本發(fā)明涉及信息安全技術(shù)領(lǐng)域,具體涉及一種apt攻擊行為的檢測方法及檢測系統(tǒng)�。
背景技術(shù):
隨著計算機(jī)網(wǎng)絡(luò)的迅猛發(fā)展��,網(wǎng)絡(luò)信息安全形勢日益嚴(yán)峻。尤其是具有隱蔽性強(qiáng)、針對性強(qiáng)�、攻擊手段豐富���、防范難度高和攻擊范圍廣等特性的高級持續(xù)性威脅(apt���,advancedpersistentthreat)�����,對安全信息系統(tǒng)造成的威脅日益嚴(yán)重��,對特定目標(biāo)進(jìn)行有組織的apt攻擊日益增多���,使得國家���、企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)和數(shù)據(jù)安全面臨嚴(yán)峻的挑戰(zhàn)�,如何提高apt檢測的準(zhǔn)確率是目前亟待解決的問題����。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明的目的在于提供一種apt攻擊行為的檢測方法及檢測系統(tǒng),可以提高apt檢測的準(zhǔn)確率��。
為實(shí)現(xiàn)上述目的���,本發(fā)明的技術(shù)方案提供了一種apt攻擊行為的檢測方法�,采用方式一、方式二��、方式三中的至少兩種方式檢測待檢測對象是否存在攻擊行為�����;
所述方式一包括:通過預(yù)設(shè)的特征知識庫檢測待檢測對象是否存在攻擊行為��,所述特征知識庫包括若干個預(yù)設(shè)的apt攻擊規(guī)則,若所述特征知識庫中存在與所述待檢測對象相匹配的apt攻擊規(guī)則�����,則判斷所述待檢測對象存在攻擊行為�;
所述方式二包括:通過預(yù)設(shè)的黑名單檢測所述待檢測對象是否存在攻擊行為,所述預(yù)設(shè)的黑名單包括若干個預(yù)設(shè)的身份信息�,若所述待檢測對象的身份信息與所述黑名單中任意身份信息相匹配��,則判斷所述待檢測對象存在攻擊行為�;
所述方式三包括:對所述待檢測對象進(jìn)行反編譯���,檢測所述待檢測對象是否具有shellcode特征��,若具有shellcode特征,則判斷所述待檢測對象存在攻擊行為�,若不具有shellcode特征����,則將所述待檢測對象送入安全沙箱或虛擬系統(tǒng)進(jìn)行虛擬執(zhí)行��,檢測所述待檢測對象在進(jìn)行所述虛擬執(zhí)行的過程中是否具有惡意行為�,若具有惡意行為�,則判斷所述待檢測對象存在攻擊行為。
優(yōu)選地�,所述方式二還包括:通過預(yù)設(shè)的白名單判斷所述待檢測對象是否不具有攻擊行為�����,所述白名單包括若干個預(yù)設(shè)的身份信息,若所述待檢測對象的身份信息與所述白名單中任意身份信息相匹配����,則判斷所述待檢測對象不存在攻擊行為�。
優(yōu)選地����,首先采用方式一判斷所述待檢測對象是否存在攻擊行為,若未檢測到所述待檢測對象存在攻擊行為���,則采用方式二判斷所述待檢測對象是否存在攻擊行為,若所述黑名單以及所述白名單中均不存在與所述待檢測對象相匹配的身份信息����,再采用方式三判斷所述待檢測對象是否存在攻擊行為����。
優(yōu)選地��,還包括:若所述待檢測對象具有所述shellcode特征,則將所述待檢測對象的身份信息加入所述黑名單���。
