CN103312679B - 高级持续威胁的检测方法和*** - Google Patents
高级持续威胁的检测方法和*** Download PDFInfo
- Publication number
- CN103312679B CN103312679B CN201210068888.3A CN201210068888A CN103312679B CN 103312679 B CN103312679 B CN 103312679B CN 201210068888 A CN201210068888 A CN 201210068888A CN 103312679 B CN103312679 B CN 103312679B
- Authority
- CN
- China
- Prior art keywords
- attack
- event
- scenarios
- sequence
- attack step
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种高级持续威胁的检测方法和***。所述方法,包括:获取高级持续威胁的各攻击场景所包括的攻击步骤以及用于判断每个攻击步骤前后攻击步骤是否存在的关联规则,其中每个攻击步骤对应多个不同的能够实现该攻击步骤的事件;获取网络入侵的检测结果,记录网络中发生的报警事件;如果报警事件为某一攻击场景中攻击步骤所对应的事件,则触发高级持续威胁的检测流程,对得到的攻击序列进行处理,将得到的处理结果作为高级持续威胁信息进行输出。
Description
技术领域
本发明涉及信息安全领域,尤其涉及一种高级持续威胁的检测方法和***。
背景技术
随着黑客攻击行为的组织性、趋利性越来越强,APT(AdvancedPersistentThreat,高级持续威胁)已经成为了政府和各大企业信息***最严重的威胁。宏观网络安全监控具备监控范围广、涉及重点单位多的特点,是检测APT攻击的理想环境。
从技术上看,APT不是一种新的攻击手法,而是一类特定攻击的总称,即攻击者为了获取某个组织甚至是国家的重要信息,有针对性的进行一系列攻击行为的整个过程。APT攻击利用了多种攻击手段,包括各种最新的攻击方法和社会工程学方法,一步一步的获取进入组织内部的权限。为了避免被入侵检测设备发现,攻击者往往会针对被攻击对象编写专门的攻击程序,而非使用一些通用的攻击代码。
基于传统的入侵检测技术可以通过先构建攻击场景、然后匹配场景中的具体步骤的方法实现对APT的检测。但该方法存在以下不足:
1)由于APT的多样性,难以覆盖所有的攻击场景,从而难以全面检测。攻击者为了达到特定的目标,可以通过多种多样的途径,作为防御者很难穷举所有可能的场景,一旦场景构建出现遗漏将会造成检测上的漏报。
2)APT往往采用加密方式传输敏感信息,旁路监听难以检测。攻击者一旦入侵成功,往往会通过加密通道将窃取的敏感信息外传,作为旁路检测设备对于加密后的数据将无法匹配。
3)APT攻击往往会基于zeroday漏洞进行渗透,传统的基于特征匹配的入侵检测设备在特征上存在滞后性。一旦错过了对攻击行为的实时检测,即使后来对检测特征进行了更新、具备了检测能力,也无法回溯APT攻击的过程。
4)APT攻击是持续时间很长的攻击过程,其攻击目的通常并非为了某一次的利益获取而是希望能够保持长期的收益,这就使得APT攻击过程中的每一个攻击步骤都是不易察觉的,使用传统入侵检测可能只会发现一些威胁程度很低的安全事件无法引起管理员的充分重视。
基于上述的不足,可以得出,APT检测的难点在于攻击者的行为是在一个时间窗内展开的,而传统的入侵检测设备是基于时间点的实时检测,缺少检测上下文环境的支持。因此有必要提出一种能够实现对于APT攻击进行有效检测的方案。
发明内容
本发明提供一种高级持续威胁的检测方法和***,要解决的技术问题是如何结合历史事件检测出APT攻击。
为解决上述技术问题,本发明提供了如下技术方案:
一种高级持续威胁的检测方法,包括:
获取高级持续威胁的各攻击场景所包括的攻击步骤以及用于判断每个攻击步骤前后攻击步骤是否存在的关联规则,其中每个攻击步骤对应多个不同的能够实现该攻击步骤的事件;
获取网络入侵的检测结果,记录网络中发生的报警事件;
如果报警事件为某一攻击场景中攻击步骤所对应的事件,则触发高级持续威胁的检测流程,包括:
如果报警事件为攻击场景中初始的攻击步骤所对应的事件,则将所述当前网络中的事件直接作为该攻击场景所对应的一条新的攻击序列保存;
如果报警事件不是攻击场景中初始的攻击步骤所对应的事件,则根据记录的关联规则,判断所述报警事件与该攻击场景所对应的攻击序列中已记录的事件之间是否存在关联关系,如果存在,则将报警事件直接添加到该攻击序列中;
对得到的攻击序列进行处理,将得到的处理结果作为高级持续威胁信息进行输出。
优选的,所述方法还具有如下特点:所述触发高级持续威胁的检测流程还包括:
如果报警事件不是该攻击场景中初始攻击步骤所对应的事件,与该攻击场景所对应的攻击序列中已记录的事件之间也不存在关联关系,则为已记录的攻击步骤中与同一攻击步骤存在关联关系的两个攻击步骤建立关联关系;
根据新得到的关联规则,判断所述报警事件与该攻击场景所对应的攻击序列中已记录的事件之间是否存在关联关系,如果存在,则将报警事件直接添加到该攻击序列中。
优选的,所述方法还具有如下特点:触发高级持续威胁的检测流程还包括:
如果某一攻击场景中一特定攻击步骤与前一攻击步骤或后一攻击步骤没有关联规则,如果检测到的报警事件有该攻击场景中前一攻击步骤和后一攻击步骤所对应的事件,则获取前一攻击步骤和后一攻击步骤所对应的报警事件发生的时间区间;
从历史记录的事件中查询该时间区间中属于该特定攻击步骤的事件;
如果查找到,对该攻击场景的攻击序列进行更新。
一种高级持续威胁的检测***,包括:
获取装置,用于获取高级持续威胁的各攻击场景所包括的攻击步骤以及用于判断每个攻击步骤前后攻击步骤是否存在的关联规则,其中每个攻击步骤对应多个不同的能够实现该攻击步骤的事件;
记录装置,与所述获取装置相连,用于获取网络入侵的检测结果,记录网络中发生的报警事件;
检测装置,与所述记录装置相连,用于在报警事件为某一攻击场景中攻击步骤所对应的事件时,触发高级持续威胁的检测流程,包括:
如果报警事件为攻击场景中初始的攻击步骤所对应的事件,则将所述当前网络中的事件直接作为该攻击场景所对应的一条新的攻击序列保存;
如果报警事件不是攻击场景中初始的攻击步骤所对应的事件,则根据记录的关联规则,判断所述报警事件与该攻击场景所对应的攻击序列中已记录的事件之间是否存在关联关系,如果存在,则将报警事件直接添加到该攻击序列中;
输出装置,与所述检测装置相连,用于对得到的攻击序列进行处理,将得到的处理结果作为高级持续威胁信息进行输出。
优选的,所述***还具有如下特点:所述***还包括:
触发装置,与所述检测装置和所述记录装置相连,用于在报警事件不是该攻击场景中初始攻击步骤所对应的事件,与该攻击场景所对应的攻击序列中已记录的事件之间也不存在关联关系时,为已记录的攻击步骤中与同一攻击步骤存在关联关系的两个攻击步骤建立关联关系,再根据新得到的关联规则,判断所述报警事件与该攻击场景所对应的攻击序列中已记录的事件之间是否存在关联关系,如果存在,则将报警事件直接添加到该攻击序列中。
优选的,所述***还具有如下特点:所述检测装置还包括:
获取模块,用于在某一攻击场景中某一特定攻击步骤与前一攻击步骤或后一攻击步骤没有关联规则时,如果检测到的报警事件有该攻击场景中前一攻击步骤和后一攻击步骤所对应的事件,则获取前一攻击步骤和后一攻击步骤所对应的报警事件发生的时间区间;
查询模块,与所述获取模块相连,用于从历史记录的事件中查询该时间区间中属于该特定攻击步骤的事件;
更新模块,与所述查询模块相连,用于在所述查询模块查找到该特定攻击步骤的事件后,对该攻击场景的攻击序列进行更新。
本发明的产生的有益效果是:解决了一般的防火墙或入侵检测产品无法对历史数据进行再次分析,从而无法发现攻击者基于0-day漏洞进行的攻击行为的问题,同时解决了一般的入侵检测***对于APT攻击行为的每一个步骤无法通过可回溯的关联分析进行整体攻击行为序列威胁性评估的问题。采用了基于存储的检测方式,通过可回溯的规则关联技术,发现具有相关性的攻击行为序列,从而将APT攻击行为的威胁性进行整体性评估。在一定程度上提高了***对于APT攻击的检测能力,能够发现符合预先设定的攻击场景的APT攻击行为并为用户或管理人员展示可能发生的APT攻击行为或安全隐患,有助于管理***或管理人员对当前***的敏感数据的全面把握及防护,具有很好的性能和准确性,可广泛应用于网络安全检测产品中。
附图说明
图1为本发明提供的高级持续威胁的检测方法实施例的流程示意图;
图2为本发明提供的高级持续威胁的检测***实施例的结构示意图;
图3为本发明提供的高级持续威胁的检测***应用实例的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图及具体实施例对本发明作进一步的详细描述。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
为了便于理解,首先对下述概念进行解释:
攻击场景是由至少两个攻击步骤组成的,例如攻击场景可以是“漏洞扫描+缓冲区溢出攻击+后门植入”,其中漏洞扫描、缓冲区溢出攻击和后门植入是攻击步骤,且顺序如上所示。
其中,对于攻击场景的设定类似于对IDS事件的设定,在进行攻击场景设定的时候需要满足以下的要求:
1、攻击场景当中的每一个攻击步骤应准确,不应为事件分类带来不确定性。
2、对于攻击场景中的每一步骤按照当前的IDS事件语言定义的属性,应给出各步骤间进行关联所使用的规则,即该规则用于查找某一攻击步骤在该攻击场景中前后攻击步骤是否已经存在。例如:沿用上述实例攻击场景设定为漏洞扫描+缓冲区溢出攻击+后门植入。对于缓冲区溢出攻击这一步骤。设定其双向关联规则为前一步骤的目的IP=后一步骤的目的IP。这说明当检测到缓冲区溢出攻击类事件的时候,将依赖此规则寻找攻击场景中前后可关联的攻击步骤是否存在。
3、对于攻击场景中的各步骤的关联规则的设定应具有层次划分。例如:设定攻击场景为A+B+C+D+E时,当发现攻击步骤C时,除了设定由C关联到步骤B和D的规则以外,还应在可能的情况下设置关联到其他步骤如A和E的规则。沿用上面的实例。攻击场景设定为漏洞扫描+缓冲区溢出攻击+后门植入中,如果检测到了后门植入这一攻击步骤,可以设定缓冲区溢出攻击步骤与后门植入步骤间的关联规则为前一步骤的目的IP=后一步骤的目的IP。此外在后门植入步骤的关联规则中进行次一级的规则设定为漏洞扫描步骤与后门植入步骤间的关联规则为前一步骤的目的IP=后一步骤的目的IP。
另外,同一个攻击步骤可以有不同技术手段来实现,而能够实现该攻击步骤的全部事件可以作为一类事件。例如,攻击步骤为漏洞扫描时,其对应的事件类为漏洞扫描事件类,而现有技术中是能够实现漏洞扫描功能的事件都在该漏洞扫描事件类中。
如果网络中发生的某一报警事件为某一攻击场景中攻击步骤所对应的事件,将该网络中发生的事件作为一个攻击序列记录下来,如检测到一个漏洞扫面事件,则将该事件作为一个攻击序列记录下来。
下面对本发明提供的检测高级持续威胁的方法进行说明,该方法包括:
图1为本发明提供的高级持续威胁的检测方法实施例的流程示意图。图1所示方法实施例,包括:
步骤11、获取高级持续威胁的各攻击场景所包括的攻击步骤以及用于判断每个攻击步骤前后攻击步骤是否存在的关联规则,其中每个攻击步骤对应多个不同的能够实现该攻击步骤的事件;
步骤12、获取网络入侵的检测结果,记录网络中发生的报警事件;
步骤13、如果报警事件为某一攻击场景中攻击步骤所对应的事件,则触发高级持续威胁的检测流程,包括:
如果报警事件为攻击场景中初始的攻击步骤所对应的事件,则将所述当前网络中的事件直接作为该攻击场景所对应的一条新的攻击序列保存;
如果报警事件不是攻击场景中初始的攻击步骤所对应的事件,则根据记录的关联规则,判断所述报警事件与该攻击场景所对应的攻击序列中已记录的事件之间是否存在关联关系,如果存在,则将报警事件直接添加到该攻击序列中;
步骤14、对得到的攻击序列进行处理,将得到的处理结果作为高级持续威胁信息进行输出。
由于APT攻击由一系列步骤组成,其可能的暴漏点往往位于攻击路径的后端,因此,本发明提供的技术方案通过对实时流量的检测,在出现可疑行为(例如未知的外部连接、异常加密通信等)后,能够回溯到之前的历史流量中进行深度分析和关联,发现可能存在的APT攻击及安全隐患,避免核心数据被破坏或流失,提高网络***的防护能力。
下面对本发明提供的方法作进一步说明:
实施例一
步骤101、获取用户所设置的各攻击场景的攻击步骤以及用于判断每个攻击步骤前后攻击步骤是否存在的关联规则,其中每个攻击步骤对应多个不同的用于实现该攻击步骤的事件。
步骤102、实时进行入侵检测,获取网络中发生的报警事件。
步骤103、如果报警事件为某一攻击场景中攻击步骤所对应的事件,则触发APT攻击状态检测流程,具体包括:
如果报警事件为攻击场景中初始的攻击步骤所对应的事件,则将所述当前网络中的事件直接作为该攻击场景所对应的一条新的攻击序列保存;
如果报警事件不是初始的攻击步骤所对应的事件,则判断已保存的攻击序列中所述报警事件与攻击序列中已记录的事件之间是否存在关联关系,如果存在,则将报警事件直接添加到该攻击序列中。
举例来说,如果检测到一缓存溢出事件,如果有一条攻击序列中记录有漏洞扫描事件,则直接将该缓存溢出事件增加到该攻击序列中。
步骤104、对更新过得APT攻击序列进行整体威胁评估并输出评估结果给用户或管理员。
实施例二
与实施例一不同的是,报警事件非某种ATP攻击模式序列的初始状态,同时也无法精确关联到储存的APT攻击序列库中某一ATP攻击序列的下一状态,则执行如下操作:
ATP检测引擎加载最新最全面的攻击特征及分析策略对历史数据进行深度数据检测。具体来说:
步骤201、在任意两个攻击步骤均与同一攻击步骤存在关联关系时,将该任意两个攻击步骤归并为存在关联关系;
下文中用大写字母表示攻击步骤,小写字母表示该攻击步骤所对应的事件,如攻击步骤A,该攻击步骤所对应的事件为a。
对于攻击步骤之间的归并,举例来说:
当攻击步骤A关联攻击步骤B,攻击步骤B关联攻击步骤C时,归并为攻击步骤A关联攻击步骤B关联攻击步骤C;
当攻击步骤A关联攻击步骤B关联攻击步骤C,攻击步骤B关联攻击步骤C关联攻击步骤D时,归并为攻击步骤A关联攻击步骤B关联攻击步骤C关联攻击步骤D。
依照上述归并原则,根据攻击步骤的关联结果,对每个攻击步骤所对应的事件集合进行两两关联;然后反复对关联结果进行归并,得到最终的关联结果。
相应的,由于攻击步骤两两建立了关联,那么相应的每个攻击步骤所对应的事件结合也就相应存在了关联关系。
这样做的目的是,能够对已发生的事件进行有效的关联,因为,在某些场景下,攻击者并不会按照攻击场景中攻击步骤的顺序发起攻击,因此,如果不将一个攻击步骤与前面和后面的至少两个攻击步骤相连,就很难发现同一攻击者为完成该攻击所作出的攻击行为,对检测APT攻击十分不利。
步骤202、采用新得到的关联关系,再次根据新得到的关联规则,判断所述报警事件与该攻击场景所对应的攻击序列中已记录的事件之间是否存在关联关系,如果存在,则将报警事件直接添加到该攻击序列中。
对历史数据的最新检测事件集合与当前ATP攻击序列库里存储的所有APT攻击序列依据预定的关联规则进行关联。
例如:当某种攻击模式定义为“A+B+C+D+E”,当前的APT攻击序列库中存储了当前检测序列为“a+b+c+d”,此时检测到的事件为e,并且e是事件类E中的一个,则关联的结果为(A+B+C+D+E:“a+b+c+d+e”)。
如果当前APT攻击序列库中存储了当前检测序列为“a+b+c”,此时检测到的事件为e,依据我们攻击场景设定步骤中设定的分层次的关联,虽然步骤D中的事件未被检测到,但如果预先定义的关联规则中存在步骤C和E的关联规则,则关联结果为(A+B+C+D+E:“a+b+c+*+e”)。此时将调用流存储装置提取事件c及事件e之间的数据并加载最新的时间特征库进行深入检测。若检测到步骤D中的事件d则将关联结果更新为(A+B+C+D+E:“a+b+c+d+e”),否则(A+B+C+D+E:“a+b+c+*+e”)作为当前关联结果。然后再采用上述的关联结果归并原则对关联结果进行进一步的归并。
又如:当规则关联的结果对应于某些攻击模式中的某些步骤,但是无法构成完整的攻击模式时,规则关联模块产生所有可能的攻击序列。例如:预先定义的两种攻击模式为“A+B+C+D+E”和“A+B+X+D+E”,规则匹配的结果为“a+b”和“d+e”。其中a、b、d、e分别是符合攻击模式中A、B、D、E步骤的检测到的事件。但是其中的攻击事件b和d无法通过如上述的规则关联进行关联,也就是说攻击事件b和d之间不存在可关联的属性。此时将我们将根据可能符合的攻击模式产生相应的攻击序列。上述情况中,产生的可能的攻击序列为(A+B+C+D+E:“a+b+*+d+e”;A+B+X+D+E:“a+b+*+d+e”)。同时输出*事件发生的时间范围。当加载更新特征库时,对该时间范围内的历史数据进行再次分析以确定正确的规则关联结果。此时若匹配的两种攻击模式具有后续步骤的时候,也可根据后续检测结果判断当前真实的攻击序列。
实施例三
如果在采用实施例二的方法处理该攻击序列与已存在的攻击序列相关,则在ATP攻击序列库中增加新的攻击序列条目;
若产生的新攻击序列是唯一的(即输出结果中攻击模式唯一),如(A+B+C+D+E:“a+b+*+d+e”)。而此时存储的ATP攻击序列库中存在相关的攻击序列为(A+B+C+D+E:“a+b”),则将存储的攻击序列替换为新的攻击序列。
若此时存储的ATP攻击序列库中存在相关的攻击序列如(A+B+C+D+E:“a+b+*+*+e”;A+B+X+D+E:“a+b+*+*+e”);则更新存储的攻击序列为(A+B+C+D+E:“a+b+*+d+e”)并删除不匹配的攻击模式(A+B+X+D+E:“a+b+*+*+e”)。
若产生的的攻击序列为(A+B+C+D+E:“*+*+c+d+e”),当前存储的ATP攻击序列库中存在相关的攻击序列如(A+B+C+D+E:“a+b+c+*+*”)。此时攻击模式相同,并且攻击序列中的c为同一事件时,将攻击序列合并存储为(A+B+C+D+E:“a+b+c+d+e”)。
对于无法确定唯一的攻击场景时,尽可能的保留可能的攻击模式及攻击序列;依赖后续更新的检测结果增加攻击序列的确定性,并去除匹配失败的非确定性的攻击序列。
图2为本发明提供的高级持续威胁的检测***的结构示意图。结合上文所述的方法,图2所示***实施例包括:
获取装置21,用于获取高级持续威胁的各攻击场景所包括的攻击步骤以及用于判断每个攻击步骤前后攻击步骤是否存在的关联规则,其中每个攻击步骤对应多个不同的能够实现该攻击步骤的事件;
记录装置22,与所述获取装置21相连,用于获取网络入侵的检测结果,记录网络中发生的报警事件;
检测装置23,与所述记录装置22相连,用于如果报警事件为某一攻击场景中攻击步骤所对应的事件,则触发高级持续威胁的检测流程,包括:
如果报警事件为攻击场景中初始的攻击步骤所对应的事件,则将所述当前网络中的事件直接作为该攻击场景所对应的一条新的攻击序列保存;
如果报警事件不是攻击场景中初始的攻击步骤所对应的事件,则根据记录的关联规则,判断所述报警事件与该攻击场景所对应的攻击序列中已记录的事件之间是否存在关联关系,如果存在,则将报警事件直接添加到该攻击序列中;
输出装置24,与所述检测装置23相连,用于对得到的攻击序列进行处理,将得到的处理结果作为高级持续威胁信息进行输出。
其中,所述***还包括:
触发装置,与所述检测装置和所述记录装置相连,用于在报警事件不是该攻击场景中初始攻击步骤所对应的事件,与该攻击场景所对应的攻击序列中已记录的事件之间也不存在关联关系时,为已记录的攻击步骤中与同一攻击步骤存在关联关系的两个攻击步骤建立关联关系,再采用新得到的关联关系根据新得到的关联规则,判断所述报警事件与该攻击场景所对应的攻击序列中已记录的事件之间是否存在关联关系,如果存在,则将报警事件直接添加到该攻击序列中。
可选的,所述检测装置还包括:
获取模块,用于在某一攻击场景中某一特定攻击步骤与前一攻击步骤或后一攻击步骤没有关联规则时,如果检测到的报警事件有该攻击场景中前一攻击步骤和后一攻击步骤所对应的事件,则获取前一攻击步骤和后一攻击步骤所对应的报警事件发生的时间区间;
查询模块,与所述获取模块相连,用于从历史记录的事件中查询该时间区间中属于该特定攻击步骤的事件;
更新模块,与所述查询模块相连,用于在所述查询模块查找到该特定攻击步骤的事件后,对该攻击场景的攻击序列进行更新。
下面对本发明提供的***作进一步介绍:
图3为本发明提供的高级持续威胁的检测***应用实例的结构示意图。本实施例是上述实施例所述的方法的虚拟装置或者说***,本实施例中的***包括:负责依据实际捕获的数据报文进行实时入侵检测的IDS实时检测***;存储了预先定义的事件分类规则及APT攻击场景的APT攻击场景库;存储当前处于检测中的APT攻击序列当前状态的APT攻击序列库;依据智能分析平台需要提供历史数据的流存储装置;根据流存储装置提供的历史数据,加载最新检测事件及特征对历史数据进行再次检测的APT检测引擎;***的核心平台一智能分析平台,负责依据预设的APT攻击场景及当前的网络事件触发关联分析功能并依据APT检测引擎提供的最新事件进行当前事件与APT攻击序列库中存储的攻击序列进行智能分析,对APT攻击序列库中的APT攻击序列进行更新。同时对每一个攻击序列进行威胁性评估并输出检测结果。
其中,APT攻击场景库实现了事件分类及攻击场景设定的功能;IDS实时检测***实现了如实施例三中所述的对网络报文进行实时入侵检测的功能;流存储装置、APT攻击序列库及智能分析平台功能实现了如实施例四及实施例五所述的规则关联分析、APT攻击序列更新及威胁评估的功能。
本发明提供的***实施例,在实际网络环境中,使用IDS(入侵检测***)进行实时入侵检测,生成当前网络事件,并结合预先设定的事件分类及APT攻击场景判断是否需要对历史数据进行智能分析。针对预设的APT攻击场景建立可回溯的事件关联模型,并以该模型对当前检测事件及存储的历史事件进行关联分析,以确定所发生攻击行为是否具有相关性。并基于预设的攻击场景中的攻击步骤的威胁系数判断智能分析得到的相关攻击序列的威胁程度,将看上去威胁程度很低的单一攻击行为关联成为高威胁的攻击行为序列。本发明基于IDS设备的实时检测能力及可回溯的关联分析技术对实际网络数据及事件进行实时检测及智能分析,能够发现符合预先设定的攻击场景的APT攻击,并且根据检测到的攻击行为可以评估该攻击序列造成的威胁程度,从而在一定程度上反映出可能存在的APT攻击及当前状态下的威胁程度上报给用户或管理员,为***提供防护功能。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求所述的保护范围为准。
Claims (4)
1.一种高级持续威胁的检测方法,其特征在于,针对预设的高级持续威胁攻击场景建立可回溯的事件关联模型,并以该模型对当前检测事件及存储的历史事件进行关联分析,以确定所发生攻击行为是否具有相关性,将看上去威胁程度很低的单一攻击行为关联成为高威胁的攻击行为序列,包括:
获取高级持续威胁的各攻击场景所包括的攻击步骤以及用于判断每个攻击步骤前后攻击步骤是否存在的关联规则,其中每个攻击步骤对应多个不同的能够实现该攻击步骤的事件;
获取网络入侵的检测结果,记录网络中发生的报警事件;
如果报警事件为某一攻击场景中攻击步骤所对应的事件,则触发高级持续威胁的检测流程,包括:
如果报警事件为攻击场景中初始的攻击步骤所对应的事件,则将当前网络中的事件直接作为该攻击场景所对应的一条新的攻击序列保存;
如果报警事件不是攻击场景中初始的攻击步骤所对应的事件,则根据记录的关联规则,判断所述报警事件与该攻击场景所对应的攻击序列中已记录的事件之间是否存在关联关系,如果存在,则将报警事件直接添加到该攻击序列中;
如果报警事件不是该攻击场景中初始攻击步骤所对应的事件,与该攻击场景所对应的攻击序列中已记录的事件之间也不存在关联关系,则为已记录的攻击步骤中与同一攻击步骤存在关联关系的两个攻击步骤建立关联关系;根据新得到的关联规则,判断所述报警事件与该攻击场景所对应的攻击序列中已记录的事件之间是否存在关联关系,如果存在,则将报警事件直接添加到该攻击序列中;
对得到的攻击序列进行处理,将得到的处理结果作为高级持续威胁信息进行输出。
2.根据权利要求1所述的方法,其特征在于,触发高级持续威胁的检测流程还包括:
如果某一攻击场景中一特定攻击步骤与前一攻击步骤或后一攻击步骤没有关联规则,如果检测到的报警事件有该攻击场景中前一攻击步骤和后一攻击步骤所对应的事件,则获取前一攻击步骤和后一攻击步骤所对应的报警事件发生的时间区间;
从历史记录的事件中查询该时间区间中属于该特定攻击步骤的事件;
如果查找到,对该攻击场景的攻击序列进行更新。
3.一种高级持续威胁的检测***,其特征在于,针对预设的高级持续威胁攻击场景建立可回溯的事件关联模型,并以该模型对当前检测事件及存储的历史事件进行关联分析,以确定所发生攻击行为是否具有相关性,将看上去威胁程度很低的单一攻击行为关联成为高威胁的攻击行为序列,包括:
获取装置,用于获取高级持续威胁的各攻击场景所包括的攻击步骤以及用于判断每个攻击步骤前后攻击步骤是否存在的关联规则,其中每个攻击步骤对应多个不同的能够实现该攻击步骤的事件;
记录装置,与所述获取装置相连,用于获取网络入侵的检测结果,记录网络中发生的报警事件;
检测装置,与所述记录装置相连,用于在报警事件为某一攻击场景中攻击步骤所对应的事件时,触发高级持续威胁的检测流程,包括:
如果报警事件为攻击场景中初始的攻击步骤所对应的事件,则将当前网络中的事件直接作为该攻击场景所对应的一条新的攻击序列保存;
如果报警事件不是攻击场景中初始的攻击步骤所对应的事件,则根据记录的关联规则,判断所述报警事件与该攻击场景所对应的攻击序列中已记录的事件之间是否存在关联关系,如果存在,则将报警事件直接添加到该攻击序列中;
触发装置,与所述检测装置和所述记录装置相连,用于在报警事件不是该攻击场景中初始攻击步骤所对应的事件,与该攻击场景所对应的攻击序列中已记录的事件之间也不存在关联关系时,为已记录的攻击步骤中与同一攻击步骤存在关联关系的两个攻击步骤建立关联关系,再根据新得到的关联规则,判断所述报警事件与该攻击场景所对应的攻击序列中已记录的事件之间是否存在关联关系,如果存在,则将报警事件直接添加到该攻击序列中;
输出装置,与所述检测装置相连,用于对得到的攻击序列进行处理,将得到的处理结果作为高级持续威胁信息进行输出。
4.根据权利要求3所述的***,其特征在于,所述检测装置还包括:
获取模块,用于在某一攻击场景中某一特定攻击步骤与前一攻击步骤或后一攻击步骤没有关联规则时,如果检测到的报警事件有该攻击场景中前一攻击步骤和后一攻击步骤所对应的事件,则获取前一攻击步骤和后一攻击步骤所对应的报警事件发生的时间区间;
查询模块,与所述获取模块相连,用于从历史记录的事件中查询该时间区间中属于该特定攻击步骤的事件;
更新模块,与所述查询模块相连,用于在所述查询模块查找到该特定攻击步骤的事件后,对该攻击场景的攻击序列进行更新。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210068888.3A CN103312679B (zh) | 2012-03-15 | 2012-03-15 | 高级持续威胁的检测方法和*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210068888.3A CN103312679B (zh) | 2012-03-15 | 2012-03-15 | 高级持续威胁的检测方法和*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103312679A CN103312679A (zh) | 2013-09-18 |
CN103312679B true CN103312679B (zh) | 2016-07-27 |
Family
ID=49137465
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210068888.3A Expired - Fee Related CN103312679B (zh) | 2012-03-15 | 2012-03-15 | 高级持续威胁的检测方法和*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103312679B (zh) |
Families Citing this family (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103905418B (zh) * | 2013-11-12 | 2017-02-15 | 北京安天电子设备有限公司 | 一种多维度检测防御apt的***及方法 |
CN103607388B (zh) * | 2013-11-18 | 2016-09-21 | 浪潮(北京)电子信息产业有限公司 | 一种apt威胁预测方法及*** |
CN103746991B (zh) * | 2014-01-02 | 2017-03-15 | 曙光云计算技术有限公司 | 云计算网络中的安全事件分析方法及*** |
CN103957193A (zh) * | 2014-04-04 | 2014-07-30 | 华为技术有限公司 | 客户端、服务器和事件类型确定方法 |
US10216938B2 (en) * | 2014-12-05 | 2019-02-26 | T-Mobile Usa, Inc. | Recombinant threat modeling |
US10574675B2 (en) | 2014-12-05 | 2020-02-25 | T-Mobile Usa, Inc. | Similarity search for discovering multiple vector attacks |
CN105491002A (zh) * | 2015-06-19 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 一种高级威胁追溯的方法及*** |
CN105376245B (zh) * | 2015-11-27 | 2018-10-30 | 杭州安恒信息技术有限公司 | 一种基于规则的apt攻击行为的检测方法 |
CN106921608B (zh) * | 2015-12-24 | 2019-11-22 | 华为技术有限公司 | 一种检测终端安全状况方法、装置及*** |
CN105681286A (zh) * | 2015-12-31 | 2016-06-15 | 中电长城网际***应用有限公司 | 关联分析方法和关联分析*** |
CN105791264A (zh) * | 2016-01-08 | 2016-07-20 | 国家电网公司 | 一种网络安全预警方法 |
CN107659543B (zh) * | 2016-07-26 | 2020-12-01 | 北京计算机技术及应用研究所 | 面向云平台apt攻击的防护方法 |
CN108234426B (zh) * | 2016-12-21 | 2021-08-03 | ***通信集团安徽有限公司 | Apt攻击告警方法和apt攻击告警装置 |
CN106612287B (zh) * | 2017-01-10 | 2019-05-07 | 厦门大学 | 一种云存储***的持续性攻击的检测方法 |
CN107483425B (zh) * | 2017-08-08 | 2020-12-18 | 北京盛华安信息技术有限公司 | 基于攻击链的复合攻击检测方法 |
CN107277065B (zh) * | 2017-08-11 | 2019-12-17 | 厦门大学 | 基于强化学习的检测高级持续威胁的资源调度方法 |
US10812510B2 (en) * | 2018-01-12 | 2020-10-20 | The Boeing Company | Anticipatory cyber defense |
CN108616381B (zh) * | 2018-02-28 | 2021-10-15 | 北京奇艺世纪科技有限公司 | 一种事件关联报警方法和装置 |
CN109696892A (zh) * | 2018-12-21 | 2019-04-30 | 上海瀚之友信息技术服务有限公司 | 一种安全自动化***及其控制方法 |
CN109981587A (zh) * | 2019-02-27 | 2019-07-05 | 南京众智维信息科技有限公司 | 一种基于apt攻击的网络安全监控溯源*** |
CN110677287A (zh) * | 2019-09-24 | 2020-01-10 | 杭州安恒信息技术股份有限公司 | 基于体系化攻击的威胁告警生成方法和装置 |
CN110868403B (zh) * | 2019-10-29 | 2021-08-27 | 泰康保险集团股份有限公司 | 一种识别高级持续性攻击apt的方法及设备 |
CN110912884A (zh) * | 2019-11-20 | 2020-03-24 | 深信服科技股份有限公司 | 一种检测方法、设备及计算机存储介质 |
CN110830518B (zh) * | 2020-01-08 | 2020-05-08 | 浙江乾冠信息安全研究院有限公司 | 溯源分析方法、装置、电子设备及存储介质 |
CN111464507A (zh) * | 2020-03-17 | 2020-07-28 | 南京航空航天大学 | 一种基于网络报警信息的apt检测方法 |
CN111953684A (zh) * | 2020-08-12 | 2020-11-17 | 珠海市鸿瑞信息技术股份有限公司 | 一种电力网络中apt攻击分析*** |
CN112839039B (zh) * | 2021-01-05 | 2022-02-08 | 四川大学 | 一种网络威胁事件攻击场景交互式自动还原方法 |
CN113472789B (zh) * | 2021-06-30 | 2023-05-16 | 深信服科技股份有限公司 | 一种攻击检测方法、攻击检测***、存储介质和电子设备 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101034974A (zh) * | 2007-03-29 | 2007-09-12 | 北京启明星辰信息技术有限公司 | 基于时间序列和事件序列的关联分析攻击检测方法和装置 |
CN101272286A (zh) * | 2008-05-15 | 2008-09-24 | 上海交通大学 | 网络入侵事件关联检测方法 |
CN101494535A (zh) * | 2009-03-05 | 2009-07-29 | 范九伦 | 基于隐马尔可夫模型的网络入侵场景构建方法 |
CN101599855A (zh) * | 2008-11-10 | 2009-12-09 | 南京大学 | 基于攻击模式建模的复合攻击关联及攻击场景构建方法 |
CN101697545A (zh) * | 2009-10-29 | 2010-04-21 | 成都市华为赛门铁克科技有限公司 | 安全事件关联方法、装置及网络服务器 |
-
2012
- 2012-03-15 CN CN201210068888.3A patent/CN103312679B/zh not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101034974A (zh) * | 2007-03-29 | 2007-09-12 | 北京启明星辰信息技术有限公司 | 基于时间序列和事件序列的关联分析攻击检测方法和装置 |
CN101272286A (zh) * | 2008-05-15 | 2008-09-24 | 上海交通大学 | 网络入侵事件关联检测方法 |
CN101599855A (zh) * | 2008-11-10 | 2009-12-09 | 南京大学 | 基于攻击模式建模的复合攻击关联及攻击场景构建方法 |
CN101494535A (zh) * | 2009-03-05 | 2009-07-29 | 范九伦 | 基于隐马尔可夫模型的网络入侵场景构建方法 |
CN101697545A (zh) * | 2009-10-29 | 2010-04-21 | 成都市华为赛门铁克科技有限公司 | 安全事件关联方法、装置及网络服务器 |
Also Published As
Publication number | Publication date |
---|---|
CN103312679A (zh) | 2013-09-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103312679B (zh) | 高级持续威胁的检测方法和*** | |
CN107204876B (zh) | 一种网络安全风险评估方法 | |
US11218499B2 (en) | Network anomaly detection and profiling | |
CN111756759B (zh) | 一种网络攻击溯源方法、装置及设备 | |
CN107888607A (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
Harrop et al. | Cyber resilience: A review of critical national infrastructure and cyber security protection measures applied in the UK and USA | |
Derbyshire et al. | An analysis of cyber security attack taxonomies | |
Maglaras et al. | Threats, countermeasures and attribution of cyber attacks on critical infrastructures | |
Maglaras et al. | Threats, protection and attribution of cyber attacks on critical infrastructures | |
CN105264861A (zh) | 用于检测多阶段事件的方法和设备 | |
CN104811447A (zh) | 一种基于攻击关联的安全检测方法和*** | |
CN105721442A (zh) | 基于动态变换虚假响应***、方法及网络安全***与方法 | |
Khosravi et al. | Alerts correlation and causal analysis for APT based cyber attack detection | |
CN103856471A (zh) | 跨站脚本攻击监控***及方法 | |
Colbert et al. | A process-oriented intrusion detection method for industrial control systems | |
CN111885061A (zh) | 一种网络攻击检测方法、装置、设备及介质 | |
Suo et al. | Research on the application of honeypot technology in intrusion detection system | |
Lee et al. | A study on efficient log visualization using d3 component against apt: How to visualize security logs efficiently? | |
CN101252445A (zh) | 用于wlan的集成化网络安全管理方法 | |
Mills et al. | Using regression to predict potential insider threats | |
KR20090115496A (ko) | 접근패턴 분석을 통한 개인정보 유출 시도의 실시간 탐지방법 및 시스템 | |
CN114024740A (zh) | 一种基于密签诱饵的威胁诱捕方法 | |
Osako et al. | Proactive Defense model based on Cyber threat analysis | |
CN107341396A (zh) | 入侵检测方法、装置及服务器 | |
Chen et al. | Modeling and analyzing dynamic forensics system based on intrusion tolerance |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160727 Termination date: 20210315 |