[发明专利]多方法混合的分布式APT恶意流量检测防御系统及方法

说明书

本发明属于网络安全技术领域，公开了一种多方法混合的分布式APT恶意流量检测防御系统及方法，包括：网络设备层进行流量旁路与设备管控，将旁路流量送往检测与防御层进行检测；检测与防护层进行流量检测与指令执行；分析与控制层进行检测日志汇总分析与指令下达；展示与管理层进行数据展示与用户交互。本发明能够对网络中的恶意流量进行全方位、多角度的精准检测，从而识别出潜在的APT攻击。同时，运用分布式架构，可以对整个受保护网络的入侵情况进行精准全面地威胁建模。同时使用了Cyber Kill Chain理论模型，充分挖掘长时间、宽空间跨度下的网络内告警之间的关联，识别出网络中潜在的APT攻击行动并给出相应的警报。

技术领域

本发明属于网络安全技术领域，尤其涉及一种多方法混合的分布式APT恶意流量检测防御系统及方法。

背景技术

目前，近几年，网络空间安全面临的威胁有日渐复杂化的趋势。这些恶意软件不同于之前的普通网络攻击软件,呈现出数量不断增多、技术手段不断升级、攻击效能逐渐增大，各软件之间相互协作的特点。这表明网络攻击方式已由单一模式朝着复杂的高级持续性威胁(Advanced Persistent Threat,APT)的攻击模式发展。APT攻击是有组织、有目的，复杂、持久而隐蔽的网络安全攻击模式。政企单位是绝大多数APT攻击的主要目标，因此APT攻击范围广、造成的损失大。同时，网络流量是几乎所有网络攻击的重要载体。不管是蠕虫病毒、钓鱼邮件，还是勒索软件、漏洞入侵，为投递载荷或控制目标，APT的各个步骤之间都会在一定程度上与网络流量产生关联。因此，一个检测恶意流量的网络入侵检测防御系统是一个理想的APT防护系统。

目前，检测恶意网络流量的入侵检测防御系统主要采用以下技术方法：

基于数据特征的入侵检测防御系统。它能够提取数据包的特定字段并根据规则进行特异性匹配，并判定是否触发规则，若触发则对数据包作出规则指定的动作。但是基于特征匹配的检测是类静态的，即很难探测出数据包时间序列上的关联，且当攻击者对数据包的某些特异性字段进行恶意修改，可能会导致检测规则的失效。

基于行为特征的入侵检测防御系统。此类系统构建了一个抽象的网络事件处理引擎，能够分析并自定义网络流量的行为特征，从而实现时间序列上的关联检测，检测出恶意流量在时间上的行为特征。然而人为分析并设计的策略是有限的，无法涵盖潜在的每一个流量数据特征。

基于深度学习的入侵检测防御系统。基于人工智能算法的检测方法近年来成为研究重点，其中深度学习强大的特征表达能力对愈发困难的恶意流量特征提取起到了重要作用，直接面向数据集进行训练的模式省略了手工设计特征的步骤，加快了对新型攻击手段或指令的检测覆盖。但是这类方法也存在一些弊端。例如，深度学习模型的泛化能力差，适用环境必须与训练环境数据分布保持一致等。现有的模型对流量本身特性的分析不足，仅是将流量检测当作一般的分类问题来考虑，而忽略了恶意流量本身有自己的显著特性。

同时，目前现有的入侵检测系统在面对持久复杂的APT攻击时具有明显的缺点。在时间上，现有的入侵检测系统仅能做到“检测即报警”。没有针对APT攻击的持久性，对长时间跨度下的告警信息之间的关联进行充分挖掘，以识别潜在的APT攻击。在空间上，现有的入侵检测系统多为单点检测的系统架构，这一架构仅能对网络中的特定关键节点，如网络入口、关键网络资产等进行检测防御。但是没有针对APT攻击的复杂和隐蔽性，对宽空间跨度下不同网络位置的告警信息进行分析，无法全面感知复杂隐蔽的APT网络攻击态势。

因此设计一套考虑APT攻击长期性，攻击前后关联性，攻击隐蔽性并具有混合检测防御方法的分布式恶意流量防御系统是一个技术挑战，也是应对APT攻击的重要手段。

通过上述分析，现有技术存在的问题及缺陷为：现有技术没有针对APT攻击的复杂和隐蔽性，对宽空间跨度下不同网络位置的告警信息进行分析，无法全面感知复杂隐蔽的APT网络攻击态势；没有针对APT攻击的持久性，无法识别潜在的APT攻击。