[发明专利]一种多维度检测防御APT的系统及方法

说明书

技术领域

本发明涉及网络安全领域，特别涉及一种多维度检测防御APT的系统及方法。

背景技术

APT攻击是一类高等级网络攻击，具体的说，是非授权的个人、团体对受害目标长期采用多种攻击方法和先进攻击手段进行的持续性攻击行为，APT攻击的常见目的是破坏受害目标的系统，偷窃受害目标的信息，经典的APT事件包括震网（Stuxnet），Duqu，Flame等。

根据典型APT事件进行分析，往往攻击者具备丰富的经济、技术、情报等资源，能够有效的突破安全系统的防御，经过对近期典型事件的分析，一个APT事件从开始攻击，进入受害者系统，到被受害者发现的跨度往往从数月到数年不等，且一些典型APT事件在攻击者披露后，受害者也未能进行发现。

之所以出现这个情况，和传统的安全防御技术的防御原理和技术手段有关，如传统云安全技术通过在公共网络大量采集客户信息送到云端通过统计技术和人工发现异常，而APT事件往往是小范围事件，具备高定向性，导致很难采集，即使采集也往往淹没在海量的事件中无法具备统计意义；高性能网络安全设备由于性能要求，往往采用低精度高实时性的检测技术，导致难以对APT事件进行细粒度高精度的检测，终端安全软件由于其商业上的易获得性，使得攻击者可以先研究规避技术后再攻击，即确认攻击代码可以绕过安全软件后再发起攻击。以上种种使得现有的安全防御系统在APT事件中大量的失效。

而传统安全防御系统多基于单个孤立时间点或时间段的实时检测和防御，或基于单维度的检测，如传统网络安全设备仅对网络数据流进行检测，对伪装在正常数据的加密攻击代码则基本无检测能力。

因此有必要克服涉及APT高级安全威胁防御和检测的传统安全系统的上述缺点。

发明内容

本发明提供了一种多维度检测防御APT的系统及方法，解决了传统安全防御系统只能在单独时间点或时间段对单一维度进行检测，无法进行全面检测的问题，使防御检测系统能够实现自更新以获得其他维度的检测能力。

一种多维度检测防御APT的系统，包括：至少两个检测模块，和维度扩展模块；

所述检测模块分别部署于各维度中，根据所处维度检测点环境，预设检测规则，用于检测当前维度中的待检测对象，记录待检测对象的行为及检测结果，根据预设筛选规则，筛选出维度检测扩展信息，并发送到维度扩展模块中；获取维度扩展模块发送来的检测规则及筛选规则，补充到预设检测规则和预设筛选规则中；

所述的筛选规则，可根据维度扩展模块中维度关联规则所需要或可以利用的信息预先设定，在当前检测模块检测产生的信息及待检测对象本身的信息等中选取；

维度扩展模块，用于获取各检测模块发送来的维度检测扩展信息，根据预设维度关联规则对所述维度检测扩展信息进行投影关联，产生其他维度可用的检测规则及筛选规则，并发送到对应维度的检测模块中；

维度关联规则是将维度扩展模块所获得的信息与其他维度检测所需的信息类型进行映射匹配等，进一步得到其他维度可用的信息。

所述维度由至少两个不同检测点环境组成，每个检测点环境为一个维度。例如部署于网关节点的检测点环境、部署于PC上的检测点环境、部署于移动终端的检测点环境等。

所述的系统中，如果所述检测模块的预设检测规则中不存在待检测对象的检测规则，则记录所述待检测对象的信息，并发送到维度扩展模块；

维度扩展模块根据待检测对象的信息，将所述待检测对象发送到相应维度的检测模块中。

所述的系统中，在所述检测模块收到维度扩展模块发送来的检测规则及筛选规则，补充到预设检测规则和预设筛选规则中后，对当前检测模块中的所有待检测对象进行二次检测。

所述的系统中，包括：至少两个防御模块，所述防御模块分别部署于各维度中，用于根据所处维度对应检测模块的检测结果及预设防御规则，对待检测对象拦截、阻断或告警，并根据预设筛选规则，筛选出维度防御扩展信息，并发送到维度扩展模块中；获取维度扩展模块发送的防御规则，并补充到预设防御规则中；

所述维度扩展模块根据维度关联规则，对收到的维度防御扩展信息进行投影关联，产生其他维度可用的防御规则，并发送到对应维度的防御模块中。

所述的系统中，包括：至少两个处置模块，所述处置模块分别部署于各维度中，用于根据所处维度对应检测模块的检测结果及预设处置规则，对待检测对象进行处置，并将维度处置扩展信息发送到维度扩展模块中；获取维度扩展模块发送的处置规则，并补充到预设处置规则中；