WO2015120752A1 - 网络威胁处理方法及设备 - Google Patents

Abstract

本发明提供了一种网络威胁处理方法及设备。其中，该方法包括：侦听网络设备的网络访问行为，并获取网络数据报文；对获取的网络数据报文进行分析，提取元数据；检测元数据并确定攻击行为，其中，攻击行为包括已知的攻击行为和/或未知的攻击行为。采用本发明实施例提供的网络威胁处理方法能够及时发现并处理新型网络威胁，包括已知攻击行为以及未知攻击行为，达到保证网络免受安全威胁的有益效果。

Description

网络威胁处理方法及设备 技术领域

本发明涉及互联网应用领域，特别是涉及一种网络威胁处理方法及设备。

背景技术

随着信息社会的发展，网络信息安全越来越深入人们的生活。信息泄露、数据丢失、用户隐私泄露等信息安全事故频繁发生造成了重大的经济损失，并对社会产生了重大不良影响。甚至，信息安全事故会危及国家安全。例如，2012年，我国涉密单位发现一个已经潜伏长达7年之久的恶意代码，2013年5月，韩国多家银行和电视台遭遇黑客攻击，网络大面积瘫痪。

随着科技的发展，网络威胁已经有了新的特点。新型网络威胁逐渐实现了从恶作剧向商业利益的属性转变、从个人向团伙组织的发起人转变，以及从普通病毒木马向高级持续性攻击(Advanced Persistent Threat，以下简称APT)的技术转变。这些转变均使得网络信息安全遭受更大的威胁。新型网络威胁不仅手段隐蔽，并且现有技术中的安全防御体系无法掌握其漏洞以及技术。因此，传统的安全防御体系无法采取相应技术手段解决新型网络威胁，导致人们生产生活的信息受到了更为严峻的安全威胁，而这些安全威胁一旦真实发生，对经济、社会甚至国家安全会造成难以估计的毁灭性影响。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的网络威胁处理方法和相应的设备。

依据本发明的一个方面，提供了一种网络威胁处理方法，包括：侦听网络设备的网络访问行为，并获取网络数据报文；对获取的网络数据报文进行分析，提取元数据；检测所述元数据并确定攻击行为，其中，所述攻击行为包括已知的攻击行为和/或未知的攻击行为。

依据本发明的另一个方面，还提供了一种网络威胁处理设备，包括：侦听模块，配置为侦听网络设备的网络访问行为，并获取网络数据报文；数据提取模块，配置为对获取的网络数据报文进行分析，提取元数据；确定模块，配置为检测所述元数据并确定出攻击行为，其中，所述攻击行为包括已知的攻击行为和/或未知的攻击行为。

根据本发明的又一个方面，提供了一种计算机程序，包括计算机可读代码，当所述计算机可读代码在计算设备上运行时，导致所述计算设备执行根据任一个上述的网络威胁处理方法。

根据本发明的再一个方面，提供了一种计算机可读介质，其中存储了如上述的计算机程序。

依据本发明实施例提供的网络威胁处理方法能够侦听网络设备的网络访问行为，获取网络数据报文，并通过对网络数据报文进行分析提取元数据，根据对元数据进行检测确定已知或者未知的攻击行为，解决现有技术中无法掌握新型网络威胁(包括已知攻击以及未知攻击)的漏洞及技术，进而无法采取相应技术手段解决新型网络威胁的问题。本发明实施例提供的网络威胁处理方法通过实时侦听网络设备的网络访问行为，获取到网络数据报文，根据获取的网络数据报文能够动态发现未知攻击的漏洞攻击以及未知攻击的隐秘信道等信息，并且能够快速检测未知攻击。另外，本发明实施例对获取的网络数据报文进行存储，形成大数据级别的历史数据，并对大数据进行分析挖掘，进而能够对高级、隐蔽的攻击进行检测，是解决对由于现有技术的限制而漏检的攻击进行补查的有效手段。综上，采用本发明实施例提供的网络威胁处理方法能够及时发现新型网络威胁，包括已知攻击行为以及未知攻击行为，进而使得用户能够及时对发现的新型网络威胁采取处理措施，达到保证人们生产生活甚至国家安全不受网络信息安全威胁的有益效果。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了根据本发明一个实施例的网络威胁处理方法的处理流程图；

