安全威胁的检测方法、装置以及安全网关

摘要

本发明公开了一种安全威胁的检测方法、装置以及安全网关，涉及网络安全领域。其中的检测方法包括：响应于网络连接请求，确定网络连接请求的流量方向；根据网络连接请求及其流量方向确定需要检测的资产；获取需要检测的资产的资产类型；根据网络连接请求的流量方向以及需要检测的资产的资产类型，并依据不同类型的资产在不同流量方向的特点，确定网络连接请求的行为是否异常。本发明针对APT攻击特点，将资产属性与网络连接特点结合，根据不同类型的资产在不同流量方向的特点，对网络连接行为是否异常进行判断，从而实现对APT攻击的主动探测，并提高了APT攻击的早期发现能力。

说明书

技术领域

本发明涉及网络安全领域，特别涉及一种安全威胁的检测方法、装置以及安全网关。

背景技术

随着互联网技术的不断发展，网络安全变得越来越重要。APT(Advanced Persistent Threat，高级持续性威胁)攻击是近几年来出现的一种高级攻击，众多著名公司如Google、RSA、Sony等曾经先后公开承认遭受APT，造成机密数据泄露等一系列严重后果。APT不以破坏目标系统的可用性、可靠性为主要目的，旨在窃取高价值的数据、资料、文件，具有明确的目标性和长期的行为隐蔽性。

由于APT攻击大多采用0day漏洞或者社会工程学等方法，攻击场景难于建立，攻击特征多态、变形，基于特征匹配的安全系统难以检测；同时目前的企业网安全网关设备的判断依据主要是IP包的五元组和应用层内容等信息，难以识别阻断个性化的非授权的应用。而APT攻击渗透后往往模拟正常业务行为进行操作，传统安全检测手段难以发现。

发明内容

本发明实施例所要解决的一个技术问题是：如何探测APT攻击。

根据本发明实施例的一个方面，提供的一种安全威胁的检测方法，包括：

响应于网络连接请求，确定网络连接请求的流量方向。

根据网络连接请求及其流量方向确定需要检测的资产。

获取需要检测的资产的资产类型。

根据网络连接请求的流量方向以及需要检测的资产的资产类型，并依据不同类型的资产在不同流量方向的特点，确定网络连接请求的行为是否异常。

根据本发明实施例的另一个方面，提供的一种安全威胁的检测装置，包括：

流量方向判断单元，用于响应于网络连接请求，确定网络连接请求的流量方向。

待检测资产判断单元，用于根据网络连接请求及其流量方向确定需要检测的资产。

资产类型获取单元，用于获取需要检测的资产的资产类型。

异常行为判断单元，用于根据网络连接请求的流量方向以及需要检测的资产的资产类型，并依据不同类型的资产在不同流量方向的特点，确定网络连接请求的行为是否异常。

根据本发明实施例的第三个方面，提供的一种安全网关，包括前述实施例的安全威胁的检测装置。

本发明至少具有以下优点：

针对APT攻击特点，将资产属性与网络连接特点结合，根据不同类型的资产在不同流量方向的特点，对网络连接行为是否异常进行判断，从而实现对APT攻击的主动探测，并提高了APT攻击的早期发现能力。

通过以下参照附图对本发明的示例性实施例的详细描述，本发明的其它特征及其优点将会变得清楚。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1示出根据本公开的一种示例性实施例的安全威胁的检测方法的流程示意图。

图2示出根据本公开的另一种示例性实施例的安全威胁的检测方法的流程示意图。

图3示出根据本公开的又一种示例性实施例的安全威胁的检测方法的流程示意图。

图4示出根据本公开的一种示例性实施例的安全威胁的检测装置的结构示意图。

图5示出根据本公开的另一种示例性实施例的安全威胁的检测装置的结构示意图。

图6示出根据本公开的一种示例性实施例的安全网关的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

针对APT攻击渗透后往往模拟正常网络内资产的业务行为进行操作，使得传统的安全检测手段难以发现的问题，提出本方案。

发明人发现，APT攻击一般有个横向渗透过程，主控端需要控制内网的个人计算机执行命令。这个控制连接行为与正常业务行为有所区别。因此，基于该发现提出本发明的方案，即，基于资产属性的网络连接异常判断方案，实现对APT攻击的主动探测。

在本发明中，可以预先收集本网络内的资产及其资产信息。其中，本网络也即内网，在内网与外网之间设置本发明的安全威胁的检测装置或安全网关。资产例如包括个人计算机、服务器等物理设备。资产信息例如包括资产IP(Internet Protocol，网络之间互联的协议)、资产类型、开放端口和正常工作时间等，但不限于所举示例。

