一种智能化网络APT攻击威胁分析方法.pdf

摘要
申请专利号：	CN201410754577.1	申请日：	2014.12.11
公开号：	CN104506495A	公开日：	2015.04.08
当前法律状态：	实审	有效性：	审中
法律详情：	实质审查的生效IPC(主分类):H04L 29/06申请日:20141211\|\|\|公开
IPC分类号：	H04L29/06	主分类号：	H04L29/06
申请人：	国家电网公司; 国网河北省电力公司电力科学研究院; 河北省电力建设调整试验所
发明人：	董立勉; 左晓军; 陈泽; 卢宁; 刘惠颖; 王春璞; 侯波涛; 郗波; 张君艳; 常杰; 王颖; 刘伟娜; 董娜
地址：	100031北京市西城区西长安街86号
优先权：
专利代理机构：	石家庄新世纪专利商标事务所有限公司13100	代理人：	徐瑞丰; 董金国
PDF下载：	PDF下载

内容摘要

本发明公开了一种智能化网络APT攻击威胁分析方法，其属于计算机网络技术学科中网络安全领域，包括如下步骤：步骤一、对待查文件进行反编译；步骤二、检测反编译后的待查文件是否存在ShellCode，当存在ShellCode的特征时，则判定存在攻击行为；当不存在ShellCode的特征时，则继续执行步骤三；步骤三、通过虚拟机建立多个不同的应用环境，在不同的并行执行环境中，观察待查文件的恶意行为特征，以此来判断是否存在攻击；所述恶意行为特征包括外链服务器下载文件和/或敏感文件外传；当发现反编译后的待查文件具有所述恶意行为特征，则判定存在攻击行为。本发明的有益效果是具备未知威胁检测能力，可进行动态检测，能够兼容传统威胁检测技术。

权利要求书

权利要求书1. 一种智能化网络APT攻击威胁分析方法，其特征在于：其包括如下步骤：步骤一、对待查文件进行反编译；步骤二、检测反编译后的待查文件是否存在ShellCode，当存在ShellCode的特征时，则判定存在攻击行为；当不存在ShellCode的特征时，则继续执行步骤三；步骤三、通过虚拟机建立多个不同的应用环境，即在虚拟机中存在大量并行的执行环境，在不同的并行执行环境中，观察待查文件的恶意行为特征，以此来判断是否存在攻击；所述恶意行为特征包括外链服务器下载文件和/或敏感文件外传；当发现反编译后的待查文件具有所述恶意行为特征，则判定存在攻击行为。2. 根据权利要求1所述的一种智能化网络APT攻击威胁分析方法，其特征在于：所述步骤一中反编译工具包括VBExplorer、JAD、exescope、DEDE或Reflector。3. 根据权利要求1所述的一种智能化网络APT攻击威胁分析方法，其特征在于：所述步骤二中ShellCode的特征包括如下两种：a.在数据区存放恶意代码，并引导执行程序跳转到该数据区实现攻击；b.通过二进制代码段后的ret指令，反复执行二进制代码段，执行完成所有gadget后，实现攻击。4. 根据权利要求1所述的一种智能化网络APT攻击威胁分析方法，其特征在于：所述步骤三中并行执行环境包括操作系统、升级包和应用程序组合的虚拟机，每个所述虚拟机利用包含的环境，识别恶意软件及其行为特征。5. 根据权利要求4所述的一种智能化网络APT攻击威胁分析方法，其特征在于：所述行为特征包括进程的创建中止、进程注入、服务、驱动、注册表访问、注册表改写、文件访问、文件改写、文件下载、程序端口监听和网络访问行为。

说明书

说明书一种智能化网络APT攻击威胁分析方法
技术领域
本发明涉及一种网络攻击分析方法，具体涉及一种智能化网络APT攻击威胁分析方法，属于计算机网络技术学科中网络安全领域。
背景技术
APT（AdvancedPersistentThreat）攻击，中文名为高级持续威胁，它是一种智能化的网络攻击，它对各级组织或者团体利用先进的计算机网络攻击以及社会工程学攻击的手段对特定高价值数据目标进行长期持续性侵害的攻击形式。
如今，政府和企业同时面临着一个不断演变的网络威胁环境。最初的黑客攻击是为了获得影响力及自我满足去攻击媒体网站，或者使用DoS方式来中断网站的服务；而现在已演变成为了经济、政治等目的的攻击。攻击者能够通过窃取知识产权来直接获取利益，也可以入侵、窃取客户的个人金融信息，更有甚者破坏对方的服务以至国家的基础设施。动机的变化，同时也带来了攻击方式的变化。
从过去广泛、漫无目的的攻击威胁，在数年内迅速的转化为针对受害者组织将造成严重后果的高级可持续威胁（Advanced Persistent Threat）。高级可持续威胁（APT）是由美国空军的信息安全分析师与2006年创造的术语，一般来说，高级可持续威胁具备以下三个特点：
高级：攻击者为黑客入侵技术方面的专家，能够自主的开发攻击工具，或者挖掘漏洞，并通过结合多种攻击方法和工具，以达到预定攻击目标。
持续性渗透：攻击者会针对确定的攻击目标，进行长期的渗透。在不被发现的情况下，持续攻击以获得最大的效果。
威胁：这是一个由组织者进行协调和指挥的人为攻击。入侵团队会有一个具体的目标，这个团队训练有素、有组织性、有充足的资金，同时有充分的政治或经济动机。
此类APT威胁往往可以绕过防火墙、IPS、AV以及网闸等传统的安全机制，悄无声息的从企业或政府机构获取高级机密资料。在2012年Verizon信息外泄调查报告中可以看到，2011年发生的重大信息数据外泄的受访组织中，有59%是在相关执法机构告知后才知道信息外泄的情况。目前，信息系统网络不断扩大，网内各类IT设备种类和数量也不断增加，对这些设备的管理问题日益突出，一旦某台设备配置出错或维护人员误操作，或采用一成不变的初始系统设置而忽略了对于安全控制的要求，就可能会极大的影响系统的正常运转。现在，对于系统配置的检查更多的依赖于人工操作，需要依次对每台设备进行单独的安全配置检查，这种方式效率低，准确性差，工作量大。
发明内容
本发明所要解决的技术问题是提供了一种排查效率高、速度快、结果准确、针对性强且节省人力的智能化网络APT攻击威胁分析方法。
本发明的技术方案如下：
一种智能化网络APT攻击威胁分析方法，其包括以下步骤：
步骤一、对待查文件进行反编译；
步骤二、检测反编译后的待查文件是否存在ShellCode，当存在ShellCode的特征时，则判定存在攻击行为；当不存在ShellCode的特征时，则继续执行步骤三；
步骤三、通过虚拟机建立多个不同的应用环境，即在虚拟机中存在大量并行的执行环境，在不同的并行执行环境中，观察待查文件的恶意行为特征，以此来判断是否存在攻击；所述恶意行为特征包括外链服务器下载文件和/或敏感文件外传；当发现反编译后的待查文件具有所述恶意行为特征，则判定存在攻击行为。
所述步骤一中反编译工具包括VBExplorer、JAD、exescope、DEDE或Reflector。
进一步的，所述步骤二中ShellCode的特征包括如下两种：
a.在数据区存放恶意代码，并引导执行程序跳转到该数据区实现攻击；
b.通过二进制代码段后的ret指令，反复执行二进制代码段，执行完成所有gadget后，实现攻击。
进一步的，所述步骤三中并行执行环境包括操作系统、升级包和应用程序组合的虚拟机，每个所述虚拟机利用包含的环境，识别恶意软件及其行为特征。
进一步的，所述行为特征包括进程的创建中止、进程注入、服务、驱动、注册表访问、注册表改写、文件访问、文件改写、文件下载、程序端口监听和网络访问行为。
本发明的有益效果是：
（1）本方法具备未知威胁检测能力；
（2）可进行动态检测，不依赖传统签名技术；
（3）兼容传统威胁检测技术。
附图说明
附图1为本发明智能化网络APT攻击威胁分析方法的流程图。
附图2为本发明智能化网络APT攻击威胁分析方法的系统结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白，将结合附图对本发明的实施例进行详细说明，需要说明的是，在不冲突的情况下，本发明中的实施例即实施例中的特征可以相互任意组合。
在附图1的流程图中所示的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。而且，虽然在流程图中显示了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所显示出或描述的步骤。
附图1为本发明分析网络APT攻击威胁的方法流程图，如附图1所示，包括以下步骤：
步骤一、对待查文件进行反编译；
步骤二、检测反编译后的待查文件是否存在ShellCode，当存在ShellCode的特征时，则判定存在攻击行为；当不存在ShellCode的特征时，则继续执行步骤三；
步骤三、通过虚拟机建立多个不同的应用环境，即在虚拟机中存在大量并行的执行环境，在不同的并行执行环境中，观察待查文件的恶意行为特征，以此来判断是否存在攻击；所述恶意行为特征包括外链服务器下载文件和/或敏感文件外传；当发现反编译后的待查文件具有所述恶意行为特征，则判定存在攻击行为。
所述步骤一中反编译工具包括VBExplorer、JAD、exescope、DEDE或Reflector。
进一步的，所述步骤二中ShellCode的特征包括如下两种：
a.在数据区存放恶意代码，并引导执行程序跳转到该数据区实现攻击；
b.通过二进制代码段后的ret指令，反复执行二进制代码段，执行完成所有gadget后，实现攻击。
进一步的，所述步骤三中并行执行环境包括操作系统、升级包和应用程序组合的虚拟机，每个所述虚拟机利用包含的环境，识别恶意软件及其行为特征。
进一步的，所述行为特征包括进程的创建中止、进程注入、服务、驱动、注册表访问、注册表改写、文件访问、文件改写、文件下载、程序端口监听和网络访问行为。
如附图2所示，本发明智能化网络APT攻击威胁分析方法的系统结构分为三个核心模块：病毒检测功能模块、静态检测功能模块（包含漏洞检测及shellcode检测）和动态沙箱检测模块，通过多种检测技术的并行检测，在检测已知威胁的同时，可以有效检测0day攻击和未知攻击，进而能够有效地监测高级可持续威胁。
具体方法工作过程如下：
（1）多种应用层及文件层解码：
从高级可持续威胁的攻击路径上分析，绝大多数的攻击来自于Web冲浪，钓鱼邮件以及文件共享，基于此监测系统提供以上相关的应用协议的解码还原能力，具体包括：HTTP、SMTP、POP3、IMAP、FTP。
为了更精确的检测威胁，监控系统考虑到高级可持续威胁的攻击特点，对关键文件类型进行完整的文件还原解析，本方法确定需进行文件解码的文件类型如下：
Office类：Word、Excel、PowerPoint……；
Adobe类：.swf、.pdf……；
不同的压缩格式：.zip、.rar、.gz、.tar、.7z，.bz……。
（2）智能ShellCode检测
