CN108134761A - 一种apt检测方法、系统及装置 - Google Patents
一种apt检测方法、系统及装置 Download PDFInfo
- Publication number
- CN108134761A CN108134761A CN201611091570.1A CN201611091570A CN108134761A CN 108134761 A CN108134761 A CN 108134761A CN 201611091570 A CN201611091570 A CN 201611091570A CN 108134761 A CN108134761 A CN 108134761A
- Authority
- CN
- China
- Prior art keywords
- malicious
- analysis unit
- malicious network
- terminal
- network information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 111
- 238000004458 analytical method Methods 0.000 claims abstract description 204
- 230000002159 abnormal effect Effects 0.000 claims abstract description 110
- 238000000034 method Methods 0.000 claims abstract description 45
- 238000005206 flow analysis Methods 0.000 claims abstract description 35
- 230000008569 process Effects 0.000 claims abstract description 33
- 230000007123 defense Effects 0.000 claims description 81
- 230000006399 behavior Effects 0.000 claims description 47
- 238000012545 processing Methods 0.000 claims description 37
- 230000003993 interaction Effects 0.000 claims description 24
- 230000002452 interceptive effect Effects 0.000 claims description 12
- 230000002085 persistent effect Effects 0.000 claims description 6
- 230000001681 protective effect Effects 0.000 abstract 1
- 238000005516 engineering process Methods 0.000 description 13
- 238000012544 monitoring process Methods 0.000 description 5
- 238000004148 unit process Methods 0.000 description 5
- 244000035744 Hura crepitans Species 0.000 description 4
- 238000005457 optimization Methods 0.000 description 4
- 230000003068 static effect Effects 0.000 description 4
- 241000700605 Viruses Species 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000002147 killing effect Effects 0.000 description 2
- 230000002688 persistence Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000002829 reductive effect Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 239000013598 vector Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种APT检测方法、系统及装置,包括APT检测装置对可疑的文件样本进行动态分析,得到恶意网络信息;根据分析得到的恶意网络信息优化用于异常流量分析的策略配置。通过本发明提供的技术方案,使得异常流量分析功能快速提升了流量分析的精度,有助于提高APT检测的准确性和有效性。进一步地,APT检测装置检测到来自终端的异常流量,按照恶意网络信息对相关的恶意网络行为进行处理,以中止恶意进程并删除终端上的恶意软件,使得系统从源头阻断了恶意软件的运行,提高了检测精确度和防护能力,从而提高了APT检测的准确性和有效性。
Description
技术领域
本发明涉及安全监测技术,尤指一种APT检测方法、系统及装置。
背景技术
高级持续性威胁(APT,Advanced Persistent Threat)是一种高级且持续的攻击。相较于一般零星的黑客攻击事件,APT攻击具有计划性、较强的针对性,并可长期潜伏。美国国家标准和技术研究院对APT给出了详细定义:“精通复杂技术的攻击者利用多种攻击向量(如:网络,物理和欺诈等)、借助丰富资源创建机会实现自己的目的”。这些目的通常包括对目标企业的信息技术架构进行篡改,从而盗取数据(如将数据从内网输送到外网),执行或阻止一项任务、程序;又或者是潜入对方架构中伺机进行偷取数据等。
APT的特点表现在A与P上,A代表高级(Advanced),主要表现在攻击水平高超,即攻击行为特征难以提取、单点隐蔽性强、攻击渠道多样化、攻击空间不确定。P代表持续性(Persistent),主要表现在攻击过程持续时间长、攻击成功后隐藏时间长。
传统的安全检测技术主要包括:基于签名的检测技术,如网络入侵检测、恶意代码检测等,主要针对已知且长期大量传播的攻击比较有效;主动行为防御检测技术,如杀毒厂商的桌面防御系统、杀毒软件等,能实时监控进程的行为,但会影响用户使用,并存在大量的误报。传统的检测手段主要针对已知的威胁,对于未知的漏洞、木马程序、攻击手法等,无法进行检测。显然,传统的检测手段在应对APT攻击检测时更是显得力不从心。
目前,APT检测技术归纳起来主要包括:动态分析检测、异常流量检测、终端防御检测。其中,
动态分析检测的典型代表有沙箱检测技术,主要是通过在虚拟环境上执行检测,基于运行结果来判定是否为恶意攻击。但是,动态分析检测只能检测恶意软件并提出预警,并不能从源头阻断恶意软件的运行。在执行了动态分析检测之后,由于缺乏和终端设备之间的联动,恶意软件可能还是会继续在终端设备上运行;
异常流量检测类似于防火墙技术,主要是通过对通过设备的流量包进行协议解析和内容解析,并与事先设定的规则(如黑白名单)进行比对,从而检测出异常的行为。异常流量检测基于异常流量分析的APT检测系统可以检测联网的恶意软件,但是,由于异常流量检测的精确度很大程度上取决于规则库,而很多首次出现的网络病毒其访问的恶意网站并不在规则库之列,因此,异常流量检测存在精确度欠佳的问题。并且,异常流量检测只能在本设备上阻断恶意流量,由于缺乏和终端设备之间的联动,因此,在恶意流量被阻断之后,终端设备上的恶意软件和恶意进程可能还是在本地继续运行。
传统的终端上的终端防御检测功能只是实现了静态杀毒软件的功能,对于没有列入静态病毒库的病毒无法清除。并且,由于缺乏和其他设备之间的实时联动,无法及时阻断和清除其他设备检测出的本地恶意文件。
综上所述,目前APT防御检测技术,要么对恶意流量的检测精确度欠佳;要么无法从源头阻断恶意进程的运行及清除恶意软件等,从而降低了APT防御技术的准确性和有效性。
发明内容
为了解决上述技术问题,本发明提供一种APT检测方法、系统及装置,能够提高APT检测的准确性和有效性。
为了达到本发明目的,本发明提供了一种高级持续性威胁APT检测系统,包括:异常流量分析单元、终端防御单元、动态分析单元,其中,
终端防御单元,用于将可疑的文件样本输出给动态分析单元;根据来自所述异常流量分析单元的通知消息对相关的恶意网络行为进行处理;
动态分析单元,用于对接收到的文件样本进行动态分析,将分析得到的恶意网络信息输出给异常流量分析单元;
异常流量分析单元,用于根据接收到的恶意网络信息优化自身的策略配置;检测到来自终端的异常流量后向所述终端防御单元发送通知消息。
可选地,所述动态分析单元还用于:检测到网络中其它系统上报恶意网络行为,对上报的恶意网络行为进行动态分析,并将动态分析结果输出给所述终端防御单元,将分析得到的恶意网络信息输出给所述异常流量分析单元。
可选地,所述动态分析单元还用于:将所述动态分析结果输出给终端防御单元;
所述终端防御单元还用于:根据来自动态分析单元的动态分析结果获取恶意网络信息并输出给异常流量分析单元。
可选地,所述通知消息中携带有恶意网络信息。
可选地,所述恶意网络信息包括:恶意网站的域名、和/或IP地址、和/或端口号、和/或恶意进程信息。
可选地,所述异常流量分析单元、所述终端防御单元、所述动态分析单元之间通过管理中心查询交互对端的地址以发起信息交互;
或者,所述异常流量分析单元、所述终端防御单元、所述动态分析单元之间经由管理中心向对端转发交互的信息。
本发明还提供了一种APT检测装置,设置在终端;包括第一交互模块,第一处理模块;其中,
第一交互模块,用于将可疑的文件样本输出给动态分析模块;
第一处理模块,用于根据来自异常流量分析单元的通知消息对相关的恶意网络行为进行处理。
可选地,所述第一处理模块还用于:根据来自动态分析单元的动态分析结果获取恶意网络信息并输出给异常流量分析单元。
本发明又提供了一种APT检测装置,设置在服务器;包括第二交互模块,第二处理模块;其中,
第二处理模块,用于对接收到的文件样本进行动态分析;
第二交互模块,用于将分析得到的恶意网络信息输出给异常流量分析单元。
可选地,所述第二处理模块还用于:检测到网络中其它系统上报恶意网络行为,对上报的恶意网络行为进行动态分析;
所述第二交互模块还用于:将动态分析结果输出给终端防御单元,将分析得到的恶意网络信息输出给异常流量分析单元。
可选地,所述第二交互模块还用于:将所述动态分析结果输出给终端防御单元。
本发明再提供了一种APT检测装置,设置在服务器;包括第三交互模块,第三处理模块;其中,
第三处理模块,用于根据接收到的恶意网络信息优化自身的策略配置;
第三交互模块,用于检测到来自终端的异常流量后向终端防御单元发送通知消息。
本发明还提供了一种高级持续性威胁APT检测方法,包括:
APT检测装置对可疑的文件样本进行动态分析,得到恶意网络信息;
APT检测装置根据分析得到的恶意网络信息优化用于异常流量分析的策略配置。
可选地,还包括:
所述APT检测装置检测到来自终端的异常流量,按照恶意网络信息对相关的恶意网络行为进行处理。
可选地,所述按照恶意网络信息对相关的恶意网络行为进行处理包括:中止恶意进程并删除终端上的恶意软件。
可选地,还包括:
所述APT检测装置检测到网络中其它系统上报恶意网络行为,对上报的恶意网络行为进行动态分析得到所述恶意网络信息。
可选地,所述恶意网络信息包括:恶意网站的域名、和/或IP地址、和/或端口号、和/或恶意进程信息。
与现有技术相比,本申请技术方案包括:APT检测装置对可疑的文件样本进行动态分析,得到恶意网络信息;根据分析得到的恶意网络信息优化用于异常流量分析的策略配置。通过本发明提供的技术方案,使得异常流量分析功能快速提升了流量分析的精度,有助于提高APT检测的准确性和有效性。
进一步地,APT检测装置检测到来自终端的异常流量,按照恶意网络信息对相关的恶意网络行为进行处理,以中止恶意进程并删除终端上的恶意软件,使得系统从源头阻断了恶意软件的运行,提高了检测精确度和防护能力,从而提高了APT检测的准确性和有效性。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明APT检测装置的组成结构示意图;
图2为本发明APT检测方法的流程图;
图3为本发明APT检测方法的第一实施例的流程示意图;
图4为本发明APT检测方法的第二实施例的流程示意图;
图5为本发明APT检测方法的第三实施例的流程示意图;
图6为本发明APT检测方法的第四实施例的流程示意图;
图7为本发明APT检测方法的第五实施例的流程示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
图1为本发明APT检测系统的组成结构示意图,如图1所示,至少包括异常流量分析单元、终端防御单元、动态分析单元,其中,
终端防御单元,用于将可疑的文件样本输出给动态分析单元;根据来自所述异常流量分析单元的通知消息对相关的恶意网络行为进行处理;
动态分析单元,用于对接收到的文件样本进行动态分析,将分析得到的恶意网络信息输出给异常流量分析单元;
异常流量分析单元,用于根据接收到的恶意网络信息优化自身的策略配置;检测到来自终端的异常流量后向所述终端防御单元发送通知消息。
可选地,
动态分析单元还用于:检测到网络中其它系统如邮件服务器上报恶意网络行为(如上报恶意软件等),对上报的恶意网络行为进行动态分析,并将动态分析结果输出给终端防御单元,将分析得到的恶意网络信息输出给异常流量分析单元。
可选地,
动态分析单元还用于:将所述动态分析结果输出给终端防御单元;
终端防御单元还用于:根据来自动态分析单元的动态分析结果获取恶意网络信息并输出给异常流量分析单元
其中,通知消息中携带有恶意网络信息。
其中,恶意网络信息包括但不限于:恶意网站的域名、和/或IP地址、和/或端口号、和/或恶意进程信息等。
其中,异常流量分析单元根据接收到的恶意网络信息优化自身的策略配置具体包括:将恶意网站的域名、和/或IP地址,和/或端口号、和/或恶意进程信息等信息添加到黑名单中。
其中,终端防御单元对相关的恶意网络行为进行处理包括但不限于:中止恶意进程并删除终端上的恶意软件。
其中,
异常流量分析单元、终端防御单元、动态分析单元之间可以通过统一的管理中心查询交互对端的地址以发起信息交互,或者,也可以经由管理中心向对端转发交互的信息。
通过本发明提供的APT检测装置,将文件动态行为分析功能、异常流量分析功能和终端防御功能组成一个整体,三者之间进行有效配合,从源头有效地阻止了恶意网络行为,提高了检测精确度和防护能力,从而提高了APT检测的准确性和有效性。
可选地,
终端防御单元还用于:具备进程监控和文件扫描查杀等静态防御功能。
可选地,基于上述本发明三种APT检测装置,
异常流量分析单元还用于:进行流量监控和流量分析,从中筛选出异常流量并根据策略进行流量阻断。
可选地,
动态分析单元还用于:对接收到的文件进行动态分析并得出分析结果。
本发明终端防御单元设置在终端,至少包括:第一交互模块,第一处理模块;其中,
第一交互模块,用于将可疑的文件样本输出给动态分析模块;
第一处理模块,用于根据来自异常流量分析单元的通知消息对相关的恶意网络行为进行处理。
可选地,第一处理模块还用于:根据来自动态分析单元的动态分析结果获取恶意网络信息并输出给异常流量分析单元。
本发明动态分析单元设置在服务器,至少包括:第二交互模块,第二处理模块;其中,
第二处理模块,用于对接收到的文件样本进行动态分析;
第二交互模块,用于将分析得到的恶意网络信息输出给异常流量分析单元。
可选地,第二处理模块还用于:检测到网络中其它系统上报恶意网络行为,对上报的恶意网络行为进行动态分析;
第二交互模块还用于:将动态分析结果输出给终端防御单元,将分析得到的恶意网络信息输出给异常流量分析单元。
可选地,第二交互模块还用于:将所述动态分析结果输出给终端防御单元。
本发明异常流量分析单元设置在服务器,至少包括:第三交互模块,第三处理模块;其中,
第三处理模块,用于根据接收到的恶意网络信息优化自身的策略配置;
第三交互模块,用于检测到来自终端的异常流量后向终端防御单元发送通知消息。
需要说明的是,动态分析单元所在服务器与异常流量分析单元所在服务器可以是同一台服务器,也可以是不同的服务器。
图2为本发明APT检测方法的流程图,如图2所示,包括:
步骤200:APT检测装置对可疑的文件样本进行动态分析,得到恶意网络信息。
本步骤中的恶意网络信息是从动态分析后得到的动态分析结果中获取的。
步骤201:APT检测装置根据分析得到的恶意网络信息优化用于异常流量分析的策略配置。
本步骤具体包括:将恶意网络信息中的恶意网站的域名、和/或IP地址,和/或端口号、和/或恶意进程信息等信息添加到黑名单中。
本发明方法还包括:
步骤203:APT检测装置检测到来自终端的异常流量,按照恶意网络信息对相关的恶意网络行为进行处理。
其中,按照恶意网络信息对相关的恶意网络行为进行处理包括但不限于:中止恶意进程并删除终端上的恶意软件。
本发明方法还包括:
APT检测装置检测到网络中其它系统如邮件服务器上报恶意网络行为(如上报恶意软件等),对上报的恶意网络行为进行动态分析得到恶意网络信息。
其中,恶意网络信息包括但不限于:恶意网站的域名、和/或IP地址、和/或端口号、和/或恶意进程信息等。
通过本发明提供的APT检测方法,将文件动态行为分析功能、异常流量分析功能和终端防御功能组成一个整体,三者之间进行有效配合,从源头有效地阻止了恶意网络行为,提高了检测精确度和防护能力,从而提高了APT检测的准确性和有效性。
进一步地,本发明方法还包括:
APT检测装置进行进程监控和文件扫描查杀等静态防御功能。
进一步地,本发明方法还包括:
APT检测装置进行流量监控和流量分析,从中筛选出异常流量并根据策略进行流量阻断。
进一步地,本发明方法还包括:
APT检测装置对接收到的文件进行动态分析并得出分析结果。
本发明还提供了一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行本发明任一项的APT检测方法。
下面结合图1所示的本发明APT检测装置对本发明APT检测方法的具体实现进行详细描述。
图3为本发明APT检测方法的第一实施例的流程示意图,第一实施例的场景为:终端打开一个存在网络行为的恶意样本后,通过本发明APT检测系统的联动来实现对恶意样本的检测、清除和对异常流量分析精度的改进。在第一实施例中,由动态分析单元对样本进行动态分析,并向终端防御单元通知分析结果,终端防御单元收到分析结果后根据策略对恶意样本进行处理,并将恶意网络信息上报给异常流量分析单元,异常流量分析单元据此优化策略配置,以提高分析精度。如图3所示,具体实现包括:
步骤300:终端防御单元在检测到本地文件被打开或者运行之后,将被打开或者运行的文件上传给动态分析功能单元进行分析。
本步骤中,文件上传的方式可以是根据配置由终端防御单元自动上传;也可以是终端防御单元提示用户进行手动上传。
步骤301:动态分析单元收到样本文件后,将样本文件保存在本地,并进行动态分析。
其中,分析的方法一般可以采用沙箱检测的方式,在虚拟机中运行接收到的样本文件以获取运行结果,并根据预先设定的规则从运行结果中筛选出恶意网络行为,相关恶意网络信息如恶意网站域名、IP地址、端口号等即被记录下来。
步骤302:动态分析单元向终端防御单元返回样本动态分析结果。
在动态分析结果中可以携带:样本是否为恶意样本、文件特征(如文件名称、大小、MD5值等)、访问的恶意网站的域名、IP地址、端口号等恶意网络信息。
其中,动态分析单元查找终端的方法可以通过统一的管理中心实现,比如:终端用户事先向管理中心发送消息告知自身的IP地址和端口号,管理中心保存这些信息,这样,后续动态分析单元或异常流量分析单元便可以通过向管理中心查询来获取目标终端的IP地址和端口号,从而实现和终端之间的消息交互。
步骤303:终端防御单元收到动态分析单元返回的动态分析结果后,从动态分析结果中提取文件特征、恶意网站等相关信息并保存;终端防御单元根据本地配置策略对恶意样本和相关进程进行处理,比如可根据策略终止恶意进程并删除相关恶意文件等。
步骤304:终端防御单元将恶意网络信息如恶意网站的域名、IP地址、端口号等信息上报给异常流量分析单元。
步骤305:异常流量分析单元接收到终端防御功能单元上报的恶意网络信息后,将恶意网络信息用于策略优化,比如:将恶意网站的域名、IP地址、端口号等添加到黑名单中,这样,后续来自或发送到这个网站的流量都可以直接被异常流量分析单元判断为恶意流量,从而达到优化流量分析精度的目的。
图4为本发明APT检测方法的第二实施例的流程示意图,第二实施例与图2所示的场景相同,不同之处在于:第二实施例中,由动态分析单元直接将恶意网络信息发送给异常流量分析单元。如图3所示,具体实现包括:
步骤400~步骤403:具体实现与步骤300~步骤303完全一致,这里不再赘述。
步骤404:动态分析单元检测到样本文件存在恶意网络行为后,向异常流量分析单元上报恶意网络信息,恶意网络信息包含但不限于:恶意网站的域名、IP地址、端口号等信息。
本步骤中,动态分析单元查找异常流量分析单元的方法可以通过统一的管理中心实现。管理中心保存有所有动态分析单元和异常流量分析的配置信息,动态分析单元或异常流量分析单元可以通过向管理中心查询来获取对方的IP地址和端口号,从而实现两者之间的消息交互。
步骤405:异常流量分析单元接收到动态分析单元的上报的恶意网络信息后,将恶意网络信息用于策略优化,比如:将恶意网站的域名、IP地址、端口号等添加到黑名单中,这样,后续来自或发送到这个网站的流量都可以直接被异常流量分析单元判断为恶意流量,从而达到优化流量分析精度的目的。
图5为本发明APT检测方法的第三实施例的流程示意图,第三实施例的场景为:动态分析单元检测到网络中其他系统如邮件系统上报的恶意软件后的处理流程。在第三实施例中,动态分析单元对邮件系统上传的样本进行动态分析,并向邮件系统返回分析结果,同时将恶意文件特征通知给相关用户的终端防御单元,并将恶意网络信息上报给异常流量分析单元,异常流量分析单元据此优化策略配置,以提高分析精度。如图5所示,具体实现包括:
步骤500:邮件系统将样本上传给动态分析功能单元。
其中,邮件系统为和APT检测装置部署在同一内网的邮件服务器中。
本步骤中,邮件系统将样本上传给动态分析单元可以采取的方式包括:邮件系统收到邮件后,对于携带附件的邮件,将携带的附件从邮件中提取出来并通过消息发送给动态分析单元分析,在该消息中还携带有邮件收件人的邮箱地址或收件人的身份信息等。
步骤501:动态分析单元收到样本后,将样本和收件人信息保存在本地,并进行动态分析。
本步骤中,动态分析的方法一般可以采用沙箱检测的方式,在虚拟机中运行接收到的样本以获取运行结果,并根据预先设定的规则从运行结果中筛选出恶意网络行为,相关恶意网络信息如恶意网站域名、IP地址、端口号等即被记录下来。
