CN109787964B - 进程行为溯源装置和方法 - Google Patents
进程行为溯源装置和方法 Download PDFInfo
- Publication number
- CN109787964B CN109787964B CN201811634450.0A CN201811634450A CN109787964B CN 109787964 B CN109787964 B CN 109787964B CN 201811634450 A CN201811634450 A CN 201811634450A CN 109787964 B CN109787964 B CN 109787964B
- Authority
- CN
- China
- Prior art keywords
- network
- behavior
- module
- data
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种进程行为溯源装置,该进程行为溯源装置包括进程网络信息追踪模块、进程网络信息处理模块、进程资源行为追踪模块、网络归并模块以及行为运算模块。本发明还涉及一种进程行为溯源方法。本发明能够针对操作系统状态进行全方位监控,并对自主、非自主的网络行为进行安全审计,从进程行为角度提供细粒度的分析,为计算环境整体安全态势提供数据支持。
Description
技术领域
本发明总体涉及网络安全技术领域。具体地,本发明涉及进程行为溯源装置和方法。更具体地,本发明涉及通过对进程的网络行为进行分析,对进程的资源行为进行分析,关联追踪进程的网络行为和进程的资源行为来对进程行为溯源的装置和方法。
背景技术
现有网络安全技术是指网络系统的硬件、软件及其系统中的数据能够受到保护,不会因为偶然原因或恶意原因而遭受破坏、更改、泄露,系统能连续可靠正常地运行,网络服务不中断。
当前的网络安全防护产品主要分为如下两大类:边界安全产品和主机安全产品。
边界安全产品主要包括如下几种:
第一,防火墙系统,防火墙系统可以根据IP地址或服务端口过滤数据包。然而,防火墙系统对于利用合法IP地址和端口所从事的破坏活动则无能为力,这是因为防火墙极少深入数据包检查内容。中国绝大多数企业都在采用网络版杀毒软件+防火墙的方式来保护企业的网络正常运行。网络版杀毒软件是部署在企业网络内部且进行统一集中管理的一套杀毒软件。它可以对企业内部的病毒进行查杀,能够在一定程度上保证企业网络系统的安全,但仍然存在很大的局限性。
第二,入侵防御系统(Intrusion Prevention System,IPS),入侵防御系统是电脑网络安全设施,是对防病毒软件和防火墙的补充。入侵防御系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时地中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
入侵防御系统作为入侵侦查系统和入侵响应系统二者的进一步发展,汲取了二者的长处。
入侵侦查系统(Intrusion Detection System,IDS)在发现异常情况后及时向网络安全管理人员或防火墙系统发出警报。在ISO/OSI网络层次模型中,防火墙主要在第二到第四层起作用,它的作用在第四到第七层一般很微弱,而防病毒软件、防毒墙主要在第五到第七层起作用。为了弥补防火墙和防病毒软件、防毒墙二者在第四到第五层之间留下的空档,工业界投入使用入侵侦查系统。
尽管入侵侦查系统可以减少灾害,但是这时灾害往往已经形成。防御机制最好的是应该在危害形成之前先期起作用,因此入侵响应系统应运而生。作为对入侵侦查系统的补充,入侵响应系统能够在发现入侵时,迅速作出反应,并自动采取阻止措施。
入侵防御系统也像入侵侦查系统一样,专门深入网络数据内部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载,以便事后分析。除此之外,更重要的是,大多数入侵防御系统同时结合考虑应用程序或网路传输中的异常情况,来辅助识别入侵和攻击。比如,用户或用户程序违反安全条例、数据包在不应该出现的时段出现、作业系统或应用程序弱点的空子正在被利用等现象。入侵防御系统虽然也考虑已知病毒特征,但是它并不仅仅依赖于已知病毒特征。
应用于边界的防火墙及防病毒系统、入侵防御系统等可在网络边界及时识别攻击程序或有害代码及其克隆和变种,采取预防措施,先期阻止入侵,防患于未然,或者至少使其危害性充分降低。在必要时,它还可以为追究攻击者的刑事责任而提供法律上有效的证据。
主机安全产品主要包括如下几种:防病毒软件、终端管理软件及操作系统加固软件等。
第一,防病毒软件作为一种计算机程序,可进行检测、防护,并采取行动来解除或删除恶意软件程序,如病毒和蠕虫。
第二,终端网络管理软件是信息化运营阶段IT管理系统的重要组成部分。通过运维管理制度的规范和管理工具的支持来引导和辅助IT管理人员对庞大的终端桌面资源进行有效的监控和管理。如UniAccess技术就是基于此概念之上,用以保证整个终端系统稳定、可靠和永续运行,为业务的开展优化终端平台。
第三,操作系统加固软件可针对不同的目标系统,通过打补丁、修改安全配置、增加安全机制等方法,合理进行安全性加强。主要目的是为了消除与降低安全隐患,使得周期性的评估和加固工作相结合,尽可能避免安全风险的发生。
从上面两大类防护手段可以看到,现有的防御手段主要基于特征码或对安全隐患进行相应的防护,且每种产品之间缺乏联动机制。虽然近几年有了安全监管平台及SOC产品,但仍未能全面覆盖每个安全层面。
当前网络安全防护过程中偏重于网络层面的安全防护(例如,部署防火墙、入侵检测产品、防毒墙等),对于主机层面的监管及防护一直未受到重视。已有安全解决方案中虽然有少部分产品对主机层面进行相应安全管控,但是并没有对于操作系统进程的网络行为进行细粒度的管控及审计。
