一种基于用户行为分析的高级持续性威胁分析方法与流程

本发明是一种基于用户行为分析的高级持续性威胁分析方法，属于网络安全技术领域。

背景技术：

现有技术中，高级持续性威胁（apt）是一种针对特定高价值的商业或政治实体目标的长时间持续性攻击。高级持续性攻击在长时间的攻击中通常会使用多种复杂技术并长期保持隐匿性，在顺利进入目标系统后往往会缓慢提升自己的权限，监控攻击目标并提取目标数据。对于这种隐蔽性极强的攻击，我们需要有能力即使发现并对其进行处理，保护系统安全、数据安全。

高级持续性威胁的攻击通常可分为4个阶段：搜集阶段，进入阶段，渗透阶段以及收获阶段。通常在不同阶段应用不同技术方法进行防御。

搜集阶段：在这一阶段攻击者主要收集目标信息并制定攻击计划。在此阶段如果能够通过威胁检测与预警系统发现攻击者对商业或政治团体的网络嗅探和扫描行为，提前进行防范，也可以减少系统信息的暴露。

进入阶段：在此阶段攻击者会试图通过各种方式获得系统内部的一台计算机或一个账户作为发动攻击的起点，常见方法有恶意链接、恶意文件、系统漏洞、购买肉鸡等。防御者可以通过防火墙等检测预警系统在此阶段进行防御。

渗透阶段：此阶段攻击者会通过已经建立的立足点在系统内部构建命令与控制信道（c&c）通过远程控制的方法逐步提升权限、搜索敏感数据，这一阶段可能会持续相当长的一段时间。在此阶段应当注重对全系统状态、用户行为的审计与分析，定期进行安全风险评估，加强权限管理与敏感数据管理。

收获阶段：在收获阶段攻击者会试图建立一条隐匿通信线路将之前阶段获得的有价值数据发送出来，此阶段一般会持续到攻击被发现为止。常见防御策略是加强对网络流量的审查，检测敏感流量与非法链接。

经对现有技术文献的检索发现，现有专利及申请中没有基于用户行为分析的对高级持续性威胁的检测方案。

技术实现要素：

针对现有技术存在的不足，本发明目的是提供一种基于用户行为分析的高级持续性威胁分析方法，以解决上述背景技术中提出的问题，本发明使用方便，便于操作，稳定性好，可靠性高。

为了实现上述目的，本发明是通过如下的技术方案来实现：一种基于用户行为分析的高级持续性威胁分析方法，包括如下步骤：

步骤1：接管系统内核所有程序执行管道；

步骤2：监控系统终端，若发现进程、文件等异常则系统告警；

步骤3：监控账户系统，如果在用户的登录行为中发现异常行为特征则向系统发出警告；

步骤4：监控系统数据访问，若发现异常行为如异常数据库操作则系统告警；

步骤5：监控网络层数据，如果发现有通过互联网服务如电子邮件的异常行为特征则系统告警；

步骤6：从内核层跨界提交捕获的软件执行api信息到应用层交给行为分析引擎，判断是否为恶意行为，若是则发出告警，若否，则返回步骤2继续执行。

进一步地，所述步骤1包括接管系统内核所有程序执行管道，捕捉各类系统及应用层操作，将执行过程中的各类指令转化为标准格式进行检测，其中捕捉所有执行性的操作，包括pe文件及各类脚本，将执行行为转化为操作指令，即使用内核函数接管系统中所有的执行进程和命令管道，捕捉内部执行过程和api函数调用情况，将执行过程转化为指令进行检测。

进一步地，所述步骤2包括监控系统里面所有文件的生成、重命名、改写、访问、执行、压缩以及从任何变动的文件中提取异常的关键字信息；所述变动包括：文件的新增、修改以及删除；所述关键字信息包括：文件名、文件类型、操作时间，所述监控系统所有进程的启动、行为、对系统驱动、证书的新增、修改以及删除。

进一步地，所述步骤3包括：监控系统账户系统，捕捉所有用户的登录行为，检查登陆行为的ip、位置、设备、密码错误次数、登录时间、所使用的证书等是否存在异常特征。当发现异常行为时则系统告警。

进一步地，所述步骤4包括：监控系统数据库服务器登陆、读取、查询、写入行为，如果发现异常大量的数据查询、数据库登陆失败次数过多、敏感数据被调取等异常行为则向系统告警。

进一步地，所述步骤5包括：监控系统网络层数据，检测是否存在敏感数据、异常文件通过网络服务流出流入，使用异常网络应用等行为，一旦检测到异常行为特征则系统告警。

本发明的有益效果：本发明的一种基于用户行为分析的高级持续性威胁分析方法，在用户终端层面捕获内核及内核信息，通过分析用户行为的可疑度并匹配攻击特征库进行决策，动态分析系统用户行为，确定是否存在恶意的攻击行为，从而达到检测高级持续性威胁，检测效率高，能够较全面地分析攻击在系统层面的行为情况。

