技术领域
[0001] 本
发明属于
计算机网络安全领域,具体来说是一种网络威胁分析系统,用于保护客户网络免遭0day等攻击造成的各种
风险。
背景技术
[0002] 如今,政府和企业同时面临着一个不断演变的网络威胁环境。最初的黑客攻击是为了获得影响
力及自我满足去攻击媒体
网站,而现在已演变成为了经济、政治等目的的攻击。攻击者能够通过窃取知识产权来直接获取利益,也可以入侵、窃取客户的个人金融信息,甚至直接加密文档后进行赤裸裸的勒索,更有甚者破坏对方的服务以至国家的
基础设施。动机的变化,同时也带来了攻击方式的变化。从过去广泛、漫无目的的攻击威胁,在数年内迅速的转化为针对受害者组织将造成严重后果的高级可持续威胁(Advanced Persistent Threat)。例如勒索
软件,在最近两年,呈现爆发式增长。
[0003] 高级可持续威胁具备以下三个特点:
[0004] 高级:攻击者为黑客入侵技术方面的专家,能够自主的开发攻击工具,或者挖掘漏洞,并通过结合多种攻击方法和工具,以达到预定攻击目标。
[0005] 持续性渗透:攻击者会针对确定的攻击目标,进行长期的渗透。在不被发现的情况下,持续攻击以获得最大的效果。
[0006] 威胁:这是一个由组织者进行协调和指挥的人为攻击。入侵团队会有一个具体的目标,这个团队训练有素、有组织性、有充足的资金,同时有充分的政治或经济动机。
[0007] APT威胁往往可以绕过
防火墙、IPS、AV以及网闸等传统的安全机制,悄无声息的从企业或政府机构获取高级机密资料。现今主流的安全防御机制,往往由防火墙或NGFW、入侵检测、网闸以及防毒软件建构其核心检测能力,这些产品依靠已知攻击特征码进行模式匹配来检测已知的网络攻击,在一些特定情况下,也可能检测针对已知漏洞的新型攻击。这样的解决方案,能非常有效的监测到一般的已知网络攻击,如:蠕虫、特洛伊木
马、
间谍软件、botnet及基本的电脑病毒等,但针对现今最威胁的高级可持续威胁,却完全没有招架之力。在大多数情况下,APT攻击面对传统的安全防御机制时,有如入无人之境,因为这些攻击没有特征码,故传统的防御机制无法检测攻击者在起始阶段所采取的攻击手段,最终导致网络攻击者可以任意的控制网络。
[0008] 一些防护更深入的传统方案,会结合IPS或者NBA产品进行
异常检测,协助找到网络攻击,这种方式虽然可以侦测到新型的APT威胁,但是由于经常受到误报的影响(将正常流量归为异常),因此防御效果不佳,并且也容易出现漏报的问题。正是因为传统安全防御机制在APT攻击下缺乏必要的监测能力,因此近年来有大量的建立较完善传统防御机制的企业被APT攻击者成功得手。
[0009] 针对APT,国内外安全界曾经提出了多种不同的检测或
预防技术,安全厂商往往使用这些方法的组合来进行分析监测,这些技术包括:
[0010] 一、采用深度包检测进行网络分析;
[0011] 二、自动文件静态分析;
[0012] 三、基于
可视化、报警等进行手动分析。
[0013] 这些方式在使用中,被发现了各种问题,包括误报率高、大量漏报的问题、也包括对安全管理人员的要求过高,以至于大多数组织无法使产品发挥预想的检测作用,因而没有被市场广泛认可。
发明内容
[0014] 本发明的目的就是为了解决上述问题,创新性地提出了一种网络威胁分析方法和系统。
[0015] 网络威胁分析系统(以下简称TAC)采用多核、虚拟化平台,通过并行
虚拟环境检测及流处理方式达到更高的性能和更高的检测率。
[0016] 系统共四个核心检测组件:信誉检测引擎、病毒检测引擎、静态检测引擎(包含漏洞检测及shellcode检测)和动态沙箱检测引擎,通过多种检测技术的并行检测,在检测已知威胁的同时,可以有效检测0day攻击和未知攻击,进而能够有效地监测高级可持续威胁。
[0017] 主要功能包括:
[0018] 多种应用层及文件层解码
[0019] 从高级可持续威胁的攻击路径上分析,绝大多数的攻击来自与Web冲浪,钓鱼邮件以及文件共享,基于此监测系统提供以上相关的应用协议的解码还原能力,具体包括:HTTP、SMTP、POP3、IMAP、FTP。
[0020] 为了更精确的检测威胁,
监控系统考虑到高级可持续威胁的攻击特点,对关键文件类型进行完整的文件还原解析,系统支持了以下的文件解码:
[0021] Office类:Word、Excel、PowerPoint…
[0022] Adobe类:.swf、.pdf…
[0023] 不同的压缩格式:.zip、.rar、.gz、.tar、.7z,.bz…
[0024] 图片类:jpg、jpeg、bmp….。
[0025] 独特的信誉设计
