技術(shù)領(lǐng)域

本發(fā)明涉及一種高級可持續(xù)威脅的檢測方法及其系統(tǒng)，屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域。

背景技術(shù)：

如今，政府和企業(yè)同時面臨著一個不斷演變的網(wǎng)絡(luò)威脅環(huán)境。最初的黑客攻擊是為了獲得影響力及自我滿足去攻擊媒體網(wǎng)站，或者使用DoS方式來中斷網(wǎng)站的服務(wù)；而現(xiàn)在已演變成為了經(jīng)濟(jì)、政治等目的的攻擊。攻擊者能夠通過竊取知識產(chǎn)權(quán)來直接獲取利益，也可以入侵、竊取客戶的個人金融信息，更有甚者破壞對方的服務(wù)以至國家的基礎(chǔ)設(shè)施。動機(jī)的變化，同時也帶來了攻擊方式的變化。

從過去廣泛、漫無目的的攻擊威脅，在數(shù)年內(nèi)迅速的轉(zhuǎn)化為針對受害者組織將造成嚴(yán)重后果的高級可持續(xù)威脅（Advanced Persistent Threat）。高級可持續(xù)威脅（APT）是由美國空軍的信息安全分析師與2006年創(chuàng)造的術(shù)語，一般來說，高級可持續(xù)威脅具備以下三個特點(diǎn)：

高級：攻擊者為黑客入侵技術(shù)方面的專家，能夠自主的開發(fā)攻擊工具，或者挖掘漏洞，并通過結(jié)合多種攻擊方法和工具，以達(dá)到預(yù)定攻擊目標(biāo)。

持續(xù)性滲透：攻擊者會針對確定的攻擊目標(biāo)，進(jìn)行長期的滲透。在不被發(fā)現(xiàn)的情況下，持續(xù)攻擊以獲得最大的效果。

威脅：這是一個由組織者進(jìn)行協(xié)調(diào)和指揮的人為攻擊。入侵團(tuán)隊(duì)會有一個具體的目標(biāo)，這個團(tuán)隊(duì)訓(xùn)練有素、有組織性、有充足的資金，同時有充分的政治或經(jīng)濟(jì)動機(jī)。

此類APT威脅往往可以繞過防火墻、IPS、AV以及網(wǎng)閘等傳統(tǒng)的安全機(jī)制，悄無聲息的從企業(yè)或政府機(jī)構(gòu)獲取高級機(jī)密資料。在2012年Verizon信息外泄調(diào)查報告中可以看到，2011年發(fā)生的重大信息數(shù)據(jù)外泄的受訪組織中，有59%是在相關(guān)執(zhí)法機(jī)構(gòu)告知后才知道信息外泄的情況。

現(xiàn)今主流的安全防御機(jī)制，往往由防火墻或NGFW、入侵檢測、網(wǎng)閘及防毒軟件建構(gòu)其核心檢測能力，這些產(chǎn)品依靠已知攻擊特征碼進(jìn)行模式匹配來檢測已知的網(wǎng)絡(luò)攻擊，在一些特定情況下，也可能檢測針對已知漏洞的新的未知攻擊。

這樣的解決方案，能非常有效的監(jiān)測到一般的已知網(wǎng)絡(luò)攻擊，如：蠕蟲、特洛伊木馬、間諜軟件、botnet及基本的電腦病毒等，但針對現(xiàn)今最威脅的高級可持續(xù)威脅，卻完全沒有招架之力。在大多數(shù)情況下，APT攻擊面對傳統(tǒng)的安全防御機(jī)制時，有如入無人之境，因?yàn)檫@些攻擊沒有特征碼，故傳統(tǒng)的防御機(jī)制無法檢測攻擊者在起始階段所采取的攻擊手段，最終導(dǎo)致網(wǎng)絡(luò)攻擊者可以任意的控制網(wǎng)絡(luò)。

