WO2018099206A1 - 一种apt检测方法、系统及装置 - Google Patents

Abstract

本发明实施例公开了一种APT检测方法、系统及装置，包括APT检测装置对可疑的文件样本进行动态分析，得到恶意网络信息；根据分析得到的恶意网络信息优化用于异常流量分析的策略配置。通过本发明实施例提供的技术方案，使得异常流量分析功能快速提升了流量分析的精度，有助于提高APT检测的准确性和有效性。进一步地，APT检测装置检测到来自终端的异常流量，按照恶意网络信息对相关的恶意网络行为进行处理，以中止恶意进程并删除终端上的恶意软件，使得系统从源头阻断了恶意软件的运行，提高了检测精确度和防护能力，从而提高了APT检测的准确性和有效性。

Description

一种APT检测方法、系统及装置 技术领域

本发明涉及安全监测技术，尤指一种APT检测方法、系统及装置。

背景技术

高级持续性威胁(APT，Advanced Persistent Threat)是一种高级且持续的攻击。相较于一般零星的黑客攻击事件，APT攻击具有计划性、较强的针对性，并可长期潜伏。美国国家标准和技术研究院对APT给出了详细定义：“精通复杂技术的攻击者利用多种攻击向量(如：网络，物理和欺诈等)、借助丰富资源创建机会实现自己的目的”。这些目的通常包括对目标企业的信息技术架构进行篡改，从而盗取数据(如将数据从内网输送到外网)，执行或阻止一项任务、程序；又或者是潜入对方架构中伺机进行偷取数据等。

APT的特点表现在A与P上，A代表高级(Advanced)，主要表现在攻击水平高超，即攻击行为特征难以提取、单点隐蔽性强、攻击渠道多样化、攻击空间不确定。P代表持续性(Persistent)，主要表现在攻击过程持续时间长、攻击成功后隐藏时间长。

传统的安全检测技术主要包括：基于签名的检测技术，如网络入侵检测、恶意代码检测等，主要针对已知且长期大量传播的攻击比较有效；主动行为防御检测技术，如杀毒厂商的桌面防御系统、杀毒软件等，能实时监控进程的行为，但会影响用户使用，并存在大量的误报。传统的检测手段主要针对已知的威胁，对于未知的漏洞、木马程序、攻击手法等，无法进行检测。显然，传统的检测手段在应对APT攻击检测时更是显得力不从心。

目前，APT检测技术归纳起来主要包括：动态分析检测、异常流量检测、终端防御检测。其中，

动态分析检测的典型代表有沙箱检测技术，主要是通过在虚拟环境上执行检测，基于运行结果来判定是否为恶意攻击。但是，动态分析检测只能检测恶意软件并提出预警，并不能从源头阻断恶意软件的运行。在执行了动态分析检测之后，由于缺乏和终端设备之间的联动，恶意软件可能还是会继续在终端设备上运行。

异常流量检测类似于防火墙技术，主要是通过对通过设备的流量包进行协议解析和内容解析，并与事先设定的规则(如黑白名单)进行比对，从而检测出异常的行为。异常流量检测基于异常流量分析的APT检测系统可以检测联网的恶意软件，但是，由于异常流量检测的精确度很大程度上取决于规则库，而很多首次出现的网络病毒其访问的恶意网站并不在规则库之列，因此，异常流量检测存在精确度欠佳的问题。并且，异常流量检测只能在本设备上阻断恶意流量，由于缺乏和终端设备之间的联动，因此，在恶意流量被阻断之后，终端设备上的恶意软件和恶意进程可能还是在本地继续运行。

传统的终端上的终端防御检测功能只是实现了静态杀毒软件的功能，对于没有列入静态病毒库的病毒无法清除。并且，由于缺乏和其他设备之间的实时联动，无法及时阻断和清除其他设备检测出的本地恶意文件。

