一种失陷主机检测方法与流程

本发明涉及网络安全领域的一种失陷主机检测方法。

背景技术

在过往，大部分攻击者在选择攻击目标时往往抱有“机会主义”的心态，会以“遍地开花”的形式广泛扫描存在已知漏洞的目标进行渗透。理论上讲，企业的防护强度超过平均水平，就可以获得相对的安全，防护措施薄弱的系统往往会先于他们被攻击者发现并攻陷。

因此，传统网络安全以“防范”为中心，始终遵循p2dr策略，建立防护-检测-响应的模型，即首先对信息系统的风险进行全面评估，然后制定相应的防护策略，包括：在关键风险点部署访问控制设备，如防火墙，ips，认证授权等，修复系统漏洞，正确配置系统，定期升级维护，教育用户正确使用系统等。检测是响应和加强防护的依据，通过检测网络流量和行为，与预设策略进行匹配，如果触发防护策略，则认为发生了网络攻击，响应系统就执行预设动作阻止攻击，并进行报警和恢复处理。

与之对应的，传统安全产品，如终端杀毒、防火墙、ips、web应用防火墙等，均是基于已知特征和预设规则展开工作，其理论依据同样是p2dr防护模型，这是一种静态的、被动的、防御思维的安全模型。

然而，近年来曝出的安全事件不断证明，黑客攻击手段已从传统的泛攻击演进为高级威胁。利用系统的0-day漏洞，无法预先防御，目标明确，定向攻击，损失巨大，难以挽回。

随着攻击过程的逐步深入，被攻击者锁定的目标主机将会经历遭受入侵、受到控制、发起恶意行为等几个阶段。在“遭受入侵”阶段，目标主机往往会遭受网络钓鱼、漏洞利用、暴力破解等形式的攻击；一旦成功则将进入“受到控制”阶段，在此阶段目标主机将与远端的c&c服务器建立连接，并持续受到攻击者的控制；目标主机受控后，将开始“发起恶意行为”阶段，目标主机往往会作为跳板对内网或外网新的目标展开扫描攻击、拒绝服务(dos/ddos)攻击、恶意网址访问、漏洞入侵、间谍软件植入、数据窃取等一系列活动。“失陷主机”是指被攻击者成功侵入，行为特征符合上述“受到控制”或“发起恶意行为”阶段的主机。

技术实现要素：

本发明的目的是为了克服现有技术的不足，提供一种失陷主机检测方法，其在全局上保证了网络安全性和长周期的可见性，实现失陷主机检测及与其他与高级威胁对抗的能力。

实现上述目的的一种技术方案是：一种失陷主机检测方法，包括如下步骤：

日志上传步骤：各边界安全探针类设备将由各安全域间流量所产生的，包括应用访问日志、url访问日志、文件传输日志、威胁日志在内的日志数据上传安全云预警平台；

数据提取步骤：安全云预警平台将边界安全探针类设备上报的日志数据汇聚至云端大数据分析引擎，云端大数据分析引擎挖掘网络内主机偏离正常基线的用户异常行为，生成用户异常行为数据，并将威胁日志汇聚为威胁情报；

数据匹配步骤：安全云预警平台通过云端大数据分析引擎将威胁情报与网络内主机偏离正常基线的用户异常行为进行匹配对撞，预测可疑的失陷主机。

进一步的，威胁情报来还来自于安全云预警平台的云沙盘以及与安全云预警平台相连的第三方情报共享平台。

进一步的，用户异常行为数据的生成依据边界安全探针类设备中统一威胁管理探针采集的日志数据，威胁日志的生成依据边界安全探针类设备中防毒安全探针采集的日志数据。

进一步的，威胁情报包括攻击事件的源ip、目标ip、使用的域名网址、采取的攻击手段。

进一步的，数据匹配步骤后还有结果展示步骤，通过安全云预警平台以统计的形式呈现网络内主机用户异常行为数据与威胁情报的匹配对撞结果，继而确定可疑的失陷主机。

再进一步的，结果展示步骤中，通过安全云预警平台，以情报地图形式展现整个因特网内的安全态势。

再进一步的，结果展示步骤中，安全云预警平台通过云端大数据分析引擎，判断可疑的失陷主机处于遭受入侵、受到控制、发起内部攻击、发起恶意行为中的可能的阶段，判断可疑的失陷主机的失陷确定性。

