一種多維度檢測防御apt的系統(tǒng)及方法
【專利摘要】本發(fā)明提供了一種多維度檢測防御APT的系統(tǒng)及方法�,所述系統(tǒng)包括:至少兩個(gè)檢測模塊,和維度擴(kuò)展模塊����;檢測模塊分別部署于各維度中,用于檢測當(dāng)前維度中的待檢測對象��,記錄待檢測對象的行為及檢測結(jié)果����,根據(jù)預(yù)設(shè)篩選規(guī)則,篩選出維度檢測擴(kuò)展信息���,并發(fā)送到維度擴(kuò)展模塊中�����;維度擴(kuò)展模塊獲取各檢測模塊發(fā)送來的維度檢測擴(kuò)展信息�����,根據(jù)預(yù)設(shè)維度關(guān)聯(lián)規(guī)則對所述維度檢測擴(kuò)展信息進(jìn)行投影關(guān)聯(lián)���,產(chǎn)生其他維度可用的檢測規(guī)則及篩選規(guī)則,并發(fā)送到對應(yīng)維度的檢測模塊中�。本發(fā)明還提供了對應(yīng)的檢測防御方法����,通過本發(fā)明的系統(tǒng)及方法�����,能夠使防御檢測系統(tǒng)能夠?qū)崿F(xiàn)自更新以獲得其他維度的檢測能力����。
【專利說明】 —種多維度檢測防御APT的系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,特別涉及一種多維度檢測防御APT的系統(tǒng)及方法����。
【背景技術(shù)】
[0002]APT攻擊是一類高等級網(wǎng)絡(luò)攻擊,具體的說�����,是非授權(quán)的個(gè)人����、團(tuán)體對受害目標(biāo)長期采用多種攻擊方法和先進(jìn)攻擊手段進(jìn)行的持續(xù)性攻擊行為,APT攻擊的常見目的是破壞受害目標(biāo)的系統(tǒng)��,偷竊受害目標(biāo)的信息�,經(jīng)典的APT事件包括震網(wǎng)(Stuxnet), Duqu, Flame
坐寸ο
[0003]根據(jù)典型APT事件進(jìn)行分析,往往攻擊者具備豐富的經(jīng)濟(jì)�����、技術(shù)����、情報(bào)等資源,能夠有效的突破安全系統(tǒng)的防御��,經(jīng)過對近期典型事件的分析����,一個(gè)APT事件從開始攻擊,進(jìn)入受害者系統(tǒng)�,到被受害者發(fā)現(xiàn)的跨度往往從數(shù)月到數(shù)年不等,且一些典型APT事件在攻擊者披露后���,受咅者也未能進(jìn)彳了發(fā)現(xiàn)���。
[0004]之所以出現(xiàn)這個(gè)情況,和傳統(tǒng)的安全防御技術(shù)的防御原理和技術(shù)手段有關(guān)���,如傳統(tǒng)云安全技術(shù)通過在公共網(wǎng)絡(luò)大量采集客戶信息送到云端通過統(tǒng)計(jì)技術(shù)和人工發(fā)現(xiàn)異常��,而APT事件往往是小范圍事件�����,具備高定向性��,導(dǎo)致很難采集����,即使采集也往往淹沒在海量的事件中無法具備統(tǒng)計(jì)意義;高性能網(wǎng)絡(luò)安全設(shè)備由于性能要求�,往往采用低精度高實(shí)時(shí)性的檢測技術(shù),導(dǎo)致難以對APT事件進(jìn)行細(xì)粒度高精度的檢測�,終端安全軟件由于其商業(yè)上的易獲得性,使得攻擊者可以先研究規(guī)避技術(shù)后再攻擊����,即確認(rèn)攻擊代碼可以繞過安全軟件后再發(fā)起攻擊。以上種種使得現(xiàn)有的安全防御系統(tǒng)在APT事件中大量的失效���。
[0005]而傳統(tǒng)安全防御系統(tǒng)多基于單個(gè)孤立時(shí)間點(diǎn)或時(shí)間段的實(shí)時(shí)檢測和防御����,或基于單維度的檢測��,如傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備僅對網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行檢測,對偽裝在正常數(shù)據(jù)的加密攻擊代碼則基本無檢測能力��。
[0006]因此有必要克服涉及APT高級安全威脅防御和檢測的傳統(tǒng)安全系統(tǒng)的上述缺點(diǎn)��。
【發(fā)明內(nèi)容】
[0007]本發(fā)明提供了一種多維度檢測防御APT的系統(tǒng)及方法���,解決了傳統(tǒng)安全防御系統(tǒng)只能在單獨(dú)時(shí)間點(diǎn)或時(shí)間段對單一維度進(jìn)行檢測,無法進(jìn)行全面檢測的問題����,使防御檢測系統(tǒng)能夠?qū)崿F(xiàn)自更新以獲得其他維度的檢測能力。
[0008]一種多維度檢測防御APT的系統(tǒng)���,包括:至少兩個(gè)檢測模塊��,和維度擴(kuò)展模塊��;