图2示出了根据本发明一个实施例的本地检测引擎与云检测引擎组成“天眼系统”的结构图；

图3示出了根据本发明一个优选实施例的网络威胁处理方法的处理流程图；

图4示出了实时分析模块对网络数据报文进行处理的处理流程图；

图5示出了根据本发明一个优选实施例的实时分析模块对各协议解析后的数据进行处理的处理流程图；

图6示出了根据本发明一个实施例的利用沙箱检测方式对文件进行检测的流程图；

图7示出了根据本发明一个优选实施例的利用沙箱检测方式对文件进行检测的流程图；

图8示出了根据本发明一个实施例的将实时分析模块以及沙箱检测模块组合之后的结构流程图；

图9示出了根据本发明一个实施例的已知/未知攻击检测模块的处理流程图；

图10示出了根据本发明一个实施例的基于大数据分析的攻击检测与回溯模块的处理流程图；

图11示出了根据本发明一个优选实施例的建立网络异常行为模型并据此确定攻击行为的流程图；

图12示出了根据本发明一个优选实施例的威胁感知的结构示意图；

图13示出了根据本发明一个实施例的全面检测时文件告警、行为告警以及邮件告警的界面示意图；

图14示出了根据本发明一个实施例的文件告警的详细告警信息界面图；

图15示出了根据本发明一个实施例的对告警信息进行告警分析的界面图；

图16示出了根据本发明一个实施例的对告警信息进行分析的日志报表；

图17示出了根据本发明一个实施例的用户管理的界面图；

图18示出了根据本发明一个实施例的配置管理的界面图；

图19示出了根据本发明一个实施例的网络威胁处理设备的结构示意图；

图20示意性地示出了用于执行根据本发明的网络威胁处理方法的计算设备的框图；以及

图21示意性地示出了用于保持或者携带实现根据本发明的网络威胁处理方法的程序代码的存储单元。

具体实施方式

下面结合附图和具体的实施方式对本发明作进一步的描述。

相关技术中提及，新型网络威胁不仅手段隐蔽，并且现有技术中的安全防御体系无法掌握其漏洞以及技术。因此，传统的安全防御体系无法采取相应技术手段解决新型网络威胁，导致人们生产生活的信息受到了更为严峻的安全威胁，而这些安全威胁一旦真实发生，对经济、社会甚至国家安全会造成难以估计的毁灭性影响。

为解决上述技术问题，本发明实施例提出了一种网络威胁处理方法。图1示出了根据本发明一个实施例的网络威胁处理方法的处理流程图。参见图1，该流程至少包括步骤S102至步骤S106。

步骤S102、侦听网络设备的网络访问行为，并获取网络数据报文。

步骤S104、对获取的网络数据报文进行分析，提取元数据。

步骤S106、检测元数据并确定攻击行为，其中，攻击行为包括已知的攻击行为和/或未知的攻击行为。

依据本发明实施例提供的网络威胁处理方法能够侦听网络设备的网络访问行为，获取网络数据报文，并通过对网络数据报文进行分析提取元数据，根据对元数据进行检测确定已知或者未知的攻击行为，解决现有技术中无法掌握新型网络威胁(包括已知攻击以及未知攻击)的漏洞及技术，进而无法采取相应技术手段解决新型网络威胁的问题。本发明实施例提供的网络威胁处理方法通过实时侦听网络设备的网络访问行为，获取到 网络数据报文，根据获取的网络数据报文能够动态发现未知攻击的漏洞攻击以及未知攻击的隐秘信道等信息，并且能够快速检测未知攻击。另外，本发明实施例对获取的网络数据报文进行存储，形成大数据级别的历史数据，并对大数据进行分析挖掘，进而能够对高级、隐蔽的攻击进行检测，是解决对由于现有技术的限制而漏检的攻击进行补查的有效手段。综上，采用本发明实施例提供的网络威胁处理方法能够及时发现新型网络威胁，包括已知攻击行为以及未知攻击行为，进而使得用户能够及时对发现的新型网络威胁采取处理措施，达到保证人们生产生活甚至国家安全不受网络信息安全威胁的有益效果。

上文提及，本发明实施例能够检测出网络威胁的攻击行为，并及时对其进行处理。如图2所示，本发明实施例能够运用于本地检测引擎220，并结合现有技术中的云检测引擎230组成一个“天眼系统”(其中，“天眼”仅为系统名称，对本地检测引擎以及云检测引擎组成的系统的功能、属性以及作用等方面均不构成任何影响)，对网络设备210中的网络访问行为进行检测处理，发现其中的网络威胁(包括网络攻击行为等)，做到对网络威胁“天网恢恢疏而不漏”，更加全面、广泛以及具体地处理网络威胁。

现以运用于本地检测引擎220的网络威胁处理方法为例，对本发明实施例提供的网络威胁处理方法进行介绍。图3示出了根据本发明一个优选实施例的网络威胁处理方法的处理流程图，首先执行步骤S302，侦听网络设备的网络访问行为。在侦听的过程中，实时执行步骤S304，获取网络数据报文。本发明实施例中，侦听网络设备的网络访问行为能够对网络设备的网络访问行为进行实时监测，保证及时获取网络设备的网络访问行为。进一步，能够保证在任何攻击行为发生之前，本发明实施例能够及时检测到攻击行为并进行合理有效处理，保证网络安全。因此，本发明实施例在整个网络威胁处理流程中对网络设备的网络访问行为进行侦听，并实时执行步骤S304，获取网络数据报文。

