技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域，特別涉及一種多維度檢測(cè)防御APT的系統(tǒng)及方法。

背景技術(shù)

APT攻擊是一類高等級(jí)網(wǎng)絡(luò)攻擊，具體的說(shuō)，是非授權(quán)的個(gè)人、團(tuán)體對(duì)受害目標(biāo)長(zhǎng)期采用多種攻擊方法和先進(jìn)攻擊手段進(jìn)行的持續(xù)性攻擊行為，APT攻擊的常見(jiàn)目的是破壞受害目標(biāo)的系統(tǒng)，偷竊受害目標(biāo)的信息，經(jīng)典的APT事件包括震網(wǎng)（Stuxnet），Duqu，F(xiàn)lame等。

根據(jù)典型APT事件進(jìn)行分析，往往攻擊者具備豐富的經(jīng)濟(jì)、技術(shù)、情報(bào)等資源，能夠有效的突破安全系統(tǒng)的防御，經(jīng)過(guò)對(duì)近期典型事件的分析，一個(gè)APT事件從開(kāi)始攻擊，進(jìn)入受害者系統(tǒng)，到被受害者發(fā)現(xiàn)的跨度往往從數(shù)月到數(shù)年不等，且一些典型APT事件在攻擊者披露后，受害者也未能進(jìn)行發(fā)現(xiàn)。

之所以出現(xiàn)這個(gè)情況，和傳統(tǒng)的安全防御技術(shù)的防御原理和技術(shù)手段有關(guān)，如傳統(tǒng)云安全技術(shù)通過(guò)在公共網(wǎng)絡(luò)大量采集客戶信息送到云端通過(guò)統(tǒng)計(jì)技術(shù)和人工發(fā)現(xiàn)異常，而APT事件往往是小范圍事件，具備高定向性，導(dǎo)致很難采集，即使采集也往往淹沒(méi)在海量的事件中無(wú)法具備統(tǒng)計(jì)意義；高性能網(wǎng)絡(luò)安全設(shè)備由于性能要求，往往采用低精度高實(shí)時(shí)性的檢測(cè)技術(shù)，導(dǎo)致難以對(duì)APT事件進(jìn)行細(xì)粒度高精度的檢測(cè)，終端安全軟件由于其商業(yè)上的易獲得性，使得攻擊者可以先研究規(guī)避技術(shù)后再攻擊，即確認(rèn)攻擊代碼可以繞過(guò)安全軟件后再發(fā)起攻擊。以上種種使得現(xiàn)有的安全防御系統(tǒng)在APT事件中大量的失效。

而傳統(tǒng)安全防御系統(tǒng)多基于單個(gè)孤立時(shí)間點(diǎn)或時(shí)間段的實(shí)時(shí)檢測(cè)和防御，或基于單維度的檢測(cè)，如傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備僅對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行檢測(cè)，對(duì)偽裝在正常數(shù)據(jù)的加密攻擊代碼則基本無(wú)檢測(cè)能力。

因此有必要克服涉及APT高級(jí)安全威脅防御和檢測(cè)的傳統(tǒng)安全系統(tǒng)的上述缺點(diǎn)。

發(fā)明內(nèi)容

本發(fā)明提供了一種多維度檢測(cè)防御APT的系統(tǒng)及方法，解決了傳統(tǒng)安全防御系統(tǒng)只能在單獨(dú)時(shí)間點(diǎn)或時(shí)間段對(duì)單一維度進(jìn)行檢測(cè)，無(wú)法進(jìn)行全面檢測(cè)的問(wèn)題，使防御檢測(cè)系統(tǒng)能夠?qū)崿F(xiàn)自更新以獲得其他維度的檢測(cè)能力。

一種多維度檢測(cè)防御APT的系統(tǒng)，包括：至少兩個(gè)檢測(cè)模塊，和維度擴(kuò)展模塊；

所述檢測(cè)模塊分別部署于各維度中，根據(jù)所處維度檢測(cè)點(diǎn)環(huán)境，預(yù)設(shè)檢測(cè)規(guī)則，用于檢測(cè)當(dāng)前維度中的待檢測(cè)對(duì)象，記錄待檢測(cè)對(duì)象的行為及檢測(cè)結(jié)果，根據(jù)預(yù)設(shè)篩選規(guī)則，篩選出維度檢測(cè)擴(kuò)展信息，并發(fā)送到維度擴(kuò)展模塊中；獲取維度擴(kuò)展模塊發(fā)送來(lái)的檢測(cè)規(guī)則及篩選規(guī)則，補(bǔ)充到預(yù)設(shè)檢測(cè)規(guī)則和預(yù)設(shè)篩選規(guī)則中；

所述的篩選規(guī)則，可根據(jù)維度擴(kuò)展模塊中維度關(guān)聯(lián)規(guī)則所需要或可以利用的信息預(yù)先設(shè)定，在當(dāng)前檢測(cè)模塊檢測(cè)產(chǎn)生的信息及待檢測(cè)對(duì)象本身的信息等中選??；

維度擴(kuò)展模塊，用于獲取各檢測(cè)模塊發(fā)送來(lái)的維度檢測(cè)擴(kuò)展信息，根據(jù)預(yù)設(shè)維度關(guān)聯(lián)規(guī)則對(duì)所述維度檢測(cè)擴(kuò)展信息進(jìn)行投影關(guān)聯(lián)，產(chǎn)生其他維度可用的檢測(cè)規(guī)則及篩選規(guī)則，并發(fā)送到對(duì)應(yīng)維度的檢測(cè)模塊中；

維度關(guān)聯(lián)規(guī)則是將維度擴(kuò)展模塊所獲得的信息與其他維度檢測(cè)所需的信息類型進(jìn)行映射匹配等，進(jìn)一步得到其他維度可用的信息。

所述維度由至少兩個(gè)不同檢測(cè)點(diǎn)環(huán)境組成，每個(gè)檢測(cè)點(diǎn)環(huán)境為一個(gè)維度。例如部署于網(wǎng)關(guān)節(jié)點(diǎn)的檢測(cè)點(diǎn)環(huán)境、部署于PC上的檢測(cè)點(diǎn)環(huán)境、部署于移動(dòng)終端的檢測(cè)點(diǎn)環(huán)境等。

所述的系統(tǒng)中，如果所述檢測(cè)模塊的預(yù)設(shè)檢測(cè)規(guī)則中不存在待檢測(cè)對(duì)象的檢測(cè)規(guī)則，則記錄所述待檢測(cè)對(duì)象的信息，并發(fā)送到維度擴(kuò)展模塊；

維度擴(kuò)展模塊根據(jù)待檢測(cè)對(duì)象的信息，將所述待檢測(cè)對(duì)象發(fā)送到相應(yīng)維度的檢測(cè)模塊中。

所述的系統(tǒng)中，在所述檢測(cè)模塊收到維度擴(kuò)展模塊發(fā)送來(lái)的檢測(cè)規(guī)則及篩選規(guī)則，補(bǔ)充到預(yù)設(shè)檢測(cè)規(guī)則和預(yù)設(shè)篩選規(guī)則中后，對(duì)當(dāng)前檢測(cè)模塊中的所有待檢測(cè)對(duì)象進(jìn)行二次檢測(cè)。

所述的系統(tǒng)中，包括：至少兩個(gè)防御模塊，所述防御模塊分別部署于各維度中，用于根據(jù)所處維度對(duì)應(yīng)檢測(cè)模塊的檢測(cè)結(jié)果及預(yù)設(shè)防御規(guī)則，對(duì)待檢測(cè)對(duì)象攔截、阻斷或告警，并根據(jù)預(yù)設(shè)篩選規(guī)則，篩選出維度防御擴(kuò)展信息，并發(fā)送到維度擴(kuò)展模塊中；獲取維度擴(kuò)展模塊發(fā)送的防御規(guī)則，并補(bǔ)充到預(yù)設(shè)防御規(guī)則中；

所述維度擴(kuò)展模塊根據(jù)維度關(guān)聯(lián)規(guī)則，對(duì)收到的維度防御擴(kuò)展信息進(jìn)行投影關(guān)聯(lián)，產(chǎn)生其他維度可用的防御規(guī)則，并發(fā)送到對(duì)應(yīng)維度的防御模塊中。

所述的系統(tǒng)中，包括：至少兩個(gè)處置模塊，所述處置模塊分別部署于各維度中，用于根據(jù)所處維度對(duì)應(yīng)檢測(cè)模塊的檢測(cè)結(jié)果及預(yù)設(shè)處置規(guī)則，對(duì)待檢測(cè)對(duì)象進(jìn)行處置，并將維度處置擴(kuò)展信息發(fā)送到維度擴(kuò)展模塊中；獲取維度擴(kuò)展模塊發(fā)送的處置規(guī)則，并補(bǔ)充到預(yù)設(shè)處置規(guī)則中；