本发明专利技术提供的基于图算法的APT检测关联分析方法,采集终端用户行为数据和检测系统产生的内核级数据,以获得原始审计日志数据;将所述原始审计日志数据存入具有图算法的数据库中;根据ATT&CK知识库模型对所述原始审计日志数据进行TTP规则匹配,获得报警事件;利用路径关联度评估报警事件之间依赖关系的强度,构建APT攻击场景图,将所述原始审计日志数据提升至APT攻击步骤。该方法通过对攻击者在攻击阶段可疑信息流之间的相关性进行分析,以高精确度和低误报率检测APT活动,能实时有效的对正在进行的攻击活动进行总结回溯,帮助进行实时网络响应活动,实现攻击场景可视化。
Apt detection association analysis method based on graph algorithm
【技术实现步骤摘要】
基于图算法的APT检测关联分析方法
本专利技术属于信息安全
,具体涉及基于图算法的APT检测关联分析方法。
技术介绍
高级持续性威胁(AdvancedPersistentThreat,APT)是一种利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行准确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0day漏洞进行攻击。APT攻击主要针对政府、能源、金融等重要行业与部门实施,其先进的攻击模式、高级的攻击技术、持续的攻击周期与明确的攻击目标,使得攻击能够实现精准打击,造成难以估量的破坏和损失。因此,针对APT攻击进行安全态势和威胁影响的合理评估,为网络管理员或安全主管部门提供辅助决策信息迫在眉睫。但现有技术在这种检测APT攻击的能力上仍具有很大的挑战性:一是传统的防火墙、入侵检测、安全网关、杀毒软件和反垃圾邮件系统等检测技术主要是在网络边界和主机边界进行检测,它们均缺乏对APT攻击,尤其是0day攻击的检测能力和关联分析能力。二是现有的基于规则的APT威胁检测引擎针对大量的报警事件无法进行有效关联,或只能利用时间戳等一些现成的指标进行简单关联,缺乏对警报和实际入侵之间复杂关系的理解,更无法将长时间内发生在不同主机上的攻击事件关联为整体威胁事件。另一方面,相对较弱的关联分析能力也会造成检测的误报率较高。
技术实现思路
针对现有技术中的缺陷,本专利技术提供基于图算法的APT检测关联分析方法,提高了APT攻击检测的精确度,降低了APT攻击检测的误报率。一种基于图算法的APT检测关联分析方法,包括以下方法:采集终端用户行为数据和检测系统产生的内核级数据,以获得原始审计日志数据;将所述原始审计日志数据存入具有图算法的数据库中;根据ATT&CK知识库模型对所述原始审计日志数据进行TTP规则匹配,获得报警事件;利用路径关联度评估报警事件之间依赖关系的强度,构建APT攻击场景图,将所述原始审计日志数据提升至APT攻击步骤。优选地,所述检测系统产生的内核级数据包括进程在文件或网络维度下的实时操作信息;所述具有图算法的数据库包括图数据库,其中该数据库中的结点代表实体,包括进程、文件和网络;该数据库中关系代表实体之间的关系。优选地,所述路径关联度的计算方法包括:在多个报警事件之间选取包含关键结点的路径;分别获取该路径上每个结点的祖先结点;统计该路径上不同祖先结点的个数,定义该个数为该路径的路径关联度。优选地,该方法在所述根据ATT&CK知识库模型对所述原始审计日志数据进行TTP规则匹配之后,还包括:根据正常运行的原始审计日志数据对TTP规则进行过滤。优选地,所述根据正常运行的原始审计日志数据对TTP规则进行过滤具体包括:收集正常运行的原始审计日志数据,以获得训练数据;利用TTP规范对所述训练数据进行学习,以获得训练数据在TTP规则匹配过程中频繁匹配的TTP规则,定义该TTP规则为噪声规则;在根据ATT&CK知识库模型对实时采集的原始审计日志数据进行TTP规则匹配时,检测到实时采集的原始审计日志数据存在与所述噪声规则相匹配的TTP规则,过滤掉该TTP规则。优选地,该方法在所述创建APT攻击场景图之后,还包括:利用预设的算法规则和经验规则对所述APT攻击场景图进行完善。优选地,该方法在所述构建APT攻击场景图之后,还包括:设置每个APT攻击场景图的威胁七元组;威胁七元组包括该APT攻击场景图在TTP规范中每个攻击阶段的严重级别;根据预设的威胁规则将APT攻击场景图的威胁七元组转换为威胁评分向量;其中威胁规则包括每个严重级别对应的分值,威胁评分向量包括七个分值;根据下式计算每个APT攻击场景图的总分T:其中,wi为APT攻击场景图在TTP规范中第i个攻击阶段的权重,n=7,Si为APT攻击场景图在TTP规范中第i个攻击阶段的分值;根据所有APT攻击场景图的总分T对APT攻击场景图进行排序。