本发明涉及信息安全技术领域,具体涉及一种apt攻击行为的检测方法及检测系统。
背景技术:
随着计算机网络的迅猛发展,网络信息安全形势日益严峻。尤其是具有隐蔽性强、针对性强、攻击手段丰富、防范难度高和攻击范围广等特性的高级持续性威胁(apt,advancedpersistentthreat),对安全信息系统造成的威胁日益严重,对特定目标进行有组织的apt攻击日益增多,使得国家、企业的网络信息系统和数据安全面临严峻的挑战,如何提高apt检测的准确率是目前亟待解决的问题。
技术实现要素:
本发明的目的在于提供一种apt攻击行为的检测方法及检测系统,可以提高apt检测的准确率。
为实现上述目的,本发明的技术方案提供了一种apt攻击行为的检测方法,采用方式一、方式二、方式三中的至少两种方式检测待检测对象是否存在攻击行为;
所述方式一包括:通过预设的特征知识库检测待检测对象是否存在攻击行为,所述特征知识库包括若干个预设的apt攻击规则,若所述特征知识库中存在与所述待检测对象相匹配的apt攻击规则,则判断所述待检测对象存在攻击行为;
所述方式二包括:通过预设的黑名单检测所述待检测对象是否存在攻击行为,所述预设的黑名单包括若干个预设的身份信息,若所述待检测对象的身份信息与所述黑名单中任意身份信息相匹配,则判断所述待检测对象存在攻击行为;
所述方式三包括:对所述待检测对象进行反编译,检测所述待检测对象是否具有shellcode特征,若具有shellcode特征,则判断所述待检测对象存在攻击行为,若不具有shellcode特征,则将所述待检测对象送入安全沙箱或虚拟系统进行虚拟执行,检测所述待检测对象在进行所述虚拟执行的过程中是否具有恶意行为,若具有恶意行为,则判断所述待检测对象存在攻击行为。
优选地,所述方式二还包括:通过预设的白名单判断所述待检测对象是否不具有攻击行为,所述白名单包括若干个预设的身份信息,若所述待检测对象的身份信息与所述白名单中任意身份信息相匹配,则判断所述待检测对象不存在攻击行为。
优选地,首先采用方式一判断所述待检测对象是否存在攻击行为,若未检测到所述待检测对象存在攻击行为,则采用方式二判断所述待检测对象是否存在攻击行为,若所述黑名单以及所述白名单中均不存在与所述待检测对象相匹配的身份信息,再采用方式三判断所述待检测对象是否存在攻击行为。
优选地,还包括:若所述待检测对象具有所述shellcode特征,则将所述待检测对象的身份信息加入所述黑名单。
优选地,还包括:若所述待检测对象在进行所述虚拟执行的过程中具有恶意行为,则将所述待检测对象的身份信息加入所述黑名单,若所述待检测对象在进行所述虚拟执行的过程中不具有恶意行为,则将所述待检测对象的身份信息加入所述白名单。
为实现上述目的,本发明的技术方案还提供了一种apt攻击行为的检测系统,包括第一检测模块、第二检测模块、第三检测模块中的至少两种检测模块,所述检测系统通过所述至少两种检测模块检测待检测对象是否存在攻击行为;
所述第一检测模块用于通过预设的特征知识库检测待检测对象是否存在攻击行为,所述特征知识库包括若干个预设的apt攻击规则,若所述特征知识库中存在与所述待检测对象相匹配的apt攻击规则,则判断所述待检测对象存在攻击行为;
所述第二检测模块用于通过预设的黑名单检测所述待检测对象是否存在攻击行为,所述预设的黑名单包括若干个预设的身份信息,若所述待检测对象的身份信息与所述黑名单中任意身份信息相匹配,则判断所述待检测对象存在攻击行为;
所述第三检测模块用于对所述待检测对象进行反编译,检测所述待检测对象是否具有shellcode特征,若具有shellcode特征,则判断所述待检测对象存在攻击行为,若不具有shellcode特征,则将所述待检测对象送入安全沙箱或虚拟系统进行虚拟执行,检测所述待检测对象在进行所述虚拟执行的过程中是否具有恶意行为,若具有恶意行为,则判断所述待检测对象存在攻击行为。
优选地,所述第二检测模块还用于通过预设的白名单判断所述待检测对象是否不具有攻击行为,所述白名单包括若干个预设的身份信息,若所述待检测对象的身份信息与所述白名单中任意身份信息相匹配,则判断所述待检测对象不存在攻击行为。
优选地,首先通过第一检测模块判断所述待检测对象是否存在攻击行为,若未检测到所述待检测对象存在攻击行为,则通过第二检测模块判断所述待检测对象是否存在攻击行为,若所述黑名单以及所述白名单中均不存在与所述待检测对象相匹配的身份信息,再通过第三检测模块判断所述待检测对象是否存在攻击行为。
