本公开涉及一种高级持续性攻击检测方法、装置、计算机设备和介质。通过对历史告警事件数据以预设时间周期进行划分,得到多个历史告警事件数据子集,根据历史告警事件的源地址和目的地址,构建每个历史告警事件数据子集对应的攻击关系图,对所有攻击关系图构成的图集进行频繁子图挖掘,能够挖掘出隐蔽性较强的攻击线索,从而,提高了网络攻击检测的准确性,保障了网络的安全运行。
【技术实现步骤摘要】
高级持续性攻击检测方法、装置、计算机设备和介质
本公开涉及网络安全
,尤其涉及一种高级持续性攻击检测方法、装置、计算机设备和介质。
技术介绍
高级持续性攻击(AdvancedPersistentThreat,APT)是一种利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击经常使用恶意软件对系统漏洞进行利用,并使用命令和控制服务器对攻击的特定目标进行持续监控和数据窃取,周期较长,隐蔽性极强,并且主要针对国家的关键信息基础设施和重要信息系统进行。目前常用的APT检测方法,大多是从APT攻击的手段进行检测分析,例如:针对水坑攻击、网络钓鱼和鱼叉式钓鱼攻击进行检测;或者通过对攻击手段的建模分析,结合杀伤链或对抗战术、技术和常识的框架,对攻击行为进行多层次刻画跟踪,确定APT攻击事件。然而,现有的APT检测方法,不利于发现潜伏的APT攻击事件,检测准确性较低且存在严重的滞后性,影响了网络的安全运行。
技术实现思路
为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种高级持续性攻击检测方法、装置、计算机设备和介质。第一方面,本公开提供一种高级持续性攻击检测方法,包括:获取网络中的历史告警事件数据;以预设时间周期对所述历史告警事件数据进行分类,得到多个历史告警事件数据子集;根据历史告警事件的源地址和目的地址,生成每个历史告警事件数据子集对应的攻击关系图;对所有攻击关系图进行频繁子图挖掘,获取目标攻击线索。可选的,所述根据历史告警事件的源地址和目的地址,生成每个历史告警事件数据子集对应的攻击关系图,包括:根据历史告警事件的源网络协议(InternetProtocol,IP)地址、目标IP地址和事件类型,生成每个历史告警事件数据子集对应的攻击关系图,其中,所述攻击关系图中的节点为所述源IP地址或者所述目标IP地址,所述攻击关系图中的边为所述事件类型。可选的,所述对所有攻击关系图进行频繁子图挖掘,获取目标攻击线索,包括:对所有攻击关系图进行频繁子图挖掘,获取候选攻击线索;对所述候选攻击线索进行分析,获取目标攻击线索。可选的,所述对所述候选攻击线索进行分析,获取目标攻击线索,包括:根据设置的频繁攻击行为的白名单,修改所述候选攻击线索中所述白名单对应的节点,确定修改后的候选攻击线索为所述目标攻击线索。第二方面,本公开提供一种高级持续性攻击检测装置,包括:获取模块,用于获取网络中的历史告警事件数据;处理模块,用于以预设时间周期对所述历史告警事件数据进行分类,得到多个历史告警事件数据子集;所述处理模块,还用于根据历史告警事件的源地址和目的地址,生成每个历史告警事件数据子集对应的攻击关系图;所述处理模块,还用于对所有攻击关系图进行频繁子图挖掘,获取目标攻击线索。可选的,所述处理模块具体用于:根据历史告警事件的源网络协议IP地址、目标IP地址和事件类型,生成每个历史告警事件数据子集对应的攻击关系图,其中,所述攻击关系图中的节点为所述源IP地址或者所述目标IP地址,所述攻击关系图中的边为所述事件类型。可选的,所述处理模块具体用于:对所有攻击关系图进行频繁子图挖掘,获取候选攻击线索;对所述候选攻击线索进行分析,获取目标攻击线索。可选的,所述处理模块具体用于:根据设置的频繁攻击行为的白名单,修改所述候选攻击线索中所述白名单对应的节点,确定修改后的候选攻击线索为所述目标攻击线索。第三方面,本公开提供一种计算机设备,其特征在于,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现第一方面任一项所述方法的步骤。第四方面,本公开提供一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现第一方面任一项所述的方法的步骤。本公开实施例提供的技术方案与现有技术相比具有如下优点:对历史告警事件数据以预设时间周期进行划分,得到多个历史告警事件数据子集,根据历史告警事件的源地址和目的地址,构建每个历史告警事件数据子集对应的攻击关系图,对所有攻击关系图构成的图集进行频繁子图挖掘,能够挖掘出隐蔽性较强的攻击线索,从而,提高了网络攻击检测的准确性,保障了网络的安全运行。附图说明此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1为本公开提供的一种高级持续性攻击检测方法实施例的流程示意图;图2为本公开提供的一种高级持续性攻击检测方法生成的攻击关系图;图3为本公开提供的另一种高级持续性攻击检测方法实施例的流程示意图;图4为本公开提供的一种高级持续性攻击检测装置的结构示意图。具体实施方式为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。APT攻击区别于传统攻击的特点是:隐蔽性强和持续时间长。传统的基于攻击手段的检测难以有效地发挥作用,检测准确性较低。本公开以预设时间周期对历史告警事件数据进行划分,得到多个历史告警事件数据子集,根据历史告警事件的源地址和目的地址,构建每个历史告警事件数据子集对应的攻击关系图,对所有攻击关系图构成的图集进行频繁子图挖掘,能够挖掘出隐蔽性较强的攻击线索,从而,提高了网络攻击检测的准确性,保障了网络的安全运行。下面以几个具体的实施例对本公开的技术方案进行描述,对于相同或者类似的概念,可以相互参考,不再每处一一赘述。图1为本公开实施例提供的一种高级持续性攻击检测方法实施例的流程示意图,如图1所示,本实施例的方法包括:S101:获取网络中的历史告警事件数据。可选的,历史告警事件数据包括如下信息:源地址、目标地址、事件类型和产生告警事件的时间。在获取网络中的历史告警事件数据时,可以根据告警事件的时间类型和/或目标地址对历史告警事件数据进行初步过滤,获取特定的历史告警事件数据。S102:以预设时间周期对历史告警事件数据进行分类,得到多个历史告警事件数据子集。可选的,根据历史告警事件数据中的产生告警事件的时间和预设时间周期对历史告警事件数据进行时间段切分,得到多个历史告警事件数据子集。例如:预设时间周期为一本文档来自技高网...
【技术保护点】
1.一种高级持续性攻击检测方法,其特征在于,包括:/n获取网络中的历史告警事件数据;/n以预设时间周期对所述历史告警事件数据进行分类,得到多个历史告警事件数据子集;/n根据历史告警事件的源地址和目的地址,生成每个历史告警事件数据子集对应的攻击关系图;/n对所有攻击关系图进行频繁子图挖掘,获取目标攻击线索。/n
【技术特征摘要】
1.一种高级持续性攻击检测方法,其特征在于,包括:
获取网络中的历史告警事件数据;
以预设时间周期对所述历史告警事件数据进行分类,得到多个历史告警事件数据子集;
根据历史告警事件的源地址和目的地址,生成每个历史告警事件数据子集对应的攻击关系图;
对所有攻击关系图进行频繁子图挖掘,获取目标攻击线索。
2.根据权利要求1所述的方法,其特征在于,所述根据历史告警事件的源地址和目的地址,生成每个历史告警事件数据子集对应的攻击关系图,包括:
根据历史告警事件的源网络协议IP地址、目标IP地址和事件类型,生成每个历史告警事件数据子集对应的攻击关系图,其中,所述攻击关系图中的节点为所述源IP地址或者所述目标IP地址,所述攻击关系图中的边为所述事件类型。
3.根据权利要求1或2所述的方法,其特征在于,所述对所有攻击关系图进行频繁子图挖掘,获取目标攻击线索,包括:
对所有攻击关系图进行频繁子图挖掘,获取候选攻击线索;
对所述候选攻击线索进行分析,获取目标攻击线索。
4.根据权利要求3所述的方法,其特征在于,所述对所述候选攻击线索进行分析,获取目标攻击线索,包括:
根据设置的频繁攻击行为的白名单,修改所述候选攻击线索中所述白名单对应的节点,确定修改后的候选攻击线索为所述目标攻击线索。
5.一种高级持续性攻击检测装置,其特征在于,包括:
获取模块,用于获取网络中的历史告警事件数据;
处理模块,用于以预...
【专利技术属性】
技术研发人员:鲍青波,
申请(专利权)人:北京天融信网络安全技术有限公司,北京天融信科技有限公司,北京天融信软件有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。