CN106992955A - Apt防火墙 - Google Patents

Abstract

本发明涉及一种信息安全领域，具体地说，本发明涉及一种APT防火墙系统；该系统内部集成了外网接口模块101、异常流量检测模块102、内网接口模块103、异常关联模块104、追溯评估模块105、以及主机程序监测模块106，用于实时检测内外网流量，以及实时监测程序进程，并进一步分解和识别出含有APT威胁的异常流量和异常行为，进而定位APT威胁级别，截断APT通信，并清理掉APT木马程序，消除威胁攻击和安全隐患。

Description

APT 防火墙

技术领域

本发明专利涉及一种信息安全领域，具体地说，本发明涉及一种APT防火墙系统。

背景技术

APT，是英文Advanced Persistent Threat的缩写，即高级持续性威胁。

APT攻击是利用各种攻击手段，针对某个特定目标发起的持续性的攻击。APT攻击的目的性十分明确，APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意间谍威胁”。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据。

APT攻击一般流程为：首先，攻击者通过各种途径收集用户相关信息，包括从外部扫描了解信息以及从内部利用社会工程学了解相关用户信息；其次，攻击者通过包括漏洞攻击、Web攻击等各种攻击手段入侵目标系统，采用低频度的攻击模式避免目标发现以及防御；再者，攻击者通过突破内部某一台服务器或终端电脑渗透进内部网络，进而对目标全网造成危害；最后，攻击者逐步了解全网结构及获取更高权限后锁定目标资产，进而开始对数据进行窃取或者造成其他重大侵害。

传统的防火墙对此无能为力，对APT攻击没有合适的解决方法，因此，针对APT攻击的防火墙系统是十分必要的。

发明内容

本发明实施的目的在于提供了一种APT防火墙系统；该系统内部集成了外网接口模块101、异常流量检测模块102、内网接口模块103、异常关联模块104、追溯评估模块105、以及主机程序监测模块106，用于实时检测内外网流量，用于实时监测主机程序进程，并进一步分解和识别出含有APT威胁的异常流量和异常行为，进而定位APT威胁级别，截断APT通信，并清理掉APT木马程序，消除威胁攻击和安全隐患。

本发明实施例是这样实现的，一种APT防火墙系统，所述系统包括用于和内外网进行通信的内网接口模块和外网接口模块，与所述接口模块连接的异常流量检测模块，与所述异常流量检测模块相连接的异常关联模块，与所述异常关联模块连接的追溯评估模块、主机程序监测模块；

所述外网接口模块，用于接入外部网络，接收来自于外网的通信数据和向外网发送通信数据；

所述内网接口模块，用于和内网主机的通信，或者用于主机通信数据的缓冲和处理；

所述异常流量检测模块，用于检测通过本系统的异常流量是否存在，即木马程序是否混淆于正常的通信流量中进行隐藏通信；

所述主机程序监测模块，是驻留于主机内部的实时监测程序，主要检测主机内部的活跃程序是否是疑似木马程序，这里的主机是指终端或者工作站，根据使用情况，主机程序监测模块可能和其它模块共同运行在同一主机内，也可能不在同一主机内；

所述异常关联模块，将所述异常流量检测模块检测出的异常流量和所述主机程序监测模块检测出的疑似木马程序进行过滤、关联、分析，并统计分析结果；

所述追溯评估模块，把所述异常关联模块的分析结果作为事件对象进行判断，给出事件的威胁级别，据此做出相关动作。

本发明实施例的另一目的在于提供一种基于上述APT防火墙系统的APT检测方法，所述方法包括以下步骤：

在步骤S301中，实时检测来自于内网接口模块和外网接口模块的流量数据，找出疑似APT木马程序和远程控制服务器进行通信时所产生的异常流量；

在步骤S302中，实时检测主机内的程序和进程，通过差异化的行为分析捕获疑似APT木马程序；

在步骤S303中，将主机检测到的疑似APT木马程序和异常流量进行关联，形成统计分析结果；

在步骤S304中，将统计分析结果作为威胁事件进行分析，并进行评估判断，定位事件的威胁等级，从而确认是否为APT攻击。

本发明的关键点在于：

将流量检测和程序行为检测有机地结合起来，根据两者的相关属性进行验证和判断，可以有效发现APT安全威胁，这和传统的单纯依赖特征码检测方法相比较，发现未知APT威胁的概率更高；另外，APT威胁的特点是持续性比较长，因此研究APT威胁和时间的关系是发现APT威胁的非常有用的办法，本发明重点放在了单位时间和单位时段发生疑似APT威胁事件的规律，即时间特征，通过变化单位时间和单位时段来捕获APT威胁事件。

