CN108632224B - 一种apt攻击检测方法和装置 - Google Patents
一种apt攻击检测方法和装置 Download PDFInfo
- Publication number
- CN108632224B CN108632224B CN201710178782.1A CN201710178782A CN108632224B CN 108632224 B CN108632224 B CN 108632224B CN 201710178782 A CN201710178782 A CN 201710178782A CN 108632224 B CN108632224 B CN 108632224B
- Authority
- CN
- China
- Prior art keywords
- analysis
- data
- message
- tcp
- dns
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种APT攻击检测方法和装置,所述方法包括:获取待检测数据报文;按设定的分类标准,对所述待检测数据报文进行分类;对每类数据报文,进行特征项可疑性分析;所述特征项可疑性分析包括如下项目中的一个或多个:周期性分析、数据统计异常分析、协议解析异常分析和平均负载异常分析;根据各类数据报文的特征项可疑性分析结果,确定APT攻击检测结果。本发明所述APT攻击检测方法和装置,通过采集的数据报文进行多个特征项可疑性分析,并根据可疑性分析结果对APT攻击进行综合判定,实现了通过对数据报文进行集中分析,有效的发现和追踪APT攻击。
Description
技术领域
本发明涉及通信领域,尤其涉及一种APT(Advanced Persistent Threat,高级持续性威胁)攻击检测方法和装置。
背景技术
APT攻击与传统网络攻击在攻击方式和目的上有显著的区别。APT攻击的攻击技术更加复杂、攻击手段更加隐蔽,并且其目的在于窃取目标系统中的机密信息而非破坏目标系统。APT攻击利用目标系统的未知漏洞,定制专门的木马进行远程控制,通过隐蔽通道、加密数据进行通信以避免网络行为被检测,同时攻击持续数月甚至数年时间。
传统的安全防御系统无法通过对数据的集中分析快速定位威胁,实现APT安全事件预警、处置和跟踪。传统的入侵检测系统采用基于单主机、单时间点的检测方式,难以应对APT攻击的持续性、以及其不断渗透的特性,因而无法对APT攻击进行有效的发现和追踪。
发明内容
本发明提供一种APT攻击检测方法和装置,用以解决现有技术中无法对APT攻击进行有效的发现和追踪的问题。
依据本发明的一个方面,提供一种APT攻击检测方法,包括:
获取待检测数据报文;
按设定的分类标准,对所述待检测数据报文进行分类;
对每类数据报文,进行特征项可疑性分析;所述特征项可疑性分析包括如下项目中的一个或多个:周期性分析、数据统计异常分析、协议解析异常分析和平均负载异常分析;
根据各类数据报文的特征项可疑性分析结果,确定APT攻击检测结果。
依据本发明的另一个方面,提供一种APT攻击检测装置,包括:
报文获取模块,用于获取待检测数据报文;
报文分类模块,用于按设定的分类标准,对所述待检测数据报文进行分类;
特征分析模块,用于对每类数据报文,进行特征项可疑性分析;所述特征项可疑性分析包括如下项目中的一个或多个:周期性分析、数据统计异常分析、协议解析异常分析和平均负载异常分析;
检测模块,用于根据各类数据报文的特征项可疑性分析结果,确定APT攻击检测结果。
本发明有益效果如下:
本发明所述APT攻击检测方法和装置,通过采集的数据报文进行多个特征项可疑性分析,并根据可疑性分析结果对APT攻击进行综合判定,实现了通过对数据报文进行集中分析,有效的发现和追踪APT攻击。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本发明第一实施例提供的一种APT攻击检测方法的流程图;
图2为本发明第二实施例提供的一种APT攻击检测方法的流程图;
图3为本发明第三实施例提供的一种APT攻击检测中TCP数据处理方法流程图;
图4为本发明第四实施例提供的一种APT攻击检测中DNS数据处理方法流程图;
图5为本发明第五实施例提供的一种APT攻击检测装置的结构框图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明实施例提供一种APT攻击检测方法和装置,本发明实施例所述方案考虑到APT在整个攻击过程中总会暴露一些攻击点,而这些攻击点之间的通信特征成为了本发明实施例检测的突破口,由此以点牵面,回溯历史上的数据,进行关联分析,查找出攻击者的攻击路径以及明确其攻击目标。下面通过几个具体实施例对本发明的具体实施过程进行详细阐述。
在本发明第一实施例中,提供一种APT攻击检测方法,如图1所示,包括如下步骤:
步骤S101,获取待检测数据报文;
本实施例中,主要对流经网络适配器的流量进行捕获和存储。本发明支持对数据进行在线的实时分析,或者对存储的本地数据进行离线分析。
步骤S102,按设定的分类标准,对所述待检测数据报文进行分类;
在本发明的一个具体实施例中,按照传输层协议和端口号对获取的数据报文进行分类,得到TCP数据报文和DNS数据报文;其中,DNS数据报文包括TCP 53端口的TCP数据报文和UDP 53端口的UDP数据报文。
步骤S103,对每类数据报文,进行特征项可疑性分析;所述特征项可疑性分析包括如下项目中的一个或多个:周期性分析、数据统计异常分析、协议解析异常分析和平均负载异常分析;
具体的,本实施例中,当将数据报文分为TCP数据报文和DNS数据报文时:
对于TCP数据报文,进行特征项可疑性分析时,包括如下特征项中的一个或多个:对TCP SYN报文进行周期性分析、对TCP PSH及ACK报文进行周期性分析、以及对TCP PSH及ACK报文进行数据统计异常分析;
对于DNS数据报文,进行特征项可疑性分析时,包括如下特征项中的一个或多个:对DNS数据报文进行协议解析异常分析、周期性分析、以及平均负载大小异常分析。
在本发明的一个具体实施例中,对TCP SYN报文进行周期性分析,包括:
对报文进行特征提取;其中,提取的特征包括:时间戳、原宿IP地址、目的端口号和报文的负载净荷大小;
将提取的时间戳按照原宿IP地址、目的端口号以及负载净荷大小这四元组进行聚类保存;
在设定的时间窗口Ts之内,检测是否相同四元组的连续Ns个TCP SYN报文满足其任两个连续报文时间间隔差均大于设定值Ts1,以及这些连续的时间间隔差的差值在设定的时间ts之内,若是,则判定为具有周期性,否则,不具有周期性。
在本发明的一个具体实施例中,对TCP PSH及ACK报文进行周期性分析,包括:
对报文进行特征提取;其中,提取的特征包括:时间戳、原宿IP地址、原宿端口号和报文的负载净荷大小;
将提取的时间戳按照原宿IP地址、原宿端口号以及负载净荷大小这五元组进行聚类保存;
在设定的时间窗口Tp之内,检测是否相同五元组的连续Np个TCP PSH及ACK报文满足其任两个连续报文时间间隔差均大于设定值Tp1,且这些连续的时间间隔差的差值在设定的时间tp之内,若是,则判定为具有周期性,否则,不具有周期性。
在本发明的一个具体实施例中,对TCP PSH ACK报文进行数据统计异常分析,包括:
计算设定的Tpa时间内TCP PSH及ACK报文计数是否大于设定阈值Npa,若大于,则判定为数据统计异常,否则,判定为数据统计未有异常。
在本发明的一个具体实施例中,对DNS数据报文进行周期性分析,包括:
检测DNS数据报文是否为DNS查询报文且查询数为1,并在是的情况下,对DNS查询报文的时间戳按照原IP地址和域名对进行聚类保存,并每过设定的t时间记录每个聚类条目的DNS查询报文数量;
在每个t时间内记录同一聚类条目的查询次数,则在T时间内得到n个数据记录,形成每个聚类条目的DNS查询报文序列;其中,T=n*t;
基于所述DNS查询报文序列,利用设定的周期算法,得到各聚类条目下的DNS查询报文序列的周期性强弱指数,判断各所述周期性强弱指数是否大于设定阈值,若是,则判定具有周期性,否则,判定为不具有周期性。
在本发明的一个具体实施例中,对DNS数据报文进行平均负载大小异常分析,包括:
将所述DNS数据报文的应用层协议负载大小按照原宿IP地址对进行聚类保存,并计算设定的时间窗口Tdns内同一聚类条目的双向DNS数据报文的平均负载字节数;
判断平均负载字节数是否超过设定的Ndns字节,若是,则判定为平均负载大小异常;否则,判定为平均负载大小未有异常。
步骤S104,根据各类数据报文的特征项可疑性分析结果,确定APT攻击检测结果。
具体的,本实施例中,对每个特征项的可疑性分析结果进行赋值,例如,周期性分析结果为具有周期性,赋值为1,不具有周期性,赋值为0;数据统计异常分析结果为异常,赋值为1,否则,赋值为0,以此类推。并为每个特征项设定权值。
这样,在得到各类数据报文的特征项可疑性分析结果后,就可通过将各类数据报文的各特征项的可疑性分析结果进行加权求和,进行APT攻击判定。具体的,本实施例中,将各类数据报文的各特征项的可疑性分析结果进行加权求和,判断所述加权求和结果是否大于设定的阈值,并在是的情况下,判定出APT攻击检测结果异常,否则,判定APT攻击检测结果未有异常。
综上可知,本实施例所述方法,通过采集的数据报文进行多个特征项可疑性分析,并根据可疑性分析结果对APT攻击进行综合判定,实现了通过对数据报文进行集中分析,有效的发现和追踪APT攻击。
在本发明第二实施例中,提供一种APT攻击检测方法,如图2所示,包括如下步骤:
步骤S201,数据报文采集;
具体的,本实施例中,通过配置文件进行在线/离线检测模式设置,并设置需要监控主机的IP地址进行数据报文采集。如果检测采用的是在线模式,则此步骤对所配置的监控IP进行数据报文采集,并将采集到的原始数据报文保存在本地。如果检测采用的是离线模式,则此模块将对本地保存的离线数据报文进行读取、分析。
步骤S202,对数据报文按照TCP/IP协议规范,进行逐层协议解析,对于出错的报文进行过滤,并按照报文的传输层协议以及使用的端口号将数据分类,得到TCP数据报文和DNS数据报文。
步骤S203,针对TCP数据报文,对TCP数据报文进行解析和进一步聚类处理,对报文数据的周期性进行分析、统计报文特征信息,并产生、存储相应的警告信息。
具体的,本实施例中,对TCP SYN报文和TCP PSH、ACK报文进行分别处理。对于TCPSYN报文,将提取报文时间戳并按照原宿IP地址对、目的端口号、净荷大小进行聚类,并对聚类后的数据定期采取周期性判定算法进行周期性判定,对于满足周期性判定的数据条目,将在用户界面上进行告警,并记录原宿IP地址对、目的端口号以及可疑类型于数据库中。
对于TCP PSH、ACK报文,将进行两部分处理:第一部分是将提取报文时间戳并按照原宿IP地址对、原宿端口号、净荷大小进行聚类,并对聚类后的数据定期采用周期性判定算法进行周期性判定,对于满足周期性判定的数据条目,将在用户界面上进行告警,并记录原宿IP地址对、原宿端口对以及可疑类型于数据库中;第二部分是记录每一个IP地址对、端口对四元组,在设定时间窗内传输的TCP PSH、ACK报文数,进行数据统计异常分析,对于数据统计异常的数据进行告警、记录IP地址对、原宿端口号及可疑类型。
步骤S204,针对DNS数据报文(即53端口数据报文),对DNS数据报文按照DNS协议进行解析和进一步聚类处理,对报文数据的周期性进行分析、统计报文特征信息,并产生、存储相应的警告信息。
具体的,本实施例中,对DNS数据报文按照DNS协议规范进行协议解析,对于解析出错的数据将进行告警、记录相应的信息于数据库中。对于解析正确的数据,一部分将用于计算报文的平均大小,对于平均大小异常的报文将进行告警、记录对应信息于数据库中;另一部分处理是,将查询计数为1的查询报文按照原IP地址和查询的域名为条目进行统计,记录在特定时间窗口内的访问序列,并根据访问序列计算其周期性强弱指数,按照预设的阈值判断其周期性。对于满足周期性判定的数据进行告警,并记录对应信息于数据库中。
步骤S205,对步骤S203、S204产生的可疑数据进行告警,输出到用户界面。
步骤S206,对告警数据进行存储,存储的内容包括源IP、目的IP、原端口、目的端口以及可疑的类型。
步骤S207,对数据库保存的可疑数据信息和类型进行综合判定,根据各个模块结果,设置不同的权值,进行综合判定。
该步骤是指对数据库保存的数据进行筛选,对每个可疑数据类分配不同的权重,例如,假设本实施例一共给出TCP SYN周期性、TCP PSH、ACK周期性、TCP PSH、ACK数据统计异常、53端口协议解析异常、53端口数据周期性,一共5个特征项可疑类型,0代表相关检测结果正常,用1代表相关检测结果异常,那这五个检测结果可以用一个序列表示,如,10011,代表其SYN数据含有周期性、且53端口数据含有周期性、53端口数据解析异常,其余检测结果正常,通过设置权值,如0.3,0.2,0.1,0.1,0.3,则上述结果最终表示为1*0.3+0*0.2+0*0.1+1*0.1+1*0.3=0.7,最终的检测结果综合为0.7,再通过设置阈值来对结果是否异常进行判断,如设置阈值为0.6,则上述检测结果判定为异常。
综上所述,本实施例所述方法,通过采集的数据报文进行多个特征项可疑性分析,并根据可疑性分析结果对APT攻击进行综合判定,实现了通过对数据报文进行集中分析,有效的发现和追踪APT攻击。并且可将可疑数据进行告警通报,从而提高了APT攻击检测的灵活性。
在本发明第三实施例中,提供一种APT攻击检测中TCP数据处理方法,本实施例是对步骤S203的详细阐述,具体的,如图3所示,包括如下步骤:
步骤S301,针对TCP数据报文,对于TCP PSH、ACK报文,执行步骤S302,对于TCP SYN报文执行步骤S306;
步骤S302,对TCP PSH、ACK报文进行特征提取,提取的特征主要有报文的源IP地址、目的IP地址、源端口、目的端口、报文的负载净荷大小、以及报文的时间戳;
步骤S303,对报文时间戳按照原宿IP地址、原宿端口号以及负载净荷这五个元组进行聚类保存;
其中,聚类保存指的是将时间戳按照IP地址对、端口对、净荷大小五个元组进行分类,形成条目(此过程成为聚类)。
步骤S304,对TCP PSH、ACK报文进行周期性判定,判定的准则为在时间窗口Tp之内,计算同一个五元组聚类条目下,连续Np个TCP PSH、ACK报文满足其任两个连续报文时间间隔差均大于Tp1,且这些连续的时间间隔差的差值在tp之内,则判定为具有周期性。例如,当设置Np=3,Tp=3600s,Tp1=100s,tp=0.5s,则如果在3600s内,有连续3个同一五元组的TCP PSH、ACK报文,其相对时间戳为100.1s、201.4s、302.3s,其连续报文时间间隔差值为td1=101.3s和td2=100.9s,且时间间隔差的差值为tdd1=0.4s,满足td1>Tp1,td2>Tp1且tdd1<tp,就判定其具有周期性,并进行告警。对于数值Tp、Np、Tp1、tp将写入配置文件,具有动态可调特性。根据现实运行情况、目标网络的特性,进行动态调整,以获得更好的检测效果。
步骤S305,对TCP的PSH ACK报文进行统计分析,计算Tpa时间内PSH ACK报文计数是否大于Npa,并对满足条件的报文进行告警和存储。其中,Tpa、Npa也将作为可调参数,实现动态的调整,以获得更好的检测效果。
步骤S306,对TCP SYN报文进行特征提取,提取的特征主要有报文的源IP地址、目的IP地址、目的端口号、报文的负载净荷大小、报文的时间戳。
步骤S307,对报文时间戳按照原宿IP地址对、目的口号以及负载净荷这四个元组进行聚类保存。
步骤S308,对TCP SYN报文进行周期性判定,判定的准则为在时间窗口Ts之内,计算同一IP地址对、相同目的端口以及相同净荷的连续Ns个TCP SYN报文满足其任两个连续报文时间间隔差均大于Ts1,且这些连续的时间间隔差的差值在ts之内,则判定为具有周期性。对于数值Ts、Ns、Ts1、ts也可以根据目标网络特性,进行动态调整,以获得更好的检测效果。
在本发明第四实施例中,提供一种APT攻击检测中DNS数据处理方法,本实施例是对步骤S204的详细阐述,本实施例中,DNS数据为53端口TCP/UDP数据,具体的,如图4所示,包括如下步骤:
步骤S401,对53端口的数据报文进行协议解析,按照DNS的协议规范对数据包进行逐字段解析,对于解析出错的数据报文,执行步骤S402,对于解析正确的数据报文,分别执行步骤S403和S406。
步骤S402,对于解析错误的53端口数据报文将直接进行告警。
步骤S403,对于解析正确的数据报文,提取数据报文的IP地址对和应用层协议的负载大小。
步骤S404,将应用层协议负载大小按照原宿IP地址对来进行聚类,以进行特征统计。
步骤S405,在时间窗口Tdns内,计算同一IP地址对的双向DNS数据的平均负载字节数,对于平均负载大小超过Ndns字节的数据进行告警。
步骤S406,将对解析正确且查询数为1的DNS查询报文进行特征提取,提取的特征包括查询报文的域名信息、原IP地址以及查询报文的时间戳。
步骤S407,对DNS查询报文的时间戳按照原IP地址和域名对进行聚类统计,每过t时间记录每个聚类条目的查询报文数量。
步骤S408,将总的记录时间T划分为n个时间窗口,每个时间窗口的大小为t,在每个t时间内记录某特定IP对特定域名查询的次数,则在T时间内一共会有n个数据记录形成一个序列。这个序列将用作后续的周期性判断。对于数值T、t可以根据目标网络特性,进行动态调整,以获得更好的检测效果。
步骤S409,对步骤S408获得的DNS查询报文序列进行计算,根据循环自相关方法进行计算,得出其大致的周期值,并通过转换为0~1的小数,得出其周期性强弱指数。
其中,循环自相关方法公式如下:
其中,f(n)表示观测时间T内第n个时间窗口中聚类条目的计数值,f(n+k)表示将f(n)循环右移k个步长后所得值。步长k的变化,会使得r(k)的值呈现出周期性的变化,当k的取值为序列周期的整数倍的时候,r(k)将取得最大值。由此可估计出序列的大致周期。对于任意自然数k,都有:
r(k)≤r(0)(0≤k≤K-1,k∈N) (2)
且有:
通过公式(3)的计算,将r(k)的值转换为0到1小数。
步骤S410,对计算出的周期性强弱指数进行判定,对于周期性指数强于阈值a的数据将判定其查询报文具有周期性。参数a也将写入配置文件,针对目标不同的目标网络,进行动态调整,以获得更好的检测效果。
在本发明第四实施例中,提供一种APT攻击检测装置,如图5所示,包括:
报文获取模块510,用于获取待检测数据报文;
报文分类模块520,用于按设定的分类标准,对所述待检测数据报文进行分类;
特征分析模块530,用于对每类数据报文,进行特征项可疑性分析;所述特征项可疑性分析包括如下项目中的一个或多个:周期性分析、数据统计异常分析、协议解析异常分析和平均负载异常分析;
检测模块540,用于根据各类数据报文的特征项可疑性分析结果,确定APT攻击检测结果。
在本发明的一个具体实施例中,报文分类模块520,具体用于按照数据报文的传输层协议以及使用的端口号,将所述待检测数据报文分为传输控制协议TCP数据报文和域名系统DNS数据报文。
特征分析模块530具体包括:
TCP数据处理单元,用于对所述TCP数据报文,进行特征项可疑性分析,包括如下分析中的一个或多个:对TCP SYN报文进行周期性分析、对TCP PSH及ACK报文进行周期性分析、以及对TCP PSH及ACK报文进行数据统计异常分析;
53端口数据处理单元,用于对所述DNS数据报文,进行特征项可疑性分析,包括如下分析中的一个或多个:对DNS数据报文进行协议解析异常分析、周期性分析、以及平均负载大小异常分析。
进一步地,本实施例中,TCP数据处理单元,具体用于对TCP SYN报文或对TCP PSH及ACK报文进行特征提取;其中,提取的特征包括:时间戳、IP地址信息、端口号信息和报文的负载净荷大小;将提取的时间戳按照IP地址信息、端口号信息以及负载净荷大小为聚类条目进行保存;在设定的时间窗口之内,检测是否相同聚类条目的连续N个TCP SYN报文或者TCP PSH及ACK报文满足其任两个连续报文时间间隔差均大于设定的时间间隔差阈值,以及这些连续的时间间隔差的差值在设定的差值阈值之内,若是,则判定TCP SYN报文或对TCP PSH及ACK报文具有周期性,否则,判定为不具有周期性。
进一步地,本实施例中,TCP数据处理单元,具体用于计算设定的Tpa时间内TCP PSH及ACK报文计数是否大于设定阈值Npa,若大于,则判定为数据统计异常,否则,判定为数据统计未有异常。
进一步地,本实施例中,53端口数据处理单元,具体用于检测DNS数据报文是否为DNS查询报文且查询数为1,并在是的情况下,对DNS查询报文的时间戳按照原IP地址和域名对进行聚类保存,并每过设定的t时间记录每个聚类条目的DNS查询报文数量;在每个t时间内记录同一聚类条目的查询次数,则在T时间内得到n个数据记录,形成每个聚类条目的DNS查询报文序列;其中,T=n*t;基于所述DNS查询报文序列,利用设定的周期算法,得到各聚类条目下的DNS查询报文序列的周期性强弱指数,判断各所述周期性强弱指数是否大于设定阈值,若是,则判定具有周期性,否则,判定为不具有周期性。
进一步地,本实施例中,53端口数据处理单元,具体用于将所述DNS数据报文的应用层协议负载大小按照原宿IP地址对进行聚类保存;计算设定的时间窗口Tdns内同一聚类条目的双向DNS数据报文的平均负载字节数;判断平均负载字节数是否超过设定的Ndns字节,若是,则判定为平均负载大小异常;否则,判定为平均负载大小未有异常。
可选地,本发明实施例所述装置,还包括:
告警模块,用于在所述特征分析模块对每类数据报文进行特征项可疑性分析后,当分析的特征项可疑时,产生告警并输出告警信息。
在本发明的一个具体实施例中,检测模块540,具体用于将各类数据报文的各特征项的可疑性分析结果进行加权求和,判断所述加权求和结果是否大于设定的阈值,并在是的情况下,判定出APT攻击检测结果异常。
综上所述,本实施例所述装置,本发明所述APT攻击检测方法和装置,通过采集的数据报文进行多个特征项可疑性分析,并根据可疑性分析结果对APT攻击进行综合判定,实现了通过对数据报文进行集中分析,有效的发现和追踪APT攻击。并且可将可疑数据进行告警通报,从而提高了APT攻击检测的灵活性。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:ROM、RAM、磁盘或光盘等。
总之,以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (16)
1.一种高级持续性威胁APT攻击检测方法,其特征在于,包括:
获取待检测数据报文;
按设定的分类标准,对所述待检测数据报文进行分类;
对每类数据报文,进行特征项可疑性分析;所述特征项可疑性分析包括如下项目中的一个或多个:周期性分析、数据统计异常分析、协议解析异常分析和平均负载异常分析;
根据各类数据报文的特征项可疑性分析结果,确定APT攻击检测结果;
其中,在所述待检测数据报文的分类结果中包括传输控制协议TCP数据报文的情况下;
对所述传输控制协议TCP数据报文进行所述周期性分析,包括:
对TCP SYN报文或对TCP PSH及ACK报文进行特征提取;其中,提取的特征包括:时间戳、IP地址信息、端口号信息和报文的负载净荷大小;
将提取的时间戳按照IP地址信息、端口号信息以及负载净荷大小为聚类条目进行保存;
在设定的时间窗口之内,检测是否相同聚类条目的连续N个TCP SYN报文或者TCP PSH及ACK报文满足其任两个连续报文时间间隔差均大于设定的时间间隔差阈值,以及这些连续的时间间隔差的差值在设定的差值阈值之内,若是,则判定为具有周期性,否则,不具有周期性。
2.如权利要求1所述的方法,其特征在于,所述按设定的分类标准,对所述待检测数据报文进行分类,包括:
按照数据报文的传输层协议以及使用的端口号,将所述待检测数据报文分为传输控制协议TCP数据报文和域名系统DNS数据报文。
3.如权利要求2所述的方法,其特征在于,
对所述TCP数据报文,进行特征项可疑性分析,包括如下分析中的一个或多个:对TCPSYN报文进行周期性分析、对TCP PSH及ACK报文进行周期性分析、以及对TCP PSH及ACK报文进行数据统计异常分析;
对所述DNS数据报文,进行特征项可疑性分析,包括如下分析中的一个或多个:对DNS数据报文进行协议解析异常分析、周期性分析、以及平均负载大小异常分析。
4.如权利要求3所述的方法,其特征在于,所述对TCP PSH ACK报文进行数据统计异常分析,包括:
计算设定的Tpa时间内TCP PSH及ACK报文计数是否大于设定阈值Npa,若大于,则判定为数据统计异常,否则,判定为数据统计未有异常。
5.如权利要求3所述的方法,其特征在于,所述对DNS数据报文进行周期性分析,包括:
检测DNS数据报文是否为DNS查询报文且查询数为1,并在是的情况下,对DNS查询报文的时间戳按照原IP地址和域名对进行聚类保存,并每过设定的t时间记录每个聚类条目的DNS查询报文数量;
在每个t时间内记录同一聚类条目的查询次数,则在T时间内得到n个数据记录,形成每个聚类条目的DNS查询报文序列;其中,T=n*t;
基于所述DNS查询报文序列,利用设定的周期算法,得到各聚类条目下的DNS查询报文序列的周期性强弱指数,判断各所述周期性强弱指数是否大于设定阈值,若是,则判定具有周期性,否则,判定为不具有周期性。
6.如权利要求3所述的方法,其特征在于,所述对DNS数据报文进行平均负载大小异常分析,包括:
将所述DNS数据报文的应用层协议负载大小按照原宿IP地址对进行聚类保存;
计算设定的时间窗口Tdns内同一聚类条目的双向DNS数据报文的平均负载字节数;
判断平均负载字节数是否超过设定的Ndns字节,若是,则判定为平均负载大小异常;否则,判定为平均负载大小未有异常。
7.如权利要求1至6任意一项所述的方法,其特征在于,所述对每类数据报文,进行特征项可疑性分析后,还包括:当分析的特征项可疑时,产生告警并输出告警信息。
8.如权利要求1至6任意一项所述的方法,其特征在于,所述根据各类数据报文的特征项可疑性分析结果,确定APT攻击检测结果,包括:
将各类数据报文的各特征项的可疑性分析结果进行加权求和;
判断所述加权求和结果是否大于设定的阈值,并在是的情况下,判定出APT攻击检测结果异常。
9.一种APT攻击检测装置,其特征在于,包括:
报文获取模块,用于获取待检测数据报文;
报文分类模块,用于按设定的分类标准,对所述待检测数据报文进行分类;特征分析模块,用于对每类数据报文,进行特征项可疑性分析;所述特征项可疑性分析包括如下项目中的一个或多个:周期性分析、数据统计异常分析、协议解析异常分析和平均负载异常分析;
在所述待检测数据报文的分类结果中包括传输控制协议TCP数据报文的情况下,对所述传输控制协议TCP数据报文进行所述周期性分析,具体用于:
对TCP SYN报文或对TCP PSH及ACK报文进行特征提取;其中,提取的特征包括:时间戳、IP地址信息、端口号信息和报文的负载净荷大小;
将提取的时间戳按照IP地址信息、端口号信息以及负载净荷大小为聚类条目进行保存;
在设定的时间窗口之内,检测是否相同聚类条目的连续N个TCP SYN报文或者TCP PSH及ACK报文满足其任两个连续报文时间间隔差均大于设定的时间间隔差阈值,以及这些连续的时间间隔差的差值在设定的差值阈值之内,若是,则判定为具有周期性,否则,不具有周期性;
检测模块,用于根据各类数据报文的特征项可疑性分析结果,确定APT攻击检测结果。
10.如权利要求9所述的装置,其特征在于,所述报文分类模块,具体用于按照数据报文的传输层协议以及使用的端口号,将所述待检测数据报文分为传输控制协议TCP数据报文和域名系统DNS数据报文。
11.如权利要求10所述的装置,其特征在于,所述特征分析模块具体包括:
TCP数据处理单元,用于对所述TCP数据报文,进行特征项可疑性分析,包括如下分析中的一个或多个:对TCP SYN报文进行周期性分析、对TCP PSH及ACK报文进行周期性分析、以及对TCP PSH及ACK报文进行数据统计异常分析;
53端口数据处理单元,用于对所述DNS数据报文,进行特征项可疑性分析,包括如下分析中的一个或多个:对DNS数据报文进行协议解析异常分析、周期性分析、以及平均负载大小异常分析。
12.如权利要求11所述的装置,其特征在于,所述TCP数据处理单元,具体用于计算设定的Tpa时间内TCP PSH及ACK报文计数是否大于设定阈值Npa,若大于,则判定为数据统计异常,否则,判定为数据统计未有异常。
13.如权利要求11所述的装置,其特征在于,所述53端口数据处理单元,具体用于检测DNS数据报文是否为DNS查询报文且查询数为1,并在是的情况下,对DNS查询报文的时间戳按照原IP地址和域名对进行聚类保存,并每过设定的t时间记录每个聚类条目的DNS查询报文数量;在每个t时间内记录同一聚类条目的查询次数,则在T时间内得到n个数据记录,形成每个聚类条目的DNS查询报文序列;其中,T=n*t;基于所述DNS查询报文序列,利用设定的周期算法,得到各聚类条目下的DNS查询报文序列的周期性强弱指数,判断各所述周期性强弱指数是否大于设定阈值,若是,则判定具有周期性,否则,判定为不具有周期性。
14.如权利要求11所述的装置,其特征在于,所述53端口数据处理单元,具体用于将所述DNS数据报文的应用层协议负载大小按照原宿IP地址对进行聚类保存;计算设定的时间窗口Tdns内同一聚类条目的双向DNS数据报文的平均负载字节数;判断平均负载字节数是否超过设定的Ndns字节,若是,则判定为平均负载大小异常;否则,判定为平均负载大小未有异常。
15.如权利要求9至14任意一项所述的装置,其特征在于,还包括:
告警模块,用于在所述特征分析模块对每类数据报文进行特征项可疑性分析后,当分析的特征项可疑时,产生告警并输出告警信息。
16.如权利要求9至14任意一项所述的装置,其特征在于,所述检测模块,具体用于将各类数据报文的各特征项的可疑性分析结果进行加权求和,判断所述加权求和结果是否大于设定的阈值,并在是的情况下,判定出APT攻击检测结果异常。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710178782.1A CN108632224B (zh) | 2017-03-23 | 2017-03-23 | 一种apt攻击检测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710178782.1A CN108632224B (zh) | 2017-03-23 | 2017-03-23 | 一种apt攻击检测方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108632224A CN108632224A (zh) | 2018-10-09 |
| CN108632224B true CN108632224B (zh) | 2022-03-15 |
Family
ID=63706426
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710178782.1A Active CN108632224B (zh) | 2017-03-23 | 2017-03-23 | 一种apt攻击检测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108632224B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111131126B (zh) * | 2018-10-30 | 2022-02-08 | 中国电信股份有限公司 | 攻击检测方法和装置 |
| CN109981587A (zh) * | 2019-02-27 | 2019-07-05 | 南京众智维信息科技有限公司 | 一种基于apt攻击的网络安全监控溯源系统 |
| CN112149860A (zh) * | 2019-06-28 | 2020-12-29 | 中国电力科学研究院有限公司 | 一种自动异常检测方法和系统 |
| CN112994969B (zh) * | 2019-12-17 | 2024-05-03 | 中兴通讯股份有限公司 | 一种业务探测方法、装置、设备和存储介质 |
| CN112153044B (zh) * | 2020-09-23 | 2021-11-12 | 腾讯科技(深圳)有限公司 | 流量数据的检测方法及相关设备 |
| CN112565290B (zh) * | 2020-12-22 | 2022-11-22 | 深信服科技股份有限公司 | 一种入侵防御方法、系统及相关设备 |
| CN113452707B (zh) * | 2021-06-28 | 2022-07-22 | 华中科技大学 | Scanner网络扫描攻击行为检测方法、介质及终端 |
| CN113746804B (zh) * | 2021-08-02 | 2022-12-27 | 中移(杭州)信息技术有限公司 | Dns隐蔽信道检测方法、装置、设备及存储介质 |
| CN113824730A (zh) * | 2021-09-29 | 2021-12-21 | 恒安嘉新(北京)科技股份公司 | 一种攻击分析方法、装置、设备及存储介质 |
| CN114095258B (zh) * | 2021-11-23 | 2024-02-06 | 北京天融信网络安全技术有限公司 | 攻击防御方法、装置、电子设备及存储介质 |
| CN115150159B (zh) * | 2022-06-30 | 2023-11-10 | 深信服科技股份有限公司 | 一种流量检测方法、装置、设备及可读存储介质 |
| CN116112287B (zh) * | 2023-04-07 | 2023-06-20 | 国家计算机网络与信息安全管理中心 | 基于时空关联的网络攻击组织追踪方法与装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103354548A (zh) * | 2013-06-28 | 2013-10-16 | 华为数字技术(苏州)有限公司 | 高持续性威胁攻击的检测方法、设备及系统 |
| CN103825888A (zh) * | 2014-02-17 | 2014-05-28 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
| WO2014153176A1 (en) * | 2013-03-14 | 2014-09-25 | General Dynamics Advanced Information Systems, Inc. | System and method for extracting and preserving metadata for analyzing network communications |
| CN105141598A (zh) * | 2015-08-14 | 2015-12-09 | 中国传媒大学 | 基于恶意域名检测的apt攻击检测方法及装置 |
| WO2016020660A1 (en) * | 2014-08-04 | 2016-02-11 | Darktrace Limited | Cyber security |
| CN105376245A (zh) * | 2015-11-27 | 2016-03-02 | 杭州安恒信息技术有限公司 | 一种基于规则的apt攻击行为的检测方法 |
| CN105721416A (zh) * | 2015-11-16 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 一种apt事件攻击组织同源性分析方法及装置 |
| CN105871883A (zh) * | 2016-05-10 | 2016-08-17 | 上海交通大学 | 基于攻击行为分析的高级持续性威胁检测方法 |
-
2017
- 2017-03-23 CN CN201710178782.1A patent/CN108632224B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014153176A1 (en) * | 2013-03-14 | 2014-09-25 | General Dynamics Advanced Information Systems, Inc. | System and method for extracting and preserving metadata for analyzing network communications |
| CN103354548A (zh) * | 2013-06-28 | 2013-10-16 | 华为数字技术(苏州)有限公司 | 高持续性威胁攻击的检测方法、设备及系统 |
| CN103825888A (zh) * | 2014-02-17 | 2014-05-28 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
| WO2016020660A1 (en) * | 2014-08-04 | 2016-02-11 | Darktrace Limited | Cyber security |
| CN105141598A (zh) * | 2015-08-14 | 2015-12-09 | 中国传媒大学 | 基于恶意域名检测的apt攻击检测方法及装置 |
| CN105721416A (zh) * | 2015-11-16 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 一种apt事件攻击组织同源性分析方法及装置 |
| CN105376245A (zh) * | 2015-11-27 | 2016-03-02 | 杭州安恒信息技术有限公司 | 一种基于规则的apt攻击行为的检测方法 |
| CN105871883A (zh) * | 2016-05-10 | 2016-08-17 | 上海交通大学 | 基于攻击行为分析的高级持续性威胁检测方法 |
Non-Patent Citations (3)
| Title |
|---|
| Detection of DNS-based convert channel beacon signals;S Sheridan and A Keane;《Journal of information warfare》;20151231;第100-114页 * |
| 基于DNS流量和威胁情报的APT检测;李骏韬等;《信息安全与通信保密》;20160710(第07期);第83-87页 * |
| 提高防御APT攻击性能的入侵检测系统的设计与实现;闫张浩;《中国优秀硕士学位论文全文数据库》;20170131;第1-49页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108632224A (zh) | 2018-10-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108632224B (zh) | 一种apt攻击检测方法和装置 | |
| JP6703613B2 (ja) | データストリームにおける異常検出 | |
| EP2953298B1 (en) | Log analysis device, information processing method and program | |
| CN111817982B (zh) | 一种面向类别不平衡下的加密流量识别方法 | |
| CN103368979B (zh) | 一种基于改进K-means算法的网络安全性验证装置 | |
| KR101391781B1 (ko) | 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법 | |
| US20150341380A1 (en) | System and method for detecting abnormal behavior of control system | |
| CN110868431A (zh) | 一种网络流量异常检测方法 | |
| US20070226803A1 (en) | System and method for detecting internet worm traffics through classification of traffic characteristics by types | |
| JP2018533897A5 (zh) | ||
| US20050044406A1 (en) | Adaptive behavioral intrusion detection systems and methods | |
| CN108289088A (zh) | 基于业务模型的异常流量检测系统及方法 | |
| JP2014060722A (ja) | 将来のネットワーク攻撃を検知及び予測するために、様々な指標と過去の攻撃事例を相関させ、攻撃に関する指標のプロファイルを作成するシステム及び方法 | |
| CN107360118B (zh) | 一种高级持续威胁攻击防护方法及装置 | |
| US10193900B2 (en) | Methods and apparatus to identify an internet protocol address blacklist boundary | |
| CN107370752B (zh) | 一种高效的远控木马检测方法 | |
| Osanaiye et al. | Change-point cloud DDoS detection using packet inter-arrival time | |
| CN113114694A (zh) | 一种面向高速网络分组抽样数据采集场景的DDoS攻击检测方法 | |
| JP4324189B2 (ja) | 異常トラヒック検出方法およびその装置およびプログラム | |
| CN114021135A (zh) | 一种基于R-SAX的LDoS攻击检测与防御方法 | |
| JP6970344B2 (ja) | 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム | |
| CN116633685A (zh) | 基于IPv6发展态势监测的分析方法 | |
| US20150150132A1 (en) | Intrusion detection system false positive detection apparatus and method | |
| Iqbal et al. | Analysis of a payload-based network intrusion detection system using pattern recognition processors | |
| Liu et al. | An entropy-based method for attack detection in large scale network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |