一种检测终端安全状况方法、装置及系统制造方法及图纸

本申请涉及移动通信领域，尤其涉及一种检测终端安全状况方法、装置及系统。该方法包括：安全防护设备接收文件，并运行该文件，生成动态行为结果。该动态行为结果包含按照行为发生时间顺序形成的行为序列。在该文件包含APT情况下，该安全防护设备获取该动态行为结果中稳定的行为特征，根据该稳定的行为特征生成相应IOC，并将其发送至终端。该稳定的行为特征是指该文件在每次运行后所生成行为序列中均出现的行为。通过本申请提供的方案能够检测出网络内部是否有用户感染了APT，以及哪些用户感染了APT。

Method, device and system for detecting safety status of terminal

The invention relates to the field of mobile communication, in particular to a method, a device and a system for detecting the security status of a terminal. The method includes: the security protection device receives the file and runs the file to generate dynamic behavior results. This dynamic behavior results in a sequence of behavior that takes place in chronological order of behavior. In the case where the file contains the APT, the security protection device acquires the stable behavior characteristic of the dynamic behavior result, generates the corresponding IOC according to the stable behavior characteristic and sends it to the terminal. The stable behavior characteristic refers to the behavior that occurs in the sequence of actions generated after each operation. The solution provided by this application can detect whether there are any users inside the network who are infected with APT and which users are infected with APT.

