[发明专利]面向高级持续性威胁的安全防御方法、装置与电子设备

说明书

本发明实施例提供一种面向高级持续性威胁的安全防御方法、装置与电子设备，其中所述方法包括：基于高级持续性威胁在攻击过程中攻防双方的特性，建立所述攻击过程中所述攻防双方的对抗模型；利用非对称信息博弈的收益模型，对所述攻防双方在所述攻击过程中获取信息的不对称性进行形式化描述；基于所述对抗模型和所述非对称信息博弈的收益模型，通过正向求解，预测所述高级持续性威胁针对每条可行攻击路径的通行概率；基于所述通行概率，获取针对所述高级持续性威胁的最优防御策略，以进行安全防御。本发明实施例能够更全面、准确而有效的对高级持续性威胁进行主动检测与防御，从而能更有效的保证用户的数据信息安全。

技术领域

本发明实施例涉及网络安全技术领域，更具体地，涉及一种面向高级持续性威胁(Advanced Persistent Threat，APT)的安全防御方法、装置与电子设备。

背景技术

目前，网络攻击与信息窃取威胁已严重影响到计算机网络和通信网络空间的数据信息安全。在现行的诸多安全威胁中，存在一类持续时间极长的新型攻击，称之为高级持续性威胁攻击APT。APT攻击具有目标性强、隐蔽性高、方式多维和不易被侦察等特点。

现有的网络安全技术一部分依然依赖防火墙、入侵检测和反病毒软件等手段，属于静态的、片面的被动防御。这些被动防御技术强调以攻击为中心，在检测到攻击后才有所响应。因此，当这些静态防御手段发现攻击时，被攻击系统可能已经出现严重的损失，数据信息安全得不到保障。

针对这一问题，又发展出了一种主动实时防护技术，其通过态势感知、风险评估、安全监测等手段，对当前网络安全态势进行判断，并依据判断结果实施网络防御的主动防护体系。但是，由于这些主动防护技术主要针对攻击事件本身进行检测和分析，在面对有组织、有目标、隐蔽性高的APT攻击时，往往会由于难以有效检测而失去防御性能，无法保证用户的数据信息安全。

发明内容

为了克服上述问题或者至少部分地解决上述问题，本发明实施例提供一种面向高级持续性威胁的安全防御方法、装置与电子设备，用以更全面、准确而有效的检测并防御高级持续性威胁，保证用户的数据信息安全。

第一方面，本发明实施例提供一种面向高级持续性威胁的安全防御方法，包括：

基于高级持续性威胁在攻击过程中攻防双方的特性，建立所述攻击过程中所述攻防双方的对抗模型；

利用非对称信息博弈的收益模型，对所述攻防双方在所述攻击过程中获取信息的不对称性进行形式化描述；

基于所述对抗模型和所述非对称信息博弈的收益模型，通过正向求解，预测所述高级持续性威胁针对每条可行攻击路径的通行概率；

基于所述通行概率，获取针对所述高级持续性威胁的最优防御策略，以进行安全防御。

第二方面，本发明实施例提供一种面向高级持续性威胁的安全防御装置，包括：

第一建模模块，用于基于高级持续性威胁在攻击过程中攻防双方的特性，建立所述攻击过程中所述攻防双方的对抗模型；

第二建模模块，用于利用非对称信息博弈的收益模型，对所述攻防双方在所述攻击过程中获取信息的不对称性进行形式化描述；

计算模块，用于基于所述对抗模型和所述非对称信息博弈的收益模型，通过正向求解，预测所述高级持续性威胁针对每条可行攻击路径的通行概率；

防御策略模块，用于基于所述通行概率，获取针对所述高级持续性威胁的最优防御策略，以进行安全防御。