本发明专利技术涉及一种基于连通子图的APT攻击判定分析方法,包括:从攻击事件中提取攻击行为的攻击源信息并构建攻击源关系网,计算得到综合攻击源组织性和敌对性的攻击源值;从攻击事件中提取出攻击行为的攻击对象信息并构建攻击对象关系网,计算得到综合攻击对象重要性和定向性的攻击对象值;通过攻击行为、攻击源关系图和攻击对象关系图构建APT攻击要素图,计算得到综合攻击行为成本和危害性的攻击行为值;根据攻击源值、攻击对象值和攻击行为值所占权重,得到攻击事件的最终评估值,并判定为APT攻击行为的可能性。本发明专利技术能够分析攻击源群体与对象群体的多点对应关系,建立攻击关联图,提出综合评估方法判定APT攻击行为。提出综合评估方法判定APT攻击行为。提出综合评估方法判定APT攻击行为。
【技术实现步骤摘要】
一种基于连通子图的APT攻击判定分析方法
[0001]本专利技术涉及移动网络安全
,尤其涉及一种基于连通子图的APT攻击判定分析方法。
技术介绍
[0002]当前,利用或针对移动互联网的攻击时时刻刻都在发生,然而,其攻击手段、攻击的意图与传统互联网有很大不同,其中,移动互联网APT攻击的危害很大,从大量的移动互联网攻击事件中发现可疑的APT攻击,具有极其重要的意义。
[0003]而在目前移动网络安全领域中,现有的APT的判定方法基本都是依据各独立攻击事件本身特征得出结论,该判定方法清晰地展示了攻击事件本身,但是却并没有涉及对攻击事件之间的关联,对攻击源和攻击对象更是没有任何全局描述能力,因此,可以说现有APT判定方法除了展示攻击事件本身的信息,其他地方的信息全是未知的空白,其并不能对APT攻击事件进行较为全面的分析。
[0004]需要说明的是,在上述
技术介绍
部分公开的信息只用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
技术实现思路
[0005]本专利技术的目的在于克服现有技术的缺点,提供了一种基于连通子图的APT攻击判定分析方法,解决了现有APT判断方法存在的不足。
[0006]本专利技术的目的通过以下技术方案来实现:一种基于连通子图的APT攻击判定分析方法,所述判定分析方法包括:
[0007]攻击源关系图构建步骤:从攻击事件中提取攻击行为的攻击源信息并构建攻击源关系网,计算得到综合攻击源组织性和敌对性的攻击源值;r/>[0008]攻击对象关系图构建步骤:从攻击事件中提取出攻击行为的攻击对象信息并构建攻击对象关系网,计算得到综合攻击对象重要性和定向性的攻击对象值;
[0009]APT攻击要素图构建步骤:通过攻击行为、攻击源关系图和攻击对象关系图构建APT攻击要素图,计算得到综合攻击行为成本和危害性的攻击行为值;
[0010]判定步骤:根据攻击源值、攻击对象值和攻击行为值所占权重,得到攻击事件的最终评估值,并判定为APT攻击行为的可能性。
[0011]攻击源关系图构建步骤具体包括:
[0012]A1、从一组攻击事件中提取出攻击行为的攻击源信息,依据攻击源信息,通过数据中心挖掘攻击源的属性信息;
[0013]A2、综合分析攻击源的属性信息,查找出各攻击源之间相同的属性,将独立的攻击源通过属性进行联系,构建出攻击源关系图;
[0014]A3、根据攻击源关系图中的参数,计算得到综合攻击源组织性和敌对性的攻击源值。
[0015]3.根据权利要求1所述的一种基于连通子图的APT攻击判定分析方法,其特征在于:所述攻击对象关系图构建步骤具体包括:
[0016]B1、从一组攻击事件中提取出攻击行为的攻击对象信息,根据攻击对象信息通过数据中心挖掘攻击对象的属性信息;
[0017]B2、综合分析攻击对象的属性信息,对关联属性进行对比,查找出攻击对象之间相同的属性,构建出攻击对象关系图;
[0018]B3、根据攻击对象关系图中的参数,计算得到综合攻击对象重要性和定向性的攻击对象值。
[0019]APT攻击要素图构建步骤具体包括:
[0020]C1、通过攻击行为表示的边,连接攻击源关系图中的顶点和攻击对象关系图中的顶点,构建完整的APT攻击要素图;
[0021]C2、根据APT攻击要素图中的参数,计算得到综合攻击行为攻击成本和危害性的攻击行为值。
[0022]构建出攻击源关系图包括:将一段时间内检测到的攻击事件集合作为攻击事件库,获取和挖掘攻击事件库中攻击源情报信息,以提供攻击源之间的关联特性,将攻击源和攻击源属性作为顶点,攻击源和攻击源属性之间的关联作为边,通过对攻击行为特征进行分析挖掘各攻击源之间的潜在联系,通过对攻击源属性的分析找出各攻击源之间相同的属性,将独立的攻击源通过属性进行联系,得到攻击源关系图。
[0023]构建出攻击对象关系图包括:将攻击对象、对象属性和重点对象作为顶点,对象属性之间的关系作为边,对攻击事件库中的普通对象关系和重点对象关系进行挖掘,对普通对象和重点对象的关联属性进行比对,找出相同的属性,从而建立起相互关联,最终形成攻击对象关系图。
[0024]构建完整的APT攻击要素图包括:连接攻击源关系图中的顶点和攻击对象关系图中的顶点,通过表示攻击事件的边将攻击源关系图和攻击对象关系图进行连接,形成完整的APT攻击要素图。
[0025]计算得到综合攻击源组织性和敌对性的攻击源值包括:
[0026]设置攻击源总数为n,攻击源之间属性关联数量为e,属性关联紧密度评价值为w
i
,则得到攻击源组织性值指标的计算公式为:其中,μ为归一化用到的系数;
[0027]根据攻击源属于对立阵营的可能性及其阵营的敌对程度进行权重划分,得到不同敌对程度的敌对性值,并综合敌对性和组织性得到攻击源值的计算公式为:敌对程度的敌对性值,并综合敌对性和组织性得到攻击源值的计算公式为:
[0028]所述计算得到综合攻击对象重要性和定向性的攻击对象值包括:
[0029]设置直接包含重要对象数量为a,重要相关对象数量为b,直接重要对象等级值为v
i
,相关重要对象等级值为w
k
,则得到攻击对象重要性值计算公式为:,则得到攻击对象重要性值计算公式为:
[0030]设置攻击源总数为n,攻击源之间属性关联数量为e,属性关联紧密度评价值为w
i
,
得到攻击对象定向值的计算公式为:其中,μ为归一化用到的系数;
[0031]综合攻击对象重要性值和攻击对象定向性值得到:综合攻击对象重要性值和攻击对象定向性值得到:
[0032]本专利技术具有以下优点:一种基于连通子图的APT攻击判定分析方法,能够分析攻击源群体与对象群体的多点对应关系,建立攻击关联图,提出综合评估方法判定APT攻击行为,解决了APT攻击事件的关联性分析需求以及APT攻击中的有组织定向攻击分析需求。
附图说明
[0033]图1为本专利技术的攻击源关系的示意图;
[0034]图2为攻击源关系的示例图;
[0035]图3为攻击源攻击的实例图;
[0036]图4为本专利技术的攻击对象关系的示意图;
[0037]图5为本专利技术完整的APT攻击要素示意图。
具体实施方式
[0038]为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下结合附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的保护范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于连通子图的APT攻击判定分析方法,其特征在于:所述判定分析方法包括:攻击源关系图构建步骤:从攻击事件中提取攻击行为的攻击源信息并构建攻击源关系网,计算得到综合攻击源组织性和敌对性的攻击源值;攻击对象关系图构建步骤:从攻击事件中提取出攻击行为的攻击对象信息并构建攻击对象关系网,计算得到综合攻击对象重要性和定向性的攻击对象值;APT攻击要素图构建步骤:通过攻击行为、攻击源关系图和攻击对象关系图构建APT攻击要素图,计算得到综合攻击行为成本和危害性的攻击行为值;判定步骤:根据攻击源值、攻击对象值和攻击行为值所占权重,得到攻击事件的最终评估值,并判定为APT攻击行为的可能性。2.根据权利要求1所述的一种基于连通子图的APT攻击判定分析方法,其特征在于:所述攻击源关系图构建步骤具体包括:A1、从一组攻击事件中提取出攻击行为的攻击源信息,依据攻击源信息,通过数据中心挖掘攻击源的属性信息;A2、综合分析攻击源的属性信息,查找出各攻击源之间相同的属性,将独立的攻击源通过属性进行联系,构建出攻击源关系图;A3、根据攻击源关系图中的参数,计算得到综合攻击源组织性和敌对性的攻击源值。3.根据权利要求1所述的一种基于连通子图的APT攻击判定分析方法,其特征在于:所述攻击对象关系图构建步骤具体包括:B1、从一组攻击事件中提取出攻击行为的攻击对象信息,根据攻击对象信息通过数据中心挖掘攻击对象的属性信息;B2、综合分析攻击对象的属性信息,对关联属性进行对比,查找出攻击对象之间相同的属性,构建出攻击对象关系图;B3、根据攻击对象关系图中的参数,计算得到综合攻击对象重要性和定向性的攻击对象值。4.根据权利要求1所述的一种基于连通子图的APT攻击判定分析方法,其特征在于:所述APT攻击要素图构建步骤具体包括:C1、通过攻击行为表示的边,连接攻击源关系图中的顶点和攻击对象关系图中的顶点,构建完整的APT攻击要素图;C2、根据APT攻击要素图中的参数,计算得到综合攻击行为攻击成本和危害性的攻击行为值。5.根据权利要求2所述的一种基于连通子图的APT攻击判定分析方法,其特征在于:所述构建出攻击源关系图包括:将一段时间内检测到的攻击事件集合作为攻击事件库,获取和挖掘攻击事件库中攻击源情报信息,以提供攻击源之间的关联特性,将攻击源...
【专利技术属性】
技术研发人员:邓金祥,代先勇,俞祥基,易涛,牟其林,熊民,肖骁,王涛,唐林,
申请(专利权)人:成都锋卫科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。