[发明专利]一种攻击检测的方法和装置

说明书

本发明公开了一种攻击检测的方法和装置，该方法包括：攻击检测装置在接收到数据流后，从所述数据流的附件中分离出文件；所述攻击检测装置将所述文件发送给沙箱，由所述沙箱确定所述文件对应的文件类型，并利用所述文件类型对应的应用程序打开所述文件；所述攻击检测装置监测所述沙箱内是否有网络连接行为；如果是，所述攻击检测装置确定所述数据流为攻击数据流；如果否，所述攻击检测装置确定所述数据流为合法数据流。本发明实施例中，可以不依赖特征码检测出是否发生攻击。

技术领域

本发明涉及通信技术领域，尤其涉及一种攻击检测的方法和装置。

背景技术

随着计算机与网络的普及，信息技术正在改变着、影响着人类的生活方式。各种网络应用层出不穷，安全威胁和网络滥用也与日俱增，给网络监管机构对各种网络流量进行深度识别和检测未知威胁提出了新的要求。

目前对流量进行识别与检测的技术包括：DPI(Deep Packet Inspection，深层数据包检测)技术和基于流量特征的行为识别技术。DPI技术主要通过对数据包的负载进行特征匹配来识别流量，从而检测是否发生攻击。基于流量特征的行为识别技术主要是针对网络流量在一段时间内的某些统计特征进行检测和分析，以此为基础判断是否有某种行为，从而检测是否发生攻击。

上述方式均需要基于特征码检测是否发生攻击，但是针对APT(AdvancedPersistent Threat，高级持续性威胁)攻击，由于APT攻击是利用先进攻击手段对特定目标进行长期持续性网络攻击的攻击形式，在发动攻击之前会对攻击对象的业务流程和目标系统进行精确的收集，在收集过程中会主动挖掘被攻击对象受信系统和应用程序的漏洞，并利用这些漏洞进行攻击，因此，APT攻击的漏洞信息从未公开，且没有相应特征码，因此，上述方式(DPI技术和基于流量特征的行为识别技术)是无法检测出是否发生APT攻击的。

发明内容

本发明实施例提供一种攻击检测的方法，所述方法包括以下步骤：

攻击检测装置在接收到数据流之后，从所述数据流的附件中分离出文件；

所述攻击检测装置将所述文件发送给沙箱，由所述沙箱确定所述文件对应的文件类型，并利用所述文件类型对应的应用程序打开所述文件；

所述攻击检测装置监测所述沙箱内是否有网络连接行为；

如果是，则所述攻击检测装置确定所述数据流为攻击数据流；

如果否，则所述攻击检测装置确定所述数据流为合法数据流。

所述沙箱具体包括：内置在所述攻击检测装置中的沙箱，或者，独立于所述攻击检测装置的沙箱。

在所述沙箱打开所述文件之前，在所述沙箱内是不发生网络连接行为的。

所述方法进一步包括：

所述攻击检测装置确定所述数据流为攻击数据流之后，所述攻击检测装置确定所述文件中包含用于从网络中下载并执行可执行文件的恶意指令。

所述数据流具体包括高级持续性威胁APT数据流，所述文件具体包括：WORD文件、EXCEL文件、PPT文件。

本发明实施例提供一种攻击检测装置，所述攻击检测装置具体包括：

分离模块，用于在接收到数据流后，从所述数据流的附件中分离出文件；

发送模块，用于将所述文件发送给沙箱，由所述沙箱确定所述文件对应的文件类型，并利用所述文件类型对应的应用程序打开所述文件；

监测模块，用于监测所述沙箱内是否有网络连接行为；

确定模块，用于当沙箱内有网络连接行为时，则确定所述数据流为攻击数据流；当沙箱内没有网络连接行为时，则确定所述数据流为合法数据流。