[发明专利]一种基于规则的APT攻击行为的检测方法有效
| 申请号: | 201510854610.2 | 申请日: | 2015-11-27 |
| 公开(公告)号: | CN105376245B | 公开(公告)日: | 2018-10-30 |
| 发明(设计)人: | 李凯;范渊;程华才;史光庭 | 申请(专利权)人: | 杭州安恒信息技术有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 杭州中成专利事务所有限公司 33212 | 代理人: | 周世骏 |
| 地址: | 310051 浙江省杭*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 规则 apt 攻击行为 检测 方法 | ||
1.一种基于规则的APT攻击行为的检测方法,用于对APT行为进行分析与检测,其特征在于,所述基于规则的APT攻击行为的检测方法包括下述步骤:
步骤一:定义创建APT攻击场景规则使用的语法:
(1)整理与攻击行为相关的属性,用于定义规则;常见的与攻击行为相关的属性包括基准告警类型、追溯时间范围、关联告警类型和告警相关的IP位置信息;
(2)整理规则自身使用的信息,包括规则ID、规则名称、规则描述和新规则开始标识;
(3)将(1)和(2)整理的信息作为可配置项,约定配置项名称,且规定每一个配置项的配置方法、可取值范围;
步骤二:创建APT攻击场景规则,构建APT攻击场景知识库:
(4)依据已经发生的APT攻击事件以及攻击者常用的攻击手段,进行归纳与总结,定义APT攻击场景规则,且定义的APT攻击场景规则包括基于WEB的APT攻击、基于邮件社工的APT攻击和文件传输与访问的APT攻击;
(5)将(4)中定义的APT攻击场景规则用步骤一约定的语法表示出来,保存到配置文件,用于后续规则解析模块读取、解析、加载;
步骤三:分析模块调用规则解析模块,解析、加载APT攻击场景规则;
步骤四:采集模块对应用层协议全流量采集,获得流量数据;
步骤五:数据筛选:
检测模块对步骤四采集的流量数据进行全面检测,对于和攻击无关的数据设置成短时间存储,过期后进行删除操作;对于和攻击相关的风险数据进行保留并在平台中进行长期存储;
步骤六:分析重要告警:
分析模块循环对已经产生的告警数据和可疑数据做进一步深入分析,依次对每一条告警信息、对每一个APT攻击场景规则进行检测判断,判断是否为当前APT攻击场景规则的基准告警或者关联告警,若属于基准告警,则初始化一条记录,保存到基准告警信息表,保存的信息包括IP值、APT场景规则ID、告警类型和当前告警ID,进入步骤七;若属于当前APT攻击场景规则的关联告警类型,进入步骤八;
步骤七:识别行为:识别告警之间的攻击层语义关系,根据基准告警建立完整攻击场景;
分析模块根据APT攻击场景规则,当基准告警产生时,触发场景分析,追溯历史数据,将与基准告警相关的各类攻击告警、可疑数据进行关联,若发现有关联数据,则将关联告警的主要信息保存到关联告警信息表,保存的主要信息包括关联告警ID、告警类型、基准告警信息表记录ID和关联IP值,同时更新基准告警信息表已经分析的最近告警时间,并且根据APT攻击场景规则判断,截至到当前的关联结果是否已经构成APT攻击行为;若是,则针对该IP与当前规则的分析已经结束,更新基准告警信息表,设置状态为完成,表示已经构成APT攻击行为;若不是,则判断是否超过历史追溯范围,若超过历史追溯范围,则设置状态为构成APT场景失败;
步骤八:根据IP值和告警类型查询基准告警信息表,若可以查询到记录,则给关联告警信息表添加一条记录,保存的主要信息包括关联告警ID、告警类型、基准告警信息表记录ID和关联IP值,同时更新基准告警信息表已经分析的最近告警时间,并且根据规则判断,当前的关联结果是否已经构成APT攻击场景;若是,则针对该IP值与当前规则的分析已经结束,更新基准告警信息表,设置状态为完成,表示已经构成APT攻击行为;若不是,则判断是否超过历史追溯范围,若超过历史追溯范围,则设置状态为构成APT场景失败;
步骤九:构建APT攻击行为失败的处理:
对于因超过追溯时间范围没有构成APT攻击行为的关联告警数据,通过分析人员进行定位可疑行为。
2.根据权利要求1所述的一种基于规则的APT攻击行为的检测方法,其特征在于,所述步骤九中,需要分析人员对多次构建失败的事件进行归纳、总结,调整已有的规则或者创建新的规则,避免因不准确的APT攻击场景规则导致构建失败;若规则配置信息有变动,进入步骤二。
3.根据权利要求1所述的一种基于规则的APT攻击行为的检测方法,其特征在于,所述对已经构建完成的APT攻击行为,也需要人工分析的参与,分析已经识别出来的APT攻击行为是否准确,对于识别正确的攻击行为,进一步采取干预措施,防御、阻断攻击行为,避免重要信息泄露,减少受攻击范围,对于识别错误的攻击行为,结合实际风险发生情况,删除以前的规则,重新创建新的规则;若规则配置信息有变动,进入步骤二。
4.基于权利要求1所述检测方法的APT行为检测系统,其特征在于,包括采集模块、检测模块、分析模块和规则解析模块;
所述采集模块用于网络流量采集,能直接从网卡上采集数据,也能直接接收其他系统发送过来的流量数据的程序;
所述检测模块由检测子模块组成,检测子模块包括恶意代码检测子模块、Web shell检测子模块、发件人欺骗检测子模块、邮件头欺骗检测子模块、邮件钓鱼检测子模块、邮件恶意链接检测子模块、邮件附件恶意代码检测子模块、Web特征检测子模块、异常访问检测子模块、C&C IP/URL检测子模块、恶意木马回连检测子模块、传送非法数据检测子模块和Web行为分析子模块;其中,恶意代码检测子模块包括分别用于病毒检测、静态检测和动态检测的子模块;
所述分析模块用于实现APT行为检测功能,包括从已经产生的告警数据中识别基准告警数据和关联告警数据,尝试构建APT攻击场景;
所述规则解析模块用于读取APT攻击场景规则的配置文件,并对其中的每一个规则进行解析,对于解析正确的规则加载到内存里,供分析模块使用,对于解析出现错误的规则,视为无效规则。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州安恒信息技术有限公司,未经杭州安恒信息技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201510854610.2/1.html,转载请声明来源钻瓜专利网。