另外,现有技术中还存在一种安全监控平台,该平台主要针对操作系统进程,针对进程网络行为审计。该平台主要针对系统资源的访问行为,通过关联主机网络信息和系统级的资源访问操作,进行网络资源窃取行为的完整还原,并找出攻击者或窃取者的身份特征。在整个攻击溯源的过程中,该平台一方面需要进行内核级的资源行为监控,一方面需要实时的数据捕获,同时要针对捕获信息进行网络事件的完整性控制、进程关联、信息过滤与汇总等。整个追溯过程是异常复杂而繁琐的,这就给网络数据捕获带来了性能限制。因此该产品并不适用于运营商主网服务器、超大流量交换机等高性能网络设备。
亟需一种技术方案来解决上述技术问题。
发明内容
本发明针对操作系统状态进行全方位监控,并对自主、非自主的网络行为进行安全审计,从进程行为角度提供细粒度的分析,为计算环境整体安全态势提供数据支持。
本发明通过对进程的网络行为进行分析,为网络安全提供基础信息,找出系统隐秘进程,杜绝高危程序存在;通过对进程的资源行为进行分析,暴漏进程的资源访问行为,防止恶意进程的资源窃取;通过对进程的网络行为与进程的资源行为的关联追踪,进行攻击行为溯源,回溯攻击者的网络行为和资源访问行为,找出攻击者IP、端口等特征信息,使得攻击无处藏匿。
根据本发明的一方面,提供了一种进程行为溯源装置,该进程行为溯源装置包括进程网络信息追踪模块、进程网络信息处理模块、进程资源行为追踪模块、网络归并模块以及行为运算模块。
根据本发明的进程行为溯源装置的一个优选实施方案,所述进程网络信息追踪模块包括:
进程网络行为溯源模块,在该进程网络行为溯源模块中,初始化环境变量,启动并配置网络数据捕获参数,开启网络数据捕获器,实时嗅探通过主机的网络数据包;
实时数据嗅探模块,在该实时数据嗅探模块中,通过网络数据捕获器实时嗅探通过主机的网络数据包;
基础合规检测模块,在该基础合规检测模块中,对所嗅探到的网络数据包进行基础合规检测,滤除无用的网络数据包;
进程关联追踪模块,在该进程关联追踪模块中,对经过滤且有用的网络数据包进行分析处理,且进行进程信息的初次关联。
根据本发明的进程行为溯源装置的一个优选实施方案,在该基础合规检测模块中,对所嗅探到的网络数据包进行基础合规检测包括滤除TCP与UDP协议之外的数据包,以及滤除目的MAC地址为非本机的网络数据包。
根据本发明的进程行为溯源装置的一个优选实施方案,所述进程网络信息处理模块包括:
进程网络数据处理模块,在该进程网络数据处理模块中,初始化环境变量,根据CPU核心数进行任务队列分配,所述任务队列主要用于接收来自进程网络信息追踪模块的数据;
网络完整性溯源模块,在该网络完整性溯源模块中,对来自进程网络信息追踪模块所获得的数据进行分析,根据通信交互的数据特征进行完整性还原;
网络数据统计分析模块,对完整性还原之后的完整的网络访问数据信息进行统计,确定整个进程网络交互过程中的网络属性特征、进程属性特征、流量特征与交互时间这些参数,并将这些参数数据存入进程网络溯源信息缓存管理器;
网络数据提取模块,在网络数据提取模块中,启动网络数据提取任务,监听来自网络归并模块的提取请求,并将提取请求存入数据提取控制器队列中;
数据提取控制器模块,从数据提取控制器队列中取出提取请求,根据提取请求从进程网络溯源信息缓存器中提取所有的缓存数据,并且传递给网络归并模块。
根据本发明的进程行为溯源装置的一个优选实施方案,所述进程资源行为追踪模块包括:
进程行为监控模块,通过该进程行为监控模块在系统内核中内置嗅探入口;
进程行为监视器,在进程行为监视器中设定有该嗅探入口,当进程存在资源访问行为时,则通过进程行为监控器监控该进程;
行为提取任务模块,通过该行为提取任务模块监听来自网络归并模块的提取请求,并将提取请求存入行为提取控制器队列;
行为提取控制器,通过该行为提取控制器从提取控制器队列中取出行为提取请求,并发送行为提取请求且监听来自进程资源行为数据处理模块的信息反馈,并及时将数据上传至网络归并模块;
进程资源行为数据处理模块,通过进程资源行为数据处理模块实时地对进程资源行为信息缓存管理器中的数据进行初步整合,且将初步整合的信息反馈至行为提取控制器。
根据本发明的进程行为溯源装置的一个优选实施方案,所述进程行为监控器实时嗅探系统敏感资源的访问行为,形成进程资源的访问记录,且将该访问记录存入进程资源行为信息缓存管理器中。
根据本发明的进程行为溯源装置的一个优选实施方案,所述初步整合包括对同一进程的资源访问行为进行连贯性动作猜测,将设定时间规则内的进程访问信息进行拼接,通过动作连贯性分析成立动作集合信息。
根据本发明的进程行为溯源装置的一个优选实施方案,所述网络归并模块包括:
进程网络数据溯源归总模块,在该进程网络数据溯源归总模块中,初始化环境变量,并提供人机交互接口,通过该接口进行归总频率值配置;
任务计时模块,在该任务计时模块中,根据归总频率值进行归总计时操作;
数据归总模块,从队列中提取归总请求,依次向进程网络信息处理模块和进程资源行为追踪模块发送数据提取请求,并接收来自进程网络信息处理模块和进程资源行为追踪模块的数据反馈;
数据清洗模块,通过所述数据清洗模块对归总之后的数据进行数据清洗。
根据本发明的进程行为溯源装置的一个优选实施方案,所述数据清洗包括针对具有垃圾数据的进程,予以过滤处理,并将最后的有效数据发送至行为运算模块。
根据本发明的进程行为溯源装置的一个优选实施方案,所述具有垃圾数据的进程为:仅拥有网络行为信息而在网络访问过程中没有发出针对实际资源的访问行为;或者,仅操作了系统资源,而没有跟外界的网络交互信息。
根据本发明的进程行为溯源装置的一个优选实施方案,所述行为运算模块包括:
进程路径关联模块,通过所述进程路径关联模块接收网络归并模块的归并信息,包括进程资源访问信息和进程网络数据信息,且根据两类信息中的进程名和路径进行行为关联;
进程PID关联模块,通过进程PID关联模块分别提取进程资源访问信息和进程网络数据信息中的PID信息,进行进程PID关联;
行为画像模块,将进程的网络行为和访问行为进行信息整合,并根据网络信息中的IP地址信息、端口信息、浏览器UA信息、Cookie信息特征进行行为画像。