優(yōu)選地,還包括:若所述待檢測對象在進(jìn)行所述虛擬執(zhí)行的過程中具有惡意行為���,則將所述待檢測對象的身份信息加入所述黑名單,若所述待檢測對象在進(jìn)行所述虛擬執(zhí)行的過程中不具有惡意行為���,則將所述待檢測對象的身份信息加入所述白名單。
為實(shí)現(xiàn)上述目的�,本發(fā)明的技術(shù)方案還提供了一種apt攻擊行為的檢測系統(tǒng)���,包括第一檢測模塊��、第二檢測模塊、第三檢測模塊中的至少兩種檢測模塊,所述檢測系統(tǒng)通過所述至少兩種檢測模塊檢測待檢測對象是否存在攻擊行為�;
所述第一檢測模塊用于通過預(yù)設(shè)的特征知識庫檢測待檢測對象是否存在攻擊行為��,所述特征知識庫包括若干個預(yù)設(shè)的apt攻擊規(guī)則,若所述特征知識庫中存在與所述待檢測對象相匹配的apt攻擊規(guī)則,則判斷所述待檢測對象存在攻擊行為;
所述第二檢測模塊用于通過預(yù)設(shè)的黑名單檢測所述待檢測對象是否存在攻擊行為�,所述預(yù)設(shè)的黑名單包括若干個預(yù)設(shè)的身份信息�����,若所述待檢測對象的身份信息與所述黑名單中任意身份信息相匹配,則判斷所述待檢測對象存在攻擊行為��;
所述第三檢測模塊用于對所述待檢測對象進(jìn)行反編譯�,檢測所述待檢測對象是否具有shellcode特征,若具有shellcode特征��,則判斷所述待檢測對象存在攻擊行為�����,若不具有shellcode特征�����,則將所述待檢測對象送入安全沙箱或虛擬系統(tǒng)進(jìn)行虛擬執(zhí)行���,檢測所述待檢測對象在進(jìn)行所述虛擬執(zhí)行的過程中是否具有惡意行為,若具有惡意行為,則判斷所述待檢測對象存在攻擊行為���。
優(yōu)選地,所述第二檢測模塊還用于通過預(yù)設(shè)的白名單判斷所述待檢測對象是否不具有攻擊行為,所述白名單包括若干個預(yù)設(shè)的身份信息�,若所述待檢測對象的身份信息與所述白名單中任意身份信息相匹配��,則判斷所述待檢測對象不存在攻擊行為。
優(yōu)選地,首先通過第一檢測模塊判斷所述待檢測對象是否存在攻擊行為����,若未檢測到所述待檢測對象存在攻擊行為�,則通過第二檢測模塊判斷所述待檢測對象是否存在攻擊行為����,若所述黑名單以及所述白名單中均不存在與所述待檢測對象相匹配的身份信息,再通過第三檢測模塊判斷所述待檢測對象是否存在攻擊行為�。
優(yōu)選地��,所述第三檢測模塊還用于若所述待檢測對象具有所述shellcode特征,則將所述待檢測對象的身份信息加入所述黑名單��。
優(yōu)選地����,所述第三檢測模塊還用于若所述待檢測對象在進(jìn)行所述虛擬執(zhí)行的過程中具有惡意行為,則將所述待檢測對象的身份信息加入所述黑名單�����,若所述待檢測對象在進(jìn)行所述虛擬執(zhí)行的過程中不具有惡意行為�����,則將所述待檢測對象的身份信息加入所述白名單。
本發(fā)明的apt攻擊行為的檢測方法�,可以有效提高apt檢測的準(zhǔn)確性和時效性��,能夠在較短的時間實(shí)現(xiàn)攻擊檢測進(jìn)而進(jìn)行告警,可以避免誤報造成的不必要的緊張���,同時可以盡早的采取防御措施,避免造成敏感信息泄漏�����、財產(chǎn)損失等嚴(yán)重后果���。
附圖說明
圖1是本發(fā)明實(shí)施方式提供的一種apt攻擊行為的檢測方法的流程圖��。
具體實(shí)施方式
下面結(jié)合附圖和實(shí)施例�����,對本發(fā)明的具體實(shí)施方式作進(jìn)一步詳細(xì)描述。以下實(shí)施例用于說明本發(fā)明��,但不用來限制本發(fā)明的范圍�。
