一种基于上下文行为分析的APT检测方法技术

本发明专利技术公开了一种基于上下文行为分析的APT检测方法，包括：实时采集日志数据，所述日志数据涉及的对象包括进程、文件和事件；对采集到的日志数据进行预处理；根据简化后的数据依赖图基于上下文行为分析进行入侵检测；取最新的数据依赖图，根据其中所包含的携带威胁标签的进程进行溯源，得到完整的APT攻击链。本发明专利技术的基于上下文行为分析的APT检测方法，具有良好的适配性，且检测成功率高。且检测成功率高。且检测成功率高。

【技术实现步骤摘要】
一种基于上下文行为分析的APT检测方法


[0001]本申请属于APT攻击检测领域，具体涉及一种基于上下文行为分析的APT检测方法。

技术介绍

[0002]APT(Advanced Persistent Threat)攻击，即高级持续性威胁攻击，通常是指对政府、核心基础设施(如能源、运输、通讯)和重要行业(如军工、金融、医疗)所发动的攻击。APT攻击与传统的攻击模式相比，具有持续时间久、攻击链长、隐蔽性高、手段多样、危害性强等特征，可利用社会工程学、0
‑
day漏洞、受感染的存储介质等多种方式进行攻击。故利用现有的检测方法很难直接检测出一条完整的APT攻击链，分析人员通常在某个时间点检测出攻击的某一个步骤后，通过取证分析来快速定位入口点并判断攻击的范围，进而执行后续的补救措施。其中取证分析通常利用系统日志记录实体(如进程、文件等)以及实体间的信息流(如读、写、创建等)，以有向图的形式直观展现实体间的依赖关系。其中图的顶点是实体，边是信息流。
[0003]根据调研显示，现在大多数的APT检测来自于传统的网络攻击检测，主要分为以下四类：网络流量分析、软件静态特征分析、钩子追踪分析和动态沙箱分析。其中基于网络流量分析的检测方法依赖程序产生的流量，不能直接观察恶意程序的活动；基于软件静态特征分析的检测方法容易被代码的多态变化和混淆所回避；基于钩子追踪分析的检测方法会修改底层实现代码逻辑，使得程序/系统变得不稳定，并可能暴露新的漏洞；基于动态沙箱分析的检测方法需要模拟真实的环境，运行的开销大。在以上传统的网格攻击检测方法之外，现在还提出了一种端点检测与响应的检测方法，但该方法也存在威胁警报疲劳、分析日志需要技术知识成本和日志存储效率低的缺陷。

技术实现思路

[0004]本申请的目的在于提供一种基于上下文行为分析的APT检测方法，具有良好的适配性，且检测成功率高。
[0005]为实现上述目的，本申请所采取的技术方案为：
[0006]一种基于上下文行为分析的APT检测方法，所述基于上下文行为分析的APT检测方法，包括：
[0007]步骤S1、实时采集日志数据，所述日志数据涉及的对象包括进程、文件和事件；
[0008]步骤S2、对采集到的日志数据进行预处理，包括：
[0009]步骤S21、将所有进程连接至同一个预定义的虚拟的祖父进程；
[0010]步骤S22、将进程和文件作为节点、将事件作为边构建数据依赖图；
[0011]步骤S23、采用数据压缩算法滤除冗余的事件，简化数据依赖图；
[0012]步骤S3、根据简化后的数据依赖图基于上下文行为分析进行入侵检测，包括：
[0013]步骤S31、根据ATT&CK框架制定相应的标签规则，对数据依赖图中满足标签规则的
进程或文件打上相应的标签；
[0014]步骤S32、根据ATT&CK框架制定相应的标签传递规则，对数据依赖图中满足标签传递规则的进程或文件打上相应的标签；
[0015]步骤S33、根据ATT&CK框架制定相应的威胁检测规则，对数据依赖图中包含特定的标签的进程进行威胁警报，并标记导致威胁警报的标签为威胁标签；
[0016]步骤S34、对进程中不包含威胁标签和子进程的退出进程进行剪枝处理，得到新的数据依赖图；
[0017]步骤S4、取最新的数据依赖图，根据其中所包含的携带威胁标签的进程进行溯源，得到完整的APT攻击链。
[0018]以下还提供了若干可选方式，但并不作为对上述总体方案的额外限定，仅仅是进一步的增补或优选，在没有技术或逻辑矛盾的前提下，各可选方式可单独针对上述总体方案进行组合，还可以是多个可选方式之间进行组合。
[0019]作为优选，所述数据压缩算法，包括：
[0020]所述数据压缩算法的输入为：按时间顺序排列的事件，每个事件对应一个源实体和目标实体；
[0021]所述数据压缩算法的输出为：压缩后的事件；
[0022]所述数据压缩算法的压缩流程为：
[0023]初始化一个空集作为实体集；
[0024]对于一个事件，如果该事件的源实体不存在于实体集中，则将该事件的源实体添加进实体集中，并且将该事件的源实体的语义信息清空；如果该事件的目标实体存在于源实体的语义信息中，则删除该事件；最后，将该事件的目标实体的语义信息清空，并将该事件的目标实体添加进源实体的语义信息里。
[0025]作为优选，所述标签规则包含进程标签规则和文件标签规则，其中进程标签规则包括标签PT1、PT2、PT3、PT4、PT5、PT6、PT7、PS1、PS2、PS3、PS4、PS5、PS6、PS7、PS8，标签PT1的描述为进程有网络连接，标签PT2的描述为进程访问高价值数据流节点中的数据，标签PT3的描述为进程获取了网络数据，标签PT4的描述为进程加载或读取了被上传的文件，标签PT5的描述为进程与不存在的文件交互，标签PT6的描述为进程读取了passwd文件，标签PT7的描述为进程读取了～/.bash_history文件，标签PS1的描述为进程执行了网络中的文件，标签PS2的描述为进程执行了敏感文件，标签PS3的描述为进程执行了敏感命令，标签PS4的描述为进程执行了命令，标签PS5的描述为进程执行了shell命令，标签PS6的描述为进程修改了crontab文件，标签PS7的描述为进程修改了sudoers文件，标签PS8的描述为进程读取了敏感信息；
[0026]所述文件标签规则包括标签FT1、FT2、FT3、FT4、FS1、FS2、FS3、FS4、FS5、FS6、FS7、FV1、FV2、FV3、FV4，标签FT1的描述为文件在默认情况下是敏感文件，标签FT2的描述为文件来源于便携式设备，标签FT3的描述为文件最近被修改或创建，标签FT4的描述为文件是被上传的，标签FS1的描述为文件包含来源于网络的数据，标签FS2的描述为文件由执行了危险代码的进程所写，标签FS3的描述为该文件是敏感的，标签FS4的描述为文件不存在，标签FS5的描述为文件被Webshell进程写过，标签FS6的描述为文件被RAT进程写过，标签FS7的描述为文件被Livingoffland进程写过，标签FV1的描述为/etc/crontab文件，标签FV2的描
述为/etc/sudoers文件，标签FV3的描述为/etc/passwd文件，标签FV4的描述为～/.bash_history文件。
[0027]作为优选，所述对数据依赖图中包含特定的标签的进程进行威胁警报，其中包含特定的标签的进程为：具有标签PS1的进程，或者具有标签PT4&PS4的进程，或者具有标签PT6&PS5的进程，或者具有标签PS1&PS5的进程，或者具有标签PS6/PS7/PT7/PT8的进程，或者具有标签PS8的进程，或者具有第一类PT4&PS4或具有第二类P本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于上下文行为分析的APT检测方法，其特征在于，所述基于上下文行为分析的APT检测方法，包括：步骤S1、实时采集日志数据，所述日志数据涉及的对象包括进程、文件和事件；步骤S2、对采集到的日志数据进行预处理，包括：步骤S21、将所有进程连接至同一个预定义的虚拟的祖父进程；步骤S22、将进程和文件作为节点、将事件作为边构建数据依赖图；步骤S23、采用数据压缩算法滤除冗余的事件，简化数据依赖图；步骤S3、根据简化后的数据依赖图基于上下文行为分析进行入侵检测，包括：步骤S31、根据ATT&CK框架制定相应的标签规则，对数据依赖图中满足标签规则的进程或文件打上相应的标签；步骤S32、根据ATT&CK框架制定相应的标签传递规则，对数据依赖图中满足标签传递规则的进程或文件打上相应的标签；步骤S33、根据ATT&CK框架制定相应的威胁检测规则，对数据依赖图中包含特定的标签的进程进行威胁警报，并标记导致威胁警报的标签为威胁标签；步骤S34、对进程中不包含威胁标签和子进程的退出进程进行剪枝处理，得到新的数据依赖图；步骤S4、取最新的数据依赖图，根据其中所包含的携带威胁标签的进程进行溯源，得到完整的APT攻击链。2.如权利要求1所述的基于上下文行为分析的APT检测方法，其特征在于，所述数据压缩算法，包括：所述数据压缩算法的输入为：按时间顺序排列的事件，每个事件对应一个源实体和目标实体；所述数据压缩算法的输出为：压缩后的事件；所述数据压缩算法的压缩流程为：初始化一个空集作为实体集；对于一个事件，如果该事件的源实体不存在于实体集中，则将该事件的源实体添加进实体集中，并且将该事件的源实体的语义信息清空；如果该事件的目标实体存在于源实体的语义信息中，则删除该事件；最后，将该事件的目标实体的语义信息清空，并将该事件的目标实体添加进源实体的语义信息里。3.如权利要求1所述的基于上下文行为分析的APT检测方法，其特征在于，所述标签规则包含进程标签规则和文件标签规则，其中进程标签规则包括标签PT1、PT2、PT3、PT4、PT5、PT6、PT7、PS1、PS2、PS3、PS4、PS5、PS6、PS7、PS8，标签PT1的描述为进程有网络连接，标签PT2的描述为进程访问高价值数据流节点中的数据，标签PT3的描述为进程获取了网络数据，标签PT4的描述为进程加载或读取了被上传的文件，标签PT5的描述为进程与不存在的文件交互，标签PT6的描述为进程读取了passwd文件，标签PT7的描述为进程读取了～/.bash_history文件，标签PS1的描述为进程执行了网络中的文件，标签PS2的描述为进程执行了敏感...

【专利技术属性】
技术研发人员：朱添田，余金开，
申请(专利权)人：浙江工业大学，
类型：发明
国别省市：