一种多维度检测防御apt的系统及方法

一种多维度检测防御apt的系统及方法
【专利摘要】本发明提供了一种多维度检测防御APT的系统及方法，所述系统包括：至少两个检测模块，和维度扩展模块；检测模块分别部署于各维度中，用于检测当前维度中的待检测对象，记录待检测对象的行为及检测结果，根据预设筛选规则，筛选出维度检测扩展信息，并发送到维度扩展模块中；维度扩展模块获取各检测模块发送来的维度检测扩展信息，根据预设维度关联规则对所述维度检测扩展信息进行投影关联，产生其他维度可用的检测规则及筛选规则，并发送到对应维度的检测模块中。本发明还提供了对应的检测防御方法，通过本发明的系统及方法，能够使防御检测系统能够实现自更新以获得其他维度的检测能力。
【专利说明】 —种多维度检测防御APT的系统及方法
【技术领域】
[0001]本发明涉及网络安全领域，特别涉及一种多维度检测防御APT的系统及方法。
【背景技术】
[0002]APT攻击是一类高等级网络攻击，具体的说，是非授权的个人、团体对受害目标长期采用多种攻击方法和先进攻击手段进行的持续性攻击行为，APT攻击的常见目的是破坏受害目标的系统，偷窃受害目标的信息，经典的APT事件包括震网(Stuxnet), Duqu, Flame
坐寸ο
[0003]根据典型APT事件进行分析，往往攻击者具备丰富的经济、技术、情报等资源，能够有效的突破安全系统的防御，经过对近期典型事件的分析，一个APT事件从开始攻击，进入受害者系统，到被受害者发现的跨度往往从数月到数年不等，且一些典型APT事件在攻击者披露后，受咅者也未能进彳了发现。
[0004]之所以出现这个情况，和传统的安全防御技术的防御原理和技术手段有关，如传统云安全技术通过在公共网络大量采集客户信息送到云端通过统计技术和人工发现异常，而APT事件往往是小范围事件，具备高定向性，导致很难采集，即使采集也往往淹没在海量的事件中无法具备统计意义；高性能网络安全设备由于性能要求，往往采用低精度高实时性的检测技术，导致难以对APT事件进行细粒度高精度的检测，终端安全软件由于其商业上的易获得性，使得攻击者可以先研究规避技术后再攻击，即确认攻击代码可以绕过安全软件后再发起攻击。以上种种使得现有的安全防御系统在APT事件中大量的失效。
[0005]而传统安全防御系统多基于单个孤立时间点或时间段的实时检测和防御，或基于单维度的检测，如传统网络安全设备仅对网络数据流进行检测，对伪装在正常数据的加密攻击代码则基本无检测能力。
[0006]因此有必要克服涉及APT高级安全威胁防御和检测的传统安全系统的上述缺点。
【发明内容】

[0007]本发明提供了一种多维度检测防御APT的系统及方法，解决了传统安全防御系统只能在单独时间点或时间段对单一维度进行检测，无法进行全面检测的问题，使防御检测系统能够实现自更新以获得其他维度的检测能力。
[0008]一种多维度检测防御APT的系统，包括:至少两个检测模块，和维度扩展模块；
所述检测模块分别部署于各维度中，根据所处维度检测点环境，预设检测规则，用于检测当前维度中的待检测对象，记录待检测对象的行为及检测结果，根据预设筛选规则，筛选出维度检测扩展信息，并发送到维度扩展模块中；获取维度扩展模块发送来的检测规则及筛选规则，补充到预设检测规则和预设筛选规则中；
所述的筛选规则，可根据维度扩展模块中维度关联规则所需要或可以利用的信息预先设定，在当前检测模块检测产生的信息及待检测对象本身的信息等中选取；
维度扩展模块，用于获取各检测模块发送来的维度检测扩展信息，根据预设维度关联规则对所述维度检测扩展信息进行投影关联，产生其他维度可用的检测规则及筛选规则，并发送到对应维度的检测模块中；
维度关联规则是将维度扩展模块所获得的信息与其他维度检测所需的信息类型进行映射匹配等，进一步得到其他维度可用的信息。
[0009]所述维度由至少两个不同检测点环境组成，每个检测点环境为一个维度。例如部署于网关节点的检测点环境、部署于PC上的检测点环境、部署于移动终端的检测点环境
