[发明专利]记录APT攻击操作的方法及装置

说明书

本申请提供一种记录APT攻击操作的方法及装置，涉及通信安全领域，能够全面、有效地对APT攻击操作进行记录，提升用户数据的安全性。该方法包括：当进程启动时，获取与进程相关的APT轨迹数据，APT轨迹数据包括与APT攻击相关的用户态数据和内核态数据；记录APT轨迹数据。

技术领域

本申请涉及通信安全领域，尤其涉及一种记录APT攻击操作的方法及装置。

背景技术

高级持续性威胁(Advanced Persistent Threat，APT)是指利用某些技术手段对特定目标进行长期持续性网络攻击。相对于其他攻击形式，APT攻击的潜伏时间更长，窃取的数据量更大，导致用户数据的安全性较低。

在通常的攻击者入侵情况下，用户可以通过安装杀毒软件拦截攻击者的非法入侵，但是，在APT攻击的一种场景中，攻击者通过收集特定终端的部分数据，获取特定终端的登录凭证或者登录密码，然后通过合法软件和获取的登录凭证窃取攻击者所需的数据，在这种场景中，杀毒软件无法有效记录合法软件的操作，也就无法回溯追踪特定终端遭受攻击的根源，也就无法针对攻击进行相应的防御措施，导致数据安全性较低。

发明内容

本申请提供一种记录APT攻击操作的方法及装置，能够全面的记录APT攻击操作相关的数据，提升数据的安全性。

为达到上述目的，本申请采用如下技术方案：

第一方面，本申请提供一种记录APT攻击操作的方法，所述方法包括：

当进程启动时，获取与所述进程相关的APT轨迹数据，所述APT轨迹数据包括与所述APT攻击相关的用户态数据和内核态数据；记录所述APT轨迹数据。

第二方面，本申请提供一种存储电信号码的装置，该装置包括：获取模块和记录模块。其中，获取模块，用于当进程启动时，获取与所述进程相关的APT轨迹数据，所述APT轨迹数据包括与所述APT攻击相关的用户态数据和内核态数据；记录模块，用于记录所述APT轨迹数据。

第三方面，本申请提供一种存储电信号码的装置，该装置包括：处理器、收发器和存储器。其中，存储器用于存储一个或多个程序。该一个或多个程序包括计算机执行指令，当装置运行时，处理器执行该存储器存储的该计算机执行指令，以使装置执行第一方面及其各种可选的实现方式中任意之一所述的存储电信号码方法。

第四方面，本申请提供一种计算机可读存储介质，计算机可读存储介质中存储有指令，当装置执行该指令时，该装置执行上述第一方面及其各种可选的实现方式中任意之一所述的存储电信号码方法。

与现有技术中，在攻击者对终端开展入侵的场景中，杀毒软件无法有效记录APT攻击的操作相比，本申请提供的记录APT攻击操作的方法及装置，当进程启动时，以该进程为维度，获取与该进程相关且与APT攻击操作相关的内核态和用户态数据，并且记录上述内核态数据和用户态数据。可见，当攻击者调用终端中的进程来对终端进行APT攻击，并对终端进行非法操作时，在本申请中，既能够对用户态的非法操作进行记录，又能够对内核态的非法操作进行记录，即能够更加全面的记录攻击者的攻击操作轨迹，从而在后续流程中，可以根据APT攻击操作轨迹确定攻击源头，并对APT攻击采取相应的防御措施，提升数据的安全性。

附图说明

图1为本申请实施例提供的通信系统结构示意图；

图2为本申请实施例提供的通信系统的组成示意图；

图3为本申请实施例提供的记录APT攻击操作方法的流程示意图；

图4为本申请实施例提供的事件树的示意图；

图5为本申请实施例提供的记录APT攻击操作装置的结构示意图；

图6为本申请实施例提供的记录APT攻击操作装置的结构示意图。

具体实施方式