一种基于攻击技术识别的APT攻击路径推理方法技术

本发明专利技术属于网络安全技术领域，公开了一种基于攻击技术识别的APT攻击路径推理方法，包括构建攻击技术知识库，并挖掘出对应的攻击技术序列模式集；采集系统内核事件数据，从系统内核事件数据中提取报警事件列表，根据报警事件列表构建溯源图，基于报警事件列表中的每个报警事件从溯源图中提取溯源子图；基于溯源子图中每个节点的属性在攻击技术知识库中进行技术匹配，并根据技术匹配结果设置每个报警事件对应的攻击技术；基于攻击技术序列模式集构建攻击技术序列模式匹配树；将设置攻击技术后的报警事件与攻击技术序列模式匹配树进行模式匹配，并在模式匹配后输出APT攻击路径。本发明专利技术推理准确性高，所得到的APT攻击路径更加完整。

【技术实现步骤摘要】

本专利技术属于网络安全，具体涉及一种基于攻击技术识别的apt攻击路径推理方法。

技术介绍

1、高级持久性威胁（apt，advanced persistent threat）是一种复杂的网络攻击策略，与传统攻击不同，apt是由攻击者使用广泛的攻击技术和工具发起的一类复杂攻击。apt攻击者首先破坏目标环境中的主机或服务器，然后通过横向移动扩大攻击范围，进行内部侦察和数据泄露。其针对特定的目标进行长期、持续性的渗透和攻击，构成了严重威胁。apt攻击之所以危险，不仅因为它们的技术复杂性和隐蔽性，还在于它们能够持续数月乃至数年而不被察觉，这导致传统的网络安全检测方法难以取得良好的抵御效果。

2、因此apt攻击路径推理这一前沿的安全分析技术被提出，apt攻击路径推理是在全过程追溯和理解apt攻击的方法，即从最初的侦察阶段到最终的数据外泄，以及后续的清理痕迹过程。通过分析网络日志、端点活动、流量模式和系统行为，来识别和连接攻击者在被攻击的目标网络中留下的线索，形成一条条逻辑连贯的攻击路径。通过识别apt攻击的早期迹象，如异常的网络访问模式或未授权的系统活动，本文档来自技高网...

【技术保护点】

1.一种基于攻击技术识别的APT攻击路径推理方法，其特征在于，所述基于攻击技术识别的APT攻击路径推理方法，包括：

2.根据权利要求1所述的基于攻击技术识别的APT攻击路径推理方法，其特征在于，所述攻击技术知识库中的攻击技术为，其中为第个攻击技术，为第个攻击技术的编号，为第个攻击技术的名称，为第个攻击技术对应的IoC列表。

3.根据权利要求1所述的基于攻击技术识别的APT攻击路径推理方法，其特征在于，所述获取APT攻击威胁情报文档集，匹配攻击技术知识库和每一篇APT攻击威胁情报文档，挖掘出对应的攻击技术序列模式，得到攻击技术序列模式集，包括：</p>

4.根据...

【技术特征摘要】

1.一种基于攻击技术识别的apt攻击路径推理方法，其特征在于，所述基于攻击技术识别的apt攻击路径推理方法，包括：

2.根据权利要求1所述的基于攻击技术识别的apt攻击路径推理方法，其特征在于，所述攻击技术知识库中的攻击技术为，其中为第个攻击技术，为第个攻击技术的编号，为第个攻击技术的名称，为第个攻击技术对应的ioc列表。

3.根据权利要求1所述的基于攻击技术识别的apt攻击路径推理方法，其特征在于，所述获取apt攻击威胁情报文档集，匹配攻击技术知识库和每一篇apt攻击威胁情报文档，挖掘出对应的攻击技术序列模式，得到攻击技术序列模式集，包括：

4.根据权利要求3所述的基于攻击技术识别的apt攻击路径推理方法，其特征在于，所述序列模式挖掘算法的条件设置如下：

【专利技术属性】
技术研发人员：陈铁明，盛起，吕明琪，朱添田，路晓明，王晓明，康乾，
申请(专利权)人：浙江工业大学，
类型：发明
国别省市：

全部详细技术资料下载 我是这个专利的主人