CN111464526A - 一种网络入侵检测方法、装置、设备及可读存储介质 - Google Patents
一种网络入侵检测方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN111464526A CN111464526A CN202010236530.1A CN202010236530A CN111464526A CN 111464526 A CN111464526 A CN 111464526A CN 202010236530 A CN202010236530 A CN 202010236530A CN 111464526 A CN111464526 A CN 111464526A
- Authority
- CN
- China
- Prior art keywords
- detection
- network intrusion
- target object
- network
- malicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 229
- 230000004044 response Effects 0.000 claims abstract description 63
- 238000000034 method Methods 0.000 claims abstract description 55
- 244000035744 Hura crepitans Species 0.000 claims abstract description 39
- 238000004088 simulation Methods 0.000 claims abstract description 33
- 230000002265 prevention Effects 0.000 claims abstract description 27
- 238000012216 screening Methods 0.000 claims abstract description 18
- 230000006399 behavior Effects 0.000 claims description 98
- 230000008569 process Effects 0.000 claims description 26
- 230000009471 action Effects 0.000 claims description 16
- 238000004590 computer program Methods 0.000 claims description 10
- 238000012544 monitoring process Methods 0.000 claims description 3
- 229920005669 high impact polystyrene Polymers 0.000 abstract description 20
- 239000004797 high-impact polystyrene Substances 0.000 abstract description 20
- 230000007547 defect Effects 0.000 abstract description 5
- 230000000875 corresponding effect Effects 0.000 description 41
- 238000010586 diagram Methods 0.000 description 7
- 230000000694 effects Effects 0.000 description 6
- 238000012546 transfer Methods 0.000 description 6
- 230000002159 abnormal effect Effects 0.000 description 4
- 238000012552 review Methods 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 3
- 238000000605 extraction Methods 0.000 description 3
- 230000002085 persistent effect Effects 0.000 description 3
- 238000007781 pre-processing Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 241001377938 Yara Species 0.000 description 2
- ZPUCINDJVBIVPJ-LJISPDSOSA-N cocaine Chemical compound O([C@H]1C[C@@H]2CC[C@@H](N2C)[C@H]1C(=O)OC)C(=O)C1=CC=CC=C1 ZPUCINDJVBIVPJ-LJISPDSOSA-N 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 235000014510 cooky Nutrition 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000002349 favourable effect Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000005192 partition Methods 0.000 description 2
- 238000013515 script Methods 0.000 description 2