坐寸O
[0010]所述的系统中，如果所述检测模块的预设检测规则中不存在待检测对象的检测规贝U，则记录所述待检测对象的信息，并发送到维度扩展模块；
维度扩展模块根据待检测对象的信息，将所述待检测对象发送到相应维度的检测模块中。
[0011]所述的系统中，在所述检测模块收到维度扩展模块发送来的检测规则及筛选规贝U，补充到预设检测规则和预设筛选规则中后，对当前检测模块中的所有待检测对象进行二次检测。
[0012]所述的系统中，包括:至少两个防御模块，所述防御模块分别部署于各维度中，用于根据所处维度对应检测模块的检测结果及预设防御规则，对待检测对象拦截、阻断或告警，并根据预设筛选规则，筛选出维度防御扩展信息，并发送到维度扩展模块中；获取维度扩展模块发送的防御规则，并补充到预设防御规则中；
所述维度扩展模块根据维度关联规则，对收到的维度防御扩展信息进行投影关联，产生其他维度可用的防御规则，并发送到对应维度的防御模块中。
[0013]所述的系统中，包括:至少两个处置模块，所述处置模块分别部署于各维度中，用于根据所处维度对应检测模块的检测结果及预设处置规则，对待检测对象进行处置，并将维度处置扩展信息发送到维度扩展模块中；获取维度扩展模块发送的处置规则，并补充到预设处置规则中；
所述维度扩展模块根据维度关联规则，对收到的维度处置扩展信息进行投影关联，产生其他维度可用的处置规则，并发送到对应维度的处置模块中。
[0014]所述的系统中，所述维度关联规则将维度检测扩展信息，和/或维度防御扩展信息，和/或维度处置扩展信息与各维度检测点环境所需要的信息关联，并根据统计数据或数学模型预设到维度扩展模块中。
[0015]一种多维度检测防御APT的方法，适用于上述系统，包括:
检测模块根据预设检测规则，检测当前维度中的待检测对象；
记录待检测对象的行为及检测结果；
根据预设筛选规则，筛选出维度检测扩展信息，并发送到维度扩展模块中；
获取检测模块发送来的维度检测扩展信息；
根据预设维度关联规则对所述维度检测扩展信息进行投影关联，产生其他维度可用的检测规则及筛选规则，并发送到对应维度的检测模块中；
所述检测模块还获取维度扩展模块发送来的检测规则及筛选规则，补充到预设检测规则和预设筛选规则中；
所述维度由至少两个不同检测点环境组成，每个检测点环境为一个维度。[0016]所述的方法，其特征在于，如果所述预设检测规则中不存在待检测对象的检测规贝U，则记录所述待检测对象的信息，并发送到维度扩展模块；
维度扩展模块根据待检测对象的信息，将所述待检测对象发送到相应维度的检测模块中。
[0017]所述的方法中，在所述检测模块收到维度扩展模块发送来的检测规则及筛选规贝U，补充到预设检测规则和预设筛选规则中后，对当前检测模块中的所有待检测对象进行二次检测。
[0018]所述的方法中，还包括:防御模块根据检测结果及预设防御规则，对待检测对象拦截、阻断或告警，并根据预设筛选规则，筛选出维度防御扩展信息，并发送到维度扩展模块中；及获取维度扩展模块发送的防御规则，并补充到预设防御规则中；
所述维度扩展模块根据维度关联规则，对收到的维度防御扩展信息进行投影关联，产生其他维度可用的防御规则，并发送到对应维度的防御模块中。
[0019]所述的方法中，包括:处置模块根据检测结果及预设处置规则，对待检测对象进行处置，并将维度处置扩展信息发送到维度扩展模块中；及获取维度扩展模块发送的处置规贝U，并补充到预设处置规则中；
所述维度扩展模块根据维度关联规则，对收到的维度处置扩展信息进行投影关联，产生其他维度可用的处置规则，并发送到对应维度的处置模块中。
[0020]所述的方法中，所述维度关联规则将维度检测扩展信息，和/或维度防御扩展信息，和/或维度处置扩展信息与各维度检测点环境所需要的信息关联，并根据统计数据或数学模型预设到维度扩展模块中。
