技术领域本发明属于网络安全领域,特别涉及新型未知恶意软件的防御方法和设备。
背景技术:
随着科技的迅速发展,互联网已经深入到各行各业,在方方面面为人们的生活提供着各种便利。但有少部分具有较高技术水平的人,出于获取利益的目的,制作并使用多种恶意软件获取他人的重要、隐私信息,例如包括蠕虫、木马、分布式拒绝服务(DistributedDenialofService,DDoS)等病毒或攻击工具。伴随着技术的进步,上述病毒或攻击工具已经被重点防范,例如零日威胁、变形及多态等高级逃避技术、多阶段攻击、APT攻击等新型的攻击方式已经出现,上述攻击方式由于使用了更为新式的攻击手段,传统的安全机制尚无法进行有效的检测和防御,因此造成了巨大的损失。在现有技术中,针对病毒或恶意攻击往往还是采用签名检测的传统方式,已经无法对具有非传统攻击类型的病毒或恶意攻击方式进行有效的防御。
技术实现要素:
为了解决现有技术中存在的缺点和不足,本发明提供了能够对非传统攻击方式进行防御的新型未知恶意软件的防御方法和设备。为了达到上述技术目的,一方面,本发明提供了新型未知恶意软件的防御方法,所述防御方法,包括:在威胁分析检测设备中,通过虚拟识别技术获取漏洞利用阶段的恶意软件,生成包括来源地址和受控服务器的地址的第一报警信息,将所述报警信息添加至信誉库的记录中;在入侵防御设备中,通过与传统入侵防护设备的联动,并基于所述信誉库中存储的记录,对恶意软件的下载行为以及与受控服务器通信的行为进行拦截,生成第二报警信息,并跟踪所述恶意软件的后续活动;根据所述第一报警信息和所述第二报警信息,对已存在的恶意软件进行清理;其中,所述虚拟识别技术为虚拟环境下对目标软件的行为进行跟踪,识别所述目标软件的行为是否存在恶意破坏的动作,从而判别所述目标软件是否为恶意软件的技术。可选的,所述通过虚拟识别技术获取漏洞利用阶段的恶意软件,包括:监控网络协议,所述网络协议包括远程文件传输协议、简单邮政传输协议、网络文件服务器、用户数据包协议以及超文本传输协议;在所述网络协议中确定可疑文件,通过调用与所述可疑文件对应的文件解析模块,将所述可疑文件从流量形式还原为文件形式;在虚拟机环境下运行所述可疑文件,获取运行后内存指令的调用情况以及对操作系统保护机制采取的处理方式;如果所述调用情况超出了正常文件的调用范围和/或对所述操作系统保护机制采取了绕行的处理方式,则判定所述可疑文件为恶意软件。可选的,所述信誉库,包括:云端信誉库和本地信誉库;在所述云端信誉库中存储有报警信息的记录,本地信誉库定期通过所述云端信誉库进行记录更新;在所述本地信誉库中存储有本地网络获取到的报警信息,所述报警信息包含恶意软件的来源地址和受控服务器的地址。可选的,所述第二报警信息包括所述恶意软件的下载路径以及与所述受控服务器的通信端口。可选的,所述防御方法还包括:根据所述第一报警信息和所述第二报警信息,对所述恶意软件进行逆向分析,确定所述恶意软件的攻击流程。另一方面,本发明还提供了新型未知恶意软件的防御设备,所述防御设备,包括:处理模块,用于在威胁分析检测设备中,通过虚拟识别技术获取漏洞利用阶段的恶意软件,生成包括来源地址和受控服务器的地址的第一报警信息,将所述报警信息添加至信誉库的记录中;拦截模块,用于在入侵防御设备中,通过与传统入侵防护设备的联动,并基于所述信誉库中存储的记录,对恶意软件的下载行为以及与受控服务器通信的行为进行拦截,生成第二报警信息,并跟踪所述恶意软件的后续活动;清理模块,用于根据所述第一报警信息和所述第二报警信息,对已存在的恶意软件进行清理;其中,所述虚拟识别技术为虚拟环境下对目标软件的行为进行跟踪,识别所述目标软件的行为是否存在恶意破坏的动作,从而判别所述目标软件是否为恶意软件的技术。