[发明专利]终端威胁检测与响应方法及引擎

说明书

本发明公开了终端威胁检测与响应方法及引擎，所述引擎包括动作检测模块、基础信息模块、行为分析模块、威胁报警模块及自动处置模块，各个相互之间配合工作，由动作检测模块和基础信息模块提供数据，行为分析模块进行判断，如果发现威胁，则由威胁报警模块进行报警，并由自动处置模块根据实际情况按照规则指定的条件进行自动响应。本发明实施例公开的引擎与当前的大多数检测软件所使用的正则、YARA、特征等常规检测手段不同，采用了LUA语言进行引擎编写，使得引擎可以在不需要修改任何代码的情况下跨平台运行。当检测规则发生改变的时候只需要对LUA的脚本进行动态替换，而不需要重新编译整个系统。

技术领域

本发明涉及终端威胁检测技术领域，具体涉及终端威胁检测与响应方法及引擎。

背景技术

终端侦测与响应(Endpoint Detection and Response)是未知威胁以及APT检测领域的一个关键趋势，在终端检测威胁行为需要依托于规则，而在传统的检测手段中使用正则表达式、YARA、程序内置硬编码等方式比较多。但无论是正则、YARA还是硬编码的方式都显得过于死板不灵活，修改某一个规则之后都甚至需要对程序进行重新编译才能生效，而YARA和正则表达式虽然比较灵活，但是对于动态数据的检测就显得有点力不从心。

发明内容

本发明的目的在于提供终端威胁检测与响应方法及引擎，用以解决目前的终端威胁检测不能满足动态数据的检测的技术问题。

为实现上述目的，本发明实施例提供了终端威胁检测与响应方法，所述方法包括：获取系统发生事件的数据以及附加信息；检测所述事件行为规则包含的所有动作规则，利用进程属性标示所述动作规则的进程是否存在威胁；针对被标示的可疑行为规则包含的所有动作规则形成至少一个动作检测标志；对每个可疑行为规则所包含的所有动作检测标志进行行为匹配分析；如果所述可疑行为规则所包含的所有动作检测标志全部与至少一个标志位匹配，所述可疑行为规则确定存在威胁；其中，每个动作检测标志为由每个动作规则的所有的进程PID作为元素形成的一个可疑进程PID列表，所述标志位为所述可疑进程PID列表中的某个进程PID元素。

进一步地，利用进程属性标示所述动作规则的进程是否有确定的威胁之后，所述方法还包括：实时判断获取的系统发生事件的数据以及附加信息的去向，其包括：判断所述事件的行为规则是否包含多个动作规则；若所述行为规则包含多个动作规则，判断所述多个动作规则之间是否存在时序性；若所述行为规则的所有动作规的进程均未被标示，则丢弃所述行为规则对应的所述事件的数据以及附加信息；若所述行为规则包含一个动作规则并所述动作规则被标示，则直接确定所述行为规则存在威胁；若所述行为规则包含彼此之间存在时序性的多个动作规则并所述多个动作规则被标示，则缓存所述行为规则对应的所述事件的数据以及附加信息并进行行为匹配分析；若所述行为规则包含彼此之间不存在时序性的多个动作规则并所述多个动作规则被标示，则对所述行为规则对应的所述事件的数据以及附加信息进行行为匹配分析。

进一步地，所述事件包括：注册进程信息、网络通信、文件访问、动态库加载和注册表访问。

进一步地，所述进程属性包括：MD5、SHA-1、SHA-256、创建/修改/访问时间、签名信息、文件尺寸、文件头、文件类型、图标和可见字符串。

进一步地，以树形的方式保存每一个所述可疑行为规则的所有动作规则以及每个所述动作规则的所有进程PID。

进一步地，所述可疑行为规则经行为匹配分析确定存在威胁后，所述方法还包括：自动调用行为规则的自动响应脚本进行响应处理，针对所述行为规则相关的文件、注册表、网络、模块/动态库、进程进行微粒度控制，防止威胁攻击行为的达成；和/或发出威胁报警并将所述行为规则对应的所述事件的数据以及附加信息上传至服务器。