一些防護(hù)更深入的傳統(tǒng)方案，會結(jié)合IPS或者NBA產(chǎn)品進(jìn)行異常檢測，協(xié)助找到網(wǎng)絡(luò)攻擊，這種方式雖然可以偵測到新型的APT威脅，但是由于經(jīng)常受到誤報的影響（將正常流量歸為異常），因此防御效果不佳，并且也容易出現(xiàn)漏報的問題。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的在于，提供一種高級可持續(xù)威脅的檢測方法。本發(fā)明可以對高級可持續(xù)威脅進(jìn)行有效地檢測，而且防御效果好、誤報率低。

本發(fā)明的技術(shù)方案：一種高級可持續(xù)威脅的檢測方法，其特點(diǎn)是，包括以下步驟：

①在互聯(lián)網(wǎng)接入口，鏡像出進(jìn)出網(wǎng)絡(luò)的流量；

②對鏡像出的流量進(jìn)行文件承載協(xié)議的解析，并對文件進(jìn)行解碼還原；

③對解碼還原后的文件進(jìn)行shellcode的靜態(tài)檢測，以及病毒檢測，初步檢測惡意軟件；

④在沙箱中虛擬執(zhí)行解碼還原后的文件中的可執(zhí)行代碼，并跟蹤分析所執(zhí)行的指令特征以及行為特征，進(jìn)而發(fā)現(xiàn)存在安全威脅的文件；

⑤結(jié)合步驟③和④的檢測結(jié)果，形成系統(tǒng)日志及相應(yīng)的告警信息后輸出給安全管理員。

上述的高級可持續(xù)威脅的檢測方法中，所述步驟③中跟蹤的指令特征包括了堆、棧中的代碼執(zhí)行情況，通過指令運(yùn)行中的內(nèi)存空間的異常變化，可以發(fā)現(xiàn)各種溢出攻擊等漏洞利用行為，發(fā)現(xiàn)0day漏洞；所跟蹤行為特征，包括進(jìn)程的創(chuàng)建中止、進(jìn)程注入、服務(wù)、驅(qū)動、注冊表訪問及改寫、文件訪問改寫及下載、程序端口監(jiān)聽和網(wǎng)絡(luò)訪問行為，從而可綜合分析找到屬于攻擊威脅的行為特征，進(jìn)而發(fā)現(xiàn)惡意軟件。

前述的高級可持續(xù)威脅的檢測方法中，在步驟③中檢測發(fā)現(xiàn)惡意軟件后，持續(xù)觀察其進(jìn)一步的行為，包括網(wǎng)絡(luò)、文件、進(jìn)程和注冊表，并將這些行為作為報警內(nèi)容的一部分輸出給安全管理員，方便追查和審計(jì)；而其中惡意軟件連接命令與控制服務(wù)器的網(wǎng)絡(luò)特征也可以進(jìn)一步被用來發(fā)現(xiàn)、跟蹤botnet網(wǎng)絡(luò)（僵尸網(wǎng)絡(luò)）。

前述的高級可持續(xù)威脅的檢測方法中，步驟④中同時運(yùn)行多個沙箱，同時利用并行沙箱加快執(zhí)行檢測任務(wù)，以達(dá)到一個可擴(kuò)展的平臺來處理高速網(wǎng)絡(luò)流量，及時有效的進(jìn)行威脅監(jiān)測。

