一种防御网络威胁的方法及系统与流程

本发明涉及atp(advancedpersistentthreat，高级持续性威胁)攻击检测防御技术领域，特别涉及一种防御网络威胁的方法及系统。

背景技术：

apt利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式，apt攻击的原理相对于其他攻击形式更为高级和先进，其高级性主要体现在apt在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络，并利用0day漏洞进行攻击。

apt攻击检测防御技术已经成为新形势下网络安全防御的研究热点和实现难点。针对这种新型的攻击思想，尤其是长期潜伏、长期控制这类特征，传统防火墙、反病毒软件或者ids(intrusiondetectionsystems，入侵检测系统)等一般防御技术手段已显得无法应对。

apt攻击通常采用文件作为载体，使用0day漏洞或者新型代码作为攻击工具，传统基于特征码的杀毒软件无法检测出来，如果漏掉会在终端侧造成直接且巨大的损失。由于终端的检测能力有限，目前对未知威胁的检测主要放在网络侧，也即在网络入口处部署文件动态行为分析系统，文件动态行为分析系统会将流量中提取的待检文件放入沙盒中运行，分析文件的动态行为，鉴别此文件是否为恶意的。检测和防御点的隔离会导致如下问题：

1.仅对流量中获取的文件进行检测无法防御从其它渠道(如usb、内部感染等)侵入终端的恶意文件，导致防护不全面。

2.终端无法主动对未知恶意文件进行识别、判定将导致漏网的恶意软件直接入侵。

技术实现要素：

根据本发明实施例提供的方案解决的技术问题是无法有效识别和及时防范apt攻击。

根据本发明实施例提供的一种防御网络威胁的方法，包括：

设置在网络侧的恶意代码分析实体接收终端发送的需要检测的终端侧文件；

所述恶意代码分析实体对所述终端侧文件进行分析，分析所述终端侧文件是否含有传统杀毒软件不能发现的恶意代码，并给出终端侧文件安全等级；

所述恶意代码分析实体将所述终端侧文件安全等级发送给所述终端，以便终端根据接收到的终端侧文件安全等级对所述终端侧文件进行相应处理。

优选地，还包括：

设置在网络侧的恶意代码分析实体捕获发送给终端的网络侧文件；

所述恶意代码分析实体对所述网络侧文件进行分析，分析所述网络侧文件是否含有传统杀毒软件不能发现的恶意代码，并给出网络侧文件安全等级；

所述恶意代码分析将所述网络侧文件安全等级发送给所述终端，以便终端根据网络侧文件安全等级，对接收到的网络侧文件进行相应处理。

优选地，所述网络侧文件是指经由网络中的http(hypertexttransferprotocol，超文本传输协议)或smtp(simplemailtransferprotocol，简单邮件传输协议)发送给终端的网络文件；

其中，所述http是指超文本传输协议；所述smtp是指简单邮件传输协议。

优选地，所述恶意代码分析实体对所述终端侧文件进行分析，分析所述终端侧文件是否含有传统杀毒软件不能发现的恶意代码，并给出终端侧文件安全等级包括：

恶意代码分析实体对所述终端侧文件进行分析，分析所述终端侧文件是否含有传统杀毒软件不能发现的恶意代码；

若分析所述终端侧文件含有恶意代码，则恶意代码分析实体从所述恶意代码中提取出恶意行为特征信息；

恶意代码分析实体根据所述恶意行为特征信息，给出终端侧文件安全等级。

优选地，所述恶意代码分析实体对所述网络侧文件进行分析，分析所述网络侧文件是否含有传统杀毒软件不能发现的恶意代码，并给出网络侧文件安全等级包括：

恶意代码分析实体对所述网络侧文件进行分析，分析所述网络侧文件是否含有传统杀毒软件不能发现的恶意代码；

若分析所述网络侧文件含有恶意代码，则恶意代码分析实体从所述恶意代码中提取出恶意行为特征信息；

恶意代码分析实体根据所述恶意行为特征信息，给出网络侧文件安全等级。

优选地，所述恶意代码分析将所述恶意行为特征信息与预置的恶意行为程度进行对比，并根据对比结果给出终端侧文件安全等级或网络侧文件安全等级。

优选地，还包括：

终端侧接收到所述终端侧文件安全等级后，对所述终端侧文件进行防御标记，以便当用户需要对所述终端侧文件进行打开操作时，触发安全提醒或接收到网络侧文件安全等级后，对所述网络侧文件进行防御标记，以便当用户需要对所述网络侧文件进行打开操作时，触发安全提醒。