综上所述，目前APT防御检测技术，要么对恶意流量的检测精确度欠佳；要么无法从源头阻断恶意进程的运行及清除恶意软件等，从而降低了APT防御技术的准确性和有效性。

发明内容

为了解决上述技术问题，本发明实施例提供一种APT检测方法、系统及装置，能够提高APT检测的准确性和有效性。

为了达到本发明目的，本发明实施例提供了一种高级持续性威胁APT检测系统，包括：异常流量分析单元、终端防御单元、动态分析单元，其中，

终端防御单元，设置为将可疑的文件样本输出给动态分析单元；根据 来自所述异常流量分析单元的通知消息对相关的恶意网络行为进行处理；

动态分析单元，设置为对接收到的文件样本进行动态分析，将分析得到的恶意网络信息输出给异常流量分析单元；

异常流量分析单元，设置为根据接收到的恶意网络信息优化自身的策略配置；检测到来自终端的异常流量后向所述终端防御单元发送通知消息。

可选地，所述动态分析单元还设置为：检测到网络中其它系统上报恶意网络行为，对上报的恶意网络行为进行动态分析，并将动态分析结果输出给所述终端防御单元，将分析得到的恶意网络信息输出给所述异常流量分析单元。

可选地，所述动态分析单元还设置为：将所述动态分析结果输出给终端防御单元；

所述终端防御单元还设置为：根据来自动态分析单元的动态分析结果获取恶意网络信息并输出给异常流量分析单元。

可选地，所述通知消息中携带有恶意网络信息。

可选地，所述恶意网络信息包括：恶意网站的域名、和/或IP地址、和/或端口号、和/或恶意进程信息。

可选地，所述异常流量分析单元、所述终端防御单元、所述动态分析单元之间通过管理中心查询交互对端的地址以发起信息交互；

或者，所述异常流量分析单元、所述终端防御单元、所述动态分析单元之间经由管理中心向对端转发交互的信息。

本发明还提供了一种APT检测装置，设置在终端；包括第一交互模块，第一处理模块；其中，

第一交互模块，设置为将可疑的文件样本输出给动态分析模块；

第一处理模块，设置为根据来自异常流量分析单元的通知消息对相关的恶意网络行为进行处理。

可选地，所述第一处理模块还设置为：根据来自动态分析单元的动态 分析结果获取恶意网络信息并输出给异常流量分析单元。

本发明又提供了一种APT检测装置，设置在服务器；包括第二交互模块，第二处理模块；其中，

第二处理模块，设置为对接收到的文件样本进行动态分析；

第二交互模块，设置为将分析得到的恶意网络信息输出给异常流量分析单元。

可选地，所述第二处理模块还设置为：检测到网络中其它系统上报恶意网络行为，对上报的恶意网络行为进行动态分析；

所述第二交互模块还设置为：将动态分析结果输出给终端防御单元，将分析得到的恶意网络信息输出给异常流量分析单元。

可选地，所述第二交互模块还设置为：将所述动态分析结果输出给终端防御单元。

本发明再提供了一种APT检测装置，设置在服务器；包括第三交互模块，第三处理模块；其中，

第三处理模块，设置为根据接收到的恶意网络信息优化自身的策略配置；

第三交互模块，设置为检测到来自终端的异常流量后向终端防御单元发送通知消息。

本发明还提供了一种高级持续性威胁APT检测方法，包括：

APT检测装置对可疑的文件样本进行动态分析，得到恶意网络信息；

APT检测装置根据分析得到的恶意网络信息优化用于异常流量分析的策略配置。

可选地，还包括：

所述APT检测装置检测到来自终端的异常流量，按照恶意网络信息对相关的恶意网络行为进行处理。

可选地，所述按照恶意网络信息对相关的恶意网络行为进行处理包括：中止恶意进程并删除终端上的恶意软件。

可选地，还包括：

所述APT检测装置检测到网络中其它系统上报恶意网络行为，对上报的恶意网络行为进行动态分析得到所述恶意网络信息。

可选地，所述恶意网络信息包括：恶意网站的域名、和/或IP地址、和/或端口号、和/或恶意进程信息。

与现有技术相比，本申请技术方案包括：APT检测装置对可疑的文件样本进行动态分析，得到恶意网络信息；根据分析得到的恶意网络信息优化设置为异常流量分析的策略配置。通过本发明提供的技术方案，使得异常流量分析功能快速提升了流量分析的精度，有助于提高APT检测的准确性和有效性。