[0026] TAC利用广阔的全球信誉,让检测更加高效、精准,当文件被还原出来后,首先进入信誉检测引擎,利用全球信誉库的信息进行一次检测,如果文件命中则提升在非动态环境下的检测优先级但不放到动态检测引擎中进行检测,如有需求可手动加载至动态检测引擎用以生成详细的报告。目前的信誉值主要有文件的MD5、CRC32值,该文件的下载URL地址、IP等信息。
[0027] 集成多种已知威胁检测技术:AV、基于漏洞的静态检测
[0028] 系统为更全面的检测已知、未知
恶意软件,同时内置AV检测模
块及基于漏洞的静态检测模块。
[0029] 动态沙箱检测
[0030] 动态沙箱检测,也称虚拟执行检测,它通过
虚拟机技术建立多个不同的应用环境,观察程序在其中的行为,来判断是否存在攻击。这种方式可以检测已知和未知威胁,并且因为分析的是真实应用环境下的真实行为,因此可以做到极低的误报率,而较高的检测率。
[0031] 完备的虚拟环境
[0032] 目前典型的APT攻击多是通过钓鱼邮件、诱惑性网站等方式将恶意代码传递到内网的终端上,TAC支持http、pop3、smtp、imap、smb等典型的互联网传输协议。受设备内置虚拟环境有限影响,会存在部分文件无法运行,TAC内置静态检测引擎,通过模拟CPU指令集的方式来形成轻量级的虚拟环境,以应对以上问题。
[0033] 多核虚拟化平台
[0034] 系统设计在一台机器上运行多个虚拟机,同时利用并行虚拟机加快执行检测任务,以达到一个可扩展的平台来处理现实世界的高速网络流量,及时、有效的进行威胁监测。
附图说明
[0035] 通过以下参照附图而提供的具体实施方式部分,本发明的特征和优点将变得更加容易理解,在附图中:
[0036] 图1是本发明所提供的一种网络威胁分析方法的流程示意图;
[0037] 图2是本发明所提供的一种网络威胁分析方法的另一种流程示意图;
[0038] 图3是本发明提供的一种网络威胁分析系统的结构示意图;
[0039] 图4是本发明提供的一种网络威胁分析系统的多核平台结构图;
具体实施方式
[0040] 针对
现有技术中存在的问题,本发明
实施例提供了一种网络威胁分析的方法,如图1所示,该方法具体可以包括以下步骤:
[0041] 步骤1.根据
计算机系统的网络行为重组还原文件。
[0042] 具体的,从高级可持续威胁的攻击路径上分析,绝大多数的攻击来自与Web冲浪,钓鱼邮件以及文件共享,基于此监测系统提供以上相关的应用协议的解码还原能力,具体包括:HTTP、SMTP、POP3、IMAP、FTP等。
[0043] 进一步,为了更精确的检测威胁,分析系统考虑到高级可持续威胁的攻击特点,对关键文件类型进行完整的文件还原解析,系统支持了以下的文件解码:
[0044] Office类:Word、Excel、PowerPoint…
[0045] Adobe类:.swf、.pdf…
[0046] 不同的压缩格式:.zip、.rar、.gz、.tar、.7z,.bz…
[0047] 图片类:jpg、jpeg、bmp….。
[0048] 步骤2.将所述文件发送给动态沙箱检测环境。
[0049] 可选的,当文件被还原出来后,发送给动态沙箱检测环境之前,首先进行信誉检测,利用全球信誉库的信息进行一次检测,如果文件命中则提升在非动态环境下的检测优先级但不放到动态检测引擎中进行检测,如有需求可手动加载至动态检测引擎用以生成详细的报告。目前的信誉值主要有文件的MD5、CRC32值,该文件的下载URL地址、IP等信息。
[0050] 步骤3.所述动态沙箱检测环境根据所述文件的不同类型,以模拟CPU指令集的方式分别形成对应的轻量级虚拟环境。
[0051] 具体的,动态沙箱检测,也称虚拟执行检测,它通过虚拟机技术建立多个不同的应用环境,观察程序在其中的行为,来判断是否存在攻击。这种方式可以检测已知和未知威胁,并且因为分析的是真实应用环境下的真实行为,因此可以做到极低的误报率,而较高的检测率。
[0052] APT攻击通过钓鱼邮件、诱惑性网站等方式将恶意代码传递到内网的终端上,TAC支持http、pop3、smtp、imap、smb等典型的互联网传输协议。受设备内置虚拟环境有限影响,会存在部分文件无法运行,TAC内置静态检测引擎,通过模拟CPU指令集的方式来形成不同的轻量级的虚拟环境,以应对以上问题。
[0053] 进一步,很多APT安全事件都是从防御较薄弱的终端用户处入手,因此TAC支持WINXP、WIN7、安卓等多个终端虚拟
操作系统。
[0054] 进一步,一台机器上运行多个虚拟机,同时利用并行虚拟机加快执行检测任务,以达到一个可扩展的平台来处理现实世界的高速网络流量,及时、有效的进行威胁监测。通过专