根据本发明的进程行为溯源装置的一个优选实施方案,所述进程PID关联包括将相等或存在父子关系的PID记录关联在一起。
根据本发明的进程行为溯源装置的一个优选实施方案,所述行为画像模块将相互关联的网络数据和资源访问记录认为由同一进程发起。
根据本发明的进程行为溯源装置的一个优选实施方案,还包括行为追踪展示模块,所述行为追踪展示模块对所述行为运算模块的结果进行展示。
根据本发明的第二方面,提供了一种进程行为溯源方法,该进程行为溯源方法包括对进程网络信息追踪、对进程网络信息处理、对进程资源行为追踪、网络归并以及行为运算。
根据本发明的进程行为溯源方法的一个优选实施方案,所述对进程网络信息追踪包括:
启动进程网络行为溯源模块,初始化环境变量,启动并配置网络数据捕获参数,开启网络数据捕获器,实时嗅探通过主机的网络数据包;
实时数据嗅探模块通过网络数据捕获器实时嗅探通过主机的网络数据包;
基础合规检测模块对所嗅探到的网络数据包进行合规检测,滤除无用的网络数据包;
进程关联追踪模块对经过滤且有用的网络数据包进行分析处理,且进行进程信息的初次关联。
根据本发明的进程行为溯源方法的一个优选实施方案,基础合规检测模块对所嗅探到的网络数据包进行基础合规检测包括滤除TCP与UDP协议之外的数据包,以及滤除目的MAC地址为非本机的网络数据包。
根据本发明的进程行为溯源方法的一个优选实施方案,所述对进程网络信息处理包括:
启动进程网络数据处理模块,初始化环境变量,根据CPU核心数进行任务队列分配,所述任务队列主要用于接收来自进程网络信息追踪模块的数据;
通过网络完整性溯源模块对来自进程网络信息追踪模块的数据进行分析,根据通信交互的数据特征进行完整性还原;
通过网络数据统计分析模块对还原之后的完整的网络访问数据信息进行统计,确定整个进程网络交互过程中网络属性特征、进程属性特征、流量特征与交互时间这些重要参数,并将这些参数数据存入进程网络溯源信息缓存管理器;
通过网络数据提取模块启动网络数据提取任务,监听来自网络归并模块的提取请求,并将提取请求存入数据提取控制器队列中;
通过数据提取控制器模块从队列中取出提取请求,根据提取请求从进程网络溯源信息缓存器中提取所有的缓存数据,并且传递给网络归并模块。
根据本发明的进程行为溯源方法的一个优选实施方案,所述对进程资源行为追踪包括:
启动进程行为监控模块,在系统内核内置嗅探入口,将该嗅探入口设定在进程行为监视器中;
当进程存在资源访问行为时,则通过进程行为监控器监控该进程;
启动进程行为提取任务模块,通过进程行为提取任务模块监听来自网络归并模块的提取请求,并将提取请求存入行为提取控制器队列;
通过行为提取控制器从队列中取出行为提取请求,并发送行为提取请求且监听来自进程资源行为数据处理模块的信息反馈,并及时将数据上传至网络归并模块;
通过进程资源行为数据处理模块实时地对进程资源行为信息缓存管理器中的数据进行初步整合,且将初步整合的信息反馈至行为提取控制器。
根据本发明的进程行为溯源方法的一个优选实施方案,所述进程行为监控器实时嗅探系统敏感资源的访问行为,形成进程资源的访问记录,且将该访问记录存入进程资源行为信息缓存管理器中。
根据本发明的进程行为溯源方法的一个优选实施方案,所述初步整合包括对同一进程的资源访问行为进行连贯性动作猜测,将设定时间规则内的进程访问信息进行拼接,通过动作连贯性分析成立动作集合信息。
根据本发明的进程行为溯源方法的一个优选实施方案,所述网络归并包括:
启动进程网络数据溯源归总模块,初始化环境变量,并提供人机交互接口,通过该接口进行归总频率值配置;
启动任务计时模块,在该任务计时模块中,根据归总频率值进行计时操作;
当归总时间到达时,启动数据归总模块,从队列中提取归总请求,依次向进程网络信息处理模块和进程资源行为追踪模块发送数据提取请求,并接收来自进程网络信息处理模块和进程资源行为追踪模块的数据反馈;
通过数据清洗模块通过所述数据清洗模块对归总之后的数据进行数据清洗。
根据本发明的进程行为溯源方法的一个优选实施方案,所述数据清洗包括针对具有垃圾数据的进程,予以过滤处理,并将最后的有效数据发送至行为运算模块。
根据本发明的进程行为溯源方法的一个优选实施方案,所述具有垃圾数据的进程为:仅拥有网络行为信息而在网络访问过程中没有发出针对实际资源的访问行为;或者,仅操作了系统资源,而没有跟外界的网络交互信息。
根据本发明的进程行为溯源方法的一个优选实施方案,所述行为运算包括:
通过进程路径关联模块接收网络归并模块的归并信息,包括进程资源访问信息和进程网络数据信息,且根据两类信息中的进程名和路径进行行为关联;
通过进程PID关联模块分别提取进程资源访问信息和进程网络数据信息中的PID信息,进行进程PID关联;
通过行为画像模块将进程的网络行为和访问行为进行信息整合,并根据网络信息中的IP地址信息、端口信息、浏览器UA信息、Cookie信息特征进行行为画像。
根据本发明的进程行为溯源方法的一个优选实施方案,所述进程PID关联包括将相等或存在父子关系的PID记录关联在一起。
根据本发明的进程行为溯源方法的一个优选实施方案,所述行为画像模块将相互关联的网络数据和资源访问记录认为由同一进程发起。
根据本发明的进程行为溯源方法的一个优选实施方案,通过行为追踪展示模块对所述行为运算模块的结果进行展示。
附图说明
通过下文结合对附图的说明,将更容易理解本发明,在附图中:
图1是根据本发明的进程网络信息追踪模块的基本操作流程图。
图2是根据本发明的进程网络信息处理模块的基本操作流程图。
图3是根据本发明的进程资源行为追踪模块的基本操作流程图。
图4是根据本发明的网络归并模块的基本操作流程图。
图5是根据本发明的行为运算模块的基本操作流程图。
图6是根据本发明的进程行为溯源流程的总体方框图。
具体实施方式
下面将结合实施例对本发明进行进一步的描述。
首先,对本发明中常用的两个术语进行限定。“进程”为并发执行的程序在执行过程中分配和管理资源的基本单位。“进程状态”体现了一个进程的生命状态。一个进程的生命周期可以划分为一组状态,这些状态刻画了整个进程。