- VYZAMTAEIAYCRO-UHFFFAOYSA-N Chromium Chemical compound [Cr] VYZAMTAEIAYCRO-UHFFFAOYSA-N 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种网络入侵检测方法、装置、设备及可读存储介质,该方法包括:利用网络入侵检测系统或网络入侵防御系统从网络流量中筛选出安全性未知的目标对象;将目标对象输入至沙箱,并在沙箱中调用人工操作模拟程序对目标对象进行模拟操作,获得响应数据;对响应数据进行恶意行为匹配检测,获得恶意行为检测结果;利用恶意行为检测结果确定目标对象的安全性。在本方法中,通过HIDS/HIPS结合沙箱进行网络入侵检测,可突破传统HIPS/HIDS在恶意文件检测能力方面的不足,为检测当前流行的基于恶意文档的APT攻击提供可行方案,并具备发现文档或浏览器0day漏洞的可能性,提高网络入侵检测的检出率,可提高网络安全性。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种网络入侵检测方法、装置、设备及可读存储介质。
背景技术
网络入侵检测系统(Network Intrusion Detection System,NIDS),用于检测网络流量中的特定模式并进行告警。网络入侵防御系统(Network Intrusion PreventionSystem,NIPS,也简写为IPS),用于实现对网络流量的检测并对特定的网络流量进行响应和控制,比如重置连接或阻止连接。
传统的IDS/IPS产品主要有如下两类:Signature Based:基于“签名”或基于“特征”,对匹配了已知的攻击模式的流量进行拦截或告警,往往和已知的漏洞的已知的利用方式有关;Anomaly Based:基于反常行为,检测和所有正常行为不同的活动。
可见,传统NIDS/NIPS主要基于已知攻击的网络流量指纹发现已知攻击,而无法处理检测未知漏洞,如0day漏洞。并且当前主流的APT(Advanced Persistent Threat,高级持续性威胁)攻击往往利用恶意文件或恶意浏览器脚本,通过利用文档阅读器或浏览器漏洞,结合社会工程学欺骗手段,引诱受害者打开恶意文档或网页。如果受害者本地相关程序版本具有相应漏洞,恶意代码被执行,并持久化,则为攻击者后续内网攻击提供了有利条件。而当前方案无法发现此类攻击,导致检出率减低,难以保证网络安全。
综上所述,如何有效地提高网络入侵检测的检出率等问题,是目前本领域技术人员急需解决的技术问题。
发明内容
本发明的目的是提供一种网络入侵检测方法、装置、设备及可读存储介质,以对网络流量中的APT攻击和0day漏洞进行有效检测,提高网络入侵检测的检出率,可提高网络安全性。
为解决上述技术问题,本发明提供如下技术方案:
一种网络入侵检测方法,包括:
利用网络入侵检测系统或网络入侵防御系统从网络流量中筛选出安全性未知的目标对象;
将所述目标对象输入至沙箱,并在所述沙箱中调用人工操作模拟程序对所述目标对象进行模拟操作,获得响应数据;
对所述响应数据进行恶意行为匹配检测,获得恶意行为检测结果;
利用所述恶意行为检测结果确定所述目标对象的安全性。
优选地,在所述沙箱中调用人工操作模拟程序对所述目标对象进行模拟操作,获得响应数据,包括:
在所述人工操作模拟程序对所述目标对象执行打开操作的模拟过程中,实时监控响应所述目标对象打开操作的程序对应的进程创建、注册表动作及系统日志,以获得所述响应数据。
优选地,对所述响应数据进行恶意行为匹配检测,获得恶意行为检测结果,包括:
利用恶意程序/文件行为控制IoC库对所述响应数据进行恶意行为匹配检测,得到匹配值;
比对所述匹配值与判定阈值的对应关系,得到所述恶意行为检测结果。
优选地,利用所述恶意行为检测结果确定所述目标对象的安全性之后,还包括:
若所述恶意行为检测结果判定所述安全性为未知,且所述目标对象为可疑对象,则输出人工复检的提示信息。
优选地,所述利用网络入侵检测系统或网络入侵防御系统从网络流量中筛选出安全性未知的目标对象,包括:
利用所述网络入侵检测系统或所述网络入侵防御系统对所述网络流量进行安全检测;
利用安全检测结果,从所述网络流量中筛选出所述目标对象;其中,所述目标对象为程序或文件。
优选地,利用所述网络入侵检测系统或所述网络入侵防御系统对所述网络流量进行安全检测,包括:
利用所述网络入侵检测系统或所述网络入侵防御系统对所述网络流量进行解析处理,并在指定协议对应的数据结构中存储解析数据;
利用所述指定协议对所述解析数据进行安全检测。
优选地,利用所述指定协议对所述解析数据进行安全检测之后,还包括:
利用所述安全检测结果以及所述解析数据,按照元数据结构存储所述网络流量对应的日志。
一种网络入侵检测装置,包括:
安全检测筛选模块,用于利用网络入侵检测系统或网络入侵防御系统从网络流量中筛选出安全性未知的目标对象;
人工操作模拟模块,用于将所述目标对象输入至沙箱,并在所述沙箱中调用人工操作模拟程序对所述目标对象进行模拟操作,获得响应数据;
恶意行为检测模块,用于对所述响应数据进行恶意行为匹配检测,获得恶意行为检测结果;
安全性判定模块,用于利用所述恶意行为检测结果确定所述目标对象的安全性。
一种网络入侵检测设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述网络入侵检测方法的步骤。
一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述网络入侵检测方法的步骤。
应用本发明实施例所提供的方法,利用网络入侵检测系统或网络入侵防御系统从网络流量中筛选出安全性未知的目标对象;将目标对象输入至沙箱,并在沙箱中调用人工操作模拟程序对目标对象进行模拟操作,获得响应数据;对响应数据进行恶意行为匹配检测,获得恶意行为检测结果;利用恶意行为检测结果确定目标对象的安全性。
在本方法中,首先利用网络入侵检测系统或网络入侵防御系统,从网络流量中筛选出安全性未知的目标对象。为了确定该目标对象的安全性,可将其输入至沙箱中,并且在沙箱中调用如果操作模拟程序对目标对象进行模拟操作,如此便可确保系统安全的情况下,得到人工操作目标对象对应的响应数据。然后,对响应数据进行恶意行为匹配检测,若响应数据与恶意行为匹配,即可确定该目标对象的安全性具体为不安全。即基于恶意行为检测结果可确定出目标对象的安全性。也就是说,在本方法中,通过HIDS/HIPS结合沙箱进行网络入侵检测,可突破传统HIPS/HIDS在恶意文件检测能力方面的不足,为检测当前流行的基于恶意文档的APT攻击提供可行方案,并具备发现文档或浏览器0day漏洞的可能性,提高网络入侵检测的检出率,可提高网络安全性。