可选地，APT检测装置检测到来自终端的异常流量，按照恶意网络信息对相关的恶意网络行为进行处理，以中止恶意进程并删除终端上的恶意软件，使得系统从源头阻断了恶意软件的运行，提高了检测精确度和防护能力，从而提高了APT检测的准确性和有效性。

根据本发明的又一个实施例，还提供了一种存储介质，所述存储介质包括存储的程序，其中，所述程序运行时执行上述任一项所述的方法。

根据本发明的又一个实施例，还提供了一种处理器，所述处理器用于运行程序，其中，所述程序运行时执行上述任一项所述的方法。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一 部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为本发明APT检测装置的组成结构示意图；

图2为本发明APT检测方法的流程图；

图3为本发明APT检测方法的第一实施例的流程示意图；

图4为本发明APT检测方法的第二实施例的流程示意图；

图5为本发明APT检测方法的第三实施例的流程示意图；

图6为本发明APT检测方法的第四实施例的流程示意图；

图7为本发明APT检测方法的第五实施例的流程示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

图1为本发明APT检测系统的组成结构示意图，如图1所示，至少包括异常流量分析单元、终端防御单元、动态分析单元，其中，

终端防御单元，设置为将可疑的文件样本输出给动态分析单元；根据来自所述异常流量分析单元的通知消息对相关的恶意网络行为进行处理；

动态分析单元，设置为对接收到的文件样本进行动态分析，将分析得到的恶意网络信息输出给异常流量分析单元；

异常流量分析单元，设置为根据接收到的恶意网络信息优化自身的策略配置；检测到来自终端的异常流量后向所述终端防御单元发送通知消息。

可选地，

动态分析单元还设置为：检测到网络中其它系统如邮件服务器上报恶意网络行为(如上报恶意软件等)，对上报的恶意网络行为进行动态分析，并将动态分析结果输出给终端防御单元，将分析得到的恶意网络信息输出 给异常流量分析单元。

可选地，

动态分析单元还设置为：将所述动态分析结果输出给终端防御单元；

终端防御单元还设置为：根据来自动态分析单元的动态分析结果获取恶意网络信息并输出给异常流量分析单元。

可选地，通知消息中携带有恶意网络信息。

其中，恶意网络信息包括但不限于：恶意网站的域名、和/或IP地址、和/或端口号、和/或恶意进程信息等。

可选地，异常流量分析单元根据接收到的恶意网络信息优化自身的策略配置具体包括：将恶意网站的域名、和/或IP地址，和/或端口号、和/或恶意进程信息等信息添加到黑名单中。

可选地，终端防御单元对相关的恶意网络行为进行处理包括但不限于：中止恶意进程并删除终端上的恶意软件。

可选地，

异常流量分析单元、终端防御单元、动态分析单元之间可以通过统一的管理中心查询交互对端的地址以发起信息交互，或者，也可以经由管理中心向对端转发交互的信息。

通过本发明提供的APT检测装置，将文件动态行为分析功能、异常流量分析功能和终端防御功能组成一个整体，三者之间进行有效配合，从源头有效地阻止了恶意网络行为，提高了检测精确度和防护能力，从而提高了APT检测的准确性和有效性。

