[发明专利]一种APT攻击检测系统

权利要求书

1.一种APT攻击检测系统，其特征在于，包括若干个前端检测子系统，分析中心以及后台处理子系统，所述前端检测子系统可部署在任意网络位置，包括网络出口或其他重要链路；所述分析中心以及后台处理子系统部署在机房服务器中，所述前端检测子系统与所述分析中心通过内部网络相连接，所述后台处理子系统仅与所述分析中心通过网络相连接，

所述前端检测子系统用于从数据流中提取可疑文件或样本，并发送往所述分析中心，同时根据安全策略进行拦截或防御；

所述分析中心用于汇总可疑文件或样本，并发送往所述后台处理子系统进行检测；

所述后台处理子系统用于对可疑文件或样本进行检测，提取恶意行为特征，生成安全检测报告，形成安全防御策略，

所述APT攻击检测系统的实现，包括以下步骤：

S1：将若干个前端检测子系统分别布置在网络出入口或其他重要链路；

S2：将分析中心和后台处理子系统部署在用户的核心机房；

S3：在所有前端检测子系统与分析中心之间建立内部网络连接；

S4：在分析中心与后台处理子系统之间建立内部网络连接；

S5：前端检测子系统监控网络数据流并从中提取出可疑文件，并通过内部网络将可疑文件发送到分析中心；

S6：所述分析中心对可疑文件或行为进行预检测，如果预检测结果无法辨别出可疑文件或行为的性质，则发送至后台处理子系统；

S7：后台处理子系统对可疑文件或行为进行深度检测，提取恶意文件或行为的特征，生成安全检测报告，形成安全策略并发送至前端检测子系统；

S8：前端检测子系统根据安全策略对恶意文件或行为进行拦截和防御。

2.根据权利要求1所述的一种APT攻击检测系统，其特征在于，所述前端检测子系统包括动态行为分析模块、邮件安全检测模块和防御拦截模块，

所述动态行为分析模块用于从网络数据流中提取可疑文件或样本，并通过内部网络发送到所述分析中心；

所述邮件安全检测模块用于对来往邮件的附件进行分析，判断是否为恶意攻击邮件；

所述防御拦截模块用于根据安全防御策略进行网络拦截和防御。

3.根据权利要求2所述的一种APT攻击检测系统，其特征在于，所述邮件安全检测模块支持对于SMTP、POP3、IMAP三种标准邮件以及包括sina、sohu、163、126、yeah、21cm、qq在内的web邮件的还原分析。

4.根据权利要求1所述的一种APT攻击检测系统，其特征在于，所述分析中心包括预检测模块，所述预检测模块用于检测已知的病毒和木马。

5.根据权利要求1所述的一种APT攻击检测系统，其特征在于，所述后台处理子系统包括事件关联分析模块、多维度行为检测模块和沙箱检测模块，

所述事件关联分析模块用于对APT攻击检测结果进行集中关联查询和展示；

所述多维度行为检测模块用于从全方位多角度检测并分析异常网络行为并给出故障解决建议；

所述沙箱检测模块用于通过虚拟机观察程序行为从而判断是否存在攻击行为。

6.根据权利要求5所述的一种APT攻击检测系统，其特征在于，所述多维度行为检测模块包括高危邮件分析模块、Web攻击检测模块、账号异常检测模块、隐蔽信道检测模块、TCP异常会话检测模块，所述高危邮件分析模块、Web检测攻击模块、账号异常检测模块、隐蔽信道检测模块、TCP异常会话检测模块分别通过网络与所述分析中心相连接。