基于入侵途径的APT威胁检测方法和系统技术方案

本发明专利技术涉及基于入侵途径的APT威胁检测方法和系统，基于入侵途径的APT威胁检测方法，其包括：S1：对入侵途径领域进行知识库建模；S2：采集行为数据，包括采集主机行为数据与采集网络行为数据；S3：对采集行为数据的结果进行关联分析；S4：证据的保全，还原出攻击风险行为证据保全；S5：呈现所述证据。基于入侵途径的APT威胁检测系统由证据呈现模块、行为证据关联分析模块、知识库模块、证据保全模块和证据收集模块组成。本发明专利技术的有益效果是：从源头上截断APT攻击发起者的入侵，实现针对入侵途径防患于未然，低成本、高效率的建设，采集过程隐蔽，完全透明，网络无负担，证据呈现易于使用，操作简单。

Method and system for detecting APT threat based on intrusion path

The invention relates to a APT threat detection method and system based on the APT pathway of invasion, threat detection method, based on the invasion pathways including: S1: knowledge base modeling for intrusion way field; S2: collecting behavioral data, including data acquisition and acquisition host network behavior data; S3: the collected data and the results are related to behavior analysis; S4: the evidence preservation, the reduction of risk of attack behavior preservation of evidence; S5: presenting the evidence. APT threat detection system based on intrusion path consists of evidence presentation module, behavior evidence correlation analysis module, knowledge base module, evidence preservation module and evidence collection module. The beneficial effect of the invention is: from the intrusion source truncated APT attack initiator, for the invasion way nip in the bud, the construction of low cost and high efficiency, the acquisition process is hidden, completely transparent, network evidence shows no burden, easy to use, simple operation.

【技术实现步骤摘要】
基于入侵途径的APT威胁检测方法和系统
本专利技术涉及APT威胁检测
，具体涉及一种基于入侵途径的APT威胁检测方法和系统。
技术介绍
金融、政府是APT攻击的主要目标行业，分别高达84%和77%。接下来是电信达到66%，军队达到64%，工业企业54%，其他占到14%。电子邮件和社交网站成为黑客发动APT攻击最主要的途径，电子邮件被利用高达68%，社交网站被利用高达65%。电子邮件和社交网站甚至超越了病毒、恶意链接、钓鱼网站等传统的黑客攻击途径。我们通过这一趋势可以看到近几年来随着社交网络的流行，企业传统的安全防护手段已无法有效对社交网络进行管控，而电子邮件一直以来就是企业安全防护的重灾区。除了缺乏有效的安全管控策略，员工的安全意识在这方面就显得尤为重要了。电子邮件和社交网站的运营均属于员工个人，攻击者也正是在这一点上看到了机会，对于企业中安全意识单薄的员工个人的电子邮件、社交网站进行渗透作为入手，一步步入侵企业的服务器和网络。APT攻击之所以让受攻击者难以防护，其主要原因是它独特的攻击方式和手段难以检测到。APT攻击作为信息安全的一大隐忧，这类威胁的防范必须融入到一个更大的监测及预防策略中，并整合现有的网络防御。因此，用户会更加关注如何加强防范APT攻击与进阶威胁、避免攻击破坏网络及泄露敏感信息，更能完全的发挥用户已投资的安全防护产品和技术。通过调研国内外目前主流的防范APT攻击技术手段，有77%的用户认为异常检测方案最为有效。另外，沙箱方案有69%的用户选择，全流量审计方案有66%的用户选择，基于未知恶意代码检测有55%的用户选择。
技术实现思路
本专利技术的目的在于克服现有技术的不足，提供一种基于入侵途径的APT威胁检测方法和系统，实现从源头上截断APT攻击发起者的入侵，达到低成本、高效率的建设目标。本专利技术的目的是通过以下技术方案来实现的：一种基于入侵途径的APT威胁检测方法，其过程为：S1：对入侵途径领域进行知识库建模；S2：采集行为数据，包括采集主机行为数据与采集网络行为数据，所述的采集主机行为数据包括采集进/线程信息记录、端口信息记录、磁盘数据的操作记录、系统注册表信息变更记录、终端系统基础信息更记录、外设设备连接及数据传输记录和第三方应用程序信息记录，所述的采集网络行为数据，首先将对网络行为进行分类标记，然后进行网络行为数据还原，并记录、跟踪网络系统的运维服务信息及外部连接信息，最后将数据保存在本地；S3：对采集行为数据的结果进行关联分析，首先重构攻击过程，将分别来源于主机和网络的行为数据以设定的逻辑条件进行关联分析；S4：证据的保全，还原出攻击风险行为证据保全，形成针对事故的完整证据；S5：呈现所述证据。APT入侵途径为邮件及社交网站。知识库建模采用多维异构数据源集成与整合模型，实现对各种异构的数据源进行综合、集成，可以动态调用恰当的数据挖掘算法，提高分析的效率，其主要设计思想是：a.使用统一的知识表达方法：互联网的数据的形式包括结构化的数据、半结构化的数据和非结构化的数据。结构化的只占到10%,其余90%都是半结构化和非结构化的数据，以XML作为数据的基本存储形式,包括数据格式、知识模型和语义元数据的表达，在一个协同的平台上，可以跨Internet和Intranet集成多个异构数据源；b.协议转换：对系统自身收集设备采集的数据进行实时转换，并根据协议类别库，识别数据的协议类型，然后保存到数据库。对由其他监控设备（如入侵检测、防火墙、内容审计等）收集到的数据，以实时或非实时的方式实现数据的转换和汇聚；c.动态加载算法：每一规则都可以动态地与多个特定分析对象相关联，动态加载算法根据规则的数据提取时间定期从数据源获取数据，将数据存入案件数据库中。而对于已经存在的数据则不做任何提取。知识库包括：用户信息备案表、邮件特征库、社交平台特征库、内网网络数据流特征库、用户行为特征库。网络行为采集采用以CIP和SIP为依据的数据分流技术，支持快速进行大数据的截取、分流与还原；在关键词匹配技术中采用改进的AC-BM算法，提高搜索效率；采用高效的负载均衡算法，实现大型网络中心的负载均衡；采用节点探测方式进行不同主机之间的数据交换与通信，提高了系统的整体吞吐率。改进的AC-BM算法为BMH2算法，设字符集合为∑，以pattern=“stringsearch”为例，∑中的字符在pattern中出现一次的字符集合A1={`t',`i',`n',`g',`0'`e',`a',`c',`h'}，出现两次或两次以上的字符集合A2={`s',`r'}，出现0次的字符集合A0=∑-A1-A2。若以text[k]进行启发，BMH算法实际上是将pattern中最后一次出现的text[k]与文本中的text[k]对齐后重新匹配。因此当text[k]∈A0时，扫描文本的指针可以向前移动最大距离m(模式长度)。本文的基本出发点是让文本指针能够以更高的概率向前移动最大距离m。假设能够将pattern中倒数第二次出现的text[k]与文本中的text[k]对齐后开始新的一轮匹配，则当text[k]∈(A0∪A1)时，文本指针都可以向前移动最大距离m，而当text[k]∈A2时，文本指针的移动距离也可以得到提高。比如模式串中`s'的间距和`r'的间距分别为7和8，相应地，文本指针的移动距离将分别增加7和8。为此，增加一个newSkip数组，如果字符ch在模式串pattern中出现的次数为0或1，则newSkip[ch]=m；如果字符ch在pattern中出现的大于等于2，记f表示ch在pattern中倒数第二次出现的位置(下标从0开始)，则newSkip[ch]=m-f-1。另外，定义preChar数组，如果字符ch在模式串pattern中最后出现在pattern[e]，则preChar[ch]=pattern[e-1]；如果字符ch没有在pattern中出现过，则preChar[ch]=-1。当pattern[0]在模式串中仅出现一次时，由于pattern[0]前面没有字符，因此将newSkip[pattern[0]]单独赋值为m-1。newSkip数组和preChar数组的长度与skip数组相同，均为字符集中元素的个数。若为ASCII码，则长度为256。当匹配开始比较text[k-m+1…k]和pattern[0…m-1]时，从右至左依次检查text[k]…text[k-m+1]。如果发现不匹配，则比较text[k-1]和preChar[text[k]]。当text[k-1]!=preChar[text[k]]时，将文本指针重新赋值为k+newSkip[text[k]]；否则将文本指针重新赋值为k+skip[text[k]]。事实上，当text[k]没有出现在模式串中时，preChar[text[k]]可以初始化为任何值。因为此时skip[text[k]]和newSkip[text[k]]的值均为m，无论text[k-1]和preChar[text[k]]的值是否相等，文本指针都将重新赋值为k+m。BMH2算法通过提高模式串的平均移动距离，获得了更高的匹配效率。当模式串中没有相同字符或者相同字符的间距较大时，BMH2算法可以本文档来自技高网...

