一种高级威胁追溯的方法及系统的制作方法
一种高级威胁追溯的方法及系统的制作方法
【技术领域】
[0001]本发明涉及网络信息安全技术领域,尤其涉及一种高级威胁追溯的方法及系统。
【背景技术】
[0002]当今网络威胁已经上升到国家战略层面,网络攻击也从针对大众的无明确目的的恶意攻击转变成为目标明确的以发动信息战为目的的高级威胁攻击。由于传统反恶意程序软件采用的是黑名单机制,依靠单纯的特征码扫描技术作为核心技术,而高级威胁是一系列动态攻击行为的组合,无法通过特征码技术进行检测,并且很多高级威胁利用了系统漏洞等技术,这让传统安全软件无法防御。
【发明内容】
[0003]针对上述现有技术存在的不足和缺陷,本发明提出一种高级威胁追溯的方法及系统,通过对高级威胁样本静、动态分析,获取高级威胁追溯特征,并生成高级威胁追溯包,客户端解析高级威胁追溯包,利用其追溯特征对系统中的文件进行检测,判断是否存在高级威胁,并追溯存在威胁的文件,有效维护系统信息安全,防止潜在的高级威胁对系统的进一步攻击,或者利用指定设备进行跳板性的攻击。
[0004]具体
【发明内容】
包括:
一种高级威胁追溯的方法,包括:
服务器端对高级威胁样本利用启发式技术以及动态沙箱技术进行静、动态分析,获取高级威胁样本特征信息,将所述特征信息作为追溯特征,根据追溯特征生成高级威胁追溯包;
当有客户端请求使用高级威胁追溯包时,服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端;
指定客户端解析高级威胁追溯包,得到追溯特征,根据追溯特征进行高级威胁追溯。
[0005]进一步地,所述根据追溯特征生成高级威胁追溯包,具体为:使用JAS0N数据格式对追溯特征进行整理,对整理后的追溯特征进行打包加密,生成高级威胁追溯包。
[0006]进一步地,所述服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端,具体为:服务器端收到心跳请求时,在心跳包返回数据中加入下载高级威胁追溯包命令,指定客户端根据所述命令从服务器端下载高级威胁追溯包,并进行高级威胁追溯包完整性校验。
[0007]进一步地,还包括历史威胁追溯,具体为:客户端对其现有的和历史保存过的文件进行建档,监控并保存建档文件的状态信息,包括新建信息、移动信息、删除信息、修改信息,利用高级威胁追溯包中的追溯特征对建档文件进行高级威胁追溯。
[0008]进一步地,所述高级威胁追溯包括文件追溯、注册表追溯、系统漏洞追溯、数字签名追溯,追溯方法具体为:遍历客户端中所要追溯对象所对应的文件,按规定提取所述文件的特征信息,将各文件的特征信息分别与追溯特征中对应项数据进行匹配,若存在文件使所述匹配成功,则追溯相应文件,若均匹配失败,则说明客户端中该对象数据无威胁。
[0009]进一步地,所述追溯特征包括:注册表信息、文件MD5值、文件名、文件路径、数字签名信息、系统漏洞信息、软件漏洞信息。
[0010]一种高级威胁追溯的系统,包括:
追溯包生成模块,用于服务器端对高级威胁样本利用启发式技术以及动态沙箱技术进行静、动态分析,获取高级威胁样本特征信息,将所述特征信息作为追溯特征,根据追溯特征生成高级威胁追溯包;
追溯包请求模块,用于当有客户端请求使用高级威胁追溯包时,服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端;
高级威胁追溯模块,用于指定客户端解析高级威胁追溯包,得到追溯特征,根据追溯特征进行高级威胁追溯。
[0011]进一步地,所述根据追溯特征生成高级威胁追溯包,具体为:使用JASON数据格式对追溯特征进行整理,对整理后的追溯特征进行打包加密,生成高级威胁追溯包。
[0012]进一步地,所述服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端,具体为:服务器端收到心跳请求时,在心跳包返回数据中加入下载高级威胁追溯包命令,指定客户端根据所述命令从服务器端下载高级威胁追溯包,并进行高级威胁追溯包完整性校验。
[0013]进一步地,还包括历史威胁追溯模块,用于对客户端的历史文件进行高级威胁追溯,具体为:客户端对其现有的和历史保存过的文件进行建档,监控并保存建档文件的状态信息,包括新建信息、移动信息、删除信息、修改信息,利用高级威胁追溯包中的追溯特征对建档文件进行高级威胁追溯。
[0014]进一步地,所述高级威胁追溯包括文件追溯、注册表追溯、系统漏洞追溯、数字签名追溯,追溯方法具体为:遍历客户端中所要追溯对象所对应的文件,按规定提取所述文件的特征信息,将各文件的特征信息分别与追溯特征中对应项数据进行匹配,若存在文件使所述匹配成功,则追溯相应文件,若均匹配失败,则说明客户端中该对象数据无威胁。
[0015]进一步地,所述追溯特征包括:注册表信息、文件MD5值、文件名、文件路径、数字签名信息、系统漏洞信息、软件漏洞信息。
[0016]本发明的有益效果是:
高级威胁是一系列动态攻击行为的组合,并且很多高级威胁利用系统漏洞等技术释放攻击,这让现有的安全软件无法进行有效的检测和防御,针对上述不足和缺陷,本发明提出一种高级威胁追溯的方法及系统,根据训练的高级威胁样本数据,对客户端进行检测,并对威胁源文件进行追溯。本发明对高级威胁样本进行静、动态分析,获取静、动态双特征的追溯特征,并将追溯特征打包加密生成追溯包,客户端利用追溯包可以准确的判断系统中是否存在高级威胁,并对存在威胁的目标文件进行追溯,本发明还提出了对客户端进行历史威胁追溯的方法,对现有以及历史保存过的文件建档,即使携带威胁的样本文件已经被删除,也可得知目标终端是否曾经受到过高级威胁攻击,便于追责与定损。本发明可有效对高级威胁进行检测,并实现对威胁源文件的追溯,弥补现有技术不能有效检测高级威胁这一不足的同时,更有效的对系统信息安全进行维护、对攻击进行防御,防止潜在的高级威胁对系统的攻击或者进一步攻击,有效防止高级威胁利用指定终端作为跳板而对其它设备进行攻击或者实现大规模的攻击,从而实现了快速有效的全网高级威胁检测。
【附图说明】
[0017]为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0018]图1为本发明一种高级威胁追溯的方法流程图;
图2为本发明一种高级威胁追溯的系统结构图。
【具体实施方式】
[0019]为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
[0020]本发明给出了一种高级威胁追溯的方法实施例,如图1所示,包括:
5101:服务器端对高级威胁样本利用启发式技术以及动态沙箱技术进行静、动态分析,获取高级威胁样本特征信息,将所述特征信息作为追溯特征;
5102:根据追溯特征生成高级威胁追溯包;
5103:当有客户端请求使用高级威胁追溯包时,服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端;
5104:指定客户端解析高级威胁追溯包,得到追溯特征;
5105:根据追溯特征进行高级威胁追溯,所述追溯包含了对高级威胁进行检测以及对携带威胁的文件进行追溯处理的过程。
[0021]优选地,所述根据追溯特征生成高级威胁追溯包,具体为:使用JASON数据格式对追溯特征进行整理,对整理后的追溯特征进行打包加密,生成高级威胁追溯包。
[0022]优选地,所述服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端,具体为:服务器端收到心跳请求时,在心跳包返回数据中加入下载高级威胁追溯包命令,指定客户端根据所述命令从服务器端下载高级威胁追溯包,并进行高级威胁追溯包完整性校验。
[0023]优选地,还包括历史威胁追溯,具体为:客户端对其现有的和历史保存过的文件进行建档,监控并保存建档文件的状态信息,包括新建信息、移动信息、删除信息、修改信息,利用高级威胁追溯包中的追溯特征对建档文件进行高级威胁追溯。
[0024]优选地,所述高级威胁追溯包括文件追溯、注册表追溯、系统漏洞追溯、数字签名追溯,追溯方法具体为:遍历客户端中所要追溯对象所对应的文件,按规定提取所述文件的特征信息,将各文件的特征信息分别与追溯特征中对应项数据进行匹配,若存在文件使所述匹配成功,则追溯相应文件,若均匹配失败,则说明客户端中该对象数据无威胁;
优选地,所述追溯特征包括:注册表信息、文件MD5值、文件名、文件路径、数字签名信息、系统漏洞信息、软件漏洞信息;
客户端利用追溯包进行高级威追溯的方法举例如下: 例如文件追溯可以采用下述方法:对客户端中的所有文件进行遍历,并分别提取其特征信息,所述特征信息包括文件名、文件路径、文件MD5值,将各文件的特征信息分别与追溯特征中的文件名、文件路径、文件MD5值进行匹配,若存在文件使所述匹配成功,则说明系统中存在高级威胁,甚至已经受到了高级威胁的攻击,此时则对携带威胁的相应文件进行追溯处理,若均匹配失败,则说明客户端中的文件无威胁;
例如注册表追溯可以采用下述方法:对客户端中的注册表进行遍历,分别提取其特征信息,所述特征信息包括注册表读取信息、注册表行为信息,将各注册表的特征信息分别与追溯 特征中的注册表读取信息、注册表行为信息进行匹配,若存在注册表使所述匹配成功,则说明系统中存在高级威胁,甚至已经受到了高级威胁的攻击,此时则对携带威胁的相应注册表进行追溯处理,若均匹配失败,则说明客户端中的注册表无威胁;
例如系统漏洞追溯可以采用下述方法:遍历客户端中系统漏洞补丁列表,获取各系统漏洞补丁的漏洞编号,并分别与追溯特征中的系统漏洞编号进行匹配,若存在匹配成功的对象,则说明系统存在高级威胁攻击渗透的可能,此时则对匹配成功的系统漏洞编号对应的系统漏洞补丁进行追溯处理,并检测相应漏洞是否被成功修补,以及对相应漏洞进行更深入的检测分析,若均匹配失败,则说明客户端的系统无威胁,不存在高级威胁利用系统漏洞进行渗透攻击的情况;
例如数字签名追溯可以采用下述方法:遍历客户端中文件的数字签名信息,并分别与追溯特征中的数字签名信息进行匹配,若存在文件使所述匹配成功,则该文件的数字签名可能是冒用或者仿造的,或者该文件的数字签名被冒用或者仿造了,则相应的文件存在携带高级威胁的可能,此时则对相应的文件进行追溯处理,若均匹配失败,则说明客户端中文件数字签名不携带威胁;
所述追溯处理包括目标文件位置确定、目标文件行为确定、对目标文件进行进一步检测分析、对目标文件进行删除处理。
[0025]本发明还给出了一种高级威胁追溯的系统实施例,如图2所示,包括:
追溯包生成模块201,用于服务器端对高级威胁样本利用启发式技术以及动态沙箱技术进行静、动态分析,获取高级威胁样本特征信息,将所述特征信息作为追溯特征,根据追溯特征生成高级威胁追溯包;
追溯包请求模块202,用于当有客户端请求使用高级威胁追溯包时,服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端;
高级威胁追溯模块203,用于指定客户端解析高级威胁追溯包,得到追溯特征,根据追溯特征进行高级威胁追溯。
[0026]优选地,所述根据追溯特征生成高级威胁追溯包,具体为:使用JASON数据格式对追溯特征进行整理,对整理后的追溯特征进行打包加密,生成高级威胁追溯包。
[0027]优选地,所述服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端,具体为:服务器端收到心跳请求时,在心跳包返回数据中加入下载高级威胁追溯包命令,指定客户端根据所述命令从服务器端下载高级威胁追溯包,并进行高级威胁追溯包完整性校验。
[0028]优选地,还包括历史威胁追溯模块,用于对客户端的历史文件进行高级威胁追溯,具体为:客户端对其现有的和历史保存过的文件进行建档,监控并保存建档文件的状态信息,包括新建信息、移动信息、删除信息、修改信息,利用高级威胁追溯包中的追溯特征对建档文件进行高级威胁追溯。
[0029]优选地,所述高级威胁追溯包括文件追溯、注册表追溯、系统漏洞追溯、数字签名追溯,追溯方法具体为:遍历客户端中所要追溯对象所对应的文件,按规定提取所述文件的特征信息,将各文件的特征信息分别与追溯特征中对应项数据进行匹配,若存在文件使所述匹配成功,则追溯相应文件,若均匹配失败,则说明客户端中该对象数据无威胁。
[0030]优选地,所述追溯特征包括:注册表信息、文件MD5值、文件名、文件路径、数字签名信息、系统漏洞信息、软件漏洞信息。
[0031]本说明书中方法的实施例采用递进的方式描述,对于系统的实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。本发明提出一种高级威胁追溯的方法及系统,根据训练的高级威胁样本数据,对客户端进行检测,并对威胁源文件进行追溯。本发明对高级威胁样本进行静、动态分析,获取静、动态双特征的追溯特征,并将追溯特征打包加密生成追溯包,客户端利用追溯包可以准确的判断系统中是否存在高级威胁,并对存在威胁的目标文件进行追溯,本发明还提出了对客户端进行历史威胁追溯的方法,对现有以及历史保存过的文件建档,即使携带威胁的样本文件已经被删除,也可得知目标终端是否曾经受到过高级威胁攻击,便于追责与定损。本发明可有效对尚级威胁进彳丁检测,并实现对威胁源文件的追溯,弥补现有技术不能有效检测尚级威胁这一不足的同时,更有效的对系统信息安全进行维护、对攻击进行防御,防止潜在的高级威胁对系统的攻击或者进一步攻击,有效防止高级威胁利用指定终端作为跳板而对其它设备进行攻击或者实现大规模的攻击,从而实现了快速有效的全网高级威胁检测。
[0032]虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
【主权项】
1.一种高级威胁追溯的方法,其特征在于,包括: 服务器端对高级威胁样本利用启发式技术以及动态沙箱技术进行静、动态分析,获取高级威胁样本特征信息,将所述特征信息作为追溯特征,根据追溯特征生成高级威胁追溯包; 当有客户端请求使用高级威胁追溯包时,服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端; 指定客户端解析高级威胁追溯包,得到追溯特征,根据追溯特征进行高级威胁追溯。2.如权利要求1所述的方法,其特征在于,所述根据追溯特征生成高级威胁追溯包,具体为:使用JASON数据格式对追溯特征进行整理,对整理后的追溯特征进行打包加密,生成尚级威胁追溯包。3.如权利要求1所述的方法,其特征在于,所述服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端,具体为:服务器端收到心跳请求时,在心跳包返回数据中加入下载高级威胁追溯包命令,指定客户端根据所述命令从服务器端下载高级威胁追溯包,并进行高级威胁追溯包完整性校验。4.如权利要求1所述的方法,其特征在于,还包括历史威胁追溯,具体为:客户端对其现有的和历史保存过的文件进行建档,监控并保存建档文件的状态信息,包括新建信息、移动信息、删除信息、修改信息,利用高级威胁追溯包中的追溯特征对建档文件进行高级威胁追溯。5.如权利要求1或4所述的方法,其特征在于,所述高级威胁追溯包括文件追溯、注册表追溯、系统漏洞追溯、数字签名追溯,追溯方法具体为:遍历客户端中所要追溯对象所对应的文件,按规定提取所述文件的特征信息,将各文件的特征信息分别与追溯特征中对应项数据进行匹配,若存在文件使所述匹配成功,则追溯相应文件,若均匹配失败,则说明客户端中该对象数据无威胁。6.如权利要求1或2或4所述的方法,其特征在于,所述追溯特征包括:注册表信息、文件MD5值、文件名、文件路径、数字签名信息、系统漏洞信息、软件漏洞信息。7.一种高级威胁追溯的系统,其特征在于,包括: 追溯包生成模块,用于服务器端对高级威胁样本利用启发式技术以及动态沙箱技术进行静、动态分析,获取高级威胁样本特征信息,将所述特征信息作为追溯特征,根据追溯特征生成高级威胁追溯包; 追溯包请求模块,用于当有客户端请求使用高级威胁追溯包时,服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端; 高级威胁追溯模块,用于指定客户端解析高级威胁追溯包,得到追溯特征,根据追溯特征进行高级威胁追溯。8.如权利要求7所述的系统,其特征在于,所述根据追溯特征生成高级威胁追溯包,具体为:使用JASON数据格式对追溯特征进行整理,对整理后的追溯特征进行打包加密,生成尚级威胁追溯包。9.如权利要求7所述的系统,其特征在于,所述服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端,具体为:服务器端收到心跳请求时,在心跳包返回数据中加入下载高级威胁追溯包命令,指定客户端根据所述命令从服务器端下载高级威胁追溯包,并进行高级威胁追溯包完整性校验。10.如权利要求7所述的系统,其特征在于,还包括历史威胁追溯模块,用于对客户端的历史文件进行高级威胁追溯,具体为:客户端对其现有的和历史保存过的文件进行建档,监控并保存建档文件的状态信息,包括新建信息、移动信息、删除信息、修改信息,利用高级威胁追溯包中的追溯特征对建档文件进行高级威胁追溯。11.如权利要求7或10所述的系统,其特征在于,所述高级威胁追溯包括文件追溯、注册表追溯、系统漏洞追溯、数字签名追溯,追溯方法具体为:遍历客户端中所要追溯对象所对应的文件,按规定提取所述文件的特征信息,将各文件的特征信息分别与追溯特征中对应项数据进行匹配,若存在文件使所述匹配成功,则追溯相应文件,若均匹配失败,则说明客户端中该对象数据无威胁。12.如权利要求7或8或10所述的系统,其特征在于,所述追溯特征包括:注册表信息、文件MD5值、文件名、文件路径、数字签名信息、系统漏洞信息、软件漏洞信息。
【专利摘要】本发明提出了一种高级威胁追溯的方法及系统,通过对高级威胁样本静、动态分析,获取高级威胁追溯特征,并生成高级威胁追溯包,客户端解析高级威胁追溯包,利用其追溯特征对系统中的文件进行检测,判断是否存在高级威胁,并追溯存在威胁的文件。本发明弥补现有技术不能有效检测高级威胁这一不足的同时,更有效的对系统信息安全进行维护、对攻击进行防御,防止潜在的高级威胁对系统的攻击或者进一步攻击,有效防止高级威胁利用指定终端作为跳板而对其它设备进行攻击或者实现大规模的攻击,从而实现了快速有效的全网高级威胁检测。
【IPC分类】G06F21/55, H04L29/06, H04L29/08, G06F21/56
【公开号】CN105491002
【申请号】CN201510343083
【发明人】庞齐, 关墨辰, 孙洪伟, 匡贺, 徐翰隆, 肖新光
【申请人】哈尔滨安天科技股份有限公司
【公开日】2016年4月13日
【申请日】2015年6月19日
【技术领域】
[0001]本发明涉及网络信息安全技术领域,尤其涉及一种高级威胁追溯的方法及系统。
【背景技术】
[0002]当今网络威胁已经上升到国家战略层面,网络攻击也从针对大众的无明确目的的恶意攻击转变成为目标明确的以发动信息战为目的的高级威胁攻击。由于传统反恶意程序软件采用的是黑名单机制,依靠单纯的特征码扫描技术作为核心技术,而高级威胁是一系列动态攻击行为的组合,无法通过特征码技术进行检测,并且很多高级威胁利用了系统漏洞等技术,这让传统安全软件无法防御。
【发明内容】
[0003]针对上述现有技术存在的不足和缺陷,本发明提出一种高级威胁追溯的方法及系统,通过对高级威胁样本静、动态分析,获取高级威胁追溯特征,并生成高级威胁追溯包,客户端解析高级威胁追溯包,利用其追溯特征对系统中的文件进行检测,判断是否存在高级威胁,并追溯存在威胁的文件,有效维护系统信息安全,防止潜在的高级威胁对系统的进一步攻击,或者利用指定设备进行跳板性的攻击。
[0004]具体
【发明内容】
包括:
一种高级威胁追溯的方法,包括:
服务器端对高级威胁样本利用启发式技术以及动态沙箱技术进行静、动态分析,获取高级威胁样本特征信息,将所述特征信息作为追溯特征,根据追溯特征生成高级威胁追溯包;
当有客户端请求使用高级威胁追溯包时,服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端;
指定客户端解析高级威胁追溯包,得到追溯特征,根据追溯特征进行高级威胁追溯。
[0005]进一步地,所述根据追溯特征生成高级威胁追溯包,具体为:使用JAS0N数据格式对追溯特征进行整理,对整理后的追溯特征进行打包加密,生成高级威胁追溯包。
[0006]进一步地,所述服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端,具体为:服务器端收到心跳请求时,在心跳包返回数据中加入下载高级威胁追溯包命令,指定客户端根据所述命令从服务器端下载高级威胁追溯包,并进行高级威胁追溯包完整性校验。
[0007]进一步地,还包括历史威胁追溯,具体为:客户端对其现有的和历史保存过的文件进行建档,监控并保存建档文件的状态信息,包括新建信息、移动信息、删除信息、修改信息,利用高级威胁追溯包中的追溯特征对建档文件进行高级威胁追溯。
[0008]进一步地,所述高级威胁追溯包括文件追溯、注册表追溯、系统漏洞追溯、数字签名追溯,追溯方法具体为:遍历客户端中所要追溯对象所对应的文件,按规定提取所述文件的特征信息,将各文件的特征信息分别与追溯特征中对应项数据进行匹配,若存在文件使所述匹配成功,则追溯相应文件,若均匹配失败,则说明客户端中该对象数据无威胁。
[0009]进一步地,所述追溯特征包括:注册表信息、文件MD5值、文件名、文件路径、数字签名信息、系统漏洞信息、软件漏洞信息。
[0010]一种高级威胁追溯的系统,包括:
追溯包生成模块,用于服务器端对高级威胁样本利用启发式技术以及动态沙箱技术进行静、动态分析,获取高级威胁样本特征信息,将所述特征信息作为追溯特征,根据追溯特征生成高级威胁追溯包;
追溯包请求模块,用于当有客户端请求使用高级威胁追溯包时,服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端;
高级威胁追溯模块,用于指定客户端解析高级威胁追溯包,得到追溯特征,根据追溯特征进行高级威胁追溯。
[0011]进一步地,所述根据追溯特征生成高级威胁追溯包,具体为:使用JASON数据格式对追溯特征进行整理,对整理后的追溯特征进行打包加密,生成高级威胁追溯包。
[0012]进一步地,所述服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端,具体为:服务器端收到心跳请求时,在心跳包返回数据中加入下载高级威胁追溯包命令,指定客户端根据所述命令从服务器端下载高级威胁追溯包,并进行高级威胁追溯包完整性校验。
[0013]进一步地,还包括历史威胁追溯模块,用于对客户端的历史文件进行高级威胁追溯,具体为:客户端对其现有的和历史保存过的文件进行建档,监控并保存建档文件的状态信息,包括新建信息、移动信息、删除信息、修改信息,利用高级威胁追溯包中的追溯特征对建档文件进行高级威胁追溯。
[0014]进一步地,所述高级威胁追溯包括文件追溯、注册表追溯、系统漏洞追溯、数字签名追溯,追溯方法具体为:遍历客户端中所要追溯对象所对应的文件,按规定提取所述文件的特征信息,将各文件的特征信息分别与追溯特征中对应项数据进行匹配,若存在文件使所述匹配成功,则追溯相应文件,若均匹配失败,则说明客户端中该对象数据无威胁。
[0015]进一步地,所述追溯特征包括:注册表信息、文件MD5值、文件名、文件路径、数字签名信息、系统漏洞信息、软件漏洞信息。
[0016]本发明的有益效果是:
高级威胁是一系列动态攻击行为的组合,并且很多高级威胁利用系统漏洞等技术释放攻击,这让现有的安全软件无法进行有效的检测和防御,针对上述不足和缺陷,本发明提出一种高级威胁追溯的方法及系统,根据训练的高级威胁样本数据,对客户端进行检测,并对威胁源文件进行追溯。本发明对高级威胁样本进行静、动态分析,获取静、动态双特征的追溯特征,并将追溯特征打包加密生成追溯包,客户端利用追溯包可以准确的判断系统中是否存在高级威胁,并对存在威胁的目标文件进行追溯,本发明还提出了对客户端进行历史威胁追溯的方法,对现有以及历史保存过的文件建档,即使携带威胁的样本文件已经被删除,也可得知目标终端是否曾经受到过高级威胁攻击,便于追责与定损。本发明可有效对高级威胁进行检测,并实现对威胁源文件的追溯,弥补现有技术不能有效检测高级威胁这一不足的同时,更有效的对系统信息安全进行维护、对攻击进行防御,防止潜在的高级威胁对系统的攻击或者进一步攻击,有效防止高级威胁利用指定终端作为跳板而对其它设备进行攻击或者实现大规模的攻击,从而实现了快速有效的全网高级威胁检测。
【附图说明】
[0017]为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0018]图1为本发明一种高级威胁追溯的方法流程图;
图2为本发明一种高级威胁追溯的系统结构图。
【具体实施方式】
[0019]为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
[0020]本发明给出了一种高级威胁追溯的方法实施例,如图1所示,包括:
5101:服务器端对高级威胁样本利用启发式技术以及动态沙箱技术进行静、动态分析,获取高级威胁样本特征信息,将所述特征信息作为追溯特征;
5102:根据追溯特征生成高级威胁追溯包;
5103:当有客户端请求使用高级威胁追溯包时,服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端;
5104:指定客户端解析高级威胁追溯包,得到追溯特征;
5105:根据追溯特征进行高级威胁追溯,所述追溯包含了对高级威胁进行检测以及对携带威胁的文件进行追溯处理的过程。
[0021]优选地,所述根据追溯特征生成高级威胁追溯包,具体为:使用JASON数据格式对追溯特征进行整理,对整理后的追溯特征进行打包加密,生成高级威胁追溯包。
[0022]优选地,所述服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端,具体为:服务器端收到心跳请求时,在心跳包返回数据中加入下载高级威胁追溯包命令,指定客户端根据所述命令从服务器端下载高级威胁追溯包,并进行高级威胁追溯包完整性校验。
[0023]优选地,还包括历史威胁追溯,具体为:客户端对其现有的和历史保存过的文件进行建档,监控并保存建档文件的状态信息,包括新建信息、移动信息、删除信息、修改信息,利用高级威胁追溯包中的追溯特征对建档文件进行高级威胁追溯。
[0024]优选地,所述高级威胁追溯包括文件追溯、注册表追溯、系统漏洞追溯、数字签名追溯,追溯方法具体为:遍历客户端中所要追溯对象所对应的文件,按规定提取所述文件的特征信息,将各文件的特征信息分别与追溯特征中对应项数据进行匹配,若存在文件使所述匹配成功,则追溯相应文件,若均匹配失败,则说明客户端中该对象数据无威胁;
优选地,所述追溯特征包括:注册表信息、文件MD5值、文件名、文件路径、数字签名信息、系统漏洞信息、软件漏洞信息;
客户端利用追溯包进行高级威追溯的方法举例如下: 例如文件追溯可以采用下述方法:对客户端中的所有文件进行遍历,并分别提取其特征信息,所述特征信息包括文件名、文件路径、文件MD5值,将各文件的特征信息分别与追溯特征中的文件名、文件路径、文件MD5值进行匹配,若存在文件使所述匹配成功,则说明系统中存在高级威胁,甚至已经受到了高级威胁的攻击,此时则对携带威胁的相应文件进行追溯处理,若均匹配失败,则说明客户端中的文件无威胁;
例如注册表追溯可以采用下述方法:对客户端中的注册表进行遍历,分别提取其特征信息,所述特征信息包括注册表读取信息、注册表行为信息,将各注册表的特征信息分别与追溯 特征中的注册表读取信息、注册表行为信息进行匹配,若存在注册表使所述匹配成功,则说明系统中存在高级威胁,甚至已经受到了高级威胁的攻击,此时则对携带威胁的相应注册表进行追溯处理,若均匹配失败,则说明客户端中的注册表无威胁;
例如系统漏洞追溯可以采用下述方法:遍历客户端中系统漏洞补丁列表,获取各系统漏洞补丁的漏洞编号,并分别与追溯特征中的系统漏洞编号进行匹配,若存在匹配成功的对象,则说明系统存在高级威胁攻击渗透的可能,此时则对匹配成功的系统漏洞编号对应的系统漏洞补丁进行追溯处理,并检测相应漏洞是否被成功修补,以及对相应漏洞进行更深入的检测分析,若均匹配失败,则说明客户端的系统无威胁,不存在高级威胁利用系统漏洞进行渗透攻击的情况;
例如数字签名追溯可以采用下述方法:遍历客户端中文件的数字签名信息,并分别与追溯特征中的数字签名信息进行匹配,若存在文件使所述匹配成功,则该文件的数字签名可能是冒用或者仿造的,或者该文件的数字签名被冒用或者仿造了,则相应的文件存在携带高级威胁的可能,此时则对相应的文件进行追溯处理,若均匹配失败,则说明客户端中文件数字签名不携带威胁;
所述追溯处理包括目标文件位置确定、目标文件行为确定、对目标文件进行进一步检测分析、对目标文件进行删除处理。
[0025]本发明还给出了一种高级威胁追溯的系统实施例,如图2所示,包括:
追溯包生成模块201,用于服务器端对高级威胁样本利用启发式技术以及动态沙箱技术进行静、动态分析,获取高级威胁样本特征信息,将所述特征信息作为追溯特征,根据追溯特征生成高级威胁追溯包;
追溯包请求模块202,用于当有客户端请求使用高级威胁追溯包时,服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端;
高级威胁追溯模块203,用于指定客户端解析高级威胁追溯包,得到追溯特征,根据追溯特征进行高级威胁追溯。
[0026]优选地,所述根据追溯特征生成高级威胁追溯包,具体为:使用JASON数据格式对追溯特征进行整理,对整理后的追溯特征进行打包加密,生成高级威胁追溯包。
[0027]优选地,所述服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端,具体为:服务器端收到心跳请求时,在心跳包返回数据中加入下载高级威胁追溯包命令,指定客户端根据所述命令从服务器端下载高级威胁追溯包,并进行高级威胁追溯包完整性校验。
[0028]优选地,还包括历史威胁追溯模块,用于对客户端的历史文件进行高级威胁追溯,具体为:客户端对其现有的和历史保存过的文件进行建档,监控并保存建档文件的状态信息,包括新建信息、移动信息、删除信息、修改信息,利用高级威胁追溯包中的追溯特征对建档文件进行高级威胁追溯。
[0029]优选地,所述高级威胁追溯包括文件追溯、注册表追溯、系统漏洞追溯、数字签名追溯,追溯方法具体为:遍历客户端中所要追溯对象所对应的文件,按规定提取所述文件的特征信息,将各文件的特征信息分别与追溯特征中对应项数据进行匹配,若存在文件使所述匹配成功,则追溯相应文件,若均匹配失败,则说明客户端中该对象数据无威胁。
[0030]优选地,所述追溯特征包括:注册表信息、文件MD5值、文件名、文件路径、数字签名信息、系统漏洞信息、软件漏洞信息。
[0031]本说明书中方法的实施例采用递进的方式描述,对于系统的实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。本发明提出一种高级威胁追溯的方法及系统,根据训练的高级威胁样本数据,对客户端进行检测,并对威胁源文件进行追溯。本发明对高级威胁样本进行静、动态分析,获取静、动态双特征的追溯特征,并将追溯特征打包加密生成追溯包,客户端利用追溯包可以准确的判断系统中是否存在高级威胁,并对存在威胁的目标文件进行追溯,本发明还提出了对客户端进行历史威胁追溯的方法,对现有以及历史保存过的文件建档,即使携带威胁的样本文件已经被删除,也可得知目标终端是否曾经受到过高级威胁攻击,便于追责与定损。本发明可有效对尚级威胁进彳丁检测,并实现对威胁源文件的追溯,弥补现有技术不能有效检测尚级威胁这一不足的同时,更有效的对系统信息安全进行维护、对攻击进行防御,防止潜在的高级威胁对系统的攻击或者进一步攻击,有效防止高级威胁利用指定终端作为跳板而对其它设备进行攻击或者实现大规模的攻击,从而实现了快速有效的全网高级威胁检测。
[0032]虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
【主权项】
1.一种高级威胁追溯的方法,其特征在于,包括: 服务器端对高级威胁样本利用启发式技术以及动态沙箱技术进行静、动态分析,获取高级威胁样本特征信息,将所述特征信息作为追溯特征,根据追溯特征生成高级威胁追溯包; 当有客户端请求使用高级威胁追溯包时,服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端; 指定客户端解析高级威胁追溯包,得到追溯特征,根据追溯特征进行高级威胁追溯。2.如权利要求1所述的方法,其特征在于,所述根据追溯特征生成高级威胁追溯包,具体为:使用JASON数据格式对追溯特征进行整理,对整理后的追溯特征进行打包加密,生成尚级威胁追溯包。3.如权利要求1所述的方法,其特征在于,所述服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端,具体为:服务器端收到心跳请求时,在心跳包返回数据中加入下载高级威胁追溯包命令,指定客户端根据所述命令从服务器端下载高级威胁追溯包,并进行高级威胁追溯包完整性校验。4.如权利要求1所述的方法,其特征在于,还包括历史威胁追溯,具体为:客户端对其现有的和历史保存过的文件进行建档,监控并保存建档文件的状态信息,包括新建信息、移动信息、删除信息、修改信息,利用高级威胁追溯包中的追溯特征对建档文件进行高级威胁追溯。5.如权利要求1或4所述的方法,其特征在于,所述高级威胁追溯包括文件追溯、注册表追溯、系统漏洞追溯、数字签名追溯,追溯方法具体为:遍历客户端中所要追溯对象所对应的文件,按规定提取所述文件的特征信息,将各文件的特征信息分别与追溯特征中对应项数据进行匹配,若存在文件使所述匹配成功,则追溯相应文件,若均匹配失败,则说明客户端中该对象数据无威胁。6.如权利要求1或2或4所述的方法,其特征在于,所述追溯特征包括:注册表信息、文件MD5值、文件名、文件路径、数字签名信息、系统漏洞信息、软件漏洞信息。7.一种高级威胁追溯的系统,其特征在于,包括: 追溯包生成模块,用于服务器端对高级威胁样本利用启发式技术以及动态沙箱技术进行静、动态分析,获取高级威胁样本特征信息,将所述特征信息作为追溯特征,根据追溯特征生成高级威胁追溯包; 追溯包请求模块,用于当有客户端请求使用高级威胁追溯包时,服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端; 高级威胁追溯模块,用于指定客户端解析高级威胁追溯包,得到追溯特征,根据追溯特征进行高级威胁追溯。8.如权利要求7所述的系统,其特征在于,所述根据追溯特征生成高级威胁追溯包,具体为:使用JASON数据格式对追溯特征进行整理,对整理后的追溯特征进行打包加密,生成尚级威胁追溯包。9.如权利要求7所述的系统,其特征在于,所述服务器端利用HTTP协议,将高级威胁追溯包下发到指定客户端,具体为:服务器端收到心跳请求时,在心跳包返回数据中加入下载高级威胁追溯包命令,指定客户端根据所述命令从服务器端下载高级威胁追溯包,并进行高级威胁追溯包完整性校验。10.如权利要求7所述的系统,其特征在于,还包括历史威胁追溯模块,用于对客户端的历史文件进行高级威胁追溯,具体为:客户端对其现有的和历史保存过的文件进行建档,监控并保存建档文件的状态信息,包括新建信息、移动信息、删除信息、修改信息,利用高级威胁追溯包中的追溯特征对建档文件进行高级威胁追溯。11.如权利要求7或10所述的系统,其特征在于,所述高级威胁追溯包括文件追溯、注册表追溯、系统漏洞追溯、数字签名追溯,追溯方法具体为:遍历客户端中所要追溯对象所对应的文件,按规定提取所述文件的特征信息,将各文件的特征信息分别与追溯特征中对应项数据进行匹配,若存在文件使所述匹配成功,则追溯相应文件,若均匹配失败,则说明客户端中该对象数据无威胁。12.如权利要求7或8或10所述的系统,其特征在于,所述追溯特征包括:注册表信息、文件MD5值、文件名、文件路径、数字签名信息、系统漏洞信息、软件漏洞信息。
【专利摘要】本发明提出了一种高级威胁追溯的方法及系统,通过对高级威胁样本静、动态分析,获取高级威胁追溯特征,并生成高级威胁追溯包,客户端解析高级威胁追溯包,利用其追溯特征对系统中的文件进行检测,判断是否存在高级威胁,并追溯存在威胁的文件。本发明弥补现有技术不能有效检测高级威胁这一不足的同时,更有效的对系统信息安全进行维护、对攻击进行防御,防止潜在的高级威胁对系统的攻击或者进一步攻击,有效防止高级威胁利用指定终端作为跳板而对其它设备进行攻击或者实现大规模的攻击,从而实现了快速有效的全网高级威胁检测。
【IPC分类】G06F21/55, H04L29/06, H04L29/08, G06F21/56
【公开号】CN105491002
【申请号】CN201510343083
【发明人】庞齐, 关墨辰, 孙洪伟, 匡贺, 徐翰隆, 肖新光
【申请人】哈尔滨安天科技股份有限公司
【公开日】2016年4月13日
【申请日】2015年6月19日
最新回复(0)