恶意攻击软件中具体的攻击功能实现是一段攻击者精心构造的可执行代码，即ShellCode。一般是开启Shell、下载并执行攻击程序、添加系统账户等。由于通常攻击程序中一定会包含ShellCode，所以可以检测是否存在ShellCode作为监测恶意软件的依据。这种检测技术不依赖于特定的攻击样本或者漏洞利用方式，可以有效的检测已知、未知威胁。
需要注意的是由于传统的ShellCode检测已经被业界一些厂商使用，因此攻击者在构造ShellCode时，往往会使用一些变形技术来规避。主要手段就是对相应的功能字段进行编码，达到攻击客户端时，解码字段首先运行，对编码后的功能字段进行解码，然后跳到解码后的功能字段执行。这样的情况下，简单的匹配相关的攻击功能字段就无法发现相关威胁了。
因此本方法在传统ShellCode检测基础上，增加了文件解码功能，通过对不同文件格式的解码，还原出攻击功能字段，从而在新的情势下，依然可以检测出已知、未知威胁。使系统具备更强的检测能力，提升攻击检测率。
（3）虚拟执行检测
通过虚拟机技术建立多个不同的应用环境，观察程序在其中的行为，来判断是否存在攻击。这种方式可以检测已知和未知威胁，并且因为分析的是真实应用环境下的真实行为，因此可以做到极低的误报率，而较高的检测率。
通过对代码的分析，跟踪分析指令特征以及行为特征。指令特征包括了堆、栈中的代码执行情况等，通过指令运行中的内存空间的异常变化，可以发现各种溢出攻击等漏洞利用行为，发现0day漏洞。同时跟踪以下的行为特征，包括：
a. 进程的创建中止，进程注入；
b. 服务、驱动；
c. 注册表访问、改写；
d. 文件访问、改写、下载；
e. 程序端口监听；
f. 网络访问行为；
根据以上行为特征，综合分析找到属于攻击威胁的行为特征，进而发现0day木马等恶意软件，再根据持续观察其进一步的行为，包括网络、文件、进程、注册表等等，作为报警内容的一部分输出给安全管理员，方便追查和审计，也可以进一步被用来发现、跟踪botnet网络。
（4）虚拟化平台
采用虚拟机技术，同时利用并行虚拟机加快执行检测任务，以达到一个可扩展的平台来处理现实世界的高速网络流量，及时、有效的进行威胁监测。
通过专门设计的虚拟机管理程序来执行威胁分析的检测策略，管理程序支持大量并行的执行环境，即包括操作系统、升级包、应用程序组合的虚拟机。每个虚拟机利用包含的环境，识别恶意软件及其关键行为特征。通过这种设计，达到了同时多并发流量、多虚拟执行环境的并行处理，提高了性能及检测率。
（5）集成多种已知威胁检测技术
采用AV模块采用启发式文件扫描技术,可对 HTTP、SMTP、POP3、FTP 等多种协议类型的百万种病毒进行查杀,包括木马、蠕虫、宏病毒、脚本病毒等,同时可对多线程并发、深层次压缩文件等进行有效控制和查杀。
采用静态漏洞检测技术，不同于基于攻击特征的检测技术，它关注与攻击威胁中造成溢出等漏洞利用的特征，虽然需要基于已知的漏洞信息，但是检测精度高，并且针对利用同一漏洞的不同恶意软件，可以使用一个检测规则做到完整的覆盖，也就是说不但可以针对已知漏洞和恶意软件，对部分的未知恶意软件也有较好的检测效果。
本发明提供了未知威胁检测能力，通过新一代的威胁分析检测技术，能够有效检测通过网页、电子邮件或其他的在线文件共享方式进入网络的已知和未知的恶意软件，发现利用0day漏洞的APT攻击行为，保护客户网络免遭0day等攻击造成的各种风险，如敏感信息泄露、基础设施破坏等。这对于保障业务系统的运行连续性和完整性有着极为重要的意义。
以上所述实施方式仅为本发明的优选实施例，而并非本发明可行实施的穷举。对于本领域一般技术人员而言，在不背离本发明原理和精神的前提下对其所作出的任何显而易见的改动，都应当被认为包含在本发明的权利要求保护范围之内。

