[0001] 本发明涉及恶意程序检测技术和网络安全防御领域，特别涉及一种未知威胁检测的协同防御系统。

[0002] 信息与互联网技术的发展，在带来生活上的便利和工作效率上的提升的同时，也增加了网络系统遭受未知威胁攻击的风险。特别是当前面对新一代威胁时传统安全技术需要有一段时间来发现攻击并提供相对应的检测签名，而这段时间有可能攻击者已经造成了实质性的重大损失。而且新一代威胁往往使用多态、变形等高级逃避技术，无疑使发现攻击所需要的时间大大增加，并很难持续有效，新一代威胁具有极强的目标性，往往面对特定的组织目标进行定制化的攻击，在不知情的状态下，悄悄的已经达成了攻击目的。网络罪犯、地下黑客产业者、黑客行动主义者以及有国家背景的攻击者等团体利用极具技术含量的新一代威胁来规避传统安全技术，窃取敏感的知识产权或个人数据，对企业造成财务和声誉上的损害，也会针对国家的关键基础设施进行网络间谍活动甚至网络战争，包括供电网络、银行业务以及涉及国家安全的高度敏感信息等。特别是国家电网公司具有网络规模大、部署环境复杂等特点，如何在如此大规模的网络中实现网络数据流的攻击检测，对建立网络攻击检测模型的准确性与监测的实时性提出了非常高的要求。

[0003] 中国专利申请号201210330483，发明名称“入侵检测和防护的方法及设备”通过在传输层对接收的第一数据进行解码和过滤，得到第二数据；应用层对第二数据进行解码，得到第三数据；在应用层对第三数据进行会话流重组，得到第四数据；在应用层对第四数据进行检测。该专利提供的方案是对传输层的数据包进行解码和过滤，通过在传输层对数据包进行解码和过滤，在应用层对数据包进行会话流重组，减少了处理的数据量，从而提高了入侵检测的有效性和准确性，但是仅对数据进行解码分析难以应对攻击者使用多阶段的攻击方式。

[0004] 中国专利申请号201420531396，发明名称“一种网络入侵防御系统”，通过日志分析服务器连接有日志分析响应模块和监控终端，并从日志分析服务器搜集信息，得到相关的威胁信息，然后把威胁信息发往日志分析响应模块，日志分析响应模块判断威胁的调节充分，保证对合法用户不会形成一种新的攻击。该专利提供的方案是该系统各部分能相互协调、协作形成一个整体，完成整个威胁响应生命周期的自动管理，但是仅依赖日志分析获取威胁信息，无法做到实时防御。

[0023] 本发明实施例在以本发明技术方案为前提下实施，给出了详细的实施方式和具体的操作过程，但本发明的保护范围不限于下面的实施例，下面对本发明的实施例作详细说明。

[0024] 下面参照附图，对本发明的具体实施方式作进一步的详细描述。

[0025] 图1是本发明一种未知威胁检测的协同防御系统的模块结构图，如图所示，包括：未知恶意威胁和已知恶意软件等攻击100、入侵检测模块104、入侵防御模块105、调度模块
106、信誉库模块109。其中未知恶意威胁和已知恶意软件100包括传统安全机制无法有效检测和防御的、往往会造成更大破坏新型攻击手段如0day恶意软件101、APT恶意软件102、未知恶意软件103等。这些恶意软件在进入内网系统之前，先经过本发明的入侵检测模块104和入侵防御模块105进行发现和阻拦，调度模块106的集中管理中心107会对这些攻击进行响应，并与云安全中心108比对发现攻击类型和应对方案，并根据攻击类型建立企业信誉库和全球信誉库，提供进行更复杂的攻击分析、态势预测等工作。

