【技术实现步骤摘要】
本申请涉及网络安全,具体而言,涉及一种apt攻击检测的方法、装置、存储介质及电子设备。
技术介绍
1、apt-advanced persistent threat-高级持续性威胁,是一种针对特定目标的持续网络攻击形式。
2、目前,在进行apt攻击检测时通过系统产生的审计日志数据构建攻击图,其只提取针对关键的实体对象进行提取和分析。然而,在实际的攻击活动中,通常会涉及到多种系统对象,因此,当前对apt攻击检测的范围较为局限,不能检测出潜在的攻击活动,对网络安全造成威胁。
3、因此,如何提供一种全面有效的apt攻击检测的方法的技术方案成为亟需解决的技术问题。
技术实现思路
1、本申请的一些实施例的目的在于提供一种apt攻击检测的方法、装置、存储介质及电子设备,通过本申请的实施例的技术方案可以提升apt攻击检测的全面性,并发现潜在的apt攻击方式,为网络安全提供了有效的安全保障。
2、第一方面,本申请的一些实施例提供了一种apt攻击检测的方法,包括:对目标日志数据进行解析,获取原始溯源图,其中,所述原始溯源图表征多个实体对象间的关系,所述原始溯源图由多个节点和多条边组成,一个节点对应一个实体对象;对所述原始溯源图进行威胁检测和模式匹配,得到攻击溯源子图;从所述攻击溯源子图中筛选出部分攻击溯源子图;基于所述原始溯源图对所述部分攻击溯源子图进行关联,生成目标攻击溯源子图,其中,所述目标攻击溯源子图用于检测apt攻击。
3、本申请的一些实施例通过
4、在一些实施例,在所述对目标日志数据进行解析,获取原始溯源图之前,所述方法还包括:采集多种来源的原始日志数据;对所述原始日志数据按照统一结构格式转换,并对所述原始日志数据进行过滤,得到所述目标日志数据。
5、本申请的一些实施例通过对多种来源的原始日志数据进行采集、过滤和格式转换得到目标日志数据,为后续apt攻击的全面分析提供数据基础。
6、在一些实施例,所述对目标日志数据进行解析,获取原始溯源图,包括:将所述目标日志数据解析为图数据对应的三元组数据,并存储至图数据库中,得到所述原始溯源图,其中,所述三元组数据表征所述目标日志数据中所述多个实体对象中每两个实体对象间的关系,所述实体对象包括:进程、文件、网络套接字、用户和命令。
7、本申请的一些实施例通过对目标日志数据进行解析得到适应于图数据的三元组数据并存储得到原始溯源图,可以实现对目标日志数据中实体对象的关联性处理。
8、在一些实施例,所述对所述原始溯源图进行威胁检测和模式匹配,得到攻击溯源子图,包括:按照威胁检测规则对所述原始溯源图进行威胁等级划分,并按照所述威胁等级对对应的所述多条边赋值,得到所述多条边中各边的威胁分值;将所述原始溯源图与预设攻击模式匹配,确定所述攻击溯源子图。
9、本申请的一些实施例通过威胁检测规则对关联的边进行赋值,之后再匹配预设攻击模式,确定出攻击溯源子图,可以实现对原始溯源图中攻击类型的等级分类。
10、在一些实施例,所述从所述攻击溯源子图中筛选出部分攻击溯源子图,包括:通过所述多条边中各边的威胁分值计算所述攻击溯源子图中各攻击溯源子图对应的各威胁分数;对所述各威胁分数进行排序,得到分数队列;选取所述分数队列中处于预设范围的部分威胁分数对应的所述部分攻击溯源子图。
11、本申请的一些实施例通过各边的威胁分值得到各攻击溯源子图对应的各威胁分数进而筛选出部分攻击溯源子图,既方便又高效。
12、在一些实施例,所述基于所述原始溯源图对所述部分攻击溯源子图进行关联,生成目标攻击溯源子图,包括:基于所述部分攻击溯源子图中各攻击溯源子图的威胁分数从所述部分攻击溯源子图中选择出至少两个攻击溯源子图;通过所述原始溯源图确认所述至少两个攻击溯源子图中的节点是否存在关联,确定所述目标攻击溯源子图。
13、本申请的一些实施例通过对原始溯源图和至少两个攻击溯源子图间节点的关联性分析确定目标攻击溯源子图,可以提升攻击模式分析的全面性,发现潜在的apt攻击,提升安全防御能力。
14、在一些实施例,所述实体对象为进程或网络套接字,其中,所述通过所述原始溯源图确认所述至少两个攻击溯源子图中的节点是否存在关联,确定所述目标攻击溯源子图,包括:获取所述至少两个攻击溯源子图中的目标节点,其中,所述目标节点为进程节点或网络套接字节点;确认所述至少两个攻击溯源子图中的目标节点在所述原始溯源图中存在关联,则通过添加边连接所述至少两个攻击溯源子图中的目标节点,并对所述边进行赋值,得到所述目标攻击溯源子图。
15、本申请的一些实施例通过对进程节点或网络套接字件节点的关联性进行分析,得到对应的目标攻击溯源子图,可以提升攻击模式分析的全面性。
16、在一些实施例,所述实体对象为进程和文件,其中,所述通过所述原始溯源图确认所述至少两个攻击溯源子图中的节点是否存在关联,确定所述目标攻击溯源子图,包括:获取所述至少两个攻击溯源子图中的进程节点和文件节点;确认所述至少两个攻击溯源子图中第i个攻击溯源子图的所述进程节点与所述第j个攻击溯源子图的所述文件节点在所述原始溯源图中存在关联,则通过添加边连接所述进程节点和所述文件节点,并对所述边进行赋值,得到所述目标攻击溯源子图,其中,i、j为正整数,i≠j。
17、本申请的一些实施例通过对进程节点和文件节点间的关联性进行分析,得到对应的目标攻击溯源子图,可以提升攻击模式分析的全面性。
18、第二方面,本申请的一些实施例提供了一种apt攻击检测的装置,包括:解析模块,被配置为对目标日志数据进行解析,获取原始溯源图,其中,所述原始溯源图表征多个实体对象间的关系,所述原始溯源图由多个节点和多条边组成,一个节点对应一个实体对象;分类模块,被配置为对所述原始溯源图进行威胁检测和模式匹配,得到攻击溯源子图;筛选模块,被配置为从所述攻击溯源子图中筛选出部分攻击溯源子图;生成模块,被配置为基于所述原始溯源图对所述部分攻击溯源子图进行关联,生成目标攻击溯源子图,其中,所述目标攻击溯源子图用于检测apt攻击。
19、第三方面,本申请的一些实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时可实现如第一方面任一实施例所述的方法。
20、第四方面,本申请的一些实施例提供一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其中,所述处理器执行所述程序时可实现如第一方面任一实施例所述的方法。
21、第五方面,本申请本文档来自技高网...
【技术保护点】
1.一种APT攻击检测的方法,其特征在于,包括:
2.如权利要求1所述的方法,其特征在于,在所述对目标日志数据进行解析,获取原始溯源图之前,所述方法还包括:
3.如权利要求1或2所述的方法,其特征在于,所述对目标日志数据进行解析,获取原始溯源图,包括:
4.如权利要求1或2所述的方法,其特征在于,所述对所述原始溯源图进行威胁检测和模式匹配,得到攻击溯源子图,包括:
5.如权利要求4所述的方法,其特征在于,所述从所述攻击溯源子图中筛选出部分攻击溯源子图,包括:
6.如权利要求1或2所述的方法,其特征在于,所述基于所述原始溯源图对所述部分攻击溯源子图进行关联,生成目标攻击溯源子图,包括:
7.如权利要求6所述的方法,其特征在于,所述实体对象为进程或网络套接字,其中,所述通过所述原始溯源图确认所述至少两个攻击溯源子图中的节点是否存在关联,确定所述目标攻击溯源子图,包括:
8.如权利要求6所述的方法,其特征在于,所述实体对象为进程和文件,其中,所述通过所述原始溯源图确认所述至少两个攻击溯源子图中的节点是否
9.一种APT攻击检测的装置,其特征在于,包括:
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,其中,所述计算机程序被处理器运行时执行如权利要求1-8中任意一项权利要求所述的方法。
11.一种电子设备,其特征在于,包括存储器、处理器以及存储在所述存储器上并在所述处理器上运行的计算机程序,其中,所述计算机程序被所述处理器运行时执行如权利要求1-8中任意一项权利要求所述的方法。
12.一种计算机程序产品,其特征在于,所述的计算机程序产品包括计算机程序,其中,所述的计算机程序被处理器运行时执行如权利要求1-8中任意一项权利要求所述的方法。
...【技术特征摘要】
1.一种apt攻击检测的方法,其特征在于,包括:
2.如权利要求1所述的方法,其特征在于,在所述对目标日志数据进行解析,获取原始溯源图之前,所述方法还包括:
3.如权利要求1或2所述的方法,其特征在于,所述对目标日志数据进行解析,获取原始溯源图,包括:
4.如权利要求1或2所述的方法,其特征在于,所述对所述原始溯源图进行威胁检测和模式匹配,得到攻击溯源子图,包括:
5.如权利要求4所述的方法,其特征在于,所述从所述攻击溯源子图中筛选出部分攻击溯源子图,包括:
6.如权利要求1或2所述的方法,其特征在于,所述基于所述原始溯源图对所述部分攻击溯源子图进行关联,生成目标攻击溯源子图,包括:
7.如权利要求6所述的方法,其特征在于,所述实体对象为进程或网络套接字,其中,所述通过所述原始溯源图确认所述至少两个攻击溯源子图中的节点是否存在关联,确定所述目标攻击溯...
【专利技术属性】
技术研发人员:谢鹏程,
申请(专利权)人:北京天融信网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。