资源描述

《一种智能化网络APT攻击威胁分析方法.pdf》由会员分享，可在线阅读，更多相关《一种智能化网络APT攻击威胁分析方法.pdf（9页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 (43)申请公布日 (21)申请号 201410754577.1(22)申请日 2014.12.11H04L 29/06(2006.01)(71)申请人国家电网公司地址 100031 北京市西城区西长安街 86 号申请人国网河北省电力公司电力科学研究院河北省电力建设调整试验所(72)发明人董立勉左晓军陈泽卢宁刘惠颖王春璞侯波涛郗波张君艳常杰王颖刘伟娜董娜(74)专利代理机构石家庄新世纪专利商标事务所有限公司 13100代理人徐瑞丰董金国(54) 发明名称一种智能化网络 APT 攻击威胁分析方法(57) 摘要本发明公开了一种智能化网络 APT 攻。

2、击威胁分析方法，其属于计算机网络技术学科中网络安全领域，包括如下步骤：步骤一、对待查文件进行反编译；步骤二、检测反编译后的待查文件是否存在 ShellCode，当存在 ShellCode 的特征时，则判定存在攻击行为；当不存在 ShellCode 的特征时，则继续执行步骤三；步骤三、通过虚拟机建立多个不同的应用环境，在不同的并行执行环境中，观察待查文件的恶意行为特征，以此来判断是否存在攻击；所述恶意行为特征包括外链服务器下载文件和 / 或敏感文件外传；当发现反编译后的待查文件具有所述恶意行为特征，则判定存在攻击行为。本发明的有益效果是具备未知威胁检测能力，可进行动态检测，能够兼容传统。

3、威胁检测技术。(51)Int.Cl.(19)中华人民共和国国家知识产权局(12)发明专利申请权利要求书1页说明书5页附图2页(10)申请公布号 CN 104506495 A(43)申请公布日 2015.04.08CN 104506495 A1/1 页21.一种智能化网络 APT 攻击威胁分析方法，其特征在于：其包括如下步骤：步骤一、对待查文件进行反编译；步骤二、检测反编译后的待查文件是否存在 ShellCode，当存在 ShellCode 的特征时，则判定存在攻击行为；当不存在 ShellCode 的特征时，则继续执行步骤三；步骤三、通过虚拟机建立多个不同的应用环境，即在虚拟机中。

4、存在大量并行的执行环境，在不同的并行执行环境中，观察待查文件的恶意行为特征，以此来判断是否存在攻击；所述恶意行为特征包括外链服务器下载文件和 / 或敏感文件外传；当发现反编译后的待查文件具有所述恶意行为特征，则判定存在攻击行为。2.根据权利要求 1 所述的一种智能化网络 APT 攻击威胁分析方法，其特征在于：所述步骤一中反编译工具包括 VBExplorer、JAD、exescope、DEDE 或 Reflector。3.根据权利要求 1 所述的一种智能化网络 APT 攻击威胁分析方法，其特征在于：所述步骤二中 ShellCode 的特征包括如下两种：a. 在数据区存放恶意代码，并引导。

5、执行程序跳转到该数据区实现攻击；b.通过二进制代码段后的ret指令，反复执行二进制代码段，执行完成所有gadget后，实现攻击。4.根据权利要求 1 所述的一种智能化网络 APT 攻击威胁分析方法，其特征在于：所述步骤三中并行执行环境包括操作系统、升级包和应用程序组合的虚拟机，每个所述虚拟机利用包含的环境，识别恶意软件及其行为特征。5.根据权利要求 4 所述的一种智能化网络 APT 攻击威胁分析方法，其特征在于：所述行为特征包括进程的创建中止、进程注入、服务、驱动、注册表访问、注册表改写、文件访问、文件改写、文件下载、程序端口监听和网络访问行为。权利要求书CN 104506495。

6、 A1/5 页3一种智能化网络 APT 攻击威胁分析方法技术领域0001 本发明涉及一种网络攻击分析方法，具体涉及一种智能化网络 APT 攻击威胁分析方法，属于计算机网络技术学科中网络安全领域。背景技术0002 APT（AdvancedPersistentThreat）攻击，中文名为高级持续威胁，它是一种智能化的网络攻击，它对各级组织或者团体利用先进的计算机网络攻击以及社会工程学攻击的手段对特定高价值数据目标进行长期持续性侵害的攻击形式。0003 如今，政府和企业同时面临着一个不断演变的网络威胁环境。最初的黑客攻击是为了获得影响力及自我满足去攻击媒体网站，或者使用 DoS 方式来中断网站的服务。

7、；而现在已演变成为了经济、政治等目的的攻击。攻击者能够通过窃取知识产权来直接获取利益，也可以入侵、窃取客户的个人金融信息，更有甚者破坏对方的服务以至国家的基础设施。动机的变化，同时也带来了攻击方式的变化。0004 从过去广泛、漫无目的的攻击威胁，在数年内迅速的转化为针对受害者组织将造成严重后果的高级可持续威胁（Advanced Persistent Threat）。高级可持续威胁（APT）是由美国空军的信息安全分析师与 2006 年创造的术语，一般来说，高级可持续威胁具备以下三个特点：高级：攻击者为黑客入侵技术方面的专家，能够自主的开发攻击工具，或者挖掘漏洞，并通过结合多种攻击方法和工具。

8、，以达到预定攻击目标。0005 持续性渗透：攻击者会针对确定的攻击目标，进行长期的渗透。在不被发现的情况下，持续攻击以获得最大的效果。0006 威胁：这是一个由组织者进行协调和指挥的人为攻击。入侵团队会有一个具体的目标，这个团队训练有素、有组织性、有充足的资金，同时有充分的政治或经济动机。0007 此类 APT 威胁往往可以绕过防火墙、IPS、AV 以及网闸等传统的安全机制，悄无声息的从企业或政府机构获取高级机密资料。在 2012 年 Verizon 信息外泄调查报告中可以看到，2011 年发生的重大信息数据外泄的受访组织中，有 59% 是在相关执法机构告知后才知道信息外泄的情况。目前，信。

9、息系统网络不断扩大，网内各类 IT 设备种类和数量也不断增加，对这些设备的管理问题日益突出，一旦某台设备配置出错或维护人员误操作，或采用一成不变的初始系统设置而忽略了对于安全控制的要求，就可能会极大的影响系统的正常运转。现在，对于系统配置的检查更多的依赖于人工操作，需要依次对每台设备进行单独的安全配置检查，这种方式效率低，准确性差，工作量大。发明内容0008 本发明所要解决的技术问题是提供了一种排查效率高、速度快、结果准确、针对性强且节省人力的智能化网络 APT 攻击威胁分析方法。0009 本发明的技术方案如下：说明书CN 104506495 A2/5 页4一种智能化网络 APT 攻击威。

10、胁分析方法，其包括以下步骤：步骤一、对待查文件进行反编译；步骤二、检测反编译后的待查文件是否存在 ShellCode，当存在 ShellCode 的特征时，则判定存在攻击行为；当不存在 ShellCode 的特征时，则继续执行步骤三；步骤三、通过虚拟机建立多个不同的应用环境，即在虚拟机中存在大量并行的执行环境，在不同的并行执行环境中，观察待查文件的恶意行为特征，以此来判断是否存在攻击；所述恶意行为特征包括外链服务器下载文件和 / 或敏感文件外传；当发现反编译后的待查文件具有所述恶意行为特征，则判定存在攻击行为。0010 所述步骤一中反编译工具包括 VBExplorer、JAD、ex。

11、escope、DEDE 或 Reflector。0011 进一步的，所述步骤二中 ShellCode 的特征包括如下两种：a. 在数据区存放恶意代码，并引导执行程序跳转到该数据区实现攻击；b.通过二进制代码段后的ret指令，反复执行二进制代码段，执行完成所有gadget后，实现攻击。0012 进一步的，所述步骤三中并行执行环境包括操作系统、升级包和应用程序组合的虚拟机，每个所述虚拟机利用包含的环境，识别恶意软件及其行为特征。0013 进一步的，所述行为特征包括进程的创建中止、进程注入、服务、驱动、注册表访问、注册表改写、文件访问、文件改写、文件下载、程序端口监听和网络访问行为。0014 本。

12、发明的有益效果是：（1）本方法具备未知威胁检测能力；（2）可进行动态检测，不依赖传统签名技术；（3）兼容传统威胁检测技术。附图说明0015 附图 1 为本发明智能化网络 APT 攻击威胁分析方法的流程图。0016 附图 2 为本发明智能化网络 APT 攻击威胁分析方法的系统结构示意图。具体实施方式0017 为使本发明的目的、技术方案和优点更加清楚明白，将结合附图对本发明的实施例进行详细说明，需要说明的是，在不冲突的情况下，本发明中的实施例即实施例中的特征可以相互任意组合。0018 在附图 1 的流程图中所示的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。而且，虽然在流程图中显示了。

13、逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所显示出或描述的步骤。0019 附图 1 为本发明分析网络 APT 攻击威胁的方法流程图，如附图 1 所示，包括以下步骤：步骤一、对待查文件进行反编译；步骤二、检测反编译后的待查文件是否存在 ShellCode，当存在 ShellCode 的特征时，则判定存在攻击行为；当不存在 ShellCode 的特征时，则继续执行步骤三；步骤三、通过虚拟机建立多个不同的应用环境，即在虚拟机中存在大量并行的执行环说明书CN 104506495 A3/5 页5境，在不同的并行执行环境中，观察待查文件的恶意行为特征，以此来判断是否存在攻击；所述恶。

14、意行为特征包括外链服务器下载文件和 / 或敏感文件外传；当发现反编译后的待查文件具有所述恶意行为特征，则判定存在攻击行为。0020 所述步骤一中反编译工具包括 VBExplorer、JAD、exescope、DEDE 或 Reflector。0021 进一步的，所述步骤二中 ShellCode 的特征包括如下两种：a. 在数据区存放恶意代码，并引导执行程序跳转到该数据区实现攻击；b.通过二进制代码段后的ret指令，反复执行二进制代码段，执行完成所有gadget后，实现攻击。0022 进一步的，所述步骤三中并行执行环境包括操作系统、升级包和应用程序组合的虚拟机，每个所述虚拟机利用包含的环境。

15、，识别恶意软件及其行为特征。0023 进一步的，所述行为特征包括进程的创建中止、进程注入、服务、驱动、注册表访问、注册表改写、文件访问、文件改写、文件下载、程序端口监听和网络访问行为。0024 如附图 2 所示，本发明智能化网络 APT 攻击威胁分析方法的系统结构分为三个核心模块：病毒检测功能模块、静态检测功能模块（包含漏洞检测及 shellcode 检测）和动态沙箱检测模块，通过多种检测技术的并行检测，在检测已知威胁的同时，可以有效检测 0day攻击和未知攻击，进而能够有效地监测高级可持续威胁。0025 具体方法工作过程如下：（1）多种应用层及文件层解码：从高级可持续威胁的攻击路径上分。

16、析，绝大多数的攻击来自于 Web 冲浪，钓鱼邮件以及文件共享，基于此监测系统提供以上相关的应用协议的解码还原能力，具体包括：HTTP、SMTP、POP3、IMAP、FTP。0026 为了更精确的检测威胁，监控系统考虑到高级可持续威胁的攻击特点，对关键文件类型进行完整的文件还原解析，本方法确定需进行文件解码的文件类型如下：Office 类：Word、Excel、PowerPoint ；Adobe 类：.swf、.pdf ；不同的压缩格式：.zip、.rar、.gz、.tar、.7z，.bz。0027 （2）智能 ShellCode 检测恶意攻击软件中具体的攻击功能实现是一段攻击者精心构。

17、造的可执行代码，即ShellCode。一般是开启Shell、下载并执行攻击程序、添加系统账户等。由于通常攻击程序中一定会包含ShellCode，所以可以检测是否存在ShellCode作为监测恶意软件的依据。这种检测技术不依赖于特定的攻击样本或者漏洞利用方式，可以有效的检测已知、未知威胁。0028 需要注意的是由于传统的 ShellCode 检测已经被业界一些厂商使用，因此攻击者在构造 ShellCode 时，往往会使用一些变形技术来规避。主要手段就是对相应的功能字段进行编码，达到攻击客户端时，解码字段首先运行，对编码后的功能字段进行解码，然后跳到解码后的功能字段执行。这样的情况下，简单的匹配相。

18、关的攻击功能字段就无法发现相关威胁了。0029 因此本方法在传统 ShellCode 检测基础上，增加了文件解码功能，通过对不同文件格式的解码，还原出攻击功能字段，从而在新的情势下，依然可以检测出已知、未知威胁。使系统具备更强的检测能力，提升攻击检测率。说明书CN 104506495 A4/5 页60030 （3）虚拟执行检测通过虚拟机技术建立多个不同的应用环境，观察程序在其中的行为，来判断是否存在攻击。这种方式可以检测已知和未知威胁，并且因为分析的是真实应用环境下的真实行为，因此可以做到极低的误报率，而较高的检测率。0031 通过对代码的分析，跟踪分析指令特征以及行为特征。指令特征包括了。

19、堆、栈中的代码执行情况等，通过指令运行中的内存空间的异常变化，可以发现各种溢出攻击等漏洞利用行为，发现 0day 漏洞。同时跟踪以下的行为特征，包括：a. 进程的创建中止，进程注入；b. 服务、驱动；c. 注册表访问、改写；d. 文件访问、改写、下载；e. 程序端口监听；f. 网络访问行为；根据以上行为特征，综合分析找到属于攻击威胁的行为特征，进而发现 0day 木马等恶意软件，再根据持续观察其进一步的行为，包括网络、文件、进程、注册表等等，作为报警内容的一部分输出给安全管理员，方便追查和审计，也可以进一步被用来发现、跟踪 botnet网络。0032 （4）虚拟化平台采用虚拟机技。

20、术，同时利用并行虚拟机加快执行检测任务，以达到一个可扩展的平台来处理现实世界的高速网络流量，及时、有效的进行威胁监测。0033 通过专门设计的虚拟机管理程序来执行威胁分析的检测策略，管理程序支持大量并行的执行环境，即包括操作系统、升级包、应用程序组合的虚拟机。每个虚拟机利用包含的环境，识别恶意软件及其关键行为特征。通过这种设计，达到了同时多并发流量、多虚拟执行环境的并行处理，提高了性能及检测率。0034 （5）集成多种已知威胁检测技术采用 AV 模块采用启发式文件扫描技术 , 可对 HTTP、SMTP、POP3、FTP 等多种协议类型的百万种病毒进行查杀,包括木马、蠕虫、宏病毒、脚本病毒等,同。

21、时可对多线程并发、深层次压缩文件等进行有效控制和查杀。0035 采用静态漏洞检测技术，不同于基于攻击特征的检测技术，它关注与攻击威胁中造成溢出等漏洞利用的特征，虽然需要基于已知的漏洞信息，但是检测精度高，并且针对利用同一漏洞的不同恶意软件，可以使用一个检测规则做到完整的覆盖，也就是说不但可以针对已知漏洞和恶意软件，对部分的未知恶意软件也有较好的检测效果。0036 本发明提供了未知威胁检测能力，通过新一代的威胁分析检测技术，能够有效检测通过网页、电子邮件或其他的在线文件共享方式进入网络的已知和未知的恶意软件，发现利用 0day 漏洞的 APT 攻击行为，保护客户网络免遭 0day 等攻击造成的各种风险，如敏感信息泄露、基础设施破坏等。这对于保障业务系统的运行连续性和完整性有着极为重要的意义。0037 以上所述实施方式仅为本发明的优选实施例，而并非本发明可行实施的穷举。对于本领域一般技术人员而言，在不背离本发明原理和精神的前提下对其所作出的任何显而说明书CN 104506495 A5/5 页7易见的改动，都应当被认为包含在本发明的权利要求保护范围之内。说明书CN 104506495 A1/2 页8图1说明书附图CN 104506495 A2/2 页9图2说明书附图CN 104506495 A。

展开阅读全文