CN107347057B - 入侵检测方法、检测规则生成方法、装置及系统 - Google Patents

入侵检测方法、检测规则生成方法、装置及系统 Download PDF

Info

Publication number
CN107347057B
CN107347057B CN201610298798.1A CN201610298798A CN107347057B CN 107347057 B CN107347057 B CN 107347057B CN 201610298798 A CN201610298798 A CN 201610298798A CN 107347057 B CN107347057 B CN 107347057B
Authority
CN
China
Prior art keywords
file
network
address information
specific type
malicious
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610298798.1A
Other languages
English (en)
Other versions
CN107347057A (zh
Inventor
姚文顶
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority to CN201610298798.1A priority Critical patent/CN107347057B/zh
Publication of CN107347057A publication Critical patent/CN107347057A/zh
Application granted granted Critical
Publication of CN107347057B publication Critical patent/CN107347057B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请公开了一种入侵检测方法及装置,同时公开了一种检测规则生成方法及装置,一种入侵检测系统,以及另一种入侵检测方法。所述入侵检测方法,包括:获取向外部网络发送的网络报文;若所述网络报文与网络报文检测规则集合中的任一规则匹配成功,则确认发送所述网络报文的设备被特定类型文件入侵成功;其中,所述网络报文检测规则集合中的规则,是根据特定类型外部网络地址信息预先生成的。采用上述方法,可以确认特定类型文件已成功入侵内部网络、并确认发送所述网络报文的设备即为受害设备,从而便于网络安全运维人员针对受害设备进行快速、有效的处置,简化内部网络安全运维的复杂度,为提高内部网络的安全性提供保障。

