基于信息流行為合法性檢測的未知威脅的綜合檢測方法
【專利摘要】本發(fā)明涉及一種網(wǎng)絡(luò)信息安全檢測方法,尤其涉及一種基于信息流行為合法性檢測的未知威脅的綜合檢測方法,其包括以下步驟:進(jìn)行文件處理:通過對原始信息流中的多種協(xié)議進(jìn)行文件分析、文件還原,形成新的信息流和文件分析結(jié)果;靜態(tài)檢測,對新的信息流進(jìn)行靜態(tài)檢測得到靜態(tài)檢測結(jié)果;動(dòng)態(tài)檢測:結(jié)合外部日志數(shù)據(jù),對新的信息流進(jìn)行動(dòng)態(tài)行為監(jiān)測得到動(dòng)態(tài)檢測結(jié)果;病毒檢測:對新的信息流中的文件進(jìn)行病毒檢測,得到病毒檢測結(jié)果;根據(jù)靜態(tài)檢測結(jié)果、動(dòng)態(tài)檢測結(jié)果和病毒檢測結(jié)果判斷是否為未知威脅,若是,則發(fā)出未知警告,若否,則正常訪問。
【專利說明】基于信息流行為合法性檢測的未知威脅的綜合檢測方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種網(wǎng)絡(luò)信息安全檢測方法,尤其涉及一種基于信息流行為合法性檢測的未知威脅的綜合檢測方法。
【背景技術(shù)】
[0002]由于互聯(lián)網(wǎng)信息安全自身的特點(diǎn)使得出現(xiàn)的安全威脅都屬于未知性或小范圍內(nèi)傳播,具有極高的隱密性,針對互聯(lián)網(wǎng)信息安全的這種未知威脅如何發(fā)現(xiàn)就是急需要解決的問題。
[0003]傳統(tǒng)的基于特征碼的檢測技術(shù)獨(dú)立使用只能針對已知病毒或攻擊行為,對未知威脅的檢測手段無法檢測;傳統(tǒng)對未知威脅行為的檢測手段通常是基于系統(tǒng)、應(yīng)用權(quán)限或者某些重要屬性的變更判斷,誤報(bào)率很高,造成大量告警,后期人為排查工作量非常大。
[0004]有鑒于上述的缺陷,本設(shè)計(jì)人,積極加以研究創(chuàng)新,以期創(chuàng)設(shè)一種基于信息流行為合法性檢測的未知威脅的綜合檢測方法,使其更具有產(chǎn)業(yè)上的利用價(jià)值。
【發(fā)明內(nèi)容】
[0005]為解決上述技術(shù)問題,本發(fā)明的目的是提供一種能夠針對未知安全威脅的進(jìn)行檢測的基于信息流行為合法性檢測的未知威脅的綜合檢測方法。
[0006]本發(fā)明的一種基于信息流行為合法性檢測的未知威脅的綜合檢測方法,包括以下步驟:
[0007]進(jìn)行文件處理:通過對原始信息流中的多種協(xié)議進(jìn)行文件分析、文件還原,形成新的信息流和文件分析結(jié)果;
[0008]靜態(tài)檢測,對新的信息流進(jìn)行靜態(tài)檢測得到靜態(tài)檢測結(jié)果;
[0009]動(dòng)態(tài)檢測:結(jié)合外部日志數(shù)據(jù),對新的信息流進(jìn)行動(dòng)態(tài)行為監(jiān)測得到動(dòng)態(tài)檢測結(jié)果;
[0010]病毒檢測:對新的信息流中的文件進(jìn)行病毒檢測,得到病毒檢測結(jié)果;
[0011]根據(jù)靜態(tài)檢測結(jié)果、動(dòng)態(tài)檢測結(jié)果和病毒檢測結(jié)果判斷是否為未知威脅,若是,則發(fā)出未知警告,若否,貝1J正常訪問。
[0012]進(jìn)一步的,所述“進(jìn)行文件處理”具體操作步驟如下:
[0013]第一步:對原始信息流進(jìn)行數(shù)據(jù)包嗅探;