本發(fā)明實(shí)施方式提供了一種apt攻擊行為的檢測方法,該檢測方法采用方式一����、方式二���、方式三中的至少兩種方式檢測待檢測對象是否存在攻擊行為��;
所述方式一包括:通過預(yù)設(shè)的特征知識庫檢測待檢測對象是否存在攻擊行為,所述特征知識庫包括若干個預(yù)設(shè)的apt攻擊規(guī)則��,若所述特征知識庫中存在與所述待檢測對象相匹配的apt攻擊規(guī)則��,則判斷所述待檢測對象存在攻擊行為��;
所述方式二包括:通過預(yù)設(shè)的黑名單檢測所述待檢測對象是否存在攻擊行為���,所述預(yù)設(shè)的黑名單包括若干個預(yù)設(shè)的身份信息�����,若所述待檢測對象的身份信息與所述黑名單中任意身份信息相匹配�����,則判斷所述待檢測對象存在攻擊行為�,例如����,檢測對象的身份信息可以是對象名、md5或其他任意標(biāo)識對象id的信息���;
所述方式三包括:對所述待檢測對象進(jìn)行反編譯,檢測所述待檢測對象是否具有shellcode特征�����,若具有shellcode特征�����,則判斷所述待檢測對象存在攻擊行為�,若不具有shellcode特征����,則將所述待檢測對象送入安全沙箱或虛擬系統(tǒng)進(jìn)行虛擬執(zhí)行,檢測所述待檢測對象在進(jìn)行所述虛擬執(zhí)行的過程中是否具有惡意行為���,若具有惡意行為�,則判斷所述待檢測對象存在攻擊行為。
本發(fā)明實(shí)施方式提供的apt攻擊行為的檢測方法,可以有效提高apt檢測的準(zhǔn)確性和時效性�,能夠在較短的時間實(shí)現(xiàn)攻擊檢測進(jìn)而進(jìn)行告警���,可以避免誤報造成的不必要的緊張���,同時可以盡早的采取防御措施���,避免造成敏感信息泄漏����、財產(chǎn)損失等嚴(yán)重后果�����。
優(yōu)選地�����,所述方式二還包括:通過預(yù)設(shè)的白名單判斷所述待檢測對象是否不具有攻擊行為,所述白名單包括若干個預(yù)設(shè)的身份信息����,若所述待檢測對象的身份信息與所述白名單中任意身份信息相匹配�,則判斷所述待檢測對象不存在攻擊行為�����。
優(yōu)選地�,在本發(fā)明實(shí)施方式中����,可以采用三種方式對待檢測對象進(jìn)行檢測��,例如��,首先采用方式一判斷所述待檢測對象是否存在攻擊行為,若未檢測到所述待檢測對象存在攻擊行為�,則采用方式二判斷所述待檢測對象是否存在攻擊行為����,若所述黑名單以及所述白名單中均不存在與所述待檢測對象相匹配的身份信息�����,再采用方式三判斷所述待檢測對象是否存在攻擊行為���。
優(yōu)選地��,上述檢測方法還包括:若所述待檢測對象具有所述shellcode特征���,則將所述待檢測對象的身份信息加入所述黑名單����。
優(yōu)選地���,上述檢測方法還包括:若所述待檢測對象在進(jìn)行所述虛擬執(zhí)行的過程中具有惡意行為��,則將所述待檢測對象的身份信息加入所述黑名單���,若所述待檢測對象在進(jìn)行所述虛擬執(zhí)行的過程中不具有惡意行為����,則將所述待檢測對象的身份信息加入所述白名單����。
其中�,在本發(fā)明中,待檢測對象可以是文件�,也可以是url等可以在虛擬環(huán)境中被執(zhí)行的對象��;