可选的,所述处理模块,包括:监控子模块,用于监控网络协议,所述网络协议包括远程文件传输协议、简单邮政传输协议、网络文件服务器、用户数据包协议以及超文本传输协议;转换子模块,用于在所述网络协议中确定可疑文件,通过调用与所述可疑文件对应的文件解析模块,将所述可疑文件从流量形式还原为文件形式;运行子模块,用于在虚拟机环境下运行所述可疑文件,获取运行后内存指令的调用情况以及对操作系统保护机制采取的处理方式;判定子模块,用于如果所述调用情况超出了正常文件的调用范围和/或对所述操作系统保护机制采取了绕行的处理方式,则判定所述可疑文件为恶意软件。可选的,所述信誉库包括云端信誉库和本地信誉库;在所述云端信誉库中存储有报警信息的记录,本地信誉库定期通过所述云端信誉库进行记录更新;在所述本地信誉库中存储有本地网络获取到的报警信息,所述报警信息包含恶意软件的来源地址和受控服务器的地址。可选的,所述第二报警信息包括所述恶意软件的下载路径以及与所述受控服务器的通信端口。可选的,所述防御设备还包括:分析模块,用于根据所述第一报警信息和所述第二报警信息,对所述恶意软件进行逆向分析,确定所述恶意软件的攻击流程。本发明提供的技术方案带来的有益效果是:通过使用虚拟识别技术和信誉库,能够在利用漏洞时确认恶意软件的存在,并且对恶意软件的后续活动进行跟踪。相对于现有技术,能够对使用新型攻击方式的恶意软件进行识别,摒弃了使用签名方式带来的检测滞后性,提高了对恶意软件的防御能力。附图说明为了更清楚地说明本发明的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1是本发明提供的新型未知恶意软件的防御方法的流程示意图;图2是本发明提供的新型未知恶意软件的防御方法的局部流程示意图;图3是本发明提供的新型未知恶意软件的防御方法的另一流程示意图;图4是本发明提供的新型未知恶意软件的防御设备的结构示意图;图5是本发明提供的新型未知恶意软件的防御设备的局部结构示意图;图6是本发明提供的新型未知恶意软件的防御设备的另一结构示意图。具体实施方式为使本发明的结构和优点更加清楚,下面将结合附图对本发明的结构作进一步地描述。实施例一本发明提供了新型未知恶意软件的防御方法,如图1所示,所述防御方法,包括:11、在威胁分析检测设备中,通过虚拟识别技术获取漏洞利用阶段的恶意软件,生成包括来源地址和受控服务器的地址的第一报警信息,将所述报警信息添加至信誉库的记录中。之所以在步骤11中使用威胁分析检测设备,是因为在传统的威胁检测技术中,经常使用到基于签名的检测技术,当出现新的威胁时,安全厂商需要经过一段时间发现病毒,才能为其提供签名,进而使得旗下的杀毒工具才能具有对该病毒的查杀能力。但是随着技术的发展,类似“零日攻击”的攻击方式在安全厂商发现病毒或攻击行为前,就已经造成了重大的危害,并且攻击者慎用多态及变形等技术,使得安全厂商已经无法通过基于样本收集的方式发现攻击行为。因此,在本申请中使用检测设备,基于虚拟识别技术,摒弃了传统的签名机制,能够通过对漏洞的利用行为进行检测的方式,在恶意软件造成损失之前,发现恶意软件的存在。基于威胁分析检测设备以及虚拟识别技术,能够在恶意软件利用漏洞的阶段就能发现恶意软件的存在,同时基于获取到的与恶意软件对应的来源地址和受控服务器的地址发送第一报警信息,以便于进行后续的查杀流程。在威胁分析检测设备中使用的虚拟识别技术,为虚拟环境下对目标软件的行为进行跟踪,识别目标软件的行为否存在恶意破坏的动作,从而判别目标软件是否为恶意软件的技术,与现有技术中使用的沙箱检测机制不同,具体技术细节会在下文中进行描述。12、在入侵防御设备中,通过与传统入侵防护设备的联动,并基于所述信誉库中存储的记录,对恶意软件的下载行为以及与受控服务器通信的行为进行拦截,生成第二报警信息,并跟踪所述恶意软件的后续活动。在步骤12中使用入侵防御设备,位于防火墙和网络的设备之间,依靠对数据包进行检测(检查入网的数据包,确定数据包的真正用途,然后决定是否允许其进入内网)的方式,进行安全防御。在步骤12中,入侵防御设备首先从信誉库中获取与拦截到恶意软件行为对应的记录,对恶意软件下载病毒文件的行为以及与受控服务器进行远程通信的行为进行全面拦截,防止恶意软件从互联网上下载更多的病毒文件或者将获取到的本地隐私信息向内置的受控服务器进行发送。