[0014]第二步:數(shù)據(jù)包的捕獲與重組,使用WinPcap庫完成網(wǎng)絡(luò)數(shù)據(jù)包捕獲的工作:利用WinPcap先通過訪問網(wǎng)絡(luò)的數(shù)據(jù)鏈路層來實(shí)現(xiàn)數(shù)據(jù)包的捕獲,其包括在網(wǎng)絡(luò)上各主機(jī)發(fā)送接收的數(shù)據(jù)包;在數(shù)據(jù)包發(fā)往應(yīng)用程序之前,按照自定義的規(guī)則將與該自定義規(guī)則相對應(yīng)的數(shù)據(jù)包過濾掉;收集網(wǎng)絡(luò)通迅過程中的統(tǒng)計(jì)信息;利用WinPcap的API函數(shù)完成所需的網(wǎng)絡(luò)數(shù)據(jù)包監(jiān)聽功能;
[0015]第三步:數(shù)據(jù)包的還原,其中重組得到原始數(shù)據(jù)包,該所得到的原始數(shù)據(jù)包為二進(jìn)制數(shù)據(jù),將該二進(jìn)制數(shù)據(jù)需轉(zhuǎn)換為十六進(jìn)制數(shù)據(jù)。
[0016]進(jìn)一步的,所述第一步包括以下步驟:
[0017]A,收集,數(shù)據(jù)包嗅探器從網(wǎng)絡(luò)線纜上收集原始二進(jìn)制數(shù)據(jù);
[0018]通過將選定的網(wǎng)卡設(shè)置成混雜模式來完成抓包,其中在這種模式下,該選定的網(wǎng)卡將抓取一個(gè)網(wǎng)段上所有的網(wǎng)絡(luò)通信流量,而不僅是發(fā)往它的數(shù)據(jù)包;
[0019]B,轉(zhuǎn)換,將捕獲的二進(jìn)制數(shù)據(jù)轉(zhuǎn)換成可讀形式,通過命令行數(shù)據(jù)包嗅探器以解析方式進(jìn)行顯示;
[0020]C,還原分析,對捕獲和轉(zhuǎn)換后的數(shù)據(jù)進(jìn)行還原;
[0021]同時(shí),數(shù)據(jù)包嗅探器以捕獲的網(wǎng)絡(luò)數(shù)據(jù)作為輸入,識(shí)別和驗(yàn)證它們的協(xié)議,然后開始分析每個(gè)協(xié)議的特定屬性;通過查看網(wǎng)絡(luò)流量,獲取到帶寬利用以及接收連接動(dòng)態(tài)行為,判斷引起故障的工作站點(diǎn)及其產(chǎn)生原因。
[0022]進(jìn)一步的,所述“靜態(tài)檢測”采用特征碼輔助靜態(tài)檢測。
[0023]進(jìn)一步的,所述特征碼輔助靜態(tài)檢測包括如下三種檢測技術(shù):基于特征碼輔助的檢測技術(shù)、基于反匯編的檢測技術(shù)以及基于虛擬執(zhí)行的檢測技術(shù),所述“靜態(tài)檢測”采用上述三種檢測技術(shù)并行執(zhí)行。
[0024]進(jìn)一步的,所述“動(dòng)態(tài)檢測”包括:進(jìn)行動(dòng)態(tài)行為監(jiān)測,將防病毒、IDS、IPS和防火墻模塊中的有關(guān)攻擊的信息進(jìn)行關(guān)聯(lián),并將通過防病毒、IDS、IPS和防火墻模塊中的有關(guān)攻擊模型將檢測到的信息集成在一起。
[0025]進(jìn)一步的,所述“動(dòng)態(tài)檢測”還包括:使每一個(gè)安全功能之間可以互相通信,并關(guān)聯(lián)威脅索引信息,以識(shí)別可疑的惡意流量;跟蹤每一安全組件的檢測活動(dòng)。
[0026]進(jìn)一步的,所述“檢測病毒”為將特征代碼法、校驗(yàn)和法、行為檢測法、軟件模擬法進(jìn)行依次實(shí)用。
[0027]借由上述方案,本發(fā)明至少具有以下優(yōu)點(diǎn):通過對信息流進(jìn)行文件處理、靜態(tài)檢測、動(dòng)態(tài)檢測和病毒檢測,實(shí)現(xiàn)針對未知安全威脅的進(jìn)行檢測,從而能夠發(fā)現(xiàn)未知病毒,且信息流中的被查文件的細(xì)微變化也能發(fā)現(xiàn),達(dá)到安全威脅安全預(yù)警、快速發(fā)現(xiàn)和威脅定位的作用,以減少用戶的資產(chǎn)損失與隱私泄露,另外,由于實(shí)現(xiàn)對了未知威脅的判斷,從而有助于建立準(zhǔn)確的行為權(quán)重知識(shí)庫。
