CN108259449A - 一种防御apt攻击的方法和系统 - Google Patents

Abstract

本申请提供一种防御高级持续性威胁APT攻击的方法和系统，该方法为：获取网络中的通信数据；对通信数据进行关联分析，根据关联分析结果筛选出所述通信数据中的威胁数据；将筛选出的每一威胁数据分别映射到对应的APT攻击阶段，所述APT攻击阶段根据击杀链模型进行定义；根据与所述多个APT攻击阶段对应的防御策略，对每一威胁数据有关的网络实体进行防御。本申请通过将威胁数据映射到对应的APT攻击阶段，以及针对不同的APT攻击阶段采取相应的防御策略，使得APT攻击处理更有针对性，可以更为有效地检测和防御APT攻击。

Description

一种防御APT攻击的方法和系统

技术领域

本申请涉及网络安全技术领域，尤其涉及一种防御APT攻击的方法和系统。

背景技术

APT(Advanced Persistent Threat，高级持续性威胁)通常是由专业的黑客组织、国家级黑客发动，对政府、能源、金融、企业等发动有针对性的攻击。APT攻击往往具有一个完整的、精心策划的攻击过程。

APT攻击的特点是：

1)攻击目的越来越明确，攻击范围越来越专注，攻击领域从单纯的计算机网络扩展到工业控制系统，越来越针对大型企业和国家基础设施、关键设备。

2)攻击行为难以侦测。由于APT攻击普遍采用0day漏洞、新型木马及钓鱼手段等，传统的基于特征的安全检测方法对此十分难以进行有效侦测。如Flame病毒兼具有蠕虫、后门、木马、僵尸网络、社会工程学等特点，其程序的代码量达65万行，是普通间谍软件的100倍。

3)具有极强隐蔽性且长期持续。APT攻击在爆发之前能够很好的躲避防御设施的检测，潜伏期越来越长，搜集大量机密信息。基于其的隐蔽性，可能存在大量其他未被发现的威胁，正在严重地威胁着国家安全和公民权益。

鉴于APT攻击的如上特点，传统的网络安全防御机制难以在和APT的对抗中起到作用，应对APT攻击的综合防御模型的研究和落地已迫在眉睫。

发明内容

有鉴于此，本申请提供一种防御APT攻击的方法和系统，用以对APT攻击的各个阶段出现的威胁进行更有针对性的防御。

具体地，本申请是通过如下技术方案实现的：

本申请第一方面，提供了一种防御APT攻击的方法，该方法包括：

获取网络中的通信数据；

对所述通信数据进行关联分析，根据关联分析结果筛选出所述通信数据中的威胁数据；

将筛选出的每一威胁数据分别映射到对应的APT攻击阶段，所述APT攻击阶段根据击杀链模型进行定义；

根据与所述多个APT攻击阶段对应的防御策略，对每一威胁数据有关的网络实体进行防御。

本申请第二方面，提供了一种防御APT攻击的系统，具有实现上述方法的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块或单元。

一种可能的实现方式中，所述系统包括：

数据获取单元，用于获取网络中的通信数据；

数据关联单元，用于对所述通信数据进行关联分析，根据关联分析结果筛选出所述通信数据中的威胁数据；

击杀链分析单元，用于将筛选出的每一威胁数据分别映射到对应的APT攻击阶段，所述APT攻击阶段根据击杀链模型进行定义；

防御部署单元，用于根据与所述多个APT攻击阶段对应的防御策略，对每一威胁数据有关的网络实体进行防御。

另一种可能的实现中，所述系统包括通信接口、处理器、存储器和总线，所述通信接口、所述处理器和所述存储器之间通过总线系统相互连接；所述处理器通过读取所述存储器中存储的逻辑指令，执行本申请第一方面所示的防御APT攻击的方法。

利用本申请提供的方案，本申请通过数据联合分析筛选出威胁数据，并将威胁数据映射到对应的APT攻击阶段，以及针对不同的APT攻击阶段采取相应的防御策略，使得APT攻击处理更有针对性，可以更为有效地检测和防御APT攻击。

附图说明

图1是本申请实施例提供的方法流程图；

图2是本申请实施例提供的一种APTDS针对某可疑IP地址的行为轨迹分析示意图；

图3是本申请实施例提供的系统功能模块框图；

图4是本申请实施例提供的图3所示系统的硬件架构图。

具体实施方式

为了使本申请的目的、技术方案和优点更加清楚，下面结合附图和具体实施例对本申请进行详细描述。

本申请中提及了击杀链这个概念，击杀链最初来自于军事领域，是指“发现-定位-跟踪-瞄准-攻击-评估”这一完整流程。从击杀链的角度可以将一次APT攻击过程划分为7个阶段：

阶段1：侦查目标(Reconnaissance)，利用社会工程学选定并了解目标网络，并使用扫描技术对目的地的脆弱性进行感知。

阶段2：制作工具(Weaponization)，主要是指制作定向攻击工具，例如带有恶意代码的pdf文件或office文件。

阶段3：传送工具(Delivery)，输送攻击工具到目标系统上，常用的手法包括邮件的附件、网站(挂马)、U盘等。

阶段4：触发工具(Exploitation)，利用目标系统的应用或操作系统漏洞，在目标系统触发攻击工具运行。

阶段5：安装工具(Installation)，远程控制程序(木马、恶意插件等)的安装。

阶段6：建立连接(Command and Control)，与互联网控制器服务器建立通信信道。

阶段7：执行攻击(Actions on Objectives)，执行所需要的攻击行为，例如偷取信息、篡改信息或者进行其它破坏活动。

但上述7个阶段并非每个阶段都能被探测到，比如制作工具阶段，网络上可能没有任何痕迹，所以无从发现。因此，本申请基于现有的击杀链模型，将APT攻击过程重新划分为多个可被探测的APT攻击阶段，并将网络中出现的威胁归类到对应的ATP攻击阶段，针对归类到各个APT攻击阶段的威胁采取针对性的防御策略。

下面通过图1对本申请提供的方法进行描述。

参见图1，为本申请提供的方法流程图，该方法可应用于本申请提供的APT攻击防御系统(APT Defense System，下文简称APTDS)。如图1所示，该方法可包括以下步骤：

步骤101：APTDS获取网络中的通信数据。

在本申请中，通信数据可以包括事件、流量、威胁情报和漏洞数据，进一步的，这里的事件可以包括安全事件、操作系统事件、数据库事件、应用事件和认证事件，这里的流量可以包括与APT攻击有关的原始流量以及用于记录网络访问通信行为的流量日志。

下面分别说明上述各类通信数据的采集过程。需要说明的是，可以是APTDS主动去各通信数据源上去获取通信数据，也可以是各通信数据源主动将新的通信数据发送给APTDS，本申请并不具体限定。

1)事件采集

事件一般来自于具有安全检查功能的实体，比如FW(Firewall，防火墙)、IPS(Intrusion Prevention System，入侵防御系统)、操作系统(如Windows)、数据库、AAA(Authentication,Authorization and Accounting，认证、授权和计费)服务器、应用等，当它们观察到异常情况或者发现需要关注的事件时，便进行相应的记录。

比如，当FW或IPS判断某个源IP(Internet Protocol，网际协议)地址发动DDOS(Distributed Denial of Service，分布式拒绝服务)攻击时，则会将发起DDOS攻击的源IP地址、被攻击对象的IP地址等信息记录为一次安全事件。当AAA服务器检测到某个IP地址正在进行认证时则会将认证情况(如通过与否、是否有猜测密码的行为)记录在本地服务器中作为一次认证事件。当应用检测到威胁应用的行为时，如某个IP地址窃取、修改或删除了该应用的配置数据，则会记录一次应用事件。当数据库检测到威胁数据库的行为时，如权限提升、SQL(Structured Query Language，结构化查询语言)注入，则会记录一次数据库事件。

事件产生之后，上述具有安全检查功能的实体可以通过标准Syslog(一种功能为记录至系统记录的函数)将事件发送至APTDS；或者，上述具有安全检查功能的实体可以将事件记录在本地文件中，并由APTDS通过HTTP(HyperText Transfer Protocol，超文本传输协议)、FTP(File Transfer Protocol，文件传输协议)等协议获取；或者，也可以实现APTDS代理并将其安装在上述具有安全检查功能的实体中来获取事件，并使用APTDS代理和APTDS之间的私有协议(如基于UDP(User Datagram Protocol，用户数据报协议)的私有协议)传送给APTDS。一种APTDS采集到的事件类型及相应的采集点和采集技术如表1所示：

表1

APTDS在获取到事件之后，对事件进行格式标准化处理，即将每条原始事件整理成APTDS内部的标准格式事件，然后写入本地数据库。

2)流量采集

流量采集一方面包括采集与攻击有关的原始流量，作为攻击证据留存和备查；另一方面包括采集用于记录用户网络访问通信行为的流量日志，以用于判断网络中是否存在异常，以及后续的数据分析。

其中，与攻击有关的原始流量的采集，一般是由发出安全事件的实体网络设备，将与某一条攻击有关的事件所对应的原始流量写入到文件中，然后将文件通过FTP上传给APTDS，APTDS接收到文件后保存到本地数据库，以备后用。

流量日志的采集，一般是由FW、IPS或交换机、路由器等网络设备，通过硬件插卡或者设备软件将处理过的流量记录在流量日志中，然后将流量日志发送给APTDS，流量日志常用的格式有NetFlow格式、NetStream格式等。APTDS接收到流量日志，对流量日志进行解析和格式标准化处理后写入本地数据库。

3)威胁情报采集

威胁情报中主要记录了具有威胁性的IP地址、域名、URL(Uniform ResourceLocator，统一资源定位符)，以及事件证据、威胁处置建议等信息。APTDS可以通过STIX(Structured Threat Information eXpression，结构化威胁信息表达式)或TAXII(Trusted Automated eXchangeof Indicator Information)协议与威胁情报源交互，获得威胁情报数据并写入本地数据库。目前国内常用的威胁情报源有微步在线、360安全云等。

APTDS利用威胁情报记录的IP地址、域名和URL，与网络内的事件进行关联，可以更为快速而精准的探知网络内是否存在威胁。

4)漏洞数据采集

在本申请中，考虑到APT攻击往往是利用主机、Web、数据库的漏洞来攻陷目标网络，因此APTDS可以提前进行漏洞扫描来确定网络是否存在容易被APT攻击所利用的弱点，漏洞扫描内容包括主机、Web、数据库、网络设备上的漏洞以及主机中的非法程序，常见的弱点包括系统配置不完善、系统补丁更新不及时、存在弱口令、存在不应该安装的软件或者不应该出现的进程等。

APTDS可以作为漏洞扫描服务器实施漏洞扫描操作获取扫描结果，也可以通过漏洞扫描软件提供的对外接口获取漏洞扫描软件的扫描结果。APTDS获得扫描结果后将其写入本地数据库。

步骤102：APTDS对通信数据进行关联分析，根据关联分析结果筛选出通信数据中的威胁数据。

关联分析是一种数据融合技术，研究数据之间的相互关系，用于对多源数据进行联合、相关和组合，降低威胁数据的漏报率和误报率。

例如，通过威胁情报中记录的IP地址、域名和URL，可以从通信数据中筛选出涉及相同IP地址、相同域名或相同URL的事件和流量日志记录，标记为威胁数据。

又例如，通过关键词检索可以从流量日志中筛选出涉及敏感词汇的日志记录，再通过日志记录中记载的源IP地址、源端口等信息可以从通信数据中筛选出与之关联的事件，标记为威胁数据。

步骤103：APTDS将筛选出的每一威胁数据分别映射到对应的APT攻击阶段，其中，APT攻击阶段根据击杀链模型进行定义。

如前文所述，本申请基于已有的击杀链模型，预先将APT攻击过程划分为多个可被探测的APT攻击阶段。对于筛选出的每一威胁数据，APTDS根据威胁数据的特征将其纳入对应的APT攻击阶段。

将APT攻击过程为多个APT攻击阶段有很多种实现方式，这里简单举一种实现方式：

一种可选的方式是将APT攻击过程划分为以下5个阶段：

1)环境感知阶段，为检测到网络中存在容易被攻击者利用的漏洞。

由于APT攻击往往是利用主机、Web、数据库的漏洞来攻陷目标网络，因此APTDS可以根据提前进行漏洞扫描，根据扫描得到的漏洞数据确定网络中是否存在容易被攻击者利用的漏洞。如果威胁数据包括漏洞数据，则APTDS可以将威胁数据中的漏洞数据映射到环境感知阶段。

2)勘察及嗅探阶段，为攻击者探测被攻击对象否存在漏洞。

由于攻击者可能会使用系统扫描、端口扫描、漏洞扫描、协议扫描等行为，来确认被攻击对象是否存在漏洞、是否有可能被攻击。因此APTDS通过筛选威胁数据包括的事件的事件类型(比如端口扫描、超量ping报文等)，将其中与内网扫描行为相关的事件映射到勘察及嗅探阶段。

3)定向攻击阶段，为攻击者对被攻击对象发动攻击。

攻击者对被攻击对象发动攻击时，往往是通过一些手段企图登录到被攻击对象或者对被攻击对象实施DOS攻击等破坏活动，比如，主机爆破、Ping to dealth、ICMP(Internet Control Message Protocol，Internet控制报文协议)泛洪等。这些攻击可以由FW发现并上报给APTDS，APTDS可以将威胁数据中包括的这些类型的事件统一映射到定向攻击阶段。

4)工具安装阶段，为攻击者利用被攻击对象的漏洞向被攻击对象植入攻击工具。

攻击者利用被攻击对象的漏洞植入攻击工具的行为，可以由IPS或WAF(WebAppllication Firewall，Web应用防火墙)设备发现并上报给APTDS，APTDS可以将威胁数据中涉及扩展脚本攻击、缓冲区溢出攻击、SQL注入攻击的事件统一映射到工具安装阶段。

5)可疑活动阶段，为攻击者控制被攻击对象获取网络中的数据或者进行其它破坏活动。

此阶段涉及的攻击一般有蠕虫攻击、间谍软件攻击、非法数据传输等。蠕虫攻击、间谍软件攻击等可以由IPS发现并上报给APTDS，另外APTDS通过分析采集到的流量日志可以判断是否有非法数据传输，比如，内部的工资文件不允许传给国外网站，但是APTDS审计到该工资文件被传输到国外某个IP地址，则APTDS可以认为这是一起非法数据传输事件。APTDS可以将威胁数据中涉及蠕虫攻击、间谍软件攻击、非法数据传输的事件统一映射到可疑活动阶段。

对威胁数据进行识别和APT攻击阶段映射后，APTDS可以将各APT攻击阶段映射到的威胁数据进行统计和界面呈现。例如，APTDS可以将一天分为设定的多个时间段，界面上的每个特定位置的圆点，表示在对应日期的对应时间段内出现了对应APT攻击阶段的威胁数据；圆点的面积越大，表明统计到的威胁数据的数量越多。

步骤104：APTDS根据与上述多个APT攻击阶段对应的防御策略，对每一威胁数据有关的网络实体进行防御。

本申请中，针对预先划分好的多个APT攻击阶段，还分别定义了对应的防御策略。

例如，针对上述列举的将APT攻击过程划分为环境感知阶段、勘察及嗅探阶段、定向攻击阶段、工具安装阶段、可疑活动阶段等5个阶段的划分方式，可以在APTDS上预先定义如下防御策略：

1)如果有威胁数据映射到环境感知阶段，则APTDS可以根据该威胁数据确定存在漏洞的网络实体，并产生漏洞告警，提示用户对确定出的网络实体执行打补丁、消除不安全配置、杀毒等操作。

2)如果有威胁数据映射到勘察及嗅探阶段，则APTDS可以下发设定的ACL(AccessControl List，访问控制列表)或安全策略给FW和IPS，以及将该威胁数据涉及的攻击者的IP地址加入FW、AAA服务器和其它服务器(如Windows服务器、Linux服务器等)的黑名单。其中，APTDS和FW、IPS之间的通信协议可以是Telnet、SSH或NetConf(网络配置协议)。APTDS可以通过REST(REpresentational State Transfer，表述性状态转移)API(ApplicationProgramming Interface,应用程序编程接口)配置AAA服务器。

3)如果有威胁数据映射到定向攻击阶段，则APTDS可以下发设定的ACL或安全策略给FW和IPS，以及加固AAA服务器和其它服务器，以及将该威胁数据涉及的攻击者的IP地址加入FW、AAA服务器和其它服务器的黑名单。其中，加固AAA服务器和其它服务器的操作可以通过为服务器打补丁实现。

4)如果有威胁数据映射到工具安装阶段，则APTDS可以下发设定的ACL或安全策略给FW和IPS，加固AAA服务器和其它服务器，下发WAF策略给WAF设备，以及将该威胁数据涉及的攻击者的IP地址加入FW、AAA服务器和其它服务器的黑名单。其中，APTDS可以通过RESTAPI配置WAF设备。

5)如果有威胁数据映射到可疑活动阶段，则APTDS可以下发设定的ACL或安全策略给FW和IPS，加固AAA服务器即其它服务器，以及将该威胁数据涉及的攻击者的IP地址加入FW、AAA服务器和其它服务器的黑名单。

至此，完成图1所示的流程。

通过图1所示的流程可以看出，本申请收集了事件、流量、威胁情报和漏洞数据等多源数据，在数据采集上更为全面；通过数据联合分析筛选出威胁数据，并将威胁数据映射到对应的APT攻击阶段，以及针对不同的APT攻击阶段采取相应的防御策略，使得APT攻击处理更有针对性，可以更为有效地检测和防御APT攻击。

在本申请中，APTDS针对获得的网络中的通信数据，还可以进行以下一种或多种分析，以对APT攻击进行更为全面的刻画和呈现：

1)行为轨迹分析

针对映射到勘察及嗅探阶段、定向攻击阶段、工具安装阶段或可疑活动阶段的每一威胁数据，APTDS可以确定出该威胁数据涉及的可疑IP地址，然后在获取的所有通信数据中查询与该可疑IP地址关联的事件和流量日志，最后将查询到的事件和流量日志按照时间顺序呈现。

如此，可以将与该可疑IP地址相关的所有通信数据都筛选出并串联形成完整的APT攻击时间链。

请参见图2，图2为本例示出的一种APTDS针对某可疑IP地址的行为轨迹分析示意图。从图2可以看到，APTDS的行为轨迹分析可以将多个数据源、多种类型的事件或日志数据进行整合，并从可疑IP地址的视角呈现与其相关的所有事件和日志数据，其中可能包括在筛选威胁数据时遗漏的数据(如图2中的08:02:13的AAA认证成功事件和08:02:18的登陆10.153.89.82成功的事件)。

2)多维度分析

APTDS每天收集到的通信数据可能多达数十万条，用户可能没有时间去关注每条通信数据，于是APTDS可以从不同的维度对这些通信数据展开分析，以用于网络风险评估和产生安全告警，从而有利于用户全面感知网内安全情况和APT攻击状况。具体地，可以有以下几种维度：

一、事件关系分析，用于对事件类型不同、涉及的被攻击对象的IP地址相同的多个事件进行关联；以及根据威胁情报中记录的IP地址、域名或统一资源定位符URL，查找涉及相同IP地址、相同域名或相同URL的事件。

一方面，事件关系分析可以用于分析定向爆破、DDOS攻击、可疑提权行为等安全事件与其它类型事件之间的关系。例如，假设防火墙在t1时刻上报网络中存在DDOS攻击，APTDS通过正则表达式，在本地数据库中查询在t1时刻之后上报的、与该DDOS攻击的攻击目标IP地址相关的事件，如果APTDS查询到一操作系统事件，该操作系统事件用于上报某主机的CPU(Central Processing Unit，中央处理器)利用率过高，且该主机的IP地址与该DDOS攻击的目标攻击IP地址相同，则APTDS可以确认该DDOS攻击已经成功。

另一方面，事件关系分析还可以用于分析威胁情报数据与网内事件之间的关系。例如，只要APTDS发现网内出现与威胁情报源发布的恶意IP地址、恶意域名或恶意URL相关的事件，便立即产生安全告警。

二、APT攻击阶段数据挖掘分析，用于对映射到同一APT攻击阶段的威胁数据分别进行趋势分析和饼图分析。

APTDS可以确定待研究的APT攻击阶段，从本地数据库中抽取映射到该APT攻击阶段的历史威胁数据，抽取时可以抽取全部的历史威胁数据，也可以只抽取设定时间段内的历史威胁数据。之后，APTDS可以从不同的研究角度对威胁数据进行组织和呈现，该研究角度可以由用户通过APTDS的接口配置。

例如，如果要研究定向攻击在未来某个时间的发生次数，则APTDS可以从本地数据库中抽取连续多天的映射到定向攻击阶段的威胁数据，通过已有的趋势分析手段如趋势线，得到与定向攻击阶段相关的威胁数据的增减变动方向和幅度，进而得到定向攻击在未来可能的发生次数。如果要研究定向攻击的来源，则APTDS可以基于抽取的与定向攻击阶段相关的威胁数据，将相关网段发起定向攻击次数的统计结果以饼图方式呈现，从而提示用户对发动定向攻击次数较多的网段进行排查。

三、主机维度分析，用于对通信数据中的操作系统事件进行统计分析和趋势分析。

APTDS可以从本地数据库中抽取操作系统事件，并从不同的研究角度对操作系统事件进行组织和呈现。

例如，可以从事件级别(如警告级别、通知级别、错误级别等)的角度，或是从事件类型(如登陆操作系统、注销操作系统、增加账号、修改账号等)的角度，或是从操作系统类型(如Windows系统、Linux系统等)的角度，分别将抽取的通信数据进行归类，并可以基于归类结果绘制饼状图，得到不同角度下各类操作系统事件的百分比。

四、应用维度分析，用于对通信数据中的应用事件进行统计分析和趋势分析。

APTDS可以抽取网络内应用上报的应用事件，并从不同的研究角度对抽取的应用事件进行组织和呈现。

例如，可以抽取事件级别为错误级别或警告级别的应用事件，并从应用类型(如社交应用类、地图导航类、通话通讯类、网购支付类等)的角度，将抽取的应用事件进行归类和统计，得到哪种类型的应用最容易受到攻击，以提示用户加强对该类型应用的保护。

五、数据库维度分析，用于对通信数据中的数据库事件进行统计分析和趋势分析。

APTDS可以抽取网络内数据库上报的数据库事件，并从不同的研究角度对抽取的数据库事件进行组织和呈现。

例如，可以抽取事件级别为错误级别或警告级别的数据库事件，并从威胁类型(如权限滥用、权限提升、SQL注入、身份验证不足、备份数据暴露等)的角度，将抽取的数据库事件进行归类和统计，得到各数据库威胁类型下的数据库事件的发生次数，以提示用户哪种类型的威胁对数据库的影响最大。

以上对本申请提供的方法进行了描述。下面对本申请提供的系统进行描述。

参见图3，图3为本申请提供的一种防御APT攻击的系统的功能模块框图，可以包括以下单元：

数据获取单元301，用于获取网络中的通信数据。

数据关联单元302，用于对所述通信数据进行关联分析，根据关联分析结果筛选出所述通信数据中的威胁数据。

击杀链分析单元303，用于将筛选出的每一威胁数据分别映射到对应的APT攻击阶段，所述APT攻击阶段根据击杀链模型进行定义。

防御部署单元304，用于根据与所述多个APT攻击阶段对应的防御策略，对每一威胁数据有关的网络实体进行防御。

可选的，所述APT攻击阶段可以包括：环境感知阶段，为检测到网络中存在容易被攻击者利用的漏洞；勘察及嗅探阶段，为攻击者探测被攻击对象否存在漏洞；定向攻击阶段，为攻击者对被攻击对象发动攻击；工具安装阶段，为攻击者利用被攻击对象的漏洞向被攻击对象植入攻击工具；可疑活动阶段，为攻击者控制被攻击对象获取网络中的数据或者进行其它破坏活动。

可选的，所述通信数据可以包括事件、流量、威胁情报和漏洞数据；所述事件可以包括安全事件、操作系统事件、数据库事件、应用事件、认证事件；所述流量可以包括与攻击有关的原始流量、用于记录网络访问通信行为的流量日志。

可选的，所述防御策略可以为：如果有威胁数据映射到环境感知阶段，则所述防御部署单元304可以根据该威胁数据确定存在漏洞的网络实体，并对确定出的网络实体执行打补丁、消除不安全配置、杀毒的操作；如果有威胁数据映射到勘察及嗅探阶段，则所述防御部署单元304可以下发设定的ACL或安全策略给FW和IPS，以及将该威胁数据涉及的攻击者的IP地址加入FW、AAA服务器和其它服务器的黑名单；如果有威胁数据映射到定向攻击阶段，则所述防御部署单元304可以下发设定的ACL或安全策略给FW和IPS，加固AAA服务器和其它服务器，以及将该威胁数据涉及的攻击者的IP地址加入FW、AAA服务器和其它服务器的黑名单；如果有威胁数据映射到工具安装阶段，则所述防御部署单元304可以下发设定的ACL或安全策略给FW和IPS，加固AAA服务器和其它服务器，下发WAF策略给WAF设备，以及将该威胁数据涉及的攻击者的IP地址加入FW、AAA服务器和其它服务器的黑名单；如果有威胁数据映射到可疑活动阶段，则所述防御部署单元304可以下发设定的ACL或安全策略给FW和IPS，加固AAA服务器及其它服务器，以及将该威胁数据涉及的攻击者的IP地址加入FW、AAA服务器和其它服务器的黑名单。

可选的，所述系统还可以包括：

行为轨迹分析单元，用于针对映射到勘察及嗅探阶段、定向攻击阶段、工具安装阶段或可疑活动阶段的每一威胁数据，确定该威胁数据涉及的可疑IP地址；在所述通信数据中查询与该可疑IP地址关联的事件和流量日志；将查询到的事件和流量日志按照时间顺序呈现。

可选的，所述系统还可以包括：

多维度分析单元，用于执行以下至少一种分析，以用于网络风险评估和产生安全告警；

所述至少一种分析包括：

事件关系分析，用于对事件类型不同、涉及的被攻击对象的IP地址相同的多个事件进行关联；以及根据威胁情报中记录的IP地址、域名或统一资源定位符URL，查找涉及相同IP地址、相同域名或相同URL的事件；

APT攻击阶段数据挖掘分析，用于对映射到同一APT攻击阶段的威胁数据分别进行趋势分析和饼图分析；

主机维度分析，用于对所述通信数据中的操作系统事件进行统计分析和趋势分析；

应用维度分析，用于对所述通信数据中的应用事件进行统计分析和趋势分析；

数据库维度分析，用于对所述通信数据中的数据库事件进行统计分析和趋势分析。

至此，完成图3所示系统的描述。

对应地，本申请还提供了图3所示系统的硬件结构。参见图4，图4为本申请提供的图3所示系统的硬件结构示意图，该系统包括：通信接口401、处理器402、存储器403和总线404；其中，通信接口401、处理器402、存储器403通过总线404完成相互间的通信。

其中，通信接口401，用于与网元通信，如与网元通信获得该网元的通信数据、在该网元上配置防御策略等。处理器402可以是一个CPU，存储器403可以是非易失性存储器(non-volatile memory)，并且存储器403中存储有防御APT攻击的逻辑指令，处理器402可以执行存储器403中存储的防御APT攻击的逻辑指令，以实现上述防御APT攻击的方法中APTDS的功能，参见图1所示的流程。

如图4所示，该硬件结构还可以包括一个电源组件被配置为执行系统的电源管理405，和一个输入输出(I/O)接口406。

至此，完成图4所示的硬件结构描述。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。

Claims (12)

1.一种防御高级持续性威胁APT攻击的方法，其特征在于，包括：

获取网络中的通信数据；

对所述通信数据进行关联分析，根据关联分析结果筛选出所述通信数据中的威胁数据；

将筛选出的每一威胁数据分别映射到对应的APT攻击阶段，所述APT攻击阶段根据击杀链模型进行定义；

根据与所述多个APT攻击阶段对应的防御策略，对每一威胁数据有关的网络实体进行防御。

2.如权利要求1所述的方法，其特征在于，所述APT攻击阶段包括：

环境感知阶段，为检测到网络中存在容易被攻击者利用的漏洞；

勘察及嗅探阶段，为攻击者探测被攻击对象否存在漏洞；

定向攻击阶段，为攻击者对被攻击对象发动攻击；

工具安装阶段，为攻击者利用被攻击对象的漏洞向被攻击对象植入攻击工具；

可疑活动阶段，为攻击者控制被攻击对象获取网络中的数据或者进行其它破坏活动。

3.如权利要求1所述的方法，其特征在于，所述通信数据包括事件、流量、威胁情报和漏洞数据；

所述事件包括安全事件、操作系统事件、数据库事件、应用事件、认证事件；

所述流量包括与攻击有关的原始流量、用于记录网络访问通信行为的流量日志。

4.如权利要求2所述的方法，其特征在于，所述防御策略为：

如果有威胁数据映射到环境感知阶段，则根据该威胁数据确定存在漏洞的网络实体，并对确定出的网络实体执行打补丁、消除不安全配置、杀毒的操作；

如果有威胁数据映射到勘察及嗅探阶段，则下发设定的访问控制列表ACL或安全策略给防火墙FW和入侵防御系统IPS，以及将该威胁数据涉及的攻击者的网际协议IP地址加入FW、AAA服务器和其它服务器的黑名单；

如果有威胁数据映射到定向攻击阶段，则下发设定的ACL或安全策略给FW和IPS，加固AAA服务器和其它服务器，以及将该威胁数据涉及的攻击者的IP地址加入FW、AAA服务器和其它服务器的黑名单；

如果有威胁数据映射到工具安装阶段，则下发设定的ACL或安全策略给FW和IPS，加固AAA服务器和其它服务器，下发网站应用防火墙WAF策略给WAF设备，以及将该威胁数据涉及的攻击者的IP地址加入FW、AAA服务器和其它服务器的黑名单；

如果有威胁数据映射到可疑活动阶段，则下发设定的ACL或安全策略给FW和IPS，加固AAA服务器及其它服务器，以及将该威胁数据涉及的攻击者的IP地址加入FW、AAA服务器和其它服务器的黑名单。

5.如权利要求2所述的方法，其特征在于，所述方法还包括：

针对映射到勘察及嗅探阶段、定向攻击阶段、工具安装阶段或可疑活动阶段的每一威胁数据，确定该威胁数据涉及的可疑IP地址；

在所述通信数据中查询与该可疑IP地址关联的事件和流量日志；

将查询到的事件和流量日志按照时间顺序呈现。

6.如权利要求3所述的方法，其特征在于，所述方法还包括：

执行以下至少一种分析，以用于网络风险评估和产生安全告警；

所述至少一种分析包括：

事件关系分析，用于对事件类型不同、涉及的被攻击对象的IP地址相同的多个事件进行关联；以及根据威胁情报中记录的IP地址、域名或统一资源定位符URL，查找涉及相同IP地址、相同域名或相同URL的事件；

APT攻击阶段数据挖掘分析，用于对映射到同一APT攻击阶段的威胁数据分别进行趋势分析和饼图分析；

主机维度分析，用于对所述通信数据中的操作系统事件进行统计分析和趋势分析；

应用维度分析，用于对所述通信数据中的应用事件进行统计分析和趋势分析；

数据库维度分析，用于对所述通信数据中的数据库事件进行统计分析和趋势分析。

7.一种防御高级持续性威胁APT攻击的系统，其特征在于，包括：

数据获取单元，用于获取网络中的通信数据；

数据关联单元，用于对所述通信数据进行关联分析，根据关联分析结果筛选出所述通信数据中的威胁数据；

击杀链分析单元，用于将筛选出的每一威胁数据分别映射到对应的APT攻击阶段，所述APT攻击阶段根据击杀链模型进行定义；

防御部署单元，用于根据与所述多个APT攻击阶段对应的防御策略，对每一威胁数据有关的网络实体进行防御。

8.如权利要求7所述的系统，其特征在于，所述APT攻击阶段包括：

环境感知阶段，为检测到网络中存在容易被攻击者利用的漏洞；

勘察及嗅探阶段，为攻击者探测被攻击对象否存在漏洞；

定向攻击阶段，为攻击者对被攻击对象发动攻击；

工具安装阶段，为攻击者利用被攻击对象的漏洞向被攻击对象植入攻击工具；

可疑活动阶段，为攻击者控制被攻击对象获取网络中的数据或者进行其它破坏活动。

9.如权利要求7所述的系统，其特征在于，所述通信数据包括事件、流量、威胁情报和漏洞数据；

所述事件包括安全事件、操作系统事件、数据库事件、应用事件、认证事件；

所述流量包括与攻击有关的原始流量、用于记录网络访问通信行为的流量日志。

10.如权利要求8所述的系统，其特征在于，所述防御策略为：

如果有威胁数据映射到环境感知阶段，则所述防御部署单元根据该威胁数据确定存在漏洞的网络实体，并对确定出的网络实体执行打补丁、消除不安全配置、杀毒的操作；

如果有威胁数据映射到勘察及嗅探阶段，则所述防御部署单元下发设定的访问控制列表ACL或安全策略给防火墙FW和入侵防御系统IPS，以及将该威胁数据涉及的攻击者的网际协议IP地址加入FW、AAA服务器和其它服务器的黑名单；

如果有威胁数据映射到定向攻击阶段，则所述防御部署单元下发设定的ACL或安全策略给FW和IPS，加固AAA服务器和其它服务器，以及将该威胁数据涉及的攻击者的IP地址加入FW、AAA服务器和其它服务器的黑名单；

如果有威胁数据映射到工具安装阶段，则所述防御部署单元下发设定的ACL或安全策略给FW和IPS，加固AAA服务器和其它服务器，下发网站应用防火墙WAF策略给WAF设备，以及将该威胁数据涉及的攻击者的IP地址加入FW、AAA服务器和其它服务器的黑名单；

如果有威胁数据映射到可疑活动阶段，则所述防御部署单元下发设定的ACL或安全策略给FW和IPS，加固AAA服务器及其它服务器，以及将该威胁数据涉及的攻击者的IP地址加入FW、AAA服务器和其它服务器的黑名单。

11.如权利要求8所述的系统，其特征在于，所述系统还包括：

行为轨迹分析单元，用于针对映射到勘察及嗅探阶段、定向攻击阶段、工具安装阶段或可疑活动阶段的每一威胁数据，确定该威胁数据涉及的可疑IP地址；在所述通信数据中查询与该可疑IP地址关联的事件和流量日志；将查询到的事件和流量日志按照时间顺序呈现。

12.如权利要求9所述的系统，其特征在于，所述系统还包括：

多维度分析单元，用于执行以下至少一种分析，以用于网络风险评估和产生安全告警；

所述至少一种分析包括：

事件关系分析，用于对事件类型不同、涉及的被攻击对象的IP地址相同的多个事件进行关联；以及根据威胁情报中记录的IP地址、域名或统一资源定位符URL，查找涉及相同IP地址、相同域名或相同URL的事件；

APT攻击阶段数据挖掘分析，用于对映射到同一APT攻击阶段的威胁数据分别进行趋势分析和饼图分析；

主机维度分析，用于对所述通信数据中的操作系统事件进行统计分析和趋势分析；

应用维度分析，用于对所述通信数据中的应用事件进行统计分析和趋势分析；

数据库维度分析，用于对所述通信数据中的数据库事件进行统计分析和趋势分析。