本發明公開了一種APT攻擊檢測系統，所述系統包括若干個前端檢測子系統、分析中心以及后臺處理子系統，前端檢測子系統可部署在任意網絡位置，包括網絡出口或其他重要鏈路；分析中心以及后臺處理子系統部署在機房服務器中，前端檢測子系統與所述分析中心通過內部網絡相連接，所述后臺處理子系統僅與所述分心中心通過網絡相連接，前端檢測子系統用于從數據流中提取可疑文件或樣本，并發送往所述分析中心，同時根據安全策略進行攔截或防御；分析中心用于匯總可疑文件或樣本，并發送往所述后臺處理子系統進行檢測；后臺處理子系統用于對可疑文件或樣本進行檢測，提取惡意行為特征，生成安全檢測報告，形成安全防御策略，所述系統能夠有效防御APT攻擊。

技術領域

本發明涉及計算機安全領域，尤其涉及一種APT攻擊檢測系統。

背景技術

APT(Advanced Persistent Threat)是指高級持續性威脅，是一種利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊的攻擊形式，嚴重威脅到了企業的數據安全。APT入侵客戶的途徑多種多樣，利用防火墻、服務器等系統漏洞繼而獲取訪問企業網絡的有效憑證信息是其中重要的一種手段，而惡意郵件也是許多APT攻擊能夠成功的重要因素之一，隨著社交工程攻擊手法的日益成熟，郵件幾乎真假難辨，黑客會針對某些特定員工發送釣魚郵件，以此作為使用APT手法進行攻擊的源頭，因此，十分有必要建立一套APT攻擊檢測系統，對APT攻擊進行檢測與防御，以提高企業的數據安全性。

發明內容

鑒以此，本發明的發明目的在于提供一種APT攻擊檢測系統。

一種APT攻擊檢測系統，包括若干個前端檢測子系統，分析中心以及后臺處理子系統，所述前端檢測子系統可部署在任意網絡位置，包括網絡出口或其他重要鏈路；所述分析中心以及后臺處理子系統部署在機房服務器中，所述前端檢測子系統與所述分析中心通過內部網絡相連接，所述后臺處理子系統僅與所述分析中心通過網絡相連接，所述前端檢測子系統用于從數據流中提取可疑文件或樣本，并發送往所述分析中心，同時根據安全策略進行攔截或防御；所述分析中心用于匯總可疑文件或樣本，并發送往所述后臺處理子系統進行檢測；所述后臺處理子系統用于對可疑文件或樣本進行檢測，提取惡意行為特征，生成安全檢測報告，形成安全防御策略。

進一步的，所述前端檢測子系統包括動態行為分析模塊、郵件安全檢測模塊和防御攔截模塊，所述動態行為分析模塊用于從網絡數據流中提取可疑文件或樣本，并通過內部網絡發送到所述分析中心；所述郵件安全檢測模塊用于對來往郵件的附件進行分析，判斷是否為惡意攻擊郵件；所述防御攔截模塊用于根據安全防御策略進行網絡攔截和防御。

進一步的，所述郵件安全檢測模塊支持對于SMTP、POP3、IMAP三種標準郵件以及包括sina、sohu、163、126、yeah、21cm、qq在內的web郵件的還原分析。

進一步的，所述分析中心包括預檢測模塊，所述預檢測模塊用于檢測已知的病毒和木馬。

進一步的，所述后臺處理子系統包括事件關聯分析模塊、多維度行為檢測模塊和沙箱檢測模塊，所述事件關聯分析模塊用于對APT攻擊檢測結果進行集中關聯查詢和展示；所述多維度行為檢測模塊用于從全方位多角度檢測并分析異常網絡行為并給出故障解決建議；所述沙箱檢測模塊用于通過虛擬機觀察程序行為從而判斷是否存在攻擊行為。

進一步的，所述多維度行為檢測模塊包括高危郵件分析模塊、Web攻擊檢測模塊、賬號異常檢測模塊、隱蔽信道檢測模塊、TCP異常會話檢測模塊，所述高危郵件分析模塊、Web攻擊模塊檢測、賬號異常檢測模塊、隱蔽信道檢測模塊、TCP異常會話檢測模塊分別通過網絡與所述分析中心相連接。

進一步的，所述APT攻擊檢測系統的實現，包括以下步驟：

S1：將若干個前端檢測子系統分別布置在網絡出入口或其他重要鏈路；

S2：將分析中心和后臺處理子系統部署在用戶的核心機房；