附图说明

通过阅读参照以下附图对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显：

图1为本发明提供的基于用户行为分析的高级持续性威胁检测方法的流程示意图。

具体实施方式

为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体实施方式，进一步阐述本发明。

请参阅图1，本发明提供一种技术方案：一种基于用户行为分析的高级持续性威胁分析方法，包括如下步骤：

步骤1：接管系统内核所有程序执行管道；

步骤2：监控系统终端，若发现进程、文件等异常则系统告警；

步骤3：监控账户系统，如果在用户的登录行为中发现异常行为特征则向系统发出警告；

步骤4：监控系统数据访问，若发现异常行为如异常数据库操作则系统告警；

步骤5：监控网络层数据，如果发现有通过互联网服务如电子邮件的异常行为特征则系统告警；

步骤6：从内核层跨界提交捕获的软件执行api信息到应用层交给行为分析引擎，判断是否为恶意行为，若是则发出告警，若否，则返回步骤2继续执行

步骤1包括接管系统内核所有程序执行管道，捕捉各类系统及应用层操作，将执行过程中的各类指令转化为标准格式进行检测，其中捕捉所有执行性的操作，包括pe文件及各类脚本，将执行行为转化为操作指令，即使用内核函数接管系统中所有的执行进程和命令管道，捕捉内部执行过程和api函数调用情况，将执行过程转化为指令进行检测。

步骤2包括监控系统里面所有文件的生成、重命名、改写、访问、执行、压缩以及从任何变动的文件中提取异常的关键字信息；变动包括：文件的新增、修改以及删除；关键字信息包括：文件名、文件类型、操作时间，监控系统所有进程的启动、行为、对系统驱动、证书的新增、修改以及删除。

步骤3包括：监控系统账户系统，捕捉所有用户的登录行为，检查登陆行为的ip、位置、设备、密码错误次数、登录时间、所使用的证书等是否存在异常特征。当发现异常行为时则系统告警。

步骤4包括：监控系统数据库服务器登陆、读取、查询、写入行为，如果发现异常大量的数据查询、数据库登陆失败次数过多、敏感数据被调取等异常行为则向系统告警。

步骤5包括：监控系统网络层数据，检测是否存在敏感数据、恶意行为、异常文件通过网络服务流出流入，所述恶意行为包括：进程创建、线程创建、文件操作、网络操作、注册表操作、堆栈操作、线程注入、高级持续性威胁攻击，以及用户账号的操作使用异常网络应用等行为，一旦检测到异常行为特征则系统告警。

实施例1：本发明提供的基于用户行为分析的高级持续性威胁检测方法，使其能够在符合检测要求的前提下，尽可能地获取详细的用户行为，分析用户终端的进程、命令行参数、指令、使用的互联网服务、文件操作、数据访问等，分析得到用户行为异常，分析可疑、恶意行为。

具体针对windows操作系统下高级持续性威胁，具体的分析流程如图1所示，包括如下步骤：

第一步，接管系统内核所有程序执行管道，捕捉所有系统和应用层操作，即尽可能地将用户行为记录下来，将行为转化为标准化、可观察的操作指令，从而有利于进行检测。

第二步，监控用户系统终端的进程以及文件操作，监控系统里面所有文件的生成，重命名，改写，访问，执行，压缩，加密，从任何变动的文件中提取异常的关键字信息，变动包括：文件的新增、修改、压缩、加密以及删除；关键字信息包括：文件名（如svchost、notepad、cmd等）、文件类型（asp、php、dll、exe、sh等）、操作时间（如在上班时间之外）。监控系统所有进程的启动、行为、对系统驱动、证书的新增、修改以及删除。如果发现进程所执行程序的hash值发生变化、敏感文件被压缩、加密、嵌套、创建或导入敏感文件名、敏感文件类型，特别是可执行脚本文件，则向系统发出警报。

第三步，监控账户系统，捕捉所有用户的登录行为，检查登陆行为的ip、位置、设备、密码错误次数、登录时间、所使用的证书，如果发现登陆位置前所未有、账号连续登陆失败、账号异常时间登陆、使用过期或非法证书、使用未登记设备登陆等异常行为，则向系统发出警报。

第四步，监控用户对系统数据库的使用行为，如果该用户连续多次数据库认证失败，试图获取从未使用过的数据表、查看异常大小的数据量、异常时间登陆数据库、敏感数据库操作等行为，如果发现用户出现此类异常行为，则向系统发出警告。

第五步，监控网络层数据，监控用户使用的互联网服务，可定义多种异常特征，如首次出现的电子邮件收件人、发送未知后缀文件、异常加密文件、电子邮件附件大小异常、敏感文件上传、异常网络通讯软件使用等等，可据此向系统发出警告。

第六步，从内核层跨界提交捕获的软件执行api信息到应用层交给行为分析引擎，判断是否为恶意行为，主要用于防止攻击者远程控制系统内终端绕过其它用户行为分析手段通过命令行发起攻击。

本发明通过对用户操作行为、网络行为、文件行为进行监控和分析，从中匹配异常、恶意行为，对高级持续性威胁攻击者在系统内部的行为进行告警。

经过测试，本发明对windows环境下常见的高级持续性威胁有着很高的检出率，可以较为全面地分析系统内部终端上的异常行为，即使攻击较为复杂也会被本发明匹配到一部分恶意行为，对恶意行为数据进行统计并判断统计结果是否存在异常，若存在异常，则限制所述用户标识信息对应的用户权限信息，与目前通常通过在执行正常操作前设置输入验证码的操作程序相比。

以上对本发明的具体实施例进行了描述。需要理解的是，本发明并不局限于上述特定实施方式，本领域技术人员可以在权利要求的范围内做出各种变化或修改，这并不影响本发明的实质内容。在不冲突的情况下，本申请的实施例和实施例中的特征可以任意相互组合。

此外，应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。