特征中的注冊表讀取信息����、注冊表行為信息進(jìn)行匹配���,若存在注冊表使所述匹配成功����,則說明系統(tǒng)中存在高級威脅,甚至已經(jīng)受到了高級威脅的攻擊�����,此時(shí)則對攜帶威脅的相應(yīng)注冊表進(jìn)行追溯處理,若均匹配失敗��,則說明客戶端中的注冊表無威脅����;
例如系統(tǒng)漏洞追溯可以采用下述方法:遍歷客戶端中系統(tǒng)漏洞補(bǔ)丁列表���,獲取各系統(tǒng)漏洞補(bǔ)丁的漏洞編號���,并分別與追溯特征中的系統(tǒng)漏洞編號進(jìn)行匹配��,若存在匹配成功的對象,則說明系統(tǒng)存在高級威脅攻擊滲透的可能��,此時(shí)則對匹配成功的系統(tǒng)漏洞編號對應(yīng)的系統(tǒng)漏洞補(bǔ)丁進(jìn)行追溯處理�,并檢測相應(yīng)漏洞是否被成功修補(bǔ)�,以及對相應(yīng)漏洞進(jìn)行更深入的檢測分析�����,若均匹配失敗���,則說明客戶端的系統(tǒng)無威脅,不存在高級威脅利用系統(tǒng)漏洞進(jìn)行滲透攻擊的情況;
例如數(shù)字簽名追溯可以采用下述方法:遍歷客戶端中文件的數(shù)字簽名信息,并分別與追溯特征中的數(shù)字簽名信息進(jìn)行匹配,若存在文件使所述匹配成功��,則該文件的數(shù)字簽名可能是冒用或者仿造的�����,或者該文件的數(shù)字簽名被冒用或者仿造了�,則相應(yīng)的文件存在攜帶高級威脅的可能����,此時(shí)則對相應(yīng)的文件進(jìn)行追溯處理,若均匹配失敗��,則說明客戶端中文件數(shù)字簽名不攜帶威脅�����;
所述追溯處理包括目標(biāo)文件位置確定����、目標(biāo)文件行為確定、對目標(biāo)文件進(jìn)行進(jìn)一步檢測分析��、對目標(biāo)文件進(jìn)行刪除處理。
[0025]本發(fā)明還給出了一種高級威脅追溯的系統(tǒng)實(shí)施例����,如圖2所示,包括:
追溯包生成模塊201�����,用于服務(wù)器端對高級威脅樣本利用啟發(fā)式技術(shù)以及動(dòng)態(tài)沙箱技術(shù)進(jìn)行靜�����、動(dòng)態(tài)分析,獲取高級威脅樣本特征信息��,將所述特征信息作為追溯特征,根據(jù)追溯特征生成高級威脅追溯包��;
追溯包請求模塊202,用于當(dāng)有客戶端請求使用高級威脅追溯包時(shí)���,服務(wù)器端利用HTTP協(xié)議��,將高級威脅追溯包下發(fā)到指定客戶端����;
高級威脅追溯模塊203�����,用于指定客戶端解析高級威脅追溯包����,得到追溯特征,根據(jù)追溯特征進(jìn)行高級威脅追溯。
[0026]優(yōu)選地����,所述根據(jù)追溯特征生成高級威脅追溯包��,具體為:使用JASON數(shù)據(jù)格式對追溯特征進(jìn)行整理�,對整理后的追溯特征進(jìn)行打包加密��,生成高級威脅追溯包。
[0027]優(yōu)選地��,所述服務(wù)器端利用HTTP協(xié)議��,將高級威脅追溯包下發(fā)到指定客戶端����,具體為:服務(wù)器端收到心跳請求時(shí),在心跳包返回?cái)?shù)據(jù)中加入下載高級威脅追溯包命令���,指定客戶端根據(jù)所述命令從服務(wù)器端下載高級威脅追溯包�,并進(jìn)行高級威脅追溯包完整性校驗(yàn)。