在本發(fā)明中,對于上述的方式一���,特征知識庫中的apt攻擊規(guī)則可以是apt攻擊特征的規(guī)則,特征可以是文件特征或行為特征�����,apt攻擊規(guī)則實(shí)質(zhì)上是apt攻擊使用的方法和步驟�����,其可以根據(jù)以前發(fā)生過的典型apt攻擊事件����、案例以及發(fā)展趨勢總結(jié)提煉得到����,例如,可以依據(jù)已經(jīng)發(fā)生的(典型的)apt攻擊事件以及攻擊者常用的攻擊手段����,進(jìn)行歸納與總結(jié)�,得到apt攻擊的特征����,然后根據(jù)該特征定義apt攻擊規(guī)則,例如���,對于上述的特征知識庫��,可以根據(jù)以前發(fā)生過的典型apt攻擊事件���、案例預(yù)先創(chuàng)建apt攻擊規(guī)則���,從而構(gòu)建特征知識庫���,另外��,特征知識庫中的apt攻擊規(guī)則還可以包括規(guī)則id、規(guī)則名稱�、規(guī)則描述�,通過判斷待檢測對象是否與apt攻擊規(guī)則相匹配�����,可以得到待檢測對象是否具有atp攻擊的特征�����,進(jìn)而可以確認(rèn)待檢測對象是否存在atp攻擊行為���;
其中���,在本發(fā)明中����,上述的黑名單�、白名單可以采用淘汰算法限制容量,也可以不限制容量�����,另外�,可以采用靜態(tài)配置��、動態(tài)學(xué)習(xí)��、服務(wù)器同步、云同步或混合更新等多種方式對黑名單�、白名單進(jìn)行更新�;
例如����,參見圖1,本發(fā)明實(shí)施方式中的apt攻擊行為的檢測方法可以如下:
步驟1、首先通過特征知識庫對待檢測對象(如待檢測文件)進(jìn)行檢測�,判斷特征知識庫中是否存在與待檢測對象相匹配的apt攻擊規(guī)則��,若待檢測對象與特征知識庫中的apt攻擊規(guī)則相匹配(即特征知識庫中至少存在一個與待檢測對象相匹配的apt攻擊規(guī)則),則判斷該待檢測對象具有apt攻擊的特征,認(rèn)為存在攻擊行為;否則,進(jìn)入步驟2����;
步驟2���、對待檢測對象進(jìn)行黑�����、白名單匹配,即判斷黑名單以及白名單中是否存在與待檢測對象相匹配的身份信息,參見圖1,如果匹配上白名單����,則認(rèn)為不存在攻擊行為�,如果沒有匹配上白名單��,再進(jìn)行黑名單匹配��,如果匹配上黑名單,則認(rèn)為存在攻擊行為��,并將該待檢測對象的身份信息加入黑名單�,例如可以將其對象名�����、md5或其他任意標(biāo)識對象id的信息加入黑名單����,若未匹配上(即黑名單以及白名單中均不存在與待檢測對象相匹配的身份信息)����,則進(jìn)入步驟3;
步驟3�、對待檢測對象進(jìn)行反編譯�����,檢測其中是否存在shellcode特征,如果存在����,則認(rèn)為存在攻擊行為��,并將該待檢測對象的身份信息加入到上述的黑名單,如果不存在���,則進(jìn)入步驟4;
步驟4����、將待檢測對象送入安全沙箱(或虛擬系統(tǒng))進(jìn)行虛擬執(zhí)行���,檢測其在執(zhí)行過程中是否具有惡意行為(即是否具有惡意行為的特征)��。如果不存在,則認(rèn)為待檢測對象不存在atp攻擊行為����,并將待檢測對象的身份信息加入上述的白名單�����,否則,則認(rèn)為存在攻擊行為�����,可以將待檢測對象的身份信息加入上述的黑名單�����,另外�����,還可以判斷該檢測對象的攻擊是否存在唯一特征標(biāo)識,若存在����,則提取該攻擊的特征���,并根據(jù)其創(chuàng)建apt攻擊規(guī)則�,將其存入特征知識庫�����,例如��,在待檢測對象進(jìn)行虛擬執(zhí)行的過程中,若檢測到待檢測對象存在攻擊行為��,則判斷該檢測對象的攻擊是否存在唯一特征標(biāo)識��,若存在,則提取該攻擊的特征��,若不存在唯一特征標(biāo)識��,則只將待檢測對象的身份信息加入黑名單����。