相应地,本发明实施例还提供了与上述网络入侵检测方法相对应的网络入侵检测装置、设备和可读存储介质,具有上述技术效果,在此不再赘述。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中一种网络入侵检测方法的实施流程图;
图2为本发明实施例中一种网络入侵检测装置的结构示意图;
图3为本发明实施例中另一种网络入侵检测装置的结构示意图;
图4为现有技术中一种网络入侵检测方案的示意框图;
图5为本发明实施例中一种网络入侵检测设备的结构示意图;
图6为本发明实施例中一种网络入侵检测设备的具体结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参考图1,图1为本发明实施例中一种网络入侵检测方法的流程图,该方法包括以下步骤:
S101、利用网络入侵检测系统或网络入侵防御系统从网络流量中筛选出安全性未知的目标对象。
在本实施例中可选用NIDS或NIPS对网络流量进行筛选,以得到安全性未知的目标对象。其中,安全性可具体分安全、恶意和未知三种类型。具体来说,安全即已知无威胁;恶意,即已知恶意,有威胁;未知即不清楚是否存在威胁。
其中,目标对象可具体为待进行网络入侵检测的文件、程序等。
S102、将目标对象输入至沙箱,并在沙箱中调用人工操作模拟程序对目标对象进行模拟操作,获得响应数据。
其中,沙箱指按照安全策略限制程序行为的执行环境,其工作原理:通过重定向技术,把程序生成和修改的文件,定向到自身文件夹中。
在本实施例中,为了发现目标对象潜在的威胁,将其输入至沙箱中,并在在沙箱中调用如果按照模拟程序对目标对象进行模拟操作,以得到响应数据。
其中,模拟操作即模拟用户对目标对象可能执行的操作,如打开目标对象,或执行目标对象。具体的,可在人工操作模拟程序对目标对象执行打开操作的模拟过程中,实时监控响应目标对象打开操作的程序对应的进程创建、注册表动作及系统日志,以获得响应数据。
举例说明,可预先创建的包括多个主流操作系统版本(如Windows XP、Vista、7、8、10等32位及64位版本),主流版本浏览器(如IE、Firefox、Chrome等)并内嵌多种容易受攻击的浏览器插件(如Adobe Flash、JPG图片插件等),多个主流版本文档阅读器(如Adobe pdf、Microsoft Office)等虚拟化镜像,并基于硬件虚拟化并行运行多个此类虚拟机实例。收到传入的文件后,将通过人工操作模拟程序(如对于浏览器的操作可以调用selenium(一种模拟认为操作的程序)完成模拟)调用相应的文件操作程序完成运行模拟。
S103、对响应数据进行恶意行为匹配检测,获得恶意行为检测结果。
具体的,可利用恶意行为规则对响应数据进行匹配检测,以得到恶意行为检测结果。该恶意行为检测结果可分恶意,非恶意或不清楚这三种情况。
S104、利用恶意行为检测结果确定目标对象的安全性。
得到恶意行为检测结果之后,便可确定出目标对象的安全性。具体的,若恶意行为检测结果为恶意,则目标对象的安全性为有威胁;若恶意行为检测结果为非恶意,则目标对象的安全性为无威胁(安全),若恶意行为检测结果为不清楚,则目标对象的安全性为不清楚。
应用本发明实施例所提供的方法,利用网络入侵检测系统或网络入侵防御系统从网络流量中筛选出安全性未知的目标对象;将目标对象输入至沙箱,并在沙箱中调用人工操作模拟程序对目标对象进行模拟操作,获得响应数据;对响应数据进行恶意行为匹配检测,获得恶意行为检测结果;利用恶意行为检测结果确定目标对象的安全性。
在本方法中,首先利用网络入侵检测系统或网络入侵防御系统,从网络流量中筛选出安全性未知的目标对象。为了确定该目标对象的安全性,可将其输入至沙箱中,并且在沙箱中调用如果操作模拟程序对目标对象进行模拟操作,如此便可确保系统安全的情况下,得到人工操作目标对象对应的响应数据。然后,对响应数据进行恶意行为匹配检测,若响应数据与恶意行为匹配,即可确定该目标对象的安全性具体为不安全。即基于恶意行为检测结果可确定出目标对象的安全性。也就是说,在本方法中,通过HIDS/HIPS结合沙箱进行网络入侵检测,可突破传统HIPS/HIDS在恶意文件检测能力方面的不足,为检测当前流行的基于恶意文档的APT攻击提供可行方案,并具备发现文档或浏览器0day漏洞的可能性,提高网络入侵检测的检出率,可提高网络安全性。
需要说明的是,基于上述实施例,本发明实施例还提供了相应的改进方案。在优选/改进实施例中涉及与上述实施例中相同步骤或相应步骤之间可相互参考,相应的有益效果也可相互参照,在本文的优选/改进实施例中不再一一赘述。
优选地,为了减少检测压力,可对目标对象进行有效筛选。具体的,筛选目标对象的过程,包括:
步骤一、利用网络入侵检测系统或网络入侵防御系统对网络流量进行安全检测;
步骤二、利用安全检测结果,从网络流量中筛选出目标对象;其中,目标对象为程序或文件。
其中,利用NIDS或NIPS对网络流量进行安全检测的过程可具体包括:
步骤1.1、利用网络入侵检测系统或网络入侵防御系统对网络流量进行解析处理,并在指定协议对应的数据结构中存储解析数据;
步骤1.2、利用指定协议对解析数据进行安全检测。
其中,解析处理,即完成网络流量的解码,协议预处理、协议识别、应用识别等功能。其中,识别的协议包括但不限于:tcp(Transmission Control Protocol,传输控制协议),udp(User Datagram Protocol,用户数据报协议),icmp(Internet ControlManagemet Protocol Version6,互联网控制信息协议版本六),ip(Internet Protocol,网络之间互连的协议)协议;并支持且不限于识别如下应用层协议:http(Hyper TextTransfer Protocol over Secure Socket Layer,超文本传输安全协议),ftp(FileTransfer Protocol,文件传输协议),tls(Transport Layer Security,安全传输层协议包括ssl),smb(Server Message Block,协议名),dns(Domain Name System,域名解析协议),dcerpc,ssh(Secure Shell,安全外壳协议),smtp(Simple Mail Transfer Protocol,简单邮件传输协议),dhcp(Dynamic Host Configuration Protocol,动态主机配置协议)等。