[0028]上述說明僅是本發(fā)明技術(shù)方案的概述,為了能夠更清楚了解本發(fā)明的技術(shù)手段,并可依照說明書的內(nèi)容予以實(shí)施,以下以本發(fā)明的較佳實(shí)施例并配合附圖詳細(xì)說明如后。
【專利附圖】
【附圖說明】
[0029]圖1是本發(fā)明實(shí)施例基于信息流行為合法性檢測的未知威脅的綜合檢測方法的流程圖;
[0030]圖2是本發(fā)明實(shí)施例基于信息流行為合法性檢測的未知威脅的綜合檢測方法中進(jìn)行文件處理的流程圖;
[0031]圖3是本發(fā)明實(shí)施例基于信息流行為合法性檢測的未知威脅的綜合檢測方法中進(jìn)行靜態(tài)檢測的流程圖;
[0032]圖4是本發(fā)明實(shí)施例基于信息流行為合法性檢測的未知威脅的綜合檢測方法中動(dòng)態(tài)檢測的流程圖。
【具體實(shí)施方式】
[0033]下面結(jié)合附圖和實(shí)施例,對本發(fā)明的【具體實(shí)施方式】作進(jìn)一步詳細(xì)描述。以下實(shí)施例用于說明本發(fā)明,但不用來限制本發(fā)明的范圍。
[0034]參見圖1-4,本發(fā)明一較佳實(shí)施例所述的一種基于信息流行為合法性檢測的未知威脅的綜合檢測方法,該告知方法通過啟發(fā)式掃描技術(shù)來進(jìn)行,需要用到文件頭和實(shí)際的包內(nèi)容來完成。啟發(fā)式掃描技術(shù)用來增強(qiáng)防病毒k、反垃圾郵件和其他相關(guān)的掃描活動(dòng),包括掃描文件分析、蠕蟲檢測、文件類型分析、特征檢查和啟發(fā)式檢查。異常檢測技術(shù)是通過分析整個(gè)數(shù)據(jù)包進(jìn)行的,包括包頭、協(xié)議信息、應(yīng)用信息、包內(nèi)容和會(huì)話行為。啟發(fā)式掃描和異常檢測引擎的開啟采用啟發(fā)式掃描技術(shù)和異常檢測技術(shù)。
[0035]該基于信息流行為合法性檢測的未知威脅的綜合檢測方法包括步驟I至步驟5,其中,下述步驟2至步驟3的順序可以根據(jù)實(shí)際使用改變。
[0036]步驟1,進(jìn)行文件處理:通過對原始信息流中的多種協(xié)議進(jìn)行文件分析、文件還原,形成新的信息流和文件分析結(jié)果。該步驟中包括各類檢測以及文件解析,其中,文件解析通過解析還原出的文件,為后續(xù)的靜態(tài)檢測提供基礎(chǔ)。參見圖2,具體操作步驟如下:
[0037]—、文件處理的第一步是對原始數(shù)據(jù)流進(jìn)行數(shù)據(jù)包嗅探:
[0038]數(shù)據(jù)包嗅探是捕獲和解析網(wǎng)絡(luò)上在線傳輸數(shù)據(jù)的過程(即捕獲和解析信息流),需要關(guān)注以下六點(diǎn):了解網(wǎng)絡(luò)特征;查看網(wǎng)絡(luò)上的通信主體;確認(rèn)誰或是哪些應(yīng)用在占用網(wǎng)絡(luò)帶寬;識(shí)別網(wǎng)絡(luò)使用的高峰時(shí)間;識(shí)別可能的攻擊或惡意活動(dòng);尋找不安全以及濫用網(wǎng)絡(luò)資源的應(yīng)用。
[0039]數(shù)據(jù)包嗅探過程中涉及到軟件和硬件之間的協(xié)作,分為3個(gè)步驟:
[0040]A,收集,數(shù)據(jù)包嗅探器從網(wǎng)絡(luò)線纜上收集原始二進(jìn)制數(shù)據(jù);
[0041]通過將選定的網(wǎng)卡設(shè)置成混雜模式來完成抓包,其中在這種模式下,該選定的網(wǎng)卡將抓取一個(gè)網(wǎng)段上所有的網(wǎng)絡(luò)通信流量,而不僅是發(fā)往它的數(shù)據(jù)包;