根据本发明实施例提供的一种防御网络威胁的系统，包括：

终端，用于向设置在网络侧的恶意代码分析实体发送需要检测的终端侧文件；

恶意代码分析实体，用于对所述终端侧文件进行分析，分析所述终端侧文件是否含有传统杀毒软件不能发现的恶意代码，并给出终端侧文件安全等级，并将所述终端侧文件安全等级发送给所述终端，以便终端根据接收到的终端侧文件安全等级对所述终端侧文件进行相应处理。

优选地，所述恶意代码分析实体还包括：

捕获单元，用于捕获发送给终端的网络侧文件；

分析单元，用于对所述网络侧文件进行分析，分析所述网络侧文件是否含有传统杀毒软件不能发现的恶意代码，并给出网络侧文件安全等级；

发送单元，用于将所述网络侧文件安全等级发送给所述终端，以便终端根据网络侧文件安全等级，对接收到的网络侧文件进行相应处理。

优选地，所述网络侧文件是指经由网络中的http或smtp发送给终端的网络文件；

其中，所述http是指超文本传输协议；所述smtp是指简单邮件传输协议。

根据本发明实施例提供的方案，将文件动态行为分析系统与终端防御系统组成一个整体，两者之间进行有效配合，与现有技术相比，能够有效阻止恶意软件运行，提高检测精确度和防护能力。

附图说明

图1是本发明实施例提供的一种防御网络威胁的方法流程图；

图2是本发明实施例提供的一种防御网络威胁的系统示意图；

图3是本发明实施例提供的防御网络威胁的系统架构图；

图4是本发明实施例提供的防御网络威胁的系统初始化过程流程图；

图5是本发明实施例提供的信息采集模块对文件行为分析和终端联动的操作流程图；

图6是本发明实施例提供的终端防御实体和恶意代码分析实体联动的操作流程图；

图7是本发明实施例提供的由一个管理模块对恶意代码分析实体和终端联动的操作流程图。

具体实施方式

以下结合附图对本发明的优选实施例进行详细说明，应当理解，以下所说明的优选实施例仅用于说明和解释本发明，并不用于限定本发明。

图1是本发明实施例提供的一种防御网络威胁的方法流程图，如图1所示，包括：

步骤s101：设置在网络侧的恶意代码分析实体接收终端发送的需要检测的终端侧文件；

步骤s102：所述恶意代码分析实体对所述终端侧文件进行分析，分析所述终端侧文件是否含有传统杀毒软件不能发现的恶意代码，并给出终端侧文件安全等级；

步骤s103：所述恶意代码分析实体将所述终端侧文件安全等级发送给所述终端，以便终端根据接收到的终端侧文件安全等级对所述终端侧文件进行相应处理。

本发明实施例还包括：设置在网络侧的恶意代码分析实体捕获发送给终端的网络侧文件；所述恶意代码分析实体对所述网络侧文件进行分析，分析所述网络侧文件是否含有传统杀毒软件不能发现的恶意代码，并给出网络侧文件安全等级；所述恶意代码分析将所述网络侧文件安全等级发送给所述终端，以便终端根据网络侧文件安全等级，对接收到的网络侧文件进行相应处理。其中，所述网络侧文件是指经由网络中的http或smtp发送给终端的网络文件；其中，所述http是指超文本传输协议；所述smtp是指简单邮件传输协议。