所述檢測模塊分別部署于各維度中�����,根據(jù)所處維度檢測點(diǎn)環(huán)境��,預(yù)設(shè)檢測規(guī)則����,用于檢測當(dāng)前維度中的待檢測對象,記錄待檢測對象的行為及檢測結(jié)果����,根據(jù)預(yù)設(shè)篩選規(guī)則,篩選出維度檢測擴(kuò)展信息��,并發(fā)送到維度擴(kuò)展模塊中��;獲取維度擴(kuò)展模塊發(fā)送來的檢測規(guī)則及篩選規(guī)則����,補(bǔ)充到預(yù)設(shè)檢測規(guī)則和預(yù)設(shè)篩選規(guī)則中;
所述的篩選規(guī)則����,可根據(jù)維度擴(kuò)展模塊中維度關(guān)聯(lián)規(guī)則所需要或可以利用的信息預(yù)先設(shè)定,在當(dāng)前檢測模塊檢測產(chǎn)生的信息及待檢測對象本身的信息等中選?。?br>
維度擴(kuò)展模塊����,用于獲取各檢測模塊發(fā)送來的維度檢測擴(kuò)展信息,根據(jù)預(yù)設(shè)維度關(guān)聯(lián)規(guī)則對所述維度檢測擴(kuò)展信息進(jìn)行投影關(guān)聯(lián),產(chǎn)生其他維度可用的檢測規(guī)則及篩選規(guī)則��,并發(fā)送到對應(yīng)維度的檢測模塊中�����;
維度關(guān)聯(lián)規(guī)則是將維度擴(kuò)展模塊所獲得的信息與其他維度檢測所需的信息類型進(jìn)行映射匹配等�,進(jìn)一步得到其他維度可用的信息。
[0009]所述維度由至少兩個(gè)不同檢測點(diǎn)環(huán)境組成��,每個(gè)檢測點(diǎn)環(huán)境為一個(gè)維度���。例如部署于網(wǎng)關(guān)節(jié)點(diǎn)的檢測點(diǎn)環(huán)境、部署于PC上的檢測點(diǎn)環(huán)境����、部署于移動(dòng)終端的檢測點(diǎn)環(huán)境
坐寸O
[0010]所述的系統(tǒng)中,如果所述檢測模塊的預(yù)設(shè)檢測規(guī)則中不存在待檢測對象的檢測規(guī)貝U�,則記錄所述待檢測對象的信息,并發(fā)送到維度擴(kuò)展模塊�;
維度擴(kuò)展模塊根據(jù)待檢測對象的信息,將所述待檢測對象發(fā)送到相應(yīng)維度的檢測模塊中��。
[0011]所述的系統(tǒng)中�,在所述檢測模塊收到維度擴(kuò)展模塊發(fā)送來的檢測規(guī)則及篩選規(guī)貝U,補(bǔ)充到預(yù)設(shè)檢測規(guī)則和預(yù)設(shè)篩選規(guī)則中后,對當(dāng)前檢測模塊中的所有待檢測對象進(jìn)行二次檢測��。
[0012]所述的系統(tǒng)中���,包括:至少兩個(gè)防御模塊�����,所述防御模塊分別部署于各維度中���,用于根據(jù)所處維度對應(yīng)檢測模塊的檢測結(jié)果及預(yù)設(shè)防御規(guī)則,對待檢測對象攔截�����、阻斷或告警���,并根據(jù)預(yù)設(shè)篩選規(guī)則�����,篩選出維度防御擴(kuò)展信息����,并發(fā)送到維度擴(kuò)展模塊中;獲取維度擴(kuò)展模塊發(fā)送的防御規(guī)則����,并補(bǔ)充到預(yù)設(shè)防御規(guī)則中;
所述維度擴(kuò)展模塊根據(jù)維度關(guān)聯(lián)規(guī)則���,對收到的維度防御擴(kuò)展信息進(jìn)行投影關(guān)聯(lián)����,產(chǎn)生其他維度可用的防御規(guī)則����,并發(fā)送到對應(yīng)維度的防御模塊中��。
[0013]所述的系統(tǒng)中���,包括:至少兩個(gè)處置模塊�����,所述處置模塊分別部署于各維度中����,用于根據(jù)所處維度對應(yīng)檢測模塊的檢測結(jié)果及預(yù)設(shè)處置規(guī)則,對待檢測對象進(jìn)行處置����,并將維度處置擴(kuò)展信息發(fā)送到維度擴(kuò)展模塊中;獲取維度擴(kuò)展模塊發(fā)送的處置規(guī)則����,并補(bǔ)充到預(yù)設(shè)處置規(guī)則中;
所述維度擴(kuò)展模塊根據(jù)維度關(guān)聯(lián)規(guī)則�����,對收到的維度處置擴(kuò)展信息進(jìn)行投影關(guān)聯(lián)�,產(chǎn)生其他維度可用的處置規(guī)則,并發(fā)送到對應(yīng)維度的處置模塊中���。
[0014]所述的系統(tǒng)中����,所述維度關(guān)聯(lián)規(guī)則將維度檢測擴(kuò)展信息���,和/或維度防御擴(kuò)展信息�,和/或維度處置擴(kuò)展信息與各維度檢測點(diǎn)環(huán)境所需要的信息關(guān)聯(lián)���,并根據(jù)統(tǒng)計(jì)數(shù)據(jù)或數(shù)學(xué)模型預(yù)設(shè)到維度擴(kuò)展模塊中����。
[0015]一種多維度檢測防御APT的方法,適用于上述系統(tǒng)���,包括:
檢測模塊根據(jù)預(yù)設(shè)檢測規(guī)則�,檢測當(dāng)前維度中的待檢測對象���;
記錄待檢測對象的行為及檢測結(jié)果��;
根據(jù)預(yù)設(shè)篩選規(guī)則����,篩選出維度檢測擴(kuò)展信息�,并發(fā)送到維度擴(kuò)展模塊中�;
獲取檢測模塊發(fā)送來的維度檢測擴(kuò)展信息;