[0042]B,轉(zhuǎn)換,將捕獲的二進(jìn)制數(shù)據(jù)轉(zhuǎn)換成可讀形式,通過高級的命令行數(shù)據(jù)包嗅探器以一種非常基礎(chǔ)的解析方式進(jìn)行顯示;
[0043]C,還原分析,對捕獲和轉(zhuǎn)換后的數(shù)據(jù)進(jìn)行還原;
[0044]同時(shí),數(shù)據(jù)包嗅探器以捕獲的網(wǎng)絡(luò)數(shù)據(jù)作為輸入,識(shí)別和驗(yàn)證它們的協(xié)議,然后開始分析每個(gè)協(xié)議的特定屬性;通過查看網(wǎng)絡(luò)流量,獲取到帶寬利用以及接收連接動(dòng)態(tài)行為,判斷引起故障的工作站點(diǎn)及其產(chǎn)生原因。
[0045]二、文件處理的第二步是數(shù)據(jù)包的捕獲與重組,使用WinPcap庫可以完成網(wǎng)絡(luò)數(shù)據(jù)包捕獲的工作:利用WinPcap先通過訪問網(wǎng)絡(luò)的數(shù)據(jù)鏈路層來實(shí)現(xiàn)數(shù)據(jù)包的捕獲,其包括在網(wǎng)絡(luò)上各主機(jī)發(fā)送接收的數(shù)據(jù)包;在數(shù)據(jù)包發(fā)往應(yīng)用程序之前,按照自定義的規(guī)則將與該自定義規(guī)則相對應(yīng)的特殊的數(shù)據(jù)包過濾掉;收集網(wǎng)絡(luò)通迅過程中的統(tǒng)計(jì)信息;利用WinPcap的API函數(shù)完成所需的網(wǎng)絡(luò)數(shù)據(jù)包監(jiān)聽功能。
[0046]HTTP通訊數(shù)據(jù)可能分布在幾個(gè)數(shù)據(jù)包中,當(dāng)PDU大小超過子網(wǎng)限制時(shí),原始數(shù)據(jù)包將被分割成若干個(gè)小的數(shù)據(jù)包,每個(gè)數(shù)據(jù)包中含有自己的序號和下一個(gè)數(shù)據(jù)包的序號。由于Internet是基于分組交換的,數(shù)據(jù)包到達(dá)信宿機(jī)的先后順序與序號之間沒有直接關(guān)系,當(dāng)數(shù)據(jù)包傳到信宿機(jī)后,此時(shí)得到的是一個(gè)無序的數(shù)據(jù)流。
[0047]為了得到一個(gè)有意義的HTTP通訊數(shù)據(jù),需要將數(shù)據(jù)包進(jìn)行重組,設(shè)置一個(gè)緩沖隊(duì)列,該緩沖隊(duì)列的最大空間可設(shè)為滑動(dòng)窗口的最大值。
[0048]當(dāng)接收到一個(gè)數(shù)據(jù)包時(shí),比較其序號和應(yīng)獲得的序號,假如序號相同,則將其歸人已排序的數(shù)據(jù)包行列,同時(shí)從緩沖隊(duì)列中將滿足出隊(duì)條件的數(shù)據(jù)包出隊(duì)。
[0049]若序號不同,則將其納入緩沖隊(duì)列中,并按序列號順序排序,判斷還需要哪些數(shù)據(jù)包。
[0050]對于HTTP的數(shù)據(jù)內(nèi)容,一種為請求數(shù)據(jù)(Request),一種為響應(yīng)數(shù)據(jù)(Respond)。對于請求數(shù)據(jù),數(shù)據(jù)內(nèi)容以“GET”,“POST”,“HEAD”,“PUT”開頭的即為起始數(shù)據(jù)包。
[0051]對于請求信息結(jié)束的判定方法有兩種情況:若請求信息中含有Content-Length域,則可根據(jù)其值依次取出規(guī)定長度的內(nèi)容,即可確定結(jié)束數(shù)據(jù)包。
[0052]若請求信息中不含有Content-Length域,則可以用兩個(gè)CRLF作為結(jié)束標(biāo)志。
[0053]對于響應(yīng)數(shù)據(jù),數(shù)據(jù)內(nèi)容為“HTTP”的即為起始數(shù)據(jù)包。