附图说明

下面结合附图和具体的实施例对本发明做进一步详细的说明。

图1是本发明实施例提供的APT防火墙系统的结构图。

图2是本发明实施例提供的APT检测方法的流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

图1示出了本发明实施例提供的APT防火墙系统的结构图。

在其中一个实例中，对于只有路由器的家庭网络或小型办公室网络，本发明只能部署在工作站中，如PC机、移动终端，因为这种网络的路由器只具有路由功能和包过滤功能，在这种网络条件下，所述主机程序监测模块是和其它模块在同一个系统中，所述主机程序监测模块作为驻留程序存在，而其它模块作为另外一个程序存在，两者共用同一个主机系统的资源，模块之间的通信通过主机的共享资源实现。

在另外一个实例中，对于存在堡垒主机的网络，堡垒主机位于外网路由器和内网网络之间，堡垒主机是内网通向外网的必由之路，在这种网络情况下，本发明的模块是分开部署的，所述主机程序监测模块仍然以独立的程序被安装到内网工作站中，而其它的模块作为防火墙系统被部署到堡垒主机中，形成了一个内网安全系统，防火墙系统部分和工作站主机通过网络协议进行通信，所述主机程序监测模块负责主机程序行为监测，防火墙系统负责异常流量检测、异常关联分析、评估判断等。

图2示出了本发明实施例提供的APT检测方法的流程图。

在步骤S301中，实时检测来自于内网接口模块和外网接口模块的流量数据，找出疑似APT木马程序和远程控制服务器进行通信时所产生的异常流量。

在具体的实施过程中，所述异常流量检测模块，通过检测来自于内网接口模块和外网接口模块的流量数据，检测出可疑的异常流量，比如先利用以太网协议类型过滤出IP流量，依据TCP/IP协议过滤出IP流量，进而过滤出TCP流量和UDP流量。

可选择地从TCP流量分离出IRC流量，使用数据包的大小过滤出IRC有用流量，对服务器的流量数据做预处理，通过分析数据包的内容，提取到IRC协议的关键字、源端口、目的端口，从而找到远程控制服务器。

可选择地从TCP流量分离出P2P流量，将P2P正常流量和异常流量分离，从异常流量中找到远程控制服务器；

进一步地通过ICMP比例值、SMTP比例值、UDP比例值来判定P2P流是否存在ICMP流异常、SMTP流异常、UDP流异常，这些使得它们在P2P异常检测中充当相同的角色：UDP流异常是僵尸网络的交换过程导致的，这是僵尸网络本质的流量异常；ICMP流异常是僵尸主机固有的引导过程导致的，这也是僵尸网络的本质流量异常；SMTP流异常是攻击者利用僵尸网络发送大量垃圾邮件导致的，这是僵尸网络的攻击流导致的异常；不同种类的攻击流在检测P2P网络异常时处于不同的角色；

进一步地通过主机端口连接建立速率阈值来判断P2P流是否存在流异常，因为大部分P2P僵尸程序会在初始化时短时间内连接很多对等结点，如果这些连接建立成功，可以在主机端口检测某段时间的主机间连接建立情况来发现P2P流异常；

进一步地通过下载带宽或上载带宽来判断P2P流是否存在流异常，因为大部分 P2P 僵尸程序连接对等控制端后，会进行一些固有的行为，例如下载最新的僵尸程序更新，可以通过计算上载或下载带宽来进行检测；

进一步地通过包大小来判断P2P流是否存在流异常，因为网络内感染同一 P2P 僵尸网络的若干主机表现的行为相似，这些僵尸程序都是自动运行，不受使用者控制，无论这些主机之间通信，还是它们与外网远程控制服务器通信，这些主机产生了大量大小相似的通信包。

可选择地从TCP流量分离出HTTP流量，从HTTP流量中分离出HTTP 会话首次请求和响应包、头域中首行信息、首次请求和响应包头部包含的敏感字符串、以及周期性的会话请求，这三个方面内容可以综合判断HTTP会话的源主机是否为APT木马所在的主机，这三个方面中每个方面的判断值乘上对应的权重得到最终判定值，超过预定阀值则认为该会话的源主机是APT木马所在的主机。

