本發明公開了一種基于動態行為的細粒度RAT程序檢測方法、系統以及相應的APT攻擊檢測方法，包括獲取目標程序運行時的動態數據作為待檢數據，并將所述的待檢數據與各個細粒度行為的特征碼進行匹配，若存在匹配成功的特征碼，則將匹配成功的特征碼對應的細粒度行為作為目標程序的標簽，并根據目標程序的標簽判斷該目標程序是否為RAT程序。本發明基于動態數據進行識別，可靠性高，且基于細粒度進行識別，能夠識別未知的RAT和APT。

技術領域

本發明涉及信息安全技術領域，特別涉及一種基于動態行為的細粒度 RAT程序檢測方法、系統以及相應的APT攻擊檢測方法。

背景技術

APT的全稱為高級可持續威脅(Advanced Persistent Threat)。高級指的是APT會使用非常先進的攻擊手段，如0day漏洞以及未知的惡意軟件，而傳統的安全防御手段大多還是基于signature的檢測手段，難以檢測未知的惡意代碼。持續性指的是攻擊針對性非常強，目的非常明確，攻擊者通常會做大量的偵查工作，長期潛伏于企業中，慢慢地收集信息，并在特定的情況才會下爆發出來。目前APT攻擊頻繁被報道出來，一般攻擊的對象是高價值目標，比如銀行、軍方、公司等。

據360公司的《2016年APT研究報告》稱，截至2016年12月底， 360威脅情報中心已累計監測到的針對中國境內目標發動攻擊的境內外 APT組織36個。在這36個APT組織中，針對中國境內目標的攻擊最早可以追溯到2007年。而最近三個月(2016年9月-11月)內仍然處于活躍狀態的APT組織至少有13個。

攻擊目標中，大學占比為40％，大多為軍事與國防、通信與計算機等專業的院校。企業占比25％，攻擊者關注的企業領域以通信網絡、電子電器、海洋與港口為主。其次政府與事業單位占比18.3％，重點領域以涉外機構、海洋、教育為主。還有科研機構占比11.1％，重點關注領域以海洋科學、涉外研究、前沿學科為主，其他機構或個人，占比5.6％。往往這些APT攻擊都是通過事后審計的方式才被發現的，有些攻擊甚至潛伏了好幾年。如何能夠快速有效地檢測出APT攻擊成為了一個重大問題。

APT攻擊會給具有高價值信息的組織帶來巨大的安全威脅，一個理想化的APT檢測系統需要能夠快速地檢測到APT攻擊，并且進行有效的事后審計分析，并且由于APT攻擊的長時間潛伏特性，檢測系統必須能夠對系統長時間進行監測，并且給系統帶來的負載足夠低。首先，快速以及盡早地發現攻擊能夠讓組織更快速地對攻擊做出反應，比如隔離重要資源。第二，能夠提供APT攻擊的足夠細粒度信息對事后審計來說是非常重要的。畢竟APT攻擊是一個持續性非常長的攻擊，如果檢測系統只能檢測到某一個攻擊點，還原整個APT攻擊流程圖對于分析人員來說是非常困難的。最后，長期的監控必然會帶來大量的日志信息，如何低負載，并且高效地收集和存儲這些日志同樣十分重要。

在調研了2008年至2016年共291篇真實APT攻擊的白皮書后，發現RAT(RemoteAdministration Tool)在絕大多數APT攻擊中占據了重要位置。RAT程序是一個遠程控制軟件，攻擊者往往會通過釣魚郵件引誘受害者下載RAT程序到本地，并且運行RAT程序。當RAT程序運行在受害者的機器上后，攻擊者就能夠向受害者機器發送命令，遠程控制受害者，獲取隱私信息，并為后續的深層擴散做準備。如果能夠快速檢測到RAT程序，并為安全管理員提供關于RAT程序的足夠的語義和上下文信息，那么就能夠一定程度上緩解APT攻擊。