本发明的进程行为溯源装置和方法可以检测进程行为数据,以发生行为的进程为监测对象,实时监控并捕获进程的行为特征信息。该装置和方法包括在进程运行期间,记录网络源IP信息、源端口信息、目的IP信息、目的端口信息、网络流量统计信息、TCP/UDP协议类型以及网络流向等。同时,当发生行为的进程访问/删除/创建了某个文件或文件夹或者操作了某注册表项、某注册表关键字段,进程行为也会予以记录。该装置和方法以进程为审查点,将其形象地展示为审查图表,智能地将进程的网络行为及资源行为进行关联展示。
该装置和方法主要用于发现系统隐匿的网络进程,及时发现并预警系统资源的窃取行为,针对各种形式的病毒入侵或人为的恶意的窃取行为,进行攻击追踪,重现攻击过程,绘制出攻击者指纹特征或画像。使得攻击可追溯,安全可溯源。
本发明的进程网络行为溯源装置主要包括如下几个模块:进程网络信息追踪模块、进程网络信息处理模块,进程资源行为追踪模块、网络归并模块以及行为运算模块,如图6中所示。
-进程网络信息追踪模块
进程网络信息追踪模块是整体功能的触发器,也是整体溯源过程的数据基础。
进程网络信息追踪模块的操作基本流程如图1中所示。
在步骤S10中,启动进程网络行为溯源模块。初始化环境变量,启动并配置网络数据捕获参数,网络数据捕获器将开启运行模式,实时嗅探通过主机的网络数据包。
在步骤S11中,实时数据嗅探模块通过网络数据捕获器实时嗅探通过主机的网络数据包。
在步骤S12中,基础合规检测模块对所嗅探到的网络数据包进行合规检测,过滤无用的网络数据包。一方面,由于本发明中所涉及到的进程网络行为仅限定于由进程发出的TCP或UDP协议行为,所以TCP与UDP协议之外的数据包均需要进行过滤处理。另一方面,由于本发明中所涉及的进程均为本地进程,所以目的MAC地址为非本机的网络数据包也需要滤除。
在步骤S12中,如果基础合规检测模块并未检测到合规的数据,则返回步骤S11。
在步骤S13中,进程关联追踪模块对经过滤且有用的网络数据包进行分析处理,且进行进程信息的初次关联。关联之后的进程网络数据传递给之后的进程网络信息处理模块进行深度处理。
具体而言,过滤之后,进程关联追踪模块将合法的网络数据包进行数据的首次分析处理。分析过程会对合法数据进行网络特征提取,特征包括源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号、协议类型和应用层包体长度,并进行实时的流量统计。随后将进行进程信息的初次关联。模块通过系统进程及其源IP地址、目的IP地址、源端口号、目的端口号信息,与网络采集的特征信息进行精准匹配,以此确定进程的详细网络数据和流量信息。至此,将首次获取某“偷跑”网络流量的进程的具体的某条网络数据信息,这也是其他模块处理的数据源和操作基础。
在步骤S13中,如果进程关联追踪模块无法进行关联追踪,则进行返回步骤S11。
-进程网络信息处理模块
进程网络信息处理模块是进程网络行为的核心处理器。该模块通过对TCP/UDP网络数据的深度分析,根据通信交互的数据特征进行完整性还原,即进程网络交互行为的还整性还原,从而由独立的进程网络信息综合成每一次完整的网络交互过程。同时在某完整的网络访问行为之间进行网络数据的深度统计,确定整个进程网络交互过程中网络属性特征、进程属性特征、流量特征与交互时间等重要参数。
进程网络信息处理模块配备进程网络溯源信息缓存器,该缓存器主要用于进程网络数据的存储处理。缓存器能根据流量阈值和后续归并频率自行进行缓存控制。
进程网络信息处理模块包括数据提取控制器,该控制器主要操作进程网络溯源信息缓存器,配合网络归并模块使用。
进程网络信息处理模块的基本操作流程如图2所示。
在步骤S20中,启动进程网络数据处理模块。初始化环境变量,根据CPU核心数进行任务队列分配。任务队列主要用于接收来自进程网络信息追踪模块的数据。
在步骤S21中,网络完整性溯源模块对来自进程网络信息追踪模块的数据进行分析,通过对TCP/UDP网络数据的深度分析,根据通信交互的数据特征进行完整性还原。
在步骤S22中,网络数据统计分析模块对还原之后的完整的网络访问数据信息进行深度统计,确定整个进程网络交互过程中网络属性特征、进程属性特征、流量特征与交互时间等重要参数,并将各参数数据存入进程网络溯源信息缓存管理器。
在步骤S23中,通过网络数据提取模块启动网络数据提取任务,监听来自网络归并模块的提取请求,并将提取请求存入数据提取控制器队列。
在步骤S24中,数据提取控制器从队列中取出提取请求,从进程网络溯源信息缓存器中提取所有的缓存数据,传递给网络归并模块。如果数据提取控制器未从队列中取出提取请求,即当前提取队列为空,则返回步骤S24。
-进程资源行为追踪模块
进程资源行为追踪模块是进程网络行为溯源的本质模块。还原各类攻击的本质目的就是资产窃取,各类远程漏洞攻击很大程度是基于网络进程的漏洞攻击。进程资源行为追踪模块是基于操作系统体系的内核模块。通过强化操作系统内核,完成系统资源的一起访问行为的密切追踪。
模块在系统内核内置嗅探入口,实时嗅探系统敏感资源的访问行为,包括目录创建、目录删除、文件创建、文件删除、文件重命名、文件访问、注册表Key创建、注册表Va lue创建、注册表Key删除、注册表Value删除、Key重命名、Va lue重命名及其注册表的读、写和访问。当发生以上行为的一种或多种时,追踪模块及时获取当前访问者、访问对象、访问时间及访问动作等信息。
同时,针对同一进程的资源访问行为进行连贯性动作猜测,即将设定时间规则内的进程访问信息进行拼接,通过动作连贯性分析成立动作集合,做攻击行为分析。
该模块配有进程资源行为信息缓存器,该缓存器主要用于进程资源访问行为数据的存储处理。缓存器能根据流量阈值和后续归并频率自行进行缓存控制。
进程资源行为追踪模块包括数据提取控制器,该控制器主要操作进程资源行为信息缓存器,配合网络归并模块使用。
进程资源行为追踪模块的基本操作流程如图3所示。