可选择地从TCP流量分离出DNS流量，从DNS通信中找到DNS服务器，并比对DNS服务器是否为无问题的DNS服务器，如果不是，标识为疑似APT流量，进一步地比对DNS服务器是否为动态服务器，如果是，标识该流量为APT流量；

进一步地通过域名TTL设定值来判定APT是否采用了异常的DNS通信，因为某些APT远程控制服务器为了多级DNS解析快速更替，将TTL特征值设置的非常短，甚至设置为零以便不缓存DNS；它的域名对IP的记录转换太快了，导致每个域名纪录的存活时间TTL被迫设计的很短，而绝大多数的正常服务并不会有如此快速的域名对应IP的记录转换，这是截然不同的特征；

进一步地通过域名字符长度特征值来判定APT是否采用了异常的DNS通信，因为合法的域名通常不会很长，便于记忆，而异常的域名是由特定的随机算法组成，以便保证一定的生成空间，避免与已经注册的合法域名产生冲突；

进一步地通过域名字符串的混杂特征值来判定APT是否采用了异常的DNS通信，因为恶意域名是随机生成的，容易出现字母和数字的混杂情况，即数字字符分散出现在字母字符之间，而合法域名即使同时包括字母和数字字符，也会比较规整，数字和字母通常分开排列；

进一步地通过域名解析次数的特征值来判定APT是否采用了异常的DNS通信，因为APT木马通常处于潜伏状态，只在某些时刻接到指令才会集中协调行动，所以通过单位时间间隔域名被解析次数，以及DNS通信流量的时间平均值，来评估DNS流量是否为异常流量，从而判定疑似APT。

在步骤S302中，实时检测主机内的程序和进程，通过差异化的行为分析捕获疑似APT木马程序。

所谓行为分析，就是针对木马行为或者正常软件行为制定一定规则，根据某个程序符合木马程序规则或者符合合法程序规则，即可判断其为木马程序或者正常程序。与传统的基于特征代码的木马检测技术不同，行为分析技术监控并比较应用程序运行时的各种动态行为，和静态启发式扫描技术不同，行为分析技术也叫做动态分析技术。行为分析技术挑选病毒和木马程序常用而正常程序不用的方法作为非法程序的行为特征，可有效的发现未知木马，基于行为分析的木马检测是检测未知木马的有效途径，对木马的植入、运行、通信等各环节多维度进行周密监测和控制，同时结合异常流量的关联分析，实际效果非常好。

在具体的实施过程中，所述主机程序监测模块，实时检测主机内的程序和进程，通过差异化比较找到异常行为的疑似APT木马程序，对疑似木马程序的行为分析可选择以下一种或多种方法实施：

可以通过对进程树的监控分析，看疑似程序是否衍生出的进程，并做出了特殊的操作；

也可以，监测疑似程序是否创建出来新的文件，并且这些文件的属性都是隐藏的；

也可以，监测疑似木马程序的进程创建，以及进程是否为进程注入，来判断疑似木马进程；

也可以，检测疑似木马程序是否打开了不常用的端口进行远程通信，统计端口的使用次数；

也可以，检测疑似木马程序是否主动连接局域网中其他机器，并向外发包；

也可以，解析疑似木马程序作远程通信时连接地址的域名，将该域名的实际IP地址的访问次数进行统计；

也可以，计算疑似木马程序的远程通信时间是否存在规律，数据报文的内容是否相同。

在具体的实施过程中，首先采集系统中进程创建信息，通过比较创建状态的进程列表和进行中的进程列表，找到可疑进程的列表；进一步地，通过比较新创建的进程和已有进程是否为同一进程，来判断正常进程是否被远程注入，进而找出疑似木马进程。

在具体的实施过程中，为了降低检测的误检率，可以同时采取上述方法的一种或几种来检测行为异常的程序。

在步骤S303中，将主机检测到的疑似APT木马程序和异常流量进行关联，形成统计分析结果。

在具体的实施过程中，所述异常关联模块，将主机终端检测到的疑似APT木马程序和本系统的异常流量进行关联，通过流量的目的IP、源IP、端口，将异常流量和疑似木马程序进行归类分档，得出威胁事件的统计结果，如按照目的IP的分类方法，将所有发往同一目的IP地址的流量、程序放到一个集合中，可能存在一个IP对应多个主机程序，也可能存在一个主机程序对应多个IP的情况。