Description

入侵检测方法、检测规则生成方法、装置及系统
技术领域
本申请涉及网络安全技术,具体涉及一种入侵检测方法及装置。本申请同时涉及一种检测规则生成方法及装置,一种入侵检测系统,以及另一种入侵检测方法。
背景技术
随着计算机和互联网技术的发展,企业网、校园网、社区网等具有特定边界的内部网络不仅实现了内部设备的互连与资源共享、而且还可以通过路由器等设备访问外部网络,例如:访问Internet网络提供的各种资源或服务。由于存在内部网络与外部网络之间的通信,为了保证安全性,内部网络通常都会采用网络安全检测类产品。
以企业网络为例,目前企业网络通常采用的安全检测类产品有:IDS(InstrusionDetection Systems—入侵检测系统)、病毒墙、NGFW(Next generation firewall—下一代防火墙)、以及APT检测(Advanced Persistent Threat—高级持续性威胁检测)等新型攻击检测类产品。这些网络安全检测类产品基本都针对单一维度的攻击进行检测,例如,对文件进行静态扫描检测以确定是否为恶意文件等,并在检测到恶意文件时产生攻击告警,供网络安全运营人员参考并进行相应的处置。
在实际应用过程中,上述安全检测技术通常都会产生大量的告警,网络安全运营人员需要从大量的告警中排除误报,找到真正的攻击,再找到攻击关联的受害设备进行处置。然而由于告警数量巨大,网络安全运营人员通常无法逐一联系告警对应的每台设备的使用者进行确认分析,因此通常无法知晓告警涉及的恶意文件是否入侵成功(即:在内部网络设备中被打开或执行)、以及具体的受害设备。在这种情况下,网络安全运营人员自然也就无法作出及时有效的处理,例如:隔离受害设备、采取相应的网络拦截措施等,从而导致目前的企业网络安全产品难以运维及难以产生真正价值。
发明内容
本申请实施例提供一种入侵检测方法和装置,以解决现有的安全检测技术无法确认特定类型文件入侵成功以及确认相应受害设备的问题。本申请实施例还提供一种检测规则生成方法和装置,一种入侵检测系统,以及另一种入侵检测方法和装置。
本申请提供一种入侵检测方法,包括:
获取向外部网络发送的网络报文;
若所述网络报文与网络报文检测规则集合中的任一规则匹配成功,则确认发送所述网络报文的设备被特定类型文件入侵成功;
其中,所述网络报文检测规则集合中的规则,是根据特定类型外部网络地址信息预先生成的。
可选的,所述网络报文检测规则集合中的规则包括:根据从发送给内部网络的特定类型文件提取的特定类型外部网络地址信息生成的规则。
可选的,若所述匹配成功的规则,是根据从发送给内部网络的特定类型文件提取的特定类型外部网络地址信息生成的,所述确认发送所述网络报文的设备被特定类型文件入侵成功,包括:
确认发送所述网络报文的设备被具体的特定类型文件入侵成功,所述具体的特定类型文件为用于生成所述匹配成功的规则的特定类型文件。
可选的,在确认发送所述网络报文的设备被特定类型文件入侵成功之后,包括:
若通过获取并解析向外部网络发送的网络报文,检测到与所述匹配成功的规则包含的特定类型外部网络地址信息相关联的新地址信息,则执行下述操作:
当所述新地址信息中存在与预设白名单库不符的地址信息时,根据所述与预设白名单库不符的地址信息生成相应的网络报文检测规则,并添加到所述网络报文检测规则集合中。
可选的,所述网络报文检测规则集合中的规则包括:根据从发送给内部网络的特定类型文件提取的特定类型外部网络地址信息生成的规则;
当所述新地址信息中存在与预设白名单库不符的地址信息时,还包括:
将所述与预设白名单库不符的地址信息添加到连接控制信息库中。
可选的,当所述匹配成功的规则包含的特定类型外部网络地址信息为URL地址信息时,所述新地址信息包括:从所述URL地址重定向到的新URL地址信息。
可选的,所述确认发送所述网络报文的设备被特定类型文件入侵成功,采用如下方式实现:
输出至少包含发送所述网络报文的设备信息的受害确认告警信息。
可选的,所述受害确认告警信息的内容还包含:使用所述设备的用户信息;所述用户信息包括:用户标识或者姓名。
可选的,所述发送所述网络报文的设备被特定类型文件入侵成功,包括:特定类型文件在发送所述网络报文的设备中被打开或者执行。
可选的,所述内部网络包括:企业网、社区网、或者校园网;所述外部网络包括:因特网。
可选的,所述特定类型文件包括:恶意文件;所述特定类型外部网络地址信息包括:恶意外部网络地址信息。
相应的,本申请还提供一种入侵检测装置,包括:
向外发送报文获取单元,用于获取向外部网络发送的网络报文;
入侵成功确认单元,用于当所述网络报文与网络报文检测规则集合中的任一规则匹配成功时,确认发送所述网络报文的设备被特定类型文件入侵成功;其中,所述网络报文检测规则集合中的规则,是根据特定类型外部网络地址信息预先生成的。
可选的,所述入侵成功确认单元采用的网络报文检测规则集合中的规则包括:根据从发送给内部网络的特定类型文件提取的特定类型外部网络地址信息生成的规则。
可选的,所述入侵成功确认单元,具体用于当所述网络报文与网络报文检测规则集合中的任一规则匹配成功时,若所述匹配成功的规则,是根据从发送给内部网络的特定类型文件提取的特定类型外部网络地址信息生成的,则确认发送所述网络报文的设备被具体的特定类型文件入侵成功,所述具体的特定类型文件为用于生成所述匹配成功的规则的特定类型文件。
可选的,所述装置还包括:
关联地址检测单元,用于当所述入侵成功确认单元确认发送所述网络报文的设备被特定类型文件入侵成功之后,通过获取并解析向外部网络发送的网络报文,检测是否存在与所述匹配成功的规则包含的特定类型外部网络地址信息相关联的新地址信息;
关联地址判断单元,用于当所述关联地址检测单元的输出为是时,判断所述新地址信息中是否存在与预设白名单库不符的地址信息;
检测规则添加单元,用于当所述关联地址判断单元的输出为是时,根据所述与预设白名单库不符的地址信息生成相应的网络报文检测规则,并添加到所述网络报文检测规则集合中。
可选的,所述装置还包括:
关联地址添加单元,用于当所述关联地址判断单元的输出为是时,将所述与预设白名单库不符的地址信息添加到连接控制信息库中。
可选的,所述入侵成功确认单元,具体用于当所述网络报文与网络报文检测规则集合中的任一规则匹配成功时,输出至少包含发送所述网络报文的设备信息的受害确认告警信息。
此外,本申请还提供一种检测规则生成方法,包括:
获取发送给内部网络的文件;
采用预设方式检测所述文件是否为特定类型文件;
若是,从所述文件提取特定类型外部网络地址信息,并根据所述特定类型外部网络地址信息生成网络报文检测规则。
可选的,所述获取发送给内部网络的文件,包括:
获取由外部网络发送给内部网络的网络报文、并将获取的网络报文还原为文件;或者,
通过内部网络中的应用服务器获取发送给内部网络的文件。
可选的,所述通过内部网络中的应用服务器获取发送给内部网络的文件,包括:通过内部网络中的应用服务器获取由外部网络发送给内部网络的文件。
可选的,所述采用预设方式检测所述文件是否为特定类型文件,包括:利用沙盒虚拟执行技术检测所述文件是否为特定类型文件。
可选的,所述采用预设方式检测所述文件是否为特定类型文件,包括:
利用静态检测技术判断所述文件是否为疑似特定类型文件;
若是,利用沙盒虚拟执行技术检测所述文件是否为特定类型文件。
可选的,所述利用沙盒虚拟执行技术检测所述文件是否为特定类型文件,包括:
在沙盒虚拟机中打开所述文件;
记录所述文件被打开后的主机行为数据;
当所述主机行为数据与预设的任一特定类型文件判定规则相符时,判定所述文件为特定类型文件。
可选的,所述利用沙盒虚拟执行技术检测所述文件是否为特定类型文件,包括:
在沙盒虚拟机中打开所述文件;
记录所述文件被打开后的网络行为数据;
当所述网络行为数据与连接控制信息库中存储的任一外部网络地址信息相符时,判定所述文件为特定类型文件。
可选的,在所述从所述文件提取特定类型外部网络地址信息之后,还包括:
将所述特定类型外部网络地址信息添加到连接控制信息库中。
可选的,所述从所述文件提取特定类型外部网络地址信息,包括:
从在沙盒虚拟机中打开所述文件后记录的网络行为数据中,提取所述文件连接的外部网络地址信息;
通过利用预设白名单库进行过滤的方式,从所述外部网络地址信息中提取特定类型外部网络地址信息。
可选的,当所述采用预设方式检测所述文件是否为特定类型文件的结果为是时,还包括:输出至少包含所述文件名称的攻击告警信息。
可选的,所述地址信息包括:URL地址信息、和/或IP地址信息。
可选的,所述特定类型文件包括:恶意文件;所述特定类型外部网络地址信息包括:恶意外部网络地址信息。
相应的,本申请还提供一种检测规则生成装置,包括:
向内发送文件获取单元,用于获取发送给内部网络的文件;
特定类型文件检测单元,用于采用预设方式检测所述文件是否为特定类型文件;
报文检测规则生成单元,用于当所述特定类型文件检测单元的输出为是时,从所述文件提取特定类型外部网络地址信息,并根据所述特定类型外部网络地址信息生成网络报文检测规则;
所述报文检测规则生成单元包括:
特定类型地址提取子单元,用于当所述特定类型文件检测单元的输出为是时,从所述文件提取特定类型外部网络地址信息;
检测规则生成执行子单元,用于根据所述特定类型外部网络地址信息生成网络报文检测规则。
可选的,所述向内发送文件获取单元,具体用于获取由外部网络发送给内部网络的网络报文、并将获取的网络报文还原为文件,或者,通过内部网络中的应用服务器获取发送给内部网络的文件。
可选的,所述特定类型文件检测单元,具体用于利用沙盒虚拟执行技术检测所述文件是否为特定类型文件。
可选的,所述特定类型文件检测单元,包括:
静态检测子单元,用于利用静态检测技术判断所述文件是否为疑似特定类型文件;
虚拟执行检测子单元,用于当所述静态检测子单元的输出为是时,利用沙盒虚拟执行技术检测所述文件是否为特定类型文件。
可选的,所述特定类型文件检测单元或者所述虚拟执行检测子单元,包括:
文件打开子单元,用于在沙盒虚拟机中打开所述文件;
主机行为记录子单元,用于记录所述文件被打开后的主机行为数据;
第一特定类型文件判定子单元,用于当所述主机行为数据与预设的任一特定类型文件判定规则相符时,判定所述文件为特定类型文件。
可选的,所述特定类型文件检测单元或者所述虚拟执行检测子单元,包括:
文件打开子单元,用于在沙盒虚拟机中打开所述文件;
网络行为记录子单元,用于记录所述文件被打开后的网络行为数据;
第二特定类型文件判定子单元,用于当所述网络行为数据与连接控制信息库中存储的任一外部网络地址信息相符时,判定所述文件为特定类型文件。
可选的,所述报文检测规则生成单元还包括:
信息库添加子单元,用于当特定类型地址提取子单元提取特定类型外部网络地址信息后,将所述特定类型外部网络地址信息添加到连接控制信息库中。
可选的,所述特定类型地址提取子单元,包括:
外部网络地址提取子单元,用于从在沙盒虚拟机中打开所述文件后记录的网络行为数据中,提取所述文件连接的外部网络地址信息;
白名单过滤子单元,用于通过利用预设白名单库进行过滤的方式,从所述外部网络地址信息中提取特定类型外部网络地址信息。
可选的,所述装置还包括:
攻击告警输出单元,用于当所述特定类型文件检测单元的输出为是时,输出至少包含所述文件名称的攻击告警信息。
此外,本申请还提供一种入侵检测系统,包括:根据上述任意一项所述的入侵检测装置,和根据上述任意一项所述的检测规则生成装置。
此外,本申请还提供一种入侵检测方法,包括:
获取向外部网络发送的网络报文;
若所述网络报文与网络报文检测规则集合中的任一规则匹配成功,则确认发送所述网络报文的设备被特定类型文件入侵成功。
与现有技术相比,本申请具有以下优点:
本申请提供的入侵检测方法,获取向外部网络发送的网络报文;若所述网络报文与网络报文检测规则集合中的任一规则匹配成功,则确认发送所述网络报文的设备被特定类型文件入侵成功;其中,所述网络报文检测规则集合中的规则,是根据特定类型外部网络地址信息预先生成的。
上述方法,利用了根据特定类型外部网络地址信息预先生成的网络报文检测规则,若向外部网络发送的网络报文与已生成的任一网络报文检测规则匹配成功,即可确认特定类型文件已成功入侵内部网络、并确认发送所述网络报文的设备即为受害设备,从而便于网络安全运维人员针对受害设备进行快速、有效的处置,简化内部网络安全运维的复杂度,为提高内部网络的安全性提供保障。
附图说明
图1是本申请的一种检测规则生成方法的实施例的流程图;
图2是本申请实施例提供的基于主机行为检测恶意文件的处理流程图;
图3是本申请实施例提供的基于网络行为检测恶意文件的处理流程图;
图4是本申请实施例提供的从文件提取恶意外部网络地址信息,并根据所述恶意外部网络地址信息生成网络报文检测规则的处理流程图;
图5是本申请的一种检测规则生成装置的实施例的示意图;
图6是本申请的一种入侵检测方法的实施例的流程图;
图7是本申请的一种入侵检测装置的实施例的示意图;
图8是本申请的一种入侵检测系统的实施例的示意图;
图9是本申请实施例提供的入侵检测系统的处理流程示意图;
图10是本申请的另一种入侵检测方法的实施例的示意图。
具体实施方式
在下面的描述中阐述了很多具体细节以便于充分理解本申请。但是,本申请能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本申请内涵的情况下做类似推广,因此,本申请不受下面公开的具体实施的限制。
在本申请中,分别提供了一种入侵检测方法及装置,一种检测规则生成方法及装置,一种入侵检测系统,以及另一种入侵检测方法。在下面的实施例中逐一进行详细说明。在对实施例进行描述之前,先对本申请的技术方案作简要说明。
在本申请的技术方案中,内部网络是指,具有特定边界的内部专用网络,不仅实现了内部设备的互连与资源共享、而且还可以通过路由器等设备访问包括因特网在内的其他网络,所述内部网络包括:企业网、校园网、社区网等;外部网络是相对内部网络而言、和内部网络产生通信的其他网络;网络报文是指,在网络中交换与传输的数据单元;入侵是指,在非授权的情况下,试图存取信息、处理信息或破坏系统以使系统不可靠、不可用的故意行为;网络报文检测规则是指,对满足特定条件的网络报文或者特定类型文件进行特征分析与提取所产生的、用于进行入侵检测的报文匹配规则。
在本申请的技术方案中,特定类型文件可以是恶意文件,也可以是预先设定的其它类型的文件;特定类型外部网络地址信息可以是恶意外部网络地址信息,也可以是预先设定的其它类型的外部网络地址信息。其中,所述恶意文件是指,在计算机等设备中执行恶意任务的文件,所述恶意任务包括:窃取计算机中的资料、破坏计算中的文件、或者对计算机实施远程控制等;所述恶意外部网络地址信息是指,恶意文件在执行恶意任务时所连接的、与白名单库不相符的外部网络地址信息。
为了便于理解,在本说明书的以下文字以及提供的实施例中,以特定类型文件为恶意文件、特定类型外部网络地址信息为恶意外部网络地址信息为例,对本申请技术方案的实施方式进行说明。
现有技术提供的企业网安全检测方法,基本都针对单一维度的攻击进行检测,例如,对网络中传输的文件进行静态扫描检测以确定是否为恶意文件等,并在检测到恶意文件时产生攻击告警,供网络安全运营人员参考并进行相应的处置。由此可见,现有技术只能检测恶意文件可能存在的攻击,但是不能确认恶意文件入侵成功以及具体入侵的受害设备,导致网络安全运营人员无法针对海量的攻击告警做出及时有效的处理,企业网内部的安全性无法得到有效的保障。
针对上述问题,本申请发明人提出了可以确认恶意文件入侵成功的入侵检测方法、以及检测规则生成方法。其中,检测规则生成方法,对于发送给内部网络的、被检测确定的恶意文件,根据从所述文件提取的恶意外部网络地址信息生成相应的网络报文检测规则;入侵检测方法,则将获取到的、从内部网络向外部网络发送的网络报文与已经生成的网络报文检测规则集合中的规则进行匹配,若任一规则匹配成功,则确认发送所述网络报文的设备被恶意文件入侵成功。
本申请提供的上述两个方法可以在企业网内部相互配合实施,一方面在检测到内部网络恶意文件攻击的基础上,用从恶意文件提取的恶意外部网络地址信息生成网络报文检测规则,另一方面,利用已生成的网络报文检测规则与向外部网络发送的网络报文进行匹配,若匹配成功,说明发送所述网络报文的内部网络中的设备已经打开或者执行了恶意文件,因此该设备才会发出与检测规则相匹配的网络报文,从而可以确认该设备已经被恶意文件入侵成功。
由此可见,本申请提供的上述两个方法相互配合,形成了从攻击检测到受害确认的闭环检测机制,能够清晰地报告出恶意文件在企业网内部入侵成功并确定具体的受害设备,从而网络安全运维人员可以真正地进行有效的处置。
需要说明的是,上面关于技术方案的介绍虽然是以企业网为背景进行说明的,但是本申请提供的技术方案的应用场景并不局限于企业网,也可以应用于其他具有特定边界、并且通过路由器等设备访问外部网络的内部网络中,例如:校园网、社区网等。
下面对本申请提供的各个实施例进行描述。为了便于理解,先描述本申请提供的检测规则生成方法的实施例。
请参考图1,其为本申请的一种检测规则生成方法的实施例的流程图,所述方法包括如下步骤:
步骤101、获取发送给内部网络的文件。
本步骤所述的文件通常是指可以通过应用程序打开或者执行的文件,例如:可执行文件、Word文件或者图片文件等。本步骤可以采用不同的方式获取发送给内部网络的文件,此处列举两种:
(一)获取由外部网络发送给内部网络的网络报文,并将获取的网络报文还原为文件。
通常在网络中传输文件之前,会根据采用的网络协议将文件封装为网络报文、或者先拆分成若干个特定大小的数据块然后再分别封装成网络报文,因此本步骤可以获取由外部网络发送给内部网络的网络报文,并通过执行必要的解封装、组合、和/或校验等操作,将一个或者多个网络报文还原为一个完整的文件。在具体实施时,可以在网络报文进入内部网络的入口处通过监听或者镜像的方式捕获由外部网络发送给内部网络的网络报文,然后将捕获的网络报文还原为文件。
(二)通过内部网络中的应用服务器获取发送给内部网络的文件。
在实际应用中,大量的发送给内部网络的文件通常会先发送到内部网络的应用服务器中(如:邮件服务器、或者其他用于工作通讯的服务器等),然后再由应用服务器提供给内部网络中的相应客户端。因此本步骤可以通过应用服务器开放的接口从应用服务器获取发送给内部网络的文件,例如:从邮件服务器获取发送给内部网络的邮件,并从邮件中提取作为附件的文件。
在实际应用中,发送给内部网络的文件可以包括:内部网络自身发送的文件以及外部网络发送给内部网络的文件,而由于恶意文件的来源通常是外部网络,因此可以通过对文件来源的筛选仅获取由外部网络发送给内部网络的文件。
步骤102、采用预设方式检测所述文件是否为恶意文件,若是,执行步骤103,否则结束本方法的执行。
本步骤的主要任务是检测步骤101获取的文件是否为恶意文件,在本实施例中利用沙盒虚拟执行技术进行检测。
所谓沙盒虚拟执行技术通常是指,通过创造一个隔离环境(也称沙盒虚拟机或虚拟容器),让来源不可信、具备破坏力或无法判定意图的文件或者程序在该隔离环境中打开运行,从而可以根据其运行行为判断其是否存在安全隐患。当程序运行完毕后,可以通过回滚机制恢复系统的正常状态。
本步骤利用沙盒虚拟执行技术检测所述文件是否为恶意文件,具体可以采用两种方式:基于主机行为检测,或者基于网络行为检测。下面分别进行说明。
(一)基于主机行为检测。请参考图2,其为基于主机行为检测恶意文件的处理流程图,包括以下子步骤102-1-1至102-1-3:
步骤102-1-1、在沙盒虚拟机中打开所述文件。
步骤102-1-2、记录所述文件被打开后的主机行为数据。
如果所述文件为不可执行文件(例如:doc文档)、但是内嵌了其他可执行代码,或者所述文件为可执行文件,那么在沙盒虚拟机中打开所述文件后,所述文件就会产生主机行为,本步骤记录相应的主机行为数据,例如:对文件的操作,对注册表的修改、以及与进程相关的操作等。
步骤102-1-3、当所述主机行为数据与预设的任一恶意文件判定规则相符时,判定所述文件为恶意文件。
本步骤可以将记录的主机行为数据与预设的恶意文件判定规则逐一进行比对,若主机行为数据与其中任一规则相符,则判定所述文件为恶意文件。例如,在预设的多条恶意文件判定规则中,其中一条为:“doc文档通过后台连接URL自动下载exe文件、并自动化执行该文件”,如果步骤102-1-2记录的主机行为数据与该规则相符,即命中该规则,则可以认为所述文件为恶意文件。
(二)基于网络行为检测。请参考图3,其为基于网络行为检测恶意文件的处理流程图,包括以下子步骤102-2-1至102-2-3:
步骤102-2-1、在沙盒虚拟机中打开所述文件。
步骤102-2-2、记录所述文件被打开后的网络行为数据。
如果所述文件在沙盒虚拟机中被打开后,通过网络端口执行了网络行为,例如:访问外部网络的某个URL地址,或者从外部网络的某个IP地址处获取了可执行文件,本步骤可以记录相应的网络行为数据。
步骤102-2-3、当所述网络行为数据与连接控制信息库中存储的任一外部网络地址信息相符时,判定所述文件为恶意文件。
在具体实施时,可以预先生成连接控制信息库,用于存储已检测出的外部网络中的恶意地址信息,由于这些恶意地址通常用于进行远程连接控制等恶意用途,因此也可以称为恶意C&C(Connect&Control)信息,相应的,用于存储恶意C&C信息的连接控制信息库可以称为恶意C&C库,该库中存储的恶意C&C信息可以为URL地址信息,也可以为IP地址信息。
本步骤可以从已记录的网络行为数据中提取所述文件与外部网络连接的地址信息,例如:URL地址信息或者IP地址信息,然后将这些地址信息与恶意C&C库中存储的恶意C&C信息进行比对,若与其中任一恶意C&C信息相符,则说明所述文件存在连接恶意C&C库中地址的网络通信行为,因此可以判定所述文件是恶意的。利用恶意C&C库,能够更为准确、高效地检测出恶意文件。
以上对于利用沙盒虚拟执行技术检测恶意文件的两种方式进行了说明。在具体实施时,可以根据需要采用其中任一种方式,也可以将两种方式结合执行,以提高对恶意文件的检测效果。例如:可以在沙盒虚拟机中打开所述文件后,对主机行为和网络行为都进行记录,然后依次根据网络行为、主机行为进行检测,其中只要有一种方式的检测结果为恶意,则判定所述文件为恶意。
此外,在具体实施时,通常会采用本方法对大量的文件进行检测,为了降低沙盒的负荷、保障其执行效率,也可以采用以下方式对步骤101获取的文件进行检测:利用静态检测技术判断所述文件是否为疑似恶意文件;若是疑似恶意文件,再采用沙盒虚拟执行技术进一步检测确定所述文件是否为恶意。
例如,可以选用一款或者多款静态杀毒引擎、或者选用其他静态检测引擎对所述文件进行扫描,如果发现所述文件中存在预设的病毒特征码,或者存在其他预设信息,则可以初步判定所述文件为疑似恶意文件,随后再采用沙盒虚拟执行技术进一步检测确定是否为恶意文件。采用这种实施方式,对于存在大量待检测文件的应用场景下,可以将有限的动态检测资源更为有效地利用起来,提高整体的检测效率。
至此,本实施例描述了利用沙盒虚拟执行技术、或者将静态检测技术与沙盒虚拟执行相结合,来检测所述文件是否为恶意文件的实施方式,在具体实施时,也可以采用不同于上面描述的其他技术或者实施方式进行检测,也都是可以的。
如果本步骤检测出所述文件为恶意文件,那么不仅可以转到步骤103继续执行,而且还可以输出攻击告警信息,告知网络安全运维人员当前已经检测到了具有攻击意图的恶意文件、为后续的告警或者处理提供参考信息。所述攻击告警信息中至少包含所述文件的文件名称,还可以包含所述文件的来源信息(例如:内部邮件服务器)、或者所述文件的发送方、接收方的相关信息等。如果本步骤未检测出所述文件为恶意,则可以结束本方法的执行。
步骤103、从所述文件提取恶意外部网络地址信息,并根据所述恶意外部网络地址信息生成网络报文检测规则。
本步骤可以采用不同的方式从所述文件提取恶意外部网络地址信息,例如:可以采用静态扫描的方式从所述文件内容中提取外部网络地址信息,然后采用白名单库进行过滤;也可以通过沙盒虚拟执行的方式提取外部网络地址信息,并采用白名单库进行过滤。其中,第二种实施方式更为准确,因此本实施例重点描述第二种实施方式。请参见图4,其为本实施例提供的从文件提取的恶意外部网络地址信息,并根据所述恶意外部网络地址信息生成网络报文检测规则的处理流程图,该处理过程包括步骤103-1至103-3。
步骤103-1、从在沙盒虚拟机中打开所述文件后记录的网络行为数据中,提取所述文件连接的外部网络地址信息。
可以在沙盒虚拟机中打开所述文件,然后记录打开所述文件后的网络行为数据,如果在步骤102中采用的是沙盒虚拟执行技术进行的恶意文件检测,并且已经记录了网络行为数据,那么本步骤不必再次在沙盒中虚拟执行,可以直接使用已记录的网络行为数据。从网络行为数据中提取所述文件连接的外部网络地址信息,即提取所述文件所访问的外部网络地址信息,例如:URL地址或者IP地址。
步骤103-2、通过利用预设白名单库进行过滤的方式,从所述外部网络地址信息中提取恶意外部网络地址信息。
所述白名单库中存储的是预先确定为安全的外部网络地址信息,可以是URL地址信息,也可以是IP地址信息。本步骤可以将获取的外部网络地址信息与预设白名单库中的外部网络地址信息进行匹配,如果获取的外部网络地址信息中存在与白名单库不符的地址信息,则可以认为这部分地址信息为恶意外部网络地址信息。
步骤103-3、根据所述恶意外部网络地址信息生成网络报文检测规则。
例如:恶意外部网络地址信息为URL地址:http://examplexxx.com/,那么可以生成如下所示的网络报文检测规则:“HTTP报文头部包含字符串http://examplexxx.com/”;再如,恶意外部网络地址信息为IP地址:220.181.111.222,那么可以生成如下所示的网络报文检测规则:“目的IP地址为220.181.111.222”。需要说明的是,此处给出的是两个示意性的例子,在具体实施时可以根据实际获取的恶意外部网络地址信息生成相应的网络报文检测规则。