前述的高級可持續(xù)威脅的檢測方法中，所述步驟①通過SPAN部署方式或TAP部署方式實(shí)現(xiàn)。

實(shí)現(xiàn)前述方法的高級可持續(xù)威脅的檢測系統(tǒng)：包括主處理器，主處理器上連接有帶以太網(wǎng)接口的數(shù)據(jù)采集模塊，主處理器還通過D/A轉(zhuǎn)換模塊與帶解除電路的警示電路相連，警示電路通過供電電路與電源相連；所述警示電路包括集電極連接至供電電路的電壓輸出端的第一三極管，第一三極管的發(fā)射極依次串聯(lián)第一電阻、第一非門和第二非門，第二非門的輸出端連接至非穩(wěn)態(tài)多諧振蕩器電路的電源端，非穩(wěn)態(tài)多諧振蕩器電路包含兩組放大電路，每組放大電路上分別設(shè)置發(fā)光顏色不同的第一發(fā)光二極管和第二發(fā)光二極管；所述第一發(fā)光二極管的正向端與第二三極管的基極相連，反向端與第二三極管的發(fā)射極相連；所述第二發(fā)光二極管的正向端與第三三極管的基極相連，反向端與第三三極管的發(fā)射極相連；所述主處理器通過驅(qū)動電路與電源相連，主處理器上還連接有外部擴(kuò)展存儲器；所述第一三極管、第二三極管和第三三極管的集電極與D/A轉(zhuǎn)換模塊相連。

前述的高級可持續(xù)威脅的檢測系統(tǒng)中，所述供電電路的輸出端還依次串聯(lián)蜂鳴器、第八電阻和第六三極管，其中第六三極管的基集連接第八電阻，發(fā)射極接地，集電極連接至第二非門的輸出端。

前述的高級可持續(xù)威脅的檢測系統(tǒng)中，所述第一非門和第二非門的串聯(lián)支路上并聯(lián)有第二電阻，第一電阻連接第二電阻的一端與第一電容的其中一端相連，第一電容的另一端接地。

前述的高級可持續(xù)威脅的檢測系統(tǒng)中，所述解除電路包括并聯(lián)在第一電容上的按鈕，按鈕上串聯(lián)有第三電阻。

前述的高級可持續(xù)威脅的檢測系統(tǒng)中，所述非穩(wěn)態(tài)多諧振蕩器電路包括正向端均與第二非門輸出端相連的第一發(fā)光二極管和第二發(fā)光二極管；第一發(fā)光二極管的反向端通過第四電阻連接至第四三極管的基極，第四三極管的發(fā)射極接地；所述第二發(fā)光二極管的反向端通過第七電阻連接至第五三極管的基極，第五三極管的發(fā)射極接地；所述第一發(fā)光二極管的正向端通過第五電阻與第五三極管的集電極相連，第二發(fā)光二極管的正向端通過第六電阻與第四三極管的集電極相連；所述第四三極管的集電極和第五三極管的基極之間設(shè)有第三電容，第五三極管的集電極和第四三極管的基極之間設(shè)有第二電容。

文中SPAN即Switched Port Analyzer是交換機(jī)端口分析，用來監(jiān)控以太端口數(shù)據(jù)流的一種管理方式?？梢酝ㄟ^使用SPAN將一個監(jiān)控端口（源端口）上的幀拷貝到交換機(jī)上的另一個連接有網(wǎng)絡(luò)分析設(shè)備的目的端口上來分析源端口上的通訊，以進(jìn)行網(wǎng)絡(luò)監(jiān)控和故障排除。SPAN并不影響交換機(jī)的正常報文交換，只是所有進(jìn)入源端口和從源端口輸出的幀原樣拷貝了一份到目的端口。目的端口帶寬應(yīng)大于等于監(jiān)控端口帶寬，否則可能無法成功對監(jiān)控端口進(jìn)行監(jiān)控。TAP:網(wǎng)絡(luò)分路器，其作用：串接或并接在網(wǎng)絡(luò)中，采集網(wǎng)絡(luò)流量數(shù)據(jù)，可復(fù)制到多個端口、匯聚到個別端口。

