本发明专利技术公开了威胁情报共享平台技术领域的一种基于多特征的APT攻击事件关联方法,包括获取攻击事件报告特征;通过计算TF
【技术实现步骤摘要】
一种基于多特征的APT攻击事件关联方法
[0001]本专利技术涉及威胁情报共享平台
,具体为一种基于多特征的APT攻击事件关联方法。
技术介绍
[0002]高级可持续性威胁(Advanced Persistent Threat,APT),威胁企业网络数据安全。这种攻击活动具有极强的隐蔽性和针对性,通常是以窃取用户资料为目的,利用受感染的各种介质、供应链和社会工程学等多种手段绕过传统的安全防护系统,实施先进的、持久的且有效的威胁和攻击。目前主流的关联方法主要如下:
[0003]1.基于关键词匹配的方法:一些总结性的报告中会提到组织名称,同时也会带出组织别名,只需要构建APT组织库,接着利用关键词匹配的方法将相似攻击的APT组织相关联。
[0004]2.利用TF
‑
IDF算法提取报告中的关键词,通过对比一种基于多特征的APT 攻击事件关联方法词汇库,得出关联事件。第一个(TF)值是单个出现的次数在所有恶意软件中总数中的比。第二个值(IDF)是这些术语在所有组中出现的频率的对数。
[0005]对于第一种关联方法,有很大的局限性,单单利用报告中的关联组织名称无法准确、全面地将攻击事件关联起来;对于第二种关联方法,只有两篇报告中所用到文本内容相差无几,才能够通过TF
‑
IDF准确识别,简而言之就是能判断出两篇相似文章,但是很多攻击事件地报告并不完整,攻击手段分析也并不完善,因而无法建立可靠地关联关系。
[0006]基于此,本专利技术设计了一种基于多特征的APT攻击事件关联方法,以解决上述问题。
技术实现思路
[0007]本专利技术的目的在于提供一种基于多特征的APT攻击事件关联方法,以解决上述
技术介绍
中提出的单单利用报告中的关联组织名称无法准确、全面地将攻击事件关联起来;很多攻击事件地报告并不完整,攻击手段分析也并不完善,因而无法建立可靠地关联关系的问题。
[0008]为实现上述目的,本专利技术提供如下技术方案:
[0009]一种基于多特征的APT攻击事件关联方法,包括以下步骤:
[0010]S1:获取攻击事件报告特征,事件报告特征包括攻击手段、恶意工具、攻击目标、使用语言、漏洞利用、指示器、TF
‑
IDF值和恶意IOC;
[0011]S2:通过计算TF
‑
IDF的值得出报告文本相似度;
[0012]S3:通过计算攻击手段、恶意工具、攻击目标、使用语言、漏洞利用、指示器的jaccard系数得出攻击事件TTP相似度;
[0013]S4:调用在线沙箱技术对恶意IOC进行行为分析,提取攻击链路;
[0014]S5:设计链路相似度计算方法得到攻击链路相似度;
[0015]S6:将得到的文本相似度、TTP相似度和攻击链路相似度进行权重的分配得到综合相似度。
[0016]优选的,S2中,所述文本相似度的计算步骤具体如下:
[0017]S21:设置分词器;
[0018]S22:设置词频统计装置;
[0019]S23:设置相似度计算方法,相似系数为词汇列表交集个数除以词汇列表总个数。
[0020]优选的,S21中,所述设置分词器具体为针对中文使用jieba分词算法,英文则使用nltk.tokenize模块进行分词,同时设置停用词汇和专有词汇生成词汇列表。
[0021]优选的,S22中,所述设置词频统计装置具体为利用TF
‑
IDF算法得到步骤一中生成的词汇列表中TF值和IDF值。
[0022]优选的,S3中,所述TTP相似度计算步骤具体如下:
[0023]S31:设置专有标签提取装置,通过关键词匹配的方法,从报告文本中提取攻击手段和恶意工具;
[0024]S32:设置漏洞匹配装置,通过正则匹配的方法提取利用的漏洞信息;
[0025]S33:设置实体提取装置,对提取出来的句子进一步地用关键词匹配的方法提取攻击目标和使用语言;
[0026]S34:设置相似度计算方法,将上述步骤得到的特征的值合并成一个集合,计算jaccard系数,根据jaccard系数判断相似度。
[0027]优选的,S31中,所述攻击手段词汇为主要从ATT&CK官网获取攻击方法专业词汇,所述恶意工具包括漏洞攻击工具、信息收集工具、密码破解工具、远程访问工具、漏洞扫描工具等,恶意工具的词汇分别从安全网站公开整理的工具列表中获取,以及平时在威胁分析时整理得到。
[0028]优选的,S5中,所述攻击链路相似度计算步骤如下:
[0029]S51:设置IOC匹配装置;
[0030]S52:设置攻击链路分析装置;
[0031]S53:针对攻击链路设置相似度计算方法,通过jaccard系数或莱文斯坦 (Levenshtein)距离做攻击链路相似度计算。
[0032]优选的,S51中,所述设置IOC匹配装置具体为采用正则匹配和html解析的方法提取IOC,分别对应文本中随机引用和固定位置罗列,利用正则表达式对不同类型IOC:ip、域名、hash、url等进行正则提取,同时针对固定位置的 IOC则采用html解析筛选获取。
[0033]优选的,S52中,所述攻击链路分析主要是针对恶意的PE(PortableExecutable)文件,搭建沙箱环境,将恶意文件在沙箱环境中执行,然后得出该文件的执行日志。
[0034]优选的,S53中,所述攻击链路为通过沙箱得到运行日志,进一步地对日志进行解析得出关键链路,提取shell文件的文件名、访问链接的链接地址、下载文件的文件名、配置目录等信息而生成。
[0035]与现有技术相比,本专利技术的有益效果是:
[0036]本专利技术针对攻击事件报告的不同特征,采用不同的相似度计算方法,进而能够从多方面关联攻击事件,便于整合攻击情报、溯源攻击手段、反馈应对方案,大大提高了主动防御能力,在第一时间对恶意攻击事件能够提出响应参考措施。同时,正因为与历史攻击组
织施行的攻击事件相关联也有助于对整个攻击组织的生命周期进行全面的监控,真正做到知己知彼。
附图说明
[0037]为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例描述所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0038]图1为本专利技术APT攻击事件报告特征图;
[0039]图2为本专利技术总体关联模型流程示意图。
具体实施方式
[0040]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本专利技术保护的范围。...
【技术保护点】
【技术特征摘要】
1.一种基于多特征的APT攻击事件关联方法,其特征在于,包括以下步骤:S1:获取攻击事件报告特征,事件报告特征包括攻击手段、恶意工具、攻击目标、使用语言、漏洞利用、指示器、TF
‑
IDF值和恶意IOC;S2:通过计算TF
‑
IDF的值得出报告文本相似度;S3:通过计算攻击手段、恶意工具、攻击目标、使用语言、漏洞利用、指示器的jaccard系数得出攻击事件TTP相似度;S4:调用在线沙箱技术对恶意IOC进行行为分析,提取攻击链路;S5:设计链路相似度计算方法得到攻击链路相似度;S6:将得到的文本相似度、TTP相似度和攻击链路相似度进行权重的分配得到综合相似度。2.根据权利要求1所述的一种基于多特征的APT攻击事件关联方法,其特征在于:所述S2中报告文本相似度的计算步骤具体如下:S21:设置分词器;S22:设置词频统计装置;S23:设置相似度计算方法,相似度的判定依据相似系数,相似系数为词汇列表交集个数除以词汇列表总个数。3.根据权利要求2所述的一种基于多特征的APT攻击事件关联方法,其特征在于:所述S21中设置的分词器针对中文使用jieba分词算法,英文则使用nltk.tokenize模块进行分词,同时设置停用词汇和专有词汇生成词汇列表。4.根据权利要求2所述的一种基于多特征的APT攻击事件关联方法,其特征在于:所述S22中设置的词频统计装置利用TF
‑
IDF算法得到S1中生成的词汇列表中TF
‑
IDF值。5.根据权利要求1所述的一种基于多特征的APT攻击事件关联方法,其特征在于:所述S3中TTP相似度计算步骤具体如下:S31:设置专有标签提取装置,通过关键词匹配的方法,从报告文本中提取攻击手段和恶意工具;S32:设置漏洞匹配装置,通过正则匹配的方法提取利用的漏洞信息;S33:设置实体提取装置,对提取出来的句子进一步地...
【专利技术属性】
技术研发人员:刘志远,苗功勋,徐留杰,孙强,曲志峰,张海文,蔡力兵,赖成宾,
申请(专利权)人:中孚安全技术有限公司中孚信息股份有限公司北京中孚泰和科技发展股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。