定;
步骤S14,获取经NIDS判定确定后的恶意代码事件和相关处置指令,并将其发送至终端侧受害者主机上的终端探针,供终端探针执行相关处置动作;其中,相关处置动作包括对恶意代码威胁行为的阻断、隔离、清除。
在本实施例中,步骤S11中的恶意代码疑似事件,基于NIDS对接入互联网出入口原始网络流量,根据恶意代码特征库模式匹配或动态行为分析方法,确认、匹配并输出威胁事件及相关特征,通过与恶意代码知识库的对比对威胁事件进行分析生成。
在本实施例中,步骤S11中相关信息通过NIDS以预置加密秘钥进行加密、压缩处理。
在本实施例中,步骤S13中将收集的恶意代码事件信息及相关样本文件发送至NIDS包括:
向NIDS发起文件发送请求;
获取NIDS根据该请求随机生成的一次性会话token;
根据一次性会话token生成用于请求终端侧恶意代码相关信息和样本文件的uri,并将其发送至NIDS,供NIDS根据一次性会话token及终端侧生成的uri,获取恶意代码相关信息和样本文件。
参图2所示,图2示出了本发明一种恶意代码检测的装置一实施例的结构框图。
本实施例提供了一种恶意代码检测的装置,其布置于服务器,包括:
信息获取模块21,用于获取基于NIDS生成的恶意代码疑似事件输出的相关信息;其中,相关信息包括事件ID、时间、受害者MAC、受害者IP、受害者端口、攻击者IP、攻击者端口、协议类型、恶意代码名称、恶意代码样本md5、访问url;
关联模块22,用于将恶意代码疑似事件的相关信息与规则库进行匹配,并将预定义的规则下发至终端侧与进程端口号关联,以获取与进程相关的关键信息;其中,与进程相关的关键信息包括内存使用、网络连接、文件及注册表操作;
收集模块23,用于收集终端侧的恶意代码事件信息及相关样本文件,并将收集的恶意代码事件信息及相关样本文件发送至NIDS,供NIDS进行恶意代码事件判定;其中,NIDS利用多维数据融合分析和数据挖掘技术对恶意代码事件进行判定;
指令获取模块24,用于获取经NIDS判定确定后的恶意代码事件和相关处置指令,并将其发送至终端侧受害者主机上的终端探针,供终端探针执行相关处置动作;其中,相关处置动作包括对恶意代码威胁行为的阻断、隔离、清除。
信息获取模块获取到恶意代码事件的基本特征,发送至关联模块,执行匹配、规则下发动作,终端把命中规则的事件上传至收集模块,收集模块并将恶意代码事件上传给NIDS进行验证,指令获取模块将及时接收NIDS处理恶意代码事件的处理指令。
参图3所示,图3示出了本发明一种恶意代码检测的方法另一实施例的流程图。
本实施例提供了一种恶意代码检测的方法,包括:
步骤S31,基于接入互联网出入口原始网络流量的NIDS,根据恶意代码特征库模式匹配或动态行为分析方法,生成恶意代码疑似事件并输出相关信息;其中,相关信息包括事件ID、时间、受害者MAC、受害者IP、受害者端口、攻击者IP、攻击者端口、协议类型、恶意代码名称、恶意代码样本md5、访问url;
步骤S32,将相关信息加密、压缩后发送至服务器,供服务器将相关信息与规则库进行匹配,并将预定义的规则下发至终端侧与进程端口号关联,以获取与进程相关的关键信息;其中,与进程相关的关键信息包括内存使用、网络连接、文件及注册表操作;
步骤S33,获取服务器收集的终端侧的恶意代码事件信息及相关样本文件,并根据终端侧的恶意代码事件信息及相关样本文件,利用多维数据融合分析和数据挖掘技术对恶意代码事件进行判定;
步骤S34,将判定确定后的恶意代码事件和相关处置指令,经服务器发送至终端侧受害者主机上的终端探针,供终端探针执行相关处置动作;其中,相关处置动作包括对恶意代码威胁行为的阻断、隔离、清除。
参图4所示,图4示出了本发明一种恶意代码检测的装置另一实施例的结构框图。
本实施例提供了一种恶意代码检测的装置,其布置于网络侧,包括:
信息生成模块41,用于基于接入互联网出入口原始网络流量的NIDS,根据恶意代码特征库模式匹配或动态行为分析方法,生成恶意代码疑似事件并输出相关信息;其中,相关信息包括事件ID、时间、受害者MAC、受害者IP、受害者端口、攻击者IP、攻击者端口、协议类型、恶意代码名称、恶意代码样本md5、访问url;