获取到网络数据报文之后，执行步骤S306，对网络数据报文进行分析。本发明实施例中，对获取到的网络数据报文进行分析可以是分析网络数据报文的源网络地址，也可以是分析网络数据报文的目的地址。优选地，本发明实施例中，为在后续操作中能够准确对网络数据报文中的攻击行为进行检测和处理，在对获取到的网络数据报文进行分析时，对获取的网络数据报文进行分类。并且，针对每一类别，本发明实施例选择相应的策略检测攻击行为。在对获取的网络数据报文进行分类时，本发明实施例可以根据源地址或者目的地址或者其他任意信息对网络数据报文进行分类，并根据分类结果选择相应的策略检测攻击行为。由于根据网络数据报文的数据能够更加全面以及准确地对网络数据报文进行分类，因此，优选地，本发明实施例中根据各网络数据报文的属性，将获取的数据分为文件类数据报文和/或非文件类数据报文。即，根据对获取到的网络数据报文的分析，网络数据报文可以是文件类数据报文，可以是非文件类数据报文，还可以是文件类数据报文以及非文件类数据报文的组合。

对网络数据报文进行分类之后，执行如图3所示的步骤S308，确定网络数据报文是否为文件类数据报文。若是，执行步骤S310，将确定的文件类数据报文还原为文件。之 后，对还原的文件进行检测，检测文件是否具有恶意行为。在对文件进行检测的过程中，为保证将被检测的文件完全与正在运行的程序隔离，进而保证检测过程中被检测文件不会出现攻击行为，本发明实施例利用沙箱检测方式对还原的文件进行检测，如图3中的步骤S312所示。其中，对文件的检测方式包括：基于网络异常行为检测原理，检测文件是否具有恶意行为。若根据步骤S308的判断结果，网络数据报文为非文件类数据报文，则直接执行步骤S314，基于网络异常行为检测原理，检测网络数据报文的已知攻击行为和/或未知攻击行为。当网络数据报文为文件类数据报文以及非文件类数据报文的组合时，将网络数据报文分为文件类数据报文部分以及非文件类数据报文部分，并分别按照上文提及的步骤进行操作，在此不作赘述。

另外，如图3中的步骤S316所示，本发明实施例中，获取到网络数据报文之后，除了对获取到的网络数据报文进行分析之外，为保证在后续分析中能够及时获取历史网络数据报文进行对比，以便更深层次分析网络数据报文，达到更加高效地网络威胁处理性能，本发明实施例还可以对捕捉到的网络数据报文进行全流量存储(即步骤S316)。并且，当存储的网络数据报文的数量级到达大数据级别时，本发明实施例对存储的网络数据报文进行大数据分析的攻击检测，确定攻击行为，和/或对已确定的攻击行为，基于大数据分析对攻击行为进行回溯。优选地，本发明实施例中，基于大数据分析对攻击行为进行回溯的操作可以是定位攻击行为的攻击源、还原攻击行为相对应的方位行为以及还原攻击行为相对应的访问内容等能够对攻击行为进行分析的其中一项或者几项任意操作，本发明实施例对此并不加以限定。

当根据如图3所示的网络威胁处理方法的处理流程检测元数据并确定出攻击行为之后，本发明实施例还可以根据未知的攻击行为，对网络设备上使用的安全装置进行升级，使网络设备上使用的安全装置能够防御未知的攻击行为。并且，本文中曾提及能够将本地检测引擎以及云检测引擎组成“天眼系统”对网络设备中的网络威胁进行检测处理(具体请见附图2及其对应说明)。需要说明的是，本发明实施例能够通过本地检测引擎和/或云检测引擎检测元数据并确定攻击行为。

上文根据图3所示的流程图对本发明实施例提供的网络威胁处理方法进行了介绍，为更加深入清晰地阐述本发明实施例提供的网络威胁处理方法，现使用优选实施例对本发明实施例提供的网络威胁处理方法中的几个模块进行进一步介绍。具体地，现对本发明实施例提供的网络威胁处理方法中的实时分析模块(实现功能请参见图3所示的步骤S306中提及的对网络数据报文进行分析的部分)、沙箱检测模块(实现功能请参见图3所示的步骤S312中提及的沙箱检测部分)、已知/未知攻击检测模块(实现功能请参见图3所示的步骤S314中提及的检测已知/未知攻击行为部分)以及基于大数据分析的攻击检测与回溯模块(实现功能参见图3所示的步骤318中提及的攻击检测和回溯部分)。

首先介绍实时分析模块。图4示出了实时分析模块对网络数据报文进行处理的处理流程图。实时分析模块接收到高性能捕包流程捕捉到的网络数据报文后，首先，对网络数据报文进行Ethernet(以太网)/VLAN(虚拟局域网)/MPLS(多协议标签交换)等任 意二层协议的解析。其次，进一步对经前一步解析得到的数据包进行TCP/IP(Transmission Control Protocol/Internet Protocol的简写，中译名为传输控制协议/因特网互联协议，又名网络通讯协议)协议的解析。最后，对经TCP/IP协议解析后的数据进行应用层协议的识别。实时分析模块对网络数据报文解析结束后，对其进行后续处理，例如图4中的文件还原、已知/未知攻击检测、全流程存储均是后续处理的步骤。

图5示出了根据本发明一个优选实施例的实时分析模块对各协议解析后的数据进行处理的处理流程图。本优选实施例为一个webmail(即网络邮件)内容解析的实施例。如图5所示，经超文本传送协议解析后，识别到该应用为网络邮件，进而对网络邮件进行解析得到文本以及用以支持邮件中附加数据(如声音文件、视频文件等)的MIME(即多用途互联网邮件扩展)。其中，文本文件为能够直接检测的元数据，而对于MIME则需要进行进一步解析。对需要继续解析的MIME部分进行解压缩得到不同格式的文件，如图5所示的便携文档(Portable Document Format，以下简称PDF)格式的文件以及PPT(微软公司设计的一种演示文稿软件)格式的文件。其中，对PPT格式的文件进一步解析能够得到可检测的元数据，如图5所示的文本文件以及Excel(一种试算表软件)格式的文件。而对PDF格式的文件进行解析时，得到可直接检测的文本文件以及不可直接检测的Deflate(一种无损数据压缩算法)格式的文件。对于Deflate格式的文件则需要进一步解析，直至得到全部可检测的元数据，则实时解析结束。需要说明的是，在图5中，较粗的箭头指向为一条延伸的实时解析路径，按照该实时解析路径能够最终提取网络数据报文的元数据。

其次介绍沙箱检测模块。图6示出了根据本发明一个实施例的利用沙箱检测方式对文件进行检测的流程图。获取到网络数据报文(即图6中的样本)之后，首先对网络数据报文的文件类型进行分析，并得到可移植执行体文件(Portable Execute，以下简称PE文件)和/或非可移植执行体文件(以下简称非PE文件)。对于PE文件以及非PE文件分别进行静态检测、半动态检测以及动态检测过程，并根据检测结果进行恶意行为分析。图7示出了根据本发明一个优选实施例的利用沙箱检测方式对文件进行检测的流程图。如图7所示，当获取到网络数据报文之后，若判断获取到的网络数据报文为文件类数据报文，则将文件类数据报文还原为文件。例如，图7中示出的邮件附件还原、web(网络)文件还原以及FTP(文件传输协议)文件还原等等。还原之后，对文件进行静态攻击代码初筛，即图6中对文件进行静态检测的过程。

当静态检测完毕之后，若检测出攻击代码，则确定文件具有恶意行为，继而进行相应处理。若没有检测出静态攻击代码，则利用沙箱对文件进行半动态以及动态检测。如图7所示，将应用程序的还原文件，如Office(微软公司的一款办公软件)、PDF、Flash(一种集动画创作与应用程序开发于一身的创作软件)以及其他任意应用的还原文件放入沙箱进行检测。根据沙箱检测，能够动态获取各个应用的还原文件是否具有恶意行为的信息，还可以动态获取各个应用的还原文件的可疑程度。例如，在2013年10月18日22时27分10秒时，在文件名称为“啦啦生活网”的压缩文件中，其启动宿主进程，注 入代码的操作行为可疑程度为4个星，其设置远程线程上下文的操作行为可疑程度为3个星，其在其他进程中申请内存的操作行为可疑程度为一个星。其中，星的个数越多代表可疑程度越高，则其操作行为是恶意行为的可能性越高。需要说明的是，本优选实施例中提及的时间、软件名称、文件名称以及可疑程度评定方法等均为示例，均无法代表实际运用中能够出现的各个信息详情。

图4至图7及各个附图的相应文字说明介绍了实时分析模块以及沙箱检测模块。图8示出了根据本发明一个实施例的将实时分析模块以及沙箱检测模块组合之后的结构流程图。参见图8，对文件进行解压缩得到可检测的元数据。其中，若文件为PE文件，则首先对文件进行云查杀，例如使用奇虎支持向量机(Qihoo Support Vector Machine，以下简称QVM)或者云AVE(Audio Video Engine，音视频引擎)。通过云查杀的PE文件利用沙箱(即图8中的Sandbox)检测方式进行再次完整分析检测。对于非PE文件，如图8中示出的富文本格式(Rich Text Format，以下简称为RTF格式)、PDF格式、Doc(一种文件扩展名)格式、docx(一种文件扩展名)格式以及excel格式等等，若文件为能够继续解压缩的文档，则返回继续进行解压缩操作，若文件为可检测的元数据，则进行QEX静态分析、填充数据(shellcode)半动态检测以及lightVM轻量动态分析。之后，利用沙箱检测对通过以上三种检测的元数据再次进行检测。在对文件进行是否具有恶意行为的检测时，优选地，本发明实施例中，可以将恶意行为的危险等级分为三个等级。第一，高危，即能够确认元数据为恶意代码，如确定的木马样本、明显的恶意行为或者能够触发的漏洞利用等。第二，中危，即存在疑似恶意行为，但无法确定的，或者疑似漏洞利用，但尚没有确定的恶意行为，例如发现样本会访问以下敏感的位置，或者样本导致程序崩溃，但没有触发执行。第三，低危，即非经过确认的无恶意文件，可能会危害系统安全，可以理解为存在风险的文件。

