一种未知应用漏洞威胁检测装置及方法
【技术领域】
[0001]本发明涉及计算机通信技术领域,具体涉及一种未知应用漏洞威胁检测装置及方法。
【背景技术】
[0002]近几年来,网络安全问题已经成为全球范围内都关注的重点问题之一。“斯诺登”事件的披露,网络隐私与个人用户上网安全问题再一次成为公众关注的焦点。随着网络攻击技术的不断发展,尤其是APT高级可持续性威胁攻击日益泛滥,尽管各大安全厂商也都不断推出各种运用新型技术的安全产品,安全问题依然形势严峻。
[0003]随着公众安全意识的提高,传统基于可执行文件的木马攻击已经落伍了,大家都已经意识到未知的可执行文件是可疑的,不可信任的。当前黑客采用最多也是最有效的是APT攻击技术,APT攻击一般通过信任关系给目标发送携带有应用程序漏洞的文档,比如Word、PDF,当用户接收到文档之后,往往会认为这种文档时安全的,一旦打开文档,就有可能触发应用程序的漏洞,为下一步入侵打开通道。然而,传统的病毒木马检测技术,并不适合对此类携带未知应用漏洞威胁的APT攻击样本的查杀检测,主要表现在以下几个方面:
[0004]首先,传统的病毒木马检测技术是基于主机的检测,这种方法需要用户自己安装反病毒软件,实施复杂,同时无法对整个网络中的是否存在木马行为进行检测和监控。
[0005]其次,传统病毒木马查杀软件主要使用的是基于病毒木马特征码检测的方式,这种方法对于检测未知应用漏洞威胁来说并不适用,因为APT攻击往往使用的是尚未公布的未知漏洞。
[0006]目前主流的入侵检测系统和防火墙等,也大部分是基于规则的防火墙系统。这种基于规则的防护方式很难对未知的网络攻击流量进行区分和控制。虽然目前也有一些智能防火墙系统,但是效果一般,主要还是依靠传统的技术手段进行检测。
[0007]从专利文献中检索到以下专利中:
[0008]申请号为CN200910022718.X的网络窃密木马检测方法,此专利的思想是通过获取网络数据流,对通信地址进行分析、对通信协议进行分析、对通信行为进行分析、对通信关系进行分析,将高度疑似木马通信数据包,按照高度疑似木马通信所采用的网络通信协议,与相应的目的IP地址建立连接,并按照相应的通信协议构造探测数据包发送对方,如果对方返回的应答包中含有非协议规定的内容,即确定该节点是木马控制端。但是对于使用正常网络通信协议进行通信的木马通信流量,该方法并不适用。
[0009]申请号为CN201010581622.X的一种木马检测方法、装置及系统,该发明的思想是以木马攻击过程中的特征执行的时间顺序为特征,在通过预置的木马特征库判断得到可疑的特征报文后,进一步利用木马攻击程序执行时序的特点,判断可疑的特征报文的执行时序是否和木马攻击程序的执行时序相同,如果相同,则确定可疑特征报文为木马特征报文。该方法虽然不是传统的特征码识别检测方法,但是仍然需要一个预置木马特征库。
[0010]申请号为CN201110430821.5的一种木马检测的方法及装置,该专利的主要思想是:当检测到会话中存在木马心跳检测时,根据木马心跳检测的频率是否固定,将记录的会话权值增加相应的权值并记录,并针对控制端向被控制端发送的每个报文,检测该报文是否符合木马控制命令报文的特征,若符合,则将记录的会话权值增加第三权值并记录,在会话权值达到告警阈值时发出告警,以通知该会话为木马发起的会话。但是,该方法无法检测某些无心跳包的静默式木马。
[0011]申请号为CN201210412347.8的一种基于网络流量中行为特征的智能木马检测装置及其方法,该专利是一种根据网络流量数据中反映出来的木马行为特征去智能地检测木马的方法,提供了一种基于网络流量中行为特征的智能木马检测方法及其装置,其主旨在于提供一种对新型未知木马的发现。但是该专利并未提出具体的木马特征提取方法。而且误报率和准确性也还有待验证。
[0012]申请号为CN103095714A—种基于木马病毒种类分类建模的木马检测方法,该专利公开了一种基于木马病毒种类分类建模的木马检测方法,其中心思想是通过对已知木马按特征进行分类,建立木马特征识别模式库。然后依据该库来对木马进行检测。该方法具有一定的未知木马检测能力,但是从本质上来讲还是一种基于木马特征码的检测方式,对新型木马的检测误报率比较高。
【发明内容】
