1.基于同源性分析的APT攻擊識別及歸屬方法，其特征在于，包括下述步驟：

從監(jiān)控的威脅數(shù)據(jù)中采集APT相關(guān)的攻擊數(shù)據(jù)，并提取定義的APT四元特征組中各集合中的特征元素值，具體為：

將APT攻擊長期持續(xù)性的一系列活動定義為一個四元組:IT＝(IKC,Traffic,Tool,Target)，每個攻擊根據(jù)元組中的類別均可提取零到多個特征值；所述四元組中：

①IKC為攻擊過程集合，IKC＝(c₁,c₂,...,c₇)；使用攻擊鏈描述APT攻擊的各個階段以及其攻擊手段，將攻擊者的攻擊過程分解為7個步驟：c₁＝Reconnaissance偵察，c₂＝Weaponization武器構(gòu)建，c₃＝Delivery載荷投遞，c₄＝Exploitation漏洞利用，c₅＝Installation駐留，c₆＝C2命令控制，c₇＝Actions on Objectives采取行動；

②Traffic為攻擊中提取的流量數(shù)據(jù)的屬性集合，包括源IP、目的IP、源端口、目的端口和協(xié)議號，Traffic＝(sourceIP,destinationIP,sourcePort,destinationPort,protocol)；

③Tool為攻擊者使用的工具集合，工具集由一個或多個組件組成，APT組織通常自己開發(fā)工具集并實施攻擊，Tool＝(Component₁，Component₂，...，Component_n)；

④Target為攻擊目標集合，APT攻擊對攻擊目標針對性強，目標明確，Target＝(Target₁，Target₂，...，Target_n)；

與任意已有的某個APT組織庫中的APT攻擊特征元組進行特征向量化，具體為：

首先將攻擊數(shù)據(jù)IT的每個類別的元素值分別與APT_j相對應(yīng)的類別的元素值合并并對里面的元素值去重，得到Set_j＝(set₁,set₂,set₃,set₄)，然后分別獨立地對Set_j中的四個集合中的每個元素值進行索引編號；當(dāng)IT攻擊的Traffic集合數(shù)據(jù)為：Traffic_IT＝(sourceIP_IT,destinationIP_IT,sourcePort_IT,destinationPort_IT,protocol_IT)，在已知APT組織庫中任意選取某一APT_j，它的Traffic集合數(shù)據(jù)為再將Traffic_IT和的元素值將合并并去重得到set₂，然后對set₂每個元素值進行索引編號：依此類推，最后基于集合元素的索引編號使用one-hot編碼分別計算出Traffic_IT和的向量值，并得到兩個向量數(shù)組；

以此類推分別基于以上步驟計算出IT和APT_j的四個元組數(shù)據(jù)集合的向量數(shù)組得到：

對兩組攻擊的特征向量計算相似性，發(fā)現(xiàn)該攻擊與選取APT攻擊的關(guān)系及所屬的組織，并將該攻擊樣本保存到APT組織庫中，具體為：

基于生成的V_IT和攻擊向量特征，兩個對應(yīng)的向量集合之間分別計算余弦相似度，得到四個余弦值，然后各自乘以每個集合的權(quán)值w，得到IT和APT_j攻擊樣本的相似度；若相似度高于閾值ε，則判定這兩個攻擊同源，為同一攻擊組織所為，若該攻擊與已知APT組織庫中所有攻擊比較后相似度都不高于閾值ε，則初步認為該攻擊不是APT；其中，閾值ε的值依據(jù)APT組織庫中的實際數(shù)據(jù)情況進行設(shè)置。