[发明专利]一种恶意代码检测的方法、装置及系统

说明书

本发明是有关于一种恶意代码检测的方法，包括：NIDS根据规则匹配发现恶意代码等疑似攻击事件，NIDS根据预设规则将相关攻击事件信息下发至终端侧与进程端口号关联，以获取与进程相关的关键信息；收集终端侧的恶意代码事件信息及相关样本文件，并将收集的恶意代码事件信息及相关样本文件发送至NIDS，供NIDS进行恶意代码事件判定；获取经NIDS判定确定后的恶意代码事件和相关处置指令，并将其发送至终端侧受害者主机上的终端探针，供终端探针执行相关处置动作。本发明避免了传统NIDS恶意代码检测过程中，由于缺少主机侧关键信息而导致的误判，同时弥补传统NIDS无法对检测出来的安全威胁进行快速处置的不足。

技术领域

本发属于网络安全技术领域，特别是涉及一种恶意代码检测的方法、装置及系统。

背景技术

基于网络的入侵检测系统(NIDS)部署在重要信息系统互联网出入口，采用旁路镜像或分光的方式，对网络流量进行分析，在不影响网络性能的情况下对网络入侵、恶意代码感染和传播进行实时监测，从而提高了网络的安全性。

现有技术中，在恶意代码检测上，NIDS具有如下局限性：

随着业务应用系统安全性需求的提高，越来越多的业务系统、互联网网站、移动终端APP等交互的网络通讯都开始采用HTTPS加密传输。一方面这种方式的采用提升了网络应用的安全性，另一方面也给NIDS仅仅通过分析网络流量来发现恶意代码威胁的方法带来了新挑战。同时各种恶意代码攻击也更多通过采用针对NIDS检测的逃逸技术，来隐藏真实的攻击载荷。基于深度包识别/深度流识别(DPI/DFI)技术为核心的NIDS类产品因需要综合考虑性能、实时性、用户体验等因素，在应对此类威胁时难以施力，应用效果受到很大限制。

现在的高级持续性威胁(APT)攻击越发呈现出攻击手段多样化、攻击维度立体化的趋势，在常用的利用系统漏洞、邮件、网络共享、移动存储等方式上，还更多的融合无线热点伪造、网络钓鱼、水坑攻击、Cookie窃取等多种攻击形式，再辅之社会工程学，让攻击发现、攻击源头定位以及网络系统内部入侵薄弱点定位变得更加困难。在传统安全检测及防护方案中，往往只是通过NIDS类产品发现了最终的攻击行为和后果，很难还原整个威胁攻击路径，也不清楚如何在后续进行有针对性防御和追溯，从而在实际环境中往往会发生重复遭受攻击入侵，安全防御应对乏力的情况，给正常的业务系统持续稳定运行带来了很大影响。

在传统恶意代码检测解决方案中，除了部署NIDS类产品，通常还会选择终端安全探针类产品。终端安全探针通常安装在被重点检测的主机之上，主要是对该主机的网络实时连接、系统状态、异常进程行为以及系统审计日志进行智能分析和判断，以检测恶意代码感染、发作行为。但是，受限于厂商间的壁垒及产品的独立性部署，二者在安全检测与防御方面“各自为战”，各自采集到的信息及做出的威胁分析相对碎片化，缺乏整体安全的全局化视角，这样最终呈现出的信息价值就大打折扣。同时因为产品间关联性及互操作性较弱，经常无法相互配合联动，即使某一类检测产品已发现异常威胁，但却无法及时将防御动作作用于受攻击或受影响的目标，使得威胁攻击的不良后果没有及时得到制止，直接给国家重要单位和部门造成了巨大的经济损失和社会不良影响。

发明内容

本发明的目的在于提供一种网络侧流量监测和终端侧主机监测相结合的动态联动检测方法，通过构建恶意代码全局检测防御与动态联动的安全检测体系，实现网络侧与终端安全协同配合，并通过整合威胁情报及数据分析能力，对恶意代码传播、感染、出发、运行全生命周期进行有效追踪和检测。

本发明的目的及解决其技术问题是采用以下技术方案来实现的。依据本发明提出的一种恶意代码检测的方法，包括：

获取基于NIDS生成的恶意代码疑似事件输出的相关信息；其中，相关信息包括事件ID、时间、受害者MAC、受害者IP、受害者端口、攻击者IP、攻击者端口、协议类型、恶意代码名称、恶意代码样本md5、访问url；