信息发送模块42,用于将相关信息加密、压缩后发送至服务器,供服务器将相关信息与规则库进行匹配,并将预定义的规则下发至终端侧与进程端口号关联,以获取与进程相关的关键信息;其中,与进程相关的关键信息包括内存使用、网络连接、文件及注册表操作;
判定模块43,用于获取服务器收集的终端侧的恶意代码事件信息及相关样本文件,并根据终端侧的恶意代码事件信息及相关样本文件,利用多维数据融合分析和数据挖掘技术对恶意代码事件进行判定;
指令发送模块44,用于将判定确定后的恶意代码事件和相关处置指令,经服务器发送至终端侧受害者主机上的终端探针,供终端探针执行相关处置动作;其中,相关处置动作包括对恶意代码威胁行为的阻断、隔离、清除。
信息获取模块获取到恶意代码事件的基本特征,通过信息发送模块发送恶意代码事件至终端侧,进行恶意代码的特征匹配;根据终端侧返回的恶意代码事件利用多维度数据分析技术进一步判定,将确定威胁事件特征的处理命令,通过指令发送模块下发至终端探针侧,执行相关处置动作。
参图5所示,图5示出了本发明一种恶意代码检测的方法又一实施例的流程图。
本实施例提供了一种恶意代码检测的方法,包括:
步骤S51,基于NIDS生成的恶意代码疑似事件的相关信息与服务器规则库的匹配,根据服务器预定义的规则,通过终端探针收集终端侧的恶意代码事件信息及相关样本文件;其中,终端侧与服务器的进程端口号关联;相关信息包括:事件ID、时间、受害者MAC、受害者IP、受害者端口、攻击者IP、攻击者端口、协议类型、恶意代码名称、恶意代码样本md5、访问url;
步骤S52,将收集的终端侧的恶意代码事件信息及相关样本文件通过服务器发送至NIDS,供NIDS进行恶意代码事件判定;其中,NIDS利用多维数据融合分析和数据挖掘技术对恶意代码事件进行判定;
步骤S53,根据服务器获取的经NIDS判定确定后的恶意代码事件和相关处置指令,通过终端探针执行相关处置动作;其中,相关处置动作包括对恶意代码威胁行为的阻断、隔离、清除。
基于上述方法中的步骤S51至步骤S53,本实施例还提供了一种恶意代码检测的装置,其布置于终端侧,包括:终端探针,该终端探针具体用于:
基于NIDS生成的恶意代码疑似事件的相关信息与服务器规则库的匹配,根据服务器预定义的规则,收集终端侧的恶意代码事件信息及相关样本文件;其中,终端侧与服务器的进程端口号关联;相关信息包括:事件ID、时间、受害者MAC、受害者IP、受害者端口、攻击者IP、攻击者端口、协议类型、恶意代码名称、恶意代码样本md5、访问url;
将收集的终端侧的恶意代码事件信息及相关样本文件通过服务器发送至NIDS,供NIDS进行恶意代码事件判定;其中,NIDS利用多维数据融合分析和数据挖掘技术对恶意代码事件进行判定;
根据服务器获取的经NIDS判定确定后的恶意代码事件和相关处置指令,执行相关处置动作;其中,相关处置动作包括对恶意代码威胁行为的阻断、隔离、清除。
本实施例还提供了一种恶意代码检测的系统,包括上述布置于服务器的装置、上述布置于网络侧的装置以及上述布置于终端侧的装置。
参图6所示,图6示出了本发明中网络侧与终端侧联动的示意图。需要说明的是本实施例图6中所示的各业务模块仅为对其功能的虚拟物化,并非是对具体结构的限定。
本发明通过流量监测与终端检测相结合实现了对恶意代码的检测,其业务模块联动的过程包括如下步骤:
1)NIDS接入互联网出入口原始网络流量,根据恶意代码特征库模式匹配或动态行为分析方法,对恶意代码感染、传播和运行事件进行初步捕获,输出事件相关的事件ID、时间、受害者MAC、受害者IP、受害者端口、攻击者IP、攻击者端口、协议类型、恶意代码名称、恶意代码样本md5、访问url等信息。
2)NIDS将步骤1)生成的恶意代码疑似事件相关信息,以预置加密秘钥进行加密、压缩后,发送至本地终端数据分析平台(服务器)。
