一种攻击检测的方法和装置的制造方法
【技术领域】
[0001]本发明涉及通信技术领域,尤其涉及一种攻击检测的方法和装置。
【背景技术】
[0002]随着计算机与网络的普及,信息技术正在改变着、影响着人类的生活方式。各种网络应用层出不穷,安全威胁和网络滥用也与日俱增,给网络监管机构对各种网络流量进行深度识别和检测未知威胁提出了新的要求。
[0003]目前对流量进行识别与检测的技术包括:DPI (Deep Packet Inspect1n,深层数据包检测)技术和基于流量特征的行为识别技术。DPI技术主要通过对数据包的负载进行特征匹配来识别流量,从而检测是否发生攻击。基于流量特征的行为识别技术主要是针对网络流量在一段时间内的某些统计特征进行检测和分析,以此为基础判断是否有某种行为,从而检测是否发生攻击。
[0004]上述方式均需要基于特征码检测是否发生攻击,但是针对APT (AdvancedPersistent Threat,高级持续性威胁)攻击,由于APT攻击是利用先进攻击手段对特定目标进行长期持续性网络攻击的攻击形式,在发动攻击之前会对攻击对象的业务流程和目标系统进行精确的收集,在收集过程中会主动挖掘被攻击对象受信系统和应用程序的漏洞,并利用这些漏洞进行攻击,因此,APT攻击的漏洞信息从未公开,且没有相应特征码,因此,上述方式(DPI技术和基于流量特征的行为识别技术)是无法检测出是否发生APT攻击的。
【发明内容】
[0005]本发明实施例提供一种攻击检测的方法,所述方法包括以下步骤:
[0006]攻击检测装置在接收到数据流之后,从所述数据流的附件中分离出文件;
[0007]所述攻击检测装置将所述文件发送给沙箱,由所述沙箱确定所述文件对应的文件类型,并利用所述文件类型对应的应用程序打开所述文件;
[0008]所述攻击检测装置监测所述沙箱内是否有网络连接行为;
[0009]如果是,则所述攻击检测装置确定所述数据流为攻击数据流;
[0010]如果否,则所述攻击检测装置确定所述数据流为合法数据流。
[0011]所述沙箱具体包括:内置在所述攻击检测装置中的沙箱,或者,独立于所述攻击检测装置的沙箱。
[0012]在所述沙箱打开所述文件之前,在所述沙箱内是不发生网络连接行为的。
[0013]所述方法进一步包括:
[0014]所述攻击检测装置确定所述数据流为攻击数据流之后,所述攻击检测装置确定所述文件中包含用于从网络中下载并执行可执行文件的恶意指令。
[0015]所述数据流具体包括高级持续性威胁APT数据流,所述文件具体包括:W0RD文件、EXCEL文件、PPT文件。
[0016]本发明实施例提供一种攻击检测装置,所述攻击检测装置具体包括:
[0017]分离模块,用于在接收到数据流后,从所述数据流的附件中分离出文件;
[0018]发送模块,用于将所述文件发送给沙箱,由所述沙箱确定所述文件对应的文件类型,并利用所述文件类型对应的应用程序打开所述文件;
[0019]监测模块,用于监测所述沙箱内是否有网络连接行为;
[0020]确定模块,用于当沙箱内有网络连接行为时,则确定所述数据流为攻击数据流;当沙箱内没有网络连接行为时,则确定所述数据流为合法数据流。
[0021]所述沙箱具体包括:内置在所述攻击检测装置中的沙箱,或者,独立于所述攻击检测装置的沙箱。
[0022]在所述沙箱打开所述文件之前,在所述沙箱内是不发生网络连接行为的。
[0023]所述确定模块,还用于在确定所述数据流为攻击数据流之后,确定所述文件中包含用于从网络中下载并执行可执行文件的恶意指令。
[0024]所述数据流具体包括高级持续性威胁APT数据流,所述文件具体包括:WORD文件、EXCEL文件、PPT文件。
[0025]基于上述技术方案,本发明实施例中,通过自动分离数据流的附件中的文件,并将文件发送给沙箱,由沙箱利用文件对应的应用程序打开文件,并监测沙箱是否有网络连接行为,从而确定数据流是否为攻击数据流,该方式可以不依赖特征码检测出是否发生攻击。
【附图说明】
[0026]图1是本发明实施例提供的一种攻击检测的方法流程示意图;
[0027]图2是本发明实施例提供的一种攻击检测装置的结构示意图。
【具体实施方式】
[0028]针对现有技术中存在的问题,本发明实施例提供了一种攻击检测的方法,如图1所示,该攻击检测的方法具体可以包括以下步骤:
[0029]步骤101,攻击检测装置在接收到数据流之后,从该数据流的附件中分离出文件。其中,该数据流具体是指附件中包含有文件的数据流。
[0030]本发明实施例中,该数据流具体可以包括但不限于:APT数据流,即会发生APT攻击的数据流。进一步的,该数据流的附件中包含的文件具体可以包括但不限于:WORD文件、EXCEL文件、PPT文件等。
[0031]步骤102,攻击检测装置将文件发送给沙箱,由沙箱确定该文件对应的文件类型,并利用该文件类型对应的应用程序打开该文件。
[0032]例如,攻击检测装置从数据流的附件中分离出WORD文件时,将WORD文件发送给沙箱。沙箱确定该WORD文件对应的文件类型为WORD类型,并利用该WORD类型对应的应用程序(即WORD软件)打开该WORD文件。又例如,攻击检测装置从数据流的附件中分离出EXCEL文件时,将EXCEL文件发送给沙箱。沙箱确定EXCEL文件对应的文件类型为EXCEL类型,并利用该EXCEL类型对应的应用程序(即EXCEL软件)打开该EXCEL文件。
[0033]其中,沙箱是指一种按照安全策略限制程序行为的执行环境。
[0034]在沙箱确定文件对应的文件类型,并利用文件类型对应的应用程序打开文件的过程中,可以由该沙箱对应的沙箱控制器确定该文件对应的文件类型,并由该沙箱控制器利用该文件类型对应的应用程序打开该文件。
[0035]本发明实施例中,沙箱具体包括但不限于:内置在攻击检测装置中的沙箱,或者,独立于攻击检测装置的沙箱。进一步的,当沙箱为独立于攻击检测装置的沙箱时,则还可以在网络中部署一个外置沙箱群,该外置沙箱群中包含多个沙箱。基于此,攻击检测装置在将文件发送给沙箱时,可以基于负载均衡算法将文件发送给沙箱,或者,基于各沙箱的负载情况将文件发送给沙箱。例如,攻击检测装置基于hash算法将文件发送给沙箱,或者,攻击检测装置获取各沙箱的负载情况,并将文件发送给负载最轻的沙箱。
[0036]步骤103,攻击检测装置监测沙箱内是否有网络连接行为;如果是,则攻击检测装置执行步骤104 ;如果否,则攻击检测装置执行步骤105。
[0037]步骤104,攻击检测装置确定数据流为攻击数据流。
[0038]步骤105,攻击检测装置确定数据流为合法数据流。
[0039]本发明实施例中,默认沙箱中是不发生任何网络连接行为的,因此,在沙箱打开来自攻击检测装置的文件之前,在沙箱内是不发生网络连接行为的。基于此,当沙箱打开来自攻击检测装置的文件之后,如果沙箱内有网络连接行为,则说明是基于文件产生的网络连接行为,因此,攻击检测装置可以确定该数据流为攻击数据流,