[发明专利]一种防御网络威胁的方法及系统

说明书

本发明公开了一种防御网络威胁的方法及系统，涉及ATP攻击检测防御技术领域，其方法包括：设置在网络侧的恶意代码分析实体接收终端发送的需要检测的终端侧文件；所述恶意代码分析实体对所述终端侧文件进行分析，分析所述终端侧文件是否含有传统杀毒软件不能发现的恶意代码，并给出终端侧文件安全等级；所述恶意代码分析实体将所述终端侧文件安全等级发送给所述终端，以便终端根据接收到的终端侧文件安全等级对所述终端侧文件进行相应处理。本发明可以增强用户侧的APT威胁感知及防御能力，丰富检测方式的同时，缩短APT攻击入侵的响应处理时间。

技术领域

本发明涉及ATP(Advanced Persistent Threat，高级持续性威胁)攻击检测防御技术领域，特别涉及一种防御网络威胁的方法及系统。

背景技术

APT利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式，APT攻击的原理相对于其他攻击形式更为高级和先进，其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络，并利用0day漏洞进行攻击。

APT攻击检测防御技术已经成为新形势下网络安全防御的研究热点和实现难点。针对这种新型的攻击思想，尤其是长期潜伏、长期控制这类特征，传统防火墙、反病毒软件或者IDS(Intrusion Detection Systems，入侵检测系统)等一般防御技术手段已显得无法应对。

APT攻击通常采用文件作为载体，使用0day漏洞或者新型代码作为攻击工具，传统基于特征码的杀毒软件无法检测出来，如果漏掉会在终端侧造成直接且巨大的损失。由于终端的检测能力有限，目前对未知威胁的检测主要放在网络侧，也即在网络入口处部署文件动态行为分析系统，文件动态行为分析系统会将流量中提取的待检文件放入沙盒中运行，分析文件的动态行为，鉴别此文件是否为恶意的。检测和防御点的隔离会导致如下问题：

1.仅对流量中获取的文件进行检测无法防御从其它渠道(如usb、内部感染等)侵入终端的恶意文件，导致防护不全面。

2.终端无法主动对未知恶意文件进行识别、判定将导致漏网的恶意软件直接入侵。

发明内容

根据本发明实施例提供的方案解决的技术问题是无法有效识别和及时防范APT攻击。

根据本发明实施例提供的一种防御网络威胁的方法，包括：

设置在网络侧的恶意代码分析实体接收终端发送的需要检测的终端侧文件；

所述恶意代码分析实体对所述终端侧文件进行分析，分析所述终端侧文件是否含有传统杀毒软件不能发现的恶意代码，并给出终端侧文件安全等级；

所述恶意代码分析实体将所述终端侧文件安全等级发送给所述终端，以便终端根据接收到的终端侧文件安全等级对所述终端侧文件进行相应处理。

优选地，还包括：

设置在网络侧的恶意代码分析实体捕获发送给终端的网络侧文件；

所述恶意代码分析实体对所述网络侧文件进行分析，分析所述网络侧文件是否含有传统杀毒软件不能发现的恶意代码，并给出网络侧文件安全等级；

所述恶意代码分析将所述网络侧文件安全等级发送给所述终端，以便终端根据网络侧文件安全等级，对接收到的网络侧文件进行相应处理。

优选地，所述网络侧文件是指经由网络中的HTTP(HyperText TransferProtocol，超文本传输协议)或SMTP(Simple Mail Transfer Protocol，简单邮件传输协议)发送给终端的网络文件；

其中，所述HTTP是指超文本传输协议；所述SMTP是指简单邮件传输协议。