可选地，

终端防御单元还设置为：具备进程监控和文件扫描查杀等静态防御功能。

可选地，基于上述本发明三种APT检测装置，

异常流量分析单元还设置为：进行流量监控和流量分析，从中筛选出 异常流量并根据策略进行流量阻断。

可选地，

动态分析单元还设置为：对接收到的文件进行动态分析并得出分析结果。

本发明终端防御单元设置在终端，至少包括：第一交互模块，第一处理模块；其中，

第一交互模块，设置为将可疑的文件样本输出给动态分析模块；

第一处理模块，设置为根据来自异常流量分析单元的通知消息对相关的恶意网络行为进行处理。

可选地，第一处理模块还设置为：根据来自动态分析单元的动态分析结果获取恶意网络信息并输出给异常流量分析单元。

本发明动态分析单元设置在服务器，至少包括：第二交互模块，第二处理模块；其中，

第二处理模块，设置为对接收到的文件样本进行动态分析；

第二交互模块，设置为将分析得到的恶意网络信息输出给异常流量分析单元。

可选地，第二处理模块还设置为：检测到网络中其它系统上报恶意网络行为，对上报的恶意网络行为进行动态分析；

第二交互模块还设置为：将动态分析结果输出给终端防御单元，将分析得到的恶意网络信息输出给异常流量分析单元。

可选地，第二交互模块还设置为：将所述动态分析结果输出给终端防御单元。

本发明异常流量分析单元设置在服务器，至少包括：第三交互模块，第三处理模块；其中，

第三处理模块，设置为根据接收到的恶意网络信息优化自身的策略配置；

第三交互模块，设置为检测到来自终端的异常流量后向终端防御单元发送通知消息。

需要说明的是，动态分析单元所在服务器与异常流量分析单元所在服务器可以是同一台服务器，也可以是不同的服务器。

图2为本发明APT检测方法的流程图，如图2所示，包括：

步骤200：APT检测装置对可疑的文件样本进行动态分析，得到恶意网络信息。

本步骤中的恶意网络信息是从动态分析后得到的动态分析结果中获取的。

步骤201：APT检测装置根据分析得到的恶意网络信息优化用于异常流量分析的策略配置。

本步骤具体包括：将恶意网络信息中的恶意网站的域名、和/或IP地址，和/或端口号、和/或恶意进程信息等信息添加到黑名单中。

本发明方法还包括：

步骤203：APT检测装置检测到来自终端的异常流量，按照恶意网络信息对相关的恶意网络行为进行处理。

其中，按照恶意网络信息对相关的恶意网络行为进行处理包括但不限于：中止恶意进程并删除终端上的恶意软件。

本发明方法还包括：

APT检测装置检测到网络中其它系统如邮件服务器上报恶意网络行为(如上报恶意软件等)，对上报的恶意网络行为进行动态分析得到恶意网络信息。

可选地，恶意网络信息包括但不限于：恶意网站的域名、和/或IP地址、和/或端口号、和/或恶意进程信息等。

通过本发明提供的APT检测方法，将文件动态行为分析功能、异常流量分析功能和终端防御功能组成一个整体，三者之间进行有效配合，从 源头有效地阻止了恶意网络行为，提高了检测精确度和防护能力，从而提高了APT检测的准确性和有效性。

可选地，本发明方法还包括：

APT检测装置进行进程监控和文件扫描查杀等静态防御功能。

可选地，本发明方法还包括：

APT检测装置进行流量监控和流量分析，从中筛选出异常流量并根据策略进行流量阻断。

可选地，本发明方法还包括：

APT检测装置对接收到的文件进行动态分析并得出分析结果。

本发明还提供了一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令用于执行本发明任一项的APT检测方法。

下面结合图1所示的本发明APT检测装置对本发明APT检测方法的具体实现进行详细描述。

图3为本发明APT检测方法的第一实施例的流程示意图，第一实施例的场景为：终端打开一个存在网络行为的恶意样本后，通过本发明APT检测系统的联动来实现对恶意样本的检测、清除和对异常流量分析精度的改进。在第一实施例中，由动态分析单元对样本进行动态分析，并向终端防御单元通知分析结果，终端防御单元收到分析结果后根据策略对恶意样本进行处理，并将恶意网络信息上报给异常流量分析单元，异常流量分析单元据此优化策略配置，以提高分析精度。如图3所示，具体实现包括：