在步骤S30中,启动进程行为监控模块,在系统内核内置嗅探入口,嗅探入口即设定在进程行为监视器中。
在步骤S31中,当进程有资源访问行为时,则陷入进程行为监控器中。进程行为监控器实时嗅探系统敏感资源的访问行为,并形成进程资源的访问记录,存入进程资源行为信息缓存管理器中。
在步骤S32中,启动进程行为提取任务模块,监听来自网络归并模块的提取请求,并将提取请求存入行为提取控制器队列。
在步骤S33中,行为提取控制器从队列中取出行为提取请求,并向步骤S34发送行为提取请求,监听来自步骤S34的数据反馈,并及时将数据上传至网络归并模块。
在步骤S34中,通过进程资源行为数据处理模块实时对进程资源行为信息缓存管理器中的数据进行初步整合,即对同一进程的资源访问行为进行连贯性动作猜测,将设定时间规则内的进程访问信息进行拼接,通过动作连贯性分析成立动作集合信息,并将该信息反馈至步骤S33。
-网络归并模块
网络归并模块用于进程网络信息及进程资源访问信息的清洗与汇总。该模块需要与进程资源行为追踪模块和进程网络信息处理模块配合使用。进程资源行为追踪模块及进程网络数据处理模块均配有数据提取控制器。数据提取控制器和网络归并模块的归总控制器进行网络通信。各个控制器分别监听各自的提取请求,当提取请求到达时,进程资源行为模块将回应提取请求,从进程网络溯源信息缓存器提取进程网络数据,并上传给网络归并模块进行缓存处理,而进程资源行为追踪模块则从进程资源行为信息缓存器中提取数据,上传给网络归并模块。
网络归并模块分数据清洗和数据归并两个流程。针对垃圾数据,即某进程仅拥有网络行为信息而在网络访问过程中没有发出针对实际资源的访问行为,或某进程仅操作了系统资源,而没有跟外界的网络交互信息,模块的清洗流程会予以过滤处理。通过清洗的数据会在归并流程进行最终的归并处理,通过归并流程之后就可以获取某次攻击过程中的全部元素信息。
网络归并模块的基本操作流程如图4所示。
在步骤S40中,启动进程网络数据溯源归总模块。初始化环境变量,并提供人机交互接口。可通过该接口进行归总频率值配置。
在步骤S41中,启动任务计时模块,在该任务计时模块中,根据归总频率值进行计时操作,等归总时间到达时,向步骤S42发送归总请求。如果归总时间未到达,则返回步骤S41。
在步骤S42中,启动数据归总模块,从队列中提取归总请求,依次向进程网络信息处理模块和进程资源行为追踪模块发送数据提取请求,并接收来自进程网络信息处理模块和进程资源行为追踪模块的数据反馈。
在步骤S43中,通过数据清洗模块对从S42归总之后的所有数据进行数据清洗。即针对垃圾数据,如某进程仅拥有网络行为信息而在网络访问过程中没有发出针对实际资源的访问行为,或某进程仅操作了系统资源,而没有跟外界的网络交互信息,清洗流程会予以过滤处理,并将最后的有效数据发送至行为运算模块。
-行为运算模块
行为运算模块主要与网络归并模块进行交互,该模块主要从网络归并模块中提取某攻击过程中的全部元素信息,形成完成的证据链。最终通过归并的数据可以溯源出完整的攻击路线,即某人操作了远端机器,利用了某进程的漏洞进行了入侵行为,通过放置某恶意程序间接操作或直接操作某系统资源进行资产窃取。
在这条攻击记录中,某人可通过IP地址信息、端口号、协议类型或其他应用层协议携带信息,如浏览器UA信息、Cookie信息等生成攻击者指纹特征供后续追查、定位;被访问资源生成敏感资源集合,通过敏感资源默认策略下发,进行访问控制等强化处理;针对资源访问直接窃取者已被操作的系统网络进程,进行脆弱化预警,并提供升级和修复建议;同时,运算模块还可根据攻击者攻击行为发生后的动作集合,完成行为画像,界定安全边界,给系统强化、防护提供指导。
行为运算模块的基本操作流程如图5所示。
在步骤S50中,进程路径关联模块接收网络归并模块的归并信息,包括进程资源访问信息和进程网络数据信息。根据两类信息中的进程名和路径进行行为关联。如果关联成功,则直接跳至步骤S51;如果无法关联,则跳至步骤S52。
在步骤S51中,分别提取进程资源访问信息和进程网络数据信息中的PID(ProcessID,进程标识符)信息,进行进程PID关联,即相等或存在父子关系的PID记录均可关联在一起。
在步骤S52中,相互关联的网络数据和资源访问记录均可认为由同一进程发起,将进程的网络行为和访问行为进行信息整合,并根据网络信息中的IP地址信息、端口信息、浏览器UA信息、Cookie信息等特征进行用户画像,完成进程行为的溯源。
-行为追踪展示模块
行为追踪展示模块对所述行为运算模块的结果进行展示。
应理解,本文中的实施方案和实施例仅出于示例目的,本领域技术人员可以做出许多变体,而本发明的范围由权利要求限定。
Claims (26)
1.一种进程行为溯源装置,其特征在于,该进程行为溯源装置包括进程网络信息追踪模块、进程网络信息处理模块、进程资源行为追踪模块、网络归并模块以及行为运算模块;
其中所述进程网络信息处理模块包括:
进程网络数据处理模块,在该进程网络数据处理模块中,初始化环境变量,根据CPU核心数进行任务队列分配,所述任务队列主要用于接收来自进程网络信息追踪模块的数据;
网络完整性溯源模块,在该网络完整性溯源模块中,对来自进程网络信息追踪模块所获得的数据进行分析,根据通信交互的数据特征进行完整性还原;
网络数据统计分析模块,对完整性还原之后的完整的网络访问数据信息进行统计,确定整个进程网络交互过程中的网络属性特征、进程属性特征、流量特征与交互时间这些参数,并将这些参数数据存入进程网络溯源信息缓存管理器;
网络数据提取模块,在网络数据提取模块中,启动网络数据提取任务,监听来自网络归并模块的提取请求,并将提取请求存入数据提取控制器队列中;
数据提取控制器模块,从数据提取控制器队列中取出提取请求,根据提取请求从进程网络溯源信息缓存器中提取所有的缓存数据,并且传递给网络归并模块。
2.根据权利要求1所述的进程行为溯源装置,其特征在于,所述进程网络信息追踪模块包括:
进程网络行为溯源模块,在该进程网络行为溯源模块中,初始化环境变量,启动并配置网络数据捕获参数,开启网络数据捕获器,实时嗅探通过主机的网络数据包;
实时数据嗅探模块,在该实时数据嗅探模块中,通过网络数据捕获器实时嗅探通过主机的网络数据包;
基础合规检测模块,在该基础合规检测模块中,对所嗅探到的网络数据包进行基础合规检测,滤除无用的网络数据包;
进程关联追踪模块,在该进程关联追踪模块中,对经过滤且有用的网络数据包进行分析处理,且进行进程信息的初次关联。
3.根据权利要求2所述的进程行为溯源装置,其特征在于,在该基础合规检测模块中,对所嗅探到的网络数据包进行基础合规检测包括滤除TCP与UDP协议之外的数据包,以及滤除目的MAC地址为非本机的网络数据包。
4.根据权利要求1所述的进程行为溯源装置,其特征在于,所述进程资源行为追踪模块包括:
进程行为监控模块,通过该进程行为监控模块在系统内核中内置嗅探入口;
进程行为监视器,在进程行为监视器中设定有该嗅探入口,当进程存在资源访问行为时,则通过进程行为监控器监控该进程;
行为提取任务模块,通过该行为提取任务模块监听来自网络归并模块的提取请求,并将提取请求存入行为提取控制器队列;
行为提取控制器,通过该行为提取控制器从提取控制器队列中取出行为提取请求,并发送行为提取请求且监听来自进程资源行为数据处理模块的信息反馈,并及时将数据上传至网络归并模块;
进程资源行为数据处理模块,通过进程资源行为数据处理模块实时地对进程资源行为信息缓存管理器中的数据进行初步整合,且将初步整合的信息反馈至行为提取控制器。
5.根据权利要求4所述的进程行为溯源装置,其特征在于,所述进程行为监控器实时嗅探系统敏感资源的访问行为,形成进程资源的访问记录,且将该访问记录存入进程资源行为信息缓存管理器中。
6.根据权利要求4所述的进程行为溯源装置,其特征在于,所述初步整合包括对同一进程的资源访问行为进行连贯性动作猜测,将设定时间规则内的进程访问信息进行拼接,通过动作连贯性分析成立动作集合信息。
7.根据权利要求1所述的进程行为溯源装置,其特征在于,所述网络归并模块包括:
进程网络数据溯源归总模块,在该进程网络数据溯源归总模块中,初始化环境变量,并提供人机交互接口,通过该接口进行归总频率值配置;
任务计时模块,在该任务计时模块中,根据归总频率值进行归总计时操作;
数据归总模块,从队列中提取归总请求,依次向进程网络信息处理模块和进程资源行为追踪模块发送数据提取请求,并接收来自进程网络信息处理模块和进程资源行为追踪模块的数据反馈;
数据清洗模块,通过所述数据清洗模块对归总之后的数据进行数据清洗。
8.根据权利要求7所述的进程行为溯源装置,其特征在于,所述数据清洗包括针对具有垃圾数据的进程,予以过滤处理,并将最后的有效数据发送至行为运算模块。
9.根据权利要求8所述的进程行为溯源装置,其特征在于,所述具有垃圾数据的进程为:仅拥有网络行为信息而在网络访问过程中没有发出针对实际资源的访问行为;或者,仅操作了系统资源,而没有跟外界的网络交互信息。
10.根据权利要求1所述的进程行为溯源装置,其特征在于,所述行为运算模块包括:
进程路径关联模块,通过所述进程路径关联模块接收网络归并模块的归并信息,包括进程资源访问信息和进程网络数据信息,且根据两类信息中的进程名和路径进行行为关联;
进程PID关联模块,通过进程PID关联模块分别提取进程资源访问信息和进程网络数据信息中的PID信息,进行进程PID关联;
行为画像模块,将进程的网络行为和访问行为进行信息整合,并根据网络信息中的IP地址信息、端口信息、浏览器UA信息、Cookie信息特征进行行为画像。
11.根据权利要求10所述的进程行为溯源装置,其特征在于,所述进程PID关联包括将相等或存在父子关系的PID记录关联在一起。
12.根据权利要求10所述的进程行为溯源装置,其特征在于,所述行为画像模块将相互关联的网络数据和资源访问记录认为由同一进程发起。
13.根据权利要求1所述的进程行为溯源装置,其特征在于,还包括行为追踪展示模块,所述行为追踪展示模块对所述行为运算模块的结果进行展示。
14.一种进程行为溯源方法,其特征在于,该进程行为溯源方法包括对进程网络信息追踪、对进程网络信息处理、对进程资源行为追踪、网络归并以及行为运算;
其中所述对进程网络信息处理包括:
启动进程网络数据处理模块,初始化环境变量,根据CPU核心数进行任务队列分配,所述任务队列主要用于接收来自进程网络信息追踪模块的数据;
通过网络完整性溯源模块对来自进程网络信息追踪模块的数据进行分析,根据通信交互的数据特征进行完整性还原;
通过网络数据统计分析模块对还原之后的完整的网络访问数据信息进行统计,确定整个进程网络交互过程中网络属性特征、进程属性特征、流量特征与交互时间这些重要参数,并将这些参数数据存入进程网络溯源信息缓存管理器;
通过网络数据提取模块启动网络数据提取任务,监听来自网络归并模块的提取请求,并将提取请求存入数据提取控制器队列中;
通过数据提取控制器模块从队列中取出提取请求,根据提取请求从进程网络溯源信息缓存器中提取所有的缓存数据,并且传递给网络归并模块。
15.根据权利要求14所述的进程行为溯源方法,其特征在于,所述对进程网络信息追踪包括:
启动进程网络行为溯源模块,初始化环境变量,启动并配置网络数据捕获参数,开启网络数据捕获器,实时嗅探通过主机的网络数据包;
实时数据嗅探模块通过网络数据捕获器实时嗅探通过主机的网络数据包;
基础合规检测模块对所嗅探到的网络数据包进行合规检测,滤除无用的网络数据包;
进程关联追踪模块对经过滤且有用的网络数据包进行分析处理,且进行进程信息的初次关联。
16.根据权利要求15所述的进程行为溯源方法,其特征在于,基础合规检测模块对所嗅探到的网络数据包进行基础合规检测包括滤除TCP与UDP协议之外的数据包,以及滤除目的MAC地址为非本机的网络数据包。
17.根据权利要求14所述的进程行为溯源方法,其特征在于,所述对进程资源行为追踪包括:
启动进程行为监控模块,在系统内核内置嗅探入口,将该嗅探入口设定在进程行为监视器中;
当进程存在资源访问行为时,则通过进程行为监控器监控该进程;
