WO2017107616A1

WO2017107616A1 - 一种检测终端安全状况方法、装置及系统

Info

Publication number: WO2017107616A1
Application number: PCT/CN2016/101263
Authority: WO
Inventors: 甘永存
Original assignee: 华为技术有限公司
Priority date: 2015-12-24
Filing date: 2016-09-30
Publication date: 2017-06-29
Also published as: CN110891048A; EP3288231A4; ES2775874T3; US20200304463A1; EP3288231A1; CN106921608B; US11431676B2; US20180139178A1; US10735374B2; EP3687134A1; EP3288231B1; CN106921608A; CN110891048B; EP3687134B1

Abstract

一种检测终端安全状况方法、装置及系统。该方法包括：安全防护设备接收文件，并运行该文件，生成动态行为结果。该动态行为结果包含按照行为发生时间顺序形成的行为序列。在该文件包含APT情况下，该安全防护设备获取该动态行为结果中稳定的行为特征，根据该稳定的行为特征生成相应IOC，并将其发送至终端。该稳定的行为特征是指该文件在每次运行后所生成行为序列中均出现的行为。通过本申请提供的方案能够检测出网络内部是否有用户感染了APT，以及哪些用户感染了APT。

Description

一种检测终端安全状况方法、装置及系统

本申请要求于2015年12月24日提交中国专利局、申请号为201510988051.4、发明名称为“一种检测终端安全状况方法、装置及系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及计算机领域，尤其涉及计算机安全防护领域。

背景技术

随着以APT(Advanced Persistent Threat，高级可持续威胁)为代表的下一代威胁登场，传统安全防护手段面临挑战。一次APT攻击，轻则造成公司核心商业机密泄漏，给公司造成不可估计得损失，重则导致金融行业、能源行业、交通行业等涉及国计民生的行业陷入瘫痪，其效果不亚于一场战争。

2010年Google(谷歌公司)遭受Aurora下一代威胁攻击，导致大规模的Gmail(Google的免费网络邮件服务)邮件泄漏，对Google品牌造成严重影响。2010年伊朗核设施遭受Stuxnet(震网)攻击，导致核设施核心部件-离心机受损严重，此次攻击造成后果不亚于一次定点轰炸。2011年RSA遭受针对SecureID的下一代威胁攻击，导致大规模的SecureID数据泄漏，严重影响使用SecureID的客户安全，对公司的安全性质疑严重影响公司的公众形象。2013年3月韩国银行业遭受一次定向型APT攻击，导致大面积的银行主机系统宕机，严重影响银行在客户心中的形象。未来如何应对以APT为代表的下一代威胁，如何应对未来可能的网络战，是人们将要面临的重大问题。

现有的用户网络，一般在终端设备上部署防病毒软件，同时在网关或者是邮件服务器前部署安全沙箱。终端设备上部署的杀毒软件主要通过软件供应商提供的最新的特征库检测恶意软件，而在网关或者是邮件服务器前部署安全沙箱主要用来检测来自于互联网的APT。

现有的安全沙箱可以检测来自互联网的APT。现有技术能够监测到内部网络遭受了APT攻击，却无法检测到是否有用户感染APT，以及哪些用户已经被APT感染。例如，某安全沙箱检测到其所属内网遭受到APT攻击，且该APT攻击是通过邮件方式发送给用户。有些用户由于打开了这封含有APT附件的邮件而感染了APT，而有些用户则并未打开此邮件，也就没有感染APT。又如，某安全沙箱检测到其所属内网遭受到APT攻击，且该APT攻击是通过某版本应用软件的漏洞而实现的。有些用户使用了该版本应用软件，因此遭受到了该APT攻击，而有些用户由于使用的是该应用软件的更高级版本，并没有相应漏洞，因此也就并没有遭受到APT攻击。

现有技术方案虽然能够检测出网络内部遭受到了APT攻击，但是却无法判断出是否有用户感染了APT，以及具体哪些用户感染了APT，也就无法采取针对性的操作。

发明内容

本文描述了一种检测终端安全状况的方法、装置及系统，从而实现了检测出具体终端是否感染到APT。

在第一方面，本申请实施例提供了一种检测终端安全状况的装置。该装置位于私有网络与公有网络连接处，终端位于私有网络中。该装置包括动态行为结果生成模块、动态行为分析模块和被感染主机描述符生成器。

该动态行为结果生成模块用于接收来自公有网络的文件，并在该装置中运行该文件，从而生成动态行为结果。其中，该动态行为结果包含按照行为发生时间顺序形成的行为序列。该行为序列中的行为属于不同的行为类型，该行为类型包括创建文件、修改注册表、配置域名、解析地址、连接网络、加载进程、添加用户。该动态行为分析模块用于根据该动态行为结果生成模块生成的该动态行为结果判断该文件是否包含高级可持续威胁。该被感染主机描述符生成器用于如果该动态行为分析模块确定该文件包含高级可持续威胁，获取该动态行为结果中稳定的行为特征，根据该稳定的行为特征生成相应被感染主机描述符，并将该被感染主机描述符发送至该终端。其中，该稳定的行为特征是指该文件在每次运行后所生成行为序列中均出现的行为。

