[发明专利]一种未知应用漏洞威胁检测装置及方法

说明书

技术领域

本发明涉及计算机通信技术领域，具体涉及一种未知应用漏洞威胁检测装置及方法。

背景技术

近几年来，网络安全问题已经成为全球范围内都关注的重点问题之一。“斯诺登”事件的披露，网络隐私与个人用户上网安全问题再一次成为公众关注的焦点。随着网络攻击技术的不断发展，尤其是APT高级可持续性威胁攻击日益泛滥，尽管各大安全厂商也都不断推出各种运用新型技术的安全产品，安全问题依然形势严峻。

随着公众安全意识的提高，传统基于可执行文件的木马攻击已经落伍了，大家都已经意识到未知的可执行文件是可疑的，不可信任的。当前黑客采用最多也是最有效的是APT攻击技术，APT攻击一般通过信任关系给目标发送携带有应用程序漏洞的文档，比如Word、PDF，当用户接收到文档之后，往往会认为这种文档时安全的，一旦打开文档，就有可能触发应用程序的漏洞，为下一步入侵打开通道。然而，传统的病毒木马检测技术，并不适合对此类携带未知应用漏洞威胁的APT攻击样本的查杀检测，主要表现在以下几个方面：

首先，传统的病毒木马检测技术是基于主机的检测，这种方法需要用户自己安装反病毒软件，实施复杂，同时无法对整个网络中的是否存在木马行为进行检测和监控。

其次，传统病毒木马查杀软件主要使用的是基于病毒木马特征码检测的方式，这种方法对于检测未知应用漏洞威胁来说并不适用，因为APT攻击往往使用的是尚未公布的未知漏洞。

目前主流的入侵检测系统和防火墙等，也大部分是基于规则的防火墙系统。这种基于规则的防护方式很难对未知的网络攻击流量进行区分和控制。虽然目前也有一些智能防火墙系统，但是效果一般，主要还是依靠传统的技术手段进行检测。

从专利文献中检索到以下专利中：

申请号为CN200910022718.X的网络窃密木马检测方法，此专利的思想是通过获取网络数据流，对通信地址进行分析、对通信协议进行分析、对通信行为进行分析、对通信关系进行分析，将高度疑似木马通信数据包，按照高度疑似木马通信所采用的网络通信协议，与相应的目的IP地址建立连接，并按照相应的通信协议构造探测数据包发送对方，如果对方返回的应答包中含有非协议规定的内容，即确定该节点是木马控制端。但是对于使用正常网络通信协议进行通信的木马通信流量，该方法并不适用。

申请号为CN201010581622.X的一种木马检测方法、装置及系统，该发明的思想是以木马攻击过程中的特征执行的时间顺序为特征，在通过预置的木马特征库判断得到可疑的特征报文后，进一步利用木马攻击程序执行时序的特点，判断可疑的特征报文的执行时序是否和木马攻击程序的执行时序相同，如果相同，则确定可疑特征报文为木马特征报文。该方法虽然不是传统的特征码识别检测方法，但是仍然需要一个预置木马特征库。

申请号为CN201110430821.5的一种木马检测的方法及装置，该专利的主要思想是：当检测到会话中存在木马心跳检测时，根据木马心跳检测的频率是否固定，将记录的会话权值增加相应的权值并记录，并针对控制端向被控制端发送的每个报文，检测该报文是否符合木马控制命令报文的特征，若符合，则将记录的会话权值增加第三权值并记录，在会话权值达到告警阈值时发出告警，以通知该会话为木马发起的会话。但是，该方法无法检测某些无心跳包的静默式木马。

申请号为CN201210412347.8的一种基于网络流量中行为特征的智能木马检测装置及其方法，该专利是一种根据网络流量数据中反映出来的木马行为特征去智能地检测木马的方法，提供了一种基于网络流量中行为特征的智能木马检测方法及其装置，其主旨在于提供一种对新型未知木马的发现。但是该专利并未提出具体的木马特征提取方法。而且误报率和准确性也还有待验证。

申请号为CN103095714A一种基于木马病毒种类分类建模的木马检测方法，该专利公开了一种基于木马病毒种类分类建模的木马检测方法，其中心思想是通过对已知木马按特征进行分类，建立木马特征识别模式库。然后依据该库来对木马进行检测。该方法具有一定的未知木马检测能力，但是从本质上来讲还是一种基于木马特征码的检测方式，对新型木马的检测误报率比较高。

发明内容

本发明针对现有技术中存在的不足，提出了一种未知应用漏洞威胁检测装置及方法，适用于各种网络应用环境，能够对网络中传输的携带未知应用漏洞威胁的各种可疑文件进行检测。

一种未知应用漏洞威胁检测装置，包括：

样本采集装置：用于从网络入口流量中采集传输的应用文档附件样本；