[0054]對于響應(yīng)信息結(jié)束的判定方法同樣也有兩種情況:若響應(yīng)信息中含有Content-Length域,貝U可根據(jù)其值依次取出規(guī)定長度的內(nèi)容,即可確定結(jié)束數(shù)據(jù)包。
[0055]若響應(yīng)信息中不含有Content-Length域,則可根據(jù)該數(shù)據(jù)包是否是FIN包來確定。
[0056]三、文件處理的第三步是數(shù)據(jù)包的還原,其中重組得到原始數(shù)據(jù)包,該所得到的原始數(shù)據(jù)包為二進(jìn)制數(shù)據(jù),將該二進(jìn)制數(shù)據(jù)需轉(zhuǎn)換為十六進(jìn)制數(shù)據(jù)。
[0057]對于數(shù)據(jù)包中包含了文字、圖片信息的,采用ASCALL解碼函數(shù)對原始數(shù)據(jù)包進(jìn)行初始化,觀察“Content_Type”、“charset”等特殊字段。
[0058]判斷該數(shù)據(jù)包是否傳送的是文本信息采用什么編碼方式,然后進(jìn)行解碼還原。
[0059]步驟2,靜態(tài)檢測:對步驟I中所得到的新的信息流進(jìn)行靜態(tài)檢測得到靜態(tài)檢測結(jié)果。該“靜態(tài)檢測”采用多種方式綜合的靜態(tài)檢測,其可以有效地檢測Shellcode代碼。靜態(tài)檢測包括如下三種主流檢測技術(shù):基于特征碼輔助的檢測技術(shù),基于反匯編的檢測技術(shù)以及基于虛擬執(zhí)行的檢測技術(shù)。
[0060]其中,基于特征碼輔助的檢測技術(shù)為特征碼的檢測最簡單且高效,但是誤報(bào)漏報(bào)率很高,而且鑒于其檢測的不完整性,容易被繞過,其檢測方法如下:
[0061]I)在模擬執(zhí)行前fs段設(shè)置包含Magic值得陷阱數(shù)據(jù);
[0062]2)當(dāng) Shellcode 中 Get Kernel32Adress Code 得到執(zhí)行時(shí)必然會(huì)訪問到 Magic值,并作為目標(biāo)地址訪問;
[0063]3)Magic值是一個(gè)內(nèi)存中不可訪問的地址,會(huì)觸發(fā)內(nèi)存訪問錯(cuò)誤;
[0064]4)發(fā)現(xiàn)指令中執(zhí)行過程中觸發(fā)了對我們預(yù)先設(shè)置的Magic值得內(nèi)存地址訪問錯(cuò)誤。
[0065]基于反匯編的檢測技術(shù)檢測效果要優(yōu)于基于特征碼輔助的檢測技術(shù),對一般非精心設(shè)計(jì)的shellcode效果比較理想,但是自修改的解碼字段只有在真正執(zhí)行的時(shí)候才能顯示其本來特征,能夠躲避反匯編檢測技術(shù)。
[0066]遞歸的反匯編掃描策略中是以程序靜態(tài)控制流程為基礎(chǔ),通過對可執(zhí)行代碼的掃描來獲得比較準(zhǔn)確的反匯編結(jié)果。
[0067]在這種策略中,每一條改變程序流程的指令(例如:跳轉(zhuǎn)指令、調(diào)用指令等)是反匯編器掃描的關(guān)鍵點(diǎn),當(dāng)掃描到這些指令時(shí),以它們跳轉(zhuǎn)或調(diào)用的目標(biāo)地址作為某一個(gè)新程序段的起始。
[0068]程序返回類指令等表示程序結(jié)束的指令是反匯編器掃描的另一個(gè)關(guān)鍵點(diǎn),當(dāng)掃描到這類指令時(shí)表示當(dāng)前正在掃描的是程序段的結(jié)束。
[0069]基于虛擬執(zhí)行的檢測技術(shù)能夠?qū)苟喾N反檢測技術(shù),效果較好,缺點(diǎn)是計(jì)算量大,硬件配置要求高。
