CN116633572A - 基于实时规则扫描的离岸数据无感动态监测方法及系统 - Google Patents

Abstract

本发明公开了一种基于实时规则扫描的离岸数据无感动态监测方法及系统，本发明离岸数据包括日志类数据、网络流量数据和基于无感主机动态钩子的嵌入式用户态采集数据；本发明实时规则扫描，是通过对离岸数据实时进行完全解析，针对每一字节进行特征检测，并与漏洞攻击防护规则库以正则表达式的方式进行匹配，如果匹配则拒绝该数据，从而实现漏洞攻击防护；本发明漏洞攻击防护规则库，为预置Yara规则，包括CVE漏洞规则、Windows平台规则、虚拟机私有云环境规则、Email邮件规则、木马规则、离岸数据中心业务监管规则和离岸数据中心负面清单业务规则；本发明实现了实时无感动态监测和规则扫描作业，实现了流量+日志的复合监测，增强了安全监测的能力和准确度。

Description

基于实时规则扫描的离岸数据无感动态监测方法及系统

技术领域

本发明属于信息安全技术领域，涉及一种离岸数据无感动态监测方法及系统，具体涉及一种基于实时规则扫描的离岸数据无感动态监测方法及系统。

背景技术

从业务角度来说，国内外公司和交易伙伴需要通过离岸大数据中心实现境内外的数据流动，离岸大数据中心作为域内关外的主体对象，不是法外之地，而相关的业务数据和信息需要同时接受注册公司所在国和中华人民共和国的相关法律法规的双重监管和约束，为了实现高效安全可控可防的法律监管的同时，保证正常的业务开展，需要对流入流出离岸数据中心的数据进行必要的安全监控和监管，为降低最终使用用户的不良感知急需一种无感动态监测的技术和平台。

现有的监管方案主要由以下几种构成：

(1)行政及流程审批类，主要使用管理和行政手段，实现管理流程和管理主客体的合规，缺乏必要和配套的技术手段实现真实有效的实时或事后事实审计和追查技术手段；

(2)全自由数据流动模式，除国家规定的不能流通到国外的数据外，所有数据自由流动，实现数据的最大化价值使用，但存在巨量的安全风险如涉黄，暴力，谣言，反动，不良信息等；

(3)强监管模式，默认不开放，需要开放的单独审批，通过后放行，存在周期长，数据要素利用率差等特点。

发明内容

为了解决上述技术问题，本发明采取了以上方案截然不同的最终用户无感知方案，采取无感技术底座，采用实时规则扫描的形式，实现技术管控，并根据违规告警进行必要的管理和干预，降低了最终用户的不良感知，提高了数据的流通效率。

本发明的方法所采用的技术方案是：一种基于实时规则扫描的离岸数据无感动态监测方法，所述离岸数据包括日志类数据、网络流量数据和基于无感主机动态钩子的嵌入式用户态采集数据；

所述实时规则扫描，是通过对离岸数据实时进行完全解析，针对每一字节进行特征检测，并与漏洞攻击防护规则库以正则表达式的方式进行匹配，如果匹配则拒绝该数据，从而实现漏洞攻击防护；

所述漏洞攻击防护规则库，为预置Yara规则，包括CVE(Common Vulnerabilities&Exposures)漏洞规则、Windows平台规则、虚拟机私有云环境规则、Email邮件规则、常见木马规则、离岸数据中心业务监管规则和离岸数据中心负面清单业务规则；

离岸数据中心业务监管规则，是进行合法和非法业务的模拟测试,并通过网络镜像和日志自动采集+人工分析2次加工获得；离岸数据中心负面清单业务规则，是采取国家相关行业法律法规进行Yara规则实现；

其中，Yara规则条件包括：and表示与，or表示或，not表示非，all of them表示所有条件匹配即告警，any of them表示有一个条件匹配即告警，$a and$b and$c表示abc同时匹配即告警，($a and$b)or$c表示匹配a和b或c即告警；

Yara规则修饰符包括：nocase表示不区分大小写，base64表示base64字符串，xor表示异或字符串，wide表示宽字符。

本发明的系统所采用的技术方案是：一种基于实时规则扫描的离岸数据无感动态监测系统，包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现所述的基于实时规则扫描的离岸数据无感动态监测方法。