根據(jù)預(yù)設(shè)維度關(guān)聯(lián)規(guī)則對所述維度檢測擴(kuò)展信息進(jìn)行投影關(guān)聯(lián)�����,產(chǎn)生其他維度可用的檢測規(guī)則及篩選規(guī)則�,并發(fā)送到對應(yīng)維度的檢測模塊中��;
所述檢測模塊還獲取維度擴(kuò)展模塊發(fā)送來的檢測規(guī)則及篩選規(guī)則����,補(bǔ)充到預(yù)設(shè)檢測規(guī)則和預(yù)設(shè)篩選規(guī)則中�����;
所述維度由至少兩個(gè)不同檢測點(diǎn)環(huán)境組成�����,每個(gè)檢測點(diǎn)環(huán)境為一個(gè)維度����。[0016]所述的方法,其特征在于����,如果所述預(yù)設(shè)檢測規(guī)則中不存在待檢測對象的檢測規(guī)貝U,則記錄所述待檢測對象的信息���,并發(fā)送到維度擴(kuò)展模塊���;
維度擴(kuò)展模塊根據(jù)待檢測對象的信息���,將所述待檢測對象發(fā)送到相應(yīng)維度的檢測模塊中。
[0017]所述的方法中���,在所述檢測模塊收到維度擴(kuò)展模塊發(fā)送來的檢測規(guī)則及篩選規(guī)貝U�����,補(bǔ)充到預(yù)設(shè)檢測規(guī)則和預(yù)設(shè)篩選規(guī)則中后��,對當(dāng)前檢測模塊中的所有待檢測對象進(jìn)行二次檢測�。
[0018]所述的方法中�����,還包括:防御模塊根據(jù)檢測結(jié)果及預(yù)設(shè)防御規(guī)則�����,對待檢測對象攔截����、阻斷或告警����,并根據(jù)預(yù)設(shè)篩選規(guī)則����,篩選出維度防御擴(kuò)展信息�����,并發(fā)送到維度擴(kuò)展模塊中���;及獲取維度擴(kuò)展模塊發(fā)送的防御規(guī)則���,并補(bǔ)充到預(yù)設(shè)防御規(guī)則中;
所述維度擴(kuò)展模塊根據(jù)維度關(guān)聯(lián)規(guī)則�,對收到的維度防御擴(kuò)展信息進(jìn)行投影關(guān)聯(lián),產(chǎn)生其他維度可用的防御規(guī)則�,并發(fā)送到對應(yīng)維度的防御模塊中。
[0019]所述的方法中�,包括:處置模塊根據(jù)檢測結(jié)果及預(yù)設(shè)處置規(guī)則,對待檢測對象進(jìn)行處置�����,并將維度處置擴(kuò)展信息發(fā)送到維度擴(kuò)展模塊中�;及獲取維度擴(kuò)展模塊發(fā)送的處置規(guī)貝U���,并補(bǔ)充到預(yù)設(shè)處置規(guī)則中;
所述維度擴(kuò)展模塊根據(jù)維度關(guān)聯(lián)規(guī)則�,對收到的維度處置擴(kuò)展信息進(jìn)行投影關(guān)聯(lián),產(chǎn)生其他維度可用的處置規(guī)則��,并發(fā)送到對應(yīng)維度的處置模塊中�����。
[0020]所述的方法中��,所述維度關(guān)聯(lián)規(guī)則將維度檢測擴(kuò)展信息�����,和/或維度防御擴(kuò)展信息��,和/或維度處置擴(kuò)展信息與各維度檢測點(diǎn)環(huán)境所需要的信息關(guān)聯(lián)���,并根據(jù)統(tǒng)計(jì)數(shù)據(jù)或數(shù)學(xué)模型預(yù)設(shè)到維度擴(kuò)展模塊中�����。
[0021]本發(fā)明的系統(tǒng)及方法����,能夠通過至少兩個(gè)檢測模塊及維度擴(kuò)展模塊��,對待檢測對象進(jìn)行檢測�����,當(dāng)一個(gè)檢測模塊檢測完成后�,將篩選出可擴(kuò)展的信息交給維度擴(kuò)展模塊,維度擴(kuò)展模塊將收到的信息及待檢測對象���,通過維度關(guān)聯(lián)規(guī)則����,將上述信息映射擴(kuò)展到其他檢測模塊��,生成其可用的信息��。本發(fā)明還可以增加防御模塊及處置模塊�����,并且也能夠與維度擴(kuò)展模塊進(jìn)行關(guān)聯(lián)擴(kuò)展。通過本發(fā)明的系統(tǒng)及方法�����,實(shí)現(xiàn)了在一個(gè)維度上的檢測結(jié)果可以轉(zhuǎn)化成其他維度上可使用的規(guī)則�����,實(shí)現(xiàn)了自學(xué)習(xí)自更新的能力��。因此本發(fā)明也不依賴于通過安全廠商提供的檢測規(guī)則�����,才能夠獲得新的檢測能力����。即本發(fā)明系統(tǒng)檢測能力不依賴外部對檢測規(guī)則進(jìn)行更新,就能夠獲得其他維度的檢測能力�����,從而實(shí)現(xiàn)對APT和高級安全威脅的防御檢測���。
【專利附圖】
【附圖說明】
[0022]為了更清楚地說明本發(fā)明或現(xiàn)有技術(shù)中的技術(shù)方案��,下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹����,顯而易見地,下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例��,對于本領(lǐng)域普通技術(shù)人員來講��,在不付出創(chuàng)造性勞動(dòng)的前提下���,還可以根據(jù)這些附圖獲得其他的附圖。