[0021]本发明的系统及方法，能够通过至少两个检测模块及维度扩展模块，对待检测对象进行检测，当一个检测模块检测完成后，将筛选出可扩展的信息交给维度扩展模块，维度扩展模块将收到的信息及待检测对象，通过维度关联规则，将上述信息映射扩展到其他检测模块，生成其可用的信息。本发明还可以增加防御模块及处置模块，并且也能够与维度扩展模块进行关联扩展。通过本发明的系统及方法，实现了在一个维度上的检测结果可以转化成其他维度上可使用的规则，实现了自学习自更新的能力。因此本发明也不依赖于通过安全厂商提供的检测规则，才能够获得新的检测能力。即本发明系统检测能力不依赖外部对检测规则进行更新，就能够获得其他维度的检测能力，从而实现对APT和高级安全威胁的防御检测。
【专利附图】

【附图说明】
[0022]为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0023]图1为本发明一种多维度检测防御APT的系统结构示意图；
图2为本发明系统实施例一结构示意图；
图3为本发明系统实施例二结构示意图；
图4为本发明系统实施例三结构示意图；图5为本发明一种多维度检测防御APT的方法流程图。
【具体实施方式】
[0024]为 了使本【技术领域】的人员更好地理解本发明实施例中的技术方案，并使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术方案作进一步详细的说明。
[0025]本发明提供了一种多维度检测防御APT的系统及方法，解决了传统安全防御系统只能在单独时间点或时间段对单一维度进行检测，无法进行全面检测的问题，是防御检测系统能够实现自更新以获得其他维度的检测能力。
[0026]一种多维度检测防御APT的系统，如图1所示，包括:至少两个检测模块101，和维度扩展模块102 ；
所述检测模块101分别部署于各维度中，根据所处维度检测点环境，预设检测规则，用于检测当前维度中的待检测对象，记录待检测对象的行为及检测结果，根据预设筛选规则，筛选出维度检测扩展信息，并发送到维度扩展模块中；获取维度扩展模块发送来的检测规则及筛选规则，补充到预设检测规则和预设筛选规则中；
所述的筛选规则，可根据维度扩展模块中维度关联规则所需要或可以利用的信息预先设定，在当前检测模块检测产生的信息及待检测对象本身的信息等中选取；
维度扩展模块102，用于获取各检测模块发送来的维度检测扩展信息，根据预设维度关联规则对所述维度检测扩展信息进行投影关联，产生其他维度可用的检测规则及筛选规贝U，并发送到对应维度的检测模块中；
维度关联规则是将维度扩展模块所获得的信息与其他维度检测所需的信息类型进行映射匹配等，进一步得到其他维度可用的信息。
[0027]所述维度由至少两个不同检测点环境组成，每个检测点环境为一个维度。例如部署于网关节点的检测点环境、部署于PC上的检测点环境、部署于移动终端的检测点环境等。
[0028]所述的系统中，如果所述检测模块的预设检测规则中不存在待检测对象的检测规贝U，则记录所述待检测对象的信息，并发送到维度扩展模块；
维度扩展模块根据待检测对象的信息，将所述待检测对象发送到相应维度的检测模块中。
[0029]所述的系统中，在所述检测模块收到维度扩展模块发送来的检测规则及筛选规贝U，补充到预设检测规则和预设筛选规则中后，对当前检测模块中的所有待检测对象进行二次检测。
[0030]所述的系统中，还包括:至少两个防御模块103，所述防御模块分别部署于各维度中，用于根据所处维度对应检测模块的检测结果及预设防御规则，对待检测对象拦截、阻断或告警，并根据预设筛选规则，筛选出维度防御扩展信息，并发送到维度扩展模块中；获取维度扩展模块发送的防御规则，并补充到预设防御规则中；
所述维度扩展模块根据维度关联规则，对收到的维度防御扩展信息进行投影关联，产生其他维度可用的防御规则，并发送到对应维度的防御模块中。