对实时分析模块以及沙箱检测模块介绍完毕之后，对已知/未知攻击检测模块进行介绍。当对获取到的网络数据报文判断为非文件类数据报文之后，本发明实施例基于网络异常行为检测原理，对已知/未知攻击行为进行检测。如图9所示，首先对在网络数据报文(网络数据报文经前文实时分析获得)中提取出的元数据进行网络行为信息的提取。其次，对提取到的网络行为信息进行多维度的网络行为统计。之后，依据统计结果，利用决策树分类规则建立网络异常行为模型，并使用网络异常行为模型确定攻击行为。

另外，在进行上文提及的网络异常行为模型的建立时，本发明实施例使用存储的网络数据报文。在对本发明实施例提供的网络威胁处理方法进行介绍时提及，本发明实施例中，对捕捉到的网络数据报文进行全流量存储，当存储的网络数据报文的数量级到达大数据级别时，可以对已确定的攻击行为，基于大数据分析对攻击行为进行回溯。因此，下面首先介绍基于大数据分析的攻击检测与回溯模块，其次，介绍使用存储的网络数据报文建立网络异常行为模型。

如图10所示的基于大数据分析的攻击检测与回溯模块，本发明实施例对捕捉到的网络数据报文进行全流量存储，得到全流量数据，例如网络的访问记录信息、网络的所有 对内对外的web访问请求以及网络或者邮件传输的文件。实施时，可以采用聚类算法对全流量数据进行分析，可以对全流量数据进行机器学习以及规则提取操作，还可以对全流量数据进行数据关联分析操作等。通过以上多维度的网络行为分析统计，能够建立网络异常行为模型以及确定攻击关系。继而，通过建立的网络异常行为模型以及确定的攻击关系能够进行已知攻击检测、未知攻击检测以及APT攻击过程回溯等操作。

对基于大数据分析的攻击检测与回溯模块介绍完毕之后，图11示出了根据本发明一个优选实施例的建立网络异常行为模型并据此确定攻击行为的流程图。如图11所示，通过侦听网络流量、获取终端日志以及获取设备日志等行为能够获取到网络数据报文。将获取到的网络数据报文进行全流量存储。当存储的网络数据报文的数量级到达大数据级别时，进行大数据挖掘计算以及历史数据行为分析。其中，对历史数据进行行为分析之后得到的分析结果能够加入行为模型库以备后续分析使用，而通过大数据挖掘计算能够提取网络行为模型，也可以将提取的网络行为模型加入行为模型库。另外，行为模型库能够反过来作为历史数据行为分析的历史数据。通过对历史数据行为的分析能够获取到漏洞利用攻击、可疑行为、APT过程以及隐蔽信道等未知攻击的信息。进一步，能够检测并确定已知或者未知的攻击行为。

例如，在本申请的一个实施例中，服务器接收客户端的主动访问，为客户端提供各种应答服务，服务器仅在有限的情形中主动发起访问行为，如获取系统补丁等，如果侦听到的流量中服务器主动访问欧洲某DNS(Domain Name System，域名解析系统)服务器，则服务器的访问操作与其历史数据行为不符，说明存在可疑行为，需要进行进一步的检测。

上文对本发明实施例提供的网络威胁处理方法以及其中具体的模块信息进行了介绍，为将本发明实施例提供的网络威胁处理方法阐述得更加直观、清楚，现提供一个具体实施例。

实施例一

图12示出了根据本发明一个优选实施例的威胁感知的结构示意图。参见图12，本发明实施例通过本地检测引擎(如特征库升级包、漏洞补丁包以及软件升级包)以及云检测引擎相结合进行威胁感知管理。其中通过全面维护系统(Total Solution Maintenance，以下简称TSM)进行的威胁感知管理包括报警、分析、管理与配置以及数据来源(DataBase)。而通过微型搜索引擎(Tiny Search Engine，以下简称TSE)进行的威胁感知管理包括捕包、报文预处理以及并行威胁检测。图13至图18分别示出了根据本发明一个实施例的网络威胁处理的不同界面图。其中，图13示出了全面检测时文件告警、行为告警以及邮件告警的界面示意图。本发明实施例的告警界面图中提示用户当前被告警的文件或者行为或者邮件的危险等级、告警时间等信息。图14示出了根据本发明一个实施例的文件告警的详细告警信息界面图。如图14所示，用户能够在该界面中获知针对该文件的危险等级、告警时间、源网络互连协议(Internet Protoco，以下简称IP)地址、目的IP地址、文件类型、文件大小以及关于该文件的历史记录等信息，方便用户了解存 在威胁的文件的详细信息，并进一步作出相应判断及处理。图15示出了根据本发明一个实施例的对告警信息进行告警分析的界面图。如图15所示，本发明实施例能够基于检测到的大量异常告警信息，对未知威胁或者攻击行为进行全面分析以及有效定位。图16示出了根据本发明一个实施例的对告警信息进行分析的日志报表。如图16所示，用户能够根据时间不同查找不同时段中对网络访问行为的告警趋势。如图16所示，用户能够查找最近24小时内的告警趋势和攻击主机次数的前十名(TOP10)，以及告警趋势和攻击主机次数前十名相应的统计图。另外，图17示出了根据本发明一个实施例的用户管理的界面图，图18示出了根据本发明一个实施例的配置管理的界面图。综上，本发明实施例能够根据不同用户进行功能不同的个性化设置，进一步更加高效地帮助不同用户进行不同范围不同深度的网络威胁处理，提升用户体验。