[0070]虛擬執(zhí)行要在沙箱下實(shí)現(xiàn),當(dāng)有程序向硬盤中寫入數(shù)據(jù)時(shí),無論是修改系統(tǒng)文件,還是修改其他文件,或是在空白區(qū)域添加一個(gè)文件,都會(huì)寫在沙箱在硬盤中劃分出一個(gè)固定區(qū)域。
[0071]此區(qū)域由沙箱管理,當(dāng)有對硬盤的寫操作時(shí),沙箱分別將這些寫操作重定向到這個(gè)固定的區(qū)域中,而不是去修改那些已被占用的空間。
[0072]退出沙箱時(shí),沙箱將清空此區(qū)域,就像程序沒被運(yùn)行過一樣。
[0073]鑒于以上單項(xiàng)檢測技術(shù)都有一定局限性,本步驟中,“靜態(tài)檢測”采用上述三種主流檢測技術(shù)并行執(zhí)行,以可大幅增加檢測成功幾率。請參見圖3,該靜態(tài)檢測具體操作如下:對新的信息流進(jìn)行基于特征碼輔助的檢測技術(shù),基于反匯編的檢測技術(shù)以及基于虛擬執(zhí)行的檢測技術(shù)并行執(zhí)行,從而得到靜態(tài)檢測結(jié)果。
[0074]步驟3,動(dòng)態(tài)檢測:結(jié)合外部日志數(shù)據(jù),對步驟I中所得到的新的信息流進(jìn)行動(dòng)態(tài)行為監(jiān)測得到動(dòng)態(tài)檢測結(jié)果。其可以不依賴簽名技術(shù),而有效地檢測Oday攻擊以及未知的惡意軟件等。參見圖4,該步驟具體包括:
[0075]所述“動(dòng)態(tài)檢測”進(jìn)行動(dòng)態(tài)行為監(jiān)測,將防病毒、IDS、IPS和防火墻模塊中的有關(guān)攻擊的信息進(jìn)行關(guān)聯(lián),并將通過防病毒、IDS、IPS和防火墻模塊中的有關(guān)攻擊模型將檢測到的信息集成在一起,把響應(yīng)時(shí)間控制的小于攻擊時(shí)間;結(jié)合外部日志數(shù)據(jù),判斷新的信息流與有關(guān)攻擊模型是否匹配,若是,則判定為攻擊行為警告,若否,則范化式存儲(chǔ)。
[0076]使每一個(gè)安全功能之間可以互相通信,并關(guān)聯(lián)“威脅索引”信息,以識(shí)別可疑的惡意流量,這些流量可能還未被提取攻擊特征;通過跟蹤每一安全組件的檢測活動(dòng),能降低誤報(bào)率,以提高整個(gè)系統(tǒng)的檢測精確度。
[0077]為了使性能達(dá)到最佳,所有會(huì)話流量首先被每一個(gè)安全和檢測引擎使用已知特征進(jìn)行分析。
[0078]以猜密碼攻擊破解為例,首先在系統(tǒng)中建立一個(gè)猜密碼的關(guān)聯(lián)行為模型,檢測的主要流程為:在主機(jī)日志上發(fā)現(xiàn),某境外源IP在凌晨3點(diǎn),通過遠(yuǎn)程方式訪問目標(biāo)主機(jī)A,以管理員身份試圖登錄系統(tǒng)。
[0079]該主機(jī)日志顯示,該源IP地址一分鐘內(nèi)輸入密碼50次以上,均為錯(cuò)誤密碼。
[0080]該用戶在10分鐘錯(cuò)誤密碼嘗試后,最終登錄主機(jī)A成功。
[0081]而IDS設(shè)備顯示:該IP地址在三個(gè)小時(shí)內(nèi),曾嘗試對多臺(tái)目的主機(jī)B、C、D進(jìn)行了類似操作。
[0082]這些行為通過動(dòng)態(tài)檢測與預(yù)置模型匹配,可認(rèn)定為猜密碼的攻擊行為。
[0083]步驟4,病毒檢測:對新的信息流中的文件進(jìn)行病毒檢測,得到病毒檢測結(jié)果。其中,對文件方式的AV檢測,提供對未知惡意軟件的防護(hù)。
[0084]為將特征代碼法、校驗(yàn)和法、行為檢測法、軟件模擬法進(jìn)行依次實(shí)用。這些方法依據(jù)的原理不同,實(shí)現(xiàn)時(shí)所需開銷不同,檢測范圍不同,各有所長。
[0085]病毒檢測的特征代碼法是檢測已知病毒的最簡單、開銷最小的方法,而行為監(jiān)測法、軟件模擬法,與靜態(tài)檢測的檢測方式基本一致,但必須不斷更新版本,否則檢測工具便會(huì)老化,逐漸失去實(shí)用價(jià)值。