步骤300：终端防御单元在检测到本地文件被打开或者运行之后，将被打开或者运行的文件上传给动态分析功能单元进行分析。

本步骤中，文件上传的方式可以是根据配置由终端防御单元自动上传；也可以是终端防御单元提示用户进行手动上传。

步骤301：动态分析单元收到样本文件后，将样本文件保存在本地，并进行动态分析。

可选地，分析的方法一般可以采用沙箱检测的方式，在虚拟机中运行接收到的样本文件以获取运行结果，并根据预先设定的规则从运行结果中筛选出恶意网络行为，相关恶意网络信息如恶意网站域名、IP地址、端口号等即被记录下来。

步骤302：动态分析单元向终端防御单元返回样本动态分析结果。

在动态分析结果中可以携带：样本是否为恶意样本、文件特征(如文件名称、大小、MD5值等)、访问的恶意网站的域名、IP地址、端口号等恶意网络信息。

可选地，动态分析单元查找终端的方法可以通过统一的管理中心实现，比如：终端用户事先向管理中心发送消息告知自身的IP地址和端口号，管理中心保存这些信息，这样，后续动态分析单元或异常流量分析单元便可以通过向管理中心查询来获取目标终端的IP地址和端口号，从而实现和终端之间的消息交互。

步骤303：终端防御单元收到动态分析单元返回的动态分析结果后，从动态分析结果中提取文件特征、恶意网站等相关信息并保存；终端防御单元根据本地配置策略对恶意样本和相关进程进行处理，比如可根据策略终止恶意进程并删除相关恶意文件等。

步骤304：终端防御单元将恶意网络信息如恶意网站的域名、IP地址、端口号等信息上报给异常流量分析单元。

步骤305：异常流量分析单元接收到终端防御功能单元上报的恶意网络信息后，将恶意网络信息用于策略优化，比如：将恶意网站的域名、IP地址、端口号等添加到黑名单中，这样，后续来自或发送到这个网站的流量都可以直接被异常流量分析单元判断为恶意流量，从而达到优化流量分析精度的目的。

图4为本发明APT检测方法的第二实施例的流程示意图，第二实施例与图2所示的场景相同，不同之处在于：第二实施例中，由动态分析单元直接将恶意网络信息发送给异常流量分析单元。如图3所示，具体实现 包括：

步骤400～步骤403：具体实现与步骤300～步骤303完全一致，这里不再赘述。

步骤404：动态分析单元检测到样本文件存在恶意网络行为后，向异常流量分析单元上报恶意网络信息，恶意网络信息包含但不限于：恶意网站的域名、IP地址、端口号等信息。

本步骤中，动态分析单元查找异常流量分析单元的方法可以通过统一的管理中心实现。管理中心保存有所有动态分析单元和异常流量分析的配置信息，动态分析单元或异常流量分析单元可以通过向管理中心查询来获取对方的IP地址和端口号，从而实现两者之间的消息交互。

步骤405：异常流量分析单元接收到动态分析单元的上报的恶意网络信息后，将恶意网络信息用于策略优化，比如：将恶意网站的域名、IP地址、端口号等添加到黑名单中，这样，后续来自或发送到这个网站的流量都可以直接被异常流量分析单元判断为恶意流量，从而达到优化流量分析精度的目的。

图5为本发明APT检测方法的第三实施例的流程示意图，第三实施例的场景为：动态分析单元检测到网络中其他系统如邮件系统上报的恶意软件后的处理流程。在第三实施例中，动态分析单元对邮件系统上传的样本进行动态分析，并向邮件系统返回分析结果，同时将恶意文件特征通知给相关用户的终端防御单元，并将恶意网络信息上报给异常流量分析单元，异常流量分析单元据此优化策略配置，以提高分析精度。如图5所示，具体实现包括：

步骤500：邮件系统将样本上传给动态分析功能单元。

可选地，邮件系统为和APT检测装置部署在同一内网的邮件服务器中。

本步骤中，邮件系统将样本上传给动态分析单元可以采取的方式包括：邮件系统收到邮件后，对于携带附件的邮件，将携带的附件从邮件中提取 出来并通过消息发送给动态分析单元分析，在该消息中还携带有邮件收件人的邮箱地址或收件人的身份信息等。