下面结合图1描述本发明一个实施例的安全威胁的检测方法。其中的安全威胁例如可以是APT攻击。

图1为本发明安全威胁的检测方法一个实施例的流程图。如图1所示，该实施例的方法包括：

步骤S102，响应于网络连接请求，确定网络连接请求的流量方向。

其中，网络连接的请求的流量方向包括由内网向外网、由外网向内网。

步骤S104，根据网络连接请求及其流量方向确定需要检测的资产。

一种示例性的资产确定方法为，如果网络连接请求的流量方向是由内网向外网，则将网络连接请求的源设备确定为需要检测的资产；如果网络连接请求的流量方向是由外网向内网，则将网络连接请求的目的设备确定为需要检测的资产。

步骤S106，获取需要检测的资产的资产类型。其中，资产类型包括个人计算机、服务器。

一种示例性的资产类型获取方法为，根据需要检测的资产的IP，从预先收集的本网络内的资产信息中查询获得需要检测的资产的资产类型。其中，需要检测的资产的IP可以从网络连接请求获得。例如，如果源设备为需要检测的资产，则根据网络连接请求的源IP查询资产信息，从而获得资产类型。如果目的设备为需要检测的资产，则根据网络连接请求的目的IP查询资产信息，从而获得资产类型。

步骤S108，根据网络连接请求的流量方向以及需要检测的资产的资产类型，并依据不同类型的资产在不同流量方向的特点，确定网络连接请求的行为是否异常。

上述方法，针对APT攻击特点，将资产属性与网络连接特点结合，根据不同类型的资产在不同流量方向的特点，对网络连接行为是否异常进行判断，从而实现对APT攻击的主动探测，并提高了APT攻击的早期发现能力。

下面结合图2描述针对检测结果对网络连接请求进行处理的情形。

如图2所示，安全威胁的检测方法在步骤S108之后还包括：

步骤S210，针对不同的检测结果对网络连接请求进行相应的处理。

例如，如果确定网络连接请求的行为异常，可以阻断网络连接请求；如果确定网络连接请求的行为可疑，可以做进一步探测分析，以判定网络连接请求是否异常；如果确定网络连接请求的行为正常，则可以放行，允许继续进行网络连接业务。

其中，如果确定网络连接请求的行为可疑，则将可疑流量镜像复制到安全设备，做进一步探测分析。安全设备例如可以是沙盒等安全检测设备，但不限于所举示例。

上述方法，可以进一步提高网络的安全性，此外，只将可疑流量复制镜像到其他安全设备进行进一步分析，有效提高APT安全检测分析效率和准确性。

其中，步骤S108的一种示例性实现方法为：根据网络连接请求的流量方向以及需要检测的资产的资产类型，并依据不同类型的资产在不同流量方向的特点，获取网络连接请求的相关行为信息以及需要检测的资产的相关资产信息；根据网络连接请求的相关行为信息以及需要检测的资产的相关资产信息，确定网络连接请求的行为是否异常。其中，网络连接请求的相关行为信息例如可以是网络连接请求的访问时间、目的端口等信息。需要检测的资产的相关资产信息例如可以资产的正常工作时间、开放端口等信息。下面结合图3具体描述。

图3所示为本发明安全威胁的检测方法的一个优选实施例，包括以下内容：

步骤S302，响应于网络连接请求，判断网络连接请求的流量方向，如果网络连接请求的流量方向是由内网向外网，执行步骤S304；如果网络连接请求的流量方向是由外网向内网，执行步骤S312。

步骤S304，判断网络连接请求的源设备的资产类型。

如果源设备的资产类型是服务器，依据服务器不会主动向外发起连接的规则，确定网络连接请求的行为异常，阻断网络连接请求(步骤S306)。

如果源设备的资产类型是个人计算机，依据个人计算机不会在非正常工作时间主动向外连接的规则，判断网络连接请求的访问时间是否是源设备的正常工作时间(步骤S308)。

若网络连接请求的访问时间是源设备的正常工作时间，确定网络连接请求的行为正常，则检测流程结束，允许继续进行网络连接业务(步骤S310)。

若网络连接请求的访问时间不是源设备的正常工作时间，可以有两种处理，第一种处理，确定网络连接请求的行为可疑，将可疑会话流量复制(步骤S314)，然后转到沙盒等安全设备做进一步探测(步骤S316)；第二种处理，确定网络连接请求的行为异常，阻断网络连接请求(图中未示出第二种处理)。