再进一步的，所述结果展示步骤后还有失陷主机分析步骤，安全云预警平台通过情境分析和日志搜索，对选定的可疑的失陷主机进行分析，呈现该可疑的失陷主机在选定时间段内具体的用户异常行为。

更进一步的，情境分析中进行统计总览和关联分析；

统计总览以柱状图或饼状图的形式呈现选定时间段内该可疑的失陷主机的网络攻击信息的统计结果；

关联分析向管理者呈现该可疑的失陷主机的攻击事件的关联信息。

进一步的，数据匹配步骤后还有反哺步骤，安全云预警平台在全网范围内分发威胁情报，反哺位于边界的防火墙和各边界安全探针类设备的威胁特征库。

采用了本发明的一种失陷主机检测方法的技术方案，包括如下步骤：日志上传步骤：各边界安全探针类设备将由各安全域间流量所产生的，包括应用访问日志、url访问日志、文件传输日志、威胁日志在内的日志数据上传安全云预警平台；数据提取步骤：安全云预警平台将边界安全探针类设备上报的日志数据汇聚至云端大数据分析引擎，云端大数据分析引擎挖掘网络内主机偏离正常基线的用户异常行为，生成异常行为数据，并将威胁日志汇聚为威胁情报；数据匹配步骤：安全云预警平台通过云端大数据分析引擎将威胁情报与网络内主机偏离正常基线的用户异常行为进行匹配对撞，预测可疑的失陷主机。其技术效果是：采用安全云预警平台和边界安全探针类设备实时协同的策略，依靠安全云预警平台提供的云端大数据分析、快速检索和海量云存储，进一步在全局上保证了网络安全性和长周期的可见性，实现失陷主机检测及与其他与高级威胁对抗的能力。

附图说明

图1为本发明的一种失陷主机检测方法的结流程图。

具体实施方式

请参阅图1，本发明的发明人为了能更好地对本发明的技术方案进行理解，下面通过具体地实施例，并结合附图进行详细地说明：

本发明的一种失陷主机检测方法包括如下步骤：

日志上传步骤：各边界安全探针类设备将由各安全域间流量所产生的，包括应用访问日志、url访问日志、文件传输日志、威胁日志在内的日志数据上传安全云预警平台。边界安全探针类设备的作用在于：基于其自身对网络中用户行为、威胁信息的感知能力，将有价值的日志数据源源不断上传汇总至安全云预警平台。

数据提取步骤：安全云预警平台将各边界安全探针类设备上报的日志数据汇聚至云端大数据分析引擎，云端大数据分析引擎提取网络内主机的用户异常行为数据；挖掘网络内主机偏离正常基线的用户异常行为，并从威胁日志中提取威胁情报。

由于边界安全探针类设备至少可分为威胁管理探针和防毒安全探针，因此：

通过具备应用层信息识别能力的威胁管理探针，洞察网络流量中的用户、应用和内容，分析记录网络内主机的用户异常行为，上传给安全云预警平台。威胁管理探针在传统应用识别技术的基础上，扩展了应用行为检测、应用源信息检测等机制，提升对网络流量中应用、用户、终端、内容的识别精度和广度。威胁管理探针基于对网络流量应用类型、用户信息以及内容，如url、文件类型、文件内容等的深度识别，对用户网络行为进行洞察力，为失陷主机检测所必须的用户异常行为分析奠定了基础。

通过防毒安全探针识别利用漏洞进行攻击和植入间谍软件的活动，基于对病毒植入、恶意网址访问、漏洞利用攻击、间谍软件的活动的感知，将产生的网络攻击日志实时上传安全云预警平台，供安全云预警平台生成威胁情报。

数据匹配步骤：安全云预警平台通过云端大数据分析引擎将威胁情报与网络内主机偏离正常基线的用户异常行为进行匹配对撞，从多个维度预测可能失陷的疑似失陷主机。

威胁情报除了来自于威胁日志，还来自于安全云预警平台的云沙盘以及与安全云预警平台相连的第三方情报共享平台。

威胁情报包括攻击事件的源ip、目标ip、使用的域名网址、采取的攻击手段。

结果展示步骤：安全云预警平台呈现网络内主机用户异常行为数据与威胁情报的匹配对撞结果，以统计的形式告知管理者，其网络内主机的网络行为中有多少与已确定的恶意行为相关，继而快速确定可疑的失陷主机。