【技术实现步骤摘要】
一种检测终端安全状况方法、装置及系统
本申请涉及计算机领域，尤其涉及计算机安全防护领域。
技术介绍
随着以APT(AdvancedPersistentThreat，高级可持续威胁)为代表的下一代威胁登场，传统安全防护手段面临挑战。一次APT攻击，轻则造成公司核心商业机密泄漏，给公司造成不可估计得损失，重则导致金融行业、能源行业、交通行业等涉及国计民生的行业陷入瘫痪，其效果不亚于一场战争。2010年Google(谷歌公司)遭受Aurora下一代威胁攻击，导致大规模的Gmail(Google的免费网络邮件服务)邮件泄漏，对Google品牌造成严重影响。2010年伊朗核设施遭受Stuxnet(震网)攻击，导致核设施核心部件-离心机受损严重，此次攻击造成后果不亚于一次定点轰炸。2011年RSA遭受针对SecureID的下一代威胁攻击，导致大规模的SecureID数据泄漏，严重影响使用SecureID的客户安全，对公司的安全性质疑严重影响公司的公众形象。2013年3月韩国银行业遭受一次定向型APT攻击，导致大面积的银行主机系统宕机，严重影响银行在客户心中的形象。未来如何应对以APT为代表的下一代威胁，如何应对未来可能的网络战，是人们将要面临的重大问题。现有的用户网络，一般在终端设备上部署防病毒软件，同时在网关或者是邮件服务器前部署安全沙箱。终端设备上部署的杀毒软件主要通过软件供应商提供的最新的特征库检测恶意软件，而在网关或者是邮件服务器前部署安全沙箱主要用来检测来自于互联网的APT。现有的安全沙箱可以检测来自互联网的APT。现有技术能够监测到内部网络遭受了APT攻击，却无法检测到是否有用户感染APT，以及哪些用户已经被APT感染。例如，某安全沙箱检测到其所属内网遭受到APT攻击，且该APT攻击是通过邮件方式发送给用户。有些用户由于打开了这封含有APT附件的邮件而感染了APT，而有些用户则并未打开此邮件，也就没有感染APT。又如，某安全沙箱检测到其所属内网遭受到APT攻击，且该APT攻击是通过某版本应用软件的漏洞而实现的。有些用户使用了该版本应用软件，因此遭受到了该APT攻击，而有些用户由于使用的是该应用软件的更高级版本，并没有相应漏洞，因此也就并没有遭受到APT攻击。现有技术方案虽然能够检测出网络内部遭受到了APT攻击，但是却无法判断出是否有用户感染了APT，以及具体哪些用户感染了APT，也就无法采取针对性的操作。
技术实现思路
本文描述了一种检测终端安全状况的方法、装置及系统，从而实现了检测出具体终端是否感染到APT。在第一方面，本申请实施例提供了一种检测终端安全状况的装置。该装置位于私有网络与公有网络连接处，终端位于私有网络中。该装置包括动态行为结果生成模块、动态行为分析模块和被感染主机描述符生成器。该动态行为结果生成模块用于接收来自公有网络的文件，并在该装置中运行该文件，从而生成动态行为结果。其中，该动态行为结果包含按照行为发生时间顺序形成的行为序列。该行为序列中的行为属于不同的行为类型，该行为类型包括创建文件、修改注册表、配置域名、解析地址、连接网络、加载进程、添加用户。该动态行为分析模块用于根据该动态行为结果生成模块生成的该动态行为结果判断该文件是否包含高级可持续威胁。该被感染主机描述符生成器用于如果该动态行为分析模块确定该文件包含高级可持续威胁，获取该动态行为结果中稳定的行为特征，根据该稳定的行为特征生成相应被感染主机描述符，并将该被感染主机描述符发送至该终端。其中，该稳定的行为特征是指该文件在每次运行后所生成行为序列中均出现的行为。在第二方面，本申请实施例提供了一种终端设备。该终端包括接收模块、被感染主机描述符解释器、确定模块。该接收模块用于接收来自安全防护设备的被感染主机描述符。该被感染主机描述符解释器用于对该接收模块接收到的该被感染主机描述符进行解析，得到该被感染主机描述符中包含的高级可持续威胁对应的行为特征。该确定模块用于搜索该终端的操作系统和文件系统，确定该终端是否已发生该高级可持续威胁对应的行为特征所描述的行为。如果该终端已发生该高级可持续威胁对应的行为特征所描述的行为，确定该终端已感染该高级可持续威胁。在第三方面，本申请实施例提供了一种检测终端安全状况的系统，该系统包括上述第一方面的终端安全状况检测装置以及上述第二方面的终端设备。在第四方面，本申请实施例提供了一种检测终端安全状况的方法。该方法由安全防护设备执行，且该安全防护设备位于私有网络与公有网络连接处，终端位于私有网络中。首先该安全防护设备接收来自公有网络的文件，并在该安全防护设备中运行该文件，从而生成动态行为结果。该动态行为结果包含按照行为发生时间顺序形成的行为序列。该行为序列中的行为属于不同的行为类型，行为类型包括创建文件、修改注册表、配置域名、解析地址、连接网络、加载进程、添加用户。该安全防护设备根据生成的该动态行为结果判断该文件是否包含高级可持续威胁情况，若包含所述高级可持续威胁，则获取该动态行为结果中稳定的行为特征，根据该稳定的行为特征生成相应被感染主机描述符，并将该被感染主机描述符发送至该终端。该稳定的行为特征是指该文件在每次运行后所生成行为序列中均出现的行为。在第五方面，本申请实施例提供了一种检测终端安全状况的方法。该终端接收来自安全防护设备的被感染主机描述符。该终端对该被感染主机描述符进行解析，得到该被感染主机描述符中包含的高级可持续威胁对应的行为特征。搜索该终端的操作系统和文件系统，确定该终端是否已发生该高级可持续威胁对应的行为特征所描述的行为。如果该终端已发生该高级可持续威胁对应的行为特征所描述的行为，确定该终端已感染该高级可持续威胁。相较于现有技术，本申请实施例提供的方案能够具体检测出网络内部是否有用户感染了APT，以及哪些用户感染了APT。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。图1为本申请实施例提供的一种检测终端感染APT的网络构架示意图；图2为本申请实施例提供的一种检测终端安全状况的装置框图；图3为一个动态行为结果示意图；图4为本申请实施例提供的终端设备示意图；图5为本申请实施例提供的编辑器输出的汇总IOC图形化示意图；图6为本申请实施例提供的一种检测终端安全状况的系统示意图；图7为本申请实施例一个实施例提供的一种检测终端安全状况的方法流程图；图8为本申请实施例另一个实施例提供的一种检测终端安全状况的方法流程图；图9为本申请实施例提供的一个文件类IOC示意图；图10为本申请实施例提供的一个注册表类IOC示意图；图11为本申请实施例提供的一个汇总IOC示意图。具体实施方式下面将结合附图，对本申请实施例中的技术方案进行清楚、完整地描述。本申请实施例描述的网络架构是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。图1为本申请实施例提供的一种检测终端安全状况的系统的网络构架示意图。终端设备110通过互联网获取数据，如接收一封邮件等。布置于网关处本文档来自技高网...

【技术保护点】
一种检测终端安全状况的装置，其中，所述装置位于私有网络与公有网络连接处，终端位于私有网络中，包括：动态行为结果生成模块，用于接收来自公有网络的文件，并在所述装置中运行所述文件，从而生成动态行为结果；其中，所述动态行为结果包含按照行为发生时间顺序形成的行为序列；所述行为序列中的行为属于不同的行为类型，所述行为类型包括创建文件、修改注册表、配置域名、解析地址、连接网络、加载进程、添加用户；动态行为分析模块，用于根据所述动态行为结果生成模块生成的所述动态行为结果判断所述文件是否包含高级可持续威胁；被感染主机描述符生成器，用于如果所述动态行为分析模块确定所述文件包含高级可持续威胁，获取所述动态行为结果中稳定的行为特征，根据所述稳定的行为特征生成相应被感染主机描述符，并将所述被感染主机描述符发送至所述终端；其中，所述稳定的行为特征是指所述文件在每次运行后所生成行为序列中均出现的行为。

【技术特征摘要】
1.一种检测终端安全状况的装置，其中，所述装置位于私有网络与公有网络连接处，终端位于私有网络中，包括：动态行为结果生成模块，用于接收来自公有网络的文件，并在所述装置中运行所述文件，从而生成动态行为结果；其中，所述动态行为结果包含按照行为发生时间顺序形成的行为序列；所述行为序列中的行为属于不同的行为类型，所述行为类型包括创建文件、修改注册表、配置域名、解析地址、连接网络、加载进程、添加用户；动态行为分析模块，用于根据所述动态行为结果生成模块生成的所述动态行为结果判断所述文件是否包含高级可持续威胁；被感染主机描述符生成器，用于如果所述动态行为分析模块确定所述文件包含高级可持续威胁，获取所述动态行为结果中稳定的行为特征，根据所述稳定的行为特征生成相应被感染主机描述符，并将所述被感染主机描述符发送至所述终端；其中，所述稳定的行为特征是指所述文件在每次运行后所生成行为序列中均出现的行为。2.如权利要求1所述的装置，其特征在于，所述装置还包括动态行为特征库；所述动态行为特征库包含多种误报行为特征及多种威胁行为特征；所述动态行为分析模块，用于接收所述动态行为结果，并将所述动态行为结果与所述动态行为特征库中的多种误报行为特征及多种威胁行为特征进行匹配，从而确定所述文件是否包含所述高级可持续威胁。3.如权利要求1或2所述的装置，其特征在于，所述被感染主机描述符生成器包括多种类型生成器，且所述生成器的类型与所述稳定的行为特征中行为的类型有关。4.如权利要求1至3任意一项所述的装置，其特征在于，所述被感染主机描述符生成器包括文件生成器、注册表生成器、域名生成器、地址解析生成器、网络连接生成器、进程生成器、用户生成器中的一个或多个。5.一种终端设备，包括：接收模块，用于接收来自安全防护设备的被感染主机描述符；被感染主机描述符解释器，用于对所述接收模块接收到的所述被感染主机描述符进行解析，得到所述被感染主机描述符中包含的高级可持续威胁APT对应的行为特征；确定模块，用于搜索所述终端的操作系统和文件系统，确定所述终端是否已发生所述APT对应的行为特征所描述的行为；如果所述终端已发生所述APT对应的行为特征所描述的行为，确定所述终端已感染所述APT。6.如权利要求5所述的终端设备，其特征在于，所述被感染主机描述符解释器包括文件解释器、注册表解释器、域名解释器、地址解析解释器、网络连接解释器、进程解释器、用户解释器中的一个或多个。7.一种检测终端安全状况的系统，其中，安全防护设备位于私有网络与公有网络连接处，终端位于私有网络中，包括：安全防护设备，用于接收来自公有网络的文件，并运行所述文件，从而生成动态行为结果；根据所述动态行为结果...

【专利技术属性】
技术研发人员：甘永存，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44