3)终端数据分析平台接收到NIDS发送的疑似事件后,解密、解压缩后,通过事件IP、MAC、端口号、时间戳、字节序、内容等特征并与终端(探针)侧系统、应用软件进程端口号、时间戳等的关联,快速定位与该事件相关的进程和文件,从而获取该进程相关的内存使用、网络连接、文件和注册表操作等关键信息,用以支持进一步事件判定和后续行为分析。
4)终端数据分析平台完成终端探针侧恶意代码事件信息以及相关样本收集工作后,向NIDS发起文件发送请求,NIDS根据请求随机生成一次性会话token,考虑到安全性,token被加密后发送至终端数据分析平台。
5)终端数据分析平台根据收到的token,生成用于请求主机侧恶意代码相关信息和样文件本的uri等信息,并将其发送至NIDS。
6)NIDS根据token以及主机侧生成的uri,通过REST API接口获取恶意代码相关信息和样本文件。结合终端探针回传的恶意代码相关信息,利用多维数据融合分析和数据挖掘技术,对恶意代码事件进行判定。
7)NIDS将通过判定确认后的恶意代码事件和相关处置指令,并通过终端数据分析平台发送给受害者主机上的终端安全探针,由其根据下发的指令执行对恶意代码威胁行为的阻断、隔离、清除等动作。
本发明基于网络和终端进行的多维度信息整合和数据挖掘,一方面结合对流量源头的终端检测可弥补“隐蔽”流量在网络设备端监测的不足,另一方面也可实现攻击路径的可视化呈现,多元素采样也可描绘“攻击者画像”,方便威胁溯源和安全风险预防。
参图7所示,图7示出了利用本发明进行僵尸网络-conficker检测的流程图。
本实施例以NIDS发现僵尸网络-conficker为例,说明流量监测与终端检测相结合联动过程,具体步骤如下:
1)NIDS对接入互联网出入口原始网络流量,根据恶意代码特征库模式匹配或动态行为分析方法,确认、匹配并输出威胁事件及相关特征,通过恶意代码知识库的比对对威胁事件分析并生成疑似事件,如僵尸网络-conficker,NIDS根据zip压缩及AES加密等相关技术对此病毒事件特征等进行压缩、加密。
2)终端数据分析平台对NIDS接收到僵尸网络-conficker病毒事件的文件进行解压、解密,并取病毒事件的ip、端口、访问url等相关信息与终端数据分析平台的规则库进行匹配,且终端数据分析平台规则下发至终端探针侧与进程端口号进行关联。
3)终端探针侧根据获取到终端数据分析平台的相关规则后,准确分析僵尸网络-conficke病毒威胁行为,并通过用户态与内核态交互的相关技术对进程实现定位分析。
4)终端探针侧检测到包含有僵尸网络-conficke病毒威胁行为信息,及时把此病毒威胁行为和应用进程的相关信息(如进程pid哈希值等)采集后发送至终端数据分析平台。
5)终端数据分析平台会根据探针发送的相关数据,通知NIDS监测平台通过RESTAPI接口进行病毒事件特征的获取。
6)NIDS平台会根据多维数据融合分析和数据挖掘技术对僵尸网络-conficke病毒特征进一步的分析,若此病毒经判定分析确认后,NIDS平台可发送相关指令(阻断、清除、隔离等),并通过终端数据分析平台下发至发现僵尸网络-conficker病毒的探针侧,执行相关动作(阻断、隔离、清除等)。
本发明提出了流量监测与终端监测协同联动的恶意代码检测方法,NIDS负责从网络侧进行网络流量捕获、流量分析和恶意代码识别;终端安全探针负责在主机侧收集与恶意代码相关的进程、文件、网络等一系列微观信息,辅助NIDS进行恶意代码事件判定和后续恶意行为分析,同时可在主机侧(终端侧)根据下发的策略执行对恶意代码威胁行为的阻断、隔离、清除等动作。该方法有效避免了传统NIDS恶意代码检测过程中,由于缺少主机侧关键信息而导致的误判,同时弥补了传统NIDS无法对检测出来的安全威胁进行快速处置的不足。
以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制,虽然本发明已以较佳实施例揭露如上,然而并非用以限定本发明,任何熟悉本专业的技术人员,在不脱离本发明技术方案范围内,当可利用上述揭示的技术内容作出些许更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属于本发明技术方案的范围内。