[0031]所述的系统中，包括:至少两个处置模块104，所述处置模块分别部署于各维度中，用于根据所处维度对应检测模块的检测结果及预设处置规则，对待检测对象进行处置，并将维度处置扩展信息发送到维度扩展模块中；获取维度扩展模块发送的处置规则，并补充到预设处置规则中；
所述维度扩展模块根据维度关联规则，对收到的维度处置扩展信息进行投影关联，产生其他维度可用的处置规则，并发送到对应维度的处置模块中。
[0032]所述的系统中，所述维度关联规则将维度检测扩展信息，和/或维度防御扩展信息，和/或维度处置扩展信息与各维度检测点环境所需要的信息关联，并根据统计数据或数学模型预设到维度扩展模块中。
[0033]为使更本领域技术人员更清楚了解本
【发明内容】
，给出一个具体实施例，如图2所示:
本实施例中仅包含两个检测模块，即检测模块A201，及检测模块B202，以及维度扩展模块203 ;其中检测模块A部署于维度A环境中，检测模块B部署于维度B环境中。
[0034]检测模块A根据预设的检测规则A检测待检测对象，产生检测结果A ；
对检测结果A及待检测对象进行记录，并根据筛选规则将维度扩展模块可用信息(即维度检测扩展信息)，筛选出并发送到维度扩展模块；
维度扩展模块根据维度关联规则，从维度检测扩展信息中关联映射出检测模块B可用的检测规则,并将检测规则发送到检测模块B ；
检测模块B接收检测规则，并补充到自身的预设检测规则中；
检测模块B利用补充后的预设检测规则，再次检测当前维度B中的待检测对象。
[0035]同时在检测模块B检测完成后，仍然可以进行筛选，并通过维度扩展模块将检测规则扩展给检测模块A。
[0036]本发明系统中的检测模块及维度扩展模块，可以通过不断的检测，扩展，达到随时对各维度检测模块的扩展。
[0037]以下提供一种在实际应用中的实施例，如图3所示，包括网络维度的UTM检测模块301、终端维度的PC检测模块302及维度扩展模块303。
[0038]文件A通过网络下载至PC检测模块所在PC机，UTM检测模块中不存在对文件A的检测规则，因此仅对文件A事件进行记录，并将文件A出现在网络维度的信息提供给维度扩展丰吴块；
PC检测模块中具有对完整文件较强的检测能力，检测到文件A为某APT组成部分；
PC检测模块经筛选将文件A、检测结果及文件A来源网址提交给维度扩展模块进行维度扩展；
维度扩展模块根据维度关联规则，对文件A进行模拟执行，将新发现的网址、文件A来源网址、文件散列值等,作为网络维度UTM检测规则推送给UTM检测模块；
UTM检测模块收到新增检测规则后，对检测历史进行复查，从而发现文件A为某APT组成部分，在后续检测过程中提示用户。
[0039]本发明的另一实施例如图4所示，包括PC检测模块401、移动终端检测模块402及维度扩展模块403。
[0040]PC检测模块以MD5为检测规则，对exe文件进行检测，并记录文件释放的文件MD5，如果释放的文件为APK文件，则将该APK文件的信息提供给维度扩展模块； 维度扩展模块将APK文件提供给移动终端检测模块；
移动终端检测模块对APK文件进行检测，如果APK文件为恶意文件，则将该APK文件的MD5值提供给维度扩展模块；
维度扩展模块根据维度关联规则，将MD5值关联并推送到PC检测模块；
PC检测模块补充预设检测规则，进而对该APK文件具有检测能力。
[0041]本发明还提供一种多维度检测防御APT的方法，如图5所示，适用于上述系统中，包括:
5501:检测模块根据预设检测规则，检测当前维度中的待检测对象；
5502:记录待检测对象的行为及检测结果；
5503:预设筛选规则，筛选出维度检测扩展信息，并发送到维度扩展模块中；
5504:获取检测模块发送来的维度检测扩展信息；
5505:根据预设维度关联规则对所述维度检测扩展信息进行投影关联，产生其他维度可用的检测规则及筛选规则，并发送到对应维度的检测模块中；
