[发明专利]APT攻击分析方法、系统及服务器

权利要求书

1.一种APT攻击分析方法，其特征在于，应用于APT攻击分析服务器，包括：

根据预设数据抽取条件，从日志采集存储服务器中抽取待分析的日志数据；所述待分析的日志数据至少包括域名解析日志和APT攻击事件日志；

对所述待分析的日志数据中的各项日志进行关键字段匹配，确定产生APT攻击事件的第一目标域名和由所述第一目标域名解析出的第一目标IP地址；

根据所述第一目标域名和所述第一目标IP地址，创建拦截名单并发送至域名解析服务器，以使所述域名解析服务器根据所述拦截名单，确定是否响应客户端发起的域名解析请求；

其中，所述域名解析日志中每条日志包括如下与APT攻击分析相关的设定字段：访问时间、访问的第一域名、由所述第一域名解析出的第一IP地址、以及访问所述第一域名的客户端的第二IP地址；

所述APT攻击事件日志中每条日志包括如下与APT攻击分析相关的设定字段：产生APT攻击事件的第二域名、由所述第二域名解析出的第三IP地址、以及与所述第二域名及所述第三IP地址相对应的APT攻击事件信息；所述APT攻击事件日志中还包括有效期限字段，该字段用于描述一条APT攻击事件日志数据的有效期；

所述对所述待分析的日志数据中的各项日志进行关键字段匹配，确定产生APT攻击事件的第一目标域名和由所述第一目标域名解析出的第一目标IP地址，包括：

将所述域名解析日志与所述APT攻击事件日志进行第一关键字段匹配；所述第一关键字段包括域名字段和由所述域名解析出的IP地址字段，所述第一关键字段匹配是指将所述域名解析日志中的所述第一域名字段与所述APT攻击事件日志中的所述第二域名字段进行匹配，将所述域名解析日志中的所述第一IP地址字段与所述APT攻击事件日志中的所述第三IP地址字段进行匹配；

针对所述域名解析日志中的任一条日志，若所述APT攻击事件日志的某条日志的第二域名与该条日志的第一域名相同、且所述APT攻击事件日志的同一条日志的第三IP地址与该条日志的第一IP地址相同，则进一步判断所述APT攻击事件日志的同一条日志的有效期限；若当前匹配时间处于所述APT攻击事件日志的同一条日志的有效期限内，则确定该条日志的第一域名为产生APT攻击事件的第一目标域名、以及确定该条日志的第一IP地址为产生APT攻击事件的第一目标IP地址；若当前匹配时间处于所述APT攻击事件日志的同一条日志的有效期限之外，则确定匹配失败，所述APT攻击事件日志中没有与该条日志的第一域名和第一IP地址相同的第二域名和第三IP地址。

2.根据权利要求1所述的方法，其特征在于，所述待分析的日志数据还包括客户端IP地址分配日志；所述客户端IP地址分配日志中每条日志包括如下与APT攻击分析相关的设定字段：分配时间、客户端的第四IP地址、以及客户端对应的用户标识信息。

3.根据权利要求2所述的方法，其特征在于，所述确定产生APT攻击事件的第一目标域名和由所述第一目标域名解析出的第一目标IP地址之后，所述方法还包括：

根据所述第一目标域名，从所述域名解析日志中确定访问所述第一目标域名的客户端的第二IP地址和访问时间，作为第二目标IP地址和目标访问时间；

将所述域名解析日志与所述客户端IP地址分配日志进行第二关键字段匹配；所述第二关键字段包括客户端的IP地址字段和时间字段；所述第二关键字段匹配是指将所述域名解析日志中的访问时间字段与所述客户端IP地址分配日志中的分配时间字段进行匹配，将所述域名解析日志中的访问所述第一域名的客户端的第二IP地址字段与所述客户端IP地址分配日志中的所述客户端的第四IP地址字段进行匹配；

从所述客户端IP地址分配日志中确定与所述第二目标IP地址相同的客户端的第四IP地址作为第四目标IP地址、以及与所述目标访问时间之间满足预设关系的分配时间作为目标分配时间；

从所述客户端IP地址分配日志中确定与所述第四目标IP地址和所述目标分配时间对应的用户标识信息作为目标用户标识信息。