所述恶意代码分析实体对所述终端侧文件进行分析，分析所述终端侧文件是否含有传统杀毒软件不能发现的恶意代码，并给出终端侧文件安全等级还包括：恶意代码分析实体对所述终端侧文件进行分析，分析所述终端侧文件是否含有传统杀毒软件不能发现的恶意代码；若分析所述终端侧文件含有恶意代码，则恶意代码分析实体从所述恶意代码中提取出恶意行为特征信息；恶意代码分析实体根据所述恶意行为特征信息，给出终端侧文件安全等级。

所述恶意代码分析实体对所述网络侧文件进行分析，分析所述网络侧文件是否含有传统杀毒软件不能发现的恶意代码，并给出网络侧文件安全等级包括：恶意代码分析实体对所述网络侧文件进行分析，分析所述网络侧文件是否含有传统杀毒软件不能发现的恶意代码；若分析所述网络侧文件含有恶意代码，则恶意代码分析实体从所述恶意代码中提取出恶意行为特征信息；恶意代码分析实体根据所述恶意行为特征信息，给出网络侧文件安全等级。

其中，所述恶意代码分析将所述恶意行为特征信息与预置的恶意行为程度进行对比，并根据对比结果给出终端侧文件安全等级或网络侧文件安全等级。

本发明实施例还包括：终端侧接收到所述终端侧文件安全等级后，对所述终端侧文件进行防御标记，以便当用户需要对所述终端侧文件进行打开操作时，触发安全提醒或接收到网络侧文件安全等级后，对所述网络侧文件进行防御标记，以便当用户需要对所述网络侧文件进行打开操作时，触发安全提醒。

图2是本发明实施例提供的一种防御网络威胁的系统示意图，如图2所示，包括：终端201，用于向设置在网络侧的恶意代码分析实体发送需要检测的终端侧文件；恶意代码分析实体202，用于对所述终端侧文件进行分析，分析所述终端侧文件是否含有传统杀毒软件不能发现的恶意代码，并给出终端侧文件安全等级，并将所述终端侧文件安全等级发送给所述终端，以便终端根据接收到的终端侧文件安全等级对所述终端侧文件进行相应处理。

其中，所述恶意代码分析实体202还包括：捕获单元，用于捕获发送给终端的网络侧文件；分析单元，用于对所述网络侧文件进行分析，分析所述网络侧文件是否含有传统杀毒软件不能发现的恶意代码，并给出网络侧文件安全等级；发送单元，用于将所述网络侧文件安全等级发送给所述终端，以便终端根据网络侧文件安全等级，对接收到的网络侧文件进行相应处理。具体地说，所述网络侧文件是指经由网络中的http或smtp发送给终端的网络文件。

图3是本发明实施例提供的防御网络威胁的系统架构图，如图3所示，包括终端防御实体301、恶意代码分析实体302、终端管理系统实体303。

所述终端防御实体301主要有阻断功能和上传功能，阻断功能用于当用户打开文件时，查阅其安全属性，当点击被恶意代码分析实体认定为恶意的代码时，提醒用户该程序可能存在恶意行为或直接阻断用户的点击请求并发出提醒；上传功能用于当终端用户想要运行某文件或程序时，无法判断其是否恶意，便可以将之上传至恶意代码分析实体进行分析并返回分析结果。而后根据返回结果判断是否打开文件。也就是说，能够根据策略向恶意代码分析功能实体发送可疑样本，以及接收来自恶意代码分析功能实体的分析结果、根据动态分析结果的通知消息对本地的恶意进程和相关恶意文件进行处理。