步骤S312，判断网络连接请求的目的设备的资产类型。

如果目的设备的资产类型是个人计算机，依据个人计算机不会对外提供网络服务的规则，可以有两种处理，第一种处理，确定网络连接请求的行为可疑，将可疑会话流量复制(步骤S314)，然后转到沙盒等安全设备做进一步探测(步骤S316)；第二种处理，确定网络连接请求的行为异常，阻断网络连接请求(图中未示出第二种处理)。

如果目的设备的资产类型是服务器，依据服务器开放限定的端口的规则，判断网络连接请求的目的端口是否是目的设备的开放端口(步骤S318)。若网络连接请求的目的端口是目的设备的开放端口，确定网络连接请求的行为正常，则检测流程结束，允许继续进行网络连接业务(步骤S322)。若网络连接请求的目的端口不是目的设备的开放端口，确定网络连接请求的行为异常，可以阻断网络连接请求(步骤S320)。

根据本发明的另一个实施例，提供了一种安全威胁的检测装置。下面结合图4对该安全威胁的检测装置400的结构进行描述。

流量方向判断单元402，用于响应于网络连接请求，确定网络连接请求的流量方向。

待检测资产判断单元404，用于根据网络连接请求及其流量方向确定需要检测的资产。

其中，待检测资产判断单元404，用于在网络连接请求的流量方向是由内网向外网的情况下，将网络连接请求的源设备确定为需要检测的资产；在网络连接请求的流量方向是由外网向内网的情况下，将网络连接请求的目的设备确定为需要检测的资产。

资产类型获取单元406，用于获取需要检测的资产的资产类型。

其中，资产类型获取单元406，用于从本网络内的资产信息中查询获得需要检测的资产的资产类型。

异常行为判断单元408，用于根据网络连接请求的流量方向以及需要检测的资产的资产类型，并依据不同类型的资产在不同流量方向的特点，确定网络连接请求的行为是否异常。

其中，异常行为判断单元408，用于根据网络连接请求的流量方向以及需要检测的资产的资产类型，并依据不同类型的资产在不同流量方向的特点，获取网络连接请求的相关行为信息以及需要检测的资产的相关资产信息；并根据网络连接请求的相关行为信息以及需要检测的资产的相关资产信息，确定网络连接请求的行为是否异常。

优选的，异常行为判断单元408，用于：在网络连接请求的流量方向是由内网向外网、且需要检测的资产是网络连接请求的源设备、且源设备的资产类型是服务器的情况下，依据服务器不会主动向外发起连接的规则，确定网络连接请求的行为异常。

或者，在网络连接请求的流量方向是由内网向外网、且需要检测的资产是网络连接请求的源设备、且源设备的资产类型是个人计算机的情况下，依据个人计算机不会在非正常工作时间主动向外连接的规则，判断网络连接请求的访问时间是否是源设备的正常工作时间，若网络连接请求的访问时间是源设备的正常工作时间，确定网络连接请求的行为正常，若网络连接请求的访问时间不是源设备的正常工作时间，确定网络连接请求的行为异常或行为可疑。

或者，在网络连接请求的流量方向是由外网向内网、且需要检测的资产是网络连接请求的目的设备、且目的设备的资产类型是服务器的情况下，依据服务器开放限定的端口的规则，判断网络连接请求的目的端口是否是目的设备的开放端口，若网络连接请求的目的端口是目的设备的开放端口，确定网络连接请求的行为正常，若网络连接请求的目的端口不是目的设备的开放端口，确定网络连接请求的行为异。

或者，在网络连接请求的流量方向是由外网向内网、且需要检测的资产是网络连接请求的目的设备、且目的设备的资产类型是个人计算机的情况下，依据个人计算机不会对外提供网络服务的规则，确定网络连接请求的行为异常或行为可疑。

下面结合图5对安全威胁的检测装置400进行进一步描述。

如图5所示，安全威胁的检测装置400还包括异常行为处理单元510，用于在确定网络连接请求的行为异常的情况下，阻断网络连接请求；在确定网络连接请求的行为可疑的情况下，做进一步探测分析。

如图6所示，本发明还提供一种安全网关，包括：前述任一实施例的安全威胁的检测装置400。此外，安全网关中还可以包括资产属性模块602、恶意行为特征库604和特征匹配处理模块606。资产属性模块602用于收集并保存本网络内的资产及其资产信息。恶意行为特征库604存储了恶意行为的特征信息。特征匹配处理模块606从IP包提取五元组和应用层内容等信息，并将提取的信息与恶意行为的特征信息进行比对，从而识别出恶意行为。

本发明提供的安全网关对现有的安全网关改造较少，实现简单，成本较低。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。