在进行协议识别和解析的同时,可把各类协议数据按照预定义的协议数据结构进行解析存储,允许基于引擎支持的规则语法直接访问并用规则匹配预处理器存储的协议数据结构中的各项数据。举例说明,针对http协议(HyperText Transfer Protocol,超文本传输协议),可把http请求和响应的http_method,http_uri,http_version,http_header,http_request_body等数据(数据的具体形式和含义可具体参见http协议)分别存储在相应的属于http协议的子数据结构中,并允许基于规则直接针对这些子数据结构完成匹配,得到安全检测结果。
检测过程,即为对数据结构中存储的对象进行流式估计检测或文件抽取即已知恶意文件检测。即利用估计流量指纹库,恶意文件指纹库对待检测的对象进行匹配判断。具体的,可基于获取已知攻击模式,并通过数据流式多模匹配算法进行攻击流量检测。其中,支持的模式语法可以如snort的引擎语法;检测发现威胁后,将调用告警/响应程序,以完成相应的告警或自动响应动作。可在应用层基于主流文件magic和文件结构特征自动识别文件类型,并将文件从数据流中抽取出来并缓存,基于获取的已知恶意文件指纹特征完成检测。其中,检测语法可以如Yara语法;检测发现威胁后,调用告警/响应程序,完成相应的告警或自动响应动作。
优选的,为了使得筛选出的目标对象的数量,降低沙箱处理压力,还可调用外部的IoC情报源对网络流量进行安全检测。其中,情报标准包括但不限于STIX/STIX2。
在得到安全检测结果之后,便可筛选出网络流量中安全性未知的目标对象。具体的,该安全检测结果可确定出每一个对象(如文件或程序)是否安全的判定,对于无法匹配已知规则(或称为指纹)库的对象即可确定为安全性未知的目标对象。
优选地,为了提高安全性,在本方法中还允许用户在导入受到保护的Web服务器SSL数字证书私钥或PKCS12证书的情况下,对与该Web服务器间以该证书加密的通信流量进行解密后检测。
优选地,为便于后续开展攻击取证和溯源,在本实施例中还可利用指定协议对解析数据进行安全检测之后,利用安全检测结果以及解析数据,按照元数据结构存储网络流量对应的日志。基于NIDS/NIPS解析的正常流量、异常流量、正常文件和异常文件等,基于预定义的元数据结构进行日志存储。其中,元数据包括但不限于:http请求、响应元数据(包括原ip/domain/端口/path,以及目的ip/domain/端口/path),header,方法,cookie,body(性能及存储量考虑可能进行截断)等等数据;ssl数字证书数据;DNS解析数据;文件hash,文件类型,文件缓存路径;时间戳;web应用指纹数据。
可见,在本优选实施例中,日志存储不仅仅存储了基于已知攻击模式发现的攻击行文或恶意文件,还存储了大量未判定为攻击的数据流元数据,存储资源占用方面介于“全流量镜像”和“已知攻击日志存储”两种方案对存储的占用之间。为后续攻击事件取证或溯源提供基础。即,仅存储元数据对应的日志,能够满足后续开展攻击取证和溯源,同时又不会像全流量镜像方案造成巨大存储资源消耗。
优选地,为了使得恶意检测结果更加准确,恶意行为匹配检测过程,可具体包括:
步骤一、利用恶意程序/文件行为控制IoC库对响应数据进行恶意行为匹配检测,得到匹配值;
步骤二、比对匹配值与判定阈值的对应关系,得到恶意行为检测结果。
具体的,在模拟人工操作,执行对文件打开操作的模拟过程中,实时监控和启动响应文件打开操作的程序相关的进程创建、注册表动作以及同时间的系统日志等,对于和“恶意程序/文件行为IoC(indicator of compromise)库”匹配的恶意行为,确定匹配值(类似于匹配相似度)。
其中,恶意程序/文件行为IoC库,存储恶意程序/文件行为的IoC特征,包括但不限于如下行为特征:浏览器进程(或创建的新进程)触发定时任务;浏览器进程(或创建的新进程)触发powershell执行;浏览器进程(或创建的新进程)触发注册表修改;Office(如Doc)文档触发powershell执行。
其中,判定阈值可根据实际需求进行设置可调整,例如,要避免漏检,可设置较低的判定阈值;若要降低误报率,则可设置较高的判定阈值。在恶意行为检测结果中还可保留该匹配值,以便在不确定是否存在恶意时,确定是否为可疑对象。距离说明,当基于已知恶意行为IoC判定捕获了恶意文件样本,且并无已知的任何恶意文件指纹与之匹配时,此恶意文件很有可能利用未知的0day开展攻击,或可能利用的已知漏洞的攻击的未定义指纹(包括流量指纹或文件指纹),此时可将该恶意文件确定为可疑对象。
优选地,若基于响应数据进行恶意行为检测,仍然无法确定目标对象的安全性,还可进一步确定该目标对象是否为可疑对象,以便及时进行人工复检。具体的,在利用恶意行为检测结果确定目标对象的安全性之后,若恶意行为检测结果判定安全性为未知,且目标对象为可疑对象,则输出人工复检的提示信息。
相应于上面的方法实施例,本发明实施例还提供了一种网络入侵检测装置,下文描述的网络入侵检测装置与上文描述的网络入侵检测方法可相互对应参照。
参见图2所示,该装置包括以下模块:
安全检测筛选模块101,用于利用网络入侵检测系统或网络入侵防御系统从网络流量中筛选出安全性未知的目标对象;
人工操作模拟模块102,用于将目标对象输入至沙箱,并在沙箱中调用人工操作模拟程序对目标对象进行模拟操作,获得响应数据;
恶意行为检测模块103,用于对响应数据进行恶意行为匹配检测,获得恶意行为检测结果;
安全性判定模块104,用于利用恶意行为检测结果确定目标对象的安全性。
应用本发明实施例所提供的装置,利用网络入侵检测系统或网络入侵防御系统从网络流量中筛选出安全性未知的目标对象;将目标对象输入至沙箱,并在沙箱中调用人工操作模拟程序对目标对象进行模拟操作,获得响应数据;对响应数据进行恶意行为匹配检测,获得恶意行为检测结果;利用恶意行为检测结果确定目标对象的安全性。
