[发明专利]一种基于规则的APT攻击行为的检测方法

摘要

本发明涉及APT检测领域，旨在提供一种基于规则的APT攻击行为的检测方法。该种基于规则的APT攻击行为的检测方法包括步骤：定义创建APT攻击场景规则使用的语法；创建APT攻击场景规则，构建APT攻击场景知识库；分析模块调用规则解析模块，解析、加载APT攻击场景规则；采集模块对应用层协议全流量采集，获得流量数据；进行数据筛选；分析重要告警；识别行为；构建APT攻击行为失败的处理。对于APT这样的攻击行为，在整个攻击过程中总会存在若干个攻击暴露点，本发明以此为基础对相关的流量进行回溯关联，改变传统基于单个时间点进行特征匹配的局面，对长时间窗的数据进行关联分析，实现对攻击者完整攻击意图的识别。

主权项

1.一种基于规则的APT攻击行为的检测方法，用于对APT行为进行分析与检测，其特征在于，所述基于规则的APT攻击行为的检测方法包括下述步骤：步骤一：定义创建APT攻击场景规则使用的语法：(1)整理与攻击行为相关的属性，用于定义规则；常见的与攻击行为相关的属性包括基准告警类型、追溯时间范围、关联告警类型和告警相关的IP位置信息；(2)整理规则自身使用的信息，包括规则ID、规则名称、规则描述和新规则开始标识；(3)将(1)和(2)整理的信息作为可配置项，约定配置项名称，且规定每一个配置项的配置方法、可取值范围；步骤二：创建APT攻击场景规则，构建APT攻击场景知识库：(4)依据已经发生的APT攻击事件以及攻击者常用的攻击手段，进行归纳与总结，定义APT攻击场景规则，且定义的APT攻击场景规则包括基于WEB的APT攻击、基于邮件社工的APT攻击和文件传输与访问的APT攻击；(5)将(4)中定义的APT攻击场景规则用步骤一约定的语法表示出来，保存到配置文件，用于后续规则解析模块读取、解析、加载；步骤三：分析模块调用规则解析模块，解析、加载APT攻击场景规则；步骤四：采集模块对应用层协议全流量采集，获得流量数据；步骤五：数据筛选：检测模块对步骤四采集的流量数据进行全面检测，对于和攻击无关的数据设置成短时间存储，过期后进行删除操作；对于和攻击相关的风险数据进行保留并在平台中进行长期存储；步骤六：分析重要告警：分析模块循环对已经产生的告警数据和可疑数据做进一步深入分析，依次对每一条告警信息、对每一个APT攻击场景规则进行检测判断，判断是否为当前APT攻击场景规则的基准告警或者关联告警，若属于基准告警，则初始化一条记录，保存到基准告警信息表，保存的信息包括IP值、APT场景规则ID、告警类型和当前告警ID，进入步骤七；若属于当前APT攻击场景规则的关联告警类型，进入步骤八；步骤七：识别行为：识别告警之间的攻击层语义关系，根据基准告警建立完整攻击场景；分析模块根据APT攻击场景规则，当基准告警产生时，触发场景分析，追溯历史数据，将与基准告警相关的各类攻击告警、可疑数据进行关联，若发现有关联数据，则将关联告警的主要信息保存到关联告警信息表，保存的主要信息包括关联告警ID、告警类型、基准告警信息表记录ID和关联IP值，同时更新基准告警信息表已经分析的最近告警时间，并且根据APT攻击场景规则判断，截至到当前的关联结果是否已经构成APT攻击行为；若是，则针对该IP与当前规则的分析已经结束，更新基准告警信息表，设置状态为完成，表示已经构成APT攻击行为；若不是，则判断是否超过历史追溯范围，若超过历史追溯范围，则设置状态为构成APT场景失败；步骤八：根据IP值和告警类型查询基准告警信息表，若可以查询到记录，则给关联告警信息表添加一条记录，保存的主要信息包括关联告警ID、告警类型、基准告警信息表记录ID和关联IP值，同时更新基准告警信息表已经分析的最近告警时间，并且根据规则判断，当前的关联结果是否已经构成APT攻击场景；若是，则针对该IP值与当前规则的分析已经结束，更新基准告警信息表，设置状态为完成，表示已经构成APT攻击行为；若不是，则判断是否超过历史追溯范围，若超过历史追溯范围，则设置状态为构成APT场景失败；步骤九：构建APT攻击行为失败的处理：对于因超过追溯时间范围没有构成APT攻击行为的关联告警数据，通过分析人员进行定位可疑行为。