优选地,该方法在所述T对APT攻击场景图进行排序之后,还包括:将所述APT攻击场景图运行在良性活动中,定义APT攻击场景图运行时总分最大值为良性分值;将所述APT攻击场景图运行在恶性活动中,定义APT攻击场景图运行时总分最小值为恶性分值;在所述良性分值和恶性分值之间选择一数值,定义为报警阈值;当检测到APT攻击场景图实时运行时的总分大于所述报警阈值时,进行报警。由上述技术方案可知,本专利技术提供的基于图算法的APT检测关联分析方法,主要解决的是APT检测中报警事件的关联分析问题,通过对攻击者在攻击阶段可疑信息流之间的相关性进行分析,以高精确度和低误报率检测APT活动,能实时有效的对正在进行的攻击活动进行总结回溯,帮助进行实时网络响应活动,实现攻击场景可视化。附图说明为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中,类似的元件或部分一般由类似的附图标记标识。附图中,各元件或部分并不一定按照实际的比例绘制。图1为本专利技术实施例一提供的APT检测关联分析方法的流程图。图2为本专利技术实施例一提供的路径关联度计算方法的流程图。图3为本专利技术实施例一提供的TTP规则过滤方法的流程图。图4为本专利技术实施例二提供的APT攻击场景图评分方法的流程图。图5为本专利技术实施例二提供的报警方法的流程图。具体实施方式下面将结合附图对本专利技术技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本专利技术的技术方案,因此只作为示例,而不能以此来限制本专利技术的保护范围。需要注意的是,除非另有说明,本申请使用的技术术语或者科学术语应当为本专利技术所属领域技术人员所理解的通常意义。应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。还应当理解,在此本专利技术说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本专利技术。如在本专利技术说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。还应当进一步理解,在本专利技术说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。如在本说明书和所附权利要求书中所使用的那样,术语“如果”可以依据上下本文档来自技高网...
【技术保护点】
1.一种基于图算法的APT检测关联分析方法,其特征在于,包括以下方法:/n采集终端用户行为数据和检测系统产生的内核级数据,以获得原始审计日志数据;/n将所述原始审计日志数据存入具有图算法的数据库中;/n根据ATT&CK知识库模型对所述原始审计日志数据进行TTP规则匹配,获得报警事件;/n利用路径关联度评估报警事件之间依赖关系的强度,构建APT攻击场景图,将所述原始审计日志数据提升至APT攻击步骤。/n
【技术特征摘要】
1.一种基于图算法的APT检测关联分析方法,其特征在于,包括以下方法:
采集终端用户行为数据和检测系统产生的内核级数据,以获得原始审计日志数据;
将所述原始审计日志数据存入具有图算法的数据库中;
根据ATT&CK知识库模型对所述原始审计日志数据进行TTP规则匹配,获得报警事件;
利用路径关联度评估报警事件之间依赖关系的强度,构建APT攻击场景图,将所述原始审计日志数据提升至APT攻击步骤。
2.根据权利要求1所述基于图算法的APT检测关联分析方法,其特征在于,
所述检测系统产生的内核级数据包括进程在文件或网络维度下的实时操作信息;所述具有图算法的数据库包括图数据库,其中该数据库中的结点代表实体,包括进程、文件和网络;该数据库中关系代表实体之间的关系。
3.根据权利要求2所述基于图算法的APT检测关联分析方法,其特征在于,所述路径关联度的计算方法包括:
在多个报警事件之间选取包含关键结点的路径;
分别获取该路径上每个结点的祖先结点;
统计该路径上不同祖先结点的个数,定义该个数为该路径的路径关联度。
4.根据权利要求3所述基于图算法的APT检测关联分析方法,其特征在于,该方法在所述根据ATT&CK知识库模型对所述原始审计日志数据进行TTP规则匹配之后,还包括:
根据正常运行的原始审计日志数据对TTP规则进行过滤。
5.根据权利要求4所述基于图算法的APT检测关联分析方法,其特征在于,所述根据正常运行的原始审计日志数据对TTP规则进行过滤具体包括:
收集正常运行的原始审计日志数据,以获得训练数据;
利用TTP规范对所述训练数据进行学习,以获得训练数据在TTP规则匹配过程中频繁匹配的TTP规则,定义...
【专利技术属性】
技术研发人员:郭景楠,
申请(专利权)人:深圳市联软科技股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。