启动进程行为提取任务模块,通过进程行为提取任务模块监听来自网络归并模块的提取请求,并将提取请求存入行为提取控制器队列;
通过行为提取控制器从队列中取出行为提取请求,并发送行为提取请求且监听来自进程资源行为数据处理模块的信息反馈,并及时将数据上传至网络归并模块;
通过进程资源行为数据处理模块实时地对进程资源行为信息缓存管理器中的数据进行初步整合,且将初步整合的信息反馈至行为提取控制器。
18.根据权利要求17所述的进程行为溯源方法,其特征在于,所述进程行为监控器实时嗅探系统敏感资源的访问行为,形成进程资源的访问记录,且将该访问记录存入进程资源行为信息缓存管理器中。
19.根据权利要求17所述的进程行为溯源方法,其特征在于,所述初步整合包括对同一进程的资源访问行为进行连贯性动作猜测,将设定时间规则内的进程访问信息进行拼接,通过动作连贯性分析成立动作集合信息。
20.根据权利要求14所述的进程行为溯源方法,其特征在于,所述网络归并包括:
启动进程网络数据溯源归总模块,初始化环境变量,并提供人机交互接口,通过该接口进行归总频率值配置;
启动任务计时模块,在该任务计时模块中,根据归总频率值进行计时操作;
当归总时间到达时,启动数据归总模块,从队列中提取归总请求,依次向进程网络信息处理模块和进程资源行为追踪模块发送数据提取请求,并接收来自进程网络信息处理模块和进程资源行为追踪模块的数据反馈;
通过数据清洗模块通过所述数据清洗模块对归总之后的数据进行数据清洗。
21.根据权利要求20所述的进程行为溯源方法,其特征在于,所述数据清洗包括针对具有垃圾数据的进程,予以过滤处理,并将最后的有效数据发送至行为运算模块。
22.根据权利要求21所述的进程行为溯源方法,其特征在于,所述具有垃圾数据的进程为:仅拥有网络行为信息而在网络访问过程中没有发出针对实际资源的访问行为;或者,仅操作了系统资源,而没有跟外界的网络交互信息。
23.根据权利要求14所述的进程行为溯源方法,其特征在于,所述行为运算包括:
通过进程路径关联模块接收网络归并模块的归并信息,包括进程资源访问信息和进程网络数据信息,且根据两类信息中的进程名和路径进行行为关联;
通过进程PID关联模块分别提取进程资源访问信息和进程网络数据信息中的PID信息,进行进程PID关联;
通过行为画像模块将进程的网络行为和访问行为进行信息整合,并根据网络信息中的IP地址信息、端口信息、浏览器UA信息、Cookie信息特征进行行为画像。
24.根据权利要求23所述的进程行为溯源方法,其特征在于,所述进程PID关联包括将相等或存在父子关系的PID记录关联在一起。
25.根据权利要求23所述的进程行为溯源方法,其特征在于,所述行为画像模块将相互关联的网络数据和资源访问记录认为由同一进程发起。
26.根据权利要求14所述的进程行为溯源方法,其特征在于,通过行为追踪展示模块对所述行为运算模块的结果进行展示。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811634450.0A CN109787964B (zh) | 2018-12-29 | 2018-12-29 | 进程行为溯源装置和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811634450.0A CN109787964B (zh) | 2018-12-29 | 2018-12-29 | 进程行为溯源装置和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109787964A CN109787964A (zh) | 2019-05-21 |
| CN109787964B true CN109787964B (zh) | 2021-04-27 |
Family
ID=66498912
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811634450.0A Active CN109787964B (zh) | 2018-12-29 | 2018-12-29 | 进程行为溯源装置和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109787964B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110826067B (zh) * | 2019-10-31 | 2022-08-09 | 深信服科技股份有限公司 | 一种病毒检测方法、装置、电子设备及存储介质 |
| CN113992454A (zh) * | 2021-12-30 | 2022-01-28 | 北京微步在线科技有限公司 | 一种攻击溯源方法及装置 |
| CN115412320A (zh) * | 2022-08-19 | 2022-11-29 | 奇安信网神信息技术(北京)股份有限公司 | 攻击行为溯源方法、装置及系统 |
| CN117494117A (zh) * | 2023-11-17 | 2024-02-02 | 北京天融信网络安全技术有限公司 | 一种远程过程调用的跟踪系统及跟踪方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924757A (zh) * | 2010-07-30 | 2010-12-22 | 中国电信股份有限公司 | 追溯僵尸网络的方法和系统 |
| CN102843270A (zh) * | 2011-09-02 | 2012-12-26 | 哈尔滨安天科技股份有限公司 | 基于url与本地文件关联的可疑url检测方法和装置 |
