[发明专利]一种高级可持续威胁的检测方法及系统

说明书

技术领域

本发明涉及一种高级可持续威胁的检测方法及其系统，属于网络安全技术领域。

背景技术

如今，政府和企业同时面临着一个不断演变的网络威胁环境。最初的黑客攻击是为了获得影响力及自我满足去攻击媒体网站，或者使用DoS方式来中断网站的服务；而现在已演变成为了经济、政治等目的的攻击。攻击者能够通过窃取知识产权来直接获取利益，也可以入侵、窃取客户的个人金融信息，更有甚者破坏对方的服务以至国家的基础设施。动机的变化，同时也带来了攻击方式的变化。

从过去广泛、漫无目的的攻击威胁，在数年内迅速的转化为针对受害者组织将造成严重后果的高级可持续威胁（Advanced Persistent Threat）。高级可持续威胁（APT）是由美国空军的信息安全分析师与2006年创造的术语，一般来说，高级可持续威胁具备以下三个特点：

高级：攻击者为黑客入侵技术方面的专家，能够自主的开发攻击工具，或者挖掘漏洞，并通过结合多种攻击方法和工具，以达到预定攻击目标。

持续性渗透：攻击者会针对确定的攻击目标，进行长期的渗透。在不被发现的情况下，持续攻击以获得最大的效果。

威胁：这是一个由组织者进行协调和指挥的人为攻击。入侵团队会有一个具体的目标，这个团队训练有素、有组织性、有充足的资金，同时有充分的政治或经济动机。

此类APT威胁往往可以绕过防火墙、IPS、AV以及网闸等传统的安全机制，悄无声息的从企业或政府机构获取高级机密资料。在2012年Verizon信息外泄调查报告中可以看到，2011年发生的重大信息数据外泄的受访组织中，有59%是在相关执法机构告知后才知道信息外泄的情况。

现今主流的安全防御机制，往往由防火墙或NGFW、入侵检测、网闸及防毒软件建构其核心检测能力，这些产品依靠已知攻击特征码进行模式匹配来检测已知的网络攻击，在一些特定情况下，也可能检测针对已知漏洞的新的未知攻击。

这样的解决方案，能非常有效的监测到一般的已知网络攻击，如：蠕虫、特洛伊木马、间谍软件、botnet及基本的电脑病毒等，但针对现今最威胁的高级可持续威胁，却完全没有招架之力。在大多数情况下，APT攻击面对传统的安全防御机制时，有如入无人之境，因为这些攻击没有特征码，故传统的防御机制无法检测攻击者在起始阶段所采取的攻击手段，最终导致网络攻击者可以任意的控制网络。

一些防护更深入的传统方案，会结合IPS或者NBA产品进行异常检测，协助找到网络攻击，这种方式虽然可以侦测到新型的APT威胁，但是由于经常受到误报的影响（将正常流量归为异常），因此防御效果不佳，并且也容易出现漏报的问题。

发明内容

本发明的目的在于，提供一种高级可持续威胁的检测方法。本发明可以对高级可持续威胁进行有效地检测，而且防御效果好、误报率低。

本发明的技术方案：一种高级可持续威胁的检测方法，其特点是，包括以下步骤：

①在互联网接入口，镜像出进出网络的流量；

②对镜像出的流量进行文件承载协议的解析，并对文件进行解码还原；

③对解码还原后的文件进行shellcode的静态检测，以及病毒检测，初步检测恶意软件；

④在沙箱中虚拟执行解码还原后的文件中的可执行代码，并跟踪分析所执行的指令特征以及行为特征，进而发现存在安全威胁的文件；

⑤结合步骤③和④的检测结果，形成系统日志及相应的告警信息后输出给安全管理员。

上述的高级可持续威胁的检测方法中，所述步骤③中跟踪的指令特征包括了堆、栈中的代码执行情况，通过指令运行中的内存空间的异常变化，可以发现各种溢出攻击等漏洞利用行为，发现0day漏洞；所跟踪行为特征，包括进程的创建中止、进程注入、服务、驱动、注册表访问及改写、文件访问改写及下载、程序端口监听和网络访问行为，从而可综合分析找到属于攻击威胁的行为特征，进而发现恶意软件。

前述的高级可持续威胁的检测方法中，在步骤③中检测发现恶意软件后，持续观察其进一步的行为，包括网络、文件、进程和注册表，并将这些行为作为报警内容的一部分输出给安全管理员，方便追查和审计；而其中恶意软件连接命令与控制服务器的网络特征也可以进一步被用来发现、跟踪botnet网络（僵尸网络）。

前述的高级可持续威胁的检测方法中，步骤④中同时运行多个沙箱，同时利用并行沙箱加快执行检测任务，以达到一个可扩展的平台来处理高速网络流量，及时有效的进行威胁监测。