【技术实现步骤摘要】
基于图算法的APT检测关联分析方法
本专利技术属于信息安全
,具体涉及基于图算法的APT检测关联分析方法。
技术介绍
高级持续性威胁(AdvancedPersistentThreat,APT)是一种利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行准确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0day漏洞进行攻击。APT攻击主要针对政府、能源、金融等重要行业与部门实施,其先进的攻击模式、高级的攻击技术、持续的攻击周期与明确的攻击目标,使得攻击能够实现精准打击,造成难以估量的破坏和损失。因此,针对APT攻击进行安全态势和威胁影响的合理评估,为网络管理员或安全主管部门提供辅助决策信息迫在眉睫。但现有技术在这种检测APT攻击的能力上仍具有很大的挑战性:一是传统的防火墙、入侵检测、安全网关、杀...
【技术保护点】
1.一种基于图算法的APT检测关联分析方法,其特征在于,包括以下方法:/n采集终端用户行为数据和检测系统产生的内核级数据,以获得原始审计日志数据;/n将所述原始审计日志数据存入具有图算法的数据库中;/n根据ATT&CK知识库模型对所述原始审计日志数据进行TTP规则匹配,获得报警事件;/n利用路径关联度评估报警事件之间依赖关系的强度,构建APT攻击场景图,将所述原始审计日志数据提升至APT攻击步骤。/n
【技术特征摘要】
1.一种基于图算法的APT检测关联分析方法,其特征在于,包括以下方法:
采集终端用户行为数据和检测系统产生的内核级数据,以获得原始审计日志数据;
将所述原始审计日志数据存入具有图算法的数据库中;
根据ATT&CK知识库模型对所述原始审计日志数据进行TTP规则匹配,获得报警事件;
利用路径关联度评估报警事件之间依赖关系的强度,构建APT攻击场景图,将所述原始审计日志数据提升至APT攻击步骤。
2.根据权利要求1所述基于图算法的APT检测关联分析方法,其特征在于,
所述检测系统产生的内核级数据包括进程在文件或网络维度下的实时操作信息;所述具有图算法的数据库包括图数据库,其中该数据库中的结点代表实体,包括进程、文件和网络;该数据库中关系代表实体之间的关系。
3.根据权利要求2所述基于图算法的APT检测关联分析方法,其特征在于,所述路径关联度的计算方法包括:
在多个报警事件之间选取包含关键结点的路径;
分别获取该路径上每个结点的祖先结点;
统计该路径上不同祖先结点的个数,定义该个数为该路径的路径关联度。
4.根据权利要求3所述基于图算法的APT检测关联分析方法,其特征在于,该方法在所述根据ATT&CK知识库模型对所述原始审计日志数据进行TTP规则匹配之后,还包括:
根据正常运行的原始审计日志数据对TTP规则进行过滤。
5.根据权利要求4所述基于图算法的APT检测关联分析方法,其特征在于,所述根据正常运行的原始审计日志数据对TTP规则进行过滤具体包括:
收集正常运行的原始审计日志数据,以获得训练数据;
利用TTP规范对所述训练数据进行学习,以获得训练数据在TTP规则匹配过程中频繁匹配的TTP规则,定义...
【专利技术属性】
技术研发人员:郭景楠,
申请(专利权)人:深圳市联软科技股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。