| CN108121914A (zh) * | 2018-01-17 | 2018-06-05 | 四川神琥科技有限公司 | 一种文档泄密防护追踪系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070203730A1 (en) * | 2006-02-17 | 2007-08-30 | Firl Robert D | Real property transaction database and method to monitor the status of a real property transaction |
| CN102045220A (zh) * | 2010-12-09 | 2011-05-04 | 国都兴业信息审计系统技术(北京)有限公司 | 木马监控审计方法及系统 |
| CN103106277A (zh) * | 2013-02-18 | 2013-05-15 | 浪潮(北京)电子信息产业有限公司 | 一种基于云计算的取证方法 |
| CN107423325A (zh) * | 2017-04-07 | 2017-12-01 | 杭州安恒信息技术有限公司 | 一种追溯网页篡改行为源的方法 |
-
2018
- 2018-12-29 CN CN201811634450.0A patent/CN109787964B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924757A (zh) * | 2010-07-30 | 2010-12-22 | 中国电信股份有限公司 | 追溯僵尸网络的方法和系统 |
| CN102843270A (zh) * | 2011-09-02 | 2012-12-26 | 哈尔滨安天科技股份有限公司 | 基于url与本地文件关联的可疑url检测方法和装置 |
| CN108121914A (zh) * | 2018-01-17 | 2018-06-05 | 四川神琥科技有限公司 | 一种文档泄密防护追踪系统 |
Non-Patent Citations (1)
| Title |
|---|
| 网络攻击源追踪技术研究综述;姜建国;王继志;孔斌;胡波;刘吉强;《信息安全学报》;20180115;第111-131页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109787964A (zh) | 2019-05-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109787964B (zh) | 进程行为溯源装置和方法 | |
| CA2968201C (en) | Systems and methods for malicious code detection | |
| CN112637220B (zh) | 一种工控系统安全防护方法及装置 | |
| US11562068B2 (en) | Performing threat detection by synergistically combining results of static file analysis and behavior analysis | |
| US20070266433A1 (en) | System and Method for Securing Information in a Virtual Computing Environment | |
| TWI407328B (zh) | 網路病毒防護方法及系統 | |
| US11909761B2 (en) | Mitigating malware impact by utilizing sandbox insights | |
| CN107566401B (zh) | 虚拟化环境的防护方法及装置 | |
| CN111464526A (zh) | 一种网络入侵检测方法、装置、设备及可读存储介质 | |
| CN100557545C (zh) | 一种区分有害程序行为的方法 | |
| CN113886814A (zh) | 一种攻击检测方法及相关装置 | |
| CN114826880A (zh) | 一种数据安全运行在线监测的方法及系统 | |
| CN117527412A (zh) | 数据安全监测方法及装置 | |
| CN113544676A (zh) | 攻击估计装置、攻击控制方法和攻击估计程序 | |
| CN113489703A (zh) | 一种安全防护系统 | |
| CN110417578B (zh) | 一种异常ftp连接告警处理方法 | |
| KR101580624B1 (ko) | 벌점기반의 알려지지 않은 악성코드 탐지 및 대응 방법 | |
| TWI711939B (zh) | 用於惡意程式碼檢測之系統及方法 | |
| KR20100078738A (ko) | 웹 애플리케이션 서버에서의 보안 시스템 및 보안 방법 | |
| JP3822588B2 (ja) | 不正アクセス検出装置、不正アクセス検出方法、および管理端末 | |
| KR100503772B1 (ko) | 유틸리티 방식으로 데이터베이스 서버에 접속하여 수행되는작업을 감시하는 모니터링 시스템 및 방법 | |
| KR100961438B1 (ko) | 실시간 침입 탐지 시스템 및 방법, 그리고 그 방법을수행하기 위한 프로그램이 기록된 기록매체 | |
| RU2665909C1 (ru) | Способ избирательного использования шаблонов опасного поведения программ | |
| KR102156600B1 (ko) | 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법 | |
| TWI781448B (zh) | 資安防護系統、方法及電腦可讀媒介 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |