本發明屬于網絡安全技術領域，公開了一種多方法混合的分布式APT惡意流量檢測防御系統及方法，包括：網絡設備層進行流量旁路與設備管控，將旁路流量送往檢測與防御層進行檢測；檢測與防護層進行流量檢測與指令執行；分析與控制層進行檢測日志匯總分析與指令下達；展示與管理層進行數據展示與用戶交互。本發明能夠對網絡中的惡意流量進行全方位、多角度的精準檢測，從而識別出潛在的APT攻擊。同時，運用分布式架構，可以對整個受保護網絡的入侵情況進行精準全面地威脅建模。同時使用了Cyber Kill Chain理論模型，充分挖掘長時間、寬空間跨度下的網絡內告警之間的關聯，識別出網絡中潛在的APT攻擊行動并給出相應的警報。

技術領域

本發明屬于網絡安全技術領域，尤其涉及一種多方法混合的分布式APT惡意流量檢測防御系統及方法。

背景技術

目前，近幾年，網絡空間安全面臨的威脅有日漸復雜化的趨勢。這些惡意軟件不同于之前的普通網絡攻擊軟件,呈現出數量不斷增多、技術手段不斷升級、攻擊效能逐漸增大，各軟件之間相互協作的特點。這表明網絡攻擊方式已由單一模式朝著復雜的高級持續性威脅(Advanced Persistent Threat,APT)的攻擊模式發展。APT攻擊是有組織、有目的，復雜、持久而隱蔽的網絡安全攻擊模式。政企單位是絕大多數APT攻擊的主要目標，因此APT攻擊范圍廣、造成的損失大。同時，網絡流量是幾乎所有網絡攻擊的重要載體。不管是蠕蟲病毒、釣魚郵件，還是勒索軟件、漏洞入侵，為投遞載荷或控制目標，APT的各個步驟之間都會在一定程度上與網絡流量產生關聯。因此，一個檢測惡意流量的網絡入侵檢測防御系統是一個理想的APT防護系統。

目前，檢測惡意網絡流量的入侵檢測防御系統主要采用以下技術方法：

基于數據特征的入侵檢測防御系統。它能夠提取數據包的特定字段并根據規則進行特異性匹配，并判定是否觸發規則，若觸發則對數據包作出規則指定的動作。但是基于特征匹配的檢測是類靜態的，即很難探測出數據包時間序列上的關聯，且當攻擊者對數據包的某些特異性字段進行惡意修改，可能會導致檢測規則的失效。

基于行為特征的入侵檢測防御系統。此類系統構建了一個抽象的網絡事件處理引擎，能夠分析并自定義網絡流量的行為特征，從而實現時間序列上的關聯檢測，檢測出惡意流量在時間上的行為特征。然而人為分析并設計的策略是有限的，無法涵蓋潛在的每一個流量數據特征。

基于深度學習的入侵檢測防御系統。基于人工智能算法的檢測方法近年來成為研究重點，其中深度學習強大的特征表達能力對愈發困難的惡意流量特征提取起到了重要作用，直接面向數據集進行訓練的模式省略了手工設計特征的步驟，加快了對新型攻擊手段或指令的檢測覆蓋。但是這類方法也存在一些弊端。例如，深度學習模型的泛化能力差，適用環境必須與訓練環境數據分布保持一致等。現有的模型對流量本身特性的分析不足，僅是將流量檢測當作一般的分類問題來考慮，而忽略了惡意流量本身有自己的顯著特性。

同時，目前現有的入侵檢測系統在面對持久復雜的APT攻擊時具有明顯的缺點。在時間上，現有的入侵檢測系統僅能做到“檢測即報警”。沒有針對APT攻擊的持久性，對長時間跨度下的告警信息之間的關聯進行充分挖掘，以識別潛在的APT攻擊。在空間上，現有的入侵檢測系統多為單點檢測的系統架構，這一架構僅能對網絡中的特定關鍵節點，如網絡入口、關鍵網絡資產等進行檢測防御。但是沒有針對APT攻擊的復雜和隱蔽性，對寬空間跨度下不同網絡位置的告警信息進行分析，無法全面感知復雜隱蔽的APT網絡攻擊態勢。

因此設計一套考慮APT攻擊長期性，攻擊前后關聯性，攻擊隱蔽性并具有混合檢測防御方法的分布式惡意流量防御系統是一個技術挑戰，也是應對APT攻擊的重要手段。

通過上述分析，現有技術存在的問題及缺陷為：現有技術沒有針對APT攻擊的復雜和隱蔽性，對寬空間跨度下不同網絡位置的告警信息進行分析，無法全面感知復雜隱蔽的APT網絡攻擊態勢；沒有針對APT攻擊的持久性，無法識別潛在的APT攻擊。