[0023]圖1為本發(fā)明一種多維度檢測防御APT的系統(tǒng)結(jié)構(gòu)示意圖��;
圖2為本發(fā)明系統(tǒng)實(shí)施例一結(jié)構(gòu)示意圖��;
圖3為本發(fā)明系統(tǒng)實(shí)施例二結(jié)構(gòu)示意圖�����;
圖4為本發(fā)明系統(tǒng)實(shí)施例三結(jié)構(gòu)示意圖����;圖5為本發(fā)明一種多維度檢測防御APT的方法流程圖。
【具體實(shí)施方式】
[0024]為 了使本【技術(shù)領(lǐng)域】的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案�����,并使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂����,下面結(jié)合附圖對本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說明。
[0025]本發(fā)明提供了一種多維度檢測防御APT的系統(tǒng)及方法����,解決了傳統(tǒng)安全防御系統(tǒng)只能在單獨(dú)時(shí)間點(diǎn)或時(shí)間段對單一維度進(jìn)行檢測,無法進(jìn)行全面檢測的問題�,是防御檢測系統(tǒng)能夠?qū)崿F(xiàn)自更新以獲得其他維度的檢測能力。
[0026]一種多維度檢測防御APT的系統(tǒng)����,如圖1所示,包括:至少兩個(gè)檢測模塊101�����,和維度擴(kuò)展模塊102 �;
所述檢測模塊101分別部署于各維度中,根據(jù)所處維度檢測點(diǎn)環(huán)境��,預(yù)設(shè)檢測規(guī)則�����,用于檢測當(dāng)前維度中的待檢測對象,記錄待檢測對象的行為及檢測結(jié)果�,根據(jù)預(yù)設(shè)篩選規(guī)則,篩選出維度檢測擴(kuò)展信息�����,并發(fā)送到維度擴(kuò)展模塊中����;獲取維度擴(kuò)展模塊發(fā)送來的檢測規(guī)則及篩選規(guī)則�����,補(bǔ)充到預(yù)設(shè)檢測規(guī)則和預(yù)設(shè)篩選規(guī)則中�;
所述的篩選規(guī)則,可根據(jù)維度擴(kuò)展模塊中維度關(guān)聯(lián)規(guī)則所需要或可以利用的信息預(yù)先設(shè)定�����,在當(dāng)前檢測模塊檢測產(chǎn)生的信息及待檢測對象本身的信息等中選?���?����;
維度擴(kuò)展模塊102���,用于獲取各檢測模塊發(fā)送來的維度檢測擴(kuò)展信息,根據(jù)預(yù)設(shè)維度關(guān)聯(lián)規(guī)則對所述維度檢測擴(kuò)展信息進(jìn)行投影關(guān)聯(lián)�,產(chǎn)生其他維度可用的檢測規(guī)則及篩選規(guī)貝U,并發(fā)送到對應(yīng)維度的檢測模塊中�����;
維度關(guān)聯(lián)規(guī)則是將維度擴(kuò)展模塊所獲得的信息與其他維度檢測所需的信息類型進(jìn)行映射匹配等�����,進(jìn)一步得到其他維度可用的信息����。
[0027]所述維度由至少兩個(gè)不同檢測點(diǎn)環(huán)境組成,每個(gè)檢測點(diǎn)環(huán)境為一個(gè)維度���。例如部署于網(wǎng)關(guān)節(jié)點(diǎn)的檢測點(diǎn)環(huán)境�、部署于PC上的檢測點(diǎn)環(huán)境�、部署于移動(dòng)終端的檢測點(diǎn)環(huán)境等���。
[0028]所述的系統(tǒng)中,如果所述檢測模塊的預(yù)設(shè)檢測規(guī)則中不存在待檢測對象的檢測規(guī)貝U�,則記錄所述待檢測對象的信息,并發(fā)送到維度擴(kuò)展模塊����;
維度擴(kuò)展模塊根據(jù)待檢測對象的信息,將所述待檢測對象發(fā)送到相應(yīng)維度的檢測模塊中�。
[0029]所述的系統(tǒng)中,在所述檢測模塊收到維度擴(kuò)展模塊發(fā)送來的檢測規(guī)則及篩選規(guī)貝U�,補(bǔ)充到預(yù)設(shè)檢測規(guī)則和預(yù)設(shè)篩選規(guī)則中后,對當(dāng)前檢測模塊中的所有待檢測對象進(jìn)行二次檢測�。
[0030]所述的系統(tǒng)中�,還包括:至少兩個(gè)防御模塊103,所述防御模塊分別部署于各維度中�����,用于根據(jù)所處維度對應(yīng)檢測模塊的檢測結(jié)果及預(yù)設(shè)防御規(guī)則�,對待檢測對象攔截、阻斷或告警���,并根據(jù)預(yù)設(shè)篩選規(guī)則���,篩選出維度防御擴(kuò)展信息�����,并發(fā)送到維度擴(kuò)展模塊中����;獲取維度擴(kuò)展模塊發(fā)送的防御規(guī)則�,并補(bǔ)充到預(yù)設(shè)防御規(guī)則中;