所述检测模块还获取维度扩展模块发送来的检测规则及筛选规则，补充到预设检测规则和预设筛选规则中；
所述维度由至少两个不同检测点环境组成，每个检测点环境为一个维度。
[0042]所述的方法，其特征在于，如果所述预设检测规则中不存在待检测对象的检测规贝U，则记录所述待检测对象的信息，并发送到维度扩展模块；
维度扩展模块根据待检测对象的信息，将所述待检测对象发送到相应维度的检测模块中。
[0043]所述的方法中，在所述检测模块收到维度扩展模块发送来的检测规则及筛选规贝U，补充到预设检测规则和预设筛选规则中后，对当前检测模块中的所有待检测对象进行二次检测。
[0044]所述的方法中，还包括:防御模块根据检测结果及预设防御规则，对待检测对象拦截、阻断或告警，并根据预设筛选规则，筛选出维度防御扩展信息，并发送到维度扩展模块中；及获取维度扩展模块发送的防御规则，并补充到预设防御规则中；
所述维度扩展模块根据维度关联规则，对收到的维度防御扩展信息进行投影关联，产生其他维度可用的防御规则，并发送到对应维度的防御模块中。
[0045]所述的方法中，包括:处置模块根据检测结果及预设处置规则，对待检测对象进行处置，并将维度处置扩展信息发送到维度扩展模块中；及获取维度扩展模块发送的处置规贝U，并补充到预设处置规则中；
所述维度扩展模块根据维度关联规则，对收到的维度处置扩展信息进行投影关联，产生其他维度可用的处置规则，并发送到对应维度的处置模块中。
[0046]所述的方法中，所述维度关联规则将维度检测扩展信息，和/或维度防御扩展信息，和/或维度处置扩展信息与各维度检测点环境所需要的信息关联，并根据统计数据或数学模型预设到维度扩展模块中。
[0047]本发明的系统及方法，能够通过至少两个检测模块及维度扩展模块，对待检测对象进行检测，当一个检测模块检测完成后，将筛选出可扩展的信息交给维度扩展模块，维度扩展模块将收到的信息及待检测对象，通过维度关联规则，将上述信息映射扩展到其他检测模块，生成其可用的信息。本发明还可以增加防御模块及处置模块，并且也能够与维度扩展模块进行关联扩展。通过本发明的系统及方法，实现了在一个维度上的检测结果可以转化成其他维度上可使用的规则，实现了自学习自更新的能力。因此本发明也不依赖于通过安全厂商提供的检测规则，才能够获得新的检测能力。即本发明系统检测能力不依赖外部对检测规则进行更新，就能够获得其他维度的检测能力，从而实现对APT和高级安全威胁的防御检测。
[0048]本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。虽然通过实施例描绘了本发明，本领域普通技术人员知道，本发明有许多变形和变化而不脱离本发明的精神，希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
【权利要求】
1.一种检测防御APT和高级安全威胁的系统，其特征在于，包括:至少两个检测模块，和维度扩展模块； 所述检测模块分别部署于各维度中，根据所处维度检测点环境，预设检测规则，用于检测当前维度中的待检测对象，记录待检测对象的行为及检测结果，根据预设筛选规则，筛选出维度检测扩展信息，并发送到维度扩展模块中；获取维度扩展模块发送来的检测规则及筛选规则，补充到预设检测规则和预设筛选规则中； 维度扩展模块，用于获取各检测模块发送来的维度检测扩展信息，根据预设维度关联规则对所述维度检测扩展信息进行投影关联，产生其他维度可用的检测规则及筛选规则，并发送到对应维度的检测模块中； 所述维度由至少两个不同检测点环境组成，每个检测点环境为一个维度。
2.如权利要求1所述的系统，其特征在于，如果所述检测模块的预设检测规则中不存在待检测对象的检测规则，则记录所述待检测对象的信息，并发送到维度扩展模块； 维度扩展模块根据待检测对象的信息，将所述待检测对象发送到相应维度的检测模块中。