[0086]校驗(yàn)和法對未知病毒有一定的檢測能力。首先將正常文件的內(nèi)容,計(jì)算其校驗(yàn)和,寫入文件中保存。每24小時(shí)檢查文件的校驗(yàn)和與原來保存的校驗(yàn)和是否一致,可以發(fā)現(xiàn)文件是否感染病毒,這種方法叫校驗(yàn)和法,它既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒。
[0087]步驟5:根據(jù)靜態(tài)檢測結(jié)果、動(dòng)態(tài)檢測結(jié)果和病毒檢測結(jié)果判斷是否為未知威脅,若是,則發(fā)出未知警告,若否,貝1J正常訪問。
[0088]綜上所述,上述基于信息流行為合法性檢測的未知威脅的綜合檢測方法優(yōu)點(diǎn)是:通過對信息流進(jìn)行文件處理、靜態(tài)檢測、動(dòng)態(tài)檢測和病毒檢測,實(shí)現(xiàn)針對未知安全威脅的進(jìn)行檢測,從而能夠發(fā)現(xiàn)未知病毒,且信息流中的被查文件的細(xì)微變化也能發(fā)現(xiàn),達(dá)到安全威脅安全預(yù)警、快速發(fā)現(xiàn)和威脅定位的作用,以減少用戶的資產(chǎn)損失與隱私泄露,另外,由于實(shí)現(xiàn)對了未知威脅的判斷,從而有助于建立準(zhǔn)確的行為權(quán)重知識(shí)庫。
[0089]以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式,并不用于限制本發(fā)明,應(yīng)當(dāng)指出,對于本【技術(shù)領(lǐng)域】的普通技術(shù)人員來說,在不脫離本發(fā)明技術(shù)原理的前提下,還可以做出若干改進(jìn)和變型,這些改進(jìn)和變型也應(yīng)視為本發(fā)明的保護(hù)范圍。
【權(quán)利要求】
1.一種基于信息流行為合法性檢測的未知威脅的綜合檢測方法,其特征在于:包括以下步驟: 進(jìn)行文件處理:通過對原始信息流中的多種協(xié)議進(jìn)行文件分析、文件還原,形成新的信息流和文件分析結(jié)果; 靜態(tài)檢測,對新的信息流進(jìn)行靜態(tài)檢測得到靜態(tài)檢測結(jié)果; 動(dòng)態(tài)檢測:結(jié)合外部日志數(shù)據(jù),對新的信息流進(jìn)行動(dòng)態(tài)行為監(jiān)測得到動(dòng)態(tài)檢測結(jié)果; 病毒檢測:對新的信息流中的文件進(jìn)行病毒檢測,得到病毒檢測結(jié)果; 根據(jù)靜態(tài)檢測結(jié)果、動(dòng)態(tài)檢測結(jié)果和病毒檢測結(jié)果判斷是否為未知威脅,若是,則發(fā)出未知警告,若否,貝1J正常訪問。
2.根據(jù)權(quán)利要求1所述的基于信息流行為合法性檢測的未知威脅的綜合檢測方法,其特征在于:所述“進(jìn)行文件處理”具體操作步驟如下: 第一步:對原始信息流進(jìn)行數(shù)據(jù)包嗅探; 第二步:數(shù)據(jù)包的捕獲與重組,使用WinPcap庫完成網(wǎng)絡(luò)數(shù)據(jù)包捕獲的工作:利用WinPcap先通過訪問網(wǎng)絡(luò)的數(shù)據(jù)鏈路層來實(shí)現(xiàn)數(shù)據(jù)包的捕獲,其包括在網(wǎng)絡(luò)上各主機(jī)發(fā)送接收的數(shù)據(jù)包;在數(shù)據(jù)包發(fā)往應(yīng)用程序之前,按照自定義的規(guī)則將與該自定義規(guī)則相對應(yīng)的數(shù)據(jù)包過濾掉;收集網(wǎng)絡(luò)通迅過程中的統(tǒng)計(jì)信息;利用WinPcap的API函數(shù)完成所需的網(wǎng)絡(luò)數(shù)據(jù)包監(jiān)聽功能; 第三步:數(shù)據(jù)包的還原,其中重組得到原始數(shù)據(jù)包,該所得到的原始數(shù)據(jù)包為二進(jìn)制數(shù)據(jù),將該二進(jìn)制數(shù)據(jù)需轉(zhuǎn)換為十六進(jìn)制數(shù)據(jù)。