优选地,所述第三检测模块还用于若所述待检测对象具有所述shellcode特征,则将所述待检测对象的身份信息加入所述黑名单。
优选地,所述第三检测模块还用于若所述待检测对象在进行所述虚拟执行的过程中具有恶意行为,则将所述待检测对象的身份信息加入所述黑名单,若所述待检测对象在进行所述虚拟执行的过程中不具有恶意行为,则将所述待检测对象的身份信息加入所述白名单。
本发明的apt攻击行为的检测方法,可以有效提高apt检测的准确性和时效性,能够在较短的时间实现攻击检测进而进行告警,可以避免误报造成的不必要的紧张,同时可以尽早的采取防御措施,避免造成敏感信息泄漏、财产损失等严重后果。
附图说明
图1是本发明实施方式提供的一种apt攻击行为的检测方法的流程图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
本发明实施方式提供了一种apt攻击行为的检测方法,该检测方法采用方式一、方式二、方式三中的至少两种方式检测待检测对象是否存在攻击行为;
所述方式一包括:通过预设的特征知识库检测待检测对象是否存在攻击行为,所述特征知识库包括若干个预设的apt攻击规则,若所述特征知识库中存在与所述待检测对象相匹配的apt攻击规则,则判断所述待检测对象存在攻击行为;
所述方式二包括:通过预设的黑名单检测所述待检测对象是否存在攻击行为,所述预设的黑名单包括若干个预设的身份信息,若所述待检测对象的身份信息与所述黑名单中任意身份信息相匹配,则判断所述待检测对象存在攻击行为,例如,检测对象的身份信息可以是对象名、md5或其他任意标识对象id的信息;
所述方式三包括:对所述待检测对象进行反编译,检测所述待检测对象是否具有shellcode特征,若具有shellcode特征,则判断所述待检测对象存在攻击行为,若不具有shellcode特征,则将所述待检测对象送入安全沙箱或虚拟系统进行虚拟执行,检测所述待检测对象在进行所述虚拟执行的过程中是否具有恶意行为,若具有恶意行为,则判断所述待检测对象存在攻击行为。
本发明实施方式提供的apt攻击行为的检测方法,可以有效提高apt检测的准确性和时效性,能够在较短的时间实现攻击检测进而进行告警,可以避免误报造成的不必要的紧张,同时可以尽早的采取防御措施,避免造成敏感信息泄漏、财产损失等严重后果。
优选地,所述方式二还包括:通过预设的白名单判断所述待检测对象是否不具有攻击行为,所述白名单包括若干个预设的身份信息,若所述待检测对象的身份信息与所述白名单中任意身份信息相匹配,则判断所述待检测对象不存在攻击行为。
优选地,在本发明实施方式中,可以采用三种方式对待检测对象进行检测,例如,首先采用方式一判断所述待检测对象是否存在攻击行为,若未检测到所述待检测对象存在攻击行为,则采用方式二判断所述待检测对象是否存在攻击行为,若所述黑名单以及所述白名单中均不存在与所述待检测对象相匹配的身份信息,再采用方式三判断所述待检测对象是否存在攻击行为。
优选地,上述检测方法还包括:若所述待检测对象具有所述shellcode特征,则将所述待检测对象的身份信息加入所述黑名单。
优选地,上述检测方法还包括:若所述待检测对象在进行所述虚拟执行的过程中具有恶意行为,则将所述待检测对象的身份信息加入所述黑名单,若所述待检测对象在进行所述虚拟执行的过程中不具有恶意行为,则将所述待检测对象的身份信息加入所述白名单。
其中,在本发明中,待检测对象可以是文件,也可以是url等可以在虚拟环境中被执行的对象;
在本发明中,对于上述的方式一,特征知识库中的apt攻击规则可以是apt攻击特征的规则,特征可以是文件特征或行为特征,apt攻击规则实质上是apt攻击使用的方法和步骤,其可以根据以前发生过的典型apt攻击事件、案例以及发展趋势总结提炼得到,例如,可以依据已经发生的(典型的)apt攻击事件以及攻击者常用的攻击手段,进行归纳与总结,得到apt攻击的特征,然后根据该特征定义apt攻击规则,例如,对于上述的特征知识库,可以根据以前发生过的典型apt攻击事件、案例预先创建apt攻击规则,从而构建特征知识库,另外,特征知识库中的apt攻击规则还可以包括规则id、规则名称、规则描述,通过判断待检测对象是否与apt攻击规则相匹配,可以得到待检测对象是否具有atp攻击的特征,进而可以确认待检测对象是否存在atp攻击行为;