相对于现有技术，本发明的有益效果是：

(1)本发明根据离岸数据中心业务量巨大的现状和实现最终用户无感知的监管和审计述求，实现了实时无感动态监测和规则扫描作业；

(2)本发明针对单一流量监测或单一日志监测的缺点，实现了流量+日志的复合监测，增强了安全监测的能力和准确度；

(3)本发明依据国际相关法律法规,针对离岸数据中心业务在技术层面创造性的发明了监管规则和离岸数据中心负面清单业务规则，落地实现了法规到技术层面的创新。

附图说明

图1为本发明实施例的方法原理图；

图2为本发明实施例的数据结构图；

图3为本发明实施例的日志类数据采集原理图；

图4为本发明实施例的Yara规则构建原则图；

图5为本发明实施例的基于无感主机动态钩子的嵌入式用户态数据采集原理图。

具体实施方式

为了便于本领域普通技术人员理解和实施本发明，下面结合附图及实施例对本发明作进一步的详细描述，应当理解，此处所描述的实施示例仅用于说明和解释本发明，并不用于限定本发明。

请见图1，本发明提供的一种基于实时规则扫描的离岸数据无感动态监测方法，离岸数据包括日志类数据、网络流量数据和基于无感主机动态钩子的嵌入式用户态采集数据；

实时规则扫描，是通过对离岸数据实时进行完全解析，针对每一字节进行特征检测，并与漏洞攻击防护规则库以正则表达式的方式进行匹配，如果匹配则拒绝该数据，从而实现漏洞攻击防护；

漏洞攻击防护规则库，为预置Yara规则，包括CVE(Common Vulnerabilities&Exposures)漏洞规则、Windows平台规则、虚拟机私有云环境规则、Email邮件规则、常见木马规则、离岸数据中心业务监管规则和离岸数据中心负面清单业务规则；

本实施例的离岸数据中心业务监管规则是利用搭建的网络实验环境，根据实际的业务场景进行合法和非法业务的模拟测试，并通过网络镜像和日志自动采集+人工分析2次加工获得；离岸数据中心负面清单业务规则则采取国家相关行业法律法规进行Yara规则实现；

其中，Yara规则条件包括：and表示与，or表示或，not表示非，all of them表示所有条件匹配即告警，any of them表示有一个条件匹配即告警，$a and$b and$c表示abc同时匹配即告警，($a and$b)or$c表示匹配a和b或c即告警；

Yara规则修饰符包括：nocase表示不区分大小写，base64表示base64字符串，xor表示异或字符串，wide表示宽字符。

请见图2，本实施例的网络流量数据的数据结构由4元组构成，分别为：帧头、IP头、传输头和恶意代码；其中IP头+传输头组合用于状态检测，恶意代码部分涵盖应用特征(正常业务特征)和应用威胁特征(恶意非法行为)2部分，IP头+传输头+恶意代码3元组合构成安全深度内容检测的主体和核心对象。

本实施例中，漏洞攻击防护规则库的构建过程包括以下步骤：

(1)对恶意软件进行分析；

(2)识别恶意软件字符串和代码的“唯一性”；

(3)根据分析结果，制作Yara规则的原型；

(4)在各种恶意软件家族、合法软件、恶意软件数据源中，测试Yara规则原型，检测并监控可能产生的误报或漏报；

(5)根据测试结构优化规则；

(6)获得Yara规则。

本实施例采集3大类原始数据，一类是网络流量数据，即交换机镜像端口或分光器分光流量数据；另一类是日志类数据，如离岸数据应用的访问使用日志，物理主机的系统日志，Docker等容器类的日志，Openstack和Vmware Exsi等虚拟机日志；第三类是基于无感主机动态钩子的嵌入式用户态采集和监控。

其中数据流经路径为：

(1)日志类源数据处理流经路径：数据源--->日志存储组件--->实时规则扫描组件---->告警组件；

(2)网络流量数据处理流经路径：数据源-->实时规则扫描组件---->告警组件；

(3)基于无感主机动态钩子的嵌入式用户态采集和监控：数据源-->实时规则扫描组件/实时钩子hook---->告警组件。

请见图3，本实施例的集中日志存储组件是离岸数据中心云平台日志的采集、存储、汇聚、分析、展示的组件，采用基于ELK+Graylog等工具来实现集中日志中心的能力。提供基于中心化集群的管理、查询功能。支持标准输出日志采集、文件日志采集、log4j日志文件采集，kafka数据采集等。