在拦截的同时,在入侵防御设备处生成第二报警信息。由于不确定已查出的恶意软件是否会进行其他行为,因此还需要对恶意软件的后续活动进行跟踪,防止出现后续的数据窃取或持续渗透活动。13、根据所述第一报警信息和所述第二报警信息,对已存在的恶意软件进行清理。在获取到第一报警信息和第二报警信息后,根据两处报警信息中的详细信息,对已经确认存在的恶意软件进行清理,防止恶意软件进行后续的破坏行为。;其中,所述虚拟识别技术为虚拟环境下对目标软件的行为进行跟踪,识别所述目标软件的行为是否存在恶意破坏的动作,从而判别所述目标软件是否为恶意软件的技术可选的,如图2所示,步骤11中,所述通过虚拟识别技术获取漏洞利用阶段的恶意软件,包括:101、监控网络协议,所述网络协议包括远程文件传输协议、简单邮政传输协议、网络文件服务器、用户数据包协议以及超文本传输协议。这里的远程文件传输协议(FileTransferProtocol,FTP)允许用户将远程主机上的文件拷贝到自己的计算机上。简单邮政传输协议(SimpleMailtransferProtocol,SMTP)则用于传输电子邮件。网络文件服务器(NetworkFileServer,NFS)可使多台计算机透明地访问彼此的目录。用户数据包协议(UserDatagramProtocol,UDP和TCP一样位于传输层,和IP协议配合使用,在传输数据时省去包头,但它不能提供数据包的重传,所以适合传输较短的文件。超文本传输协议(Hypertexttransferprotocol,HTTP)由于其简捷、快速的方式,适用于分布式超媒体信息系统。列举出的上述协议属于互联网中的基础协议,无论攻击者采用何种攻击方式,基本无法绕开上述协议,因此,对上述基本协议进行监控,能够扩大对恶意软件的检测范围。102、在所述网络协议中确定可疑文件,通过调用与所述可疑文件对应的文件解析模块,将所述可疑文件从流量形式还原为文件形式。103、在虚拟环境下运行所述可疑文件,获取运行后内存指令的调用情况以及对操作系统保护机制采取的处理方式。104、如果所述调用情况超出了正常文件的调用范围和/或对所述操作系统保护机制采取了绕行的处理方式,则判定所述可疑文件为恶意软件。为了便于理解,此处以常用的PDF文件为例,对步骤102至步骤104进行描述。首先,在执行步骤101的内容后,在SMTP协议的流量中检测到一个后缀名为.pdf的文件,调用文件解析模块,将该文件从检测到的流量中还原为文件的形式。其次,在多个虚拟机环境下不同的操作系统中,使用不同的PDF读取工具尝试打开获取到文件,这里之所以需要使用多个不同的环境、系统以及工具的组合,是因为尚且无法确认该文件利用的漏洞,是针对何种环境、何种系统或工具的组合。再次,当该文件被触发后,通过检测内存指令层面的变化来确认是否存在利用漏洞的情况,如果确认存在漏洞被利用的情况,则已经可疑确定该文件为高级恶意软件。同时如果该文件的内存调用情况已经超出了正常文件的调用范围,例如调用系统核心进程所划定的内存空间或者请求超过系统过半内存空间时,可疑判定该文件为恶意软件,或者为采用新型攻击方式的高级恶意软件。如果检测到文件被触发后,对操作系统的保护机制(例如数据执行保护dataexecutionprevention-DEP,地址空间布局随机化Addressspacelayoutrandomization-ASLR)采取绕行的处理方式,同样能够判定该文件属于高级恶意软件。在步骤11中,通过使用基于虚拟机的虚拟识别技术对恶意软件进行检测,并观察软件的真实行为,摒弃了传统的签名方式,能够在漏洞利用阶段发现恶意软件,由于在判定过程中加入对内存调用的参考,防止恶意软件具有对沙箱等传统方式的逃避技术;并且对后续的攻击过程进行跟踪,从而获取恶意软件的完成行为活动记录,能够对恶意软件的危害程度、扩散方式等信息进行较为详细的掌握。