與現(xiàn)有技術(shù)相比，本發(fā)明通過將多種靜態(tài)和動態(tài)的檢測方式進(jìn)行結(jié)合，可以在不依賴傳統(tǒng)簽名技術(shù)的同時，能夠有效檢測通過網(wǎng)頁、電子郵件或其他的在線文件共享方式進(jìn)入網(wǎng)絡(luò)的已知和未知的惡意軟件，發(fā)現(xiàn)利用0day漏洞的APT攻擊行為，保護(hù)客戶網(wǎng)絡(luò)免遭0day等攻擊造成的各種風(fēng)險，如敏感信息泄露、基礎(chǔ)設(shè)施破壞等，而且具有誤報率低的優(yōu)點(diǎn)。這對于保障業(yè)務(wù)系統(tǒng)的運(yùn)行連續(xù)性和完整性有著極為重要的意義。另外，本發(fā)明的系統(tǒng)可以檢測危害網(wǎng)絡(luò)安全的高級可持續(xù)威脅，在檢測到不同類型的威脅時，能夠以兩種燈交替閃速、單燈閃爍及蜂鳴器鳴叫等多種方式產(chǎn)生警示信息，能夠快速直觀地提醒工作人員及時針對不同類型威脅作出相應(yīng)處理。

附圖說明

圖1是本發(fā)明的檢測系統(tǒng)的系統(tǒng)框架示意圖；

圖2是本發(fā)明的檢測系統(tǒng)的結(jié)構(gòu)示意圖；

圖3是本發(fā)明的警示電路的結(jié)構(gòu)示意圖。

具體實(shí)施方式

下面結(jié)合實(shí)施例對本發(fā)明作進(jìn)一步的說明，但并不作為對本發(fā)明限制的依據(jù)。

實(shí)施例。一種高級可持續(xù)威脅的檢測方法，包括：一種高級可持續(xù)威脅的檢測方法，包括以下步驟：

①在互聯(lián)網(wǎng)接入口，鏡像出進(jìn)出網(wǎng)絡(luò)的流量；

②對鏡像出的流量進(jìn)行文件承載協(xié)議的解析，并對文件進(jìn)行解碼還原；

③對解碼還原后的文件進(jìn)行shellcode的靜態(tài)檢測，以及病毒檢測，初步檢測惡意軟件；

④在沙箱中虛擬執(zhí)行解碼還原后的文件中的可執(zhí)行代碼，并跟蹤分析所執(zhí)行的指令特征以及行為特征，進(jìn)而發(fā)現(xiàn)存在安全威脅的文件；

⑤結(jié)合步驟③和④的檢測結(jié)果，形成系統(tǒng)日志及相應(yīng)的告警信息后輸出給安全管理員。

所述步驟③中跟蹤的指令特征包括了堆、棧中的代碼執(zhí)行情況，通過指令運(yùn)行中的內(nèi)存空間的異常變化，可以發(fā)現(xiàn)各種溢出攻擊等漏洞利用行為，發(fā)現(xiàn)0day漏洞；所跟蹤行為特征，包括進(jìn)程的創(chuàng)建中止、進(jìn)程注入、服務(wù)、驅(qū)動、注冊表訪問及改寫、文件訪問改寫及下載、程序端口監(jiān)聽和網(wǎng)絡(luò)訪問行為，從而可綜合分析找到屬于攻擊威脅的行為特征，進(jìn)而發(fā)現(xiàn)惡意軟件。

在步驟③中檢測發(fā)現(xiàn)惡意軟件后，持續(xù)觀察其進(jìn)一步的行為，包括網(wǎng)絡(luò)、文件、進(jìn)程和注冊表，并將這些行為作為報警內(nèi)容的一部分輸出給安全管理員，方便追查和審計(jì)；而其中惡意軟件連接命令與控制服務(wù)器的網(wǎng)絡(luò)特征也可以進(jìn)一步被用來發(fā)現(xiàn)、跟蹤botnet網(wǎng)絡(luò)（僵尸網(wǎng)絡(luò)）。

步驟④中同時運(yùn)行多個沙箱，同時利用并行沙箱加快執(zhí)行檢測任務(wù)，以達(dá)到一個可擴(kuò)展的平臺來處理高速網(wǎng)絡(luò)流量，及時有效的進(jìn)行威脅監(jiān)測。

所述步驟①通過SPAN部署方式或TAP部署方式實(shí)現(xiàn)。

一種高級可持續(xù)威脅的檢測系統(tǒng)，它是實(shí)現(xiàn)權(quán)利要求1至5任一權(quán)利要求所述方法的檢測系統(tǒng)，其系統(tǒng)框架如圖1所示。