日志采集工具除了logstash，另外采用filebeat、metricbeat、packetbeat、winlogbeat、auditbeat、heartbeat等工具。

本实施例的网络流量数据，采取了业界主流的流采集方案，因为主流交换机都支持sflow或Netflow方式对接，所以对交换机硬件无过多要求，本实施的采用了开源的社区版本，做了部分的技术和业务加强。其中，一个Netflow系统包括三个主要部分：探测器，采集器，报告系统。探测器是用来监听网络数据的。采集器是用来收集探测器传来的数据的。报告系统是用来从采集器收集到的数据产生易读的报告的。通过分析网络中flow的不同差别可以发现，他们共同拥有以下几个属性：源IP地址、目的IP地址、源端口号、目标端口号、协议类型、TOS字节和逻辑端口；Netflow技术就是分析上述7个属性，快速区分网络中的不同数据流量，并且对每个数据流进行单独的跟踪和计算，记录其各方面特性。

从路由器和交换机输出的NetFlow网络数据由过期的数据流及详细的流量统计数据组成。其中，这些数据流包含报文的来源和目的地相关的IP地址，以及端到端会话使用的Protocol和Port；而流量统计数据包含了数据流时戳、源IP地址和目的IP地址、源端口号和目的端口号、输入接口号和输出接口号、下一跳IP地址、信息流中的总字节数、信息流中的数据包数量、信息流中的第一个和最后一个数据包时戳源AS和目的AS，及前置掩码、数据包序号等。

本实施例的漏洞攻击防护的保护对象包括保护客户端和服务器，其中保护客户端，是用于保护客户端机器及其应用软件系统不因本身的漏洞而受到攻击。保护服务器，是用于保护服务器及其应用软件系统不因服务器或者软件本身存在的漏洞而受到攻击；还用于阻止用户频繁登录指定协议服务器，防止暴力破解攻击。

本实施例的防止包括操作系统本身的漏洞，后门、木马、间谍、蠕虫软件以及恶意代码的攻击。

本实施例保护服务器软件(如应用服务器提供的应用)，防止针对Web、DNS、Ftp、tftp、telnet、邮件、数据库、媒体服务器应用本身的漏洞以及网络设备进行的攻击和暴力破解。

本实施例保护客户端软件(如OA、IE等)，防止针对web activex控件漏洞、web浏览器、文件格式、应用软件进行的攻击。

本实施例采用了yara扫描引擎，yara是一个基于规则的恶意样本分析工具，旨在帮助蓝队或安全研究员防御和分析恶意软件。

请见图4，本实施例预置Yara规则，包括Yara官方的预置规则；翻译转化clamav特征码，利用工具clamav_to_yara.py将clamav的特征码转换为Yara规则；Yara-generator网站上其他用户上传的样本规则；以及人工分析一些行业的关键字串特征，手动修改形成的Yara规则。

yara-generator网站上有很多其他用户上传的样本规则，可以使用爬虫去将这些规则爬取到规则库中。当分析一个样本时，先用yara现有的库进行扫描。如果没有匹配，可以上传到yara-generator网站上自动分析yara规则，再将规则加入到规则库中。

请见图5，本实施例基于无感主机动态钩子的嵌入式用户态采集数据，包括用户态空间和内核态空间的数据采集；

所述用户态空间的数据采集，其开发语言采用Go语言代码实现，在用户态空间中使用HOOK ELF，以及HOOK SO两种模式的加密解密函数并通过自动分析ELF文件，读取.dynamic和.dynsym用户态段信息，查找相关链接库名以及函数名和偏移地址；后续采取XDP处理并进行发包操作，发送给内核态空间态进程；

所述内核态空间的数据采集，其开发语言采用C语言代码实现，通过clang/llvm编译器进行翻译和转化，产生bpf编码格式的字节码，然后采用go-bindata函数方法继续转化为Go语言语法格式程序代码文件；内部调用采用ehids/ebpfmanager内核态空间的系统类库函数方法，通过调用bpf syscall方法指令进行加载、关联和map类型的数据读取。

本实施例还设置有告警中心，告警中心是离岸数据中心监控平台各组件运行状况、监控告警规则定义、收集并展示平台运行情况的组件。监控告警中心是运维的重要助手，没有它就如同两眼一抹黑，难以有效保障平台的正常运行，无法预测系统运行资源使用，就无法保障其可用性。

