[發(fā)明專(zhuān)利]基于同源性分析的APT攻擊識(shí)別及歸屬方法、系統(tǒng)和存儲(chǔ)介質(zhì)有效
| 申請(qǐng)?zhí)枺?/td> | 202011037709.0 | 申請(qǐng)日: | 2020-09-28 |
| 公開(kāi)(公告)號(hào): | CN112202759B | 公開(kāi)(公告)日: | 2021-09-07 |
| 發(fā)明(設(shè)計(jì))人: | 張倩青;李樹(shù)棟;吳曉波;韓偉紅;方濱興;田志宏;殷麗華;顧釗銓 | 申請(qǐng)(專(zhuān)利權(quán))人: | 廣州大學(xué) |
| 主分類(lèi)號(hào): | H04L29/06 | 分類(lèi)號(hào): | H04L29/06 |
| 代理公司: | 廣州市華學(xué)知識(shí)產(chǎn)權(quán)代理有限公司 44245 | 代理人: | 李斌 |
| 地址: | 510006 廣東省*** | 國(guó)省代碼: | 廣東;44 |
| 權(quán)利要求書(shū): | 查看更多 | 說(shuō)明書(shū): | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 基于 同源性 分析 apt 攻擊 識(shí)別 歸屬 方法 系統(tǒng) 存儲(chǔ) 介質(zhì) | ||
本發(fā)明公開(kāi)了一種基于同源性分析的APT攻擊識(shí)別及歸屬方法、系統(tǒng)和存儲(chǔ)介質(zhì),包括下述步驟:從監(jiān)控的威脅數(shù)據(jù)中采集APT相關(guān)的攻擊數(shù)據(jù),并提取定義的APT四元特征組中各集合中的特征元素值;與任意已有的某個(gè)APT組織庫(kù)中的APT攻擊特征元組進(jìn)行特征向量化;對(duì)兩組攻擊的特征向量計(jì)算相似性,發(fā)現(xiàn)該攻擊與選取APT攻擊的關(guān)系及所屬的組織,并將該攻擊樣本保存到APT組織庫(kù)中。本發(fā)明將IKC攻擊鏈與其他能區(qū)分APT組織的特征相融合形成多維特征集合,并結(jié)合權(quán)重進(jìn)行相似度計(jì)算,不僅可有效檢測(cè)APT攻擊事件,而且基于已知的APT組織庫(kù)可找到相似的APT攻擊,有利于構(gòu)建攻擊場(chǎng)景,跟蹤攻擊者,并有效識(shí)別后續(xù)出現(xiàn)的事件的APT攻擊組織。
技術(shù)領(lǐng)域
本發(fā)明屬于網(wǎng)絡(luò)安全的技術(shù)領(lǐng)域,具體涉及一種基于同源性分析的APT攻擊識(shí)別及歸屬方法、系統(tǒng)和存儲(chǔ)介質(zhì)。
背景技術(shù)
APT高級(jí)持續(xù)性威脅,是利用先進(jìn)的攻擊手法對(duì)特定的目標(biāo)進(jìn)行長(zhǎng)期持續(xù)性的網(wǎng)絡(luò)攻擊的攻擊形式。與傳統(tǒng)的網(wǎng)絡(luò)攻擊不同,APT攻擊具有針對(duì)性、連續(xù)性、先進(jìn)性、階段性、共享性、間接性等特點(diǎn),其攻擊手段變化多端、攻擊效果顯著且難以防范。結(jié)合國(guó)內(nèi)外各個(gè)安全研究機(jī)構(gòu)、安全廠(chǎng)商對(duì)APT威脅活動(dòng)的持續(xù)跟蹤和分析,可以看出APT攻擊組織大多有政府背景,而且很多APT組織開(kāi)發(fā)出自己獨(dú)特的網(wǎng)絡(luò)武器庫(kù),使用的攻擊方法、手段、流程皆相當(dāng)熟練,能掌握利用各種網(wǎng)絡(luò)攻擊對(duì)目標(biāo)實(shí)施打擊,常常配合人工智能使用0day攻擊,給企業(yè)、機(jī)構(gòu)、國(guó)家造成嚴(yán)重的損害,最危險(xiǎn)的是攻擊的目標(biāo)涵蓋了能源、電力、金融、國(guó)防等關(guān)系到國(guó)家核心利益的基礎(chǔ)設(shè)施。
APT攻擊的歸屬分析一直是APT威脅分析中最為重要的一個(gè)環(huán)節(jié),識(shí)別不同APT攻擊所采用的惡意軟件的同源性,有利于構(gòu)建攻擊場(chǎng)景,跟蹤攻擊者,甚至防御新的APT攻擊。另外,由于APT攻擊具有先進(jìn)性和共享性,同一APT組織發(fā)布的APT攻擊具有相似性,威脅共享是發(fā)現(xiàn)APT攻擊的重要支撐。
目前APT攻擊的識(shí)別和歸屬分析研究大部分依賴(lài)于安全專(zhuān)家的人工分析,分析過(guò)程中花費(fèi)的時(shí)間和人力資源的成本較高,效率過(guò)低;已有的自動(dòng)化分析方法中選取的靜態(tài)特征過(guò)于單一,而且會(huì)因?yàn)閻阂廛浖幕煜图託ぜ夹g(shù)使得特征提取困難,導(dǎo)致方法失效。
發(fā)明內(nèi)容
本發(fā)明的主要目的在于克服現(xiàn)有技術(shù)的缺點(diǎn)與不足,提供一種基于同源性分析的APT攻擊識(shí)別及歸屬方法、系統(tǒng)和存儲(chǔ)介質(zhì),不僅可有效檢測(cè)APT攻擊事件,而且基于已知的APT組織庫(kù)可找到相似的APT攻擊,有利于構(gòu)建攻擊場(chǎng)景,跟蹤攻擊者,并有效識(shí)別后續(xù)出現(xiàn)的事件的APT攻擊組織。
為了達(dá)到上述目的,本發(fā)明采用以下技術(shù)方案:
本發(fā)明提供的一種基于同源性分析的APT攻擊識(shí)別及歸屬方法,包括下述步驟:
從監(jiān)控的威脅數(shù)據(jù)中采集APT相關(guān)的攻擊數(shù)據(jù),并提取定義的APT四元特征組中各集合中的特征元素值;
與任意已有的某個(gè)APT組織庫(kù)中的APT攻擊特征元組進(jìn)行特征向量化;
對(duì)兩組攻擊的特征向量計(jì)算相似性,發(fā)現(xiàn)該攻擊與選取APT攻擊的關(guān)系及所屬的組織,并將該攻擊樣本保存到APT組織庫(kù)中。
作為優(yōu)選的技術(shù)方案,所述特征元素值的提取,具體為:
將APT攻擊長(zhǎng)期持續(xù)性的一系列活動(dòng)定義為一個(gè)4元組:IT=(IKC,Traffic,Tool,Target),每個(gè)攻擊根據(jù)元組中的類(lèi)別均可提取零到多個(gè)特征值;所述四元組中:
該專(zhuān)利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專(zhuān)利權(quán)人授權(quán)。該專(zhuān)利全部權(quán)利屬于廣州大學(xué),未經(jīng)廣州大學(xué)許可,擅自商用是侵權(quán)行為。如果您想購(gòu)買(mǎi)此專(zhuān)利、獲得商業(yè)授權(quán)和技術(shù)合作,請(qǐng)聯(lián)系【客服】
本文鏈接:http://www.17sss.com.cn/pat/books/202011037709.0/2.html,轉(zhuǎn)載請(qǐng)聲明來(lái)源鉆瓜專(zhuān)利網(wǎng)。
