[发明专利]一种失陷主机检测方法

说明书

本发明公开了一种失陷主机检测方法，包括如下步骤：日志上传步骤：各边界安全探针类设备将由各安全域间流量所产生的，包括应用访问日志、URL访问日志、文件传输日志、威胁日志在内的日志数据上传安全云预警平台；数据提取步骤：安全云预警平台将边界安全探针类设备上报的日志数据汇聚至云端大数据分析引擎，云端大数据分析引擎挖掘网络内主机偏离正常基线的用户异常行为，生成异常行为数据，并将威胁日志汇聚为威胁情报；数据匹配步骤：安全云预警平台通过云端大数据分析引擎将威胁情报与网络内主机偏离正常基线的用户异常行为进行匹配对撞，预测可疑的失陷主机。

技术领域

本发明涉及网络安全领域的一种失陷主机检测方法。

背景技术

在过往，大部分攻击者在选择攻击目标时往往抱有“机会主义”的心态，会以“遍地开花”的形式广泛扫描存在已知漏洞的目标进行渗透。理论上讲，企业的防护强度超过平均水平，就可以获得相对的安全，防护措施薄弱的系统往往会先于他们被攻击者发现并攻陷。

因此，传统网络安全以“防范”为中心，始终遵循P2DR策略，建立防护-检测-响应的模型，即首先对信息系统的风险进行全面评估，然后制定相应的防护策略，包括：在关键风险点部署访问控制设备，如防火墙，IPS，认证授权等，修复系统漏洞，正确配置系统，定期升级维护，教育用户正确使用系统等。检测是响应和加强防护的依据，通过检测网络流量和行为，与预设策略进行匹配，如果触发防护策略，则认为发生了网络攻击，响应系统就执行预设动作阻止攻击，并进行报警和恢复处理。

与之对应的，传统安全产品，如终端杀毒、防火墙、IPS、Web应用防火墙等，均是基于已知特征和预设规则展开工作，其理论依据同样是P2DR防护模型，这是一种静态的、被动的、防御思维的安全模型。

然而，近年来曝出的安全事件不断证明，黑客攻击手段已从传统的泛攻击演进为高级威胁。利用系统的0-day漏洞，无法预先防御，目标明确，定向攻击，损失巨大，难以挽回。

随着攻击过程的逐步深入，被攻击者锁定的目标主机将会经历遭受入侵、受到控制、发起恶意行为等几个阶段。在“遭受入侵”阶段，目标主机往往会遭受网络钓鱼、漏洞利用、暴力破解等形式的攻击；一旦成功则将进入“受到控制”阶段，在此阶段目标主机将与远端的C&C服务器建立连接，并持续受到攻击者的控制；目标主机受控后，将开始“发起恶意行为”阶段，目标主机往往会作为跳板对内网或外网新的目标展开扫描攻击、拒绝服务(DoS/DDoS)攻击、恶意网址访问、漏洞入侵、间谍软件植入、数据窃取等一系列活动。“失陷主机”是指被攻击者成功侵入，行为特征符合上述“受到控制”或“发起恶意行为”阶段的主机。

发明内容

本发明的目的是为了克服现有技术的不足，提供一种失陷主机检测方法，其在全局上保证了网络安全性和长周期的可见性，实现失陷主机检测及与其他与高级威胁对抗的能力。

实现上述目的的一种技术方案是：一种失陷主机检测方法，包括如下步骤：

日志上传步骤：各边界安全探针类设备将由各安全域间流量所产生的，包括应用访问日志、URL访问日志、文件传输日志、威胁日志在内的日志数据上传安全云预警平台；

数据提取步骤：安全云预警平台将边界安全探针类设备上报的日志数据汇聚至云端大数据分析引擎，云端大数据分析引擎挖掘网络内主机偏离正常基线的用户异常行为，生成用户异常行为数据，并将威胁日志汇聚为威胁情报；

数据匹配步骤：安全云预警平台通过云端大数据分析引擎将威胁情报与网络内主机偏离正常基线的用户异常行为进行匹配对撞，预测可疑的失陷主机。

进一步的，威胁情报来还来自于安全云预警平台的云沙盘以及与安全云预警平台相连的第三方情报共享平台。

进一步的，用户异常行为数据的生成依据边界安全探针类设备中统一威胁管理探针采集的日志数据，威胁日志的生成依据边界安全探针类设备中防毒安全探针采集的日志数据。