本發(fā)明是有關于一種惡意代碼檢測的方法，包括：NIDS根據(jù)規(guī)則匹配發(fā)現(xiàn)惡意代碼等疑似攻擊事件，NIDS根據(jù)預設規(guī)則將相關攻擊事件信息下發(fā)至終端側與進程端口號關聯(lián)，以獲取與進程相關的關鍵信息；收集終端側的惡意代碼事件信息及相關樣本文件，并將收集的惡意代碼事件信息及相關樣本文件發(fā)送至NIDS，供NIDS進行惡意代碼事件判定；獲取經(jīng)NIDS判定確定后的惡意代碼事件和相關處置指令，并將其發(fā)送至終端側受害者主機上的終端探針，供終端探針執(zhí)行相關處置動作。本發(fā)明避免了傳統(tǒng)NIDS惡意代碼檢測過程中，由于缺少主機側關鍵信息而導致的誤判，同時彌補傳統(tǒng)NIDS無法對檢測出來的安全威脅進行快速處置的不足。

技術領域

本發(fā)屬于網(wǎng)絡安全技術領域，特別是涉及一種惡意代碼檢測的方法、裝置及系統(tǒng)。

背景技術

基于網(wǎng)絡的入侵檢測系統(tǒng)(NIDS)部署在重要信息系統(tǒng)互聯(lián)網(wǎng)出入口，采用旁路鏡像或分光的方式，對網(wǎng)絡流量進行分析，在不影響網(wǎng)絡性能的情況下對網(wǎng)絡入侵、惡意代碼感染和傳播進行實時監(jiān)測，從而提高了網(wǎng)絡的安全性。

現(xiàn)有技術中，在惡意代碼檢測上，NIDS具有如下局限性：

隨著業(yè)務應用系統(tǒng)安全性需求的提高，越來越多的業(yè)務系統(tǒng)、互聯(lián)網(wǎng)網(wǎng)站、移動終端APP等交互的網(wǎng)絡通訊都開始采用HTTPS加密傳輸。一方面這種方式的采用提升了網(wǎng)絡應用的安全性，另一方面也給NIDS僅僅通過分析網(wǎng)絡流量來發(fā)現(xiàn)惡意代碼威脅的方法帶來了新挑戰(zhàn)。同時各種惡意代碼攻擊也更多通過采用針對NIDS檢測的逃逸技術，來隱藏真實的攻擊載荷。基于深度包識別/深度流識別(DPI/DFI)技術為核心的NIDS類產(chǎn)品因需要綜合考慮性能、實時性、用戶體驗等因素，在應對此類威脅時難以施力，應用效果受到很大限制。

現(xiàn)在的高級持續(xù)性威脅(APT)攻擊越發(fā)呈現(xiàn)出攻擊手段多樣化、攻擊維度立體化的趨勢，在常用的利用系統(tǒng)漏洞、郵件、網(wǎng)絡共享、移動存儲等方式上，還更多的融合無線熱點偽造、網(wǎng)絡釣魚、水坑攻擊、Cookie竊取等多種攻擊形式，再輔之社會工程學，讓攻擊發(fā)現(xiàn)、攻擊源頭定位以及網(wǎng)絡系統(tǒng)內(nèi)部入侵薄弱點定位變得更加困難。在傳統(tǒng)安全檢測及防護方案中，往往只是通過NIDS類產(chǎn)品發(fā)現(xiàn)了最終的攻擊行為和后果，很難還原整個威脅攻擊路徑，也不清楚如何在后續(xù)進行有針對性防御和追溯，從而在實際環(huán)境中往往會發(fā)生重復遭受攻擊入侵，安全防御應對乏力的情況，給正常的業(yè)務系統(tǒng)持續(xù)穩(wěn)定運行帶來了很大影響。

在傳統(tǒng)惡意代碼檢測解決方案中，除了部署NIDS類產(chǎn)品，通常還會選擇終端安全探針類產(chǎn)品。終端安全探針通常安裝在被重點檢測的主機之上，主要是對該主機的網(wǎng)絡實時連接、系統(tǒng)狀態(tài)、異常進程行為以及系統(tǒng)審計日志進行智能分析和判斷，以檢測惡意代碼感染、發(fā)作行為。但是，受限于廠商間的壁壘及產(chǎn)品的獨立性部署，二者在安全檢測與防御方面“各自為戰(zhàn)”，各自采集到的信息及做出的威脅分析相對碎片化，缺乏整體安全的全局化視角，這樣最終呈現(xiàn)出的信息價值就大打折扣。同時因為產(chǎn)品間關聯(lián)性及互操作性較弱，經(jīng)常無法相互配合聯(lián)動，即使某一類檢測產(chǎn)品已發(fā)現(xiàn)異常威脅，但卻無法及時將防御動作作用于受攻擊或受影響的目標，使得威脅攻擊的不良后果沒有及時得到制止，直接給國家重要單位和部門造成了巨大的經(jīng)濟損失和社會不良影響。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種網(wǎng)絡側流量監(jiān)測和終端側主機監(jiān)測相結合的動態(tài)聯(lián)動檢測方法，通過構建惡意代碼全局檢測防御與動態(tài)聯(lián)動的安全檢測體系，實現(xiàn)網(wǎng)絡側與終端安全協(xié)同配合，并通過整合威脅情報及數(shù)據(jù)分析能力，對惡意代碼傳播、感染、出發(fā)、運行全生命周期進行有效追蹤和檢測。

本發(fā)明的目的及解決其技術問題是采用以下技術方案來實現(xiàn)的。依據(jù)本發(fā)明提出的一種惡意代碼檢測的方法，包括：

獲取基于NIDS生成的惡意代碼疑似事件輸出的相關信息；其中，相關信息包括事件ID、時間、受害者MAC、受害者IP、受害者端口、攻擊者IP、攻擊者端口、協(xié)議類型、惡意代碼名稱、惡意代碼樣本md5、訪問url；