它所具備的主要功能包括：

1、多種應(yīng)用層及文件層解碼

從高級可持續(xù)威脅的攻擊路徑上分析，絕大多數(shù)的攻擊來自與Web沖浪，釣魚郵件以及文件共享，基于此監(jiān)測系統(tǒng)提供以上相關(guān)的應(yīng)用協(xié)議的解碼還原能力，具體包括：HTTP、SMTP、POP3、IMAP、FTP。為了更精確的檢測威脅，監(jiān)控系統(tǒng)考慮到高級可持續(xù)威脅的攻擊特點(diǎn)，對關(guān)鍵文件類型進(jìn)行完整的文件還原解析，系統(tǒng)支持了以下的文件解碼：

Office類：Word、Excel、PowerPoint等

Adobe類：.swf、.pdf等

不同的壓縮格式：.zip、.rar、.gz、.tar、.7z，.bz等

2、智能ShellCode檢測

惡意攻擊軟件中具體的攻擊功能實(shí)現(xiàn)是一段攻擊者精心構(gòu)造的可執(zhí)行代碼，即ShellCode。一般是開啟Shell、下載并執(zhí)行攻擊程序、添加系統(tǒng)賬戶等。由于通常攻擊程序中一定會包含ShellCode，所以可以檢測是否存在ShellCode作為監(jiān)測惡意軟件的依據(jù)。這種檢測技術(shù)不依賴與特定的攻擊樣本或者漏洞利用方式，可以有效的檢測已知、未知威脅。需要注意的是由于傳統(tǒng)的ShellCode檢測已經(jīng)被業(yè)界一些廠商使用，因此攻擊者在構(gòu)造ShellCode時，往往會使用一些變形技術(shù)來規(guī)避。主要手段就是對相應(yīng)的功能字段進(jìn)行編碼，達(dá)到攻擊客戶端時，解碼字段首先運(yùn)行，對編碼后的功能字段進(jìn)行解碼，然后跳到解碼后的功能字段執(zhí)行。這樣的情況下，簡單的匹配相關(guān)的攻擊功能字段就無法發(fā)現(xiàn)相關(guān)威脅了。

系統(tǒng)在傳統(tǒng)ShellCode檢測基礎(chǔ)上，增加了文件解碼功能，通過對不同文件格式的解碼，還原出攻擊功能字段，從而在新的情勢下，依然可以檢測出已知、未知威脅。在系統(tǒng)中，此方式作為沙箱檢測的有益補(bǔ)充，使系統(tǒng)具備更強(qiáng)的檢測能力，提升攻擊檢測率。

③動態(tài)沙箱檢測（虛擬執(zhí)行檢測）

動態(tài)沙箱檢測，也稱虛擬執(zhí)行檢測，它通過虛擬機(jī)技術(shù)建立多個不同的應(yīng)用環(huán)境，觀察程序在其中的行為，來判斷是否存在攻擊。這種方式可以檢測已知和未知威脅，并且因?yàn)榉治龅氖钦鎸?shí)應(yīng)用環(huán)境下的真實(shí)行為，因此可以做到極低的誤報率，而較高的檢測率。

另外，還可通過專門設(shè)計(jì)的虛擬機(jī)管理程序來執(zhí)行威脅分析的檢測策略，管理程序支持大量并行的執(zhí)行環(huán)境，即包括操作系統(tǒng)、升級包、應(yīng)用程序組合的虛擬機(jī)。每個虛擬機(jī)利用包含的環(huán)境，識別惡意軟件及其關(guān)鍵行為特征。通過這種設(shè)計(jì)，達(dá)到了同時多并發(fā)流量、多虛擬執(zhí)行環(huán)境的并行處理，提高了性能及檢測率。

實(shí)現(xiàn)前述方法的高級可持續(xù)威脅的檢測系統(tǒng)，如圖2所示：包括主處理器3，主處理器3上連接有帶以太網(wǎng)接口1的數(shù)據(jù)采集模塊2，主處理器3還通過D/A轉(zhuǎn)換模塊4與帶解除電路9的警示電路5相連，警示電路5通過供電電路10與電源8相連；所述主處理器3通過驅(qū)動電路7與電源8相連，主處理器3上還連接有外部擴(kuò)展存儲器6。

所述警示電路5如圖3所示，包括集電極連接至供電電路10的電壓輸出端的第一三極管Q1，第一三極管Q1的發(fā)射極依次串聯(lián)第一電阻R1、第一非門IC1和第二非門IC2，第二非門IC2的輸出端連接至非穩(wěn)態(tài)多諧振蕩器電路的電源端，非穩(wěn)態(tài)多諧振蕩器電路包含兩組放大電路，每組放大電路上分別設(shè)置發(fā)光顏色不同的第一發(fā)光二極管LED1和第二發(fā)光二極管LED2；所述第一發(fā)光二極管LED1的正向端與第二三極管Q2的基極相連，反向端與第二三極管Q2的發(fā)射極相連；所述第二發(fā)光二極管LED2的正向端與第三三極管Q3的基極相連，反向端與第三三極管Q3的發(fā)射極相連。所述供電電路10的輸出端還依次串聯(lián)蜂鳴器BZ、第八電阻R8和第六三極管Q3，其中第六三極管Q3的基集連接第八電阻R8，發(fā)射極接地，集電極連接至第二非門IC2的輸出端。所述第一非門IC1和第二非門IC2的串聯(lián)支路上并聯(lián)有第二電阻R2，第一電阻R1連接第二電阻R2的一端與第一電容C1的其中一端相連，第一電容C1的另一端接地。所述解除電路9包括并聯(lián)在第一電容C1上的按鈕K1，按鈕K1上串聯(lián)有第三電阻R3。所述非穩(wěn)態(tài)多諧振蕩器電路包括正向端均與第二非門IC2輸出端相連的第一發(fā)光二極管LED1和第二發(fā)光二極管LED2；第一發(fā)光二極管LED1的反向端通過第四電阻R4連接至第四三極管Q4的基極，第四三極管Q4的發(fā)射極接地；所述第二發(fā)光二極管LED2的反向端通過第七電阻R7連接至第五三極管Q5的基極，第五三極管Q5的發(fā)射極接地；所述第一發(fā)光二極管LED1的正向端通過第五電阻R5與第五三極管Q5的集電極相連，第二發(fā)光二極管LED2的正向端通過第六電阻R6與第四三極管Q4的集電極相連；所述第四三極管Q4的集電極和第五三極管Q5的基極之間設(shè)有第三電容C3，第五三極管Q5的集電極和第四三極管Q4的基極之間設(shè)有第二電容C2。所述第一三極管Q1、第二三極管Q2和第三三極管Q3的集電極與D/A轉(zhuǎn)換模塊4相連。

該系統(tǒng)的工作原理如下：當(dāng)主處理器通過以太網(wǎng)接口獲取的信息中檢測到高級可持續(xù)威脅時，可以根據(jù)不同威脅類型向警示電路發(fā)出三路數(shù)字信號，三路數(shù)字信號經(jīng)過D/A轉(zhuǎn)換模塊轉(zhuǎn)成模擬信號后去控制第一三極管Q1、第二三極管Q2和第三三極管Q3的集電極（S1/S2/S3）；僅打開Q1，關(guān)閉Q2和Q3,LED1和LED2在非穩(wěn)態(tài)多諧振蕩器電路中交替閃爍；如果Q2也打開，LED1被短路，僅LED2閃爍；如果Q3打開，LED2被短路，僅LED1閃爍。當(dāng)需要解除閃爍時，按下按鈕K1，通過R3拉低IC1輸入端的電平，使IC2輸出變O，從而LED和蜂鳴器停止工作。