一种基于APT攻击意图的操作权限控制方法技术

本发明专利技术公开了一种基于APT攻击意图的操作权限控制方法，包括步骤：一、获取网络及系统日志，识别APT攻击行为；二、针对APT攻击行为进行攻击检查，获取APT攻击内容并发出报警信息；三、根据获取到的APT攻击内容，对其攻击的目标文件、目标操作和目标操作权限，建立攻击意图逻辑关系，并根据攻击意图逻辑关系和报警信息预测下一步的攻击意图；四、基于知识图谱技术生成针对攻击意图的操作指导知识图谱，显示在操作界面上，管理员根据操作指导知识图谱进行操作，避开APT攻击威胁。本发明专利技术具有更高的可控性，对攻击意图的识别更精准，不会导致人工工作量过高,降低了工作的难度，实现了操作的安全性和便利性。

An operation permission control method based on apt attack intention

【技术实现步骤摘要】
一种基于APT攻击意图的操作权限控制方法
本专利技术属于计算机领域中的网络安全
，具体涉及一种基于APT攻击意图的操作权限控制方法。
技术介绍
APT(AdvancedPersistentThreat，高级持续性威胁)通常是由专业的黑客组织发动有针对性的攻击，APT攻击往往具有一个完整的、精心策划的攻击过程。APT攻击的特点是：攻击目的越来越明确，攻击范围越来越专注，攻击领域广，攻击行为难以侦测，具有极强隐蔽性且长期持续，严重地威胁着国家安全和公民权益。APT攻击的最大原因在于，具有系统权限的矛盾性，当程序具有较高的操作权限时，容易进行攻击行为，而当程序权限少时，用户操作会变得困难，需要大量的进行认证。因此，如果能够识别攻击意图，针对性的在攻击概率小的操作上，进行权限的放开控制，在攻击概率大的操作进行严格操作，就能够更好的控制攻击行为，这个不断变化权限的操作很多时候是很复杂的，需要针对性的获得具体的攻击方向，以及给出权限控制的修改意见。鉴于APT攻击的特殊性，传统的网络安全防御机制难以在和APT的对抗中起到作用，因本文档来自技高网...

【技术保护点】
1.一种基于APT攻击意图的操作权限控制方法，其特征在于，该方法包括以下步骤：/n步骤一、获取网络及系统日志，识别APT攻击行为；/n步骤二、针对APT攻击行为，包括攻击的目标文件、目标操作和目标操作权限，进行攻击检查，获取APT攻击内容并发出报警信息；/n步骤三、根据获取到的APT攻击内容，对其攻击的目标文件、目标操作和目标操作权限，建立攻击意图逻辑关系，并根据攻击意图逻辑关系和报警信息预测下一步的攻击意图；/n步骤四、根据预测出来的下一步的攻击意图，生成攻击意图描述，基于知识图谱技术生成针对攻击意图的操作指导知识图谱，显示在操作界面上，管理员根据操作指导知识图谱进行操作，避开APT攻击威胁...

【技术特征摘要】
1.一种基于APT攻击意图的操作权限控制方法，其特征在于，该方法包括以下步骤：
步骤一、获取网络及系统日志，识别APT攻击行为；
步骤二、针对APT攻击行为，包括攻击的目标文件、目标操作和目标操作权限，进行攻击检查，获取APT攻击内容并发出报警信息；
步骤三、根据获取到的APT攻击内容，对其攻击的目标文件、目标操作和目标操作权限，建立攻击意图逻辑关系，并根据攻击意图逻辑关系和报警信息预测下一步的攻击意图；
步骤四、根据预测出来的下一步的攻击意图，生成攻击意图描述，基于知识图谱技术生成针对攻击意图的操作指导知识图谱，显示在操作界面上，管理员根据操作指导知识图谱进行操作，避开APT攻击威胁。


2.按照权利要求1所述的一种基于APT攻击意图的操作权限控制方法，其特征在于：步骤一中所述获取网络及系统日志，识别APT攻击行为的具体过程为：
步骤1A1、收集网络及系统日志，通过网络日志获取网络链接日志记录，通过dns日志从网络及系统日志中获得相关信息数据的域名进而查询其源IP地址，针对具体某一IP地址的访问，dns日志解析其源IP地址，包括访问参数、访问内容和dns服务器的返回数据；
步骤1A2、基于DBSCAN聚类分析的日志挖掘，找出异常操作的日志，识别为APT攻击行为。


3.按照权利要求2所述的一种基于APT攻击意图的操作权限控制方法，其特征在于：步骤1A2中所述基于DBSCAN聚类分析的日志挖掘，找出异常操作的日志的具体过程为：
步骤1A21、设置当前领域相似度阈值的值为；其中，为领域相似度阈值的上限值；
步骤1A22、对网络及系统日志进行DBSCAN算法聚类，得到一组领域为的类，并将第次得到的领域为的类标记为；其中，的取值为非零自然数；
步骤1A23、提取出所有离群点；
步骤1A24、当离群点的数量小于预设的离群点数量阈值时，或者的值为时，执行步骤1A25；否则的取值减小0.1，返回执行步骤1A22；其中，为领域相似度阈值的下限值；
步骤1A25、设置的值为；
步骤1A26、对提取出的所有离群点进行DBSCAN算法聚类；
步骤1A27、将特殊的离群点作为具有攻击行为的异常日志；
步骤1A28、当还有离群点尚未完成聚到一个类时，的取值减小0.01，返回执行步骤1A26，直到全部聚类完成。


4.按照权利要求3所述的一种基于APT攻击意图的操作权限控制方法，其特征在于：所述的取值为0.7，所述的取值为0.4。


5.按照权利要求1所述的一种基于APT攻击意图的操作权限控制方法，其特征在于：步骤一中所述获取网络及系统日志，识别APT攻击行为的具体过程为：
步骤1B1、获取用户行为特征；
步骤1B2、采用深度学习算法判断用户行为的危险等级；
步骤1B3、判断用户行为的危险等级是否超过了预设的预警等级，当用户行为的危险等级超过了预警等级时，执行步骤1B4，否则，返回步骤1B1；
步骤1B4、获取当前用户前期所有操作日志，并针对当前用户访问过的操作日志，获取具有相同访问操作的过往的其他正常用户的所有操作日志；
步骤1B5、基于当前用户与其他正常用户的操作日志，进行基于操作日志的用户相似度计算，将用户相似度计算值小于预设用户相似度阈值的正常用户标记为相似用户，获得相似用户集；
步骤1B6、采用协同过滤算法判断当前用户的下一步操作，并判断该操作是否为APT攻击操作，当该操作是APT攻击操作时，将其识别为APT攻击行为。


6.按照权利要求1所述的一种基于APT攻击意图的操作权限控制方法，其特征在于：步骤二中所述针对APT攻击行为，包括攻击的目标文件、目标操作和目标操作权限，进行攻击检查，获取APT攻击内容并发出报警信息时，采用Snort开源软件进行，具体方法为：按照设定的规则，将被攻击的目标文件、目标操作和目标操作权限...

【专利技术属性】
技术研发人员：刘宽伟，
申请(专利权)人：广州纬通贸易有限公司，
类型：发明
国别省市：广东;44