可选的,所述信誉库,包括:云端信誉库和本地信誉库;在所述云端信誉库中存储有报警信息的记录,本地信誉库定期通过所述云端信誉库进行记录更新;在所述本地信誉库中存储有本地网络获取到的报警信息,所述报警信息包含恶意软件的来源地址和受控服务器的地址。在实施中,由于现实中攻击主要阶段的时间越来越短,往往在数小时甚至数秒内完成,在如此短的时间内如果完全依赖人工响应已经不太可能,需要建立一种基于信誉系统的自动化的方式来控制威胁的发展,从而直接阻断相关流量。作为信誉系统的具体体现,信誉库分为云端信誉库和本地信誉库两部分。本地信誉库收集本地网络中部署的威胁检测设备的报警信息,提取出恶意软件的来源地址和受控服务器的地址以及软件特征码,进而通过整合形成的安全情报数据库。而云端信誉库能够归并所有与之连接的本地信誉库的记录内容,并且通过多方合作的形式,形成更加全面完整的情报数据,进而推送至所有与之连接的本地信誉库,以便于入侵防护设备基于推送更新的特征标识进行自动化的防御。可选的,所述第二报警信息包括所述恶意软件的下载路径以及与所述受控服务器的通信端口。在实施中,恶意软件在被触发后,会主动的联网以便下载最新的病毒库或将获取到的重要信息发送至预设位置的受控服务器,此时IPS将病毒库的下载路径或是与受控服务器的通信端口进行拦截记录,便于后期对恶意软件的攻击方式进行分析。可选的,如图3所示,所述防御方法还包括:14、根据所述第一报警信息和所述第二报警信息,对所述恶意软件进行逆向分析,确定所述恶意软件的攻击流程。在实施中,基于第一报警信息和第二报警信息,除了对恶意软件直接进行清理外,还可以对恶意软件的攻击流程、攻击方式进行记录分析,确定该恶意软件完整的活动行为记录,便于对恶意软件的危害、扩散方式等内容有较为全面的掌握。本发明实施例提供了新型未知恶意软件的防御方法,包括在使用虚拟识别技术获取漏洞利用阶段的恶意软件生成第一报警信息,并将报警信息添加至信誉库的记录,基于信誉库中存储的记录,对恶意软件的下载行为以及与受控服务器通信的行为进行拦截,生成第二报警信息,根据第一报警信息和第二报警信息,对已存在的恶意软件进行清理。通过使用虚拟识别技术和信誉库,能够在利用漏洞时确认恶意软件的存在,并且对恶意软件的后续活动进行跟踪。相对于现有技术,能够对使用新型攻击方式的恶意软件进行识别,摒弃了使用签名方式带来的检测滞后性,提高了对恶意软件的防御能力,降低恶意软件造成的损失。实施例二本发明还提供了新型未知恶意软件的防御设备2,如图4所示,所述防御设备2,包括:处理模块21,用于在威胁分析检测设备中,通过虚拟识别技术获取漏洞利用阶段的恶意软件,生成包括来源地址和受控服务器的地址的第一报警信息,将所述报警信息添加至信誉库的记录中.拦截模块22,用于在入侵防御设备中,通过与传统入侵防护设备的联动,并基于所述信誉库中存储的记录,对恶意软件的下载行为以及与受控服务器通信的行为进行拦截,生成第二报警信息,并跟踪所述恶意软件的后续活动。清理模块23,用于根据所述第一报警信息和所述第二报警信息,对已存在的恶意软件进行清理;其中,所述虚拟识别技术为虚拟环境下对目标软件的行为进行跟踪,识别所述目标软件的行为是否存在恶意破坏的动作,从而判别所述目标软件是否为恶意软件的技术。在实施中,本发明还提供了新型未知恶意软件的防御设备,包括处理模块21、拦截模块22和清理模块23共三个部件,分别用于执行实施例一中的11、12和13的三个步骤,在实际使用过程中,处理模块典型的可以为威胁分析检测设备(ThreatAnalysisCenter,TAC),能够基于虚拟识别技术,摒弃了传统的签名机制,能够通过对漏洞的利用行为进行检测的方式,在恶意软件造成损失之前,发现恶意软件的存在。拦截模块22典型的可以为入侵防御设备(IntrusionPreventionSystem,IPS),依靠从信誉库中的记录对拦截到的数据包进行检测,实现防御的效果。处理模块21和拦截模块22具体的处理流程可以参考实施例一中步骤11和步骤12的详细内容,此处不再进行赘述。