步骤502:动态分析单元向终端防御单元返回样本动态分析结果。
其中,动态分析结果中可以携带样本是否为恶意样本、文件特征(如文件名称、大小、MD5值等)等信息。
步骤503:动态分析单元查找到样本所属收件人当前的终端防御单元的IP地址和端口号,向改终端防御单元发送消息,在该消息中携带有恶意文件信息,比如:文件特征(如文件名称、大小、MD5值等)、访问的恶意网站的域名、IP地址、端口号等。
其中,动态分析单元查找样本所属收件人当前的终端防御单元的方式可以通过统一的管理中心实现。
管理中心中除了保存有所有动态分析单元、异常流量分析的配置信息之外,还保存有用户的终端防御单元的网络地址,用户的终端防御单元向管理中心上报自身的网络地址可以采用用户登录终端防御单元时由终端防御单元向管理中心上报,上报消息中携带有用户标识,管理中心保存用户标识及其终端防御单元的网络信息;管理中心还可以保存该用户的邮件地址。动态分析单元通过向管理中心发送查询消息,在查询消息中携带有从邮件系统中获取到的用户邮件地址或者用户标识。这样,管理中心便可以根据用户标识或者用户邮件地址查询到该用户当前的终端防御单元的网络地址,并将其返回给动态分析单元。
类似地,步骤500中邮件系统也可以通过向管理中心查询的方式获取到动态分析单元地址并向其上报样本。
步骤504:动态分析功能单元检测到样本存在恶意网络行为后,向异常流量分析单元上报恶意网络信息,恶意网络信息包含但不限于:恶意网站的域名、IP地址、端口号等信息。
步骤505:异常流量分析单元接收到动态分析单元的上报的恶意网络信息后,将恶意网络信息用于策略优化,比如:将恶意网站的域名、IP地址、端口号等添加到黑名单中,这样,后续来自或发送到这个网站的流量都可以直接被异常流量分析单元判断为恶意流量,从而达到优化流量分析精度的目的。
图6为本发明APT检测方法的第四实施例的流程示意图,第四实施例的场景为:异常流量分析单元检测到异常流量后,通知相关的终端防御单元对恶意软件进行处理。如图6所示,具体实现包括:
步骤600:终端上运行的恶意软件连接到外网,向恶意网站发送或接收消息。
步骤601:异常流量分析单元捕获到终端上发送或接收到的流量并进行异常流量分析;检测到异常流量后,根据策略进行流量阻断。
通过异常流量分析,异常流量分析单元可以获取到恶意流量的网络信息,如恶意网站的域名、IP地址、端口号等。
步骤602:异常流量分析单元向终端防御单元发送消息,以通知终端清除恶意软件。
本步骤发送的消息中携带有恶意网络信息,其中,恶意网络信息包含但不限于:恶意进程信息、恶意网站的域名、IP地址、端口号等。
步骤603~步骤604:终端防御单元收到通知后,根据策略配置对相关恶意样本及相关恶意软件进行处理,比如:可以终止相关恶意进程、删除相关恶意样本或向用户弹出告警等,之后,终端防御单元向异常流量分析单元返回确认消息。
第四实施例通过异常流量分析单元检测到异常流量后通知终端防御单元清除恶意软件的方式,使得系统从源头终止了恶意进程的运行并清除了恶意软件。
图7为本发明APT检测方法的第五实施例的流程示意图,第五实施例的场景与第一实施例的场景相同,不同之处在于:第五实施例中,各单元之间的消息交互通过统一的管理中心进行转发。如图7所示,具体实现包括:
步骤700~步骤701:终端防御单元在检测到本地文件被打开或者运行之后,将文件上传给管理中心,管理中心保存终端防御单元的标识(ID)或网络地址,并通过策略选择一个动态分析单元,将被打开或者运行的文件转发给该动态分析单元进行分析。
本步骤中,管理中心如何根据策略选择一个动态分析单元的具体实现属于本领域技术人员的公知技术,其具体实现并不用于限定本发明的保护范围,这里不再赘述。
步骤702:动态分析单元收到样本文件后,将样本文件保存在本地,并进行动态分析。
其中,分析的方法一般可以采用沙箱检测的方式,在虚拟机中运行接收到的样本文件以获取运行结果,并根据预先设定的规则从运行结果中筛选出恶意网络行为,相关恶意网络信息如恶意网站域名、IP地址、端口号等即被记录下来。
步骤703~步骤704:动态分析单元向管理中心返回样本动态分析结果,管理中心通过查询之前保存的信息获取终端防御单元网络地址,并将动态分析结果发送给该终端防御功能单元。
在动态分析结果中可以携带:样本是否为恶意样本、文件特征(如文件名称、大小、MD5值等)、访问的恶意网站的域名、IP地址、端口号等恶意网络信息。管理中心保存所述样本文件的恶意网络信息。
步骤705:终端防御单元收到动态分析单元返回的动态分析结果后,从动态分析结果中提取文件特征、恶意网站等相关信息并保存;终端防御单元根据本地配置策略对恶意样本和相关进程进行处理,比如可根据策略终止恶意进程并删除相关恶意文件等。
步骤706:管理中心将恶意网络信息如恶意网站的域名、IP地址、端口号等信息上报给异常流量分析单元。
步骤707:异常流量分析单元接收到终端防御功能单元上报的恶意网络信息后,将恶意网络信息用于策略优化,比如:将恶意网站的域名、IP地址、端口号等添加到黑名单中,这样,后续来自或发送到这个网站的流量都可以直接被异常流量分析单元判断为恶意流量,从而达到优化流量分析精度的目的。
从上述流程中可以看出,采取本发明提供的技术方案,将文件动态行为分析功能、异常流量分析功能和终端防御功能组成一个整体,三者之间进行有效配合,动态分析功能和/或终端防御功能将恶意网络信息上报给异常流量分析功能,使得异常流量分析功能快速提升了流量分析的精度;异常流量分析功能和/或动态分析功能检测到恶意行为后通知终端防御功能中止恶意进程并删除终端上的恶意软件,使得系统从源头阻断了恶意软件的运行,提高了检测精确度和防护能力,从而提高了APT检测的准确性和有效性。
