一種高級威脅追溯的方法及系統的制作方法
【技術領域】
[0001]本發明涉及網絡信息安全技術領域,尤其涉及一種高級威脅追溯的方法及系統。
【背景技術】
[0002]當今網絡威脅已經上升到國家戰略層面,網絡攻擊也從針對大眾的無明確目的的惡意攻擊轉變成為目標明確的以發動信息戰為目的的高級威脅攻擊。由于傳統反惡意程序軟件采用的是黑名單機制,依靠單純的特征碼掃描技術作為核心技術,而高級威脅是一系列動態攻擊行為的組合,無法通過特征碼技術進行檢測,并且很多高級威脅利用了系統漏洞等技術,這讓傳統安全軟件無法防御。
【發明內容】
[0003]針對上述現有技術存在的不足和缺陷,本發明提出一種高級威脅追溯的方法及系統,通過對高級威脅樣本靜、動態分析,獲取高級威脅追溯特征,并生成高級威脅追溯包,客戶端解析高級威脅追溯包,利用其追溯特征對系統中的文件進行檢測,判斷是否存在高級威脅,并追溯存在威脅的文件,有效維護系統信息安全,防止潛在的高級威脅對系統的進一步攻擊,或者利用指定設備進行跳板性的攻擊。
[0004]具體
【發明內容】
包括:
一種高級威脅追溯的方法,包括:
服務器端對高級威脅樣本利用啟發式技術以及動態沙箱技術進行靜、動態分析,獲取高級威脅樣本特征信息,將所述特征信息作為追溯特征,根據追溯特征生成高級威脅追溯包;
當有客戶端請求使用高級威脅追溯包時,服務器端利用HTTP協議,將高級威脅追溯包下發到指定客戶端;
指定客戶端解析高級威脅追溯包,得到追溯特征,根據追溯特征進行高級威脅追溯。
[0005]進一步地,所述根據追溯特征生成高級威脅追溯包,具體為:使用JAS0N數據格式對追溯特征進行整理,對整理后的追溯特征進行打包加密,生成高級威脅追溯包。
[0006]進一步地,所述服務器端利用HTTP協議,將高級威脅追溯包下發到指定客戶端,具體為:服務器端收到心跳請求時,在心跳包返回數據中加入下載高級威脅追溯包命令,指定客戶端根據所述命令從服務器端下載高級威脅追溯包,并進行高級威脅追溯包完整性校驗。
[0007]進一步地,還包括歷史威脅追溯,具體為:客戶端對其現有的和歷史保存過的文件進行建檔,監控并保存建檔文件的狀態信息,包括新建信息、移動信息、刪除信息、修改信息,利用高級威脅追溯包中的追溯特征對建檔文件進行高級威脅追溯。
[0008]進一步地,所述高級威脅追溯包括文件追溯、注冊表追溯、系統漏洞追溯、數字簽名追溯,追溯方法具體為:遍歷客戶端中所要追溯對象所對應的文件,按規定提取所述文件的特征信息,將各文件的特征信息分別與追溯特征中對應項數據進行匹配,若存在文件使所述匹配成功,則追溯相應文件,若均匹配失敗,則說明客戶端中該對象數據無威脅。
[0009]進一步地,所述追溯特征包括:注冊表信息、文件MD5值、文件名、文件路徑、數字簽名信息、系統漏洞信息、軟件漏洞信息。
[0010]一種高級威脅追溯的系統,包括:
追溯包生成模塊,用于服務器端對高級威脅樣本利用啟發式技術以及動態沙箱技術進行靜、動態分析,獲取高級威脅樣本特征信息,將所述特征信息作為追溯特征,根據追溯特征生成高級威脅追溯包;
追溯包請求模塊,用于當有客戶端請求使用高級威脅追溯包時,服務器端利用HTTP協議,將高級威脅追溯包下發到指定客戶端;
高級威脅追溯模塊,用于指定客戶端解析高級威脅追溯包,得到追溯特征,根據追溯特征進行高級威脅追溯。
[0011]進一步地,所述根據追溯特征生成高級威脅追溯包,具體為:使用JASON數據格式對追溯特征進行整理,對整理后的追溯特征進行打包加密,生成高級威脅追溯包。
[0012]進一步地,所述服務器端利用HTTP協議,將高級威脅追溯包下發到指定客戶端,具體為:服務器端收到心跳請求時,在心跳包返回數據中加入下載高級威脅追溯包命令,指定客戶端根據所述命令從服務器端下載高級威脅追溯包,并進行高級威脅追溯包完整性校驗。
[0013]進一步地,還包括歷史威脅追溯模塊,用于對客戶端的歷史文件進行高級威脅追溯,具體為:客戶端對其現有的和歷史保存過的文件進行建檔,監控并保存建檔文件的狀態信息,包括新建信息、移動信息、刪除信息、修改信息,利用高級威脅追溯包中的追溯特征對建檔文件進行高級威脅追溯。
[0014]進一步地,所述高級威脅追溯包括文件追溯、注冊表追溯、系統漏洞追溯、數字簽名追溯,追溯方法具體為:遍歷客戶端中所要追溯對象所對應的文件,按規定提取所述文件的特征信息,將各文件的特征信息分別與追溯特征中對應項數據進行匹配,若存在文件使所述匹配成功,則追溯相應文件,若均匹配失敗,則說明客戶端中該對象數據無威脅。
[0015]進一步地,所述追溯特征包括:注冊表信息、文件MD5值、文件名、文件路徑、數字簽名信息、系統漏洞信息、軟件漏洞信息。
[0016]本發明的有益效果是:
高級威脅是一系列動態攻擊行為的組合,并且很多高級威脅利用系統漏洞等技術釋放攻擊,這讓現有的安全軟件無法進行有效的檢測和防御,針對上述不足和缺陷,本發明提出一種高級威脅追溯的方法及系統,根據訓練的高級威脅樣本數據,對客戶端進行檢測,并對威脅源文件進行追溯。本發明對高級威脅樣本進行靜、動態分析,獲取靜、動態雙特征的追溯特征,并將追溯特征打包加密生成追溯包,客戶端利用追溯包可以準確的判斷系統中是否存在高級威脅,并對存在威脅的目標文件進行追溯,本發明還提出了對客戶端進行歷史威脅追溯的方法,對現有以及歷史保存過的文件建檔,即使攜帶威脅的樣本文件已經被刪除,也可得知目標終端是否曾經受到過高級威脅攻擊,便于追責與定損。本發明可有效對高級威脅進行檢測,并實現對威脅源文件的追溯,彌補現有技術不能有效檢測高級威脅這一不足的同時,更有效的對系統信息安全進行維護、對攻擊進行防御,防止潛在的高級威脅對系統的攻擊或者進一步攻擊,有效防止高級威脅利用指定終端作為跳板而對其它設備進行攻擊或者實現大規模的攻擊,從而實現了快速有效的全網高級威脅檢測。
【附圖說明】
[0017]為了更清楚地說明本發明或現有技術中的技術方案,下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發明中記載的一些實施例,對于本領域普通技術人員來講,在不付出創造性勞動的前提下,還可以根據這些附圖獲得其他的附圖。
[0018]圖1為本發明一種高級威脅追溯的方法流程圖;
圖2為本發明一種高級威脅追溯的系統結構圖。
【具體實施方式】
[0019]為了使本技術領域的人員更好地理解本發明實施例中的技術方案,并使本發明的上述目的、特征和優點能夠更加明顯易懂,下面結合附圖對本發明中技術方案作進一步詳細的說明。
[0020]本發明給出了一種高級威脅追溯的方法實施例,如圖1所示,包括:
5101:服務器端對高級威脅樣本利用啟發式技術以及動態沙箱技術進行靜、動態分析,獲取高級威脅樣本特征信息,將所述特征信息作為追溯特征;
5102:根據追溯特征生成高級威脅追溯包;
5103:當有客戶端請求使用高級威脅追溯包時,服務器端利用HTTP協議,將高級威脅追溯包下發到指定客戶端;
5104:指定客戶端解析高級威脅追溯包,得到追溯特征;
5105:根據追溯特征進行高級威脅追溯,所述追溯包含了對高級威脅進行檢測以及對攜帶威脅的文件進行追溯處理的過程。
[0021]優選地,所述根據追溯特征生成高級威脅追溯包,具體為:使用JASON數據格式對追溯特征進行整理,對整理后的追溯特征進行打包加密,生成高級威脅追溯包。
[0022]優選地,所述服務器端利用HTTP協議,將高級威脅追溯包下發到指定客戶端,具體為:服務器端收到心跳請求時,在心跳包返回數據中加入下載高級威脅追溯包命令,指定客戶端根據所述命令從服務器端下載高級威脅追溯包,并進行高級威脅追溯包完整性校驗。
[0023]優選地,還包括歷史威脅追溯,具體為:客戶端對其現有的和歷史保存過的文件進行建檔,監控并保存建檔文件的狀態信息,包括新建信息、移動信息、刪除信息、修改信息,利用高級威脅追溯包中的追溯特征對建檔文件進行高級威脅追溯。
[0024]優選地,所述高級威脅追溯包括文件追溯、注冊表追溯、系統漏洞追溯、數字簽名追溯,追溯方法具體為:遍歷客戶端中所要追溯對象所對應的文件,按規定提取所述文件的特征信息,將各文件的特征信息分別與追溯特征中對應項數據進行匹配,若存在文件使所述匹配成功,則追溯相應文件,若均匹配失敗,則說明客戶端中該對象數據無威脅;
優選地,所述追溯特征包括:注冊表信息、文件MD5值、文件名、文件路徑、數字簽名信息、系統漏洞信息、軟件漏洞信息;
客戶端利用追溯包進行高級威追溯的方法舉例如下: 例如文件追溯可以采用下述方法:對客戶端中的所有文件進行遍歷,并分別提取其特征信息,所述特征信息包括文件名、文件路徑、文件MD5值,將各文件的特征信息分別與追溯特征中的文件名、文件路徑、文件MD5值進行匹配,若存在文件使所述匹配成功,則說明系統中存在高級威脅,甚至已經受到了高級威脅的攻擊,此時則對攜帶威脅的相應文件進行追溯處理,若均匹配失敗,則說明客戶端中的文件無威脅;
例如注冊表追溯可以采用下述方法:對客戶端中的注冊表進行遍歷,分別提取其特征信息,所述特征信息包括注冊表讀取信息、注冊表行為信息,將各注冊表的特征信息分別與追溯