[0028]優(yōu)選地���,還包括歷史威脅追溯模塊���,用于對客戶端的歷史文件進(jìn)行高級威脅追溯,具體為:客戶端對其現(xiàn)有的和歷史保存過的文件進(jìn)行建檔,監(jiān)控并保存建檔文件的狀態(tài)信息,包括新建信息、移動(dòng)信息��、刪除信息�、修改信息�,利用高級威脅追溯包中的追溯特征對建檔文件進(jìn)行高級威脅追溯���。
[0029]優(yōu)選地�,所述高級威脅追溯包括文件追溯、注冊表追溯�����、系統(tǒng)漏洞追溯�、數(shù)字簽名追溯,追溯方法具體為:遍歷客戶端中所要追溯對象所對應(yīng)的文件��,按規(guī)定提取所述文件的特征信息��,將各文件的特征信息分別與追溯特征中對應(yīng)項(xiàng)數(shù)據(jù)進(jìn)行匹配�,若存在文件使所述匹配成功��,則追溯相應(yīng)文件�����,若均匹配失敗,則說明客戶端中該對象數(shù)據(jù)無威脅����。
[0030]優(yōu)選地,所述追溯特征包括:注冊表信息����、文件MD5值�、文件名�����、文件路徑、數(shù)字簽名信息、系統(tǒng)漏洞信息、軟件漏洞信息�����。
[0031]本說明書中方法的實(shí)施例采用遞進(jìn)的方式描述��,對于系統(tǒng)的實(shí)施例而言�����,由于其基本相似于方法實(shí)施例�,所以描述的比較簡單,相關(guān)之處參見方法實(shí)施例的部分說明即可�����。本發(fā)明提出一種高級威脅追溯的方法及系統(tǒng)���,根據(jù)訓(xùn)練的高級威脅樣本數(shù)據(jù),對客戶端進(jìn)行檢測���,并對威脅源文件進(jìn)行追溯���。本發(fā)明對高級威脅樣本進(jìn)行靜、動(dòng)態(tài)分析,獲取靜�����、動(dòng)態(tài)雙特征的追溯特征�����,并將追溯特征打包加密生成追溯包,客戶端利用追溯包可以準(zhǔn)確的判斷系統(tǒng)中是否存在高級威脅�,并對存在威脅的目標(biāo)文件進(jìn)行追溯�,本發(fā)明還提出了對客戶端進(jìn)行歷史威脅追溯的方法����,對現(xiàn)有以及歷史保存過的文件建檔�����,即使攜帶威脅的樣本文件已經(jīng)被刪除,也可得知目標(biāo)終端是否曾經(jīng)受到過高級威脅攻擊��,便于追責(zé)與定損。本發(fā)明可有效對尚級威脅進(jìn)彳丁檢測�,并實(shí)現(xiàn)對威脅源文件的追溯�����,彌補(bǔ)現(xiàn)有技術(shù)不能有效檢測尚級威脅這一不足的同時(shí)���,更有效的對系統(tǒng)信息安全進(jìn)行維護(hù)、對攻擊進(jìn)行防御���,防止?jié)撛诘母呒壨{對系統(tǒng)的攻擊或者進(jìn)一步攻擊��,有效防止高級威脅利用指定終端作為跳板而對其它設(shè)備進(jìn)行攻擊或者實(shí)現(xiàn)大規(guī)模的攻擊,從而實(shí)現(xiàn)了快速有效的全網(wǎng)高級威脅檢測���。
[0032]雖然通過實(shí)施例描繪了本發(fā)明,本領(lǐng)域普通技術(shù)人員知道�,本發(fā)明有許多變形和變化而不脫離本發(fā)明的精神����,希望所附的權(quán)利要求包括這些變形和變化而不脫離本發(fā)明的精神�����。
【主權(quán)項(xiàng)】
1.一種高級威脅追溯的方法�,其特征在于�����,包括: 服務(wù)器端對高級威脅樣本利用啟發(fā)式技術(shù)以及動(dòng)態(tài)沙箱技術(shù)進(jìn)行靜��、動(dòng)態(tài)分析���,獲取高級威脅樣本特征信息,將所述特征信息作為追溯特征�����,根據(jù)追溯特征生成高級威脅追溯包; 當(dāng)有客戶端請求使用高級威脅追溯包時(shí)�,服務(wù)器端利用HTTP協(xié)議��,將高級威脅追溯包下發(fā)到指定客戶端; 指定客戶端解析高級威脅追溯包,得到追溯特征�����,根據(jù)追溯特征進(jìn)行高級威脅追溯。2.如權(quán)利要求1所述的方法����,其特征在于,所述根據(jù)追溯特征生成高級威脅追溯包��,具體為:使用JASON數(shù)據(jù)格式對追溯特征進(jìn)行整理,對整理后的追溯特征進(jìn)行打包加密���,生成尚級威脅追溯包。3.如權(quán)利要求1所述的方法�,其特征在于����,所述服務(wù)器端利用HTTP協(xié)議����,將高級威脅追溯包下發(fā)到指定客戶端,具體為:服務(wù)器端收到心跳請求時(shí)��,在心跳包返回?cái)?shù)據(jù)中加入下載高級威脅追溯包命令�����,指定客戶端根據(jù)所述命令從服務(wù)器端下載高級威脅追溯包,并進(jìn)行高級威脅追溯包完整性校驗(yàn)��。4.如權(quán)利要求1所述的方法,其特征在于���,還包括歷史威脅追溯�,具體為:客戶端對其現(xiàn)有的和歷史保存過的文件進(jìn)行建檔,監(jiān)控并保存建檔文件的狀態(tài)信息�����,包括新建信息�����、移動(dòng)信息�����、刪除信息�、修改信息��,利用高級威脅追溯包中的追溯特征對建檔文件進(jìn)行高級威脅追溯�。5.如權(quán)利要求1或4所述的方法,其特征在于���,所述高級威脅追溯包括文件追溯、注冊表追溯��、系統(tǒng)漏洞追溯、數(shù)字簽名追溯����,追溯方法具體為:遍歷客戶端中所要追溯對象所對應(yīng)的文件�����,按規(guī)定提取所述文件的特征信息,將各文件的特征信息分別與追溯特征中對應(yīng)項(xiàng)數(shù)據(jù)進(jìn)行匹配����,若存在文件使所述匹配成功���,則追溯相應(yīng)文件�,若均匹配失敗���,則說明客戶端中該對象數(shù)據(jù)無威脅��。6.如權(quán)利要求1或2或4所述的方法�����,其特征在于,所述追溯特征包括:注冊表信息����、文件MD5值、文件名�����、文件路徑���、數(shù)字簽名信息�����、系統(tǒng)漏洞信息�、軟件漏洞信息��。7.一種高級威脅追溯的系統(tǒng),其特征在于�,包括: 追溯包生成模塊����,用于服務(wù)器端對高級威脅樣本利用啟發(fā)式技術(shù)以及動(dòng)態(tài)沙箱技術(shù)進(jìn)行靜���、動(dòng)態(tài)分析�����,獲取高級威脅樣本特征信息���,將所述特征信息作為追溯特征,根據(jù)追溯特征生成高級威脅追溯包; 追溯包請求模塊,用于當(dāng)有客戶端請求使用高級威脅追溯包時(shí)��,服務(wù)器端利用HTTP協(xié)議��,將高級威脅追溯包下發(fā)到指定客戶端��; 高級威脅追溯模塊,用于指定客戶端解析高級威脅追溯包�,得到追溯特征,根據(jù)追溯特征進(jìn)行高級威脅追溯����。8.如權(quán)利要求7所述的系統(tǒng)��,其特征在于,所述根據(jù)追溯特征生成高級威脅追溯包,具體為:使用JASON數(shù)據(jù)格式對追溯特征進(jìn)行整理�,對整理后的追溯特征進(jìn)行打包加密����,生成尚級威脅追溯包�����。9.如權(quán)利要求7所述的系統(tǒng)�,其特征在于,所述服務(wù)器端利用HTTP協(xié)議�,將高級威脅追溯包下發(fā)到指定客戶端�,具體為:服務(wù)器端收到心跳請求時(shí)��,在心跳包返回?cái)?shù)據(jù)中加入下載高級威脅追溯包命令�,指定客戶端根據(jù)所述命令從服務(wù)器端下載高級威脅追溯包���,并進(jìn)行高級威脅追溯包完整性校驗(yàn)。10.如權(quán)利要求7所述的系統(tǒng),其特征在于,還包括歷史威脅追溯模塊����,用于對客戶端的歷史文件進(jìn)行高級威脅追溯,具體為:客戶端對其現(xiàn)有的和歷史保存過的文件進(jìn)行建檔�����,監(jiān)控并保存建檔文件的狀態(tài)信息����,包括新建信息���、移動(dòng)信息�、刪除信息���、修改信息,利用高級威脅追溯包中的追溯特征對建檔文件進(jìn)行高級威脅追溯���。11.如權(quán)利要求7或10所述的系統(tǒng)����,其特征在于�,所述高級威脅追溯包括文件追溯、注冊表追溯����、系統(tǒng)漏洞追溯�����、數(shù)字簽名追溯�,追溯方法具體為:遍歷客戶端中所要追溯對象所對應(yīng)的文件,按規(guī)定提取所述文件的特征信息���,將各文件的特征信息分別與追溯特征中對應(yīng)項(xiàng)數(shù)據(jù)進(jìn)行匹配,若存在文件使所述匹配成功���,則追溯相應(yīng)文件,若均匹配失敗�����,則說明客戶端中該對象數(shù)據(jù)無威脅��。12.如權(quán)利要求7或8或10所述的系統(tǒng)���,其特征在于����,所述追溯特征包括:注冊表信息��、文件MD5值、文件名�����、文件路徑、數(shù)字簽名信息、系統(tǒng)漏洞信息�、軟件漏洞信息�����。
【專利摘要】本發(fā)明提出了一種高級威脅追溯的方法及系統(tǒng)�����,通過對高級威脅樣本靜�、動(dòng)態(tài)分析���,獲取高級威脅追溯特征�,并生成高級威脅追溯包�,客戶端解析高級威脅追溯包,利用其追溯特征對系統(tǒng)中的文件進(jìn)行檢測��,判斷是否存在高級威脅����,并追溯存在威脅的文件。本發(fā)明彌補(bǔ)現(xiàn)有技術(shù)不能有效檢測高級威脅這一不足的同時(shí)�,更有效的對系統(tǒng)信息安全進(jìn)行維護(hù)�����、對攻擊進(jìn)行防御,防止?jié)撛诘母呒壨{對系統(tǒng)的攻擊或者進(jìn)一步攻擊�����,有效防止高級威脅利用指定終端作為跳板而對其它設(shè)備進(jìn)行攻擊或者實(shí)現(xiàn)大規(guī)模的攻擊���,從而實(shí)現(xiàn)了快速有效的全網(wǎng)高級威脅檢測�����。
【IPC分類】G06F21/55, H04L29/06, H04L29/08, G06F21/56
【公開號】CN105491002
【申請?zhí)枴緾N201510343083
【發(fā)明人】龐齊, 關(guān)墨辰, 孫洪偉, 匡賀, 徐翰隆, 肖新光
【申請人】哈爾濱安天科技股份有限公司
【公開日】2016年4月13日
【申請日】2015年6月19日