在第二方面，本申请实施例提供了一种终端设备。该终端包括接收模块、被感染主机描述符解释器、确定模块。

该接收模块用于接收来自安全防护设备的被感染主机描述符。该被感染主机描述符解释器用于对该接收模块接收到的该被感染主机描述符进行解析，得到该被感染主机描述符中包含的高级可持续威胁对应的行为特征。该确定模块用于搜索该终端的操作系统和文件系统，确定该终端是否已发生该高级可持续威胁对应的行为特征所描述的行为。如果该终端已发生该高级可持续威胁对应的行为特征所描述的行为，确定该终端已感染该高级可持续威胁。

在第三方面，本申请实施例提供了一种检测终端安全状况的系统，该系统包括上述第一方面的终端安全状况检测装置以及上述第二方面的终端设备。

在第四方面，本申请实施例提供了一种检测终端安全状况的方法。该方法由安全防护设备执行，且该安全防护设备位于私有网络与公有网络连接处，终端位于私有网络中。

首先该安全防护设备接收来自公有网络的文件，并在该安全防护设备中运行该文件，从而生成动态行为结果。该动态行为结果包含按照行为发生时间顺序形成的行为序列。该行为序列中的行为属于不同的行为类型，行为类型包括创建文件、修改注册表、配置域名、解析地址、连接网络、加载进程、添加用户。该安全防护设备根据生成的该动态行为结果判断该文件是否包含高级可持续威胁情况，若包含所述高级可持续威胁，则获取该动态行为结果中稳定的行为特征，根据该稳定的行为特征生成相应被感染主机描述符，并将该被感染主机描述符发送至该终端。该稳定的行为特征是指该文件在每次运行后所生成行为序列中均出现的行为。

在第五方面，本申请实施例提供了一种检测终端安全状况的方法。

该终端接收来自安全防护设备的被感染主机描述符。该终端对该被感染主机描述符进行解析，得到该被感染主机描述符中包含的高级可持续威胁对应的行为特征。搜索该终端的操作系统和文件系统，确定该终端是否已发生该高级可持续威胁对应的行为特征所描述的行为。如果该终端已发生该高级可持续威胁对应的行为特征所描述的行为，确定该终端已感染该高级可持续威胁。

相较于现有技术，本申请实施例提供的方案能够具体检测出网络内部是否有用户感染了APT，以及哪些用户感染了APT。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。

图1为本申请实施例提供的一种检测终端感染APT的网络构架示意图；

图2为本申请实施例提供的一种检测终端安全状况的装置框图；

图3为一个动态行为结果示意图；

图4为本申请实施例提供的终端设备示意图；

图5为本申请实施例提供的编辑器输出的汇总IOC图形化示意图；

图6为本申请实施例提供的一种检测终端安全状况的系统示意图；

图7为本申请实施例一个实施例提供的一种检测终端安全状况的方法流程图；

图8为本申请实施例另一个实施例提供的一种检测终端安全状况的方法流程图；

图9为本申请实施例提供的一个文件类IOC示意图；

图10为本申请实施例提供的一个注册表类IOC示意图；

图11为本申请实施例提供的一个汇总IOC示意图。

具体实施方式

下面将结合附图，对本申请实施例中的技术方案进行清楚、完整地描述。

本申请实施例描述的网络架构是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

图1为本申请实施例提供的一种检测终端安全状况的系统的网络构架示意图。终端设备110通过互联网获取数据，如接收一封邮件等。布置于网关处的防火墙120将相应流量还原成文件，例如，防火墙通过HTTP(Hyper Text Transfer Protocol，超文本传输协议)代理方法将流量还原成文件。该文件种类包含exe(executable program，可执行程度)文件、DLL(Dynamic Link Library，动态链接库，又称应用程序扩展)文件、sys(system，系统)文件、com文件、Doc文件(word文件)、xls(Microsoft Excel工作表)文件、PDF(Portable Document Format，便携式文档格式)文件等。防火墙120将还原出的文件送交至安全沙箱130检测。安全沙箱130布置于网关处，其检测来自防火墙120的文件是否为包含APT(Advanced Persistent Threat，高级可持续威胁)的恶意文件。如果安全沙箱130检测出有文件包含APT，则生成与该APT相对应的IOC(Indicators of Compromised，被感染主机描述符)。安全沙箱130将该IOC同步至各终端设备。各终端设备对该IOC进行解析，得到与该IOC相对应APT所包含的行为特征，依据该特征查询相应终端的操作系统和文件系统，以确定该用户终端是否感染APT。安全沙箱是一种安全机制，为运行中的程序提供的隔离环境。沙箱通常严格控制其中运行的程序所能访问的资源，例如，沙箱可以提供用后可被回收的磁盘及内存空间。在沙箱中，网络访问、对真实操作系统的访问、对输入设备的独权被禁止或者严格限制。沙箱中的所有改动对真实操作系统不会造成任何损失。因此，这种技术通常被广泛适用于测试可能带有病毒的可执行文件或者其他恶意代码。

本申请所涉及到的用户终端可以包括手机、平板电脑、笔记本电脑、UMPC(Ultra-mobile Personal Computer，超级移动个人计算机)、上网本、PDA(Personal Digital Assistant，个人数字助理)等终端设备。

图2是本申请实施例提供的一种检测终端安全状态的装置框图。该检测终端安全状况装置200即安全防护装置，其位于私有网络与公有网络连接处，终端位于私有网络中。该装置200包括动态行为结果生成模块210、动态行为分析模块230、动态行为特征库220、IOC生成器240。

在一个示例中，该检测终端安全状况装置200为安全沙箱，进一步地，该安全沙箱布置于网关处。

动态行为结果生成模块210用于接收来自公有网络的文件，并在检测终端安全状况装置200中运行该文件，从而生成动态行为结果(参见图3)。该动态行为结果包含按照行为发生时间顺序形成的行为序列。该行为序列中的行为属于不同的行为类型，且该行为类型包括创建文件、修改注册表、配置域名、解析地址、连接网络、加载进程、添加用户。

动态行为分析模块230用于根据动态行为结果生成模块210生成的该动态行为结果判断该文件是否包含APT。

IOC生成器240用于如果该动态行为分析模块确定该文件包含APT，获取该动态行为结果中稳定的行为特征，根据该稳定的行为特征生成相应IOC，并将该IOC发送至终端。其中，该稳定的行为特征是指该文件在每次运行后所生成行为序列中均出现的行为。

在一个示例中，来自公有网络的文件如exe文件、DLL文件、sys文件、com文件、doc文件、xls文件、PDF文件等文件。

在一个示例中，该动态行为结果由一系列行为操作组成，各行为操作包含基于时间的行为序列。

在一个示例中，动态行为结果生成模块210包括现有安全沙箱中的启发式检测引擎模块和虚拟执行环境模块(图2未示出)。该启发式检测引擎模块包括Web启发式检测引擎子模块、PDF启发式检测引擎子模块、PE启发式检测引擎子模块(图2未示出)。该安全沙箱中的启发式检测引擎模块及虚拟执行环境模块均用于生成相应动态行为结果。

如图3所示，图3是一个动态行为结果示意图。图3中的该动态行为结果包含按照行为发生时间顺序形成的行为序列。该行为序列中的行为属于不同的行为类型。图3中，该行为类型包括创建文件、加载进程、修改注册表、连接网络。

图2中，动态行为特征库220包含多种与APT相关的动态行为特征，如动态行为特征库220包含误报行为特征库及威胁行为特征库(图2未示出)，该误报行为特征库包含多种误报行为特征，该威胁行为特征库包含多种威胁行为特征。

在一个示例中，动态行为分析模块230将来自动态行为结果生成模块210的动态行为结果与动态行为特征库220中的各动态行为特征进行匹配，从而确定该动态行为结果是否包含APT。

在一个示例中，动态行为分析模块230先将该动态行为结果与动态行为特征库220的误报行为特征库中各误报行为特征进行匹配，再与威胁行为特征库中的各威胁行为特征进行匹配，从而判定该动态行为结果是否包含APT。

在一个示例中，动态行为分析模块230在判定出该动态行为结果包含APT后，将该动态行为结果发送至IOC生成器240。否则，动态行为分析模块230 将该装置200接收到的文件(即正常文件，非感染文件)发送至终端设备。也就是说，IOC生成器240接收到的是包含APT的动态行为结果。

该APT具备高隐蔽性，其攻击手法在于隐匿自己，该APT通过一系列行为操作针对特定对象，长期、有计划性地侵入用户终端中。

在一个示例中，IOC生成器240包括第一加载器241、多个IOC生成器、IOC汇总模块243。该多个IOC生成器包括多种类型IOC生成器，如包括文件生成器(File生成器)、注册表生成器(Regitstry生成器)、域名生成器(DNS生成器)、地址解析生成器(ARP生成器)、网络连接生成器(Netword生成器)、进程生成器(Process生成器)、用户生成器(User生成器)等。该IOC生成器的类型与APT稳定的行为特征中行为的类型有关。例如，某包含APT的动态行为结果的一个行为特征是创建文件，则IOC生成器种类包含文件生成器。

IOC生成器240中的第一加载器(loader)241将该动态行为结果相应程序加载至内存中，并将该动态行为结果中的各条行为操作分配给不同的生成器。其中，该动态行为结果由一系列行为操作组成，各行为操作包含基于时间的行为序列。

在一个示例中，第一加载器241按照时间先后顺序逐条分析该动态行为结果中各条行为操作，得到相应行为特征，根据所确定的行为特征将该动态行为结果中相应行为操作发送至相应生成器中。例如，第一加载器241查看某行为操作，得到该行为操作的一个行为特征是FCreat即创建文件，则第一加载器241将该行为操作发送至文件生成器中。

