[发明专利]一种高级可持续威胁的检测方法及系统

权利要求书

1.一种高级可持续威胁的检测方法，其特征在于，包括以下步骤：

①在互联网接入口，镜像出进出网络的流量；

②对镜像出的流量进行文件承载协议的解析，并对文件进行解码还原；

③对解码还原后的文件进行shellcode的静态检测，以及病毒检测，初步检测恶意软件；

④在沙箱中虚拟执行解码还原后的文件中的可执行代码，并跟踪分析所执行的指令特征以及行为特征，进而发现存在安全威胁的文件；

⑤结合步骤③和④的检测结果，形成系统日志及相应的告警信息后输出给安全管理员。

2.根据权利要求1所述的高级可持续威胁的检测方法，其特征在于：所述步骤③中跟踪的指令特征包括了堆、栈中的代码执行情况，通过指令运行中的内存空间的异常变化，可以发现各种溢出攻击等漏洞利用行为，发现0day漏洞；所跟踪行为特征，包括进程的创建中止、进程注入、服务、驱动、注册表访问及改写、文件访问改写及下载、程序端口监听和网络访问行为，从而可综合分析找到属于攻击威胁的行为特征，进而发现恶意软件。

3.根据权利要求2所述的高级可持续威胁的检测方法，其特征在于：在步骤③中检测发现恶意软件后，持续观察其进一步的行为，包括网络、文件、进程和注册表，并将这些行为作为报警内容的一部分输出给安全管理员，方便追查和审计；而其中恶意软件连接命令与控制服务器的网络特征也可以进一步被用来发现、跟踪botnet网络。

4.根据权利要求1所述的高级可持续威胁的检测方法，其特征在于：步骤④中同时运行多个沙箱，同时利用并行沙箱加快执行检测任务，以达到一个可扩展的平台来处理高速网络流量，及时有效的进行威胁监测。

5.根据权利要求1所述的高级可持续威胁的检测方法，其特征在于：所述步骤①通过SPAN部署方式或TAP部署方式实现。

6.实现权利要求1至5任一权利要求所述方法的高级可持续威胁的检测系统，其特征在于：包括主处理器（3），主处理器（3）上连接有带以太网接口（1）的数据采集模块（2），主处理器（3）还通过D/A转换模块（4）与带解除电路（9）的警示电路（5）相连，警示电路（5）通过供电电路（10）与电源（8）相连；所述警示电路（5）包括集电极连接至供电电路（10）的电压输出端的第一三极管（Q1），第一三极管（Q1）的发射极依次串联第一电阻（R1）、第一非门（IC1）和第二非门（IC2），第二非门(IC2)的输出端连接至非稳态多谐振荡器电路的电源端，非稳态多谐振荡器电路包含两组放大电路，每组放大电路上分别设置发光颜色不同的第一发光二极管（LED1）和第二发光二极管（LED2）；所述第一发光二极管（LED1）的正向端与第二三极管（Q2）的基极相连，反向端与第二三极管（Q2）的发射极相连；所述第二发光二极管（LED2）的正向端与第三三极管（Q3）的基极相连，反向端与第三三极管（Q3）的发射极相连；所述主处理器（3）通过驱动电路（7）与电源（8）相连，主处理器（3）上还连接有外部扩展存储器（6）；所述第一三极管（Q1）、第二三极管（Q2）和第三三极管（Q3）的集电极与D/A转换模块（4）相连。

7.根据权利要求6所述的高级可持续威胁的检测系统，其特征在于：所述供电电路（10）的输出端还依次串联蜂鸣器（BZ）、第八电阻（R8）和第六三极管（Q3），其中第六三极管（Q3）的基集连接第八电阻（R8），发射极接地，集电极连接至第二非门(IC2)的输出端。

8.根据权利要求6所述的高级可持续威胁的检测系统，其特征在于：所述第一非门（IC1）和第二非门（IC2）的串联支路上并联有第二电阻（R2），第一电阻（R1）连接第二电阻（R2）的一端与第一电容（C1）的其中一端相连，第一电容（C1）的另一端接地。

9.根据权利要求8所述的高级可持续威胁的检测系统，其特征在于：所述解除电路（9）包括并联在第一电容（C1）上的按钮（K1），按钮（K1）上串联有第三电阻（R3）。

10.根据权利要求6所述的高级可持续威胁的检测系统，其特征在于：所述非稳态多谐振荡器电路包括正向端均与第二非门（IC2）输出端相连的第一发光二极管（LED1）和第二发光二极管（LED2）；第一发光二极管（LED1）的反向端通过第四电阻（R4）连接至第四三极管（Q4）的基极，第四三极管（Q4）的发射极接地；所述第二发光二极管（LED2）的反向端通过第七电阻（R7）连接至第五三极管（Q5）的基极，第五三极管（Q5）的发射极接地；所述第一发光二极管（LED1）的正向端通过第五电阻（R5）与第五三极管（Q5）的集电极相连，第二发光二极管（LED2）的正向端通过第六电阻（R6）与第四三极管（Q4）的集电极相连；所述第四三极管（Q4）的集电极和第五三极管（Q5）的基极之间设有第三电容（C3），第五三极管（Q5）的集电极和第四三极管（Q4）的基极之间设有第二电容（C2）。