[0026] 图2是本发明一种未知威胁检测的协同防御系统的工作原理图。入侵防御模块105接收到数据流量，进行URL Mail信誉识别204、传统入侵防御205、用户行为基线对比206、行为审计记录对比207、检测联动208等，并将结果通过预知的策略进行动作。策略动作分三个方向：对于已知具有明显威胁特征的数据流进行阻断；对于提前预设的可信流量进行放行；对于既不属于威胁流量也不属于可信流量的数据进行标记，并发送给入侵检测模块104进行下一步检测，同时发送日志信息至调度模块106进行数据流情况记录。

[0027] 入侵检测模块104接收到入侵防御模块105发送的未知数据流，首先对数据流进行应用协议的解码还原209并进行文件信誉识别210和AV检测211，同时对关键文件类型进行完整的文件还原解析212。之后对还原的文件进行智能ShellCode检测213与虚拟执行检测214判断是否存在攻击行为。如检测到疑似的攻击行为，则将流量、文件、威胁特征等信息上送到调度模块106。为了更好的说明入侵检测的主要功能单元——虚拟执行检测214，下面举一个PDF文件检测的场景，来说明具体的工作过程：

[0028] 1)首先要监控主要的网络协议，恶意软件可能通过邮件、Web或文件共享的方式下载到用户机器中，因此首先要对这些应用协议进行识别及还原；

[0029] 2)假设在邮件协议流量中发现了一个PDF的附件，那么将调用相应的文件解析模块，将PDF从流量中还原为文件的形式；

[0030] 3)将这个PDF放入到多个虚拟机环境下尝试使用不同的PDF软件版本打开运行，之所以需要多个不同系统及应用软件组合的虚拟环境，是因为不确认如果这个PDF是恶意软件的话，其中的漏洞针对系统或软件的那个版本。

[0031] 4)后续将观察PDF文件被触发后，内存指令层面的变化，以确认是否存在漏洞利用的情况。这时候基本可以确定PDF是否是一个高级恶意软件了。如果这个恶意软件使用了一些特殊的高级逃避技术，有可能存在无法在设备中发现后续行为特征的情况，就需要依赖专业的人工服务，通过逆向工程来进行分析。绝大多数情况下，设备可以继续检测工作。

[0032] 5)观察文件在虚拟机中的后续行为动作，包括进程和模块加载、文件和网络访问等，并依据一个正常PDF的行为特征进行比对分析，可以发现其中那些不是正常PDF应有的行为。这其中就包括恶意软件的下载以及后续的连接命令控制通道等网络活动信息。

[0033] 6)综合以上所有的观察结果，虚拟执行检测模块判定这个文件是否是一个恶意软件，并通过一个详细的分析报告，输出恶意软件完整的行为活动纪录。使安全人员对它的危害、扩散方式等多方面的信息有直接的掌握。

[0034] 调度模块106接收到入侵检测模块104发送的流量、文件、威胁特征等信息215后，通过调度接口，对入侵防御模块105之前发送的数据流进行阻断，同时，自动生成文件或协议特征至入侵防御模块105，供以后的检测阻断使用。本模块提供流量、文件、威胁特征、检测方法等的关联显示216，便于用户决策。

[0035] 信誉库模块109接收调度模块106的报警，基于恶意软件的来源地址以及回连命令控制服务器地址生成包括文件信誉、URL信誉、Mail信誉等的企业本地信誉库218。根据用户配置，企业信誉库可以和云安全中心进行数据交换，得到全球其它位置部署的入侵检测模块报警生成的全球信誉库219。

[0036] 图3是发明一种未知威胁检测的协同防御方法的流程图，首先开启防御模块300等待外部输入301，若有数据流302进入协同防御系统，则进行防御策略判断303，选择恶意软件检测305、应用行为检测306、业务规则检测307、攻击行为检测308等一种或几种防御检测动作304，若为可信数据，则放行309，若为非可信数据则阻断310。然后将数据流转发311至下一步入侵检测模块进行检测，判断检测策略312，选择ShellCode检测314、虚拟执行检测315等入侵检测动作315的一种或几种进行检测。调度模块等待入侵检测结果316，若为可信数据则放行309，若为非可信数据则阻断310并根据所检测到的威胁特征更新入侵防御系统的检测特征。