在归类完成后，进行统计分析，如对同一IP的主机程序数量、发送的时间间隔，按照升序序列将统计结果进行排列。

在具体的分析过程中，任何已知的病毒木马将会被清除，与此相关的异常流量也将被剔除，不进入下一步的处理过程，这样剩下的只包含未知漏洞攻击的木马程序、变种的后门程序和正常的通信程序。

在具体的统计过程中，如果流量超过界定阈值，比如每秒10Mb，将丢弃该输入，如果存在一对多或多对多，将该输入保留，并且排序的权重增加；

在具体的统计过程中，可以按照一定的时间间隔或者时间单位加以处理，如每小时统计1次、每天统计1次或者每个月统计1次，依据具体的安全环境进行调整。

经过规则处理后，将统计的最终结果按照事件交给下一个模块进行处理。

在步骤S304中，将统计分析结果作为威胁事件进行分析，并进行评估判断，定位事件的威胁等级，从而确认是否为APT攻击。

在具体的实施过程中，所述追溯评估模块将异常关联模块的统计分析结果作为事件对象进行分析，并进行评估判断，所述追溯评估模块对疑似木马程序的流量通信记录和行为记录，进行比较，并存储相关记录；追溯的目的在于在一个时间轴上持续地观察高级威胁是否存在，因此存储历史记录并不断地加以跟踪评估，才能评判一个疑似威胁是否是一个真正的具有破坏力的APT木马程序。

在具体的实施过程中，对疑似对象的评估，依据本次的事件和以前发生的事件，按照单位时间发生频次和单位间隔发生的累计次数进行，比如：如果每3天发生1次同时该事件1个月内出现了3次，那么该事件定为一级APT潜在威胁，或者说疑似威胁，如果每2天发生1次同时该事件1个月内出现了4次，那么该事件定为二级APT植入威胁，如果每1天发生1次同时该事件1个月内出现了10次，那么该事件定为三级APT破坏威胁，以上具体的时间和频次应根据实际环境进行变换。

在具体的实施过程中，针对不同级别的威胁可以采取不同的措施，并且将事件发生的威胁等级逐级提高，低级威胁作为观察对象，而高级威胁将启动清除动作，如截断木马通信、在主机内部清除该木马程序等等。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (8)

1.一种APT防火墙系统，其特征在于，所述系统内部集成了外网接口模块101、异常流量检测模块102、内网接口模块103、异常关联模块104、追溯评估模块105、以及主机程序监测模块106。

2.根据权利要求1所述的APT防火墙系统，其特征在于，所述外网接口模块，用于接入外部网络，接收来自于外网的通信数据和向外网发送通信数据。

3.根据权利要求1所述的APT防火墙系统，其特征在于，所述异常流量检测模块，用于检测通过本系统的异常流量是否存在，即木马程序是否混淆于正常的通信流量中进行隐藏通信。

4.根据权利要求1所述的APT防火墙系统，其特征在于，所述内网接口模块，用于和内网主机的通信，或者用于主机通信数据的缓冲和处理。

5.根据权利要求1所述的APT防火墙系统，其特征在于，所述异常关联模块，将所述异常流量检测模块检测出的异常流量和所述主机程序监测模块检测出的疑似木马程序进行过滤、关联、分析，并统计分析结果。

6.根据权利要求1所述的APT防火墙系统，其特征在于，所述追溯评估模块，把所述异常关联模块的分析结果作为事件对象进行判断，给出事件的威胁级别，据此做出相关动作。

7.根据权利要求1所述的APT防火墙系统，其特征在于，所述主机程序监测模块，是驻留于主机内部的实时监测程序，主要检测主机内部的活跃程序是否是疑似木马程序，根据使用情况，主机程序监测模块可能和其它模块共同运行在同一主机内，也可能不在同一主机内。

8.一种基于权利要求1至7任一项所述的提供一种基于上述APT防火墙系统的APT检测方法，所述方法包括以下步骤：

在步骤S301中，实时检测来自于内网接口模块和外网接口模块的流量数据，找出APT木马程序和远程控制服务器进行通信时所产生的异常流量；

在步骤S302中，实时检测主机内的程序和进程，通过差异化的行为分析捕获疑似APT木马程序；

在步骤S303中，将主机终端检测到的疑似APT木马程序和异常流量进行关联，形成统计分析结果；

在步骤S304中，将统计分析结果作为威胁事件进行分析，并进行评估判断，定位事件的威胁等级，从而确认是否为APT攻击。