具体地说，终端防御实体301主要包括如下模块：接收模块、处理模板、上传模块、策略管理模块。

接收模块用于接收来自于终端管理系统实体303或者来自恶意代码分析实体302的恶意文件特征信息。

处理模块用于依据文件md5信息在终端查找并阻断具有已知恶意行为特征的文件地运行。

上传模块用于向恶意代码分析实体302或者终端管理系统实体303上传待分析的未知文件。

策略管理模块主要是用于配置和优化终端管理系统实体303的拦截策略，主要是根据新发现的恶意行为不断更新自己的策略，对已知特征的恶意行为可由处理模块直接拦截和阻断。

所述恶意代码分析实体302用于捕获网络中通过http或者smtp传输的协议文件，而后在虚拟机中通过动态行为捕获，将混淆或加壳的程序恶意行为暴露出来，分析出传统杀毒软件所不能发现的恶意代码。并且由于是在专有沙盒中运行，并不会对现有系统产生恶意后果。将可疑文件中分析出的恶意文件特征信息发送给终端防御实体301，可疑文件特征包括文件名称、大小、md5值等。

恶意代码分析实体302包括如下模块：文件采集模块、恶意代码分析模块、发送模块、恶意行为特征信息管理模块。

文件采集模块用于采集需要分析的文件，为恶意代码分析模块提供分析对象。

恶意代码分析模块用于对采集的文件进行深入的动态行为分析，发现恶意行为后提取恶意行为特征信息。

发送模块用于把恶意行为特征信息发送给终端管理系统实体303或终端防御实体301。

恶意行为特征信息管理模块主要用于管理已知特征的恶意行为信息，不断添加新发现的恶意行为，可供终端防御实体301查询。

也就是说，当恶意代码分析实体302分析完样本后，将分析结果包括文件名、文件md5(messagedigestalgorithm5，消息摘要算法第五版)值、源和目的ip(http传输协议下)或者收发件人信息(smtp邮件协议)、恶意等级(安全、低危、中危、高危)、分析报告存放地址uri(uniformresourceidentifier，统一资源标识符)等封装成一个报文，根据目的ip发送给相应终端。相应终端收到该报文后，根据md5及文件名，找到对应文件，并进行相应标记。

所述终端管理系统实体303主要用于监控所有终端的未知文件和管理所有终端，包括每个终端的邮件收件人、ip地址。另外，可与恶意代码分析实体和终端防御实体进行通信，实现终端注册、寻址、消息转发、消息通知等功能。当恶意代码分析实体302发现恶意文件后，查找该恶意文件来自哪个终端并通知该终端。

终端管理系统实体303主要包括如下模块：终端管理模块、查询模块、消息转发模块。

管理模块用于管理所有的终端，监控每个终端的网络行为。

查询模块用于查询每个终端对应的网络行为，或者根据某个网络行为信息查找该行为来自哪个终端。

消息转发模块可接受来自恶意代码分析系统的恶意行为特征信息，并能将这些信息抓发给终端的终端防御系统。

综上所述，终端防御实体根据配置将打开或运行的文件样本自动发送给恶意代码分析实体；所述恶意代码分析实体向终端防御实体通报样本的恶意行为；所述终端防御实体根据所述恶意代码分析实体的动态分析结果对相关恶意进程和恶意文件进行处理。

其中，所述恶意网络信息可包括但不限于恶意网站的域名、ip、端口等信息。所述实体之间发送消息时可以通过统一的管理中心查询对端地址或者由所述管理中心进行转发。所述管理中心还具备保存和发送样本和/或恶意网络信息的功能。

图4是本发明实施例提供的防御网络威胁的系统初始化过程流程图，如图4所示，主要步骤如下：

步骤401，终端防御实体的启动。每个终端都装有一个防御软件，随着终端的开机而启动。

步骤402，向终端管理系统实体注册终端的信息，包括终端的邮件收件人、ip地址、开放端口等信息。

步骤403，终端管理系统实体管理和监控所有的终端。可查看正在运行的终端以及每个终端的网络行为信息，包括与之通信的ip和域名等信息。

图5是本发明实施例提供的信息采集模块对文件行为分析和终端联动的操作流程图，如图5所示，具体包括如下内容：

步骤501，恶意代码分析实体从网络镜像的流量中提取出文件，提取过程中根据流量的类型文件进行标记，如果是http协议传输的话，标记出文件的源地址和目的地址，smtp邮件协议的话则标记出邮件的收发人，而后将带标记的文件送至分析模块以供检测。