在一个示例中，第一加载器241包含一个对照表，该对照表示出了各行为特征与多种类型生成器中各生成器的对应关系。第一加载器241从其接收到的动态行为结果的各条行为操作中获取行为特征，通过检索该对照表方式，确定各条行为操作所对应的生成器，并将各行为操作分配给相应生成器。

例如，第一加载器241查看其接收到的动态行为结果(即已经确定包含APT的动态行为结果)中一条行为操作的行为特征包含创建文件，则第一加载器241通过查找对照表方式确定该行为操作所对应的生成器是文件生成器，该第一加载器241将该行为操作分配给文件生成器。

IOC生成器240中各IOC生成器对来自第一加载器241的动态行为结果中相应行为操作进行解析，获取该动态行为结果中稳定的行为特征，即提取出APT所留下的痕迹，根据该稳定的行为特征生成相应IOC；其中，该稳定的行为特征是包含APT的文件在每次运行后所生成行为序列中均出现的行为。

在一个示例中，IOC生成器240获取该动态行为结果中稳定的行为特征，包括：在该装置200中运行至少两次该文件，分别得到每次运行后生成的行为序列，从而获得至少两个行为序列。确定该至少两个行为序列中存在的相同的行为，其中，相同的行为是指行为类型和行为内容均相同的行为。获得由该至少两个行为序列中相同的行为构成的集合，将该集合作为稳定的行为特征。

显然，在获得稳定的行为特征的过程中，文件运行的次数越多，最终得到的稳定的行为特征，继而根据稳定的行为特征生成的IOC在识别是否感染APT时的准确性就越高。

IOC(indicators of compromised，被感染主机描述符)描述了捕获到的APT所留下的痕迹，其通过xml文档形式描述出，内容包括病毒文件的属性、注册表改变的特征、虚拟内存等。例如，一个IOC描述的APT所留下的痕迹为：搜索路径C:\WINDOWS\apocalyps32.exe下的文件，且文件长度是108544。IOC汇总模块243将来自多个IOC生成器(如文件生成器、注册表生成器等)的多个IOC汇总成一个IOC，并将该汇总IOC发送至终端设备。其中，该汇总IOC通过一个XML(可扩展标记语言)文档表示。

图4是本申请实施例提供的终端设备示意图。该终端设备400包括IOC解释器410、接收模块430、确定模块440。

接收模块430用于接收来自安全防护设备的IOC。

IOC解释器用于对接收模块430接收到的该IOC进行解析，得到该IOC中包含的APT对应的行为特征。

确定模块440用于搜索终端设备400的操作系统和文件系统，确定终端设备400是否已发生该APT对应的行为特征所描述的行为。如果终端设备400已发生该APT对应的行为特征所描述的行为，确定终端设备400已感染该APT。

在一个示例中，该终端设备400还包括编辑器420。编辑器420用于将其接收到的IOC，如汇总IOC，以图形化形式描述并显示出来，参见图5。图5是一个汇总IOC图形化表现形式示意图。该编辑器420是一个可选模块。

在一个示例中，IOC解释器410在终端设备400的TSM(Terminal Security Management，终端安全管理软件)模块中。

本领域技术人员可以理解，图4中示出的终端设备结构并不构成对终端设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

在一个示例中，IOC解释器410包括第二加载器411以及多种类型解释器。

图4中，IOC解释器410中的第二加载器411接收来自接收模块430的IOC，例如接收汇总IOC，将该汇总IOC相应程序加载至内存中，并将该汇总IOC中的各IOC分配给不同的解释器。

在一个示例中，第二加载器411逐条分析该汇总IOC中的各IOC，获取各IOC类型，依据所确定的IOC类型分配该汇总IOC中的各IOC。例如，在一个IOC中，其所包含的context document即上下文文档类型为FileItem即文件项，则说明该IOC为文件类IOC。

在一个示例中，第二加载器411包含一个对照表，该对照表示出了各IOC类型与多种类型解释器中各解释器的对应关系。第二加载器411从其接收到的IOC中获取该IOC类型，通过检索该对照表方式，确定各IOC所对应的解释器，并将汇总IOC中各IOC分配给相应解释器。

需要说明的是，IOC解释器410也可以包括一个分配器(图4未示出)。此种情况下，由该分配器将该汇总ICO中的各IOC分配至相应解释器中，而第二加载器411仅用于将汇总IOC相应程序加载至内存中。

IOC解释器410包括以下多种类型解释器中的部分或者全部：文件解释器(File解释器)、注册表解释器(Regitstry解释器)、域名解释器(DNS解释器)、地址解析解释器(ARP解释器)、网络连接解释器(Netword解释器)、进程解释器(Process解释器)、用户解释器(User解释器)。该解释器的类型与IOC类型有关。