所述維度擴(kuò)展模塊根據(jù)維度關(guān)聯(lián)規(guī)則����,對收到的維度防御擴(kuò)展信息進(jìn)行投影關(guān)聯(lián),產(chǎn)生其他維度可用的防御規(guī)則�����,并發(fā)送到對應(yīng)維度的防御模塊中��。
[0031]所述的系統(tǒng)中�,包括:至少兩個(gè)處置模塊104,所述處置模塊分別部署于各維度中�,用于根據(jù)所處維度對應(yīng)檢測模塊的檢測結(jié)果及預(yù)設(shè)處置規(guī)則,對待檢測對象進(jìn)行處置����,并將維度處置擴(kuò)展信息發(fā)送到維度擴(kuò)展模塊中���;獲取維度擴(kuò)展模塊發(fā)送的處置規(guī)則,并補(bǔ)充到預(yù)設(shè)處置規(guī)則中�;
所述維度擴(kuò)展模塊根據(jù)維度關(guān)聯(lián)規(guī)則,對收到的維度處置擴(kuò)展信息進(jìn)行投影關(guān)聯(lián)�,產(chǎn)生其他維度可用的處置規(guī)則,并發(fā)送到對應(yīng)維度的處置模塊中����。
[0032]所述的系統(tǒng)中,所述維度關(guān)聯(lián)規(guī)則將維度檢測擴(kuò)展信息��,和/或維度防御擴(kuò)展信息���,和/或維度處置擴(kuò)展信息與各維度檢測點(diǎn)環(huán)境所需要的信息關(guān)聯(lián),并根據(jù)統(tǒng)計(jì)數(shù)據(jù)或數(shù)學(xué)模型預(yù)設(shè)到維度擴(kuò)展模塊中���。
[0033]為使更本領(lǐng)域技術(shù)人員更清楚了解本
【發(fā)明內(nèi)容】
�,給出一個(gè)具體實(shí)施例�,如圖2所示:
本實(shí)施例中僅包含兩個(gè)檢測模塊,即檢測模塊A201����,及檢測模塊B202���,以及維度擴(kuò)展模塊203 ;其中檢測模塊A部署于維度A環(huán)境中,檢測模塊B部署于維度B環(huán)境中�。
[0034]檢測模塊A根據(jù)預(yù)設(shè)的檢測規(guī)則A檢測待檢測對象,產(chǎn)生檢測結(jié)果A ����;
對檢測結(jié)果A及待檢測對象進(jìn)行記錄,并根據(jù)篩選規(guī)則將維度擴(kuò)展模塊可用信息(即維度檢測擴(kuò)展信息)�����,篩選出并發(fā)送到維度擴(kuò)展模塊��;
維度擴(kuò)展模塊根據(jù)維度關(guān)聯(lián)規(guī)則�,從維度檢測擴(kuò)展信息中關(guān)聯(lián)映射出檢測模塊B可用的檢測規(guī)則,并將檢測規(guī)則發(fā)送到檢測模塊B ;
檢測模塊B接收檢測規(guī)則��,并補(bǔ)充到自身的預(yù)設(shè)檢測規(guī)則中�;
檢測模塊B利用補(bǔ)充后的預(yù)設(shè)檢測規(guī)則,再次檢測當(dāng)前維度B中的待檢測對象�����。
[0035]同時(shí)在檢測模塊B檢測完成后,仍然可以進(jìn)行篩選��,并通過維度擴(kuò)展模塊將檢測規(guī)則擴(kuò)展給檢測模塊A�。
[0036]本發(fā)明系統(tǒng)中的檢測模塊及維度擴(kuò)展模塊,可以通過不斷的檢測����,擴(kuò)展,達(dá)到隨時(shí)對各維度檢測模塊的擴(kuò)展���。
[0037]以下提供一種在實(shí)際應(yīng)用中的實(shí)施例����,如圖3所示���,包括網(wǎng)絡(luò)維度的UTM檢測模塊301���、終端維度的PC檢測模塊302及維度擴(kuò)展模塊303。
[0038]文件A通過網(wǎng)絡(luò)下載至PC檢測模塊所在PC機(jī)���,UTM檢測模塊中不存在對文件A的檢測規(guī)則,因此僅對文件A事件進(jìn)行記錄,并將文件A出現(xiàn)在網(wǎng)絡(luò)維度的信息提供給維度擴(kuò)展豐吳塊����;
PC檢測模塊中具有對完整文件較強(qiáng)的檢測能力,檢測到文件A為某APT組成部分��;
PC檢測模塊經(jīng)篩選將文件A�、檢測結(jié)果及文件A來源網(wǎng)址提交給維度擴(kuò)展模塊進(jìn)行維度擴(kuò)展;
維度擴(kuò)展模塊根據(jù)維度關(guān)聯(lián)規(guī)則����,對文件A進(jìn)行模擬執(zhí)行,將新發(fā)現(xiàn)的網(wǎng)址�����、文件A來源網(wǎng)址�、文件散列值等,作為網(wǎng)絡(luò)維度UTM檢測規(guī)則推送給UTM檢測模塊;
UTM檢測模塊收到新增檢測規(guī)則后����,對檢測歷史進(jìn)行復(fù)查,從而發(fā)現(xiàn)文件A為某APT組成部分����,在后續(xù)檢測過程中提示用戶��。
[0039]本發(fā)明的另一實(shí)施例如圖4所示����,包括PC檢測模塊401�����、移動(dòng)終端檢測模塊402及維度擴(kuò)展模塊403�����。
[0040]PC檢測模塊以MD5為檢測規(guī)則�,對exe文件進(jìn)行檢測,并記錄文件釋放的文件MD5����,如果釋放的文件為APK文件,則將該APK文件的信息提供給維度擴(kuò)展模塊���; 維度擴(kuò)展模塊將APK文件提供給移動(dòng)終端檢測模塊�;