步骤501：动态分析单元收到样本后，将样本和收件人信息保存在本地，并进行动态分析。

本步骤中，动态分析的方法一般可以采用沙箱检测的方式，在虚拟机中运行接收到的样本以获取运行结果，并根据预先设定的规则从运行结果中筛选出恶意网络行为，相关恶意网络信息如恶意网站域名、IP地址、端口号等即被记录下来。

步骤502：动态分析单元向终端防御单元返回样本动态分析结果。

可选地，动态分析结果中可以携带样本是否为恶意样本、文件特征(如文件名称、大小、MD5值等)等信息。

步骤503：动态分析单元查找到样本所属收件人当前的终端防御单元的IP地址和端口号，向改终端防御单元发送消息，在该消息中携带有恶意文件信息，比如：文件特征(如文件名称、大小、MD5值等)、访问的恶意网站的域名、IP地址、端口号等。

可选地，动态分析单元查找样本所属收件人当前的终端防御单元的方式可以通过统一的管理中心实现。

管理中心中除了保存有所有动态分析单元、异常流量分析的配置信息之外，还保存有用户的终端防御单元的网络地址，用户的终端防御单元向管理中心上报自身的网络地址可以采用用户登录终端防御单元时由终端防御单元向管理中心上报，上报消息中携带有用户标识，管理中心保存用户标识及其终端防御单元的网络信息；管理中心还可以保存该用户的邮件地址。动态分析单元通过向管理中心发送查询消息，在查询消息中携带有从邮件系统中获取到的用户邮件地址或者用户标识。这样，管理中心便可以根据用户标识或者用户邮件地址查询到该用户当前的终端防御单元的网络地址，并将其返回给动态分析单元。

类似地，步骤500中邮件系统也可以通过向管理中心查询的方式获取 到动态分析单元地址并向其上报样本。

步骤504：动态分析功能单元检测到样本存在恶意网络行为后，向异常流量分析单元上报恶意网络信息，恶意网络信息包含但不限于：恶意网站的域名、IP地址、端口号等信息。

步骤505：异常流量分析单元接收到动态分析单元的上报的恶意网络信息后，将恶意网络信息用于策略优化，比如：将恶意网站的域名、IP地址、端口号等添加到黑名单中，这样，后续来自或发送到这个网站的流量都可以直接被异常流量分析单元判断为恶意流量，从而达到优化流量分析精度的目的。

图6为本发明APT检测方法的第四实施例的流程示意图，第四实施例的场景为：异常流量分析单元检测到异常流量后，通知相关的终端防御单元对恶意软件进行处理。如图6所示，具体实现包括：

步骤600：终端上运行的恶意软件连接到外网，向恶意网站发送或接收消息。

步骤601：异常流量分析单元捕获到终端上发送或接收到的流量并进行异常流量分析；检测到异常流量后，根据策略进行流量阻断。

通过异常流量分析，异常流量分析单元可以获取到恶意流量的网络信息，如恶意网站的域名、IP地址、端口号等。

步骤602：异常流量分析单元向终端防御单元发送消息，以通知终端清除恶意软件。

本步骤发送的消息中携带有恶意网络信息，其中，恶意网络信息包含但不限于：恶意进程信息、恶意网站的域名、IP地址、端口号等。

步骤603～步骤604：终端防御单元收到通知后，根据策略配置对相关恶意样本及相关恶意软件进行处理，比如：可以终止相关恶意进程、删除相关恶意样本或向用户弹出告警等，之后，终端防御单元向异常流量分析单元返回确认消息。

第四实施例通过异常流量分析单元检测到异常流量后通知终端防御单元清除恶意软件的方式，使得系统从源头终止了恶意进程的运行并清除了恶意软件。

图7为本发明APT检测方法的第五实施例的流程示意图，第五实施例的场景与第一实施例的场景相同，不同之处在于：第五实施例中，各单元之间的消息交互通过统一的管理中心进行转发。如图7所示，具体实现包括：

