[发明专利]一种基于Bro的APT监测系统和方法

权利要求书

1.一种基于Bro的APT监测系统，其特征在于，包括宿主机、Docker容器和系统拓展；所述宿主机为网关，抓取并产生PCAP文件，并将所述PCAP文件输出给所述Docker容器；所述Docker容器包括提取模块和检测模块，对输入的所述PCAP文件进行提取和检测；所述提取模块和所述检测模块设置为Bro入侵检测系统；

所述Bro入侵检测系统包括libpcap内核、网络事件层和脚本解释器；在所述libpcap内核完成对流量数据包的提取和处理解析后，所述Bro入侵检测系统将所述流量数据包传递给所述网络事件层；所述网络事件层对所述流量数据包的完整性及校验和进行检查，如果是异常流量包，则所述Bro入侵检测系统将所述流量数据包抛弃并报错；如果不是异常流量包，则所述Bro入侵检测系统将所述流量数据包根据传输层协议进行分流；当所述网络事件层完成对所述流量数据包的处理后，所述脚本解释器将生成一系列的网络事件；所述网络事件被缓存在FIFO队列中并会立刻进行处理；当所述网络事件处理完毕后，所述Bro入侵检测系统将回到所述libpcap内核读入下一个所述流量数据包，进行下一次的处理；

所述传输层协议包括TCP和UDP，所述流量数据包根据所述传输层协议的不同分为TCP流量和UDP流量；

对于所述TCP流量，所述Bro入侵检测系统首先对所述流量数据包进行检验和检查；然后根据所述流量数据包的源IP地址端口及目的IP地址端口，将所述流量数据包以TCP连接为单位分离；而后根据SYN/FIN/RST控制位状态，更新连接状态；所述连接状态包括尝试连接、连接建立、连接拒绝和连接断开；最后，所述Bro入侵检测系统将处理所述流量数据包中的数据确认信息，并生成对应的事件以处理所述流量数据包中的载荷；

对于所述UDP流量，所述Bro入侵检测系统将根据所述流量数据包的源IP地址端口及目的IP地址端口，将所述流量数据包以UDP数据流为单位分离；而后根据所述流量数据包的通信方向生成UDP请求和UDP响应事件，并生成对应的事件以处理所述流量数据包中的载荷；

所述基于Bro的APT监测系统，还包括BroAPT-Daemon守护进程；所述BroAPT-Daemon守护进程为REST API服务器，在所述宿主机上运行；

所述基于Bro的APT监测系统，采用多进程的运行逻辑架构；所述提取模块通过同步队列向所述检测模块传递所述PCAP文件的信息；每当所述检测模块从所述同步队列中获得所述PCAP文件的信息，所述检测模块对所述PCAP文件进行检查，获取所述PCAP文件的MIME类型和UID信息，并根据所述PCAP文件的所述MIME类型，所述检测模块从API配置文件中选择对应的检测API配置；最后，所述检测模块执行所述检测API配置中的检测命令，对所述PCAP文件进行恶意文件检测，并生成检测报告；

所述Bro入侵检测系统采用单线程设计。

2.一种基于Bro的APT监测方法，基于权利要求1所述的基于Bro的APT监测系统，其特征在于，所述方法包括以下步骤：

步骤101、部署并配置所述基于Bro的APT监测系统；

步骤102、所述基于Bro的APT监测系统为每一个输入的所述PCAP文件创建一个第一子进程；在所述第一子进程中，所述Bro入侵检测系统载入用户提供的Bro脚本；

步骤103、所述Bro脚本和所述基于Bro的APT监测系统中的文件提取脚本一起，处理和分析所述PCAP文件，得到流量中传输的文件和Bro日志；

步骤104、完成对所述PCAP文件的Bro初步分析后，所述基于Bro的APT监测系统通过同步队列向另一组进程告知生成的所述Bro日志的信息；

步骤105、所述另一组进程负责对所述Bro日志的进一步分析和处理；用户使用编写的分析函数，并将所述分析函数添加注册到Python进程中；

步骤106、每当所述基于Bro的APT监测系统接收到一条所述Bro日志的信息，所述基于Bro的APT监测系统为所述每一个分析函数创建一个第二子进程，由所述第二子进程完成对所述Bro日志的进一步分析和处理；

步骤106还包括以下步骤：

步骤107、所述基于Bro的APT监测系统将通过另一同步队列，向第三组进程告知所述PCAP文件的相关信息，包括文件路径和MIME类型；

步骤108、所述基于Bro的APT监测系统将为每一个提取得到的文件创建一个第三子进程；

步骤109、用户配置所需的API配置文件；

步骤110、所述第三子进程将从所述API配置文件中，根据待检测文件的MIME类型，选择对应的检测配置，并执行配置中的检测脚本，生成恶意文件检测日志。