生成网络报文检测规则后,可以将生成的规则添加到网络报文检测规则集合中,在具体实施时,所述网络报文检测规则集合可以存储在数据库中,即:网络报文检测规则库,实施了本申请提供的入侵检测方法的系统或者设备可以利用该库中的规则与网络报文进行匹配,以确定是否存在恶意文件入侵成功的事实。
此外,通过白名单过滤获取恶意外部网络地址信息后,还可以将所述恶意外部网络地址信息添加到恶意C&C库中,从而有助于提高对恶意文件的检测效果,关于这部分说明,可以参见之前步骤102-2-1至102-2-3中的相关文字。在实际实施本方法时,可以通过网络安全运维人员手工维护或者其他管理手段对恶意C&C库中的信息进行维护,逐步积累起准确有效的恶意C&C库,从而可以提高对未知的恶意文件的检测率。
综上所述,本实施例提供的检测规则生成方法,在从检测出的恶意文件中提取恶意外部网络地址信息(恶意C&C信息)的基础上,生成有针对性的、及时性高的网络报文检测规则。如果在内部网络中,针对发送给内部网络的大量文件都实施本方法,则可以在内部网络中生成并不断更新网络报文检测规则集合,从而为基于规则确认恶意文件入侵成功提供了数据基础和可能性。
在上述的实施例中,提供了一种检测规则生成方法,与之相对应的,本申请还提供一种检测规则生成装置。请参看图5,其为本申请的一种检测规则生成装置的实施例的示意图。由于装置实施例基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。下述描述的装置实施例仅仅是示意性的。
本实施例的一种检测规则生成装置,包括:向内发送文件获取单元501,用于获取发送给内部网络的文件;恶意文件检测单元502,用于采用预设方式检测所述文件是否为恶意文件;报文检测规则生成单元503,用于当所述恶意文件检测单元的输出为是时,从所述文件提取恶意外部网络地址信息,并根据所述恶意外部网络地址信息生成网络报文检测规则;
所述报文检测规则生成单元包括:
恶意地址提取子单元,用于当所述恶意文件检测单元的输出为是时,从所述文件提取恶意外部网络地址信息;
检测规则生成执行子单元,用于根据所述恶意外部网络地址信息生成网络报文检测规则。
可选的,所述向内发送文件获取单元,具体用于获取由外部网络发送给内部网络的网络报文、并将获取的网络报文还原为文件,或者,通过内部网络中的应用服务器获取发送给内部网络的文件。
可选的,所述恶意文件检测单元,具体用于利用沙盒虚拟执行技术检测所述文件是否为恶意文件。
可选的,所述恶意文件检测单元,包括:
静态检测子单元,用于利用静态检测技术判断所述文件是否为疑似恶意文件;
虚拟执行检测子单元,用于当所述静态检测子单元的输出为是时,利用沙盒虚拟执行技术检测所述文件是否为恶意文件。
可选的,所述恶意文件检测单元或者所述虚拟执行检测子单元,包括:
文件打开子单元,用于在沙盒虚拟机中打开所述文件;
主机行为记录子单元,用于记录所述文件被打开后的主机行为数据;
第一恶意文件判定子单元,用于当所述主机行为数据与预设的任一恶意文件判定规则相符时,判定所述文件为恶意文件。
可选的,所述恶意文件检测单元或者所述虚拟执行检测子单元,包括:
文件打开子单元,用于在沙盒虚拟机中打开所述文件;
网络行为记录子单元,用于记录所述文件被打开后的网络行为数据;
第二恶意文件判定子单元,用于当所述网络行为数据与连接控制信息库中存储的任一外部网络地址信息相符时,判定所述文件为恶意文件。
可选的,所述报文检测规则生成单元还包括:
恶意信息库添加子单元,用于当恶意地址提取子单元提取恶意外部网络地址信息后,将所述恶意外部网络地址信息添加到连接控制信息库中。
可选的,所述恶意地址提取子单元,包括:
外部网络地址提取子单元,用于从在沙盒虚拟机中打开所述文件后记录的网络行为数据中,提取所述文件连接的外部网络地址信息;
白名单过滤子单元,用于通过利用预设白名单库进行过滤的方式,从所述外部网络地址信息中提取恶意外部网络地址信息。
可选的,所述装置还包括:
攻击告警输出单元,用于当所述恶意文件检测单元的输出为是时,输出至少包含所述文件名称的攻击告警信息。
此外,本申请还提供一种入侵检测方法,在具体应用中,本方法通常与本申请提供的检测规则生成方法结合实施,本方法所采用的网络报文检测规则集合中的规则,不仅可以包括由实施所述检测规则生成方法的系统或设备自动生成的规则,即:根据从发送给内部网络的恶意文件提取的恶意外部网络地址信息生成的规则,也可以包括根据通过其他方式获取的恶意外部网络地址信息生成的规则,例如:某企业网的网络运维人员根据从其它企业网获取的、或者从某网站公开的信息中获取的恶意外部网络地址信息,生成相应的网络报文检测规则,并添加到其负责运维的企业网的网络报文检测规则集合中。
请参考图6,其为本申请的一种入侵检测方法的实施例的流程图,具体实施时,本方法可以在部署于内部网络出口处的IDS设备中实施。本实施例与上述方法实施例步骤相同的部分不再赘述,下面重点描述不同之处。本实施例的一种入侵检测方法包括如下步骤:
步骤601、获取向外部网络发送的网络报文。
本步骤获取内部网络向外部网络发送的网络报文,所述网络报文通常会经由处于内部网络出口处的某一设备(例如:路由器)发送到外部网络,本步骤则可以通过对经由该设备发送的网络报文进行监听的方式或者利用镜像技术、捕获向外部网络发送的网络报文。
步骤602、若所述网络报文与网络报文检测规则集合中的任一规则匹配成功,则确认发送所述网络报文的设备被恶意文件入侵成功。其中,所述网络报文检测规则集合中的规则,是根据恶意外部网络地址信息预先生成的。
在具体实施时,所述网络报文检测规则集合通常存储在数据库中,即:网络报文检测规则库(也称流量检测规则库),因此本步骤可以将步骤601捕获的网络报文与网络报文检测规则库中的每一条规则进行匹配,即:检查网络报文是否与规则相符。由于每一条规则都是根据恶意外部网络地址信息生成的,因此所述网络报文若与任一规则相符,则说明发送所述网络报文的内部网络中的设备(例如:计算机)已经打开或者执行了恶意文件(例如:打开了邮件中的恶意附件),因此该设备才会发出与规则相匹配的网络报文,从而可以确认该设备已经被恶意文件入侵成功。
例如:网络报文检测规则库中有一条规则为:“目的IP地址为220.181.111.222”,捕获的网络报文的目的IP地址也是:220.181.111.222,那么本步骤将捕获的网络报文与规则库中的规则逐一匹配时,匹配到上述规则时就会匹配成功,从而可以结束匹配过程,并确认发送所述网络报文的设备已被入侵成功。
若所述匹配成功的规则,是根据从发送给内部网络的恶意文件提取的恶意外部网络地址信息生成的,那么在确认发送所述网络报文的设备被入侵成功的同时,还可以进一步确认入侵所述设备的具体的恶意文件,即:用于生成匹配成功的规则的恶意文件。仍沿用上面的例子,如果“目的IP地址为220.181.111.222”这一规则是根据恶意文件Example.doc中的恶意外部网络地址生成的,那么就可以确认所述设备被恶意文件Example.doc入侵成功。
在具体实施时,确认发送所述网络报文的设备被恶意文件入侵成功,可以将相关信息记录到日志文件或者数据库中、也可以输出受害确认告警信息,以供网络安全运维人员及时查看并进行相应的处置。
以输出受害确认告警信息为例,所述受害确认告警信息中至少包含被恶意文件入侵成功的设备信息,例如,可以通过对所述网络报文的解析提取源IP地址,用该源IP地址标识被入侵成功的设备,也可以从所述网络报文的预设字段中提取设备标识,并在所述受害确认告警信息中包含所述设备标识。从而有助于网络安全运维人员快速定位内部网络中的具体受害设备,并进行相应的处置。
进一步地,还可以通过对应用层信息的分析或者查找设备与使用者的对应关系,获取使用受害设备的用户信息,例如:用户标识或者用户姓名等,从而在输出的受害确认告警信息中可以不仅包含受害设备信息,还可以包含使用受害设备的用户信息,便于网络安全运维人员及时与受害设备的使用者取得联系,并采取相应措施。
例如以下场景,内部网络中的某一设备访问外部网络中的恶意地址并下载了一个木马程序,木马程序随后可能在内部网络中传播、并进一步实施盗取数据等恶意行为。如果采用了本实施例提供的方法,在检测到该设备向外部网络恶意地址发送网络报文后,及时输出告警信息,从而网络安全运维人员可以根据设备信息和使用所述设备的用户信息,快速采取措施,例如:告知所述用户、对受害设备进行隔离、或者采取必要的拦截措施等,可以有效避免或者减少对内部网络造成的损失。
此外,若所述匹配成功的规则,是根据从发送给内部网络的恶意文件提取的恶意外部网络地址信息生成的,并且在生成网络报文检测规则时,一并记录了生成相应规则的恶意文件的相关信息,例如:文件名称、来源等,本步骤也可以获取与匹配成功的规则对应的恶意文件信息,从而在受害确认告警信息中可以不仅包含受害设备信息,还可以包含获取的恶意文件名,从而便于运维人员更为及时、准确地了解情况,并采用更为有针对性的处理措施。