Claims (10)

1.一种恶意代码检测的方法,其特征在于,包括:
获取NIDS基于规则匹配生成的包括恶意代码疑似事件的相关攻击事件信息;其中,所述相关攻击事件信息包括事件ID、时间、受害者MAC、受害者IP、受害者端口、攻击者IP、攻击者端口、协议类型、恶意代码名称、恶意代码样本md5、访问url;
根据NIDS预设规则将所述相关攻击事件信息下发至终端侧与进程端口号关联,以获取与进程相关的关键信息;其中,所述与进程相关的关键信息包括内存使用、网络连接、文件及注册表操作;
收集终端侧的恶意代码事件信息及相关样本文件,并将收集的恶意代码事件信息及相关样本文件发送至NIDS,供NIDS进行恶意代码事件判定;其中,所述相关样本文件包括所述与进程相关的关键信息,NIDS根据所述恶意代码事件信息及相关样本文件、并利用多维数据融合分析和数据挖掘技术对恶意代码事件进行判定;
获取经NIDS判定确定后的恶意代码事件和相关处置指令,并将其发送至终端侧受害者主机上的终端探针,供终端探针执行相关处置动作;其中,所述相关处置动作包括对恶意代码威胁行为的阻断、隔离、清除。
2.根据权利要求1所述的一种恶意代码检测的方法,其特征在于,所述恶意代码疑似事件,基于NIDS对接入互联网出入口原始网络流量,根据恶意代码特征库模式匹配或动态行为分析方法,确认、匹配并输出威胁事件及相关特征,通过与恶意代码知识库的对比对威胁事件进行分析生成。
3.根据权利要求2所述的一种恶意代码检测的方法,其特征在于,所述威胁事件通过NIDS以预置加密秘钥进行加密、压缩处理。
4.根据权利要求1所述的一种恶意代码检测的方法,其特征在于,所述将收集的恶意代码事件信息及相关样本文件发送至NIDS包括:
向NIDS发起文件发送请求;
获取NIDS根据所述请求随机生成的一次性会话token;
根据所述一次性会话token生成用于请求终端侧所述恶意代码事件信息和所述相关样本文件的uri,并将其发送至NIDS,供NIDS根据所述一次性会话token及终端侧生成的uri,获取所述恶意代码事件信息和所述相关样本文件。
5.一种恶意代码检测的装置,布置于服务器,其特征在于,包括:
信息获取模块,用于获取NIDS基于规则匹配生成的包括恶意代码疑似事件的相关攻击事件信息;其中,所述相关攻击事件信息包括事件ID、时间、受害者MAC、受害者IP、受害者端口、攻击者IP、攻击者端口、协议类型、恶意代码名称、恶意代码样本md5、访问url;
关联模块,用于根据NIDS预设规则将所述相关攻击事件信息下发至终端侧与进程端口号关联,以获取与进程相关的关键信息;其中,所述与进程相关的关键信息包括内存使用、网络连接、文件及注册表操作;
收集模块,用于收集终端侧的恶意代码事件信息及相关样本文件,并将收集的恶意代码事件信息及相关样本文件发送至NIDS,供NIDS进行恶意代码事件判定;其中,所述相关样本文件包括所述与进程相关的关键信息,NIDS根据所述恶意代码事件信息及相关样本文件、并利用多维数据融合分析和数据挖掘技术对恶意代码事件进行判定;
指令获取模块,用于获取经NIDS判定确定后的恶意代码事件和相关处置指令,并将其发送至终端侧受害者主机上的终端探针,供终端探针执行相关处置动作;其中,所述相关处置动作包括对恶意代码威胁行为的阻断、隔离、清除。
6.一种恶意代码检测的方法,其特征在于,包括:
基于接入互联网出入口原始网络流量的NIDS,根据恶意代码特征库模式匹配或动态行为分析方法,生成恶意代码疑似事件并输出相关攻击事件信息;其中,所述相关攻击事件信息包括事件ID、时间、受害者MAC、受害者IP、受害者端口、攻击者IP、攻击者端口、协议类型、恶意代码名称、恶意代码样本md5、访问url;
将所述相关攻击事件信息加密、压缩后发送至服务器,供服务器根据NIDS预设规则将所述相关攻击事件信息下发至终端侧与进程端口号关联,以获取与进程相关的关键信息;其中,所述与进程相关的关键信息包括内存使用、网络连接、文件及注册表操作;
获取服务器收集的终端侧的恶意代码事件信息及相关样本文件,并根据终端侧的恶意代码事件信息及相关样本文件,利用多维数据融合分析和数据挖掘技术对恶意代码事件进行判定;其中,所述相关样本文件包括所述与进程相关的关键信息;