基于上文各优选实施例提供的网络威胁处理方法，基于同一发明构思，本发明实施例提供了一种网络威胁处理设备，用于实现上述网络威胁处理方法。

图19示出了根据本发明一个实施例的网络威胁处理设备的结构示意图。参见图19，本发明实施例的网络威胁处理设备至少包括：侦听模块1910、数据提取模块1920以及确定模块1930。

现介绍本发明实施例的网络威胁处理设备的各器件或组成的功能以及各部分间的连接关系：

侦听模块1910，配置为侦听网络设备的网络访问行为，并获取网络数据报文。

数据提取模块1920，与侦听模块1910相耦合，配置为对获取的网络数据报文进行分析，提取元数据。

确定模块1930，与数据提取模块1920相耦合，配置为检测元数据并确定出攻击行为，其中，攻击行为包括已知的攻击行为和/或未知的攻击行为。

依据本发明实施例提供的网络威胁处理方法能够侦听网络设备的网络访问行为，获取网络数据报文，并通过对网络数据报文进行分析提取元数据，根据对元数据进行检测确定已知或者未知的攻击行为，解决现有技术中无法掌握新型网络威胁(包括已知攻击以及未知攻击)的漏洞及技术，进而无法采取相应技术手段解决新型网络威胁的问题。本发明实施例提供的网络威胁处理方法通过实时侦听网络设备的网络访问行为，获取到网络数据报文，根据获取的网络数据报文能够动态发现未知攻击的漏洞攻击以及未知攻击的隐秘信道，并且能够快速检测未知攻击。另外，本发明实施例对获取的网络数据报文进行存储，形成大数据级别的历史数据，并对大数据进行分析挖掘，进而能够对高级、隐蔽的攻击进行检测，是解决对由于现有技术的限制而漏检的攻击进行补查的有效手段。综上，采用本发明实施例提供的网络威胁处理方法能够及时发现新型网络威胁，包括已知攻击行为以及未知攻击行为，进而使得用户能够及时对发现的新型网络威胁采取处理措施，达到保证人们生产生活甚至国家安全不受网络信息安全威胁的有益效果。

在一个优选的实施例中，数据提取模块1920还配置为：

对获取的网络数据报文进行分类；

针对每一类别，选择相应的策略检测出攻击行为。

在一个优选的实施例中，数据提取模块1920还配置为：根据各网络数据报文的属性，将获取的数据分为文件类数据报文和/或非文件类数据报文。

在一个优选的实施例中，数据提取模块1920还配置为：对于文件类数据报文，将其还原为文件；

对还原的文件进行检测，检测文件是否具有恶意行为。

在一个优选的实施例中，数据提取模块1920还配置为：利用沙箱检测方式对还原的文件进行检测。

在一个优选的实施例中，数据提取模块1920还配置为：

基于网络异常行为检测原理，检测文件是否具有恶意行为。

在一个优选的实施例中，数据提取模块1920还配置为：

对于非文件类数据报文，

基于网络异常行为检测原理，检测出攻击行为。

在一个优选的实施例中，数据提取模块1920还配置为：提取元数据的网络行为信息；

对网络行为信息进行多维度网络行为统计；

依据统计结果，利用决策树分类规则建立网络异常行为模型；

使用网络异常行为模型确定出攻击行为。

在一个优选的实施例中，网络威胁处理设备还包括：

备份模块1940，配置为对捕捉到的网络数据报文进行全流量存储，以备后续分析使用。

在一个优选的实施例中，备份模块1940还配置为：当存储的网络数据报文的数量级到达大数据级别时，对存储的网络数据报文进行基于大数据分析的攻击检测，确定攻击行为；和/或

对已确定的攻击行为，基于大数据分析对攻击行为进行回溯。

在一个优选的实施例中，基于大数据分析对攻击行为进行回溯的操作，包括下列至少之一：

定位攻击行为的攻击源；

还原攻击行为相对应的访问行为；

还原攻击行为相对应在的访问内容。

在一个优选的实施例中，网络威胁处理设备还包括：

升级模块1950，配置为检测元数据并确定出攻击行为之后，根据未知的攻击行为，对网络设备上使用的安全装置进行升级，使其能够防御未知的攻击行为。

在一个优选的实施例中，当确定一个攻击行为后，生成告警信息(例如被攻击终端、攻击源、攻击样本等)，并传送至网络设备上的安全防御装置，由安全防御装置进行进一步的检测和查杀。

