[发明专利]一种串行分散隐藏式威胁入侵攻击检测方法和系统

说明书

本发明公开了一种串行分散隐藏式威胁入侵攻击检测方法和系统，所述检测方法通过对可扩展的应用识别技术和隐藏式威胁分析检测技术研究，检测出网络流量中存在的未知的异常流量。所述可扩展的应用识别技术是在深度包检测技术的基础上，将应用层识别的范畴进行了扩展，从各种维度对不同应用做出评价，挖掘网络流量中的更多信息，提供了深层应用层识别能力。分散隐藏式入侵威胁分析系统以网关模式、串联模式或旁路模式部署在网络中，采集并分析当前网络流量，及时发现恶意文件在网络边界的活动踪迹，提供实时的安全警报、威胁定位和执行动作。

技术领域

本发明一种串行分散隐藏式威胁入侵攻击检测方法和系统，属于网络安全防御技术领域。

背景技术

随着各种针对工业化信息系统的攻击手段的广泛流行，以及更多的未知攻击事件的发生，传统的安全技术主要面临以下几个方面的困局：

网络内出现的新型威胁大多基于0day漏洞，没有漏洞特征，攻击工具日新月异，出现了定制化的工具，对于防护者无法通过基于已知威胁的检测方法来获取攻击样本。

其中最常见的威胁为：

APT（Advanced Persistent Threat），高级持续性威胁。是指组织或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为高级和先进，其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集，在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，在这些漏洞的基础上形成攻击者所需的CC网络，此种行为没有采取任何可能触发警报或者引起怀疑的行动，因此更接近于融入被攻击者的系统或程序。

APT攻击具有以下特点：(1)极强的隐蔽性、(2)潜伏期长，持续性强、(3)目标性强越来越多的攻击开始利用社会工程学，基于长时间的目标定位、更精准有效的发起潜在攻击。利用社交网站或邮件系统发送包含恶意文件或链接的邮件，进行钓鱼攻击；这种攻击方式往往具有很多传播方式，比如：邮件、网络、U盘等硬件存储设备。

发明内容

为解决现有技术存在的不足，本发明公开了一种串行分散隐藏式威胁入侵攻击检测方法和系统，该系统采用多核、虚拟化平台，该方法通过并行的多种引擎检测及流处理方式达到更高的性能和更高的检测率，及时发现恶意文件在内部的活动踪迹，提供实时的安全警报和威胁定位。

本发明通过如下技术方案实现：

一种串行分散隐藏式威胁入侵攻击检测方法，所述检测方法通过对可扩展的应用识别技术和隐藏式威胁分析检测技术研究，检测出网络流量中存在的未知的异常流量。

所述可扩展的应用识别技术是在深度包检测技术的基础上，将应用层识别的范畴进行了扩展，从各种维度对不同应用做出评价，挖掘网络流量中的更多信息，提供了深层应用层识别能力。所述深层应用层识别能力包括但不限于应用信息识别、攻击/威胁识别和拓扑识别。

所述隐藏式威胁分析检测技术采用多核处理器、虚拟化平台，使用Anti-DoS技术，通过并行的多种核心检测组件及流处理方式实现；

所述多核处理器采用高性能多核硬件架构及单路径异构并行处理引擎；

所述多种核心检测组件包括：病毒检测引擎、入侵特征检测引擎、恶意网页特征检测引擎和恶意应用代码检测引擎；所述核心检测组件通过四种检测引擎进行并行检测。

所述多核处理器采用高性能多核硬件架构及单路径异构并行处理引擎，具有如下特点：

1）对实时多任务有很强的支持能力，能完成多任务并且有较短的中断响应时间，从而使内部的代码和实时内核心的执行时间减少到最低限度。