【技术实现步骤摘要】
APT攻击处理方法、系统、电子设备及可读存储介质
[0001]本申请涉及轨道交通网络安全领域,特别涉及一种APT攻击处理方法、系统、电子设备及可读存储介质。
技术介绍
[0002]近年来,随着APT(Advanced Persistent Threat,高级持续性威胁)攻击的不断出现,网络安全面临严峻挑战。与传统网络攻击相比,APT攻击利用多种技术手段,有组织、有计划地对特定目标长期开展渗透攻击,具有目的性强、形式复杂、隐蔽性高且长期持续的特点。目前主流的APT攻击处理方案主要是以行为异常特征的边界防御为切入点,在沙箱中载入未知的程序,模仿程序行为,检测其合法有效性,或者针对异常流量、异常行为等进行检测,达到防御多层次威胁的目的,但是单独采用上述某一防御解决方案,能够一定程度发挥作用,延缓APT攻击,但无法有效的应对具有持续长时间攻击特点的APT攻击。
[0003]因此,如何提供一种解决上述技术问题的方案是本领域技术人员目前需要解决的问题。
技术实现思路
[0004]本申请的目的是提供一种APT攻击处理方法、系统、电子设备及可读存储介质,采用复合链路检测模式,对APT攻击的全生命周期的威胁信息进行检测,能够提高检测精度,有效应对具有持续长时间攻击特点的APT攻击。
[0005]为解决上述技术问题,本申请提供了一种APT攻击处理方法,包括:
[0006]获取轨道交通车辆的网络中的多个维度的威胁信息;
[0007]当所述威胁信息满足APT攻击对应的预设条件,基于所述威胁信息 ...
【技术保护点】
【技术特征摘要】
1.一种APT攻击处理方法,其特征在于,包括:获取轨道交通车辆的网络中的多个维度的威胁信息;当所述威胁信息满足APT攻击对应的预设条件,基于所述威胁信息还原APT攻击场景;根据所述APT攻击场景确定APT攻击链路;基于所述APT攻击链路确定攻击对象,对所述攻击对象进行反制处理与靶向防护处理。2.根据权利要求1所述的APT攻击处理方法,其特征在于,所述获取轨道交通车辆的网络中的多个维度的威胁信息的过程包括:获取轨道交通车辆中的网络对应的流量信息和/或日志信息;当所述流量信息满足第一APT告警条件和/或所述日志信息满足第二APT告警条件,获取轨道交通车辆的网络中的多个维度的威胁信息。3.根据权利要求1所述的APT攻击处理方法,其特征在于,基于所述威胁信息还原APT攻击场景的过程包括:获取网络告警日志,从各所述网络告警日志中提取因果关系;所述威胁信息为所述网络告警日志中的告警信息;基于所述因果关系建立各所述告警日志中的告警信息的链式轨迹,得到异常告警链;从各所述异常告警链中确定构成APT攻击场景的目标告警链;基于所述目标告警链得到APT攻击场景。4.根据权利要求3所述的APT攻击处理方法,其特征在于,基于所述因果关系建立各所述告警日志中的告警信息的链式轨迹,得到异常告警链的过程包括:利用超告警方法,基于所述因果关系建立各所述告警日志中的告警信息的链式轨迹,得到异常告警链。5.根据权利要求3所述的APT攻击处理方法,其特征在于,从各所述异常告警链中确定构成APT攻击场景的目标告警链的过程包括:提取各所述异常告警链中的关键威胁主题的语义描述;基于所述关键威胁主题的语义描述确定所述异常告警链与APT攻击的关联关系;利用所述关联关系确定构成APT攻击场景的目标告警链。6.根据权利要求3所述的APT攻击处理方法,其特征在于,所述获取轨道交通车辆的网络中的多个维度的威胁信息的过程包括:获取情报检测系统和/或入侵检测系统和/或行为检测系统和/或动态检测系统和/或病毒检测系统和/或基因检测系统和/或沙箱检测系统输出的网络告警日志,以获取轨道交通车辆的网络中的多个维度的威胁信息。7.根据权利要求1
‑
6任一项所述的APT攻击处理方法,其特征在于,基于所述APT攻击链路确定攻击对象的过程包括:根据所述APT攻击链路溯源出攻击信息;所述攻击信息包括源IP和域名;基于所述攻击信息得到攻击对象。8.根据权利要求7所述的APT攻击处理方法,其特征在于,对所述攻击对象进行反制处理的过程包括:对所述攻击对象进行漏洞扫描,获取漏洞信息;基于所述漏洞信息对所述攻击对象进行反制处理。
9.根据权利要求8所述的APT攻击处理方法,其特征在于,基于所述漏洞信息对所述攻击对象进行反制...
【专利技术属性】
技术研发人员:梁建英,杜杰伟,刘韶庆,常振臣,贾冬晓,刘明明,
申请(专利权)人:国家高速列车青岛技术创新中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。