[发明专利]基于图算法的APT检测关联分析方法

说明书

本发明提供的基于图算法的APT检测关联分析方法，采集终端用户行为数据和检测系统产生的内核级数据，以获得原始审计日志数据；将所述原始审计日志数据存入具有图算法的数据库中；根据ATTCK知识库模型对所述原始审计日志数据进行TTP规则匹配，获得报警事件；利用路径关联度评估报警事件之间依赖关系的强度，构建APT攻击场景图，将所述原始审计日志数据提升至APT攻击步骤。该方法通过对攻击者在攻击阶段可疑信息流之间的相关性进行分析，以高精确度和低误报率检测APT活动，能实时有效的对正在进行的攻击活动进行总结回溯，帮助进行实时网络响应活动，实现攻击场景可视化。

技术领域

本发明属于信息安全技术领域，具体涉及基于图算法的APT检测关联分析方法。

背景技术

高级持续性威胁(Advanced Persistent Threat，APT)是一种利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为高级和先进，其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行准确的收集。在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络，并利用0day漏洞进行攻击。

APT攻击主要针对政府、能源、金融等重要行业与部门实施，其先进的攻击模式、高级的攻击技术、持续的攻击周期与明确的攻击目标，使得攻击能够实现精准打击，造成难以估量的破坏和损失。因此，针对APT攻击进行安全态势和威胁影响的合理评估，为网络管理员或安全主管部门提供辅助决策信息迫在眉睫。

但现有技术在这种检测APT攻击的能力上仍具有很大的挑战性：

一是传统的防火墙、入侵检测、安全网关、杀毒软件和反垃圾邮件系统等检测技术主要是在网络边界和主机边界进行检测，它们均缺乏对APT攻击，尤其是0day攻击的检测能力和关联分析能力。

二是现有的基于规则的APT威胁检测引擎针对大量的报警事件无法进行有效关联，或只能利用时间戳等一些现成的指标进行简单关联，缺乏对警报和实际入侵之间复杂关系的理解，更无法将长时间内发生在不同主机上的攻击事件关联为整体威胁事件。另一方面，相对较弱的关联分析能力也会造成检测的误报率较高。

发明内容

针对现有技术中的缺陷，本发明提供基于图算法的APT检测关联分析方法，提高了APT攻击检测的精确度，降低了APT攻击检测的误报率。

一种基于图算法的APT检测关联分析方法，包括以下方法：

采集终端用户行为数据和检测系统产生的内核级数据，以获得原始审计日志数据；

将所述原始审计日志数据存入具有图算法的数据库中；

根据ATTCK知识库模型对所述原始审计日志数据进行TTP规则匹配，获得报警事件；

利用路径关联度评估报警事件之间依赖关系的强度，构建APT攻击场景图，将所述原始审计日志数据提升至APT攻击步骤。

优选地，所述检测系统产生的内核级数据包括进程在文件或网络维度下的实时操作信息；所述具有图算法的数据库包括图数据库，其中该数据库中的结点代表实体，包括进程、文件和网络；该数据库中关系代表实体之间的关系。

优选地，所述路径关联度的计算方法包括：

在多个报警事件之间选取包含关键结点的路径；

分别获取该路径上每个结点的祖先结点；

统计该路径上不同祖先结点的个数，定义该个数为该路径的路径关联度。

优选地，该方法在所述根据ATTCK知识库模型对所述原始审计日志数据进行TTP规则匹配之后，还包括：

根据正常运行的原始审计日志数据对TTP规则进行过滤。