移動(dòng)終端檢測模塊對APK文件進(jìn)行檢測�,如果APK文件為惡意文件,則將該APK文件的MD5值提供給維度擴(kuò)展模塊��;
維度擴(kuò)展模塊根據(jù)維度關(guān)聯(lián)規(guī)則,將MD5值關(guān)聯(lián)并推送到PC檢測模塊����;
PC檢測模塊補(bǔ)充預(yù)設(shè)檢測規(guī)則��,進(jìn)而對該APK文件具有檢測能力�����。
[0041]本發(fā)明還提供一種多維度檢測防御APT的方法���,如圖5所示�,適用于上述系統(tǒng)中����,包括:
5501:檢測模塊根據(jù)預(yù)設(shè)檢測規(guī)則,檢測當(dāng)前維度中的待檢測對象��;
5502:記錄待檢測對象的行為及檢測結(jié)果�����;
5503:預(yù)設(shè)篩選規(guī)則����,篩選出維度檢測擴(kuò)展信息��,并發(fā)送到維度擴(kuò)展模塊中�����;
5504:獲取檢測模塊發(fā)送來的維度檢測擴(kuò)展信息�;
5505:根據(jù)預(yù)設(shè)維度關(guān)聯(lián)規(guī)則對所述維度檢測擴(kuò)展信息進(jìn)行投影關(guān)聯(lián)��,產(chǎn)生其他維度可用的檢測規(guī)則及篩選規(guī)則�����,并發(fā)送到對應(yīng)維度的檢測模塊中�;
所述檢測模塊還獲取維度擴(kuò)展模塊發(fā)送來的檢測規(guī)則及篩選規(guī)則,補(bǔ)充到預(yù)設(shè)檢測規(guī)則和預(yù)設(shè)篩選規(guī)則中���;
所述維度由至少兩個(gè)不同檢測點(diǎn)環(huán)境組成�,每個(gè)檢測點(diǎn)環(huán)境為一個(gè)維度�����。
[0042]所述的方法�,其特征在于���,如果所述預(yù)設(shè)檢測規(guī)則中不存在待檢測對象的檢測規(guī)貝U,則記錄所述待檢測對象的信息�,并發(fā)送到維度擴(kuò)展模塊;
維度擴(kuò)展模塊根據(jù)待檢測對象的信息���,將所述待檢測對象發(fā)送到相應(yīng)維度的檢測模塊中。
[0043]所述的方法中�,在所述檢測模塊收到維度擴(kuò)展模塊發(fā)送來的檢測規(guī)則及篩選規(guī)貝U,補(bǔ)充到預(yù)設(shè)檢測規(guī)則和預(yù)設(shè)篩選規(guī)則中后��,對當(dāng)前檢測模塊中的所有待檢測對象進(jìn)行二次檢測�����。
[0044]所述的方法中���,還包括:防御模塊根據(jù)檢測結(jié)果及預(yù)設(shè)防御規(guī)則�,對待檢測對象攔截����、阻斷或告警,并根據(jù)預(yù)設(shè)篩選規(guī)則����,篩選出維度防御擴(kuò)展信息��,并發(fā)送到維度擴(kuò)展模塊中�����;及獲取維度擴(kuò)展模塊發(fā)送的防御規(guī)則����,并補(bǔ)充到預(yù)設(shè)防御規(guī)則中���;
所述維度擴(kuò)展模塊根據(jù)維度關(guān)聯(lián)規(guī)則��,對收到的維度防御擴(kuò)展信息進(jìn)行投影關(guān)聯(lián)���,產(chǎn)生其他維度可用的防御規(guī)則,并發(fā)送到對應(yīng)維度的防御模塊中�。
[0045]所述的方法中,包括:處置模塊根據(jù)檢測結(jié)果及預(yù)設(shè)處置規(guī)則����,對待檢測對象進(jìn)行處置,并將維度處置擴(kuò)展信息發(fā)送到維度擴(kuò)展模塊中;及獲取維度擴(kuò)展模塊發(fā)送的處置規(guī)貝U����,并補(bǔ)充到預(yù)設(shè)處置規(guī)則中;
所述維度擴(kuò)展模塊根據(jù)維度關(guān)聯(lián)規(guī)則��,對收到的維度處置擴(kuò)展信息進(jìn)行投影關(guān)聯(lián)�,產(chǎn)生其他維度可用的處置規(guī)則,并發(fā)送到對應(yīng)維度的處置模塊中�����。
[0046]所述的方法中�,所述維度關(guān)聯(lián)規(guī)則將維度檢測擴(kuò)展信息����,和/或維度防御擴(kuò)展信息,和/或維度處置擴(kuò)展信息與各維度檢測點(diǎn)環(huán)境所需要的信息關(guān)聯(lián)����,并根據(jù)統(tǒng)計(jì)數(shù)據(jù)或數(shù)學(xué)模型預(yù)設(shè)到維度擴(kuò)展模塊中。
