[发明专利]一种精准式网络攻击检测预警平台

说明书

本发明公开了一种精准式网络攻击检测预警平台，包括多引擎沙箱子系统、辅助检测子系统和数据分析子系统，数据分析子系统包括关联分析系统和基于大数据架构的数据分析系统，关联分析系统包括沙箱中间结果关联模块、报警规则关联模块、报警和流量关联模块和流量建模分析模块；辅助检测子系统包括AV模块和IDS模块；该发明，采用分层防御的结构，将系统划分为专注于已知威胁检测的辅助检测子系统系统，专注于基于恶意行为检测的多引擎沙箱检测子系统，以及数据分析子系统；针对APT攻击的各个阶段，精准式网络攻击检测预警平台可以在单点突破、后门安装、建立隐密通道、盗取数据等阶段对APT攻击进行有效的检测和及时预警。

技术领域

本发明涉及网络安全技术领域，具体为一种精准式网络攻击检测预警平台。

背景技术

高级持续性威胁(Advanced Persistent Threat，简称APT)是一种可以绕过各种传统安全检测防护措施，通过精心伪装、定点攻击、长期潜伏、持续渗透等方式，伺机窃取网络信息系统核心资料和各类情报的攻击方式。事实证明，传统安全设备已经无法抵御复杂、隐蔽的APT攻击。

传统安全防御体系的框架一般包括：接入控制、安全隔离、边界检测/防御、终端防御、网络审计、访问控制等，所涉及的安全产品包括：防火墙、IDS/IPS、杀毒软件、桌面管理软件、网络审计、双因素认证Token等。

从传统安全防御体系的设备和产品可以看到，这些产品遍布网络2～7层的数据分析，其中，与APT攻击相关的7层设备主要是IDS、IPS、审计，而负责7层检测IDS、IPS采用经典的CIDF检测模型，该模型最核心的思想就是依靠攻击特征库的模式匹配完成对攻击行为的检测。反观APT攻击，其采用的攻击手法和技术都是未知漏洞(0day)、未知恶意代码等未知行为，在这种情况下，依靠已知特征、已知行为模式进行检测的IDS、IPS在无法预知攻击特征、攻击行为模式的情况下，理论上就已无法检测APT攻击。

APT攻击通常都会在内网的各个角落留下蛛丝马迹，真相往往隐藏在网络的流量中。传统的安全事件分析思路是遍历各个安全设备的告警日志，尝试找出其中的关联关系。但根据上文的分析，由于APT攻击的隐蔽性和特殊性，传统安全设备通常都无法对APT攻击的各个阶段进行有效的检测，也就无法产生相应的告警，安全人员花费大量精力进行告警日志分析往往都是徒劳无功。如果采用全流量采集的思路，一方面是存储不方便，每天产生的全流量数据会占用过多的存储空间，组织通常没有足够的资源来支撑长时间的存储；另一方面是全流量数据包含了结构化数据、非结构化数据，涵盖了视屏、图片、文本等等多种格式，无法直接进行格式化检索，安全人员也就无法从海量的数据中找到有价值的信息。

因此，如何以恰当的方式长时间保存对安全分析有价值的流量数据，是检测、回溯APT攻击必须解决的问题。针对上述问题，设计一种精准式网络攻击检测预警平台是十分有必要的。

发明内容

本发明的目的在于提供一种精准式网络攻击检测预警平台，以解决上述背景技术中提出的问题。

为了解决上述技术问题，本发明提供如下技术方案：一种精准式网络攻击检测预警平台，包括多引擎沙箱子系统、辅助检测子系统和数据分析子系统，所述多引擎沙箱子系统包括应用级沙箱、系统沙箱和并发样本执行模块，所述多引擎沙箱子系统的输出端通过信号与数据分析子系统的输入端连接，所述数据分析子系统包括关联分析系统和基于大数据架构的数据分析系统，所述关联分析系统包括沙箱中间结果关联模块、报警规则关联模块、报警和流量关联模块和流量建模分析模块；

所述沙箱中间结果关联模块：将沙箱运行过程中产生的原始数据，如文件系统监控数据、注册表修改数据、网络连接行为数据等，通过综合分析进行文件异常度判断，提升单一检测模块报警的准确度；

所述报警规则关联模块：通过分析人员的经验，根据典型攻击场景设置关联分析规则，将一次攻击过程触发的多条相关事件组合成完整的攻击场景，以便对攻击进行回溯分析；