在一个优选的实施例中，检测元数据并确定攻击行为包括：通过本地检测引擎和/或 云检测引擎检测元数据并确定攻击行为。

在一个优选的实施例中优先采用本地检测引擎(在某些环境中，如无法连接外网时)，当无法确定攻击行为时，发送至云检测引擎进行进一步检测，此时，云检测引擎作为本地检测引擎的一个补充。

根据上述任意一个优选实施例或多个优选实施例的组合，本发明实施例能够达到如下有益效果：

依据本发明实施例提供的网络威胁处理方法能够侦听网络设备的网络访问行为，获取网络数据报文，并通过对网络数据报文进行分析提取元数据，根据对元数据进行检测确定已知或者未知的攻击行为，解决现有技术中无法掌握新型网络威胁(包括已知攻击以及未知攻击)的漏洞及技术，进而无法采取相应技术手段解决新型网络威胁的问题。本发明实施例提供的网络威胁处理方法通过实时侦听网络设备的网络访问行为，获取到网络数据报文，根据获取的网络数据报文能够动态发现未知攻击的漏洞攻击以及未知攻击的隐秘信道等信息，并且能够快速检测未知攻击。另外，本发明实施例对获取的网络数据报文进行存储，形成大数据级别的历史数据，并对大数据进行分析挖掘，进而能够对高级、隐蔽的攻击进行检测，是解决对由于现有技术的限制而漏检的攻击进行补查的有效手段。综上，采用本发明实施例提供的网络威胁处理方法能够及时发现新型网络威胁，包括已知攻击行为以及未知攻击行为，进而使得用户能够及时对发现的新型网络威胁采取处理措施，达到保证人们生产生活甚至国家安全不受网络信息安全威胁的有益效果。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的 的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的网络威胁处理设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

例如，图20示出了可以实现根据本发明的网络威胁处理方法的计算设备。该计算设备传统上包括处理器2010和以存储器2020形式的计算机程序产品或者计算机可读介质。存储器2020可以是诸如闪存、EEPROM(电可擦除可编程只读存储器)、EPROM、硬盘或者ROM之类的电子存储器。存储器2020具有用于执行上述方法中的任何方法步骤的程序代码2031的存储空间2030。例如，用于程序代码的存储空间2030可以包括分别用于实现上面的方法中的各种步骤的各个程序代码2031。这些程序代码可以从一个或者多个计算机程序产品中读出或者写入到这一个或者多个计算机程序产品中。这些计算机程序产品包括诸如硬盘，紧致盘(CD)、存储卡或者软盘之类的程序代码载体。这样的计算机程序产品通常为如参考图21所述的便携式或者固定存储单元。该存储单元可以具有与图20的计算设备中的存储器2020类似布置的存储段、存储空间等。程序代码可以例如以适当形式进行压缩。通常，存储单元包括计算机可读代码2031’，即可以由例如诸如2010之类的处理器读取的代码，这些代码当由计算设备运行时，导致该计算设备执行上面所描述的方法中的各个步骤。

本文中所称的“一个实施例”、“实施例”或者“一个或者多个实施例”意味着，结合实施例描述的特定特征、结构或者特性包括在本发明的至少一个实施例中。此外，请注意，这里“在一个实施例中”的词语例子不一定全指同一个实施例。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将 这些单词解释为名称。

此外，还应当注意，本说明书中使用的语言主要是为了可读性和教导的目的而选择的，而不是为了解释或者限定本发明的主题而选择的。因此，在不偏离所附权利要求书的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围，对本发明所做的公开是说明性的，而非限制性的，本发明的范围由所附权利要求书限定。

Claims (28)

1. 一种网络威胁处理方法，包括：

   侦听网络设备的网络访问行为，并获取网络数据报文；

   对获取的网络数据报文进行分析，提取元数据；

   检测所述元数据并确定攻击行为，其中，所述攻击行为包括已知的攻击行为和/或未知的攻击行为。
2. 根据权利要求1所述的方法，其中，所述对获取的网络数据报文进行分析，包括：

   对获取的网络数据报文进行分类；

   针对每一类别，选择相应的策略检测攻击行为。
3. 根据权利要求2所述的方法，其中，所述对获取的网络数据报文进行分类，包括：根据各网络数据报文的属性，将获取的数据分为文件类数据报文和/或非文件类数据报文。
4. 根据权利要求3所述的方法，其中，所述针对每一类别，选择相应的策略检测攻击行为，包括：

   对于所述文件类数据报文，将其还原为文件；

   对还原的文件进行检测，检测所述文件是否具有恶意行为。
5. 根据权利要求4所述的方法，其中，所述对还原的文件进行检测，包括：利用沙箱检测方式对还原的文件进行检测。
6. 根据权利要求4或5所述的方法，其中，检测所述文件是否具有恶意行为，包括：