[0047]本發(fā)明的系統(tǒng)及方法��,能夠通過至少兩個(gè)檢測模塊及維度擴(kuò)展模塊�,對待檢測對象進(jìn)行檢測,當(dāng)一個(gè)檢測模塊檢測完成后�,將篩選出可擴(kuò)展的信息交給維度擴(kuò)展模塊�����,維度擴(kuò)展模塊將收到的信息及待檢測對象�����,通過維度關(guān)聯(lián)規(guī)則����,將上述信息映射擴(kuò)展到其他檢測模塊��,生成其可用的信息�。本發(fā)明還可以增加防御模塊及處置模塊,并且也能夠與維度擴(kuò)展模塊進(jìn)行關(guān)聯(lián)擴(kuò)展���。通過本發(fā)明的系統(tǒng)及方法�,實(shí)現(xiàn)了在一個(gè)維度上的檢測結(jié)果可以轉(zhuǎn)化成其他維度上可使用的規(guī)則��,實(shí)現(xiàn)了自學(xué)習(xí)自更新的能力��。因此本發(fā)明也不依賴于通過安全廠商提供的檢測規(guī)則����,才能夠獲得新的檢測能力��。即本發(fā)明系統(tǒng)檢測能力不依賴外部對檢測規(guī)則進(jìn)行更新��,就能夠獲得其他維度的檢測能力��,從而實(shí)現(xiàn)對APT和高級安全威脅的防御檢測����。
[0048]本說明書中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述��,各個(gè)實(shí)施例之間相同相似的部分互相參見即可����,每個(gè)實(shí)施例重點(diǎn)說明的都是與其他實(shí)施例的不同之處��。雖然通過實(shí)施例描繪了本發(fā)明�����,本領(lǐng)域普通技術(shù)人員知道�����,本發(fā)明有許多變形和變化而不脫離本發(fā)明的精神,希望所附的權(quán)利要求包括這些變形和變化而不脫離本發(fā)明的精神��。
【權(quán)利要求】
1.一種檢測防御APT和高級安全威脅的系統(tǒng)�����,其特征在于��,包括:至少兩個(gè)檢測模塊�,和維度擴(kuò)展模塊; 所述檢測模塊分別部署于各維度中�����,根據(jù)所處維度檢測點(diǎn)環(huán)境�,預(yù)設(shè)檢測規(guī)則,用于檢測當(dāng)前維度中的待檢測對象���,記錄待檢測對象的行為及檢測結(jié)果��,根據(jù)預(yù)設(shè)篩選規(guī)則�,篩選出維度檢測擴(kuò)展信息��,并發(fā)送到維度擴(kuò)展模塊中�;獲取維度擴(kuò)展模塊發(fā)送來的檢測規(guī)則及篩選規(guī)則����,補(bǔ)充到預(yù)設(shè)檢測規(guī)則和預(yù)設(shè)篩選規(guī)則中���; 維度擴(kuò)展模塊�,用于獲取各檢測模塊發(fā)送來的維度檢測擴(kuò)展信息�����,根據(jù)預(yù)設(shè)維度關(guān)聯(lián)規(guī)則對所述維度檢測擴(kuò)展信息進(jìn)行投影關(guān)聯(lián)�����,產(chǎn)生其他維度可用的檢測規(guī)則及篩選規(guī)則����,并發(fā)送到對應(yīng)維度的檢測模塊中; 所述維度由至少兩個(gè)不同檢測點(diǎn)環(huán)境組成�����,每個(gè)檢測點(diǎn)環(huán)境為一個(gè)維度�。
2.如權(quán)利要求1所述的系統(tǒng)����,其特征在于�����,如果所述檢測模塊的預(yù)設(shè)檢測規(guī)則中不存在待檢測對象的檢測規(guī)則����,則記錄所述待檢測對象的信息�,并發(fā)送到維度擴(kuò)展模塊; 維度擴(kuò)展模塊根據(jù)待檢測對象的信息�����,將所述待檢測對象發(fā)送到相應(yīng)維度的檢測模塊中�����。
3.如權(quán)利要求1所述的系統(tǒng)��,其特征在于����,在所述檢測模塊收到維度擴(kuò)展模塊發(fā)送來的檢測規(guī)則及篩選規(guī)則,補(bǔ)充到預(yù)設(shè)檢測規(guī)則和預(yù)設(shè)篩選規(guī)則中后���,對當(dāng)前檢測模塊中的所有待檢測對象進(jìn)行二次檢測��。
4.如權(quán)利要求1所述的系統(tǒng)���,其特征在于���,包括:至少兩個(gè)防御模塊,所述防御模塊分別部署于各維度中����,用于根據(jù)所處維度對應(yīng)檢測模塊的檢測結(jié)果及預(yù)設(shè)防御規(guī)則,對待檢測對象攔截����、阻斷或告警,并根據(jù)預(yù)設(shè)篩選規(guī)則��,篩選出維度防御擴(kuò)展信息��,并發(fā)送到維度擴(kuò)展模塊中�����;獲取維度擴(kuò)展模塊發(fā)送的防御規(guī)則��,并補(bǔ)充到預(yù)設(shè)防御規(guī)則中����; 所述維度擴(kuò)展模塊根據(jù)維度關(guān)聯(lián)規(guī)則,對收到的維度防御擴(kuò)展信息進(jìn)行投影關(guān)聯(lián)�����,產(chǎn)生其他維度可用的防御規(guī)則���,并發(fā)送到對應(yīng)維度的防御模塊中���。
5.如權(quán)利要求1所述的系統(tǒng),其特征在于�,包括:至少兩個(gè)處置模塊,所述處置模塊分別部署于各維度中����,用于根據(jù)所處維度對應(yīng)檢測模塊的檢測結(jié)果及預(yù)設(shè)處置規(guī)則,對待檢測對象進(jìn)行處置��,并將維度處置擴(kuò)展信息發(fā)送到維度擴(kuò)展模塊中��;獲取維度擴(kuò)展模塊發(fā)送的處置規(guī)則���,并補(bǔ)充到預(yù)設(shè)處置規(guī)則中��; 所述維度擴(kuò)展模塊根據(jù)維度關(guān)聯(lián)規(guī)則�����,對收到的維度處置擴(kuò)展信息進(jìn)行投影關(guān)聯(lián)�,產(chǎn)生其他維度可用的處置規(guī)則,并發(fā)送到對應(yīng)維度的處置模塊中��。
