CN106888196A

CN106888196A - 一种未知威胁检测的协同防御***

Info

Publication number: CN106888196A
Application number: CN201510946626.6A
Authority: CN
Inventors: 王红凯; 张旭东; 郑生军; 李建华; 夏正敏; 南淑君; 伍军; 夏业超; 党林涛
Original assignee: Shanghai Jiaotong University; State Grid Corp of China SGCC; Beijing Guodiantong Network Technology Co Ltd; Information and Telecommunication Branch of State Grid Zhejiang Electric Power Co Ltd; Information and Telecommunication Branch of State Grid Jibei Electric Power Co Ltd; Information and Telecommunication Branch of State Grid Gansu Electric Power Co Ltd
Current assignee: Shanghai Jiaotong University; State Grid Corp of China SGCC; Beijing Guodiantong Network Technology Co Ltd; Information and Telecommunication Branch of State Grid Zhejiang Electric Power Co Ltd; Information and Telecommunication Branch of State Grid Jibei Electric Power Co Ltd; Information and Telecommunication Branch of State Grid Gansu Electric Power Co Ltd
Priority date: 2015-12-16
Filing date: 2015-12-16
Publication date: 2017-06-23

Abstract

一种未知威胁检测的协同防御***，包括入侵防御模块、入侵检测模块、调度模块、信誉模块。***通过对网络***的流量进行包括恶意软件检测、应用行为检测、业务规则检测、攻击行为检测等的入侵防御并进一步对未识别数据流进行包括AV检测、智能ShellCode检测、虚拟执行检测等入侵检测，然后把检测到的威胁结果送至集中管理中心进行分析和告警，并把威胁详情添加入本地信誉库，本地信誉库可以与云安全中心进行数据交换，得到全球其它位置生成的信誉。本发明通过入侵检测模块和入侵防御模块协同防御，构建了一个预防、检测、控制、响应一体的安全闭环的方案，不仅发现高级恶意软件威胁，而且能控制、清除威胁，提升应对新一代威胁及高级恶意软件的安全能力。

Description

一种未知威胁检测的协同防御***

技术领域

本发明涉及恶意程序检测技术和网络安全防御领域，特别涉及一种未知威胁检测的协同防御***。

背景技术

信息与互联网技术的发展，在带来生活上的便利和工作效率上的提升的同时，也增加了网络***遭受未知威胁攻击的风险。特别是当前面对新一代威胁时传统安全技术需要有一段时间来发现攻击并提供相对应的检测签名，而这段时间有可能攻击者已经造成了实质性的重大损失。而且新一代威胁往往使用多态、变形等高级逃避技术，无疑使发现攻击所需要的时间大大增加，并很难持续有效，新一代威胁具有极强的目标性，往往面对特定的组织目标进行定制化的攻击，在不知情的状态下，悄悄的已经达成了攻击目的。网络罪犯、地下黑客产业者、黑客行动主义者以及有国家背景的攻击者等团体利用极具技术含量的新一代威胁来规避传统安全技术，窃取敏感的知识产权或个人数据，对企业造成财务和声誉上的损害，也会针对国家的关键基础设施进行网络间谍活动甚至网络战争，包括供电网络、银行业务以及涉及国家安全的高度敏感信息等。特别是国家电网公司具有网络规模大、部署环境复杂等特点，如何在如此大规模的网络中实现网络数据流的攻击检测，对建立网络攻击检测模型的准确性与监测的实时性提出了非常高的要求。

中国专利申请号201210330483，发明名称“入侵检测和防护的方法及设备”通过在传输层对接收的第一数据进行解码和过滤，得到第二数据；应用层对第二数据进行解码，得到第三数据；在应用层对第三数据进行会话流重组，得到第四数据；在应用层对第四数据进行检测。该专利提供的方案是对传输层的数据包进行解码和过滤，通过在传输层对数据包进行解码和过滤，在应用层对数据包进行会话流重组，减少了处理的数据量，从而提高了入侵检测的有效性和准确性，但是仅对数据进行解码分析难以应对攻击者使用多阶段的攻击方式。

中国专利申请号201420531396，发明名称“一种网络入侵防御***”，通过日志分析服务器连接有日志分析响应模块和监控终端，并从日志分析服务器搜集信息，得到相关的威胁信息，然后把威胁信息发往日志分析响应模块，日志分析响应模块判断威胁的调节充分，保证对合法用户不会形成一种新的攻击。该专利提供的方案是该***各部分能相互协调、协作形成一个整体，完成整个威胁响应生命周期的自动管理，但是仅依赖日志分析获取威胁信息，无法做到实时防御。

发明内容

针对以上入侵检测和防御***应对大量、高级恶意程序攻击时所存在的不足，本发明提供了一种未知威胁检测的协同防御***，该***采用入侵检测和入侵防御联动协同的防御***，构建了一个预防、检测、控制、响应一体，并有效形成安全闭环的方案，不仅发现高级恶意软件威胁，而且能控制、清除威胁，提升应对新一代威胁及高级恶意软件的安全能力，防止由此出现的敏感数据泄露、业务中断等各种风险。

本发明所实现的***具体方案如下：

一种未知威胁检测的协同防御***，包括：入侵防御模块、入侵检测模块、调度模块和信誉库模块；

所述的入侵防御模块，用于进行初步威胁识别，对可信数据进行放行，对非可信数据进行阻断，对既不是可信数据也不是非可信数据转发给入侵检查模块，并发送日志信息至调度模块；

所述的入侵检测模块，用于进行深入威胁检测，将攻击行为传送到调度模块；

所述的调度模块，用于进行集中管理和威胁告警，即将入侵防御模块发送的威胁数据流进行阻断，并向信誉库模块发出报警；

所述的信誉库模块，用于生成威胁特征，便于威胁识别。

入侵防御模块接收到数据流量，通过预设的策略进行动作。策略动作分3个方向：对于已知的，具有明威胁特征的数据流进行阻断；对于提前预设的可信流量进行放行；对于既属于威胁流量也不属于可信流量的数据进行标记，并发送给入侵检测模块设备进行下一步检测，同时发送日志信息至调度模块进行数据流情况记录。入侵防御模块接收信誉库数据，检测或阻截恶意软件的下载活动(基于其来源地址)，以及恶意软件的回连命令控制服务器等活动(基于命令控制服务器地址)。用以预防用户下载恶意软件，并控制其后续的数据窃取及持续渗透活动。

入侵检测模块接收到未知数据流，首选对该数据流进行应用协议的解码还原，同时对关键文件类型进行完整的文件还原解析。之后，通过智能ShellCode检测与虚拟执行检测判断是否存在攻击行为。如检测到疑似的攻击行为则将流量、文件、威胁特征等信息上送到调度模块。虚拟执行检测基于更深层的虚拟机实现技术，可以观察这些内存和指令级别的变化，从而找到漏洞利用阶段的高级恶意软件。虚拟执行检测模块判定文件是否是一个恶意软件，然后通过一个详细的分析报告，输出恶意软件完整的行为活动纪录，使安全人员对它的危害、扩散方式等多方面的信息有直接的掌握。虚拟执行技术可对零日攻击或已知攻击进行检测，并防止针对沙箱的逃避技术；该技术记录基于恶意软件在虚拟环境下的真实活动做判断基本不存在误报；该技术检测恶意软件整个活动周期，输出具体的报告，检测更全面并且可以帮助应急响应人员更针对性的处理安全事件。

调度模块接收到入侵检测模块发送的流量、文件、威胁特征等信息后，通过调度接口，对入侵防御模块之前发送的数据流进行阻断，同时，自动生成文件或协议特征至入侵防御模块，供之后的检测阻断使用。依据入侵防御模块和入侵防御模块的相关报警，集中管理中心可以进行事件关联分析，并直观的展示最危险的恶意软件、关键的受害主机等信息。用户可以根据需要使用专业的人工服务，对恶意软件做进一步的逆向分析了解其特性及危害，或对已经存在于内部网络的恶意软件进行清理。调度模块通过利用入侵检测和入侵防御模块实现以下功能：入侵防护、Web安全、流量控制、应用管理、威胁管理、脆弱性管理、资产管理、设备管理、协同管理。

信誉库模块分为两部分，企业信誉库和全球信誉库，企业信誉库收集本地网络内部署的入侵检测模块产品报警信息，提炼出恶意软件的来源地址和相应命令控制服务器地址，进行整合形成的安全情报数据库。而全球信誉库处于云端，它可以归并所连接的所有企业信誉库的情报内容，并且通过第三方合作等方式，形成更全面、完整的威胁情报数据，再推送到各企业信誉库，这些数据最终将被入侵防御模块等在线设备使用，来进行自动化的攻击防御。利用云端信誉库可以得到更完整的恶意软件的情报数据，基于其中的恶意软件来源地址数据可以防止用户访问恶意网站或邮件，而命令控制服务器地址数据可以用来检测、阻断已经进入内部的恶意软件接受外部控制的通信，防止攻击的进一步发展。云端安全中心的另一个重要作用是更深入的恶意软件分析，利用云端更强大的计算设备以及安全研究团队的人工分析，可以进行更复杂的攻击分析、态势预测等工作。威胁态势是随时变化的，因此本发明的信誉库具备以下特点：

1)自动生成：信誉数据的生成完全是自动化的过程，不需要人工干预，这就保障了信誉数据的及时性，从入侵检测模块产生报警，到生成信誉加载到入侵防御模块上，整个的过程可以在秒级的时间内完成，保障了防御的实时性。

2)信誉分级：信誉库和黑名单不同，是用于处理介于“好”和“坏”之间的灰色区域。一个网络对象是黑或者白，随着时间有可能不断变化。而要帮助安全产品在瞬间作出决定，就需要随时提供最佳答案。由于存在不确定性，没有信誉分级就意味着必然陷入对威胁拦截不足或者过度拦截的两难境地。强大的信誉***可以推算出动态信誉值，为管理员提供更高级别的准确性。最终用户可以基于不同的安全策略要求，灵活的配置不同的信誉等级对应何种的动作，包括通过、报警或者阻截。

3)动态更新：随着***不断获得有关某个对象的更多信息，应该使用这些信息作为基础持续调整信誉。如一台合法计算机受特洛伊木马程序恶意软件感染后,变成发送垃圾邮件的僵尸网络的一部分，然后该计算机得到清理后又恢复安全。这个过程中,该计算机完成了一个循环，从低风险到高风险，然后再回到低风险。信誉***能够随时反映计算机的精确状态。

只有这种基于动态信誉机制的***，才能有效的分享安全情报，通过分享让每个用户都能获得更及时全面的防御能力。

附图说明

图1是本发明一种未知威胁检测的协同防御***的模块结构图。

图2是本发明一种未知威胁检测的协同防御***的工作原理图。

图3是本发明一种未知威胁检测的协同防御方法的流程图。

具体实施方式

本发明实施例在以本发明技术方案为前提下实施，给出了详细的实施方式和具体的操作过程，但本发明的保护范围不限于下面的实施例，下面对本发明的实施例作详细说明。

下面参照附图，对本发明的具体实施方式作进一步的详细描述。

图1是本发明一种未知威胁检测的协同防御***的模块结构图，如图所示，包括：未知恶意威胁和已知恶意软件等攻击100、入侵检测模块104、入侵防御模块105、调度模块106、信誉库模块109。其中未知恶意威胁和已知恶意软件100包括传统安全机制无法有效检测和防御的、往往会造成更大破坏新型攻击手段如0day恶意软件101、APT恶意软件102、未知恶意软件103等。这些恶意软件在进入内网***之前，先经过本发明的入侵检测模块104和入侵防御模块105进行发现和阻拦，调度模块106的集中管理中心107会对这些攻击进行响应，并与云安全中心108比对发现攻击类型和应对方案，并根据攻击类型建立企业信誉库和全球信誉库，提供进行更复杂的攻击分析、态势预测等工作。

图2是本发明一种未知威胁检测的协同防御***的工作原理图。入侵防御模块105接收到数据流量，进行URL Mail信誉识别204、传统入侵防御205、用户行为基线对比206、行为审计记录对比207、检测联动208等，并将结果通过预知的策略进行动作。策略动作分三个方向：对于已知具有明显威胁特征的数据流进行阻断；对于提前预设的可信流量进行放行；对于既不属于威胁流量也不属于可信流量的数据进行标记，并发送给入侵检测模块104进行下一步检测，同时发送日志信息至调度模块106进行数据流情况记录。

入侵检测模块104接收到入侵防御模块105发送的未知数据流，首先对数据流进行应用协议的解码还原209并进行文件信誉识别210和AV检测211，同时对关键文件类型进行完整的文件还原解析212。之后对还原的文件进行智能ShellCode检测213与虚拟执行检测214判断是否存在攻击行为。如检测到疑似的攻击行为，则将流量、文件、威胁特征等信息上送到调度模块106。为了更好的说明入侵检测的主要功能单元——虚拟执行检测214，下面举一个PDF文件检测的场景，来说明具体的工作过程：

1)首先要监控主要的网络协议，恶意软件可能通过邮件、Web或文件共享的方式下载到用户机器中，因此首先要对这些应用协议进行识别及还原；

2)假设在邮件协议流量中发现了一个PDF的附件，那么将调用相应的文件解析模块，将PDF从流量中还原为文件的形式；

3)将这个PDF放入到多个虚拟机环境下尝试使用不同的PDF软件版本打开运行，之所以需要多个不同***及应用软件组合的虚拟环境，是因为不确认如果这个PDF是恶意软件的话，其中的漏洞针对***或软件的那个版本。

4)后续将观察PDF文件被触发后，内存指令层面的变化，以确认是否存在漏洞利用的情况。这时候基本可以确定PDF是否是一个高级恶意软件了。如果这个恶意软件使用了一些特殊的高级逃避技术，有可能存在无法在设备中发现后续行为特征的情况，就需要依赖专业的人工服务，通过逆向工程来进行分析。绝大多数情况下，设备可以继续检测工作。

5)观察文件在虚拟机中的后续行为动作，包括进程和模块加载、文件和网络访问等，并依据一个正常PDF的行为特征进行比对分析，可以发现其中那些不是正常PDF应有的行为。这其中就包括恶意软件的下载以及后续的连接命令控制通道等网络活动信息。

6)综合以上所有的观察结果，虚拟执行检测模块判定这个文件是否是一个恶意软件，并通过一个详细的分析报告，输出恶意软件完整的行为活动纪录。使安全人员对它的危害、扩散方式等多方面的信息有直接的掌握。

调度模块106接收到入侵检测模块104发送的流量、文件、威胁特征等信息215后，通过调度接口，对入侵防御模块105之前发送的数据流进行阻断，同时，自动生成文件或协议特征至入侵防御模块105，供以后的检测阻断使用。本模块提供流量、文件、威胁特征、检测方法等的关联显示216，便于用户决策。

信誉库模块109接收调度模块106的报警，基于恶意软件的来源地址以及回连命令控制服务器地址生成包括文件信誉、URL信誉、Mail信誉等的企业本地信誉库218。根据用户配置，企业信誉库可以和云安全中心进行数据交换，得到全球其它位置部署的入侵检测模块报警生成的全球信誉库219。

图3是发明一种未知威胁检测的协同防御方法的流程图，首先开启防御模块300等待外部输入301，若有数据流302进入协同防御***，则进行防御策略判断303，选择恶意软件检测305、应用行为检测306、业务规则检测307、攻击行为检测308等一种或几种防御检测动作304，若为可信数据，则放行309，若为非可信数据则阻断310。然后将数据流转发311至下一步入侵检测模块进行检测，判断检测策略312，选择ShellCode检测314、虚拟执行检测315等入侵检测动作315的一种或几种进行检测。调度模块等待入侵检测结果316，若为可信数据则放行309，若为非可信数据则阻断310并根据所检测到的威胁特征更新入侵防御***的检测特征。

Claims

1.一种未知威胁检测的协同防御***，包括：入侵防御模块、入侵检测模块、调度模块和信誉库模块；

所述的信誉库模块，用于生成威胁特征，便于威胁识别。

2.根据权利要求1所述的未知威胁检测的协同防御***，其特征在于，所述的入侵防御模块接收到数据流量，通过预设的策略进行动作，策略的检测方法包括恶意软件检测、应用行为检测、业务规则检测和攻击行为检测，策略的动作包括：对已知具有明威胁特征的数据流进行阻断；对提前预设的可信流量进行放行；对既不属于威胁流量也不属于可信流量的数据进行标记，并发送给入侵检测模块进行下一步检测，同时发送日志信息至调度模块进行数据流情况记录。

3.根据权利要求1所述的未知威胁检测的协同防御***，其特征在于，所述的入侵检测模块接收到未知数据流，首选对数据流进行应用协议的解码还原，其次对关键文件类型进行完整的文件还原解析，然后通过智能ShellCode检测与虚拟执行检测判断是否存在攻击行为，最后将检测到的疑似攻击行为的流量、文件、威胁特征等信息传送至调度模块。

4.根据权利要求3所述的未知威胁检测的协同防御***，其特征在于，所述的虚拟执行检测是通过为未知威胁文件建立虚拟执行环境来判定文件是否为恶意软件，然后通过一个详细的分析报告，输出恶意软件完整的行为活动纪录，使安全人员掌握所述恶意软件的危害、扩散方式方面的信息。

5.根据权利要求1所述的未知威胁检测的协同防御***，其特征在于，所述的调度模块接收到入侵检测模块发送的流量、文件、威胁特征信息后，通过调度接口，对入侵防御模块发送的威胁数据流进行阻断，并自动生成文件或协议特征至入侵防御模块，供以后的防御阻断使用。

6.根据权利要求5所述的未知威胁检测的协同防御***，其特征在于，所述调度模块依据入侵防御模块和入侵防御模块的威胁检测信息，集中管理中心进行事件关联分析，并直观的展示最危险的恶意软件、关键的受害主机信息；用户根据需要使用专业的人工服务，对恶意软件做进一步的逆向分析了解其特性及危害，或对已经存在于内部网络的恶意软件进行清理。

7.根据权利要求1所述的未知威胁检测的协同防御***，其特征在于，所述信誉库模块包括企业信誉库和全球信誉库，所述信誉库模块接收调度模块的报警，基于恶意软件的来源地址以及回连命令控制服务器地址，生成企业本地信誉库；根据用户配置，企业信誉库与云安全中心进行数据交换，得到全球其它位置部署的入侵检测模块报警生成的信誉。

8.根据权利要求7所述的未知威胁检测的协同防御***，其特征在于，所述全球信誉库处于云端，用于归并所连接的所有企业信誉库的情报内容，并且通过第三方合作方式，形成更全面、完整的威胁情报数据。