其中,在本发明中,上述的黑名单、白名单可以采用淘汰算法限制容量,也可以不限制容量,另外,可以采用静态配置、动态学习、服务器同步、云同步或混合更新等多种方式对黑名单、白名单进行更新;
例如,参见图1,本发明实施方式中的apt攻击行为的检测方法可以如下:
步骤1、首先通过特征知识库对待检测对象(如待检测文件)进行检测,判断特征知识库中是否存在与待检测对象相匹配的apt攻击规则,若待检测对象与特征知识库中的apt攻击规则相匹配(即特征知识库中至少存在一个与待检测对象相匹配的apt攻击规则),则判断该待检测对象具有apt攻击的特征,认为存在攻击行为;否则,进入步骤2;
步骤2、对待检测对象进行黑、白名单匹配,即判断黑名单以及白名单中是否存在与待检测对象相匹配的身份信息,参见图1,如果匹配上白名单,则认为不存在攻击行为,如果没有匹配上白名单,再进行黑名单匹配,如果匹配上黑名单,则认为存在攻击行为,并将该待检测对象的身份信息加入黑名单,例如可以将其对象名、md5或其他任意标识对象id的信息加入黑名单,若未匹配上(即黑名单以及白名单中均不存在与待检测对象相匹配的身份信息),则进入步骤3;
步骤3、对待检测对象进行反编译,检测其中是否存在shellcode特征,如果存在,则认为存在攻击行为,并将该待检测对象的身份信息加入到上述的黑名单,如果不存在,则进入步骤4;
步骤4、将待检测对象送入安全沙箱(或虚拟系统)进行虚拟执行,检测其在执行过程中是否具有恶意行为(即是否具有恶意行为的特征)。如果不存在,则认为待检测对象不存在atp攻击行为,并将待检测对象的身份信息加入上述的白名单,否则,则认为存在攻击行为,可以将待检测对象的身份信息加入上述的黑名单,另外,还可以判断该检测对象的攻击是否存在唯一特征标识,若存在,则提取该攻击的特征,并根据其创建apt攻击规则,将其存入特征知识库,例如,在待检测对象进行虚拟执行的过程中,若检测到待检测对象存在攻击行为,则判断该检测对象的攻击是否存在唯一特征标识,若存在,则提取该攻击的特征,若不存在唯一特征标识,则只将待检测对象的身份信息加入黑名单。
此外,本发明实施方式还提供了一种apt攻击行为的检测系统,包括第一检测模块、第二检测模块、第三检测模块中的至少两种检测模块,所述检测系统通过所述至少两种检测模块检测待检测对象是否存在攻击行为;
所述第一检测模块用于通过预设的特征知识库检测待检测对象是否存在攻击行为,所述特征知识库包括若干个预设的apt攻击规则,若所述特征知识库中存在与所述待检测对象相匹配的apt攻击规则,则判断所述待检测对象存在攻击行为;
所述第二检测模块用于通过预设的黑名单检测所述待检测对象是否存在攻击行为,所述预设的黑名单包括若干个预设的身份信息,若所述待检测对象的身份信息与所述黑名单中任意身份信息相匹配,则判断所述待检测对象存在攻击行为;
所述第三检测模块用于对所述待检测对象进行反编译,检测所述待检测对象是否具有shellcode特征,若具有shellcode特征,则判断所述待检测对象存在攻击行为,若不具有shellcode特征,则将所述待检测对象送入安全沙箱或虚拟系统进行虚拟执行,检测所述待检测对象在进行所述虚拟执行的过程中是否具有恶意行为,若具有恶意行为,则判断所述待检测对象存在攻击行为。
优选地,所述第二检测模块还用于通过预设的白名单判断所述待检测对象是否不具有攻击行为,所述白名单包括若干个预设的身份信息,若所述待检测对象的身份信息与所述白名单中任意身份信息相匹配,则判断所述待检测对象不存在攻击行为。
优选地,首先通过第一检测模块判断所述待检测对象是否存在攻击行为,若未检测到所述待检测对象存在攻击行为,则通过第二检测模块判断所述待检测对象是否存在攻击行为,若所述黑名单以及所述白名单中均不存在与所述待检测对象相匹配的身份信息,再通过第三检测模块判断所述待检测对象是否存在攻击行为。
优选地,所述第三检测模块还用于若所述待检测对象具有所述shellcode特征,则将所述待检测对象的身份信息加入所述黑名单。
优选地,所述第三检测模块还用于若所述待检测对象在进行所述虚拟执行的过程中具有恶意行为,则将所述待检测对象的身份信息加入所述黑名单,若所述待检测对象在进行所述虚拟执行的过程中不具有恶意行为,则将所述待检测对象的身份信息加入所述白名单。
虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。