步骤700～步骤701：终端防御单元在检测到本地文件被打开或者运行之后，将文件上传给管理中心，管理中心保存终端防御单元的标识(ID)或网络地址，并通过策略选择一个动态分析单元，将被打开或者运行的文件转发给该动态分析单元进行分析。

本步骤中，管理中心如何根据策略选择一个动态分析单元的具体实现属于本领域技术人员的公知技术，其具体实现并不用于限定本发明的保护范围，这里不再赘述。

步骤702：动态分析单元收到样本文件后，将样本文件保存在本地，并进行动态分析。

可选地，分析的方法一般可以采用沙箱检测的方式，在虚拟机中运行接收到的样本文件以获取运行结果，并根据预先设定的规则从运行结果中筛选出恶意网络行为，相关恶意网络信息如恶意网站域名、IP地址、端口号等即被记录下来。

步骤703～步骤704：动态分析单元向管理中心返回样本动态分析结果，管理中心通过查询之前保存的信息获取终端防御单元网络地址，并将动态分析结果发送给该终端防御功能单元。

在动态分析结果中可以携带：样本是否为恶意样本、文件特征(如文件名称、大小、MD5值等)、访问的恶意网站的域名、IP地址、端口号等恶意网络信息。管理中心保存所述样本文件的恶意网络信息。

步骤705：终端防御单元收到动态分析单元返回的动态分析结果后， 从动态分析结果中提取文件特征、恶意网站等相关信息并保存；终端防御单元根据本地配置策略对恶意样本和相关进程进行处理，比如可根据策略终止恶意进程并删除相关恶意文件等。

步骤706：管理中心将恶意网络信息如恶意网站的域名、IP地址、端口号等信息上报给异常流量分析单元。

步骤707：异常流量分析单元接收到终端防御功能单元上报的恶意网络信息后，将恶意网络信息用于策略优化，比如：将恶意网站的域名、IP地址、端口号等添加到黑名单中，这样，后续来自或发送到这个网站的流量都可以直接被异常流量分析单元判断为恶意流量，从而达到优化流量分析精度的目的。

从上述流程中可以看出，采取本发明提供的技术方案，将文件动态行为分析功能、异常流量分析功能和终端防御功能组成一个整体，三者之间进行有效配合，动态分析功能和/或终端防御功能将恶意网络信息上报给异常流量分析功能，使得异常流量分析功能快速提升了流量分析的精度；异常流量分析功能和/或动态分析功能检测到恶意行为后通知终端防御功能中止恶意进程并删除终端上的恶意软件，使得系统从源头阻断了恶意软件的运行，提高了检测精确度和防护能力，从而提高了APT检测的准确性和有效性。

本发明的实施例还提供了一种存储介质，该存储介质包括存储的程序，其中，上述程序运行时执行上述任一项所述的方法。

可选地，在本实施例中，上述存储介质可以包括但不限于：U盘、只读存储器(Read-Only Memory，简称为ROM)、随机存取存储器(Random Access Memory，简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

本发明的实施例还提供了一种处理器，该处理器用于运行程序，其中，该程序运行时执行上述任一项方法中的步骤。

以上所述，仅为本发明的较佳实例而已，并非用于限定本发明的保护 范围。凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

工业实用性

如上所述，本发明实施例提供的一APT检测方法、系统及装置具有以下有益效果：将文件动态行为分析功能、异常流量分析功能和终端防御功能组成一个整体，三者之间进行有效配合，从源头有效地阻止了恶意网络行为，提高了检测精确度和防护能力，从而提高了APT检测的准确性和有效性。

Claims (18)

1. 一种高级持续性威胁APT检测系统，包括：异常流量分析单元、终端防御单元、动态分析单元，其中，

   终端防御单元，设置为将可疑的文件样本输出给动态分析单元；根据来自所述异常流量分析单元的通知消息对相关的恶意网络行为进行处理；

   动态分析单元，设置为对接收到的文件样本进行动态分析，将分析得到的恶意网络信息输出给异常流量分析单元；

   异常流量分析单元，设置为根据接收到的恶意网络信息优化自身的策略配置；检测到来自终端的异常流量后向所述终端防御单元发送通知消息。
2. 根据权利要求1所述的APT检测系统，其中，

