本发明专利技术涉及一种APT攻击识别方法、装置、电子设备及介质,该方法包括:获取针对待检测对象的网络攻击相关信息;从网络攻击相关信息中提取APT攻击特征;根据APT攻击特征,通过特征检测、行为检测和机器学习分别进行多维度的威胁点检测,得到待检测对象的第一APT攻击识别结果、第二APT攻击识别结果和第三APT攻击识别结果;根据第一APT攻击识别结果、第二APT攻击识别结果和第三APT攻击识别结果,确定待检测对象的目标APT攻击识别结果。通过本发明专利技术的方法,将特征检测、行为检测、机器学习根据各个检测点的特点应用不同的检测方法,能够有效的提升检测效率,降低误报。降低误报。降低误报。
【技术实现步骤摘要】
一种APT攻击识别方法、装置、电子设备及介质
[0001]本专利技术涉及网络安全
,具体而言,本专利技术涉及一种APT攻击识别方法、装置、电子设备及介质。
技术介绍
[0002]网络战争现实化、网络战场全球化、网络对抗常态化、网络攻击白热化的趋势明显,维护网络空间安全已经成为事关国家安全和社会稳定的大事情。以互联网为主体的网络空间,已经成为国家安全、经济发展和社会稳定的战略高地。由于网络攻击的日趋多样性和复杂性使得虚拟化网络战争所带来的影响足以给任何组织机构带来毁灭性的打击,因此各个国家纷纷组建自己的网军,将黑客攻击升级成为了国家间的网络空间对抗行为。
[0003]网络安全隐患风险突出,各类重点单位安全事件频发的问题凸显,网络安全面临的威胁和风险日益突出。当前我国网络安全问题频发,缺乏技术手段掌握网络资产底数,未建立信息化的网络资产底数管理手段,同时对监管区域的各类网络安全事件以及网络违法犯罪行为缺乏有效的技术监测与发现手段,无法及时有效地开展安全防范,只能“救火式”的开展应急处置,导致工作被动。与此同时,由于网络安全技术性专业性极强,传统防护设施难以胜任专业性的网络安全威胁分析和应急处置的技术分析等工作,在防范网络安全风险,保卫关键信息基础设施安全,开展网络安全案事件查处溯源等工作方面,存在较大困难。
[0004]高级持续性攻击也称APT攻击,是指针对明确目标的持续的、复杂的网络攻击,APT攻击的防御一直是业界难题,现有技术中,通常是基于单一的安全技术进行检测和防护,单一的安全技术不能全面的检测出APT攻击的特征,使得无法准确识别出APT攻击。
技术实现思路
[0005]本专利技术所要解决的技术问题是提供了一种APT攻击识别方法、装置、电子设备及介质,旨在解决上述至少一个技术问题。
[0006]第一方面,本专利技术解决上述技术问题的技术方案如下:一种APT攻击识别方法,该方法包括:
[0007]获取针对待检测对象的网络攻击相关信息;
[0008]从网络攻击相关信息中提取APT攻击特征,APT攻击特征包括告警信息、网络行为信息、操作系统信息、账号信息、网络监测特征和协议解析信息;
[0009]根据APT攻击特征,通过特征检测、行为检测和机器学习分别进行多维度的威胁点检测,得到待检测对象的第一APT攻击识别结果、第二APT攻击识别结果和第三APT攻击识别结果;
[0010]根据第一APT攻击识别结果、第二APT攻击识别结果和第三APT攻击识别结果,确定待检测对象的目标APT攻击识别结果。
[0011]本专利技术的有益效果是:在本专利技术方案中,通过特征检测、行为检测和机器学习三种
安全技术对APT攻击进行识别,相较于现有技术中通过单一的安全技术进行APT攻击识别,更加准确,另外,在本申请方案中,通过提取的APT攻击特征进行多维度的威胁点检测,可从多个维度更加全面的进行APT攻击识别,使得APT攻击识别结果更加准确。
[0012]在上述技术方案的基础上,本专利技术还可以做如下改进。
[0013]进一步,上述网络攻击相关信息包括防火墙日志、IDS日志、WAF日志、网络审计日志、僵木儒日志、服务器日志、4A审计日志、流量日志、EDR信息;
[0014]从网络攻击相关信息中提取APT攻击特征,包括:
[0015]从防火墙日志、IDS日志、WAF日志和僵木儒日志中提取告警信息;
[0016]从网络审计日志中提取网络行为信息;
[0017]从服务器日志中提取操作系统信息;
[0018]从4A审计日志中提取账号信息;
[0019]从流量日志中提取网络监测特征和协议解析信息;
[0020]从所述EDR信息中提取所述网站相关信息,所述APT攻击特征包括所述告警信息、网络行为信息、协议解析信息、第二网络监测特征、账号信息和网站相关信息。
[0021]采用上述进一步方案的有益效果是,不同的网络攻击相关信息可对应不同类型的数据,从不同类型的数据中可更加准确的提取出不同的APT攻击特征。
[0022]进一步,上述根据APT攻击特征,通过特征检测、行为检测和机器学习分别进行多维度的威胁点检测,得到待检测对象的第一APT攻击识别结果、第二APT攻击识别结果和第三APT攻击识别结果,包括:
[0023]根据APT攻击特征进行多维度的威胁点检测,得到多维度的威胁特征,多维度的威胁特征包括访问威胁特征、入侵威胁特征、通信威胁特征、横向渗透威胁特征、数据安全威胁特征、痕迹清理威胁特征和用户行为威胁特征;
[0024]根据多维度的威胁特征,通过特征检测、行为检测和机器学习分别确定待检测对象的第一APT攻击识别结果、第二APT攻击识别结果和第三APT攻击识别结果。
[0025]采用上述进一步方案的有益效果是,通过特征检测、行为检测和机器学习三种方法,可从APT攻击特征提取出多维度的威胁特征,以从多个不同的威胁点进行APT攻击识别。
[0026]进一步,上述网络监测特征中包括待检测对象对应的第一域名;通信威胁特征中包括异常域名检测结果,异常域名检测结果是通过以下方式确定的:
[0027]根据第一域名,通过预先建立的自然语言处理模型,对第一域名进行分词处理,得到第一域名对应的多个字符,其中,自然语言处理模型是基于多层感知机的算法确定的;
[0028]根据各个字符和预设的异常域名,确定待检测对应的异常域名检测结果,异常域名检测结果包括第一域名为异常域名,或第一域名为正常域名。
[0029]采用上述进一步方案的有益效果是,在进行异常域名检测结果确定的过程中,可采用基于机器学习的方法训练得到的自然语言处理模型确定第一域名对应的多个字符,通过第一域名中各个字符确定异常域名检测结果,可使得确定的异常域名检测结果更加准确。
[0030]进一步,上述目标APT攻击识别结果为存在APT攻击或不存在APT攻击,方法还包括:
[0031]若目标APT攻击识别结果为存在APT攻击,根据目标APT攻击识别结果,确定待检测
对象的告警结果,告警结果包括源IP、目的IP、攻击名称,攻击样本名称、告警时间、第一危险级别、行为参数、响应方式和告警类型中的至少一项。
[0032]采用上述进一步方案的有益效果是,还可根据APT攻击识别结果,确定待检测对象的告警结果,并且可向用户提供不同的告警信息,以满足不同的分析需求。
[0033]进一步,该方法还包括:
[0034]根据源IP或者目标IP,对多维度的威胁特征进行关联分析;
[0035]当源IP或者目标IP命中多维度的威胁特征,输出第二危险级别,第二危险级别高于第一危险级别。
[0036]采用上述进一步方案的有益效果是,基于源IP或者目标IP与多维度的威胁特征之间的关联进行分析,可进一步确认危险级别,以便于技术人员危险级别进行相应的处理。
[0037]进一步,从网络攻击相关信息中提取APT攻击特征之前,该本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种APT攻击识别方法,其特征在于,包括:获取针对待检测对象的网络攻击相关信息;从所述网络攻击相关信息中提取APT攻击特征,所述APT攻击特征包括告警信息、网络行为信息、操作系统信息、账号信息、网络监测特征和协议解析信息;根据所述APT攻击特征,通过特征检测、行为检测和机器学习分别进行多维度的威胁点检测,得到所述待检测对象的第一APT攻击识别结果、第二APT攻击识别结果和第三APT攻击识别结果;根据所述第一APT攻击识别结果、所述第二APT攻击识别结果和所述第三APT攻击识别结果,确定所述待检测对象的目标APT攻击识别结果。2.根据权利要求1所述的方法,其特征在于,所述网络攻击相关信息包括防火墙日志、IDS日志、WAF日志、网络审计日志、僵木儒日志、服务器日志、4A审计日志、流量日志、EDR信息;所述从所述网络攻击相关信息中提取APT攻击特征,包括:从所述防火墙日志、IDS日志、WAF日志和所述僵木儒日志中提取所述告警信息;从所述网络审计日志中提取所述网络行为信息;从所述服务器日志中提取所述操作系统信息;从所述4A审计日志中提取所述账号信息;从所述流量日志中提取所述网络监测特征和所述协议解析信息;从所述EDR信息中提取所述网站相关信息,所述APT攻击特征包括所述告警信息、网络行为信息、协议解析信息、第二网络监测特征、账号信息和网站相关信息。3.根据权利要求1所述的方法,其特征在于,所述根据所述APT攻击特征,通过特征检测、行为检测和机器学习分别进行多维度的威胁点检测,得到所述待检测对象的第一APT攻击识别结果、第二APT攻击识别结果和第三APT攻击识别结果,包括:根据所述APT攻击特征进行多维度的威胁点检测,得到多维度的威胁特征,所述多维度的威胁特征包括访问威胁特征、入侵威胁特征、通信威胁特征、横向渗透威胁特征、数据安全威胁特征、痕迹清理威胁特征和用户行为威胁特征;根据所述多维度的威胁特征,通过特征检测、行为检测和机器学习分别确定所述待检测对象的第一APT攻击识别结果、第二APT攻击识别结果和第三APT攻击识别结果。4.根据权利要求3所述的方法,其特征在于,所述网络监测特征中包括所述待检测对象对应的第一域名;所述通信威胁特征中包括异常域名检测结果,所述异常域名检测结果是通过以下方式确定的:根据所述第一域名,通过预先建立的自然语言处理模型,对所述第一域名进行分词处理,得到所述第一域名对应的多个字符,其中,所述自...
【专利技术属性】
技术研发人员:蔡晶晶,陈俊,韩顺闯,韩伟召,
申请(专利权)人:北京永信至诚科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。