将判定确定后的恶意代码事件和相关处置指令,经服务器发送至终端侧受害者主机上的终端探针,供终端探针执行相关处置动作;其中,所述相关处置动作包括对恶意代码威胁行为的阻断、隔离、清除。
7.一种恶意代码检测的装置,布置于网络侧,其特征在于,包括:
信息生成模块,用于基于接入互联网出入口原始网络流量的NIDS,根据恶意代码特征库模式匹配或动态行为分析方法,生成恶意代码疑似事件并输出相关攻击事件信息;其中,所述相关攻击事件信息包括事件ID、时间、受害者MAC、受害者IP、受害者端口、攻击者IP、攻击者端口、协议类型、恶意代码名称、恶意代码样本md5、访问url;
信息发送模块,用于将所述相关攻击事件信息加密、压缩后发送至服务器,供服务器根据NIDS预设规则将所述相关攻击事件信息下发至终端侧与进程端口号关联,以获取与进程相关的关键信息;其中,所述与进程相关的关键信息包括内存使用、网络连接、文件及注册表操作;
判定模块,用于获取服务器收集的终端侧的恶意代码事件信息及相关样本文件,并根据终端侧的恶意代码事件信息及相关样本文件,利用多维数据融合分析和数据挖掘技术对恶意代码事件进行判定;其中,所述相关样本文件包括所述与进程相关的关键信息;
指令发送模块,用于将判定确定后的恶意代码事件和相关处置指令,经服务器发送至终端侧受害者主机上的终端探针,供终端探针执行相关处置动作;其中,所述相关处置动作包括对恶意代码威胁行为的阻断、隔离、清除。
8.一种恶意代码检测的方法,其特征在于,包括:
终端侧的终端探针获取NIDS根据预设规则通过服务器下发的相关攻击事件信息,并收集终端侧的恶意代码事件信息及相关样本文件;其中,所述终端侧与服务器的进程端口号关联;所述相关攻击事件信息包括:事件ID、时间、受害者MAC、受害者IP、受害者端口、攻击者IP、攻击者端口、协议类型、恶意代码名称、恶意代码样本md5、访问url;
将收集的终端侧的恶意代码事件信息及相关样本文件通过服务器发送至NIDS,供NIDS进行恶意代码事件判定;其中,NIDS根据所述恶意代码事件信息及相关样本文件、并利用多维数据融合分析和数据挖掘技术对恶意代码事件进行判定;
根据服务器获取的经NIDS判定确定后的恶意代码事件和相关处置指令,通过终端探针执行相关处置动作;其中,所述相关处置动作包括对恶意代码威胁行为的阻断、隔离、清除。
9.一种恶意代码检测的装置,布置于终端侧,其特征在于,包括:终端探针,所述终端探针具体用于:
获取NIDS根据预设规则通过服务器下发的相关攻击事件信息,并收集终端侧的恶意代码事件信息及相关样本文件;其中,所述终端侧与服务器的进程端口号关联;所述相关攻击事件信息包括:事件ID、时间、受害者MAC、受害者IP、受害者端口、攻击者IP、攻击者端口、协议类型、恶意代码名称、恶意代码样本md5、访问url;
将收集的终端侧的恶意代码事件信息及相关样本文件通过服务器发送至NIDS,供NIDS进行恶意代码事件判定;其中,NIDS根据所述恶意代码事件信息及相关样本文件、并利用多维数据融合分析和数据挖掘技术对恶意代码事件进行判定;
根据服务器获取的经NIDS判定确定后的恶意代码事件和相关处置指令,执行相关处置动作;其中,所述相关处置动作包括对恶意代码威胁行为的阻断、隔离、清除。
10.一种恶意代码检测的系统,其特征在于,包括权利要求5所述的布置于服务器的装置、权利要求7所述的布置于网络侧的装置以及权利要求9所述的布置于终端侧的装置。
CN201710087408.0A 2017-02-17 2017-02-17 一种恶意代码检测的方法、装置及系统 Expired - Fee Related CN106909847B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710087408.0A CN106909847B (zh) 2017-02-17 2017-02-17 一种恶意代码检测的方法、装置及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710087408.0A CN106909847B (zh) 2017-02-17 2017-02-17 一种恶意代码检测的方法、装置及系统

Publications (2)

Publication Number Publication Date
CN106909847A CN106909847A (zh) 2017-06-30
CN106909847B true CN106909847B (zh) 2020-10-16

Family

ID=59207606

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710087408.0A Expired - Fee Related CN106909847B (zh) 2017-02-17 2017-02-17 一种恶意代码检测的方法、装置及系统

Country Status (1)

Country Link
CN (1) CN106909847B (zh)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107688743B (zh) * 2017-08-14 2021-01-29 北京奇虎科技有限公司 一种恶意程序的检测分析方法及系统
CN107612905A (zh) * 2017-09-15 2018-01-19 广西电网有限责任公司电力科学研究院 面向设备监测分布式系统主站的恶意代码监控方法
CN107483502A (zh) * 2017-09-28 2017-12-15 深信服科技股份有限公司 一种检测残余攻击的方法及装置
KR102461707B1 (ko) * 2017-12-07 2022-11-02 삼성전자주식회사 서버 및 이를 이용한 악성 코드 방어 방법
CN108073808B (zh) * 2017-12-21 2021-10-15 安天科技集团股份有限公司 基于pdb调试信息生成攻击者画像的方法及系统
CN108200053B (zh) * 2017-12-30 2021-05-14 成都亚信网络安全产业技术研究院有限公司 记录apt攻击操作的方法及装置
CN108460278B (zh) * 2018-02-13 2020-07-14 奇安信科技集团股份有限公司 一种威胁情报处理方法及装置
US10631168B2 (en) 2018-03-28 2020-04-21 International Business Machines Corporation Advanced persistent threat (APT) detection in a mobile device
CN108959071B (zh) * 2018-06-14 2021-09-24 湖南鼎源蓝剑信息科技有限公司 一种基于RASP的PHP变形webshell的检测方法及系统
CN108900508B (zh) * 2018-06-29 2021-09-14 亚信科技(成都)有限公司 高级威胁检测方法及智能探针装置和高级威胁检测系统
CN109711166B (zh) * 2018-12-17 2020-12-11 北京知道创宇信息技术股份有限公司 漏洞检测方法及装置
CN110417768B (zh) * 2019-07-24 2021-10-08 绿盟科技集团股份有限公司 一种僵尸网络的跟踪方法及装置
CN111030981B (zh) * 2019-08-13 2023-04-28 北京安天网络安全技术有限公司 一种阻断恶意文件持续攻击的方法、系统及存储设备
CN111327632B (zh) * 2020-03-06 2022-08-09 深信服科技股份有限公司 一种僵尸主机检测方法、系统、设备及存储介质
TWI785374B (zh) * 2020-09-01 2022-12-01 威聯通科技股份有限公司 網路惡意行為偵測方法與利用其之交換系統
CN112202764B (zh) * 2020-09-28 2023-05-19 中远海运科技股份有限公司 网络攻击链路可视化系统、方法和服务器
CN112468515A (zh) * 2020-12-15 2021-03-09 北京京航计算通讯研究所 基于多源信息分析的网络攻击监测方法
CN114003903B (zh) * 2021-12-28 2022-03-08 北京微步在线科技有限公司 一种网络攻击追踪溯源方法及装置
CN114003914A (zh) * 2021-12-30 2022-02-01 北京微步在线科技有限公司 一种文件的安全性检测方法、装置、电子设备及存储介质
CN114826670B (zh) * 2022-03-23 2024-03-29 国家计算机网络与信息安全管理中心 一种分析网络流量检测大规模恶意代码传播的方法
CN114780810B (zh) * 2022-04-22 2024-02-27 中国电信股份有限公司 数据处理方法、装置、存储介质及电子设备
CN115442109A (zh) * 2022-08-31 2022-12-06 北京天融信网络安全技术有限公司 网络攻击结果的确定方法、装置、设备及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101039179A (zh) * 2007-04-13 2007-09-19 北京启明星辰信息技术有限公司 一种入侵检测精确报警方法和系统
CN102761458A (zh) * 2011-12-20 2012-10-31 北京安天电子设备有限公司 一种反弹式木马的检测方法和系统
CN104038466A (zh) * 2013-03-05 2014-09-10 中国银联股份有限公司 用于云计算环境的入侵检测系统、方法及设备