   所述动态分析单元还设置为：检测到网络中其它系统上报恶意网络行为，对上报的恶意网络行为进行动态分析，并将动态分析结果输出给所述终端防御单元，将分析得到的恶意网络信息输出给所述异常流量分析单元。
3. 根据权利要求1所述的APT检测系统，其中，所述动态分析单元还设置为：将所述动态分析结果输出给终端防御单元；

   所述终端防御单元还设置为：根据来自动态分析单元的动态分析结果获取恶意网络信息并输出给异常流量分析单元。
4. 根据权利要求1～3任一项所述的APT检测系统，其中，所述通知消息中携带有恶意网络信息。
5. 根据权利要求4所述的APT检测系统，其中，所述恶意网络 信息包括：恶意网站的域名、和/或IP地址、和/或端口号、和/或恶意进程信息。
6. 根据权利要求1～3任一项所述的APT检测系统，其中，

   所述异常流量分析单元、所述终端防御单元、所述动态分析单元之间通过管理中心查询交互对端的地址以发起信息交互；

   或者，所述异常流量分析单元、所述终端防御单元、所述动态分析单元之间经由管理中心向对端转发交互的信息。
7. 一种APT检测装置，设置在终端；包括第一交互模块，第一处理模块；其中，

   第一交互模块，设置为将可疑的文件样本输出给动态分析模块；

   第一处理模块，设置为根据来自异常流量分析单元的通知消息对相关的恶意网络行为进行处理。
8. 根据权利要求7所述的APT检测装置，其中，所述第一处理模块还设置为：根据来自动态分析单元的动态分析结果获取恶意网络信息并输出给异常流量分析单元。
9. 一种APT检测装置，设置在服务器；包括第二交互模块，第二处理模块；其中，

   第二处理模块，设置为对接收到的文件样本进行动态分析；

   第二交互模块，设置为将分析得到的恶意网络信息输出给异常流量分析单元。
10. 根据权利要求9所述的APT检测装置，其中，所述第二处理模块还设置为：检测到网络中其它系统上报恶意网络行为，对上报 的恶意网络行为进行动态分析；

    所述第二交互模块还设置为：将动态分析结果输出给终端防御单元，将分析得到的恶意网络信息输出给异常流量分析单元。
11. 根据权利要求9所述的APT检测装置，其中，所述第二交互模块还设置为：将所述动态分析结果输出给终端防御单元。
12. 一种APT检测装置，设置在服务器；包括第三交互模块，第三处理模块；其中，

    第三处理模块，设置为根据接收到的恶意网络信息优化自身的策略配置；

    第三交互模块，设置为检测到来自终端的异常流量后向终端防御单元发送通知消息。
13. 一种高级持续性威胁APT检测方法，包括：

    APT检测装置对可疑的文件样本进行动态分析，得到恶意网络信息；

    APT检测装置根据分析得到的恶意网络信息优化设置为异常流量分析的策略配置。
14. 根据权利要求13所述的APT检测方法，其中，还包括：

    所述APT检测装置检测到来自终端的异常流量，按照恶意网络信息对相关的恶意网络行为进行处理。
15. 根据权利要求14所述的APT检测方法，其中，所述按照恶意网络信息对相关的恶意网络行为进行处理包括：中止恶意进程并删除终端上的恶意软件。
16. 根据权利要求13所述的APT检测方法，其中，还包括：

    所述APT检测装置检测到网络中其它系统上报恶意网络行为，对上报的恶意网络行为进行动态分析得到所述恶意网络信息。
17. 根据权利要求13～16任一项所述的APT检测方法，其中，所述恶意网络信息包括：恶意网站的域名、和/或IP地址、和/或端口号、和/或恶意进程信息。
18. 一种存储介质，所述存储介质包括存储的程序，其中，所述程序运行时执行权利要求13至17中任一项所述的方法。

Images