[0013]本发明针对现有技术中存在的不足,提出了一种未知应用漏洞威胁检测装置及方法,适用于各种网络应用环境,能够对网络中传输的携带未知应用漏洞威胁的各种可疑文件进行检测。
[0014]一种未知应用漏洞威胁检测装置,包括:
[0015]样本采集装置:用于从网络入口流量中采集传输的应用文档附件样本;
[0016]预处理过滤装置:用于将采集到的文档附件样本进行预处理,过滤掉已知包含应用漏洞和明显不包含应用漏洞的样本附件;
[0017]模拟行为监测装置:用于对过滤后的样本附件进行模拟执行检测,包括构造的模拟执行环境,完整模拟样本的真实执行过程,记录样本执行过程中的各种行为;
[0018]行为比对分析装置:用于对模拟执行监测记录下来的行为过程进行比对分析,发现其中存在安全威胁的可疑行为,判断该样本是否存在未知的应用漏洞威胁,并输出最终检测结果,同时将检测结果反馈到预处理过滤。
[0019]优选的,所述样本采集装置,采用数据镜像的方式采集网络上的数据,并采用协议还原方式获取流量中包含的邮件、HTTP等协议附件。
[0020]优选的,所述预处理过滤装置,采用特征匹配的方式过滤包含已知漏洞威胁的附件,采用文档格式、文档体积大小或者白名单方式过滤明显不包含应用漏洞威胁的附件。
[0021]优选的,所述模拟行为监测装置,运行环境为构造的智能沙箱,能够完整记录执行过程中的各种行为,包括文件操作、注册表操作、API调用操作、网络操作、系统服务操作、应用程序Crash。
[0022]优选的,所述行为比对分析装置,采用基于规则的产生式专家系统构造,产生式规则以IF…THEN…的形式出现,其中IF后面跟的是条件(即模拟执行监测的异常行为记录),THEN后面的是结论(判断附件样本是否携带可疑的未知应用漏洞威胁),条件与结论均可以通过逻辑运算AND、OR、NOT进行复合。
[0023]一种未知应用漏洞威胁检测方法,包括以下实施步骤:
[0024]a)样本采集装置从网络入口流量中采集传输的应用文档附件样本;
[0025]b)预处理过滤装置对采集得到的大量文档附件进行预处理,过滤掉已知包含应用漏洞和明显不包含应用漏洞的样本附件;
[0026]c)模拟行为监测装置对过滤后的样本附件进行模拟执行检测,包括构造模拟执行环境,完整模拟样本的真实执行过程,记录样本执行过程中的各种行为;
[0027]d)行为比对分析装置对模拟执行监测记录下来的行为过程进行比对分析,发现其中存在安全威胁的可疑行为,判断该样本是否存在未知的应用漏洞威胁,并输出最终检测结果,同时将检测结果反馈到预处理过滤中。
[0028]优选的,步骤a中,采用数据镜像的方式采集网络上的数据,并采用协议还原方式获取流量中包含的邮件、HTTP等协议附件。
[0029]优选的,步骤b中,采用特征匹配的方式过滤包含已知漏洞威胁的附件,采用文档格式、文档体积大小或者白名单方式过滤明显不包含应用漏洞威胁的附件。
[0030]优选的,步骤c中,运行环境为构造的智能沙箱,能够完整记录执行过程中的各种行为,包括文件操作、注册表操作、API调用操作、网络操作、系统服务操作、应用程序Crashο
[0031]优选的,步骤d中,采用基于规则的产生式专家系统构造,产生式规则以IF…THEN…的形式出现,其中IF后面跟的是条件(即模拟执行监测的异常行为记录),THEN后面的是结论(判断附件样本是否携带可疑的未知应用漏洞威胁),条件与结论均可以通过逻辑运算AND、OR、NOT进行复合。
[0032]本发明采用了基于智能沙箱的模拟执行行为监测对可能携带未知应用漏洞威胁的可疑文件进行检测,这种检测机制完全不依赖于不断升级的特征库。不管可疑文件怎么变型,为了能够控制目标计算机,都一定会执行特定的行为操作,有效解决了漏报的问题。
[0033]本发明采用了专家系统知识库对检测出来的可疑行为进行结果分析判断,随着知识库的不断丰富,便可以使其智能的判断检测出来的可疑行为是否真的存在有可供利用的漏洞威胁,有效解决了误报的问题。
[0034]本发明公开的一种未知应用漏洞威胁检测装置及方法因为不需要更新样本特征库,因此无需连接互联网,可以完全工作在内网,尤其适用于对安全等级要求严格的涉密企业和政府部门。
【附图说明】
[0035]图1为本发明的检测装置结构示意图;