【技术实现步骤摘要】
APT攻击的测试行为识别方法、设备、存储介质及装置
[0001]本专利技术涉及互联网
,尤其涉及一种APT攻击的测试行为识别方法、设备、存储介质及装置。
技术介绍
[0002]目前,在高级可持续威胁攻击(Advanced Persistent Threat,APT)与安全终端产品测试对抗的过程中,APT攻击绝大多数情况下会在一个虚拟环境下安装该终端产品,并测试其恶意工具对抗安全终端产品能力,从而评估下一步攻击投放的可行性。
[0003]现有APT攻击的APT攻击的测试行为识别方式可以根据已有特征数据识别已知APT攻击的测试行为。但是,对于未知APT攻击的测试行为,无法实现快速识别。
[0004]上述内容仅用于辅助理解本专利技术的技术方案,并不代表承认上述内容是现有技术。
技术实现思路
[0005]本专利技术的主要目的在于提供一种APT攻击的测试行为识别方法、设备、存储介质及装置,旨在解决如何优化APT攻击的测试行为识别过程的技术问题。
[0006]为实现上述目的,本专利技术提供一...
【技术保护点】
【技术特征摘要】
1.一种APT攻击的测试行为识别方法,其特征在于,所述APT攻击的测试行为识别方法包括以下步骤:获取待检测IP地址的当前输出日志以及基础属性信息;根据所述当前输出日志以及所述基础属性信息对所述待检测IP地址进行筛选,获得目标IP地址;查找与所述目标IP地址关联的目标虚拟机用户,并获取所述目标虚拟机用户的虚拟机用户特征信息;根据所述虚拟机用户特征信息生成测试行为识别结果。2.如权利要求1所述的APT攻击的测试行为识别方法,其特征在于,所述根据所述当前输出日志以及所述基础属性信息对所述待检测IP地址进行筛选,获得目标IP地址的步骤,具体包括:根据所述当前输出日志判断所述待检测IP地址是否关联虚拟机用户;在所述待检测IP地址关联虚拟机用户时,将所述待检测IP地址作为待筛选IP地址;根据所述基础属性信息对所述待筛选IP地址进行筛选,获得目标IP地址。3.如权利要求2所述的APT攻击的测试行为识别方法,其特征在于,所述根据所述基础属性信息对所述待筛选IP地址进行筛选,获得目标IP地址的步骤,具体包括:对所述基础属性信息进行信息提取,获得归属地信息、服务提供商信息以及IP标签信息;根据所述归属地信息、所述服务提供商信息以及所述IP标签信息确定所述待筛选IP地址的总分值;根据所述总分值对所述待筛选IP地址进行筛选,获得目标IP地址。4.如权利要求3所述的APT攻击的测试行为识别方法,其特征在于,所述根据所述归属地信息、所述服务提供商信息以及所述IP标签信息确定所述待筛选IP地址的总分值的步骤,具体包括:根据所述归属地信息以及服务提供商信息生成所述待筛选IP地址的基础分值;根据所述IP标签信息生成所述待筛选IP地址的修正分值;根据所述基础分值以及所述修正分值确定所述待筛选IP地址的总分值。5.如权利要求4所述的APT攻击的测试行为识别方法,其特征在于,所述根据所述归属地信息以及服务提供商信息生成所述待筛选IP地址的基础分值的步骤,具体包括:根据所述归属地信息以及服务提供商信息对所述待筛选IP地址进行分类,获得待筛选IP地址类别;在预设映射关系表...
【专利技术属性】
技术研发人员:边亮,陈泽宇,
申请(专利权)人:三六零数字安全科技集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。