IOC解释器410中各解释器，接收来自第二加载器411的相应IOC，并对该IOC进行解析，得到该IOC中包含APT对应的行为特征，即得到APT所留下的痕迹。确定模块440根据该特征搜索终端设备400的操作系统和文件系统，确定终端设备400是否已发生该APT对应的行为特征所描述的行为。如果终端设备400已发生该APT对应的行为特征所描述的行为，确定终端设备400已感染APT。例如，该文件解释器解析出某IOC中APT所对应特征之一是：路径C:\WINDOWS\apocalyps32.exe；特征之二是：长度为108544字节的文件。确定模块440通过搜索终端设备440的操作系统和文件系统，查询目录C:\WINDOWS\apocalyps32.exe下是否存在108544字节长度的文件，从而确定终端设备400是否感染APT。

图6是本申请实施例提供的一种检测终端安全状况的系统。该系统包括检测终端安全状况装置200和终端设备400，且检测终端安全状况装置200位于私有网络与公有网络连接处，终端设备400位于私有网络中。

检测终端安全状况装置200接收来自公有网络的文件，并运行所述文件，从而生成动态行为结果；根据该动态行为结果判断所述文件是否包含APT；如果在该动态行为结果中包含APT，获取该动态行为结果中稳定的行为特征，根据该稳定的行为特征，生成相应IOC。其中，该动态行为结果包含按照行为发生时间顺序形成的行为序列。该行为序列中的行为属于不同的行为类型，行为类型包括创建文件、修改注册表、配置域名、解析地址、连接网络、加载进程、添加用户。该稳定的行为特征是指该文件在每次运行后所生成行为序列中均出现的行为。

终端设备400接收来自检测终端安全状况装置200的IOC，并对该IOC进行解析，得到该IOC中包含的APT对应的行为特征，依据该行为特征搜索终端设备400的操作系统和文件系统，确定终端设备400是否已发生该APT对应的行为特征所描述的行为。如果终端设备400已发生该APT对应的行为特征所描述的行为，确定终端设备400已感染APT。

需要说明的是，检测终端安全状况装置200及终端设备400所包含的各模块以及各模块功能作用参见图2、图4及相关内容表述，在此不再赘述。

图7为本申请一个实施例提供的检测终端安全状况方法流程图。该检测终端安全状况方法的执行主体是安全防护设备。且该安全防护设备位于私有网络与公有网络连接处，终端位于私有网络中。

在一个示例中，该检测终端安全状况方法的执行主体是安全沙箱，且该安全沙箱布置于网关处。

在步骤710，安全防护设备接收来自公有网络的文件，并在所述安全防护设备中运行所述文件，从而生成动态行为结果，参见图3。该动态行为结果包含按照行为发生时间顺序形成的行为序列；该行为序列中的行为属于不同的行为类型，行为类型包括创建文件、修改注册表、配置域名、解析地址、连接网络、加载进程、添加用户。

在一个示例中，该动态行为结果由一系列行为操作构成，且各行为操作包含基于时间的行为特征。

在一个示例中，该来自互联网的文件如exe文件、DLL文件、sys文件、com文件、Ddc文件、xls文件、PDF文件等。

在步骤720，该安全防护设备根据生成的所述动态行为结果判断该文件是否包含APT。

在一个示例中，将该动态行为结果与动态行为特征库中的各动态行为特征进行匹配，从而确定该动态行为结果是否包含APT。

在步骤730，在该动态行为结果包含APT情况下，逐条分析该动态行为结果中的各行为操作，获取各行为操作中稳定的行为特征，即提取出APT所留下的痕迹，根据该稳定的行为特征生成相应IOC。其中，该稳定的行为特征是指在该文件在每次运行后所生成行为序列中均出现的行为。

在一个示例中，获取该动态行为结果中稳定的行为特征包括，在该安全防护设备中运行至少两次该文件，分别得到每次运行后生成的行为序列，从而获得至少两个行为序列。确定该至少两个行为序列中存在的相同的行为，该相同的行为是指行为类型和行为内容均相同的行为。获得由该至少两个行为序列中相同的行为构成的集合，将该集合作为稳定的行为特征。

在步骤740，将根据该动态行为结果生成的多个IOC，汇总成一个IOC。且该汇总IOC通过一个XML(可扩展标记语言)文档表示。

该步骤740是一个可选步骤，当根据该动态行为结果得到一个IOC时，则不需要汇总IOC，即不需要执行步骤740。

在步骤750，将该汇总IOC发送至终端设备。

图8是本申请另一个实施例提供的检测终端安全状况方法流程图。

在步骤810，该终端设备接收来自安全防护设备的IOC，例如汇总IOC，该汇总IOC包含多个IOC。

在步骤820，该终端设备对该IOC进行解析，得到该IOC中包含的APT对应的行为特征。

在一个示例中，该IOC是一个汇总IOC，对该汇总IOC中的各IOC逐条解析，得到各IOC中包含APT对应的行为特征。

在步骤830，根据得到的行为特征搜索该终端设备的操作系统和文件系统，确定该终端设备是否已发生该APT对应的行为特征所描述的行为。如果该终端设备已发生该APT对应的行为特征所描述的行为，确定该终端设备已感染该APT。

