CN110602042B - 基于级联攻击链模型的apt攻击行为分析检测方法及装置 - Google Patents

Abstract

本发明属于网络安全技术领域，特别涉及一种基于级联攻击链模型的APT攻击行为分析检测方法及装置，该方法包含：采集多源异构网络数据，以多个子攻击链的递归结构来表示攻击过程，通过子攻击链级联形式形成攻击链整体结构，构建级联攻击链模型；基于级联攻击链模型，对网络中APT攻击行为进行分析检测，重构APT攻击场景。本发明克服现有技术的局限性，有效识别和分析APT攻击行为，弥补现有分析方法中对于人工分析过度依赖的缺陷，提高攻击行为检测的准确性，便于在实际分析中开展应用。

Description

基于级联攻击链模型的APT攻击行为分析检测方法及装置

技术领域

本发明属于网络安全技术领域，特别涉及一种基于级联攻击链模型的APT攻击行为分析检测方法及装置。

背景技术

在当前网络环境下，在当前网络环境下，网络攻击行为层出不穷，并且网络攻击日趋复杂化、持续化、隐蔽化，高级持续性威胁(Advanced Persisent Threat,APT)攻击已成为国家部门和企业网络面临的主要威胁。由于APT攻击自身的高级性、持续性和未知性，现有检测手段逐渐难以应对，人们难以在攻击发生之初就将其检出，目前针对APT的检测也都是事后的分析发现，且检出率极低。因此，入侵检测一直是网络安全研究领域的热点问题，攻击链模型是入侵检测中研究较多的一种攻击行为描述模型。具体地，攻击链模型是Lockheed Martin公司为APT攻击等高级攻击手段而提出的一种通用性攻击行为描述模型，常规的入侵渗透、木马控守等多步攻击过程同样可以用此模型表述。攻击链模型主要分为信息收集、武器定制、递送、初始入侵、安装运行、建立C&C通道、攻击达成等七个步骤。

传统攻击链模型有效表达APT攻击实施的逻辑过程，但对于攻击步骤概括不够全面，既没有给出攻击步骤在检测中的对应关系，也没有很好地表示出网络中的具体渗透过程。而APT攻击具有定向性、隐蔽性等特点，即使已有防火墙、入侵检测系统等防御措施，APT攻击场景识别仍然是困难的，其困难之处在于难以确定各异常事件的关联性，而一个单一的告警不能确定是否是APT攻击，APT攻击场景的识别更多依赖于安全卖家的调查分析，包括攻击事件分析与回溯、攻击场景溯源等。因此，现有的攻击链模型难以满足APT攻击行为分析需求，不便于在实际分析中开展应用。

发明内容

为此，本发明提供一种基于级联攻击链模型的APT攻击行为分析检测方法及装置，克服现有技术的局限性，有效识别和分析APT攻击行为，弥补现有分析方法中对于人工分析过度依赖的缺陷，提高攻击行为检测的准确性，便于在实际分析中开展应用。

按照本发明所提供的设计方案，一种基于级联攻击链模型的APT攻击行为分析检测方法，包含：

采集多源异构网络数据，以多个子攻击链的递归结构来表示攻击过程，通过子攻击链级联形式形成攻击链整体结构，构建级联攻击链模型；

基于级联攻击链模型，对网络中APT攻击行为进行分析检测，重构APT攻击场景。

上述地，针对目标主机，通过引入子攻击链将不同攻击链进行级联，形成级联攻击链模型，具体包含如下内容：确定潜在攻击目标，收集与攻击目标相关网络信息；依据收集到的网络信息，指定攻击工具并交付至目标网络；利用攻击工具入侵目标主机，进行恶意程序安装运行；在攻击主机和目标主机之间建立指挥与控制通道，控制受害主机系统，通过指挥与控制通道发出攻击指令，形成攻击行为实施的子攻击链，对目标主机实施攻击行为。

上述地，通过信息侦查，从公共资源收集目标网络技术、策略和过程信息，识别和定位目标主机，对网络流量进行连续检查，以检测和防止端口扫描和主机扫描。

上述地，通过使用恶意链接或附件进行矛式网络钓鱼攻击，以形成攻击工具。

上述地，基于级联攻击链模型对APT攻击行为进行分析检测中，首先从审计日志中提取攻击事件，基于审计日志异常和安全设备安全语义数据生成攻击告警；然后，通过引入安全知识，基于映射函数将告警映射到已知攻击模式，生成攻击步骤，并根据攻击模式将攻击事件映射到攻击链中；将同一主机上发生的攻击步骤进行链接，基于相同主机和/或相同特征，对攻击链进行关联分析；由不同攻击子攻击链按攻击主机之间的渗透关系链接成APT攻击场景。

上述地，攻击链关联分析表示为：kill-chain(KC)＝{R,W&D,E&I,C2,A}，其中，R表示级联攻击链模型中信息侦察，W&D表示级联攻击链模型中武器定制与交付，E&I表示级联攻击链模型中渗透与安装，C2表示级联攻击链模型中指挥与控制，A表示级联攻击链模型中针对目标行动。

上述地，基于级联攻击链模型，通过前向分析和后向推理对网络中APT攻击行为进行分析检测，从分析入口点开始，逐步识别和发现依赖于入口点的所有可能影响事件并评估；结合逆向推理，增加缺失攻击要素，补充假设知识对APT攻击的认知。

上述地，前向分析包含如下内容：从异构数据源收集原始数据，该异构数据源包括网络和操作系统；将原始数据表示为格式化事件并存储，不同数据源对应于不同的APT攻击阶段，并对多源攻击事件进行分析，以产生具有安全语义的攻击告警，由安全设备生成语义安全数据；通过关联分析连接为攻击活动，并利用专家知识，将攻击告警映射到攻击阶段，利用攻击链重构攻击场景。

上述地，后向推理包含如下内容：将相对孤立的攻击告警组织成局部攻击链，连接零散攻击行为；使用级联攻击链模型进行反向推理，补充未检测到的攻击元素，在不完整的攻击链中添加缺失元素。

更进一步地，本发明还提供一种基于级联攻击链模型的APT攻击行为分析检测装置，包含：信息采集模块和分析检测模块，其中，

信息采集模块，用于采集多源异构网络数据，以多个子攻击链的递归结构来表示攻击过程，通过子攻击链级联形式形成攻击链整体结构，构建级联攻击链模型；

分析检测模块，用于基于级联攻击链模型对网络中APT攻击行为进行分析检测，重构APT攻击场景。

本发明的有益效果：

本发明通过采集多源异构网络数据，以多个子攻击链的递归结构来表示攻击过程，利用子攻击链级联形式形成攻击链整体结构，构建级联攻击链模型；并基于级联攻击链模型，对网络中APT攻击行为进行分析检测，重构APT攻击场景，以适应实际网络环境攻击行为检测。

本发明在基本攻击链模型的基础上，改进APT攻击渗透过程的描述，将其组织成包含信息侦察、武器定制与交付、渗透与安装、指挥与控制以及针对目标的行动等5个步骤在内的递归结构；与已有攻击链模型相比，既保留攻击实施的关键环节，又从实际检测的角度精简步骤，通过递归结构引入对于不同主机间渗透关系的表达，能够确定各异常事件之间的关联性，避免过多依赖人工分析的情形。

本发明在级联攻击链模型的基础上，概括提出APT攻击行为分析流程，阐述攻击事件、攻击告警、攻击步骤、攻击链到APT攻击场景的具体应用过程，使APT攻击行为分析流程化并简化了分析复杂度，降低对于分析人员专业知识的要求门槛；通过基于级联攻击链的前向分析，将分散的攻击事件连接成更为完整的APT攻击场景，并通过反向推理补充未检测到的攻击元素；可以有效识别和分析APT攻击行为，弥补现有分析方法中对于人工分析过度依赖的缺陷，提高检测的准确性，并在检测结果中加深对APT攻击场景的认知，具有较好的应用前景。

附图说明：

图1为实施例中攻击行为分析检测方法流程图；

图2为实施例中级联攻击链结构示意图；

图3为实施例中级联攻击链细节描述结构示意图；

图4为实施例中APT攻击行为分析流程图；

图5为实施例中基于级联攻击链的前向分析流程图

图6为实施例中典型APT攻击场景示例图；

图7为实施例中攻击链1的构建过程示意图；

图8为实施例中攻击链2的构建过程示意图；

图9为实施例中攻击行为分析检测装置示意。

具体实施方式：

为使本发明的目的、技术方案和优点更加清楚、明白，下面结合附图和技术方案对本发明作进一步详细的说明。

针对现有网络攻击检测中检测模型难以满足攻击行为需求分析、不便实际展开应用等的情形，本发明实施例中，参见图1所示，提供一种基于级联攻击链模型的APT攻击行为分析检测方法，包含如下内容：

S101)采集多源异构网络数据，以多个子攻击链的递归结构来表示攻击过程，通过子攻击链级联形式形成攻击链整体结构，构建级联攻击链模型；

S102)基于级联攻击链模型，对网络中APT攻击行为进行分析检测，重构APT攻击场景。

通过采集多源异构网络数据，以多个子攻击链的递归结构来表示攻击过程，利用子攻击链级联形式形成攻击链整体结构，构建级联攻击链模型；并基于级联攻击链模型，对网络中APT攻击行为进行分析检测，重构APT攻击场景，以适应实际网络环境攻击行为检测。其中，级联攻击链模型以多个子链的递归结构组织而成，在级联攻击链模型中，攻击行动阶段可以是攻击目标的实现，也可以是后续进行的子链，攻击过程被概括为递归结构，攻击链整体结构被组织为子链级联的形式，各子链中元素的源地址和目标地址指向网络中的相同地址，以便于确定攻击过程中各异常事件的关联性。

进一步地，本发明实施例中，针对目标主机，通过引入子攻击链将不同攻击链进行级联，形成级联攻击链模型，具体包含如下内容：确定潜在攻击目标，收集与攻击目标相关网络信息；依据收集到的网络信息，指定攻击工具并交付至目标网络；利用攻击工具入侵目标主机，进行恶意程序安装运行；在攻击主机和目标主机之间建立指挥与控制通道，控制受害主机系统，通过指挥与控制通道发出攻击指令，形成攻击行为实施的子攻击链，对目标主机实施攻击行为。

参见图2所示，级联攻击链模型可概括为包括信息侦察、武器定制与交付、渗透与安装、指挥与控制以及针对目标的行动5个步骤，其中对目标的行动通过引入新的子链将不同攻击链级联到一起，级联攻击链模型的5个步骤具体如下：1)信息侦察(Reconnaissance,R)：收集信息，研究计划APT攻击的实施方法。在确定潜在的攻击目标之后，首先要收集和目标有关的各类信息，为下一步攻击活动提供基础信息。2)武器定制与交付(Weaponization&Delivery,W&D)：根据上一步骤收集的各类信息定制攻击工具，并将其交付到目标网络，逐步接近目标主机。3)渗透与安装(Exploitation&Installation,E&I)：这部分是APT攻击实施的实质阶段，利用攻击渗透工具包或定制化攻击工具侵入目标主机，完成恶意程序的安装运行。4)指挥与控制(Command and Control,C2)：在攻击主机和目标主机之间建立指挥与控制(C2)通道，主动控制受害主机系统，攻击者通过C2通道发出攻击指令，指导下一阶段的攻击。5)针对目标的行动(Action,A)：针对目标的行动主要包括数据外泄、关键基础设施的破坏、破坏网络资产、制造恐惧或敲诈等手段，需要注意的是，本阶段的攻击行动也可以是进一步攻击实施的子攻击链。

进一步地，本发明实施例中，通过信息侦查，从公共资源收集目标网络技术、策略和过程信息，识别和定位目标主机，对网络流量进行连续检查，以检测和防止端口扫描和主机扫描。信息侦察，首先要做的是收集有关目标的信息。常用的方法是从公共资源或其他方法收集诸如TTP(Techniques,Tactics,and Procedures，技术，策略与过程)等信息。此外，攻击者还扫描受害者，扫描漏洞/弱点，探测内部网络和漏洞。侦察是进攻的预备阶段，其主要目标是识别和定位目标，对网络流量进行连续检查，以检测和防止端口扫描和主机扫描。与下一阶段不同的是，存在盲目性，通常是暂时性的网络行为。新的趋势是攻击者的攻击行为增加了分布式特征以抵抗检测。具体攻击方法包括端口扫描、网络漏洞扫描、Web应用程序漏洞扫描、数据库漏洞扫描。

进一步地，本发明实施例中，通过使用恶意链接或附件进行矛式网络钓鱼攻击，以形成攻击工具。武器定制与交付最常见的方法之一是使用恶意链接或附件进行矛式网络钓鱼攻击，此步骤通常是成功实施攻击的最关键部分。由于人们的参与，这也是最难发现的。在交付过程中，它往往是社会工程的应用。如果可能的话，甚至是实物交付方式。与前一阶段不同的是，这是接触准备阶段，对目标有一定的了解。与下一阶段不同的是，此时它还没有真正工作，此时的检测和阻塞可以防止主机上的实际损失。具体的攻击方法包括社会工程、电子邮件垃圾邮件(URL或附件)、恶意网站或网络钓鱼网站、可移动媒体。

渗透与安装通常包括使用零日漏洞、缓冲区溢出和安装恶意软件以进行进一步的攻击操作，与前两个阶段不同的是，需要实现目标的直接渗透，与后续工作的区别在于，漏洞攻击仍处于初始阶段，与攻击者没有交互，程序自动运行，没有人参与，具体的攻击方法包括特权升级、后门软件安装等。指挥与控制不同的是，这一阶段依赖于攻击主机和受害主机之间的秘密通信，与下一阶段不同，在此阶段没有在目标主机上进行操作，指挥与控制只传输命令信息和内部探测数据。行动这一阶段评估受害系统上的信息，然后开始通过网络探测以确定其他系统来利用或收集敏感信息(例如可用服务)，攻击者尝试收集有关目标网络的信息数据并传播或破坏可用服务；这个阶段是攻击手段实际工作的阶段；或者没有实际的破坏或盗窃，而是以后续的攻击链为攻击目标。

攻击链是一个以子链链接形成的递归结构，攻击链的第5个步骤可以是具体的攻击行动，也可以是下一个攻击子链，级联攻击链细节描述结构如图3所示，图中节点A向节点B发起攻击链1的实施，其中包含了级联攻击链模型中的5个步骤，在攻击链1的行动阶段(A)，并没有对节点B造成实质破坏，而是以节点B为跳板，进一步地向节点C发起渗透攻击，并在节点C上实施攻击行动并达成攻击目标。

进一步地，本发明实施例中，基于级联攻击链模型对APT攻击行为进行分析检测中，参见图4所示，首先从审计日志中提取攻击事件，基于审计日志异常和安全设备安全语义数据生成攻击告警；然后，通过引入安全知识，基于映射函数将告警映射到已知攻击模式，生成攻击步骤，并根据攻击模式将攻击事件映射到攻击链中；将同一主机上发生的攻击步骤进行链接，基于相同主机和/或相同特征，对攻击链进行关联分析；由不同攻击子攻击链按攻击主机之间的渗透关系链接成APT攻击场景。

从审计日志中提取出来的各类安全事件是APT攻击的基础检测数据。随着数据量的快速增长，安全日志处理已成为一个大数据问题，从海量数据中发现与APT攻击相关的事件是困难的，如何从异构数据源的原始数据中检测异常是APT攻击检测和分析的基础。对应于从审计日志中发现的攻击事件，攻击告警包含更多的安全语义信息，攻击告警主要来自两个来源：安全设备生成的安全语义数据(即安全警报)和审计日志生成的异常；这里需要避免误报和警报，因为误报和警报可能不是真正的攻击事件，而警报生成的准确率将影响后续分析；因此需要及时发现并更新特性库，生成告警和匹配功能，这里可采用人工智能相关技术简化这一过程，与攻击事件相比，生成的攻击告警是更高级别的安全事件。攻击步骤是对攻击告警的进一步识别，它是对攻击告警警报的函数映射结果，这一阶段需要有安全知识的引入；此过程的实现依赖于安全专家或相关知识库，基于映射函数将攻击告警映射到已有的攻击模式，并可以根据攻击模式的特点将找到的不同类型的事件映射到攻击链中的相应阶段。攻击链表示了APT攻击过程的局部完整性，它将同一主机上发生的攻击步骤按照APT攻击的实施规律链接在一起，连接不同主机的规则基于相同的主机或具有的相同特征；在形成基本攻击链后，可以在此基础上制定关联分析方法。形式化地，本发明实施例中，攻击链可表示为：

kill-chain(KC)＝{R,W&D,E&I,C2,A}

APT攻击场景表达了攻击发生的整体过程，由不同攻击子链按攻击主机之间的渗透关系连接而成，与单个攻击链不同的是，攻击场景更多表达的是更为宏观的网络关系。形式化地，APT攻击场景可表示为：

APT attack-scenario＝{KC(1),KC(2),…,KC(n)}

进一步地，本发明实施例中，基于级联攻击链模型，通过前向分析和后向推理对网络中APT攻击行为进行分析检测，从分析入口点开始，逐步识别和发现依赖于入口点的所有可能影响事件并评估；结合逆向推理，增加缺失攻击要素，补充假设知识对APT攻击的认知。

级联攻击链模型表示节点之间的入侵关系，前向分析的目的是通过从分析入口点开始，逐步识别和发现依赖于入口点的所有可能的影响事件并加以评估。在APT攻击检测过程中通常会缺少某些步骤，导致这种现象的原因可能是攻击本身没有发生，或者部分攻击已经发生但尚未检测到。攻击场景将节点之间的攻击链级联为新的链。子链和中间节点的攻击活动是另一个攻击子链。而正向分析的过程依赖于这种聚类方法。为此，本发明实施例中，参见图5所示，前向分析过程可设计为包含如下内容：从异构数据源收集原始数据，该异构数据源包括网络和操作系统；将原始数据表示为格式化事件并存储，不同数据源对应于不同的APT攻击阶段，并对多源攻击事件进行分析，以产生具有安全语义的攻击告警，由安全设备生成语义安全数据；通过关联分析连接为攻击活动，并利用专家知识，将攻击告警映射到攻击阶段，利用攻击链重构攻击场景。从网络、操作系统和其他数据来源收集原始数据；在预处理之后，原始数据被表示为格式化事件并存储；不同的数据源对应于APT攻击的不同阶段。由于事件量太大，原始日志中包含的事件关系不清楚，因此，有必要对多源安全事件进行分析，以产生具有安全语义的异常警报，但是，异常警报中只包含低级安全信息，并且存在会误导攻击分析的错误警报。由安全设备(如IDS、防病毒软件和防火墙)生成的其他语义安全数据也提供有关攻击的信息。通过关联分析将把这些点连接到一个更大的攻击活动中，在专家知识的指导下，安全警报可以映射到攻击阶段。映射函数的设计是安全系统中最重要的部分，利用攻击链重构攻击场景。

通常APT检测是一个前向分析过程，然而由于攻击者的隐蔽攻击行为，通过前向分析往往很难及时发现某些攻击步骤，在APT攻击的事后分析中，后向推理更为常用。通过前向分析检测到异常事件后，可能无法恢复完整的攻击场景。进一步地，本发明实施例中，后向推理可设计为包含如下内容：将相对孤立的攻击告警组织成局部攻击链，连接零散攻击行为；使用级联攻击链模型进行反向推理，补充未检测到的攻击元素，在不完整的攻击链中添加缺失元素。由于数据缺失或攻击行为隐藏的原因，正向分析的结果可能不够完整；由于数据源不足或缺少事件，可能会发生未检测到的攻击行为；另外，攻击者故意隐藏攻击行为也会导致攻击检测事件的遗漏；单个攻击过程的实施并不一定能保证预期的攻击目标；一个完整的APT攻击通常需要多个中间主机作为立足点协助完成，因此需要从攻击实现的角度恢复和描述APT攻击场景。

综上，通过前向分析，可以将相对孤立的攻击告警组织成一个局部完整的攻击链，前向分析还可以更容易地连接零散的攻击行为。使用级联攻击链模型进行反向推理是攻击分析的另一种观点。它可以补充未检测到的攻击元素。根据APT攻击实现的连续性，可以在不完整的攻击链中添加缺失元素。通过将攻击事件组织成攻击链，可以更容易地连接分散的攻击事件。反向推理可以进一步丰富攻击链，增强检测到的攻击场景。

在APT攻击检测的具体实施中，前向分析和后向分析方法通常结合起来应用，下面通过一个关于典型APT攻击检测的案例进一步说明本发明实施例中技术方案的有效性。

一个典型的APT攻击场景示例参见图6所示，包含如下步骤：S1：信息侦察，攻击者定位目标主机并向内部网络用户发送钓鱼邮件，钓鱼邮件内包含带有恶意代码的附件。S2:武器定制与交付，受害主机在邮件客户端内下载并打开邮件的附件，隐藏在附件中的恶意代码被执行。S3:渗透与安装，安装和执行后门恶意软件。S4:指挥与控制，在获得目标网络的执行权限后，攻击者和中间节点之间建立C2通道。S5:行动，由节点B发起的攻击链2(S6-S10)。S6:信息侦察，攻击者在中间主机执行利用Nmap执行端口扫描。S7:武器定制与交付，攻击者利用已有的攻击脚本侵入受害主机。S8:渗透与安装，在成功侵入之后，攻击者将恶意代码注入到受害主机中。S9:指挥与控制，在外部主机和受害主机之间建立C2通道。S10,S11:攻击行动，受害主机在攻击主机控制下，利用安装的恶意程序下载加密软件和密钥，将收集的敏感数据加密后发送至攻击主机。

在前身分析过程中，多个检测事件(S2,S3,S4)被IDS等安全设备检测出，根据这些检测事件将节点A向节点B发起的攻击链1激活。后续地，发生在节点C上的攻击事件(S6,S7,S8,S10)被识别，节点B向节点C发起的攻击链2被激活。如上所述，攻击链1的受害主机是攻击链2的发起主机，攻击链1和攻击链2通过级联攻击链模型连接形成更完整的APT攻击场景。进一步地，两个假设攻击事件(S2,S9)被添加到攻击场景中，并由此形成的整体攻击场景如图6所述。

进一步地，通过反向推理确定与假设事件相关的来源日志事件后，根据相关性评分结果，将其交由分析人员以进一步判定，最终形成完整的攻击场景。攻击链1的构建过程如图7所示。攻击链2的构建过程如图8所示。

在级联攻击链模型的基础上，概括提出APT攻击行为分析流程，阐述攻击事件、攻击告警、攻击步骤、攻击链到APT攻击场景的具体应用过程，使APT攻击行为分析流程化并简化了分析复杂度，降低对于分析人员专业知识的要求门槛；通过基于级联攻击链的前向分析，将分散的攻击事件连接成更为完整的APT攻击场景，并通过反向推理补充未检测到的攻击元素；可以有效识别和分析APT攻击行为，弥补现有分析方法中对于人工分析过度依赖的缺陷，提高检测的准确性，并在检测结果中加深对APT攻击场景的认知，具有较好的应用前景。

基于上述的方法，本发明实施例还提供一种基于级联攻击链模型的APT攻击行为分析检测装置，参见图9所示，包含：信息采集模块101和分析检测模块102，其中，

信息采集模块101，用于采集多源异构网络数据，以多个子攻击链的递归结构来表示攻击过程，通过子攻击链级联形式形成攻击链整体结构，构建级联攻击链模型；

分析检测模块102，用于基于级联攻击链模型对网络中APT攻击行为进行分析检测，重构APT攻击场景。

除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。

基于上述的方法，本发明实施例还提供一种服务器，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现上述的方法。

基于上述的方法，本发明实施例还提供一种计算机可读介质，其上存储有计算机程序，其中，该程序被处理器执行时实现上述的方法。

本发明实施例所提供的装置，其实现原理及产生的技术效果和前述方法实施例相同，为简要描述，装置实施例部分未提及之处，可参考前述方法实施例中相应内容。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统和装置的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在这里示出和描述的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制，因此，示例性实施例的其他示例可以具有不同的值。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。

Claims (2)

1.一种基于级联攻击链模型的APT攻击行为分析检测方法，其特征在于，包含：

采集多源异构网络数据，以多个子攻击链的递归结构来表示攻击过程，通过子攻击链级联形式形成攻击链整体结构，构建级联攻击链模型，其中，子攻击链将同一主机上发生的攻击步骤按照APT攻击的实施规律链接在一起，基于相同的主机或具有的相同特征链接不同的主机；各子攻击链中元素的源地址和目标地址指向网络中用于确定攻击过程中各异常事件关联性的相同地址；

基于级联攻击链模型，对网络中APT攻击行为进行分析检测，重构APT攻击场景；

基于级联攻击链模型，通过前向分析和后向推理对网络中APT攻击行为进行分析检测，从分析入口点开始，逐步识别和发现依赖于入口点的所有可能影响事件并评估；结合逆向推理，增加缺失攻击要素，补充假设知识对APT攻击的认知；

前向分析包含如下内容：从异构数据源收集原始数据，该异构数据源包括网络和操作系统；将原始数据表示为格式化事件并存储，不同数据源对应于不同的APT攻击阶段，并对多源攻击事件进行分析，以产生具有安全语义的攻击告警，由安全设备生成语义安全数据；通过关联分析连接为攻击活动，并利用专家知识，将攻击告警映射到攻击阶段，利用攻击链重构攻击场景；

后向推理包含如下内容：将相对孤立的攻击告警组织成局部攻击链，连接零散攻击行为；使用级联攻击链模型进行反向推理，补充未检测到的攻击元素，在不完整的攻击链中添加缺失元素；

针对目标主机，通过引入子攻击链将不同攻击链进行级联，形成级联攻击链模型，具体包含如下内容：确定潜在攻击目标，收集与攻击目标相关网络信息；依据收集到的网络信息，指定攻击工具并交付至目标网络；利用攻击工具入侵目标主机，进行恶意程序安装运行；在攻击主机和目标主机之间建立指挥与控制通道，控制受害主机系统，通过指挥与控制通道发出攻击指令，形成攻击行为实施的子攻击链，对目标主机实施攻击行为；

通过信息侦查，从公共资源收集目标网络技术、策略和过程信息，识别和定位目标主机，对网络流量进行连续检查，以检测和防止端口扫描和主机扫描；

通过使用恶意链接或附件进行矛式网络钓鱼攻击，以形成攻击工具；

基于级联攻击链模型对APT攻击行为进行分析检测中，首先从审计日志中提取攻击事件，基于审计日志异常和安全设备安全语义数据生成攻击告警；然后，通过引入安全知识，基于映射函数将告警映射到已知攻击模式，生成攻击步骤，并根据攻击模式将攻击事件映射到攻击链中；将同一主机上发生的攻击步骤进行链接，基于相同主机和/或相同特征，对攻击链进行关联分析；由不同攻击子攻击链按攻击主机之间的渗透关系链接成APT攻击场景；

攻击链关联分析表示为：kill-chain(KC)＝{R,W&D,E&I,C2,A}，其中，R表示级联攻击链模型中信息侦察，W&D表示级联攻击链模型中武器定制与交付，E&I表示级联攻击链模型中渗透与安装，C2表示级联攻击链模型中指挥与控制，A表示级联攻击链模型中针对目标行动或攻击链中以子链链接形成递归结构中的下一个攻击子链。

2.一种基于级联攻击链模型的APT攻击行为分析检测装置，其特征在于，基于权利要求1所述的方法实现，包含：信息采集模块和分析检测模块，其中，

信息采集模块，用于采集多源异构网络数据，以多个子攻击链的递归结构来表示攻击过程，通过子攻击链级联形式形成攻击链整体结构，构建级联攻击链模型；

分析检测模块，用于基于级联攻击链模型对网络中APT攻击行为进行分析检测，重构APT攻击场景。

Images