[发明专利]一种旁路流量检测设备与终端防护设备联合防御方法

说明书

本发明涉及一种旁路流量检测设备与终端防护设备联合防御方法，通过旁路流量检测设备捕获流量中的文件投递行为，解析、分离得到待投递文件后进行检测，若文件为恶意文件且被投递方为内网IP，则上传当前的恶意文件特征值和被投递方的IP至终端防护设备，由终端防护设备基于被投递方的IP对被投递方进行查杀，最后输出扫描结果。本发明可以有效解决终端防护设备病毒库更新的空窗期和对未知威胁的“不敏感”的问题，可以应对复杂的、未处理过的场景；本发明在常见黑客入侵技术的基础上，推出边界到端的“检测+防御”体系，通过旁路流量检测设备对网络中的已知和未知威胁检测和定位，终端防护设备对终端受攻击主机有效防御，形成联合防御。

技术领域

本发明涉及特别适用于特定功能的数字计算设备或数据处理设备或数据处理方法的技术领域，特别涉及一种旁路流量检测设备与终端防护设备联合防御方法。

背景技术

随着网络的发展、信息化的便捷，信息安全的问题也随之越来越严峻，近年来，信息安全问题已经成为各行各业关注和讨论的热点。在传统网络安全威胁有增无减的同时，黑客攻击正在从个人向组织化、国家化的方向发展，其目的性强、动机明显、往往有明确的经济利益或政治诉求，攻击手段也从传统的“广撒网”式发展到利用社交工程、各种0day漏洞的针对性网络攻击，具有目标明确、手段高级、攻击持续、长期潜伏等特点，并且能够轻易绕过传统的安全检测和防御体系。

在传统的网络安全防御体系中，终端防御能力十分脆弱，安全检测和防御体系一旦被绕过，攻击者将长驱直入，而随着计算和存储能力越来越强大，信息化的步伐越来越快，越来越多的数据被放置在了终端上，攻击者一旦侵入信息系统，用户的敏感秘密信息将受到窃取或破坏。为更好应对网络攻击行为，需要建立一套有效的“检测+防御”体系，对绕过传统防御设备的攻击行为和内部扩散的攻击行为能及时发现并预警，对渗透到终端业务系统的攻击行为能有效定位并阻断，形成攻击检测与终端防御的联动机制。

现有技术中，已经提出了一些安全检测和防御体系。申请号为201510946626.6的中国专利“一种未知威胁检测的协同防御系统”公开了包括入侵防御模块、入侵检测模块、调度模块、信誉模块；系统通过对网络系统的流量进行包括恶意软件检测、应用行为检测、业务规则检测、攻击行为检测等的入侵防御并进一步对未识别数据流进行包括AV检测、智能ShellCode检测、虚拟执行检测等入侵检测，然后把检测到的威胁结果发送至集中管理中心进行分析和告警，并把威胁详情添加至本地信誉库，本地信誉库可以与云安全中心进行数据交换，得到全球其他位置生成的信誉。《一种智能化网络APT攻击威胁分析办法》一文中公开了对待查文件进行反编译，检测反编译后的待查文件是否存在ShellCode，当存在ShellCode的特征时，则判定存在攻击行为，否则就通过虚拟机建立多个不同的应用环境，在不同的并行执行环境中，观察待查文件的恶意行为特征，以此来判断是否存在攻击；所述恶意行为特征包括外链服务器下载文件或敏感文件外传；当发现反编译后的待查文件具有所述恶意行为特征，则判定存在攻击行为。

然而，以勒索病毒为例，其利用各种非对称加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解，且其一旦进入本地就会自动运行并在内网横向扩散、寻找加密对象，这种恶意行为性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失；其变种非常快，对常规的杀毒软件都具有免疫性；攻击的样本以exe、js、wsf、vbe等类型为主，对常规依靠特征检测的安全产品构成极大的挑战。也就是说，由于终端防护设备病毒库更新的空窗期和对未知威胁的“不敏感”，使终端防护设备事实上无法应对一些复杂的场景。

发明内容

本发明解决了现有技术中存在的问题，提供了一种优化的旁路流量检测设备与终端防护设备联合防御方法，构建对恶意文件的全网检测和联动防御。

本发明所采用的技术方案是，一种旁路流量检测设备与终端防护设备联合防御方法，所述方法包括以下步骤：

步骤1：旁路流量检测设备和终端防护设备初始化；