举例说明，某IOC中APT所对应特征之一是：路径C:\WINDOWS\apocalyps32.exe。该APT所对应的特征之二是：长度为108544字节的文件。因此该用户终端通过搜索该终端的操作系统和文件系统中的路径C:\WINDOWS\apocalyps32.exe，并查看该路径下是否存在108544字节长度的文件。如果在该路径下包含108544字节长度的文件，则确定该终端已感染APT。

在一个示例中，该终端设备在搜索到该汇总IOC中的一个IOC包含有APT时，则确定该终端设备感染了APT。

现以图3一个典型的感染APT的动态行为结果为例，详细阐述IOC生成器如何将感染APT的动态行为结果转换成IOC，以及该终端设备如何根据接收到的IOC确定其是否感染APT。

(1)IOC生成器240中的第一加载器241逐条分析其接收到的动态行为结果，首先查看该动态行为结果中的第一条行为操作，即查看图3中“某个样本释放一个PE文件”行为操作。第一加载器241根据该第一条行为操作中的字段action得知该行为特征是FCreate，即创建文件。第一加载器241将该第一条行为操作，即查看某个样本释放一个PE文件的行为操作，分配给文件生成器。

该文件生成器分析该第一条行为操作，获知该行为操作是在路径C:\windows\apocalyps32.exe下FCreate，即创建文件；并且FWritePE，即写入可执行文件；且length是43008，即文件长度43008；offset是65536，即偏移是65536，进而文件总长度是43008+65536＝108544。因此，该文件生成器通过对该行为操作进行分析，从而得到相应行为特征是在C:\windows\目录下创建一个可执行文件apocalyps32.exe，且该可执行文件长度是108544。此类行为特征是稳定的，不会随着不同终端而变化，只要终端设备感染了相应APT，就会留下具有该行为特征的痕迹。该稳定的行为特征是指在包含APT的文件在每次运行后所生成行为序列中均出现的行为。该文件生成器依据该稳定的行为特征生成了文件类IOC，该文件类IOC可参见图9。因此，实现了将该动态行为结果中的第一条行为操作转换成一个IOC。

图9是一个文件类IOC示意图。图9中，该文件类IOC表示：APT所留下的痕迹是在路径C:\windows\apocalyps32.exe下包含长度为108544字节的文件。

(2)第一加载器241查看该动态行为结果中的第二条行为操作，即查看运行此样本的行为操作。第一加载器241根据字段action得知该行为操作是在路径C:\windows\apocalyps32.exe：1252下CreateProcess，即创建进程。第一加载器241将该行为操作分配给进程生成器中。

该进程生成器分析该第二条行为操作，获知该行为操作是在路径C:\windows\apocalyps32.exe：1252下CreateProcess即加载进程，pid值为1448；然后FOpen，即打开文件，且pid(进程标识符)值为1488。由于pid是一个不稳定特征，其值会随着不同终端设备而变化。因此该运行样本行为操作是一个不稳定行为操作，不生成IOC。

(3)第一加载器241查看该动态行为结果中的第三条行为操作，即查看创建一个线程并将其注入到IEXPLORE.EXE进程中隐藏自己的行为操作。第一加载器241根据字段action得知该行为操作是OpenProcess explorer.exe即打开浏览器。第一加载器241将该行为操作分配给进程生成器。

该进程生成器分析该第三条行为操作，获知该行为操作是先OpenProcess explorer.exe即打开浏览器，其pid(进程标识符)值为1244；然后WriteOtherProcMem即写IE线程，其pid值1488。由于pid是一个不稳定特征，其值会随着不同终端设备而变化。因此行为操作是一个不稳定行为操作，不生成IOC。

(4)第一加载器241查看该动态行为结果中的第四条行为操作，即查看修改注册表增加自启动项的行为操作。第一加载器241根据字段action得知该行为操作是在路径

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下

RegCreateKey，即创建注册表项。第一加载器241将该条行为操作发送至注册表生成器中。

该注册表生成器分析该第四条行为操作，获知该行为操作是，在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下RegCreateKey，即创建注册表项。且设置注册表项键值为C:\WINDOWS\apocalyps32.exe。因此，该注册表生成器通过对该行为操作进行分析，从而得到相应行为特征是在目录

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\apocalyps32下新增自启动项C:\WINDOWS\apocalyps32.exe。此类行为特征是稳定的，不会随着不同终端设备而变化，只要终端设备感染了相应APT，就会留下具有该行为特征的痕迹。该稳定的行为特征是指在包含APT的文件在每次运行后所生成行为序列中均出现的行为。该注册表生成器将该行为操作转换成一个注册表类IOC，参见图10。

图10是一个注册表类IOC示意图。图10中，APT留下的痕迹是：查找注册表路径

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\apocalyps32，是否存在，如果存在其对应的值为C:\windows\apocalyps32.exe。

(5)第一加载器241查看该动态行为结果中的第五条行为操作，即查看连接到外部网络的行为操作。第一加载器241根据字段action得知该行为操作是connect，即连接至外网。第一加载器241将该行为操作分配给网络连接生成器。

