[发明专利]高级威胁检测方法及智能探针装置和高级威胁检测系统

说明书

本发明的实施例提供一种高级威胁检测方法及智能探针装置和高级威胁检测系统，用于解决现有技术中难以及时发现高级持续性威胁攻击的问题。该方法包括：通过智能探针装置检测智能探针装置在用户设备中的资源占用信息，并根据资源占用信息记录用户设备中应用程序的操作日志并对操作日志预处理后缓存为操作日志文件，然后从缓存中获取上述操作日志文件并根据资源占用信息将操作日志文件上传至高级威胁检测服务器。本发明能够在不影响用户设备性能的前提下通过完整且系统性记录用户设备中应用程序的操作日志来及时发现针对用户设备的高级持续性威胁攻击，有效提升了对高级持续性威胁攻击的检测能力。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种高级威胁检测方法及智能探针装置和高级威胁检测系统。

背景技术

高级威胁即高级持续性威胁APT(Advanced Persistent Threat)，是指黑客组织或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式，是以窃取用户信息系统的核心资料为目的，蓄谋已久的“恶意商业间谍威胁”。APT在攻击时通常都会利用已经被发现但还未公开的Oday漏洞对特定对象进行长期、有计划性以及有组织性的攻击以窃取用户数据，具有很强的隐蔽性。

目前，APT在进行网络攻击时，通常能够绕过基于二进制文件或代码特征检测的传统安全软件(如防病毒软件、防火墙、入侵防御系统IPS等)，因此很难被传统安全软件发现；而SIEM(security information and event management，安全信息和事件管理)虽然能够通过对用户设备中应用程序的日志进行记录和监控以及时发现来自外部的网络攻击，但是SIEM存在以下问题：首先，多数SIEM并不具备主动记录日志的功能，这使得SIEM上的日志多数为从第三方产品上获取的第三方产品记录的日志，这些日志通常仅能记录应用程序的部分操作行为，不具备完整性，并且由于不同产品记录的日志格式也各不相同，因此也难以对多种产品的日志进行关联分析，导致多数SIEM难以及时发现用户设备中存在的APT攻击；其次，少数SIEM虽然自身具备主动记录日志的功能，但是实际情况中SIEM自身记录的日志会占据用户设备大量存储空间，严重影响用户设备性能，这也使得针对APT攻击的检测难以进行。

发明内容

本发明提供了一种高级威胁检测方法及智能探针装置和高级威胁检测系统，用于解决现有技术中难以及时发现高级持续性威胁攻击的问题。

为达到上述目的，本发明的实施例采用如下技术方案：

第一方面，提供一种高级威胁检测方法，应用于用户设备，包括：智能探针装置检测智能探针装置在用户设备中的资源占用信息；

智能探针装置根据资源占用信息记录用户设备中应用程序的操作日志；其中操作日志包括应用程序在用户态以及内核态的操作以及与操作对应的操作级别；操作根据由高到低的重要程度对应划分到由低到高的操作级别；操作日志至少包括：文件操作日志、进程操作日志、注册表操作日志、网络操作日志、以及系统操作日志；

智能探针装置根据资源占用信息对操作日志预处理后缓存为操作日志文件；

智能探针装置从缓存中获取经预处理后生成的操作日志文件，并根据资源占用信息将操作日志文件上传至高级威胁检测服务器，以供高级威胁检测服务器对操作日志文件进行安全检测。

本发明提供的高级威胁检测方法能够首先通过智能探针装置来检测智能探针装置在用户设备中的资源占用信息，以有效控制智能探针装置对用户设备中资源的占用，保证用户设备性能不受智能探针装置工作过程的影响；在此前提下，智能探针装置记录用户设备中应用程序在用户态以及内核态的操作日志并对其进行预处理、缓存及上传，以实现为高级威胁检测服务器提供完整记录的应用程序在用户态以及内核态的操作且格式统一的操作日志文件的目的，使高级威胁检测服务器能够根据上述操作日志文件对应用程序在用户态以及内核态的操作进行准确且快速的检测分析，从而及时发现针对用户设备的高级持续性威胁攻击，有效提升对高级持续性威胁攻击的检测能力。