步骤502，动态分析模块将待检测样本进行分析，启动一个虚拟机，让待检测样本在虚拟机中运行，同时提取在这个过程中虚拟机执行的各类行为，提取出的行为对照恶意行为进行匹配，判断出该文件是否是恶意文件及恶意程度，并适当给出分析报告。

步骤503，当步骤502完成之后，根据文件标记的目的地址，将分析结果包括文件名、文件md5、报告存放地址uri、文件恶意等级(安全，高危，中危，低危)组成报文，发送至相应终端。

步骤504，当终端收到步骤503发来的报文后，根据相应文件名及md5找到相应文件并进行标记，这样当终端用户进行打开文件操作时，触发阻断模块，根据标记的恶意等级判断即将打开的文件的安全性，给与用户提示或阻断，同时用户可以点击相应uri查看详细报告，了解该文件行为。

图6是本发明实施例提供的终端防御实体和恶意代码分析实体联动的操作流程图，如图6所示，具体包括如下内容：

步骤601，终端用户将不确定是否恶意的样本进行标记，标记上本机ip，而后将标记好的文件上传至恶意代码分析实体。

步骤602，恶意代码分析实体对样本进行分析动态分析，启动一个虚拟机，将待检测文件在虚拟机中运行，同时抓取虚拟机产生的行为，然后比对恶意代码行为表，从而判断是否发生恶意行为以判断文件的安全性，并对文件安全性进行标记。

步骤603，将标记后的分析结果组成相应报文，包括文件名、文件md5、文件恶意等级(安全，高危，中危，低危)、报告存放地址uri根据ip地址下发至相应终端用户。

步骤604，相应终端收到相应的报文后，根据文件名和其md5找到相应文件并进行标记，后期用户根据标记决定是否打开文件，同时用户可以点击相应uri查看详细报告，了解该文件行为。

图7是本发明实施例提供的由一个管理模块对恶意代码分析实体和终端联动的操作流程图，如图7所示，具体包括如下内容：

步骤701-702：终端防御实体在检测到未知文件之后，将文件上传给管理中心，信息采集模块在路由中发现新的文件时，也将文件上传给管理中心。管理中心保存所述终端防御实体的id或网络地址，或由信息采集模块获取的源地址和目的地址。并通过策略选择一个动态分析实体，将所述文件转发给所述动态分析实体进行分析。

步骤703：所述动态分析实体收到样本后，将样本保存在本地，并进行动态分析。分析的方式一般是采用沙箱检测的方式，在虚拟机中运行所述样本，获取运行结果，并根据事先设定的规则从运行结果中筛选出恶意的行为。样本的恶意行为可以通过这种方式被检测到，相关信息例如恶意网站域名、ip、端口等可以被记录下来。

步骤704-705：所述动态分析实体向所述管理中心返回样本动态分析结果，所述管理中心通过查询此前保存的信息获取到所述终端防御实体网络地址，将所述动态分析结果发送给所述终端防御实体。动态分析结果中包括文件名、文件md5、文件恶意等级(安全，高危，中危，低危)、报告存放地址uri。所述管理中心保存所述样本的恶意网络信息。

步骤706：所述终端防御实体收到所述动态分析实体返回的分析结果后，从消息中提取相关信息进行保存，并根据本地配置策略对恶意样本和相关进程进行处理，例如可根据策略终止恶意进程并删除相关恶意文件。

根据本发明实施例提供的方案，通过将恶意代码分析实体、终端防御实体两者之间实现有效配合，终端防御实体能够将未知文件上传至恶意代码分析实体进行分析；恶意代码分析实体检测到恶意行为后通知终端系统中止恶意进程并删除终端上的恶意软件，使得系统可以从源头阻断恶意软件的运行。能够实现提高检测精确度和有效性，极大地增强了apt系统的防护能力。

尽管上文对本发明进行了详细说明，但是本发明不限于此，本技术领域技术人员可以根据本发明的原理进行各种修改。因此，凡按照本发明原理所作的修改，都应当理解为落入本发明的保护范围。