此外��,本發(fā)明實(shí)施方式還提供了一種apt攻擊行為的檢測系統(tǒng)�����,包括第一檢測模塊、第二檢測模塊、第三檢測模塊中的至少兩種檢測模塊�,所述檢測系統(tǒng)通過所述至少兩種檢測模塊檢測待檢測對象是否存在攻擊行為�;
所述第一檢測模塊用于通過預(yù)設(shè)的特征知識庫檢測待檢測對象是否存在攻擊行為����,所述特征知識庫包括若干個預(yù)設(shè)的apt攻擊規(guī)則,若所述特征知識庫中存在與所述待檢測對象相匹配的apt攻擊規(guī)則�����,則判斷所述待檢測對象存在攻擊行為����;
所述第二檢測模塊用于通過預(yù)設(shè)的黑名單檢測所述待檢測對象是否存在攻擊行為,所述預(yù)設(shè)的黑名單包括若干個預(yù)設(shè)的身份信息�,若所述待檢測對象的身份信息與所述黑名單中任意身份信息相匹配�,則判斷所述待檢測對象存在攻擊行為����;
所述第三檢測模塊用于對所述待檢測對象進(jìn)行反編譯,檢測所述待檢測對象是否具有shellcode特征,若具有shellcode特征���,則判斷所述待檢測對象存在攻擊行為,若不具有shellcode特征,則將所述待檢測對象送入安全沙箱或虛擬系統(tǒng)進(jìn)行虛擬執(zhí)行���,檢測所述待檢測對象在進(jìn)行所述虛擬執(zhí)行的過程中是否具有惡意行為,若具有惡意行為,則判斷所述待檢測對象存在攻擊行為�。
優(yōu)選地�,所述第二檢測模塊還用于通過預(yù)設(shè)的白名單判斷所述待檢測對象是否不具有攻擊行為����,所述白名單包括若干個預(yù)設(shè)的身份信息,若所述待檢測對象的身份信息與所述白名單中任意身份信息相匹配,則判斷所述待檢測對象不存在攻擊行為���。
優(yōu)選地,首先通過第一檢測模塊判斷所述待檢測對象是否存在攻擊行為,若未檢測到所述待檢測對象存在攻擊行為�����,則通過第二檢測模塊判斷所述待檢測對象是否存在攻擊行為�,若所述黑名單以及所述白名單中均不存在與所述待檢測對象相匹配的身份信息,再通過第三檢測模塊判斷所述待檢測對象是否存在攻擊行為�����。
優(yōu)選地����,所述第三檢測模塊還用于若所述待檢測對象具有所述shellcode特征,則將所述待檢測對象的身份信息加入所述黑名單。
優(yōu)選地�����,所述第三檢測模塊還用于若所述待檢測對象在進(jìn)行所述虛擬執(zhí)行的過程中具有惡意行為����,則將所述待檢測對象的身份信息加入所述黑名單��,若所述待檢測對象在進(jìn)行所述虛擬執(zhí)行的過程中不具有惡意行為��,則將所述待檢測對象的身份信息加入所述白名單。
雖然���,上文中已經(jīng)用一般性說明及具體實(shí)施例對本發(fā)明作了詳盡的描述,但在本發(fā)明基礎(chǔ)上�,可以對之作一些修改或改進(jìn)���,這對本領(lǐng)域技術(shù)人員而言是顯而易見的���。因此����,在不偏離本發(fā)明精神的基礎(chǔ)上所做的這些修改或改進(jìn)�����,均屬于本發(fā)明要求保護(hù)的范圍�����。