【技术保护点】
一种基于入侵途径的APT威胁检测方法，其特征在于，包括：S1：对入侵途径领域进行知识库建模；S2：采集行为数据，包括采集主机行为数据与采集网络行为数据，所述的采集主机行为数据包括采集进/线程信息记录、端口信息记录、磁盘数据的操作记录、系统注册表信息变更记录、终端系统基础信息更记录、外设设备连接及数据传输记录和第三方应用程序信息记录，所述的采集网络行为数据，首先将对网络行为进行分类标记，然后进行网络行为数据还原，并记录、跟踪网络系统的运维服务信息及外部连接信息，最后将数据保存在本地；S3：对采集行为数据的结果进行关联分析，首先重构攻击过程，将分别来源于主机和网络的行为数据以设定的逻辑条件进行关联分析；S4：证据的保全，还原出攻击风险行为证据保全，形成针对事故的完整证据；S5：呈现所述证据。

【技术特征摘要】
1.一种基于入侵途径的APT威胁检测方法，其特征在于，包括：S1：对入侵途径领域进行知识库建模；S2：采集行为数据，包括采集主机行为数据与采集网络行为数据，所述的采集主机行为数据包括采集进/线程信息记录、端口信息记录、磁盘数据的操作记录、系统注册表信息变更记录、终端系统基础信息更记录、外设设备连接及数据传输记录和第三方应用程序信息记录，所述的采集网络行为数据，首先将对网络行为进行分类标记，然后进行网络行为数据还原，并记录、跟踪网络系统的运维服务信息及外部连接信息，最后将数据保存在本地；S3：对采集行为数据的结果进行关联分析，首先重构攻击过程，将分别来源于主机和网络的行为数据以设定的逻辑条件进行关联分析；S4：证据的保全，还原出攻击风险行为证据保全，形成针对事故的完整证据；S5：呈现所述证据。2.根据权利要求1所述的基于入侵途径的APT威胁检测方法，其特征在于，所述的入侵途径包括邮件及社交网站。3.根据权利要求1所述的基于入侵途径的APT威胁检测方法，其特征在于，所述的知识库建模采用多维异构数据源集成与整合进行建模。4.根据权利要求1所述的基于入侵途径的APT威胁检测方法，其特征在于，所述的网络行为采集，采用以CIP和SIP为依据进行数据分流，在关键词匹配中采用AC-BM算法，并采用节点探测方式实现不同主机之间的数据交换与通信。5.根据权利要求1所述的基于入侵途径的APT威胁检测方法，其特征在于，所述的采集网络行为数据，采集的对象包括邮件数据、社交平台应用数据、内网传输层数据流、数据库协议数据和远程控制协议数据。6.根据权利要求1所述的基于入侵途径的APT威胁检测方法，其特征在于，在步骤S4中，采用图表和列表进行查询，图表查询采用钻取方式，从总体到细节，层层深入列表查询，使用所有的行为日志以及人工研判日志进行多条件地组合查询。7.根据权利要求1所述的基于入侵途径的APT威胁检测方法，其特征在于，所述的关联分析采用的模型是基于案件的数据管理和知识发现模型CDMKDM。8.根据权利要求1所述的基于入侵途径的APT威胁检测方法，其特...

【专利技术属性】
技术研发人员：彭光辉，屈立笳，陶磊，苏礼刚，林伟，黄丽洪，
申请(专利权)人：成都国腾实业集团有限公司，
类型：发明
国别省市：四川,51