可选的,如图5所示,所述处理模块21,包括:监控子模块211,用于监控网络协议,所述网络协议包括远程文件传输协议、简单邮政传输协议、网络文件服务器、用户数据包协议以及超文本传输协议.转换子模块212,用于在所述网络协议中确定可疑文件,通过调用与所述可疑文件对应的文件解析模块,将所述可疑文件从流量形式还原为文件形式。运行子模块213,用于在虚拟环境下运行所述可疑文件,获取运行后内存指令的调用情况以及对操作系统保护机制采取的处理方式。判定子模块214,用于如果所述调用情况超出了正常文件的调用范围和/或对所述操作系统保护机制采取了绕行的处理方式,则判定所述可疑文件为恶意软件。在实施中,监控子模块211用于,在执行步骤101的内容后,在SMTP协议的流量中检测到一个后缀名为.pdf的文件,通过转换子模块212调用文件解析模块,将该文件从检测到的流量中还原为文件的形式。运行子模块213,用于在多个虚拟环境下不同的操作系统中,使用不同的PDF读取工具尝试打开获取到文件,这里之所以需要使用多个不同的环境、系统以及工具的组合,是因为尚且无法确认该文件利用的漏洞,是针对何种环境、何种系统或工具的组合。判定子模块214,用于当该文件被触发后,通过检测内存指令层面的变化来确认是否存在利用漏洞的情况,如果确认存在漏洞被利用的情况,则确定该文件为高级恶意软件。同时如果该文件的内存调用情况已经超出了正常文件的调用范围,例如调用系统核心进程所划定的内存空间或者请求超过系统过半内存空间时,可疑判定该文件为恶意软件,或者为采用新型攻击方式的高级恶意软件。如果检测到文件被触发后,对操作系统的保护机制(例如数据执行保护dataexecutionprevention-DEP,地址空间布局随机化Addressspacelayoutrandomization-ASLR)采取绕行的处理方式,同样能够判定该文件属于高级恶意软件。可选的,所述信誉库,包括:云端信誉库和本地信誉库;在所述云端信誉库中存储有报警信息的记录,本地信誉库定期通过所述云端信誉库进行记录更新;在所述本地信誉库中存储有本地网络获取到的报警信息,所述报警信息包含恶意软件的来源地址和受控服务器的地址。在实施中,恶意软件在被触发后,会主动的联网以便下载最新的病毒库或将获取到的重要信息发送至预设位置的受控服务器,此时IPS将病毒库的下载路径或是与受控服务器的通信端口进行拦截记录,便于后期对恶意软件的攻击方式进行分析。可选的,所述第二报警信息包括所述恶意软件的下载路径以及与所述受控服务器的通信端口。在实施中,恶意软件在被触发后,会主动的联网以便下载最新的病毒库或将获取到的重要信息发送至预设位置的受控服务器,此时IPS将病毒库的下载路径或是与受控服务器的通信端口进行拦截记录,便于后期对恶意软件的攻击方式进行分析。可选的,如图6所示,所述防御设备2还包括:分析模块24,用于根据所述第一报警信息和所述第二报警信息,对所述恶意软件进行逆向分析,确定所述恶意软件的攻击流程。在实施中,基于第一报警信息和第二报警信息,除了对恶意软件直接进行清理外,还可以对恶意软件的攻击流程、攻击方式进行记录分析,确定该恶意软件完整的活动行为记录,便于对恶意软件的危害、扩散方式等内容有较为全面的掌握。本发明实施例提供了新型未知恶意软件防御设备,包括在使用虚拟识别技术获取漏洞利用阶段的恶意软件生成第一报警信息,并将报警信息添加至信誉库的记录,基于信誉库中存储的记录,对恶意软件的下载行为以及与受控服务器通信的行为进行拦截,生成第二报警信息,根据第一报警信息和第二报警信息,对已存在的恶意软件进行清理。通过使用虚拟识别技术和信誉库,能够在利用漏洞时确认恶意软件的存在,并且对恶意软件的后续活动进行跟踪。相对于现有技术,能够对使用新型攻击方式的恶意软件进行识别,摒弃了使用签名方式带来的检测滞后性,提高了对恶意软件的防御能力,降低恶意软件造成的损失。上述实施例中的各个序号仅仅为了描述,不代表各部件的组装或使用过程中的先后顺序。以上所述仅为本发明的实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。