[发明专利]APT攻击告警方法和APT攻击告警装置

说明书

本公开涉及APT攻击告警方法和APT攻击告警装置。APT攻击告警方法包括：获取多个业务行为的数据，其中数据包括各业务行为的属性信息；将多个业务行为中各业务行为的属性信息与预定正常业务行为属性信息进行对比，以确定各业务行为是正常业务行为或者异常业务行为；在多个业务行为中有至少一个异常业务行为的情况中，为各个异常业务行为建立异常业务行为数据链，异常业务行为数据链包括与该异常业务行为相关联的业务行为序列；将每个异常业务行为数据链分别与预定APT攻击判断规则进行匹配，针对匹配度高于阈值的异常业务行为数据链发出APT攻击告警。

技术领域

本公开涉及信息安全业务技术领域，尤其涉及一种APT攻击告警方法和APT攻击告警装置。

背景技术

高级持续性威胁(APT)攻击是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为。这种攻击行为往往经过精心经策划，针对特定对象、长期地、有计划性、有组织性地窃取数据，并且具备高度的隐蔽性，传统安全防御体系难以有效侦测。

传统地，针对APT攻击进行告警的方法主要有两种，一种是基于特征库的检测方法，另一种是基于动态分析模型的方法。前一种方法依赖于样本和特征库，虽然检测的准确率高，但面日益更新的攻击技术，对多样的攻击方式和变种，其检测的范围受到明显的限制，大量的APT攻击都无法通过这种方法检测出，仅能检测已知的APT攻击，无法对未知的APT攻击进行检测。而后一种动态检测方法，其过程相对较复杂，动态分析模型建立的难度较高。虽然可以使APT检测范围扩大，但是在海量数据里面寻找攻击行为无疑是大海捞针，因此这种方法检测的准确性较低。

发明内容

根据本公开实施例的第一方面，提供一种APT攻击告警方法，该方法包括：获取多个业务行为的数据，其中数据包括各业务行为的属性信息；将多个业务行为中各业务行为的属性信息与预定正常业务行为属性信息进行对比，以确定各业务行为是正常业务行为或者异常业务行为；在多个业务行为中有至少一个异常业务行为的情况中，为各个异常业务行为建立异常业务行为数据链，异常业务行为数据链包括与该异常业务行为相关联的业务行为序列；将每个异常业务行为数据链分别与预定APT攻击判断规则进行匹配，针对匹配度高于阈值的异常业务行为数据链发出APT攻击告警。

根据本公开实施例的第二方面，提供一种APT攻击告警装置，该装置包括：获取单元，用于获取多个业务行为的数据，其中数据包括各业务行为的属性信息；确定单元，用于将多个业务行为中各业务行为的属性信息与预定正常业务行为属性信息进行对比，以确定各业务行为是正常业务行为或者异常业务行为；建立单元，用于在多个业务行为中有至少一个异常业务行为的情况中为各个异常业务行为建立异常业务行为数据链，异常业务行为数据链包括与该异常业务行为相关联的业务行为序列；以及判断单元，将每个异常业务行为数据链分别与预定APT攻击判断规则进行匹配，针对匹配度高于阈值的异常业务行为数据链发出APT攻击告警。

根据本公开实施例的第三方面，提供一种APT攻击告警装置，该装置包括：处理器；用于存储处理器可执行指令的存储器；其中，处理器被配置为获取多个业务行为的数据，其中数据包括各业务行为的属性信息；将多个业务行为中各业务行为的属性信息与预定正常业务行为属性信息进行对比，以确定各业务行为是正常业务行为或者异常业务行为；在多个业务行为中有至少一个异常业务行为的情况中，为各个异常业务行为建立异常业务行为数据链，异常业务行为数据链包括与该异常业务行为相关联的业务行为序列；将每个异常业务行为数据链分别与预定APT攻击判断规则进行匹配，针对匹配度高于阈值的异常业务行为数据链发出APT攻击告警。

根据本公开的APT攻击告警方法和装置，在对APT攻击进行告警的过程中，可以覆盖所有基于业务的行为，有较广的检测范围。此外，对APT攻击的判断是针对异常业务行为数据链而非单个异常业务行为，可以保证较高的准确率。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。在附图中：