该网络连接生成器分析该第五条行为操作，获知该行为操作是在连接外网，且IP地址5.5.66.101:1453。由于IP地址中的1453是不稳定特征，其值会随着不能终端设备而变化。因此该运行样本行为操作是一个不稳定行为操作，不生成IOC。

由上述分析可知，图3中的APT执行操作过程是：先释放一个可执行文件，然后运行该可执行文件，再将该APT执行过程隐匿在IE浏览器里面，使得其在任务管理器里面查找不到，再增加自启动注册表项，使得该APT在每次重启系统后都会存在于系统中，最后通过连接外网的方式窃取信息或破坏系统。

(6)IOC汇总模块243接收来自文件生成器的文件类IOC(如图9所示)，以及接收来自注册表生成器的注册表类IOC(如图10所示)，将该文件类IOC、注册表类IOC进行汇总，形成一个汇总IOC，并将该汇总IOC以一个XLM文档形式表示出来，参见图11。

图11是一个汇总IOC示意图，该汇总IOC以XML文件形式表示，该XLM文件包括对该IOC简要描述、作者、创建日期等信息，以及包括对APT痕迹的描述：在路径C:\windows\apocalyps32.exe下长度为108544的可执行文件；或者在路径

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\apocalyps32下新增自启动项C:\WINDOWS\apocalyps32.exe。

(7)终端设备中的接收模块430接收来自终端安全状况装置200(即安全防护设备)的汇总IOC(包含文件类IOC和注册表类IOC)，具体汇总IOC参见图11，并将该汇总IOC发送至第二加载器411。

(8)该第二加载器411对该汇总IOC中的各IOC逐个进行分析，首先查看该汇总IOC中的第一个IOC，即文件类IOC。第二加载器411根据字段Context document得知是特征FileItem，即文件项。第二加载器411将该第一个IOC，即文件类IOC，分配给文件解释器。

(9)该文件解释器对该文件类IOC进行解析，得到该IOC中包含的APT的两个行为特征：一个行为特征是判断是否存在C:\WINDOWS\apocalyps32.exe；另一个行为特征是文件长度是否为108544字节，且该两个行为特征是“和(即and)”的关系，参见图9。

(10)确定模块440搜索终端设备400的操作系统和文件系统，确定终端设备400是否已发生该APT对应的行为特征所描述的行为，如果终端设备400已发生该APT对应的行为特征所描述的行为，则确定终端设备400已感染该APT。即确定模块400如果在路径C:\WINDOWS\apocalyps32.exe下找到有108544字节文件，则判定终端设备400感染了APT。

(11)第二加载器411查看该汇总IOC中的第二个IOC，即注册表类IOC。第二加载器411根据字段Context document得知特征是RegistryItem，即注册表项。第二加载器411将该第二个IOC，即注册表项IOC，分配给注册表解释器。

该注册表解释器对该注册表项IOC进行解析，得到该IOC中包含的APT的两个行为特征：一个行为特征是判断是否存在注册表路径"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\apocalyps32"；另一个行为特征是注册表项内容是否为"C:\WINDOWS\apocalyps32.exe"，且该两个行为特征是“和(即and)”的关系，参见图10。

(12)确定模块440搜索终端设备400的操作系统和文件系统，确定终端设备400是否已发生该APT对应的行为特征所描述的行为，如果终端设备400已发生该APT对应的行为特征所描述的行为，则确定终端设备400已感染该APT。即确定模块400如果在路径

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\apocalyps32下查找是否包含C:\WINDOWS\apocalyps32.exe内容，如果包含，则说明终端设备400感染了APT。

结合本申请公开内容所描述的方法或者算法的步骤可以硬件的方式来实现，也可以是由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成，软件模块可以被存放于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、移动硬盘、CD-ROM或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外，该ASIC可以位于用户设备中。当然，处理器和存储介质也可以作为分立组件存在于用户设备中。

本领域技术人员应该可以意识到，在上述一个或多个示例中，本申请所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时，可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。

以上所述的具体实施方式，对本申请的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本申请的具体实施方式而已，并不用于限定本申请的保护范围，凡在本申请的技术方案的基础之上，所做的任何修改、等同替换、改进等，均应包括在本申请的保护范围之内。

Claims

一种检测终端安全状况的装置，其中，所述装置位于私有网络与公有网络连接处，终端位于私有网络中，包括：

动态行为结果生成模块，用于接收来自公有网络的文件，并在所述装置中运行所述文件，从而生成动态行为结果；其中，所述动态行为结果包含按照行为发生时间顺序形成的行为序列；所述行为序列中的行为属于不同的行为类型，所述行为类型包括创建文件、修改注册表、配置域名、解析地址、连接网络、加载进程、添加用户；