以上所述,仅为本发明的较佳实例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (17)
1.一种高级持续性威胁APT检测系统,其特征在于,包括:异常流量分析单元、终端防御单元、动态分析单元,其中,
终端防御单元,用于将可疑的文件样本输出给动态分析单元;根据来自所述异常流量分析单元的通知消息对相关的恶意网络行为进行处理;
动态分析单元,用于对接收到的文件样本进行动态分析,将分析得到的恶意网络信息输出给异常流量分析单元;
异常流量分析单元,用于根据接收到的恶意网络信息优化自身的策略配置;检测到来自终端的异常流量后向所述终端防御单元发送通知消息。
2.根据权利要求1所述的APT检测系统,其特征在于,
所述动态分析单元还用于:检测到网络中其它系统上报恶意网络行为,对上报的恶意网络行为进行动态分析,并将动态分析结果输出给所述终端防御单元,将分析得到的恶意网络信息输出给所述异常流量分析单元。
3.根据权利要求1所述的APT检测系统,其特征在于,所述动态分析单元还用于:将所述动态分析结果输出给终端防御单元;
所述终端防御单元还用于:根据来自动态分析单元的动态分析结果获取恶意网络信息并输出给异常流量分析单元。
4.根据权利要求1~3任一项所述的APT检测系统,其特征在于,所述通知消息中携带有恶意网络信息。
5.根据权利要求4所述的APT检测系统,其特征在于,所述恶意网络信息包括:恶意网站的域名、和/或IP地址、和/或端口号、和/或恶意进程信息。
6.根据权利要求1~3任一项所述的APT检测系统,其特征在于,
所述异常流量分析单元、所述终端防御单元、所述动态分析单元之间通过管理中心查询交互对端的地址以发起信息交互;
或者,所述异常流量分析单元、所述终端防御单元、所述动态分析单元之间经由管理中心向对端转发交互的信息。
7.一种APT检测装置,其特征在于,设置在终端;包括第一交互模块,第一处理模块;其中,
第一交互模块,用于将可疑的文件样本输出给动态分析模块;
第一处理模块,用于根据来自异常流量分析单元的通知消息对相关的恶意网络行为进行处理。
8.根据权利要求7所述的APT检测装置,其特征在于,所述第一处理模块还用于:根据来自动态分析单元的动态分析结果获取恶意网络信息并输出给异常流量分析单元。
9.一种APT检测装置,其特征在于,设置在服务器;包括第二交互模块,第二处理模块;其中,
第二处理模块,用于对接收到的文件样本进行动态分析;
第二交互模块,用于将分析得到的恶意网络信息输出给异常流量分析单元。
10.根据权利要求9所述的APT检测装置,其特征在于,所述第二处理模块还用于:检测到网络中其它系统上报恶意网络行为,对上报的恶意网络行为进行动态分析;
所述第二交互模块还用于:将动态分析结果输出给终端防御单元,将分析得到的恶意网络信息输出给异常流量分析单元。
11.根据权利要求9所述的APT检测装置,其特征在于,所述第二交互模块还用于:将所述动态分析结果输出给终端防御单元。
12.一种APT检测装置,其特征在于,设置在服务器;包括第三交互模块,第三处理模块;其中,
第三处理模块,用于根据接收到的恶意网络信息优化自身的策略配置;
第三交互模块,用于检测到来自终端的异常流量后向终端防御单元发送通知消息。
13.一种高级持续性威胁APT检测方法,其特征在于,包括:
APT检测装置对可疑的文件样本进行动态分析,得到恶意网络信息;
APT检测装置根据分析得到的恶意网络信息优化用于异常流量分析的策略配置。
14.根据权利要求13所述的APT检测方法,其特征在于,还包括:
所述APT检测装置检测到来自终端的异常流量,按照恶意网络信息对相关的恶意网络行为进行处理。
15.根据权利要求14所述的APT检测方法,其特征在于,所述按照恶意网络信息对相关的恶意网络行为进行处理包括:中止恶意进程并删除终端上的恶意软件。
16.根据权利要求13所述的APT检测方法,其特征在于,还包括:
所述APT检测装置检测到网络中其它系统上报恶意网络行为,对上报的恶意网络行为进行动态分析得到所述恶意网络信息。
17.根据权利要求13~16任一项所述的APT检测方法,其特征在于,所述恶意网络信息包括:恶意网站的域名、和/或IP地址、和/或端口号、和/或恶意进程信息。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611091570.1A CN108134761B (zh) | 2016-12-01 | 2016-12-01 | 一种apt检测系统及装置 |
| PCT/CN2017/107406 WO2018099206A1 (zh) | 2016-12-01 | 2017-10-24 | 一种apt检测方法、系统及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611091570.1A CN108134761B (zh) | 2016-12-01 | 2016-12-01 | 一种apt检测系统及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108134761A true CN108134761A (zh) | 2018-06-08 |
| CN108134761B CN108134761B (zh) | 2021-05-04 |
Family
ID=62241365
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611091570.1A Active CN108134761B (zh) | 2016-12-01 | 2016-12-01 | 一种apt检测系统及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN108134761B (zh) |