该步骤通过“情报地图”将各边界安全探针类设备所上报的攻击事件进行汇聚，并摘取其中数十分之一呈现于一张全球地图上，用于向管理者说明当前因特网的安全态势。

同时该步骤还可以提供失陷主机的确定性指数和威胁性指数两项指标。确定性指数体现该主机已失陷的可疑程度，该指数最高为100，其值越高则意味着其确定失陷的把握度越大，威胁性指数体现该主机的威胁性程度，该指数最高为100，其值越高则意味着其确定被威胁度越大。

失陷主机分析步骤：，通过安全云预警平台对选定的可疑的失陷主机进行分析，呈现该可疑的失陷主机在选定时间段内具体的用户异常行为。主要进行：情境分析和日志搜索。

情境分析：安全云预警平台对选定的可疑的失陷主机提供进一步的情境信息钻取和关联分析，刻画攻击者的行为和动机，情境分析包含“统计总览”和“关联分析”两部分。

统计总览以柱状图、饼状图的形式呈现选定时间段内选定的可疑的失陷主机的网络攻击信息的统计结果，包括被渗透攻击的ip排行、被渗透攻击的事件排行、间谍软件行为的ip排行、间谍软件行为的事件排行、访问恶意url的ip排行、访问url的事件排行、下载病毒间谍软件的ip排行、下载病毒间谍软件的事件排行。

关联分析，向管理者呈现选定的可疑的失陷主机的攻击事件的关联信息。例如，渗透攻击ip的攻击源、攻击方式、应用载体下载某病毒的源ip地址、目的ip地址、应用载体等。

日志搜索便于管理者基于检索结果快速溯源攻击事件，包括：

安全报告，安全云预警平台将上报的日志数据汇聚后以多种定制格式输出安全报告。安全报告可预约为日报、周报、月报等，并定期自动生成。

在默认模板中，安全报告包含资产安全分析、威胁分析、应用风险分析、病毒与恶意url分析。

资产安全分析中，用以图表形式分别呈现网络中的服务器和终端遭受攻击的情况及具体信息。

威胁分析中，主要以威胁类型为视角，以图表形式呈现最流行的攻击类型、新增的攻击类型以及攻击具体原理、所涉及的ip和次数的统计。

应用风险分析中，主要对网络中流量最大的应用进行排名，并依次分析各种应用的用途、风险和所涉及的ip。

病毒与恶意url分析中，对全网主机访问恶意url、下载病毒的情况进行统计。

反哺步骤：安全云预警平台将威胁情报在全网范围内迅速分发，反哺位于边界的防火墙和各边界安全探针类设备的威胁特征库。

本发明的一种失陷主机检测方法，利用边界安全探针类设备所具备的应用、终端、用户、内容识别能力以及威胁感知能力，有力保障对全网行为、活动的洞察力，精确洞悉全网行为，为后续的用户异常行为分析、威胁情报检测等提供了前提条件，保证失陷主机检测的准确性。

由于边界安全探针类设备可以多种形式部署于网络中的任何位置，且本身具备超强的应用控制、应用层威胁防护能力，对于应用滥用、已知威胁等可进行高性能拦截；因此本发明的一种失陷主机检测方法，便于用户在不改动网络架构、不增加网络可用性风险的情况下，提高失陷主机检测的准确性。

通过安全云预警平台的云过滤、云查杀、威胁情报分发反哺助边界安全探针类设备的工作，使得本发明的一种失陷主机检测方法能够保证网络边界的安全性。

本发明的一种失陷主机检测方法采用安全云预警平台和边界安全探针了设备实时协同的策略，依靠安全云预警平台提供的云端大数据分析、快速检索和海量云存储，进一步在全局上保证了网络安全性和长周期的可见性，实现失陷主机检测及与其他与高级威胁对抗的能力，为用户带来了安全。

本技术领域中的普通技术人员应当认识到，以上的实施例仅是用来说明本发明，而并非用作为对本发明的限定，只要在本发明的实质精神范围内，对以上所述实施例的变化、变型都将落在本发明的权利要求书范围内。