技術(shù)領(lǐng)域

本發(fā)明涉及一種網(wǎng)絡(luò)信息安全檢測方法，尤其涉及一種基于信息流行為合法性檢測的未知威脅的綜合檢測方法。

背景技術(shù)

由于互聯(lián)網(wǎng)信息安全自身的特點(diǎn)使得出現(xiàn)的安全威脅都屬于未知性或小范圍內(nèi)傳播，具有極高的隱密性，針對互聯(lián)網(wǎng)信息安全的這種未知威脅如何發(fā)現(xiàn)就是急需要解決的問題。

傳統(tǒng)的基于特征碼的檢測技術(shù)獨(dú)立使用只能針對已知病毒或攻擊行為，對未知威脅的檢測手段無法檢測；傳統(tǒng)對未知威脅行為的檢測手段通常是基于系統(tǒng)、應(yīng)用權(quán)限或者某些重要屬性的變更判斷，誤報(bào)率很高，造成大量告警，后期人為排查工作量非常大。

有鑒于上述的缺陷，本設(shè)計(jì)人，積極加以研究創(chuàng)新，以期創(chuàng)設(shè)一種基于信息流行為合法性檢測的未知威脅的綜合檢測方法，使其更具有產(chǎn)業(yè)上的利用價(jià)值。

發(fā)明內(nèi)容

為解決上述技術(shù)問題，本發(fā)明的目的是提供一種能夠針對未知安全威脅的進(jìn)行檢測的基于信息流行為合法性檢測的未知威脅的綜合檢測方法。

本發(fā)明的一種基于信息流行為合法性檢測的未知威脅的綜合檢測方法，包括以下步驟：

進(jìn)行文件處理：通過對原始信息流中的多種協(xié)議進(jìn)行文件分析、文件還原，形成新的信息流和文件分析結(jié)果；

靜態(tài)檢測，對新的信息流進(jìn)行靜態(tài)檢測得到靜態(tài)檢測結(jié)果；

動態(tài)檢測：結(jié)合外部日志數(shù)據(jù)，對新的信息流進(jìn)行動態(tài)行為監(jiān)測得到動態(tài)檢測結(jié)果；

病毒檢測：對新的信息流中的文件進(jìn)行病毒檢測，得到病毒檢測結(jié)果；

根據(jù)靜態(tài)檢測結(jié)果、動態(tài)檢測結(jié)果和病毒檢測結(jié)果判斷是否為未知威脅，若是，則發(fā)出未知警告，若否，則正常訪問。

進(jìn)一步的，所述“進(jìn)行文件處理”具體操作步驟如下：

第一步：對原始信息流進(jìn)行數(shù)據(jù)包嗅探；

第二步：數(shù)據(jù)包的捕獲與重組，使用WinPcap庫完成網(wǎng)絡(luò)數(shù)據(jù)包捕獲的工作：利用WinPcap先通過訪問網(wǎng)絡(luò)的數(shù)據(jù)鏈路層來實(shí)現(xiàn)數(shù)據(jù)包的捕獲，其包括在網(wǎng)絡(luò)上各主機(jī)發(fā)送接收的數(shù)據(jù)包；在數(shù)據(jù)包發(fā)往應(yīng)用程序之前，按照自定義的規(guī)則將與該自定義規(guī)則相對應(yīng)的數(shù)據(jù)包過濾掉；收集網(wǎng)絡(luò)通迅過程中的統(tǒng)計(jì)信息；利用WinPcap的API函數(shù)完成所需的網(wǎng)絡(luò)數(shù)據(jù)包監(jiān)聽功能；

第三步：數(shù)據(jù)包的還原，其中重組得到原始數(shù)據(jù)包，該所得到的原始數(shù)據(jù)包為二進(jìn)制數(shù)據(jù)，將該二進(jìn)制數(shù)據(jù)需轉(zhuǎn)換為十六進(jìn)制數(shù)據(jù)。

進(jìn)一步的，所述第一步包括以下步驟：

A，收集，數(shù)據(jù)包嗅探器從網(wǎng)絡(luò)線纜上收集原始二進(jìn)制數(shù)據(jù)；

通過將選定的網(wǎng)卡設(shè)置成混雜模式來完成抓包，其中在這種模式下，該選定的網(wǎng)卡將抓取一個(gè)網(wǎng)段上所有的網(wǎng)絡(luò)通信流量，而不僅是發(fā)往它的數(shù)據(jù)包；

B，轉(zhuǎn)換，將捕獲的二進(jìn)制數(shù)據(jù)轉(zhuǎn)換成可讀形式，通過命令行數(shù)據(jù)包嗅探器以解析方式進(jìn)行顯示；

C，還原分析，對捕獲和轉(zhuǎn)換后的數(shù)據(jù)進(jìn)行還原；

同時(shí)，數(shù)據(jù)包嗅探器以捕獲的網(wǎng)絡(luò)數(shù)據(jù)作為輸入，識別和驗(yàn)證它們的協(xié)議，然后開始分析每個(gè)協(xié)議的特定屬性；通過查看網(wǎng)絡(luò)流量，獲取到帶寬利用以及接收連接動態(tài)行為，判斷引起故障的工作站點(diǎn)及其產(chǎn)生原因。

進(jìn)一步的，所述“靜態(tài)檢測”采用特征碼輔助靜態(tài)檢測。

進(jìn)一步的，所述特征碼輔助靜態(tài)檢測包括如下三種檢測技術(shù)：基于特征碼輔助的檢測技術(shù)、基于反匯編的檢測技術(shù)以及基于虛擬執(zhí)行的檢測技術(shù)，所述“靜態(tài)檢測”采用上述三種檢測技術(shù)并行執(zhí)行。

進(jìn)一步的，所述“動態(tài)檢測”包括：進(jìn)行動態(tài)行為監(jiān)測，將防病毒、IDS、IPS和防火墻模塊中的有關(guān)攻擊的信息進(jìn)行關(guān)聯(lián)，并將通過防病毒、IDS、IPS和防火墻模塊中的有關(guān)攻擊模型將檢測到的信息集成在一起。

進(jìn)一步的，所述“動態(tài)檢測”還包括：使每一個(gè)安全功能之間可以互相通信，并關(guān)聯(lián)威脅索引信息，以識別可疑的惡意流量；跟蹤每一安全組件的檢測活動。

進(jìn)一步的，所述“檢測病毒”為將特征代碼法、校驗(yàn)和法、行為檢測法、軟件模擬法進(jìn)行依次實(shí)用。

借由上述方案，本發(fā)明至少具有以下優(yōu)點(diǎn)：通過對信息流進(jìn)行文件處理、靜態(tài)檢測、動態(tài)檢測和病毒檢測，實(shí)現(xiàn)針對未知安全威脅的進(jìn)行檢測，從而能夠發(fā)現(xiàn)未知病毒，且信息流中的被查文件的細(xì)微變化也能發(fā)現(xiàn)，達(dá)到安全威脅安全預(yù)警、快速發(fā)現(xiàn)和威脅定位的作用，以減少用戶的資產(chǎn)損失與隱私泄露，另外，由于實(shí)現(xiàn)對了未知威脅的判斷，從而有助于建立準(zhǔn)確的行為權(quán)重知識庫。

上述說明僅是本發(fā)明技術(shù)方案的概述，為了能夠更清楚了解本發(fā)明的技術(shù)手段，并可依照說明書的內(nèi)容予以實(shí)施，以下以本發(fā)明的較佳實(shí)施例并配合附圖詳細(xì)說明如后。

附圖說明