至此,通过步骤601-步骤602,对本实施例提供的入侵检测方法的实施方式进行了详细说明。
优选地,在步骤602确认发送所述网络报文的设备被恶意文件入侵成功之后,如果检测到与匹配成功的规则包含的恶意外部网络地址信息相关联的新地址信息、并通过执行过滤操作从中提取出与预设白名单库不符的恶意地址信息后,可以根据所述恶意地址信息生成相应的网络报文检测规则,并添加到网络报文检测规则集合中,以提高受害检测的发现率。
进一步优选地,在发现相关联的新地址信息中存在与白名单库不符的恶意地址信息后,除了生成网络报文检测规则、并添加到所述集合中,还可以将所述恶意地址信息添加到恶意C&C库中,从而有助于提高实施所述检测规则生成方法的系统或者设备、对恶意文件的检测率,也可以相应提高受害检测的发现率。
例如:内部网络中某一设备发送的、访问外部网络恶意URL地址的网络报文,在步骤602中匹配成功,由于恶意URL地址对应的网站可以通过重定向等指令,将对其的访问跳转到新的URL地址,从而该设备发送的后续网络报文就会访问新的URL地址,在这种情况下,本实施例通过应用层或者会话层的标识信息可以发现后续网络报文访问的新URL地址与恶意URL地址是相关联的,因此,可以使用预设白名单库对新URL地址进行过滤,若其中存在与白名单库不符的恶意URL地址,则可以将这部分恶意URL地址添加到恶意C&C库中。
采用上述优选实施方式,由于可以在第一时间向恶意C&C库中补充恶意的外部网络地址信息,因此实施所述检测规则生成方法的系统或者设备,就可以在检测恶意文件的过程中,利用所述恶意C&C库中的最新信息,从而快速、及时地检测出恶意文件,包括通过静态扫描等现有技术无法检测出的未知类型的恶意文件,从而可以提高对恶意文件的检测率,自然也可以相应提高受害检测的发现率。
需要说明的是,上述实施例描述了本申请提供的入侵检测方法与检测规则生成方法相结合的实施方式。本领域技术人员应该理解,本申请提供的入侵检测方法也可以单独实施,在这种情况下,所述网络报文检测规则集合中的规则,可以是由网络安全运维人员通过某些特定方式获取的恶意外部网络地址信息生成的规则,并且在实施过程中无需执行向连接控制信息库添加从相关联的新地址中提取的恶意地址信息的操作。采用这种实施方式,同样可以通过网络报文与规则的匹配过程确认恶意文件入侵成功的事实。
综上所述,本实施例提供的入侵检测方法,利用了预先生成的网络报文检测规则集合,若向外部网络发送的网络报文与任一网络报文检测规则匹配成功,即可确认恶意文件已成功入侵内部网络、并确认发送所述网络报文的设备即为受害设备,从而便于网络安全运维人员针对受害设备进行快速、有效的处置,简化内部网络安全运维的复杂度,为提高内部网络的安全性提供保障。
在上述的实施例中,提供了一种入侵检测方法,与之相对应的,本申请还提供一种入侵检测装置。请参看图7,其为本申请的一种入侵检测装置的实施例的示意图。由于装置实施例基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。下述描述的装置实施例仅仅是示意性的。
本实施例的一种入侵检测装置,包括:向外发送报文获取单元701,用于获取向外部网络发送的网络报文;入侵成功确认单元702,用于当所述网络报文与网络报文检测规则集合中的任一规则匹配成功时,确认发送所述网络报文的设备被恶意文件入侵成功;其中,所述网络报文检测规则集合中的规则,是根据恶意外部网络地址信息预先生成的。
可选的,所述入侵成功确认单元采用的网络报文检测规则集合中的规则包括:根据从发送给内部网络的恶意文件提取的恶意外部网络地址信息生成的规则。
可选的,所述入侵成功确认单元,具体用于当所述网络报文与网络报文检测规则集合中的任一规则匹配成功时,若所述匹配成功的规则,是根据从发送给内部网络的恶意文件提取的恶意外部网络地址信息生成的,则确认发送所述网络报文的设备被具体恶意文件入侵成功,所述具体恶意文件为用于生成所述匹配成功的规则的恶意文件。
可选的,所述装置包括:
关联地址检测单元,用于当所述入侵成功确认单元确认发送所述网络报文的设备被恶意文件入侵成功之后,通过获取并解析向外部网络发送的网络报文,检测是否存在与所述匹配成功的规则包含的恶意外部网络地址信息相关联的新地址信息;
关联恶意地址判断单元,用于当所述关联地址检测单元的输出为是时,判断所述新地址信息中是否存在与预设白名单库不符的恶意地址信息;
检测规则添加单元,用于当所述关联恶意地址判断单元的输出为是时,根据所述恶意地址信息生成相应的网络报文检测规则,并添加到所述网络报文检测规则集合中。
可选的,所述装置还包括:
关联恶意地址添加单元,用于当所述关联恶意地址判断单元的输出为是时,将所述恶意地址信息添加到连接控制信息库中。
可选的,所述入侵成功确认单元,具体用于当所述网络报文与网络报文检测规则集合中的任一规则匹配成功时,输出至少包含发送所述网络报文的设备信息的受害确认告警信息。
此外,本申请还提供一种入侵检测系统,如图8所示,所述系统包括上述实施例所述的检测规则生成装置801、和入侵检测装置802。所述检测规则生成装置通常部署于服务器上,所述入侵检测装置也通常部署于服务器上。在具体实施时,所述系统中通常还可以包括用于存储网络报文检测规则集合的数据库。
请参考图9,其为本实施例提供的入侵检测系统的处理流程示意图。本系统的基本处理流程为:检测规则生成装置获取发送给内部网络的文件,若检测出所述文件为恶意文件,则根据从所述文件提取的恶意外部网络地址信息生成网络报文检测规则;检测规则生成装置采用上述方式所生成的网络报文检测规则可以组成网络报文检测规则集合,根据采用其它方式获取的恶意外部网络地址信息生成的网络报文检测规则、也可以添加到该集合中,该集合可以存储在数据库中;入侵检测装置获取向外部网络发送的网络报文,将所述网络报文与网络报文检测规则集合中的规则进行匹配,若与其中任一规则匹配成功,则确认发送所述网络报文的设备被恶意文件入侵成功。
由此可见,本系统中的上述两个装置可以通过网络报文检测规则关联在一起,一方面通过对内部网络中恶意文件的检测、生成网络报文检测规则,另一方面利用已生成的网络报文检测规则与向外部网络发送的网络报文进行匹配,并在匹配成功时确认内部网络中的设备被入侵成功。从而形成了从攻击检测到受害确认的闭环检测机制,通过将多个维度的技术进行整合,能够清晰地报告出恶意文件在内部网络中入侵成功的事实、并确定具体的受害设备,从而网络安全运维人员可以快速有效地进行处置,为企业网、社区网、校园网等内部网络的安全运维提供保障。
此外,本申请还提供另一种入侵检测方法,请参考图10,其为本申请的另一种入侵检测方法的实施例的流程图,本实施例与上述方法实施例步骤相同的部分不再赘述,下面重点描述不同之处。本实施例的一种入侵检测方法包括如下步骤:
步骤1001、获取向外部网络发送的网络报文。
步骤1002、若所述网络报文与网络报文检测规则集合中的任一规则匹配成功,则确认发送所述网络报文的设备被恶意文件入侵成功。
所述网络报文检测规则集合中的规则,可以是对内部网络中的恶意文件或者与入侵成功事件相关联的、向外部网络发送的网络报文等进行特征分析与提取所产生的报文匹配规则,规则的内容可以涉及多个方面,例如网络报文的内容、网络报文的地址信息、网络报文的某个具体字段的取值等。本步骤可以将步骤1001获取的网络报文,与网络报文检测规则集合中的规则逐一进行匹配,若与任一规则匹配成功,则确认发送所述网络报文的设备被恶意文件入侵成功。
现有技术通常对从外部网络发送到内部网络的网络报文进行规则匹配,以检测是否存在攻击行为。而本实施例的技术方案,则将向外部网络发送的网络报文与网络报文检测规则集合中的规则进行匹配,并当匹配成功时,确认发送所述网络报文的设备被恶意文件入侵成功。从而便于网络安全运维人员针对受害设备进行快速、有效的处置,简化内部网络安全运维的复杂度,为提高内部网络的安全性提供保障。
本申请虽然以较佳实施例公开如上,但其并不是用来限定本申请,任何本领域技术人员在不脱离本申请的精神和范围内,都可以做出可能的变动和修改,因此本申请的保护范围应当以本申请权利要求所界定的范围为准。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
1、计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
2、本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