3.如权利要求1所述的系统，其特征在于，在所述检测模块收到维度扩展模块发送来的检测规则及筛选规则，补充到预设检测规则和预设筛选规则中后，对当前检测模块中的所有待检测对象进行二次检测。
4.如权利要求1所述的系统，其特征在于，包括:至少两个防御模块，所述防御模块分别部署于各维度中，用于根据所处维度对应检测模块的检测结果及预设防御规则，对待检测对象拦截、阻断或告警，并根据预设筛选规则，筛选出维度防御扩展信息，并发送到维度扩展模块中；获取维度扩展模块发送的防御规则，并补充到预设防御规则中； 所述维度扩展模块根据维度关联规则，对收到的维度防御扩展信息进行投影关联，产生其他维度可用的防御规则，并发送到对应维度的防御模块中。
5.如权利要求1所述的系统，其特征在于，包括:至少两个处置模块，所述处置模块分别部署于各维度中，用于根据所处维度对应检测模块的检测结果及预设处置规则，对待检测对象进行处置，并将维度处置扩展信息发送到维度扩展模块中；获取维度扩展模块发送的处置规则，并补充到预设处置规则中； 所述维度扩展模块根据维度关联规则，对收到的维度处置扩展信息进行投影关联，产生其他维度可用的处置规则，并发送到对应维度的处置模块中。
6.如权利要求1至5所述的系统，其特征在于，所述维度关联规则将维度检测扩展信息，和/或维度防御扩展信息，和/或维度处置扩展信息与各维度检测点环境所需要的信息关联，并根据统计数据或数学模型预设到维度扩展模块中。
7.—种检测防御APT和高级安全威胁的方法，适用于权利要求1所述系统，其特征在于，包括: 检测模块根据预设检测规则，检测当前维度中的待检测对象； 记录待检测对象的行为及检测结果； 根据预设筛选规则，筛选出维度检测扩展信息，并发送到维度扩展模块中； 获取检测模块发送来的维度检测扩展信息； 根据预设维度关联规则对所述维度检测扩展信息进行投影关联，产生其他维度可用的检测规则及筛选规则，并发送到对应维度的检测模块中； 所述检测模块还获取维度扩展模块发送来的检测规则及筛选规则，补充到预设检测规则和预设筛选规则中； 所述维度由至少两个不同检测点环境组成，每个检测点环境为一个维度。
8.如权利要求7所述的方法，其特征在于，如果所述预设检测规则中不存在待检测对象的检测规则，则记录所述待检测对象的信息，并发送到维度扩展模块； 维度扩展模块根据待检测对象的信息，将所述待检测对象发送到相应维度的检测模块中。
9.如权利要求7所述的方法，其特征在于，在所述检测模块收到维度扩展模块发送来的检测规则及筛选规则，补充到预设检测规则和预设筛选规则中后，对当前检测模块中的所有待检测对象进行二次检测。
10.如权利要求7所述的方法，其特征在于，还包括包括:防御模块根据检测结果及预设防御规则，对待检测对象拦截、阻断或告警，并根据预设筛选规则，筛选出维度防御扩展信息，并发送到维度扩展模块中；及获取维度扩展模块发送的防御规则，并补充到预设防御规则中； 所述维度扩展模块根据维度关联规则，对收到的维度防御扩展信息进行投影关联，产生其他维度可用的防御规则，并发送到对应维度的防御模块中。
11.如权利要求7所述的方法，其特征在于，包括:处置模块根据检测结果及预设处置规则，对待检测对象进行处置，并将维度处置扩展信息发送到维度扩展模块中；及获取维度扩展模块发送的处置规则，并补充到预设处置规则中； 所述维度扩展模块根据维度关联规则，对收到的维度处置扩展信息进行投影关联，产生其他维度可用的处置规则，并发送到对应维度的处置模块中。
12.如权利要求7至11所述的方法，其特征在于，所述维度关联规则将维度检测扩展信息，和/或维度防御扩展信息，和/或维度处置扩展信息与各维度检测点环境所需要的信息关联，并根据统计数据或数学模型预设到维度扩展模块中。
【文档编号】H04L29/06GK103905418SQ201310559032
【公开日】2014年7月2日 申请日期:2013年11月12日 优先权日:2013年11月12日
【发明者】方华, 关墨辰 申请人:北京安天电子设备有限公司