| WO (1) | WO2018099206A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109409089A (zh) * | 2018-09-28 | 2019-03-01 | 西安电子科技大学 | 一种基于虚拟机自省的Windows加密型勒索软件检测方法 |
| CN109726043A (zh) * | 2018-09-07 | 2019-05-07 | 网联清算有限公司 | 应用服务控制方法及装置 |
| CN114301689A (zh) * | 2021-12-29 | 2022-04-08 | 北京安天网络安全技术有限公司 | 校园网络安全防护方法、装置、计算设备及存储介质 |
| CN115051833A (zh) * | 2022-05-12 | 2022-09-13 | 中国电子科技集团公司电子科学研究院 | 一种基于终端进程的互通网络异常检测方法 |
| CN115242436A (zh) * | 2022-06-14 | 2022-10-25 | 徐州恒佳电子科技有限公司 | 一种基于命令行特征的恶意流量检测方法及系统 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110958129A (zh) * | 2018-09-26 | 2020-04-03 | 北京国双科技有限公司 | 流量分析的方法、系统和装置 |
| US11159542B2 (en) * | 2019-03-21 | 2021-10-26 | Microsoft Technology Licensing, Llc | Cloud view detection of virtual machine brute force attacks |
| CN111277585B (zh) * | 2020-01-16 | 2022-09-30 | 深信服科技股份有限公司 | 威胁处理方法、装置、设备和可读存储介质 |
| CN113079151B (zh) * | 2021-03-26 | 2023-05-16 | 深信服科技股份有限公司 | 一种异常处理方法、装置、电子设备及可读存储介质 |
| CN113364799B (zh) * | 2021-06-22 | 2022-10-28 | 北京安天网络安全技术有限公司 | 一种网络威胁行为的处理方法和系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102457495A (zh) * | 2010-10-21 | 2012-05-16 | 中华电信股份有限公司 | 网络病毒防护方法及系统 |
| CN104283889A (zh) * | 2014-10-20 | 2015-01-14 | 国网重庆市电力公司电力科学研究院 | 基于网络架构的电力系统内部apt攻击检测及预警系统 |
| CN105376245A (zh) * | 2015-11-27 | 2016-03-02 | 杭州安恒信息技术有限公司 | 一种基于规则的apt攻击行为的检测方法 |
| US20160330218A1 (en) * | 2015-05-06 | 2016-11-10 | Hand Held Products, Inc. | Method and system to protect software-based network-connected devices from advanced persistent threat |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106034056B (zh) * | 2015-03-18 | 2020-04-24 | 北京启明星辰信息安全技术有限公司 | 一种业务安全分析的方法和系统 |
-
2016
- 2016-12-01 CN CN201611091570.1A patent/CN108134761B/zh active Active
-
2017
- 2017-10-24 WO PCT/CN2017/107406 patent/WO2018099206A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102457495A (zh) * | 2010-10-21 | 2012-05-16 | 中华电信股份有限公司 | 网络病毒防护方法及系统 |
| CN104283889A (zh) * | 2014-10-20 | 2015-01-14 | 国网重庆市电力公司电力科学研究院 | 基于网络架构的电力系统内部apt攻击检测及预警系统 |
| US20160330218A1 (en) * | 2015-05-06 | 2016-11-10 | Hand Held Products, Inc. | Method and system to protect software-based network-connected devices from advanced persistent threat |
| CN105376245A (zh) * | 2015-11-27 | 2016-03-02 | 杭州安恒信息技术有限公司 | 一种基于规则的apt攻击行为的检测方法 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109726043A (zh) * | 2018-09-07 | 2019-05-07 | 网联清算有限公司 | 应用服务控制方法及装置 |
