[发明专利]APT攻击分析方法、系统及服务器

说明书

本申请实施例公开了一种APT攻击分析方法、系统及服务器，用以解决现有技术中难以对域名解析日志与APT攻击事件进行关联分析的问题。所述方法包括：根据预设数据抽取条件，从日志采集存储服务器中抽取待分析的日志数据；对待分析的日志数据中的各项日志进行关键字段匹配，确定产生APT攻击事件的第一目标域名和由第一目标域名解析出的第一目标IP地址；根据第一目标域名和第一目标IP地址，创建拦截名单并发送至域名解析服务器，以使域名解析服务器根据拦截名单，确定是否响应客户端发起的域名解析请求。该技术方案实现了域名解析日志与APT攻击事件之间的关联分析，使得用于数据备份的日志数据起到了发现APT攻击的作用。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种APT攻击分析方法、系统及服务器。

背景技术

现有技术中，域名解析日志一般仅用于对DNS(DomainName System，域名系统)服务器解析的域名数据进行备份保存，并没有相应的机制对域名解析日志中的各日志数据与APT(AdvancedPersistentThreat，高级持续性威胁)事件的关联进行分析。

因此，在DNS服务器对用户的域名解析请求处理过程中，无法实现对用户请求解析的域名，以及该域名对应的IP(InternetProtocol，互联网协议)地址进行APT检查判断，无法得知用户访问的域名、IP是否安全，不能在用户第一时间访问危险站点时就发现威胁，导致用户对危险域名和IP进行访问，从而对用户设备造成安全威胁。

发明内容

本申请实施例的目的是提供一种APT攻击分析方法、系统及服务器，用以解决现有技术中难以对域名解析日志与APT攻击事件进行关联分析的问题。

为解决上述技术问题，本申请实施例是这样实现的：

一方面，本申请实施例提供一种APT攻击分析方法，应用于APT攻击分析服务器，包括：

根据预设数据抽取条件，从日志采集存储服务器中抽取待分析的日志数据；所述待分析的日志数据至少包括域名解析日志和APT攻击事件日志；

对所述待分析的日志数据中的各项日志进行关键字段匹配，确定产生APT攻击事件的第一目标域名和由所述第一目标域名解析出的第一目标互联网协议IP地址；

根据所述第一目标域名和所述第一目标IP地址，创建拦截名单并发送至域名解析服务器，以使所述域名解析服务器根据所述拦截名单，确定是否响应客户端发起的域名解析请求。

另一方面，本申请实施例提供一种数据采集方法，应用于日志采集存储服务器，包括：

接收各服务器发送的原始日志数据，所述原始日志数据包括域名解析服务器发送的域名解析日志、APT攻击事件服务器发送的APT攻击事件日志、以及客户端IP地址分配服务器发送的客户端IP地址分配日志；

解析所述原始日志数据，抽取与APT攻击分析相关的设定字段的数据，得到待分析的日志数据；

将所述待分析的日志数据写入指定数据库。

再一方面，本申请实施例提供一种APT攻击分析系统，包括域名解析服务器、日志采集存储服务器和APT攻击分析服务器；其中，

所述日志采集存储服务器，用于响应预设数据抽取条件，向所述APT攻击分析服务器提供待分析的日志数据；

所述APT攻击分析服务器，用于根据预设数据抽取条件，从日志采集存储服务器中抽取待分析的日志数据；所述待分析的日志数据至少包括域名解析日志和APT攻击事件日志；对所述待分析的日志数据中的各项日志进行关键字段匹配，确定产生APT攻击事件的第一目标域名和由所述第一目标域名解析出的第一目标互联网协议IP地址；根据所述第一目标域名和所述第一目标IP地址，创建拦截名单并发送至域名解析服务器；