动态行为分析模块，用于根据所述动态行为结果生成模块生成的所述动态行为结果判断所述文件是否包含高级可持续威胁；

被感染主机描述符生成器，用于如果所述动态行为分析模块确定所述文件包含高级可持续威胁，获取所述动态行为结果中稳定的行为特征，根据所述稳定的行为特征生成相应被感染主机描述符，并将所述被感染主机描述符发送至所述终端；其中，所述稳定的行为特征是指所述文件在每次运行后所生成行为序列中均出现的行为。
如权利要求1所述的装置，其特征在于，所述装置还包括动态行为特征库；所述动态行为特征库包含多种误报行为特征及多种威胁行为特征；

所述动态行为分析模块，用于接收所述动态行为结果，并将所述动态行为结果与所述动态行为特征库中的多种误报行为特征及多种威胁行为特征进行匹配，从而确定所述文件是否包含所述高级可持续威胁。
如权利要求1或2所述的装置，其特征在于，所述被感染主机描述符生成器包括多种类型生成器，且所述生成器的类型与所述稳定的行为特征中行为的类型有关。
如权利要求1至3任意一项所述的装置，其特征在于，所述被感染主机描述符生成器包括文件生成器、注册表生成器、域名生成器、地址解析生成器、网络连接生成器、进程生成器、用户生成器中的一个或多个。
一种终端设备，包括：

接收模块，用于接收来自安全防护设备的被感染主机描述符；

被感染主机描述符解释器，用于对所述接收模块接收到的所述被感染主机描述符进行解析，得到所述被感染主机描述符中包含的高级可持续威胁APT对应的行为特征；

确定模块，用于搜索所述终端的操作系统和文件系统，确定所述终端是否已发生所述APT对应的行为特征所描述的行为；如果所述终端已发生所述APT对应的行为特征所描述的行为，确定所述终端已感染所述APT。
如权利要求5所述的终端设备，其特征在于，所述被感染主机描述符解释器包括文件解释器、注册表解释器、域名解释器、地址解析解释器、网络连接解释器、进程解释器、用户解释器中的一个或多个。
一种检测终端安全状况的系统，其中，安全防护设备位于私有网络与公有网络连接处，终端位于私有网络中，包括：

安全防护设备，用于接收来自公有网络的文件，并运行所述文件，从而生成动态行为结果；根据所述动态行为结果判断所述文件是否包含高级可持续威胁；如果在所述动态行为结果中包含高级可持续威胁，获取所述动态行为结果中稳定的行为特征，根据所述稳定的行为特征生成相应被感染主机描述符；其中，所述动态行为结果包含按照行为发生时间顺序形成的行为序列；所述行为序列中的行为属于不同的行为类型，行为类型包括创建文件、修改注册表、配置域名、解析地址、连接网络、加载进程、添加用户；所述稳定的行为特征是指所述文件在每次运行后所生成行为序列中均出现的行为；

终端设备，用于接收来自所述安全防护设备的被感染主机描述符；对所述被感染主机描述符进行解析，得到所述被感染主机描述符中包含的高级可持续威胁APT对应的行为特征；搜索所述终端的操作系统和文件系统，确定所述终端是否已发生所述APT对应的行为特征所描述的行为；如果所述终端已发生所述APT对应的行为特征所描述的行为，确定所述终端已感染所述APT。
一种检测终端安全状况的方法，其中，所述方法由安全防护设备执行，且所述安全防护设备位于私有网络与公有网络连接处，终端位于私有网络中；包括：

所述安全防护设备接收来自所述公有网络的文件，并在所述安全防护设备中运行所述文件，从而生成动态行为结果；其中，所述动态行为结果包含按照行为发生时间顺序形成的行为序列；所述行为序列中的行为属于不同的行为类型，行为类型包括创建文件、修改注册表、配置域名、解析地址、连接网络、加载进程、添加用户；

所述安全防护设备根据生成的所述动态行为结果判断所述文件是否包含高级可持续威胁，若包含所述高级可持续威胁，则获取所述动态行为结果中稳定的行为特征，根据所述稳定的行为特征生成相应被感染主机描述符，并将所述被感染主机描述符发送至所述终端；其中，所述稳定的行为特征是指在所述文件在每次运行后所生成行为序列中均出现的行为。
根据权利要求8所述的方法，其特征在于，所述获取所述动态行为结果中稳定的行为特征，包括：

在所述安全防护设备中运行至少两次所述文件，分别得到每次运行后生成的行为序列，从而获得至少两个行为序列；

确定所述至少两个行为序列中存在的相同的行为，其中，相同的行为是指行为类型和行为内容均相同的行为；

获得由所述至少两个行为序列中相同的行为构成的集合，将所述集合作为稳定的行为特征。
一种检测终端安全状况的方法，包括：

终端接收来自安全防护设备的被感染主机描述符；

所述终端对所述被感染主机描述符进行解析，得到所述被感染主机描述符中包含的高级可持续威胁APT对应的行为特征；

搜索所述终端的操作系统和文件系统，确定所述终端是否已发生所述APT对应的行为特征所描述的行为；

如果所述终端已发生所述APT对应的行为特征所描述的行为，确定所述终端已感染所述APT。