在本装置中,首先利用网络入侵检测系统或网络入侵防御系统,从网络流量中筛选出安全性未知的目标对象。为了确定该目标对象的安全性,可将其输入至沙箱中,并且在沙箱中调用如果操作模拟程序对目标对象进行模拟操作,如此便可确保系统安全的情况下,得到人工操作目标对象对应的响应数据。然后,对响应数据进行恶意行为匹配检测,若响应数据与恶意行为匹配,即可确定该目标对象的安全性具体为不安全。即基于恶意行为检测结果可确定出目标对象的安全性。也就是说,在本装置中,通过HIDS/HIPS结合沙箱进行网络入侵检测,可突破传统HIPS/HIDS在恶意文件检测能力方面的不足,为检测当前流行的基于恶意文档的APT攻击提供可行方案,并具备发现文档或0day浏览器漏洞的可能性,提高网络入侵检测的检出率,可提高网络安全性。
在本发明的一种具体实施方式中,为更好地模拟人工操作,人工操作模拟模块102,具体用于在人工操作模拟程序对目标对象执行打开操作的模拟过程中,实时监控响应目标对象打开操作的程序对应的进程创建、注册表动作及系统日志,以获得响应数据。
在本发明的一种具体实施方式中,可结合现恶意程序/文件行为控制IoC库,进行恶意行为检测,提高检测准确率。即恶意行为检测模块103,具体用于利用恶意程序/文件行为控制IoC库对响应数据进行恶意行为匹配检测,得到匹配值;比对匹配值与判定阈值的对应关系,得到恶意行为检测结果。
在本发明的一种具体实施方式中,还可对外输出警示信息,以便人工排除潜在威胁。具体的,该装置还包括:
人工复检触发模块,用于利用恶意行为检测结果确定目标对象的安全性之后,若恶意行为检测结果判定安全性为未知,且目标对象为可疑对象,则输出人工复检的提示信息。
在本发明的一种具体实施方式中,为了降低检测压力,安全检测筛选模块101,具体用于利用网络入侵检测系统或网络入侵防御系统对网络流量进行安全检测;利用安全检测结果,从网络流量中筛选出目标对象;其中,目标对象为程序或文件。
在本发明的一种具体实施方式中,可直接结合网络入侵检测系统或网络入侵防御系统进行安全检测,即安全检测筛选模块101,具体用于利用网络入侵检测系统或网络入侵防御系统对网络流量进行解析处理,并在指定协议对应的数据结构中存储解析数据;利用指定协议对解析数据进行安全检测。
在本发明的一种具体实施方式中,为了后续溯源,可存储相应日志,即该装置还包括:日志存储模块,用于利用指定协议对解析数据进行安全检测之后,利用安全检测结果以及解析数据,按照元数据结构存储网络流量对应的日志。
需要说明的是,上述图2所示的装置仅仅为一种具体的功能性划分,相应于上述方法实施例,本发明所提供的网络入侵检测装置,其内部模块划分还可参加图3。
为便于理解上述技术方案,以及理解如图3所示的模块划分具体如何进行网络入侵检测,下面将结合现有的入侵检测框架对图3所示的网络入侵检测装置进行详细说明。
如图4所示,传统IDS/IPS系统遵照的是经典的CIDF(Common IntrusionDetection Framework)模型,包含事件生成器(event generator:E-boxes),分析引擎(analysis engines:A-boxes),存储机制(storage mechanisms:D-boxes),以及响应模块(countermeasures:C-boxes)。现有的网络入侵检测的核心能力范围包括:检测和成功的攻击流量特征相符的流量;检测明确不该存在的:感染的文件,已知的攻击,不该存在的数据包,奇怪的行为模式;攻击扩散前进行阻止;统计不正常的行为。
以传统的基于”签名”的IDS/IPS为例,为实现对已知攻击的有效检测,通常需要为IDS/IPS开发用于检测已知攻击模式的规则(也被称为“签名”)。于是为了保护某个类型应用的漏洞,并防御对应的一系列漏洞利用的攻击模式,往往就会开发一定数量的与前述攻击模式对应的检测规则。通过规则解析引擎将规则编译为多模匹配状态机,从而在网络流量中对攻击模式进行实时监测和响应。
可见,传统NIDS/NIPS主要基于已知攻击的网络流量指纹发现已知攻击,然而当前主流的APT攻击往往利用恶意文件或恶意浏览器脚本,通过利用文档阅读器或浏览器漏洞,结合社会工程学欺骗手段,引诱受害者打开恶意文档或网页。如果受害者本地相关程序版本具有相应漏洞,恶意代码被执行,并持久化,则为攻击者后续内网攻击提供了有利条件。即,如图4所示的方案无法发现此类攻击。
如图3所示的本发明所提供的装置中,网络入侵检测主要包括以下部分:
1、NIDS/NIPS,包括:数据解码、协议预处理和应用识别模块;SSL解密(可选)模块;数据流式攻击检测模块;文件抽取及已知恶意文件检测模块;回调接口(CallBackInterface)模块;告警/响应模块;攻击流量指纹库模块;恶意文件指纹库模块;
2、沙箱,包括:模拟运行模块;恶意行为检测模块;恶意程序/文件行为IoC库;人工判定模块;
3、日志存储模块;可作为NIPS/NIDS的一部分,也可以接入外部专用的日志设备或日志存储、查询、分析服务;
4、外部IoC源;可以使任意和本系统IoC标准一致且经过授权可合法获取IoC情报数据的情报源。
其中,数据解码、协议预处理和应用识别模块;可完成网络数据的解码,协议预处理、协议识别、应用识别等功能。其中,识别的协议包括:tcp,udp,icmp,ip协议;并支持应用层协议;在进行协议识别和解析的同时,将把各类协议数据按照预定义的协议数据结构进行解析存储,允许基于引擎支持的规则语法直接访问并用规则匹配预处理器存储的协议数据结构中的各项数据。如,针对http协议,预处理器将把http请求和响应的http_method,http_uri,http_version,http_header,http_request_body等数据分别存储在相应的属于http协议的子数据结构中,并允许基于规则直接针对这些子数据结构完成匹配。
SSL解密块模,允许用户在导入受到保护的Web服务器SSL数字证书私钥或PKCS12证书的情况下,对与该Web服务器间以该证书加密的通信流量进行解密后检测。
数据流式攻击检测模块,支持基于“攻击流量指纹库模块”获取已知攻击模式,并通过数据流式多模匹配算法进行攻击流量检测的模块,支持的模式语法可以如snort的引擎语法;检测发现威胁后,将调用“告警/响应模块”完成相应的告警或自动响应动作。相关动作被定义在指纹库中。
文件抽取及已知恶意文件检测模块,支持在应用层基于主流文件magic和文件结构特征自动识别文件类型,并将文件从数据流中抽取出来并缓存,基于“恶意文件指纹库”获取已知恶意文件指纹特征完成检测,检测语法可以如Yara语法;检测发现威胁后,将调用“告警/响应模块”完成相应的告警或自动响应动作。相关动作被定义在指纹库中。
回调接口(CallBackInterface)模块;支持对外提供回调功能,外部系统可以调用该模块直接控制“告警/响应模块”完成相应的告警或自动响应动作。
告警/响应模块;受调用的模块控制完成响应的动作,包括告警、丢弃数据包、放行数据包、并进行日志记录等;
攻击流量指纹库模块;存储预定义的已知攻击的流量指纹特征,其中每个指纹(又被称为规则)除了以指纹语法定义了攻击流量特征,还定义了要求引擎进行的动作。
恶意文件指纹库模块;存储预定义的已知恶意文件的指纹特征。
模拟运行模块;可预先创建的包含多个主流操作系统版本,主流版本浏览器并内嵌多种易受攻击的浏览器插件,多个主流版本文档阅读器等虚拟化镜像,并基于硬件虚拟化并行运行多个此类虚拟机实例。收到传入的文件后,利用人工操作模拟程序调用相应的文件操作程序完成运行模拟。
恶意行为检测模块;在模拟运行模块执行对文件打开操作的模拟过程中,该模块将实时监控和启动响应文件打开操作的程序相关的进程创建、注册表动作以及同时间的系统日志等,对于和“恶意程序/文件行为IoC库”匹配的恶意行为,将基于预定义的判定阈值执行相应动作。对于未达到阈值,但处于可疑阈值范围的文件,将触发人工判定模块的动作。
恶意程序/文件行为IoC库;存储恶意程序/文件行为的IoC特征,包括但不限于:浏览器进程(或创建的新进程)触发定时任务;浏览器进程(或创建的新进程)触发powershell执行;浏览器进程(或创建的新进程)触发注册表修改;Office(如Doc)文档触发powershell执行。当基于已知恶意行为IoC判定捕获了恶意文件样本,且并无已知的任何恶意文件指纹与之匹配时,此恶意文件很有可能利用未知的0day开展攻击,或可能利用的已知漏洞的攻击的未定义指纹。
人工判定模块;将“恶意行为检测模块”检测到的可疑却未达到告警阈值级别的恶意文件,及其已经记录的行为、及日志等展示给安全运营人员,允许人工进行确认或判定;
日志存储模块;基于NIDS/NIPS解析的正常流量、异常流量、正常文件和异常文件等,基于预定义的元数据结构进行日志存储。元数据包括但不限于:http请求、响应元数据,header,方法,cookie,body等数据;ssl数字证书数据;DNS解析数据;文件hash,文件类型,文件缓存路径;时间戳;web应用指纹数据。也就是说,日志存储模块不仅仅存储了基于已知攻击模式发现的攻击行文或恶意文件,还存储了大量未判定为攻击的数据流元数据,存储资源占用方面介于“全流量镜像”和“已知攻击日志存储”两种方案对存储的占用之间。为后续攻击事件取证或溯源提供基础。
外部IoC源,即外部的IoC情报源,情报标准包括但不限于STIX/STIX2等。
通过对比可发现,在本实施例中HIDS/HIPS结合沙箱检测恶意文件的方案,可突破传统HIPS/HIDS在恶意文件检测能力方面的不足,为检测当前流行的基于恶意文档的APT攻击提供可行方案,并具备发现文档或浏览器0day漏洞的可能性。另外,该方案不仅仅对已知攻击进行告警或响应,还对正常流量进行元数据存储,便于后续开展攻击取证和溯源,又不会像全流量镜像方案造成巨大存储资源消耗。
相应于上面的方法实施例,本发明实施例还提供了一种网络入侵检测设备,下文描述的一种网络入侵检测设备与上文描述的一种网络入侵检测方法可相互对应参照。
参见图5所示,该网络入侵检测设备包括:
存储器D1,用于存储计算机程序;
处理器D2,用于执行计算机程序时实现上述方法实施例的网络入侵检测方法的步骤。
具体的,请参考图6,为本实施例提供的一种网络入侵检测设备的具体结构示意图,该网络入侵检测设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(central processing units,CPU)322(例如,一个或一个以上处理器)和存储器332,一个或一个以上存储应用程序342或数据344的存储介质330(例如一个或一个以上海量存储设备)。其中,存储器332和存储介质330可以是短暂存储或持久存储。存储在存储介质330的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地,中央处理器322可以设置为与存储介质330通信,在网络入侵检测设备301上执行存储介质330中的一系列指令操作。
网络入侵检测设备301还可以包括一个或一个以上电源326,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口358,和/或,一个或一个以上操作系统341。例如,Windows Server,Mac OS X,Unix,Linux,FreeBSD等。
上文所描述的网络入侵检测方法中的步骤可以由网络入侵检测设备的结构实现。
相应于上面的方法实施例,本发明实施例还提供了一种可读存储介质,下文描述的一种可读存储介质与上文描述的一种网络入侵检测方法可相互对应参照。
一种可读存储介质,可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述方法实施例的网络入侵检测方法的步骤。
该可读存储介质具体可以为U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可存储程序代码的可读存储介质。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
Claims (10)
1.一种网络入侵检测方法,其特征在于,包括:
利用网络入侵检测系统或网络入侵防御系统从网络流量中筛选出安全性未知的目标对象;
将所述目标对象输入至沙箱,并在所述沙箱中调用人工操作模拟程序对所述目标对象进行模拟操作,获得响应数据;
对所述响应数据进行恶意行为匹配检测,获得恶意行为检测结果;
利用所述恶意行为检测结果确定所述目标对象的安全性。
2.根据权利要求1所述的网络入侵检测方法,其特征在于,在所述沙箱中调用人工操作模拟程序对所述目标对象进行模拟操作,获得响应数据,包括:
在所述人工操作模拟程序对所述目标对象执行打开操作的模拟过程中,实时监控响应所述目标对象打开操作的程序对应的进程创建、注册表动作及系统日志,以获得所述响应数据。
3.根据权利要求1所述的网络入侵检测方法,其特征在于,对所述响应数据进行恶意行为匹配检测,获得恶意行为检测结果,包括:
利用恶意程序/文件行为控制IoC库对所述响应数据进行恶意行为匹配检测,得到匹配值;
比对所述匹配值与判定阈值的对应关系,得到所述恶意行为检测结果。
4.根据权利要求1所述的网络入侵检测方法,其特征在于,利用所述恶意行为检测结果确定所述目标对象的安全性之后,还包括:
若所述恶意行为检测结果判定所述安全性为未知,且所述目标对象为可疑对象,则输出人工复检的提示信息。
5.根据权利要求1至4任一项所述的网络入侵检测方法,其特征在于,所述利用网络入侵检测系统或网络入侵防御系统从网络流量中筛选出安全性未知的目标对象,包括:
利用所述网络入侵检测系统或所述网络入侵防御系统对所述网络流量进行安全检测;
利用安全检测结果,从所述网络流量中筛选出所述目标对象;其中,所述目标对象为程序或文件。
6.根据权利要求5所述的网络入侵检测方法,其特征在于,利用所述网络入侵检测系统或所述网络入侵防御系统对所述网络流量进行安全检测,包括:
利用所述网络入侵检测系统或所述网络入侵防御系统对所述网络流量进行解析处理,并在指定协议对应的数据结构中存储解析数据;
利用所述指定协议对所述解析数据进行安全检测。
7.根据权利要求6所述的网络入侵检测方法,其特征在于,利用所述指定协议对所述解析数据进行安全检测之后,还包括:
利用所述安全检测结果以及所述解析数据,按照元数据结构存储所述网络流量对应的日志。
8.一种网络入侵检测装置,其特征在于,包括:
安全检测筛选模块,用于利用网络入侵检测系统或网络入侵防御系统从网络流量中筛选出安全性未知的目标对象;
人工操作模拟模块,用于将所述目标对象输入至沙箱,并在所述沙箱中调用人工操作模拟程序对所述目标对象进行模拟操作,获得响应数据;
恶意行为检测模块,用于对所述响应数据进行恶意行为匹配检测,获得恶意行为检测结果;
安全性判定模块,用于利用所述恶意行为检测结果确定所述目标对象的安全性。
9.一种网络入侵检测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述网络入侵检测方法的步骤。
10.一种可读存储介质,其特征在于,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述网络入侵检测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010236530.1A CN111464526A (zh) | 2020-03-30 | 2020-03-30 | 一种网络入侵检测方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010236530.1A CN111464526A (zh) | 2020-03-30 | 2020-03-30 | 一种网络入侵检测方法、装置、设备及可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111464526A true CN111464526A (zh) | 2020-07-28 |
Family
ID=71685034
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010236530.1A Pending CN111464526A (zh) | 2020-03-30 | 2020-03-30 | 一种网络入侵检测方法、装置、设备及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111464526A (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112839053A (zh) * | 2021-01-27 | 2021-05-25 | 华能国际电力股份有限公司 | 一种基于自培养的电力工控网络恶意代码防护系统 |
CN112866266A (zh) * | 2021-01-27 | 2021-05-28 | 华能国际电力股份有限公司 | 适用于电力工控网络的基于自培养算法的恶意代码防护方法 |
CN114629970A (zh) * | 2022-01-14 | 2022-06-14 | 华信咨询设计研究院有限公司 | 一种tcp/ip流量还原方法 |
CN115994353A (zh) * | 2023-03-22 | 2023-04-21 | 北京升鑫网络科技有限公司 | 基于容器部署的主机入侵检测系统、方法及电子设备 |
CN117354057A (zh) * | 2023-12-01 | 2024-01-05 | 杭州海康威视数字技术股份有限公司 | 恶意流量检测方法、装置及设备 |
CN117540381A (zh) * | 2023-11-13 | 2024-02-09 | 中国人民解放军92493部队信息技术中心 | 一种针对反虚拟化恶意程序的检测方法及系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150261955A1 (en) * | 2014-03-17 | 2015-09-17 | Proofpoint, Inc. | Behavior profiling for malware detection |
CN108009425A (zh) * | 2017-11-29 | 2018-05-08 | 四川无声信息技术有限公司 | 文件检测及威胁等级判定方法、装置及系统 |
CN109586282A (zh) * | 2018-11-29 | 2019-04-05 | 安徽继远软件有限公司 | 一种电网未知威胁检测系统及方法 |
CN109635563A (zh) * | 2018-11-30 | 2019-04-16 | 北京奇虎科技有限公司 | 用于识别恶意应用程序的方法、装置、设备及存储介质 |
CN110210213A (zh) * | 2019-04-26 | 2019-09-06 | 北京奇安信科技有限公司 | 过滤恶意样本的方法及装置、存储介质、电子装置 |
-
2020
- 2020-03-30 CN CN202010236530.1A patent/CN111464526A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150261955A1 (en) * | 2014-03-17 | 2015-09-17 | Proofpoint, Inc. | Behavior profiling for malware detection |
CN108009425A (zh) * | 2017-11-29 | 2018-05-08 | 四川无声信息技术有限公司 | 文件检测及威胁等级判定方法、装置及系统 |
CN109586282A (zh) * | 2018-11-29 | 2019-04-05 | 安徽继远软件有限公司 | 一种电网未知威胁检测系统及方法 |
CN109635563A (zh) * | 2018-11-30 | 2019-04-16 | 北京奇虎科技有限公司 | 用于识别恶意应用程序的方法、装置、设备及存储介质 |
CN110210213A (zh) * | 2019-04-26 | 2019-09-06 | 北京奇安信科技有限公司 | 过滤恶意样本的方法及装置、存储介质、电子装置 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112839053A (zh) * | 2021-01-27 | 2021-05-25 | 华能国际电力股份有限公司 | 一种基于自培养的电力工控网络恶意代码防护系统 |
CN112866266A (zh) * | 2021-01-27 | 2021-05-28 | 华能国际电力股份有限公司 | 适用于电力工控网络的基于自培养算法的恶意代码防护方法 |
CN114629970A (zh) * | 2022-01-14 | 2022-06-14 | 华信咨询设计研究院有限公司 | 一种tcp/ip流量还原方法 |
CN115994353A (zh) * | 2023-03-22 | 2023-04-21 | 北京升鑫网络科技有限公司 | 基于容器部署的主机入侵检测系统、方法及电子设备 |
CN117540381A (zh) * | 2023-11-13 | 2024-02-09 | 中国人民解放军92493部队信息技术中心 | 一种针对反虚拟化恶意程序的检测方法及系统 |
CN117354057A (zh) * | 2023-12-01 | 2024-01-05 | 杭州海康威视数字技术股份有限公司 | 恶意流量检测方法、装置及设备 |
CN117354057B (zh) * | 2023-12-01 | 2024-03-05 | 杭州海康威视数字技术股份有限公司 | 恶意流量检测方法、装置及设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111464526A (zh) | 一种网络入侵检测方法、装置、设备及可读存储介质 | |
EP3295359B1 (en) | Detection of sql injection attacks | |
CN107612924B (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
US10454950B1 (en) | Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks | |
US10587647B1 (en) | Technique for malware detection capability comparison of network security devices | |
CN109586282B (zh) | 一种电网未知威胁检测系统及方法 | |
CN107465702B (zh) | 基于无线网络入侵的预警方法及装置 | |
CN107579997A (zh) | 无线网络入侵检测系统 | |
CN107566401B (zh) | 虚拟化环境的防护方法及装置 | |
CN108369541B (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
CN111818062A (zh) | 基于Docker的CentOS高交互蜜罐系统及其实现方法 | |
CN112788034B (zh) | 对抗网络攻击的处理方法、装置、电子设备和存储介质 | |
US20040030931A1 (en) | System and method for providing enhanced network security | |
KR20110088042A (ko) | 악성 코드 자동 판별 장치 및 방법 | |
CN113746781A (zh) | 一种网络安全检测方法、装置、设备及可读存储介质 | |
KR101768079B1 (ko) | 침입탐지 오탐 개선을 위한 시스템 및 방법 | |
Deng et al. | Lexical analysis for the webshell attacks | |
CN115694928A (zh) | 全舰计算环境云端蜜罐、攻击事件感知和行为分析方法 | |
KR20070072835A (ko) | 실시간 웹로그 수집을 통한 웹해킹 대응 방법 | |
CN107517226B (zh) | 基于无线网络入侵的报警方法及装置 | |
WO2020057156A1 (zh) | 一种安全管理方法和安全管理装置 | |
Zhao et al. | Network security model based on active defense and passive defense hybrid strategy | |
Wu et al. | A novel approach to trojan horse detection by process tracing | |
Chen et al. | A proactive approach to intrusion detection and malware collection | |
Takata et al. | Fine-grained analysis of compromised websites with redirection graphs and javascript traces |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200728 |