Claims (21)

1.一种入侵检测方法,其特征在于,包括:
获取向外部网络发送的网络报文;
若所述网络报文与网络报文检测规则集合中的任一规则匹配成功,则确认发送所述网络报文的内部网络中的设备被特定类型文件入侵成功;
其中,所述网络报文检测规则集合中的规则,是根据从发送给内部网络的特定类型文件提取的特定类型外部网络地址信息预先生成的;
所述发送所述网络报文的内部网络中的设备被特定类型文件入侵成功,包括:特定类型文件在发送所述网络报文的内部网络的设备中被打开或者执行;
所述特定类型文件包括:恶意文件;所述特定类型外部网络地址信息包括:恶意外部网络地址信息。
2.根据权利要求1所述的入侵检测方法,其特征在于,若所述匹配成功的规则,是根据从发送给内部网络的特定类型文件提取的特定类型外部网络地址信息生成的,所述确认发送所述网络报文的设备被特定类型文件入侵成功,包括:
确认发送所述网络报文的设备被具体的特定类型文件入侵成功,所述具体的特定类型文件为用于生成所述匹配成功的规则的特定类型文件。
3.根据权利要求1所述的入侵检测方法,其特征在于,在确认发送所述网络报文的设备被特定类型文件入侵成功之后,包括:
若通过获取并解析向外部网络发送的网络报文,检测到与所述匹配成功的规则包含的特定类型外部网络地址信息相关联的新地址信息,则执行下述操作:
当所述新地址信息中存在与预设白名单库不符的地址信息时,根据所述与预设白名单库不符的地址信息生成相应的网络报文检测规则,并添加到所述网络报文检测规则集合中。
4.根据权利要求3所述的入侵检测方法,其特征在于,所述网络报文检测规则集合中的规则包括:根据从发送给内部网络的特定类型文件提取的特定类型外部网络地址信息生成的规则;
当所述新地址信息中存在与预设白名单库不符的地址信息时,还包括:
将所述与预设白名单库不符的地址信息添加到连接控制信息库中。
5.根据权利要求3所述的入侵检测方法,其特征在于,当所述匹配成功的规则包含的特定类型外部网络地址信息为URL地址信息时,所述新地址信息包括:从所述URL地址重定向到的新URL地址信息。
6.根据权利要求1所述的入侵检测方法,其特征在于,所述确认发送所述网络报文的设备被特定类型文件入侵成功,采用如下方式实现:
输出至少包含发送所述网络报文的设备信息的受害确认告警信息。
7.根据权利要求6所述的入侵检测方法,其特征在于,所述受害确认告警信息的内容还包含:使用所述设备的用户信息;所述用户信息包括:用户标识或者姓名。
8.根据权利要求1-7任一项所述的入侵检测方法,其特征在于,所述内部网络包括:企业网、社区网、或者校园网;所述外部网络包括:因特网。
9.一种入侵检测装置,其特征在于,包括:
向外发送报文获取单元,用于获取向外部网络发送的网络报文;
入侵成功确认单元,用于当所述网络报文与网络报文检测规则集合中的任一规则匹配成功时,确认发送所述网络报文的内部网络中的设备被特定类型文件入侵成功;
其中,所述网络报文检测规则集合中的规则,是根据从发送给内部网络的特定类型文件提取的特定类型外部网络地址信息预先生成的;
所述发送所述网络报文的内部网络中的设备被特定类型文件入侵成功,包括:特定类型文件在发送所述网络报文的内部网络的设备中被打开或者执行;
所述特定类型文件包括:恶意文件;所述特定类型外部网络地址信息包括:恶意外部网络地址信息。
10.一种检测规则生成方法,其特征在于,包括:
获取发送给内部网络的文件;所述文件是指可以通过应用程序打开或者执行的文件;
采用预设方式检测所述文件是否为特定类型文件;
若是,从所述文件提取特定类型外部网络地址信息,并根据所述特定类型外部网络地址信息生成网络报文检测规则;
其中,所述网络报文检测规则用于检测发送网络报文的所述内部网络中的设备是否被特定类型文件入侵成功;
所述网络报文检测规则包括:特定类型文件在发送所述网络报文的内部网络的设备中被打开或者执行。
11.根据权利要求10所述的检测规则生成方法,其特征在于,所述获取发送给内部网络的文件,包括:
获取由外部网络发送给内部网络的网络报文、并将获取的网络报文还原为文件;或者,
通过内部网络中的应用服务器获取发送给内部网络的文件。
12.根据权利要求10所述的检测规则生成方法,其特征在于,所述采用预设方式检测所述文件是否为特定类型文件,包括:利用沙盒虚拟执行技术检测所述文件是否为特定类型文件。
13.根据权利要求10所述的检测规则生成方法,其特征在于,所述采用预设方式检测所述文件是否为特定类型文件,包括:
利用静态检测技术判断所述文件是否为疑似特定类型文件;
若是,利用沙盒虚拟执行技术检测所述文件是否为特定类型文件。
14.根据权利要求12或13所述的检测规则生成方法,其特征在于,所述利用沙盒虚拟执行技术检测所述文件是否为特定类型文件,包括:
在沙盒虚拟机中打开所述文件;
记录所述文件被打开后的主机行为数据;
当所述主机行为数据与预设的任一特定类型文件判定规则相符时,判定所述文件为特定类型文件。
15.根据权利要求12或13所述的检测规则生成方法,其特征在于,所述利用沙盒虚拟执行技术检测所述文件是否为特定类型文件,包括:
在沙盒虚拟机中打开所述文件;
记录所述文件被打开后的网络行为数据;
当所述网络行为数据与连接控制信息库中存储的任一外部网络地址信息相符时,判定所述文件为特定类型文件。
16.根据权利要求15所述的检测规则生成方法,其特征在于,在所述从所述文件提取特定类型外部网络地址信息之后,还包括:
将所述特定类型外部网络地址信息添加到连接控制信息库中。
17.根据权利要求10所述的检测规则生成方法,其特征在于,所述从所述文件提取特定类型外部网络地址信息,包括:
从在沙盒虚拟机中打开所述文件后记录的网络行为数据中,提取所述文件连接的外部网络地址信息;
通过利用预设白名单库进行过滤的方式,从所述外部网络地址信息中提取特定类型外部网络地址信息。
18.根据权利要求10所述的检测规则生成方法,其特征在于,所述地址信息包括:URL地址信息、和/或IP地址信息。
19.根据权利要求10-13、16-18任一项所述的检测规则生成方法,其特征在于,所述特定类型文件包括:恶意文件;所述特定类型外部网络地址信息包括:恶意外部网络地址信息。
20.一种检测规则生成装置,其特征在于,包括:
向内发送文件获取单元,用于获取发送给内部网络的文件;所述的文件是指可以通过应用程序打开或者执行的文件;
特定类型文件检测单元,用于采用预设方式检测所述文件是否为特定类型文件;
报文检测规则生成单元,用于当所述特定类型文件检测单元的输出为是时,从所述文件提取特定类型外部网络地址信息,并根据所述特定类型外部网络地址信息生成网络报文检测规则;
所述报文检测规则生成单元包括:
特定类型地址提取子单元,用于当所述特定类型文件检测单元的输出为是时,从所述文件提取特定类型外部网络地址信息;
检测规则生成执行子单元,用于根据所述特定类型外部网络地址信息生成网络报文检测规则;
其中,所述网络报文检测规则用于检测发送网络报文的所述内部网络中的设备是否被特定类型文件入侵成功;
所述网络报文检测规则包括:特定类型文件在发送所述网络报文的内部网络的设备中被打开或者执行。
21.一种入侵检测系统,其特征在于,包括:根据权利要求9所述的入侵检测装置、以及根据权利要求20所述的检测规则生成装置。
CN201610298798.1A 2016-05-06 2016-05-06 入侵检测方法、检测规则生成方法、装置及系统 Active CN107347057B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610298798.1A CN107347057B (zh) 2016-05-06 2016-05-06 入侵检测方法、检测规则生成方法、装置及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610298798.1A CN107347057B (zh) 2016-05-06 2016-05-06 入侵检测方法、检测规则生成方法、装置及系统

Publications (2)

Publication Number Publication Date
CN107347057A CN107347057A (zh) 2017-11-14
CN107347057B true CN107347057B (zh) 2021-03-02

Family

ID=60254327

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610298798.1A Active CN107347057B (zh) 2016-05-06 2016-05-06 入侵检测方法、检测规则生成方法、装置及系统

Country Status (1)

Country Link
CN (1) CN107347057B (zh)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108235322B (zh) * 2017-12-28 2021-06-29 新华三技术有限公司 一种无线设备的反制方法及装置
CN109698819B (zh) * 2018-11-19 2020-07-24 中国科学院信息工程研究所 一种网络中的威胁处置管理方法及系统
CN110311901B (zh) * 2019-06-21 2022-03-08 北京雅客云安全科技有限公司 一种基于容器技术的轻量级网络沙箱设置方法
JP7301169B2 (ja) * 2020-01-15 2023-06-30 三菱電機株式会社 中継装置及び中継方法
CN111553332B (zh) * 2020-07-10 2020-10-30 杭州海康威视数字技术股份有限公司 入侵检测规则生成方法、装置及电子设备
CN112738118B (zh) * 2020-12-30 2023-08-29 北京天融信网络安全技术有限公司 网络威胁检测方法、装置、系统、电子设备及存储介质
CN112861132A (zh) * 2021-02-08 2021-05-28 杭州迪普科技股份有限公司 一种协同防护方法和装置
CN113672353B (zh) * 2021-08-24 2024-02-13 支付宝(杭州)信息技术有限公司 一种基于容器的任务执行方法及装置
CN114039776B (zh) * 2021-11-09 2024-03-15 北京天融信网络安全技术有限公司 流量检测规则的生成方法、装置、电子设备及存储介质
CN114253479B (zh) * 2021-12-20 2023-06-20 国汽(北京)智能网联汽车研究院有限公司 一种can总线入侵检测方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102457841A (zh) * 2010-10-28 2012-05-16 西门子公司 用于检测病毒的方法和装置
CN102571812A (zh) * 2011-12-31 2012-07-11 成都市华为赛门铁克科技有限公司 一种网络威胁的跟踪识别方法及装置
CN103825888A (zh) * 2014-02-17 2014-05-28 北京奇虎科技有限公司 网络威胁处理方法及设备
CN104852910A (zh) * 2015-04-24 2015-08-19 杭州华三通信技术有限公司 一种攻击检测的方法和装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101567812B (zh) * 2009-03-13 2011-12-21 华为技术有限公司 对网络攻击进行检测的方法和装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102457841A (zh) * 2010-10-28 2012-05-16 西门子公司 用于检测病毒的方法和装置
CN102571812A (zh) * 2011-12-31 2012-07-11 成都市华为赛门铁克科技有限公司 一种网络威胁的跟踪识别方法及装置
CN103825888A (zh) * 2014-02-17 2014-05-28 北京奇虎科技有限公司 网络威胁处理方法及设备
CN104852910A (zh) * 2015-04-24 2015-08-19 杭州华三通信技术有限公司 一种攻击检测的方法和装置

Also Published As

Publication number Publication date
CN107347057A (zh) 2017-11-14

Similar Documents

Publication Publication Date Title
CN107347057B (zh) 入侵检测方法、检测规则生成方法、装置及系统
US10929538B2 (en) Network security protection method and apparatus
CA2968201C (en) Systems and methods for malicious code detection
US10057284B2 (en) Security threat detection
US11381578B1 (en) Network-based binary file extraction and analysis for malware detection
RU2680736C1 (ru) Сервер и способ для определения вредоносных файлов в сетевом трафике
CN111385376B (zh) 一种终端的非法外联监测方法、装置、系统及设备
US20160381070A1 (en) Protocol based detection of suspicious network traffic
KR20180120157A (ko) 데이터세트 추출 기반 패턴 매칭
CN110717183B (zh) 病毒查杀方法、装置、设备及存储介质
CN108270722B (zh) 一种攻击行为检测方法和装置
CN107465702B (zh) 基于无线网络入侵的预警方法及装置
US9350754B2 (en) Mitigating a cyber-security attack by changing a network address of a system under attack
CN111800405A (zh) 检测方法及检测设备、存储介质
JP5739034B1 (ja) 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム
US20210409446A1 (en) Leveraging network security scanning to obtain enhanced information regarding an attack chain involving a decoy file
Borys et al. An evaluation of IoT DDoS cryptojacking malware and Mirai Botnet
CN113746781A (zh) 一种网络安全检测方法、装置、设备及可读存储介质
KR20160087187A (ko) 사이버 블랙박스 시스템 및 그 방법
CN113872965A (zh) 一种基于Snort引擎的SQL注入检测方法
CN106561026A (zh) 一种基于用户账号操作行为诊断入侵的方法及系统
CN112231679B (zh) 一种终端设备验证方法、装置及存储介质
CN113660222A (zh) 基于强制访问控制的态势感知防御方法及系统
CN107231365B (zh) 一种取证的方法及服务器以及防火墙
TWI711939B (zh) 用於惡意程式碼檢測之系統及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant