一种apt事件攻击组织同源性分析方法及装置
技术领域
本发明涉及信息安全技术领域,尤其涉及一种apt事件攻击组织同源性分析方法及装置。
背景技术
APT(Advanced Persistent Threat)--------高级持续性威胁,是利用先进的攻击手法对特定的目标进行长期持续性的网络攻击的攻击形式。
鉴于APT攻击事件的日趋严峻,APT攻击长期有计划有组织性的针对特定对象收集大量关于用户业务流程和目标系统使用情况的精确信息,并且广泛的使用0day漏洞、隐蔽通讯、签名仿冒、社会工程学等攻击手段进行入侵,对信息系统的安全性构成了极大威胁。因此,对于有效发现APT攻击及进一步发现其攻击组织成为为目前网络安全备受关注的焦点。
而在APT攻击中,以邮件为攻击前导的事件所占的比例远远大于其他方式,并且对于一个攻击组织来说,为了成本和利益的平衡,其攻击组织针对不同的特定目标发动攻击可能会延续使用相同或相似的攻击手法、感染方式或者恶意代码等。
发明内容
本发明所述的技术方案通过分析邮件,提取邮件的各项元数据,并分析元数据后获取行为特征信息,将所述行为特征信息与预设条件对比,并基于对比结果设定权值,基于权值和综合判断该事件是否为可疑apt事件,并进一步判断apt事件之间是否为同一攻击组织所为。本发明所述技术方案能够有效检测apt事件,并且对这些apt攻击事件之间进行同源性分析,以便有效识别后续出现的apt事件的攻击组织。
本发明采用如下方法来实现:一种apt事件攻击组织同源性分析方法,包括:
获取待分析邮件并提取元数据,包括:发件人信息、收件人信息、主题、正文或者附件;
分析各项元数据并获取相关行为特征信息;
将各项行为特征信息与预设条件对比,并基于对比结果设定权值;
计算权值和,当所述权值和高于预设阈值,则认为该事件为疑似apt事件,并存入apt事件行为库;
利用聚类算法分析apt事件行为库中的各apt事件,判定相似度高于预设值的apt事件为同源攻击组织所为;
其中,所述apt事件为高级持续性威胁事件。
进一步地,所述分析各项元数据并获取相关行为特征信息,包括:
分析发件人信息获得发件人IP地址和/或发件人邮箱地址;
分析收件人信息中收件人地址域获得收件人归属公司和/或所在国家;
分析主题获取发件人使用的语种及编码方式;
分析正文获取所包含的URL;或者,
分析附件并基于附件的文件类型获取时间戳和/或编辑信息。
进一步地,所述分析附件并基于附件的文件类型获取时间戳和/或编辑信息,具体为:
分析附件识别文件类型,并获取附件的文件扩展名;
若所述文件类型为PE文件,则获得PE文件的时间戳;若所述文件类型为文档文件,则获取编辑信息。
进一步地,所述将各项行为特征信息与预设条件对比,并基于对比结果设定权值,具体为:
将所述发件人IP地址和/或发件人邮箱地址与已公开apt事件的发件人对比;
将所述收件人归属公司与主题、正文和/或附件内容对比,判断是否合理;
将所述收件人所在国家与所述发件人使用的语种、编码方式对比,判断是否合理;
将正文所包含的URL与已知恶意URL对比;
将文档文件与已知溢出型漏洞或者后门文件对比;或者,
将附件的文件类型与文件扩展名对比,判断是否符合;
分别为以上一项或者多项对比结果设定权值。
进一步地,还包括:对附件进行动态分析,将C2C的URL与已公开apt事件使用过的URL对比。
本发明可以采用如下装置来实现:一种apt事件攻击组织同源性分析装置,包括:
元数据提取模块,用于获取待分析邮件并提取元数据,包括:发件人信息、收件人信息、主题、正文或者附件;
行为特征信息获取模块,用于分析各项元数据并获取相关行为特征信息;
对比模块,用于将各项行为特征信息与预设条件对比,并基于对比结果设定权值;
apt事件判定模块,用于计算权值和,当所述权值和高于预设阈值,则认为该事件为疑似apt事件,并存入apt事件行为库;
同源分析模块,用于利用聚类算法分析apt事件行为库中的各apt事件,判定相似度高于预设值的apt事件为同源攻击组织所为;
其中,所述apt事件为高级持续性威胁事件。
进一步地,所述行为特征信息获取模块,具体用于:
分析发件人信息获得发件人IP地址和/或发件人邮箱地址;
分析收件人信息中收件人地址域获得收件人归属公司和/或所在国家;
分析主题获取发件人使用的语种及编码方式;
分析正文获取所包含的URL;或者,
分析附件并基于附件的文件类型获取时间戳和/或编辑信息。
进一步地,所述分析附件并基于附件的文件类型获取时间戳和/或编辑信息,具体为:
分析附件识别文件类型,并获取附件的文件扩展名;
若所述文件类型为PE文件,则获得PE文件的时间戳;若所述文件类型为文档文件,则获取编辑信息。
进一步地,所述对比模块,具体用于:
将所述发件人IP地址和/或发件人邮箱地址与已公开apt事件的发件人对比;
将所述收件人归属公司与主题、正文和/或附件内容对比,判断是否合理;
将所述收件人所在国家与所述发件人使用的语种、编码方式对比,判断是否合理;
将正文所包含的URL与已知恶意URL对比;
将文档文件与已知溢出型漏洞或者后门文件对比;或者,
将附件的文件类型与文件扩展名对比,判断是否符合;
分别为以上一项或者多项对比结果设定权值。
进一步地,还包括:对附件进行动态分析,将C2C的URL与已公开apt事件使用过的URL对比。
综上,本发明给出一种apt事件攻击组织同源性分析方法及装置,由于邮件通常会成为黑客组织进行apt事件攻击的常用手段,本发明所述技术方案通过获取邮件并提取多项元数据,并分别分析元数据进而获取行为特征信息,将其中至少一项行为特征信息与预设条件对比,对于对比成功的行为特征信息根据经验设定权值,并计算权值和,若所述权值和高于预设阈值,则认为该事件为疑似apt事件。利用聚类算法分析各apt事件,彼此相似度高于预设值的apt事件为同源攻击组织所为。
有益效果为:本发明所述技术方案基于邮件的行为数据进而发现apt事件,并能够有效识别apt事件之间的同源关系,可以有效定位同源攻击组织。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种apt事件攻击组织同源性分析方法实施例流程图;
图2为本发明提供的一种apt事件攻击组织同源性分析装置实施例结构图。
具体实施方式
本发明给出了一种apt事件攻击组织同源性分析方法及装置实施例,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种apt事件攻击组织同源性分析方法实施例,如图1所示,包括:
S101获取待分析邮件并提取元数据,包括:发件人信息、收件人信息、主题、正文或者附件;
S102分析各项元数据并获取相关行为特征信息;
S103将各项行为特征信息与预设条件对比,并基于对比结果设定权值;
S104计算权值和,当所述权值和高于预设阈值,则认为该事件为疑似apt事件,并存入apt事件行为库;
S105利用聚类算法分析apt事件行为库中的各apt事件,判定相似度高于预设值的apt事件为同源攻击组织所为;
其中,所述apt事件为高级持续性威胁事件。
其中,所述利用聚类算法分析apt事件行为库中的各apt事件,判定相似度高于预设值的apt事件为同源攻击组织所为,具体为:将各apt事件的行为特征信息一一对比,利用聚类算法统计最终的相似度,并与预设值进行对比,若高于预设值,则认为对比双方的apt事件为同源攻击组织所为。
优选地,所述分析各项元数据并获取相关行为特征信息,包括:
分析发件人信息获得发件人IP地址和/或发件人邮箱地址;
分析收件人信息中收件人地址域获得收件人归属公司和/或所在国家;
分析主题获取发件人使用的语种及编码方式;
分析正文获取所包含的URL;或者,
分析附件并基于附件的文件类型获取时间戳和/或编辑信息。
其中,所述编码方式包括:base64或者quopri编码等。
优选地,所述分析附件并基于附件的文件类型获取时间戳和/或编辑信息,具体为:
分析附件识别文件类型,并获取附件的文件扩展名;
若所述文件类型为PE文件,则获得PE文件的时间戳;若所述文件类型为文档文件,则获取编辑信息。
优选地,所述将各项行为特征信息与预设条件对比,并基于对比结果设定权值,具体为:
将所述发件人IP地址和/或发件人邮箱地址与已公开apt事件的发件人对比;
将所述收件人归属公司与主题、正文和/或附件内容对比,判断是否合理;
将所述收件人所在国家与所述发件人使用的语种、编码方式对比,判断是否合理;
将正文所包含的URL与已知恶意URL对比;
将文档文件与已知溢出型漏洞或者后门文件对比;或者,
将附件的文件类型与文件扩展名对比,判断是否符合;
分别为以上一项或者多项对比结果设定权值。
其中,所述将正文所包含的URL与已知恶意URL对比,具体通过域名或者下载回来的文件判定。
其中,所述将各项行为特征信息与预设条件对比,并基于对比结果设定权值,还包括:将发件人和收件人与搜索引擎公开的邮件地址比较。
优选地,还包括:对附件进行动态分析,将C2C的URL与已公开apt事件使用过的URL对比。
本发明还提供了一种apt事件攻击组织同源性分析装置实施例,如图2所示,包括:
元数据提取模块201,用于获取待分析邮件并提取元数据,包括:发件人信息、收件人信息、主题、正文或者附件;
行为特征信息获取模块202,用于分析各项元数据并获取相关行为特征信息;
对比模块203,用于将各项行为特征信息与预设条件对比,并基于对比结果设定权值;
apt事件判定模块204,用于计算权值和,当所述权值和高于预设阈值,则认为该事件为疑似apt事件,并存入apt事件行为库;
同源分析模块205,用于利用聚类算法分析apt事件行为库中的各apt事件,判定相似度高于预设值的apt事件为同源攻击组织所为;
其中,所述apt事件为高级持续性威胁事件。
优选地,所述行为特征信息获取模块,具体用于:
分析发件人信息获得发件人IP地址和/或发件人邮箱地址;
分析收件人信息中收件人地址域获得收件人归属公司和/或所在国家;
分析主题获取发件人使用的语种及编码方式;
分析正文获取所包含的URL;或者,
分析附件并基于附件的文件类型获取时间戳和/或编辑信息。
优选地,所述分析附件并基于附件的文件类型获取时间戳和/或编辑信息,具体为:
分析附件识别文件类型,并获取附件的文件扩展名;
若所述文件类型为PE文件,则获得PE文件的时间戳;若所述文件类型为文档文件,则获取编辑信息。
优选地,所述对比模块,具体用于:
将所述发件人IP地址和/或发件人邮箱地址与已公开apt事件的发件人对比;
将所述收件人归属公司与主题、正文和/或附件内容对比,判断是否合理;
将所述收件人所在国家与所述发件人使用的语种、编码方式对比,判断是否合理;
将正文所包含的URL与已知恶意URL对比;
将文档文件与已知溢出型漏洞或者后门文件对比;或者,
将附件的文件类型与文件扩展名对比,判断是否符合;
分别为以上一项或者多项对比结果设定权值。
优选地,还包括:对附件进行动态分析,将C2C的URL与已公开apt事件使用过的URL对比。
如上所述,上述实施例给出了apt事件攻击组织同源性分析方法及装置,上述实施例所述技术方案利用往来邮件的元数据,进而获取邮件相关的行为特征信息,选取行为特征信息中的一项或者多项与预设条件对比,为满足预设条件的行为特征信息设定权值,并将该邮件相关的权值加和,最终与预设阈值对比,高于预设阈值的事件判定为疑似apt事件,将所有疑似apt事件存入apt事件行为库,利用聚类算法分析所有已发现的apt事件,判定相似度高于预设值的apt事件是由同一个攻击组织所为。
综上,基于apt事件的高级性持续性等特点,目前传统的检测方法无法有效检出apt事件。本发明所述技术方案通过分析邮件的各项行为特征信息,并对满足预设条件的行为特征信息赋予权值,综合判定是否为apt事件,能够有效识别apt事件,并通过分析各apt事件之间的相似性发现同源攻击组织事件。为后续的apt识别和apt攻击组织定位提供了识别基础。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。