3.根據(jù)權(quán)利要求2所述的基于信息流行為合法性檢測的未知威脅的綜合檢測方法,其特征在于:所述第一步包括以下步驟: A,收集,數(shù)據(jù)包嗅探器從網(wǎng)絡(luò)線纜上收集原始二進(jìn)制數(shù)據(jù); 通過將選定的網(wǎng)卡設(shè)置成混雜模式來完成抓包,其中在這種模式下,該選定的網(wǎng)卡將抓取一個(gè)網(wǎng)段上所有的網(wǎng)絡(luò)通信流量,而不僅是發(fā)往它的數(shù)據(jù)包; B,轉(zhuǎn)換,將捕獲的二進(jìn)制數(shù)據(jù)轉(zhuǎn)換成可讀形式,通過命令行數(shù)據(jù)包嗅探器以解析方式進(jìn)行顯示; C,還原分析,對捕獲和轉(zhuǎn)換后的數(shù)據(jù)進(jìn)行還原; 同時(shí),數(shù)據(jù)包嗅探器以捕獲的網(wǎng)絡(luò)數(shù)據(jù)作為輸入,識(shí)別和驗(yàn)證它們的協(xié)議,然后開始分析每個(gè)協(xié)議的特定屬性;通過查看網(wǎng)絡(luò)流量,獲取到帶寬利用以及接收連接動(dòng)態(tài)行為,判斷引起故障的工作站點(diǎn)及其產(chǎn)生原因。
4.根據(jù)權(quán)利要求1所述的基于信息流行為合法性檢測的未知威脅的綜合檢測方法,其特征在于:所述“靜態(tài)檢測”采用特征碼輔助靜態(tài)檢測。
5.根據(jù)權(quán)利要求4所述的基于信息流行為合法性檢測的未知威脅的綜合檢測方法,其特征在于:所述特征碼輔助靜態(tài)檢測包括如下三種檢測技術(shù):基于特征碼輔助的檢測技術(shù)、基于反匯編的檢測技術(shù)以及基于虛擬執(zhí)行的檢測技術(shù),所述“靜態(tài)檢測”采用上述三種檢測技術(shù)并行執(zhí)行。
6.根據(jù)權(quán)利要求1所述的基于信息流行為合法性檢測的未知威脅的綜合檢測方法,其特征在于:所述“動(dòng)態(tài)檢測”包括:進(jìn)行動(dòng)態(tài)行為監(jiān)測,將防病毒、IDS、IPS和防火墻模塊中的有關(guān)攻擊的信息進(jìn)行關(guān)聯(lián),并將通過防病毒、IDS、IPS和防火墻模塊中的有關(guān)攻擊模型將檢測到的信息集成在一起。
7.根據(jù)權(quán)利要求6所述的基于信息流行為合法性檢測的未知威脅的綜合檢測方法,其特征在于:所述“動(dòng)態(tài)檢測”還包括:使每一個(gè)安全功能之間可以互相通信,并關(guān)聯(lián)威脅索引信息,以識(shí)別可疑的惡意流量;跟蹤每一安全組件的檢測活動(dòng)。
8.根據(jù)權(quán)利要求1所述的基于信息流行為合法性檢測的未知威脅的綜合檢測方法,其特征在于:所述“檢測病毒”為將特征代碼法、校驗(yàn)和法、行為檢測法、軟件模擬法進(jìn)行依次實(shí)用。
【文檔編號】H04L29/06GK104363240SQ201410693839
【公開日】2015年2月18日 申請日期:2014年11月26日 優(yōu)先權(quán)日:2014年11月26日
【發(fā)明者】劉昀, 任建偉, 來驥, 閆磊, 蘇丹, 李旺, 馬躍, 崔領(lǐng)先, 楊大路, 印權(quán), 吳佳, 李環(huán)媛, 聶正璞, 崔兆, 鄧強(qiáng), 林峰 申請人:國家電網(wǎng)公司, 國網(wǎng)冀北電力有限公司信息通信分公司, 北京國電通網(wǎng)絡(luò)技術(shù)有限公司