6.如權(quán)利要求1至5所述的系統(tǒng)�,其特征在于,所述維度關(guān)聯(lián)規(guī)則將維度檢測擴(kuò)展信息����,和/或維度防御擴(kuò)展信息,和/或維度處置擴(kuò)展信息與各維度檢測點(diǎn)環(huán)境所需要的信息關(guān)聯(lián)���,并根據(jù)統(tǒng)計(jì)數(shù)據(jù)或數(shù)學(xué)模型預(yù)設(shè)到維度擴(kuò)展模塊中��。
7.—種檢測防御APT和高級安全威脅的方法���,適用于權(quán)利要求1所述系統(tǒng),其特征在于,包括: 檢測模塊根據(jù)預(yù)設(shè)檢測規(guī)則��,檢測當(dāng)前維度中的待檢測對象�; 記錄待檢測對象的行為及檢測結(jié)果��; 根據(jù)預(yù)設(shè)篩選規(guī)則�,篩選出維度檢測擴(kuò)展信息,并發(fā)送到維度擴(kuò)展模塊中�����; 獲取檢測模塊發(fā)送來的維度檢測擴(kuò)展信息�����; 根據(jù)預(yù)設(shè)維度關(guān)聯(lián)規(guī)則對所述維度檢測擴(kuò)展信息進(jìn)行投影關(guān)聯(lián)�����,產(chǎn)生其他維度可用的檢測規(guī)則及篩選規(guī)則��,并發(fā)送到對應(yīng)維度的檢測模塊中����; 所述檢測模塊還獲取維度擴(kuò)展模塊發(fā)送來的檢測規(guī)則及篩選規(guī)則,補(bǔ)充到預(yù)設(shè)檢測規(guī)則和預(yù)設(shè)篩選規(guī)則中; 所述維度由至少兩個(gè)不同檢測點(diǎn)環(huán)境組成�����,每個(gè)檢測點(diǎn)環(huán)境為一個(gè)維度����。
8.如權(quán)利要求7所述的方法,其特征在于�����,如果所述預(yù)設(shè)檢測規(guī)則中不存在待檢測對象的檢測規(guī)則�����,則記錄所述待檢測對象的信息���,并發(fā)送到維度擴(kuò)展模塊��; 維度擴(kuò)展模塊根據(jù)待檢測對象的信息����,將所述待檢測對象發(fā)送到相應(yīng)維度的檢測模塊中�����。
9.如權(quán)利要求7所述的方法,其特征在于��,在所述檢測模塊收到維度擴(kuò)展模塊發(fā)送來的檢測規(guī)則及篩選規(guī)則��,補(bǔ)充到預(yù)設(shè)檢測規(guī)則和預(yù)設(shè)篩選規(guī)則中后���,對當(dāng)前檢測模塊中的所有待檢測對象進(jìn)行二次檢測。
10.如權(quán)利要求7所述的方法��,其特征在于�,還包括包括:防御模塊根據(jù)檢測結(jié)果及預(yù)設(shè)防御規(guī)則,對待檢測對象攔截����、阻斷或告警,并根據(jù)預(yù)設(shè)篩選規(guī)則�����,篩選出維度防御擴(kuò)展信息���,并發(fā)送到維度擴(kuò)展模塊中�;及獲取維度擴(kuò)展模塊發(fā)送的防御規(guī)則,并補(bǔ)充到預(yù)設(shè)防御規(guī)則中��; 所述維度擴(kuò)展模塊根據(jù)維度關(guān)聯(lián)規(guī)則��,對收到的維度防御擴(kuò)展信息進(jìn)行投影關(guān)聯(lián)�,產(chǎn)生其他維度可用的防御規(guī)則,并發(fā)送到對應(yīng)維度的防御模塊中�����。
11.如權(quán)利要求7所述的方法�����,其特征在于�,包括:處置模塊根據(jù)檢測結(jié)果及預(yù)設(shè)處置規(guī)則,對待檢測對象進(jìn)行處置�,并將維度處置擴(kuò)展信息發(fā)送到維度擴(kuò)展模塊中;及獲取維度擴(kuò)展模塊發(fā)送的處置規(guī)則���,并補(bǔ)充到預(yù)設(shè)處置規(guī)則中�; 所述維度擴(kuò)展模塊根據(jù)維度關(guān)聯(lián)規(guī)則�,對收到的維度處置擴(kuò)展信息進(jìn)行投影關(guān)聯(lián),產(chǎn)生其他維度可用的處置規(guī)則�����,并發(fā)送到對應(yīng)維度的處置模塊中。
12.如權(quán)利要求7至11所述的方法���,其特征在于�,所述維度關(guān)聯(lián)規(guī)則將維度檢測擴(kuò)展信息��,和/或維度防御擴(kuò)展信息��,和/或維度處置擴(kuò)展信息與各維度檢測點(diǎn)環(huán)境所需要的信息關(guān)聯(lián)����,并根據(jù)統(tǒng)計(jì)數(shù)據(jù)或數(shù)學(xué)模型預(yù)設(shè)到維度擴(kuò)展模塊中����。
【文檔編號】H04L29/06GK103905418SQ201310559032
【公開日】2014年7月2日 申請日期:2013年11月12日 優(yōu)先權(quán)日:2013年11月12日
【發(fā)明者】方華, 關(guān)墨辰 申請人:北京安天電子設(shè)備有限公司