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9773110B2 (en) * 2014-09-26 2017-09-26 Intel Corporation Cluster anomaly detection using function interposition

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101039179A (zh) * 2007-04-13 2007-09-19 北京启明星辰信息技术有限公司 一种入侵检测精确报警方法和系统
CN102761458A (zh) * 2011-12-20 2012-10-31 北京安天电子设备有限公司 一种反弹式木马的检测方法和系统
CN104038466A (zh) * 2013-03-05 2014-09-10 中国银联股份有限公司 用于云计算环境的入侵检测系统、方法及设备

Also Published As

Publication number Publication date
CN106909847A (zh) 2017-06-30

Similar Documents

Publication Publication Date Title
CN106909847B (zh) 一种恶意代码检测的方法、装置及系统
JP6001689B2 (ja) ログ分析装置、情報処理方法及びプログラム
JP5844938B2 (ja) ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム
CN105471912B (zh) 监控网络的安全防御方法和系统
CN104135474B (zh) 基于主机出入度的网络异常行为检测方法
CN110392013A (zh) 一种基于网络流量分类的恶意软件识别方法、系统及电子设备
CN106982188B (zh) 恶意传播源的检测方法及装置
CN110460611B (zh) 基于机器学习的全流量攻击检测技术
CN103746992A (zh) 基于逆向的入侵检测系统及其方法
CN111464526A (zh) 一种网络入侵检测方法、装置、设备及可读存储介质
Yamada et al. RAT-based malicious activities detection on enterprise internal networks
CN112217777A (zh) 攻击回溯方法及设备
CN110750788A (zh) 一种基于高交互蜜罐技术的病毒文件检测方法
CN112491883A (zh) 一种检测web攻击的方法、装置、电子装置和存储介质
CN106911665B (zh) 一种识别恶意代码弱口令入侵行为的方法及系统
CN113965418B (zh) 一种攻击成功判定方法及装置
CN114039774B (zh) 一种恶意pe程序的阻断方法、检测方法及装置
CN111182002A (zh) 基于http首个问答包聚类分析的僵尸网络检测装置
CN110636076A (zh) 一种主机攻击检测方法及系统
CN107517226B (zh) 基于无线网络入侵的报警方法及装置
Mogaji et al. Analysis of Digital Forensics in the Implementation of Intrusion Detection using Snort
CN113518067A (zh) 一种基于原始报文的安全分析方法
US9049170B2 (en) Building filter through utilization of automated generation of regular expression
Subhan et al. Unveiling Attack Patterns: A Study of Adversary Behavior from Honeypot Data
CN112541179A (zh) 一种Android应用数字证书校验漏洞检测系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20201016

Termination date: 20220217