告警中心采用Prometheus+AlterManager工具，使用Grafana实现监控面板，展示监控内容项，另外自定义实现一些监控面板，以更好的集成到平台不同的组件中展现相关监控内容。

应当理解的是，上述针对较佳实施例的描述较为详细，并不能因此而认为是对本发明专利保护范围的限制，本领域的普通技术人员在本发明的启示下，在不脱离本发明权利要求所保护的范围情况下，还可以做出替换或变形，均落入本发明的保护范围之内，本发明的请求保护范围应以所附权利要求为准。

Claims (6)

1.一种基于实时规则扫描的离岸数据无感动态监测方法，其特征在于：所述离岸数据包括日志类数据、网络流量数据和基于无感主机动态钩子的嵌入式用户态采集数据；

所述实时规则扫描，是通过对离岸数据实时进行完全解析，针对每一字节进行特征检测，并与漏洞攻击防护规则库以正则表达式的方式进行匹配，如果匹配则拒绝该数据，从而实现漏洞攻击防护；

所述漏洞攻击防护规则库，为预置Yara规则，包括CVE漏洞规则、Windows平台规则、虚拟机私有云环境规则、Email邮件规则、木马规则、离岸数据中心业务监管规则和离岸数据中心负面清单业务规则；

所述离岸数据中心业务监管规则，是进行合法和非法业务的模拟测试,并通过网络镜像和日志自动采集+人工分析2次加工获得；所述离岸数据中心负面清单业务规则，是采取国家相关行业法律法规进行Yara规则实现；

其中，Yara规则条件包括：and表示与，or表示或，not表示非，all of them表示所有条件匹配即告警，any of them表示有一个条件匹配即告警，$a and$b and$c表示abc同时匹配即告警，($a and$b)or$c表示匹配a和b或c即告警；

Yara规则修饰符包括：nocase表示不区分大小写，base64表示base64字符串，xor表示异或字符串，wide表示宽字符。

2.根据权利要求1所述的基于实时规则扫描的离岸数据无感动态监测方法，其特征在于：所述预置Yara规则，包括Yara官方的预置规则；翻译转化clamav特征码，利用工具clamav_to_yara.py将clamav的特征码转换为Yara规则；Yara-generator网站上其他用户上传的样本规则；以及人工分析关键字串特征，手动修改形成的Yara规则。

3.根据权利要求1所述的基于实时规则扫描的离岸数据无感动态监测方法，其特征在于：所述基于无感主机动态钩子的嵌入式用户态采集数据，包括用户态空间和内核态空间的数据采集；

所述用户态空间的数据采集，其开发语言采用Go语言代码实现，在用户态空间中使用HOOK ELF，以及HOOK SO两种模式的加密解密函数并通过自动分析ELF文件，读取.dynamic和.dynsym用户态段信息，查找相关链接库名以及函数名和偏移地址；后续采取XDP处理并进行发包操作，发送给内核态空间态进程；

所述内核态空间的数据采集，其开发语言采用C语言代码实现，通过clang/llvm编译器进行翻译和转化，产生bpf编码格式的字节码，然后采用go-bindata函数方法继续转化为Go语言语法格式程序代码文件；内部调用采用ehids/ebpfmanager内核态空间的系统类库函数方法，通过调用bpf syscall方法指令进行加载、关联和map类型的数据读取。

4.根据权利要求1所述的基于实时规则扫描的离岸数据无感动态监测方法，其特征在于：所述网络流量数据的数据结构由4元组构成，分别为：帧头、IP头、传输头和恶意代码；其中IP头+传输头组合用于状态检测，恶意代码部分涵盖应用特征和应用威胁特征2部分，IP头+传输头+恶意代码3元组合构成安全深度内容检测的主体和核心对象。

5.根据权利要求1-4任意一项所述的基于实时规则扫描的离岸数据无感动态监测方法，其特征在于，所述漏洞攻击防护规则库的构建过程包括以下步骤：

(1)对恶意软件进行分析；

(2)识别恶意软件字符串和代码的“唯一性”；

(3)根据分析结果，制作Yara规则的原型；

(4)在各种恶意软件家族、合法软件、恶意软件数据源中，测试Yara规则原型，检测并监控可能产生的误报或漏报；

(5)根据测试结构优化规则；

(6)获得Yara规则。

6.一种基于实时规则扫描的离岸数据无感动态监测系统，其特征在于，包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现如权利要求1至4中任一项所述的基于实时规则扫描的离岸数据无感动态监测方法。