高级持续威胁攻击识别方法、装置和设备制造方法及图纸

本公开涉及信息安全技术领域，提供了一种高级持续威胁攻击识别方法、装置和设备。所述方法包括：基于至少两个目标网络行为数据，获取至少两个目标网络行为分别对应的属性信息；根据第一预设时长内至少两个目标网络行为分别对应的属性信息，构建目标三维张量；根据目标三维张量以及目标三维张量中的元素值，在目标三维张量中确定目标稠密块；基于目标稠密块，在至少两个目标网络行为中确定目标攻击行为；基于历史高级持续威胁攻击行为，在目标攻击行为中识别高级持续威胁攻击行为。采用该方式能够提高对高级持续威胁攻击的识别效率。式能够提高对高级持续威胁攻击的识别效率。式能够提高对高级持续威胁攻击的识别效率。

【技术实现步骤摘要】
高级持续威胁攻击识别方法、装置和设备


[0001]本公开涉及信息安全
，特别是涉及一种高级持续威胁攻击识别方法、装置和设备。

技术介绍

[0002]高级持续威胁攻击(Advanced Persistent Threat，APT)是一种高级、持续性的攻击模式，能够利用软件、硬件漏洞对目标对象进行长期持续性的网络攻击，具体的，攻击者在发动攻击之前对目标对象的业务流程以及目标系统进行信息的收集，并进一步挖掘被攻击目标对象的在目标系统以及应用程序中存在的漏洞之后，并利用这些漏洞发起攻击，以此窃取目标对象的核心资料、情报等信息，以此对网络信息安全系统造成严重的危害。
[0003]现有技术中，主要通过水坑攻击、网络钓鱼和鱼叉式钓鱼攻击实现对APT攻击手段的检测，然而，由于APT攻击能够采取加密、零日漏洞利用等方法，可绕过对APT攻击手段的检测，导致对APT攻击存在严重的滞后性的问题，因此，如何实现提高对APT攻击的识别效率是急需解决的问题。

技术实现思路

[0004]基于此，有必要针对上述技术问题，提供了一种高级持续威胁攻击识别方法、装置和设备。
[0005]本公开实施例提供了一种高级持续威胁攻击识别方法，所述方法包括：
[0006]在一个实施例中，基于至少两个目标网络行为数据，获取至少两个目标网络行为分别对应的属性信息，其中，所述目标网络行为数据为网络审计日志、系统访问日志、安全告警日志中任意一种，所述属性信息至少包括源互联网协议以及目的互联网协议；
[0007]根据第一预设时长内至少两个所述目标网络行为分别对应的所述属性信息，构建目标三维张量，其中，所述目标三维张量的第一维度与第二维度均为所述源互联网协议和所述目的互联网协议，第三维度为时间，所述目标三维张量中的元素值用来表征所述目标网络行为是否为攻击行为；
[0008]根据所述目标三维张量以及所述目标三维张量中的元素值，在目标三维张量中确定目标稠密块；
[0009]基于所述目标稠密块，在至少两个目标网络行为中确定目标攻击行为，其中，所述目标攻击行为包括高级持续威胁攻击行为和非高级持续威胁攻击行为；
[0010]基于历史高级持续威胁攻击行为，在所述目标攻击行为中识别所述高级持续威胁攻击行为。
[0011]在一个实施例中，所述基于至少两个目标网络行为数据，获取至少两个目标网络行为分别对应的属性信息之前，所述方法还包括：
[0012]获取至少两个初始网络行为数据；
[0013]基于至少两个初始网络行为数据以及预设白名单，判断至少两个所述初始网络行
为是否存在正常网络行为；
[0014]若确定在至少两个所述初始网络行为中存在正常网络行为，则将至少两个所述初始网络行为数据中存在的所述正常网络行为数据进行过滤，得到至少两个所述目标网络行为数据。
[0015]在一个实施例中，所述根据第一预设时长内至少两个所述目标网络行为分别对应的所述属性信息，构建目标三维张量，包括：
[0016]针对至少两个所述目标网络行为，基于所述属性信息，在至少两个所述目标网络行为中确定攻击行为以及非攻击行为，并对所述攻击行为以及非攻击行为进行标识，其中，所述攻击行为标识为1，所述非攻击行为标识为0；
[0017]根据第一预设时长内所述攻击行为、非攻击行为分别对应的标识以及所述属性信息，构建目标三维张量。
[0018]在一个实施例中，所述方法还包括：所述根据第一预设时长内所述攻击行为、非攻击行为分别对应的标识以及所述属性信息，构建目标三维张量，包括：
[0019]根据所述第一预设时长内每个第二预设时长、所述源互联网协议、所述目的互联网协议以及所述标识，构建第一二维矩阵，其中，所述第一二维矩阵的两个维度为所述源互联网协议和所述目的互联网协议，所述第一二维矩阵的元素值为所述标识，所述第二预设时长小于所述第一预设时长；
[0020]基于第一预设时长内多个第二预设时长，获取第一预设时长内至少两个所述第一二维矩阵，其中，所述第一二维矩阵的数量是根据所述第二预设时长的数量确定的；
[0021]根据至少两个第一二维矩阵以及所述多个第二预设时长，构建目标三维张量。
[0022]在一个实施例中，所述根据所述目标三维张量以及所述目标三维张量中的元素值，在目标三维张量中确定目标稠密块，包括：
[0023]根据所述目标三维张量的三个维度，获取每个维度对应的至少两个二维矩阵；
[0024]基于每个维度对应的至少两个二维矩阵，获取每个维度对应的标识序列；
[0025]基于每个维度对应的所述标识序列，在所述目标三维张量确定所述目标稠密块。
[0026]在一个实施例中，所述根据所述目标三维张量的三个维度，获取每个维度对应的至少两个二维矩阵，包括：
[0027]根据所述目标三维张量的三个维度，获取第一维度对应的至少两个第二二维矩阵、第二维度对应的至少两个第三二维矩阵以及第三维度对应的至少两个第四二维矩阵；
[0028]基于每个维度对应的至少两个二维矩阵，获取每个维度对应的标识序列，包括：
[0029]针对每个第二二维矩阵，获取每个第二二维矩阵对应的目标第一标识和值；
[0030]根据至少两个所述目标第一标识和值，获取第一维度对应的第一标识序列；和
[0031]针对每个第三二维矩阵，获取每个第三二维矩阵对应的目标第二标识和值；
[0032]根据至少两个所述目标第二标识和值，获取第二维度对应的第二标识序列；和
[0033]针对每个第四二维矩阵，获取每个第四二维矩阵对应的目标第三标识和值；
[0034]根据至少两个所述目标第三标识和值，获取第三维度对应的第三标识序列；
[0035]基于每个维度对应的标识序列，在所述目标三维张量确定目标稠密块，包括：
[0036]根据所述第一标识序列、所述第二标识序列以及所述第三标识序列，在所述目标三维张量确定目标稠密块。
[0037]在一个实施例中，所述针对每个第二二维矩阵，获取每个第二二维矩阵对应的目标第一标识和值，包括：
[0038]针对每个第二二维矩阵，当确定所述第二二维矩阵存在相邻元素值均为1时，对第二二维矩阵中相邻元素值进行求和，得到至少一个第一标识和值，将最大第一标识和值作为所述目标第一标识和值；
[0039]当确定所述第二二维矩阵不存在相邻元素值为1时，确定所述目标第一标识和值为0；
[0040]针对每个第三二维矩阵，获取每个第三二维矩阵对应的目标第二标识和值，包括：
[0041]针对每个第三二维矩阵，当确定所述第三二维矩阵存在相邻元素值均为1时，对第三二维矩阵中相邻元素值进行求和，得到至少一个第二标识和值，将最大第二标识和值作为所述目标第二标识和值；
[0042]当确定所述第三二维矩阵不存在相邻元素值为1时，确定所述目标第二标识和值为0；
[0043]针对每个第四二维矩阵，获取每个第四二维矩阵本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种高级持续威胁攻击行为识别方法，其特征在于，所述方法包括：基于至少两个目标网络行为数据，获取至少两个目标网络行为分别对应的属性信息，其中，所述目标网络行为数据为网络审计日志、系统访问日志、安全告警日志中任意一种，所述属性信息至少包括源互联网协议以及目的互联网协议；根据第一预设时长内至少两个所述目标网络行为分别对应的所述属性信息，构建目标三维张量，其中，所述目标三维张量的第一维度与第二维度均为所述源互联网协议和所述目的互联网协议，第三维度为时间，所述目标三维张量中的元素值用来表征所述目标网络行为是否为攻击行为；根据所述目标三维张量以及所述目标三维张量中的元素值，在所述目标三维张量中确定目标稠密块；基于所述目标稠密块，在至少两个所述目标网络行为中确定目标攻击行为，其中，所述目标攻击行为包括高级持续威胁攻击行为和非高级持续威胁攻击行为；基于历史高级持续威胁攻击行为，在所述目标攻击行为中识别所述高级持续威胁攻击行为。2.根据权利要求1所述的方法，其特征在于，所述基于至少两个目标网络行为数据，获取至少两个目标网络行为分别对应的属性信息之前，所述方法还包括：获取至少两个初始网络行为数据；基于至少两个初始网络行为数据以及预设白名单，判断至少两个所述初始网络行为是否存在正常网络行为；若确定在至少两个所述初始网络行为中存在正常网络行为，则将至少两个所述初始网络行为数据中存在的所述正常网络行为数据进行过滤，得到至少两个所述目标网络行为数据。3.根据权利要求1所述的方法，其特征在于，所述根据第一预设时长内至少两个所述目标网络行为分别对应的所述属性信息，构建目标三维张量，包括：针对至少两个所述目标网络行为，基于所述属性信息，在至少两个所述目标网络行为中确定攻击行为以及非攻击行为，并对所述攻击行为以及非攻击行为进行标识，其中，所述攻击行为标识为1，所述非攻击行为标识为0；根据第一预设时长内所述攻击行为、所述非攻击行为分别对应的标识以及所述属性信息，构建目标三维张量。4.根据权利要求3所述的方法，其特征在于，所述根据第一预设时长内所述攻击行为、非攻击行为分别对应的标识以及所述属性信息，构建目标三维张量，包括：根据所述第一预设时长内每个第二预设时长、所述源互联网协议、所述目的互联网协议以及所述标识，构建第一二维矩阵，其中，所述第一二维矩阵的两个维度为所述源互联网协议和所述目的互联网协议，所述第一二维矩阵的元素值为所述标识，所述第二预设时长小于所述第一预设时长；基于第一预设时长内多个第二预设时长，获取第一预设时长内至少两个所述第一二维矩阵，其中，所述第一二维矩阵的数量是根据所述第二预设时长的数量确定的；根据至少两个第一二维矩阵以及所述多个第二预设时长，构建所述目标三维张量。5.根据权利要求1所述的方法，其特征在于，所述根据所述目标三维张量以及所述目标
三维张量中的元素值，在目标三维张量中确定目标稠密块，包括：根据所述目标三维张量的三个维度，获取每个维度对应的至少两个二维矩阵；基于每个维度对应的至少两个二维矩阵，获取每个维度对应的标识序列；基于每个维度对应的所述标识序列，在所述目标三维张量确定所述目标稠密块。6.根据权利要求5所述的方法，其特征在于，所述根据所述目标三维张量的三个维度，获取每个维度对应的至少两个二维矩阵，包括：根据所述目标三维张量的三个维度，获取第一维度对应的至少两个第二二维矩阵、第二维度对应的至少两个第三二维矩阵以及第三维度对应的至少两个第四二维矩阵；基于每个维度对应的至少两个二维矩阵，获取每个维度...

【专利技术属性】
技术研发人员：鲍青波，
申请(专利权)人：北京天融信科技有限公司北京天融信软件有限公司，
类型：发明
国别省市：