   基于网络异常行为检测原理，检测所述文件是否具有恶意行为。
7. 根据权利要求3所述的方法，其中，所述针对每一类别，选择相应的策略检测攻击行为，包括：

   对于所述非文件类数据报文，

   基于网络异常行为检测原理，检测出攻击行为。
8. 根据权利要求7所述的方法，其中，所述基于网络异常行为检测原理，检测出攻击行为，包括：

   提取所述元数据的网络行为信息；

   对所述网络行为信息进行多维度网络行为统计；

   依据统计结果，利用决策树分类规则建立网络异常行为模型；

   使用所述网络异常行为模型确定出攻击行为。
9. 根据权利要求1至8任一项所述的方法，其中，还包括：对捕捉到的网络数据报文进行全流量存储，以备后续分析使用。
10. 根据权利要求9所述的方法，其中，还包括：当存储的网络数据报文的数量级到达大数据级别时，对存储的网络数据报文进行基于大数据分析的攻击检测，确定攻击行为；和/或对已确定的攻击行为，基于大数据分析对攻击行为进行回溯。
11. 根据权利要求10所述的方法，其中，基于大数据分析对攻击行为进行回溯的操作，包括下列至少之一：定位攻击行为的攻击源；还原攻击行为相对应的访问行为；还原攻击行为相对应在的访问内容。
12. 根据权利要求1至11任一项所述的方法，其中，检测所述元数据并确定出攻击行为之后，还包括：根据未知的攻击行为，对所述网络设备上使用的安全装置进行升级，使其能够防御所述未知的攻击行为。
13. 根据权利要求1至12任一项所述的方法，其中，所述检测所述元数据并确定攻击行为包括：通过本地检测引擎和/或云检测引擎检测所述元数据并确定攻击行为。
14. 一种网络威胁处理设备，包括：

    侦听模块，配置为侦听网络设备的网络访问行为，并获取网络数据报文；

    数据提取模块，配置为对获取的网络数据报文进行分析，提取元数据；

    确定模块，配置为检测所述元数据并确定出攻击行为，其中，所述攻击行为包括已知的攻击行为和/或未知的攻击行为。
15. 根据权利要求14所述的设备，其中，所述数据提取模块还配置为：对获取的网络数据报文进行分类；针对每一类别，选择相应的策略检测出攻击行为。
16. 根据权利要求15所述的设备，其中，所述数据提取模块还配置为：根据各网络数据报文的属性，将获取的数据分为文件类数据报文和/或非文件类数据报文。
17. 根据权利要求16所述的设备，其中，所述数据提取模块还配置为：对于所述文件类数据报文，将其还原为文件；对还原的文件进行检测，检测所述文件是否具有恶意行为。
18. 根据权利要求17所述的设备，其中，所述数据提取模块还配置为：利用沙箱检测方式对还原的文件进行检测。
19. 根据权利要求17或18所述的设备，其中，所述数据提取模块还配置为：基于网络异常行为检测原理，检测所述文件是否具有恶意行为。
20. 根据权利要求16所述的设备，其中，所述数据提取模块还配置为：对于所述非文件类数据报文，基于网络异常行为检测原理，检测出攻击行为。
21. 根据权利要求20所述的设备，其中，所述数据提取模块还配置为：提取所述元数据的网络行为信息；对所述网络行为信息进行多维度网络行为统计；依据统计结果，利用决策树分类规则建立网络异常行为模型；使用所述网络异常行为模型确定出攻击行为。
22. 根据权利要求14至21任一项所述的设备，其中，还包括：备份模块，配置为对捕捉到的网络数据报文进行全流量存储，以备后续分析使用。
23. 根据权利要求22所述的设备，其中，所述备份模块还配置为：当存储的网络数据报文的数量级到达大数据级别时，对存储的网络数据报文进行基于大数据分析的攻击检测，确定攻击行为；和/或对已确定的攻击行为，基于大数据分析对攻击行为进行回溯。
24. 根据权利要求23所述的设备，其中，基于大数据分析对攻击行为进行回溯的操 作，包括下列至少之一：定位攻击行为的攻击源；还原攻击行为相对应的访问行为；还原攻击行为相对应在的访问内容。
25. 根据权利要求14至24任一项所述的设备，其中，还包括：升级模块，配置为检测所述元数据并确定出攻击行为之后，根据未知的攻击行为，对所述网络设备上使用的安全装置进行升级，使其能够防御所述未知的攻击行为。
26. 根据权利要求14至25任一项所述的设备，其中，所述检测所述元数据并确定攻击行为包括：通过本地检测引擎和/或云检测引擎检测所述元数据并确定攻击行为。
27. 一种计算机程序，包括计算机可读代码，当所述计算机可读代码在计算设备上运行时，导致所述计算设备执行根据权利要求1-13中的任一个所述的网络威胁处理方法。
28. 一种计算机可读介质，其中存储了如权利要求27所述的计算机程序。

Images