System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind()
【技术实现步骤摘要】
本申请涉及信息安全,特别是涉及一种apt检测方法、装置、计电子设备及存储介质。
技术介绍
1、apt的全称为高级可持续威胁(advanced persistent threat)。高级指的是apt会使用非常先进的攻击手段,如0day漏洞以及未知的恶意软件,而传统的安全防御手段大多还是基于signature的检测手段,难以检测未知的apt。持续性指的是攻击针对性非常强,目的非常明确,攻击者通常会做大量的侦查工作,长期潜伏于企业中,慢慢地收集信息,并在特定的情况才会下爆发出来。目前apt攻击频繁被报道出来,一般攻击的对象是高价值目标,比如银行、军方、公司等。
2、apt攻击会给具有高价值信息的组织带来巨大的安全威胁,一个理想化的apt检测系统需要能够快速地检测到apt攻击,此外,由于apt恶意行为样本本身数据量较少,且新的apt攻击样本数据更少。因此,如何快速有效地检测出apt攻击、且能够检测出未标记的apt攻击,成为了一个重大问题。
技术实现思路
1、基于此,有必要针对上述技术问题,本申请提供了一种apt检测方法,包括:获取待检测设备的每一个进程和其第一关联进程的行为所对应的att&ck战术阶段和发生时间,所述第一关联进程包括该进程向下1~maxlayers级的子孙进程,maxlayers大于或等于2;
2、根据每一个进程和其第一关联进程的行为所对应的att&ck战术阶段和发生时间判断该进程是否存在apt攻击。
3、所述获取待检测设
4、获取待检测设备每一个进程的日志,所述日志包括进程的各个行为及该行为的发生时间;
5、针对待检测设备的每一个进程,基于所述的日志判断该进程的各个行为是否为att&ck技术,在为att&ck技术时,将该att&ck技术所属的战术阶段、战术阶段的发生时间作为该进程的标签,并将该标签传递给该进程的第二关联进程,所述第二关联进程包括该进程向上1~maxlayers级的父进程和/或祖先进程;所述战术阶段的发生时间为该进程中对应行为的发生时间。
6、所述基于所述的日志判断该进程的各个行为是att&ck技术包括:基于进程的日志识别该进程所包括的行为,并判断识别得到的各个行为是否为att&ck技术。
7、作为优选,所述maxlayers=4。
8、进一步,所述根据每一个进程和其第一关联进程的行为所对应的att&ck战术阶段和发生时间判断该进程是否存在apt攻击包括:
9、根据每个进程的标签判断该进程是否满足预定条件,若满足预定条件,则认为存在apt攻击,所述预定条件为该进程的所有标签中存在至少对应有预定数量的战术阶段的标签子集,且该标签子集中所有标签对应的战术阶段的顺序值按照发生时间顺序不减、任意时间相邻的两个战术阶段的发生时间的差值小于预定的时间阈值,所述顺序值为预先定义的用于表示战术阶段发生的先后顺序。
10、进一步,所述根据每个进程的标签判断该进程是否满足预定条件包括:
11、根据标签中的战术阶段的顺序值和发生时间从该进程的所有标签中选定目标标签子集,所述目标标签子集为该进程的所有标签在按照战术阶段的发生时间顺序排列时,满足其中任意相邻两个标签的发生时间的差值小于时间阈值、战术阶段的顺序值在时间上不递减,且标签数量最多的标签集合;
12、判断该目标标签子集对应的战术阶段是否包括至少预定数量的战术阶段;
13、若包括,则认为满足预定条件。
14、本专利技术还提供了一种apt检测装置,包括:
15、第一模块,用于获取待检测设备的每一个进程和其第一关联进程的行为所对应的att&ck战术阶段和发生时间,所述第一关联进程包括该进程向下1~maxlayers级的子孙进程,maxlayers大于或等于2;
16、第二模块,用于根据每一个进程和其第一关联进程的行为所对应的att&ck战术阶段和发生时间判断该进程是否存在apt攻击。
17、本专利技术还提供了一种电子设备,包括:
18、处理器;以及
19、存储器,所述存储器上存储有计算机可读指令,所述计算机可读指令被所述处理器执行时实现上述的apt检测方法。
20、本专利技术还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述的apt检测方法。
21、上述apt检测方法、装置、计算机设备和存储介质,通过进程之间的关联关系确定各个进程所涉及到的att&ck战术阶段和发生时间,并根据att&ck战术阶段和发生时间的关系进行apt检测判断,检测准确率高,几乎没有误报。此外,基于本专利技术的方法进行apt检测时还能够非常清晰地通过画攻击相关进程的进程树作为攻击路径图来展现攻击的每一个细节,攻击路径图中几乎没有与攻击无关的节点,攻击路径图的每一条边完整且清晰地展现了攻击的每一个步骤;如果攻击持续进行,后续的攻击涉及到的进程会继续更新在先前的攻击路径图中。
本文档来自技高网...【技术保护点】
1.一种APT检测方法,其特征在于,包括:
2.如权利要求1所述的APT检测方法,其特征在于,所述获取待检测设备的每一个进程和其第一关联进程的行为所对应的ATT&CK战术阶段和发生时间包括:
3.如权利要求2所述的APT检测方法,其特征在于,所述基于所述的日志判断该进程的各个行为是否为ATT&CK技术包括:基于进程的日志识别该进程所包括的行为,并判断识别得到的各个行为是否为ATT&CK技术。
4.如权利要求2所述的APT检测方法,其特征在于,所述maxLayers=4。
5.如权利要求2所述的APT检测方法,其特征在于,所述根据每一个进程和其第一关联进程的行为所对应的ATT&CK战术阶段和发生时间判断该进程是否存在APT攻击包括:
6.如权利要求5所述的APT检测方法,其特征在于,所述根据每个进程的标签判断该进程是否满足预定条件包括:
7.一种APT检测装置,其特征在于,包括:
8.一种电子设备,包括:
9.一种计算机可读存储介质,其上存储有计算机程序,
...【技术特征摘要】
1.一种apt检测方法,其特征在于,包括:
2.如权利要求1所述的apt检测方法,其特征在于,所述获取待检测设备的每一个进程和其第一关联进程的行为所对应的att&ck战术阶段和发生时间包括:
3.如权利要求2所述的apt检测方法,其特征在于,所述基于所述的日志判断该进程的各个行为是否为att&ck技术包括:基于进程的日志识别该进程所包括的行为,并判断识别得到的各个行为是否为att&ck技术。
4.如权利要求2所述的apt检测方法,其特征在于,所述maxlayers=4。<...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。