门设计的虚拟机管理程序来执行威胁分析的检测策略,管理程序支持大量并行的
执行环境,即包括操作系统、升级包、应用程序组合的虚拟机。每个虚拟机利用包含的环境,识别恶意软件及其关键行为特征。通过这种设计,达到了同时多并发流量、多虚拟执行环境的并行处理,提高了性能及检测率。
[0055] 步骤4.在所述虚拟环境中,针对所述文件的行为进行实时指令级分析,找到属于攻击威胁的行为特征。
[0056] 具体的,动态沙箱检测过程具备指令级的代码分析能力,可以
跟踪分析指令特征以及行为特征。指令特征包括了堆、栈中的代码执行情况等,通过指令运行中的内存空间的异常变化,可以发现各种溢出攻击等漏洞利用行为,发现0day漏洞。检测过程同时跟踪以下的行为特征,包括:
[0058] 服务、驱动
[0060] 文件访问、改写、下载
[0061] 程序端口监听
[0062] 网络访问行为等。
[0063] 系统根据以上行为特征,综合分析找到属于攻击威胁的行为特征,进而发现0day木马等恶意软件。系统发现恶意软件后,会持续观察其进一步的行为,包括网络、文件、进程、注册表等等,作为报警内容的一部分输出给安全管理员,方便追查和审计。而其中恶意软件连接C&C
服务器(命令与控制服务器)的网络特征也可以进一步被用来发现、跟踪botnet网络。
[0064] 步骤5.根据所述找到属于攻击威胁的行为特征形成审计报告。
[0065] 具体的,为了有效的进行安全响应,需要监测过程能够提供详尽的报警信息,使响应的安全人员可以有的放矢的开展工作。具体的报警信息可以包括:是否
修改了注册表,是否新建了进程,是否尝试对外连接命令与控制服务器,是否会直接感染其它机器等等。系统应设法监测恶意软件是否有上述的活动,并作为报警的一部分输出给安全管理员。
[0066] 作为本发明的另一实施例,分析方法在传统ShellCode检测基础上,增加了文件解码功能,通过对不同文件格式的解码,还原出攻击功能字段,从而在新的情势下,依然可以检测出已知、未知威胁。
[0067] 作为本发明的另一实施例,上述分析方法还使用AV反病毒检测及基于漏洞的静态检测。
[0068] AV检测采用启发式文件扫描技术,可对HTTP、SMTP、POP3、FTP等多种协议类型的百万种病毒进行查杀,包括木马、蠕虫、宏病毒、脚本病毒等,同时可对多线程并发、深层次压缩文件等进行有效控制和查杀。
[0069] 静态漏洞检测不同于基于攻击特征的检测技术,它关注与攻击威胁中造成溢出等漏洞利用的特征,虽然需要基于已知的漏洞信息,但是检测
精度高,并且针对利用同一漏洞的不同恶意软件,可以使用一个检测规则做到完整的
覆盖,也就是说不但可以针对已知漏洞和恶意软件,对部分的未知恶意软件也有较好的检测效果。
[0070] 本发明还提供了一种网络威胁分析系统,该系统包括:
[0071] 文件获取模块、文件发送模块、动态沙箱检测引擎、威胁分析模块以及报告生成模块,上述模块分别用于执行上述方法步骤1-5的功能,在此不再赘述。
[0072] 进一步,网络威胁分析系统还包括信誉检测引擎、病毒检测引擎、静态检测引擎。
[0073] 所述信誉检测引擎进行信誉检测,利用全球信誉库的信息进行一次检测,如果文件命中则提升在非动态环境下的检测优先级但不放到动态检测引擎中进行检测,如有需求可手动加载至动态检测引擎用以生成详细的报告。目前的信誉值主要有文件的MD5、CRC32值,该文件的下载URL地址、IP等信息。
[0074] 所述病毒检测引擎包括AV检测模块。AV模块采用启发式文件扫描技术,可对HTTP、SMTP、POP3、FTP等多种协议类型的百万种病毒进行查杀,包括木马、蠕虫、宏病毒、脚本病毒等,同时可对多线程并发、深层次压缩文件等进行有效控制和查杀。
[0075] 所述静态检测引擎关注与攻击威胁中造成溢出等漏洞利用的特征,虽然需要基于已知的漏洞信息,但是检测精度高,并且针对利用同一漏洞的不同恶意软件,可以使用一个检测规则做到完整的覆盖,也就是说不但可以针对已知漏洞和恶意软件,对部分的未知恶意软件也有较好的检测效果。
[0076] 进一步,所述静态检测引擎还可以执行智能ShellCode检测,在传统ShellCode检测基础上,增加了文件解码功能,通过对不同文件格式的解码,还原出攻击功能字段,从而在新的情势下,依然可以检测出已知、未知威胁。在系统中,此方式作为沙箱检测的有益补充,使系统具备更强的检测能力,提升攻击检测率。
[0077] 虽然参照示例性实施方式对本发明进行了描述,但是应当理解,本发明并不局限于文中详细描述和示出的具体实施方式,在不偏离
权利要求书所限定的范围的情况下,本领域技术人员可以对所述示例性实施方式做出各种改变。