| CN109409089A (zh) * | 2018-09-28 | 2019-03-01 | 西安电子科技大学 | 一种基于虚拟机自省的Windows加密型勒索软件检测方法 |
| CN109409089B (zh) * | 2018-09-28 | 2021-11-23 | 西安电子科技大学 | 一种基于虚拟机自省的Windows加密型勒索软件检测方法 |
| CN114301689A (zh) * | 2021-12-29 | 2022-04-08 | 北京安天网络安全技术有限公司 | 校园网络安全防护方法、装置、计算设备及存储介质 |
| CN114301689B (zh) * | 2021-12-29 | 2024-02-23 | 北京安天网络安全技术有限公司 | 校园网络安全防护方法、装置、计算设备及存储介质 |
| CN115051833A (zh) * | 2022-05-12 | 2022-09-13 | 中国电子科技集团公司电子科学研究院 | 一种基于终端进程的互通网络异常检测方法 |
| CN115051833B (zh) * | 2022-05-12 | 2023-12-15 | 中国电子科技集团公司电子科学研究院 | 一种基于终端进程的互通网络异常检测方法 |
| CN115242436A (zh) * | 2022-06-14 | 2022-10-25 | 徐州恒佳电子科技有限公司 | 一种基于命令行特征的恶意流量检测方法及系统 |
| CN115242436B (zh) * | 2022-06-14 | 2023-12-01 | 徐州恒佳电子科技有限公司 | 一种基于命令行特征的恶意流量检测方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108134761B (zh) | 2021-05-04 |
| WO2018099206A1 (zh) | 2018-06-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108134761B (zh) | 一种apt检测系统及装置 | |
| JP6441957B2 (ja) | 疑わしいオブジェクトにおけるエクスプロイトを自動的に実証し、当該実証済みエクスプロイトに関連付けられた表示情報を強調するシステム、装置、および方法 | |
| US10084816B2 (en) | Protocol based detection of suspicious network traffic | |
| US9628508B2 (en) | Discovery of suspect IP addresses | |
| CN107612924B (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
| US10673872B2 (en) | Advanced persistent threat detection | |
| KR100942456B1 (ko) | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 | |
| CN110881043B (zh) | 一种web服务器漏洞的检测方法及装置 | |
| US11075930B1 (en) | System and method for detecting repetitive cybersecurity attacks constituting an email campaign | |
| CN107579997A (zh) | 无线网络入侵检测系统 | |
| CN107566401B (zh) | 虚拟化环境的防护方法及装置 | |
| CN101621428A (zh) | 一种僵尸网络检测方法及系统以及相关设备 | |
| US10142360B2 (en) | System and method for iteratively updating network attack mitigation countermeasures | |
| CN106506630B (zh) | 一种基于http内容一致性的恶意网络行为发现方法 | |
| US10659493B2 (en) | Technique for detecting malicious electronic messages | |
| CN111859374B (zh) | 社会工程学攻击事件的检测方法、装置以及系统 | |
| CN113783886A (zh) | 一种基于情报和数据的电网智慧运维方法及其系统 | |
| CN113422779A (zh) | 一种基于集中管控的积极的安全防御的系统 | |
| KR101768079B1 (ko) | 침입탐지 오탐 개선을 위한 시스템 및 방법 | |
| Jadhav et al. | A novel approach for the design of network intrusion detection system (NIDS) | |
| CN111641951A (zh) | 一种基于sa架构的5g网络apt攻击溯源方法及系统 | |
| CN111541701B (zh) | 攻击诱捕方法、装置、设备及计算机可读存储介质 | |
| KR101767591B1 (ko) | 침입탐지 오탐 개선을 위한 시스템 및 방법 | |
| CN106209867B (zh) | 一种高级威胁防御方法及系统 | |
| CN112491817A (zh) | 一种基于蜜罐技术的溯源方法、装置及蜜罐设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |