CN111030974A - 一种apt攻击事件检测方法、装置及存储介质 - Google Patents
一种apt攻击事件检测方法、装置及存储介质 Download PDFInfo
- Publication number
- CN111030974A CN111030974A CN201910248339.6A CN201910248339A CN111030974A CN 111030974 A CN111030974 A CN 111030974A CN 201910248339 A CN201910248339 A CN 201910248339A CN 111030974 A CN111030974 A CN 111030974A
- Authority
- CN
- China
- Prior art keywords
- apt
- detected
- attack event
- data
- apt attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本发明实施例公开了一种APT攻击事件检测方法、装置及存储介质,涉及网络安全技术领域,能够及时发现APT攻击组织相关活动。所述方法包括:获取待检测对象并判断是否为APT攻击事件,并将待检测对象相关信息更新至APT情报数据库;基于APT情报数据库生成APT攻击者画像;其中,所述APT攻击者画像用于描述APT攻击事件相关的个人和/或组织信息;若预设时间段内,某APT攻击者画像相关的APT攻击事件发生的次数超过预设阈值,则判定该APT攻击画像相关的个人和/或组织正进行攻击活动。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种APT攻击事件检测方法、装置及存储介质。
背景技术
APT(Advanced Persistent Threat)--------高级持续性威胁,是利用先进的攻击手法对特定的目标进行长期持续性的网络攻击的攻击形式。
鉴于APT攻击事件的日趋严峻,APT攻击长期有计划有组织性的针对特定对象收集大量关于用户业务流程和目标系统使用情况的精确信息,并且广泛的使用0day漏洞、隐蔽通讯、签名仿冒、社会工程学等攻击手段进行入侵,对信息系统的安全性构成了极大威胁。因此,对于有效发现APT攻击及进一步发现其攻击组织成为目前网络安全备受关注的焦点。
发明内容
有鉴于此,本发明实施例提供了一种APT攻击事件检测方法、装置及存储介质,通过生成APT攻击者画像进而及时发现恶意攻击组织相关的APT攻击活动。
第一方面,本发明实施例提供一种APT攻击事件检测方法,包括:
获取待检测对象并判断是否为APT攻击事件,并将待检测对象相关信息更新至APT情报数据库;
基于APT情报数据库生成APT攻击者画像;其中,所述APT攻击者画像用于描述APT攻击事件相关的个人和/或组织信息;
若预设时间段内,某APT攻击者画像相关的APT攻击事件发生的次数超过预设阈值,则判定该APT攻击画像相关的个人和/或组织正进行攻击活动。
根据本发明实施例的一种具体实现方式,所述APT攻击者画像与至少一个APT攻击事件相关,各APT攻击事件至少包括预设个数相同的特征;
其中,所述特征包括:源服务器、源国家、基础设施情况、攻击动作特征。
根据本发明实施例的一种具体实现方式,还包括:基于APT攻击事件发生的时间点和各时间点上的APT攻击事件发生的数量,预测该APT攻击事件未来发生的时间点和趋势。
根据本发明实施例的一种具体实现方式,所述获取待检测对象并判断是否为APT攻击事件,并将待检测对象相关信息更新至APT情报数据库,具体包括:
运行待检测对象并收集产生的相关数据;
分析相关数据并提取待检测对象相关的待检测特征;
对待检测特征进行归一化操作形成特征数据;
将所述特征数据与APT情报数据库进行匹配判断是否为APT攻击事件;
将所述特征数据更新至APT情报数据库,包括待检测对象是否为APT攻击事件的标识;
其中,相关数据为待检测对象的行为和特征相关的数据,包括:待检测对象的来源信息、待检测对象运行中产生的数据、待检测对象运行中尝试访问的数据。
根据本发明实施例的一种具体实现方式,所述待检测特征包括:待检测对象是否有联网行为;待检测对象是否试图向外网传输数据;待检测对象处理的数据是否有针对性。
根据本发明实施例的一种具体实现方式,将所述特征数据与APT情报数据库进行匹配判断是否为APT攻击事件,具体包括:判断所述特征数据与APT情报数据库中某APT攻击事件的相同特征的数量是否超过预设值,若是则判定为同类APT攻击事件。
第二方面,本发明实施例提供一种APT攻击事件检测装置,包括:
情报数据库建立模块,用于获取待检测对象并判断是否为APT攻击事件,并将待检测对象相关信息更新至APT情报数据库;
攻击者画像生成模块,用于基于APT情报数据库生成APT攻击者画像;其中,所述APT攻击者画像用于描述APT攻击事件相关的个人和/或组织信息;
攻击活动发现模块,用于若预设时间段内,某APT攻击者画像相关的APT攻击事件发生的次数超过预设阈值,则判定该APT攻击画像相关的个人和/或组织正进行攻击活动。
根据本发明实施例的一种具体实现方式,所述APT攻击者画像与至少一个APT攻击事件相关,各APT攻击事件至少包括预设个数相同的特征;
其中,所述特征包括:源服务器、源国家、基础设施情况、攻击动作特征。根据本发明实施例的一种具体实现方式,还包括:攻击活动预测模块,用于基于APT攻击事件发生的时间点和各时间点上的APT攻击事件发生的数量,预测该APT攻击事件未来发生的时间点和趋势。
根据本发明实施例的一种具体实现方式,所述情报数据库建立模块,具体用于:
运行待检测对象并收集产生的相关数据;
分析相关数据并提取待检测对象相关的待检测特征;
对待检测特征进行归一化操作形成特征数据;
将所述特征数据与APT情报数据库进行匹配判断是否为APT攻击事件;
将所述特征数据更新至APT情报数据库,包括待检测对象是否为APT攻击事件的标识;
其中,相关数据为待检测对象的行为和特征相关的数据,至少包括:待检测对象的来源信息、待检测对象运行中产生的数据、待检测对象运行中尝试访问的数据。
根据本发明实施例的一种具体实现方式,所述待检测特征包括:待检测对象是否有联网行为;待检测对象是否试图向外网传输数据;待检测对象处理的数据是否有针对性。
根据本发明实施例的一种具体实现方式,将所述特征数据与APT情报数据库进行匹配判断是否为APT攻击事件,具体包括:判断所述特征数据与APT情报数据库中某APT攻击事件的相同特征的数量是否超过预设值,若是则判定为同类APT攻击事件。
第三方面,本发明实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实现方式所述的方法。
第四方面,本发明的实施例还提供计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实现方式所述的方法。
本发明实施例提供的一种APT攻击事件检测方法、装置及存储介质,首先建立APT情报数据库;并基于APT情报数据库内容建立APT攻击者画像;并监控判断在预设时间段内,某APT攻击者画像相关的APT攻击事件发生的次数是否超过预设阈值,进而判断相关攻击者或者攻击组织是否进行大规模攻击活动。本发明所提供的方法及装置,能够有效发现大规模的APT攻击活动。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明的一种APT攻击事件检测方法的一实施例流程图;
图2为本发明的一种APT攻击事件检测方法的又一实施例流程图;
图3为本发明的一种APT攻击事件检测装置的一实施例结构示意图;
图4为本发明的一种APT攻击事件检测装置的又一实施例结构示意图;
图5为本发明电子设备一个实施例的结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
在APT攻击事件中,对于一个攻击组织来说,为了成本和利益的平衡,其攻击组织针对不同的特定目标发动攻击可能会延续使用相同或相似的攻击手法、感染方式或者恶意代码等。基于此原因,本发明给出如下相关实施例。
第一方面,本发明实施例提供一种APT攻击事件检测方法,能够及时有效地识别某攻击组织的大规模APT攻击活动。
图1为本发明一种APT攻击事件检测方法的一实施例流程图,包括:
S101:获取待检测对象并判断是否为APT攻击事件,并将待检测对象相关信息更新至APT情报数据库。
其中,所述待检测对象可以为客户端或者其他安全设备上报的,包括但不限于:文件、web页面组件、图像或者安全设备的检测结果。
S102:基于APT情报数据库生成APT攻击者画像;其中,所述APT攻击者画像用于描述APT攻击事件相关的个人和/或组织信息。
S103:若预设时间段内,某APT攻击者画像相关的APT攻击事件发生的次数超过预设阈值,则判定该APT攻击画像相关的个人和/或组织正进行攻击活动。
优选地,所述APT攻击者画像与至少一个APT攻击事件相关,各APT攻击事件至少包括预设个数相同的特征;
其中,所述特征包括:源服务器、源国家、基础设施情况、攻击动作特征。
优选地,所述获取待检测对象并判断是否为APT攻击事件,并将待检测对象相关信息更新至APT情报数据库,具体包括:
运行待检测对象并收集产生的相关数据;
分析相关数据并提取待检测对象相关的待检测特征;
对待检测特征进行归一化操作形成特征数据;
将所述特征数据与APT情报数据库进行匹配判断是否为APT攻击事件;
将所述特征数据更新至APT情报数据库,包括待检测对象是否为APT攻击事件的标识;
其中,相关数据为待检测对象的行为和特征相关的数据,包括:待检测对象的来源信息、待检测对象运行中产生的数据、待检测对象运行中尝试访问的数据。
其中,APT情报数据库中存储有APT攻击事件的标识及其相关的特征,非APT攻击事件的标识及其相关的特征。
具体地,所述获取待检测对象并判断是否为APT攻击事件,可以利用独立的分析系统执行相关操作,避免对客户端设备造成危害和/或信息泄露。
优选地,所述待检测特征包括:待检测对象是否有联网行为;待检测对象是否试图向外网传输数据;待检测对象处理的数据是否有针对性。
优选地,将所述特征数据与APT情报数据库进行匹配判断是否为APT攻击事件,具体包括:判断所述特征数据与APT情报数据库中某APT攻击事件的相同特征的数量是否超过预设值,若是则判定为同类APT攻击事件。
本实施例所述方法不仅能够基于APT情报数据库生成APT攻击者画像,而且可以判定该APT攻击者画像相关的个人和/或组织是否正在进行攻击活动。
图2为本发明一种APT攻击事件检测方法的又一实施例流程图,包括:
S201:获取待检测对象并判断是否为APT攻击事件,并将待检测对象相关信息更新至APT情报数据库。
其中,所述待检测对象可以为客户端或者其他安全设备上报的,包括但不限于:文件、web页面组件、图像或者安全设备的检测结果。
S202:基于APT情报数据库生成APT攻击者画像;其中,所述APT攻击者画像用于描述APT攻击事件相关的个人和/或组织信息。所述APT攻击者画像与至少一个APT攻击事件相关,各APT攻击事件至少包括预设个数相同的特征;其中,所述特征包括但不限于:源服务器、源国家、基础设施情况、攻击动作特征等。
例如:下表所示的APT攻击者画像10与两个APT攻击事件相关,各APT攻击事件包括两个相同的特征:特征1和特征2;
所示的APT攻击者画像20与三个APT攻击事件相关,各APT攻击事件包括两个相同的特征:特征5和特征6。
S203:若预设时间段内,某APT攻击者画像相关的APT攻击事件发生的次数超过预设阈值,则判定该APT攻击画像相关的个人和/或组织正进行攻击活动。
更为优选地,每当存在新的APT攻击事件相关信息加入APT情报数据库,其APT攻击者画像就需要更新。因此,可以判断出新出现的APT攻击事件为哪个攻击个人和/或组织所为。
例如:设定预设时间段为5天,预设阈值为5,则当APT攻击者画像10中,APT攻击事件101在5天内发生了4次,APT攻击事件102在5天内发生了3次,因此,与APT攻击者画像10相关的APT攻击事件共计发生了7次,大于预设阈值5,因此判定该APT攻击画像相关的个人和/或组织正进行攻击活动。
S204:基于APT攻击事件发生的时间点和各时间点上的APT攻击事件发生的数量,预测该APT攻击事件未来发生的时间点和趋势。
例如:APT攻击事件201在2018年7月发生了3次,2018年10月发生了3次,2019年1月发生了4次,则可以初步预测APT攻击事件201可能在2019年4月发生。信息安全人员可以将相关预测的时间点和趋势报告给相关目标的安全人员,以便做好预防和应对措施。
本实施例所述方法不仅可以基于APT情报数据库生成APT攻击者画像,并判定该APT攻击者画像相关的个人和/或组织是否正在进行攻击活动;同时,能够基于对APT攻击事件发生的时间点和各时间点上的发生数量,进而预测该APT攻击事件未来发生的时间点和趋势。信息安全人员将分析结果同步给相关目标的安全人员,以便及时做好预防和应对措施。
第二方面,本发明实施例提供一种APT攻击事件检测装置,所述装置能够及时有效地识别某攻击组织的大规模APT攻击活动。
图3为本发明的一种APT攻击事件检测装置的一实施例结构示意图,本实施例的装置可以包括:
情报数据库建立模块301,用于获取待检测对象并判断是否为APT攻击事件,并将待检测对象相关信息更新至APT情报数据库;
攻击者画像生成模块302,用于基于APT情报数据库生成APT攻击者画像;其中,所述APT攻击者画像用于描述APT攻击事件相关的个人和/或组织信息;
攻击活动发现模块303,用于若预设时间段内,某APT攻击者画像相关的APT攻击事件发生的次数超过预设阈值,则判定该APT攻击画像相关的个人和/或组织正进行攻击活动。
优选地,所述APT攻击者画像与至少一个APT攻击事件相关,各APT攻击事件至少包括预设个数相同的特征;
其中,所述特征包括:源服务器、源国家、基础设施情况、攻击动作特征。
优选地,还包括:攻击活动预测模块,用于基于APT攻击事件发生的时间点和各时间点上的APT攻击事件发生的数量,预测该APT攻击事件未来发生的时间点和趋势。
优选地,所述情报数据库建立模块,具体包括:
运行待检测对象并收集产生的相关数据;
分析相关数据并提取待检测对象相关的待检测特征;
对待检测特征进行归一化操作形成特征数据;
将所述特征数据与APT情报数据库进行匹配判断是否为APT攻击事件;
将所述特征数据更新至APT情报数据库,包括待检测对象是否为APT攻击事件的标识;
其中,相关数据为待检测对象的行为和特征相关的数据,至少包括:待检测对象的来源信息、待检测对象运行中产生的数据、待检测对象运行中尝试访问的数据。
优选地,所述待检测特征包括:待检测对象是否有联网行为;待检测对象是否试图向外网传输数据;待检测对象处理的数据是否有针对性。
优选地,将所述特征数据与APT情报数据库进行匹配判断是否为APT攻击事件,具体包括:判断所述特征数据与APT情报数据库中某APT攻击事件的相同特征的数量是否超过预设值,若是则判定为同类APT攻击事件。
本实施例所述装置基于APT情报数据库生成APT攻击者画像,并判定该APT攻击者画像相关的个人和/或组织是否正在进行攻击活动。不仅可以检测APT攻击事件,而且可以识别大规模的有针对性APT攻击组织相关攻击活动。
图4为本发明的一种APT攻击事件检测装置的又一实施例结构示意图,本实施例的装置可以包括:
情报数据库建立模块401,用于获取待检测对象并判断是否为APT攻击事件,并将待检测对象相关信息更新至APT情报数据库;
攻击者画像生成模块402,用于基于APT情报数据库生成APT攻击者画像;其中,所述APT攻击者画像用于描述APT攻击事件相关的个人和/或组织信息;
攻击活动发现模块403,用于若预设时间段内,某APT攻击者画像相关的APT攻击事件发生的次数超过预设阈值,则判定该APT攻击画像相关的个人和/或组织正进行攻击活动。
攻击活动预测模块404,用于基于APT攻击事件发生的时间点和各时间点上的APT攻击事件发生的数量,预测该APT攻击事件未来发生的时间点和趋势。
优选地,所述APT攻击者画像与至少一个APT攻击事件相关,各APT攻击事件至少包括预设个数相同的特征;
其中,所述特征包括:源服务器、源国家、基础设施情况、攻击动作特征。
优选地,所述情报数据库建立模块,具体包括:
运行待检测对象并收集产生的相关数据;
分析相关数据并提取待检测对象相关的待检测特征;
对待检测特征进行归一化操作形成特征数据;
将所述特征数据与APT情报数据库进行匹配判断是否为APT攻击事件;
将所述特征数据更新至APT情报数据库,包括待检测对象是否为APT攻击事件的标识;
其中,相关数据为待检测对象的行为和特征相关的数据,至少包括:待检测对象的来源信息、待检测对象运行中产生的数据、待检测对象运行中尝试访问的数据。
优选地,所述待检测特征包括:待检测对象是否有联网行为;待检测对象是否试图向外网传输数据;待检测对象处理的数据是否有针对性。
优选地,将所述特征数据与APT情报数据库进行匹配判断是否为APT攻击事件,具体包括:判断所述特征数据与APT情报数据库中某APT攻击事件的相同特征的数量是否超过预设值,若是则判定为同类APT攻击事件。
本实施例所述装置不仅可以基于APT情报数据库生成攻击者画像,并判定该APT攻击者画像相关的个人和/或组织是否正在进行攻击活动;同时,能够基于对APT攻击事件发生的时间点和各时间点上的发生数量,进而预测该APT攻击事件未来发生的时间点和趋势。信息安全人员将分析结果同步给相关目标的安全人员,以便及时做好预防和应对措施。
第三方面,本发明实施例还提供一种电子设备,能够及时有效地识别某攻击组织的大规模APT攻击活动。
图5为本发明电子设备一个实施例的结构示意图,上述电子设备可以包括:壳体51、处理器52、存储器53、电路板54和电源电路55,其中,电路板54安置在壳体51围成的空间内部,处理器52和存储器53设置在电路板54上;电源电路55,用于为上述电子设备的各个电路或器件供电;存储器53用于存储可执行程序代码;处理器52通过读取存储器53中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施例所述的方法。
处理器52对上述步骤的具体执行过程以及处理器52通过运行可执行程序代码来进一步执行的步骤,可以参见本发明图1-3所示实施例的描述,在此不再赘述。
该电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子设备。
第四方面,本发明的实施例还提供计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实现方式所述的方法。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (14)
1.一种APT攻击事件检测方法,其特征在于,包括:
获取待检测对象并判断是否为APT攻击事件,并将待检测对象相关信息更新至APT情报数据库;
基于APT情报数据库生成APT攻击者画像;其中,所述APT攻击者画像用于描述APT攻击事件相关的个人和/或组织信息;
若预设时间段内,某APT攻击者画像相关的APT攻击事件发生的次数超过预设阈值,则判定该APT攻击画像相关的个人和/或组织正进行攻击活动。
2.如权利要求1所述的方法,其特征在于,所述APT攻击者画像与至少一个APT攻击事件相关,各APT攻击事件至少包括预设个数相同的特征;
其中,所述特征包括:源服务器、源国家、基础设施情况、攻击动作特征。
3.如权利要求1所述的方法,其特征在于,还包括:基于APT攻击事件发生的时间点和各时间点上的APT攻击事件发生的数量,预测该APT攻击事件未来发生的时间点和趋势。
4.如权利要求1所述的方法,其特征在于,所述获取待检测对象并判断是否为APT攻击事件,并将待检测对象相关信息更新至APT情报数据库,具体包括:
运行待检测对象并收集产生的相关数据;
分析相关数据并提取待检测对象相关的待检测特征;
对待检测特征进行归一化操作形成特征数据;
将所述特征数据与APT情报数据库进行匹配判断是否为APT攻击事件;
将所述特征数据更新至APT情报数据库,包括待检测对象是否为APT攻击事件的标识;
其中,相关数据为待检测对象的行为和特征相关的数据,包括:待检测对象的来源信息、待检测对象运行中产生的数据、待检测对象运行中尝试访问的数据。
5.如权利要求4所述的方法,其特征在于,所述待检测特征包括:待检测对象是否有联网行为;待检测对象是否试图向外网传输数据;待检测对象处理的数据是否有针对性。
6.如权利要求4所述的方法,其特征在于,将所述特征数据与APT情报数据库进行匹配判断是否为APT攻击事件,具体包括:判断所述特征数据与APT情报数据库中某APT攻击事件的相同特征的数量是否超过预设值,若是则判定为同类APT攻击事件。
7.一种APT攻击事件检测装置,其特征在于,包括:
情报数据库建立模块,用于获取待检测对象并判断是否为APT攻击事件,并将待检测对象相关信息更新至APT情报数据库;
攻击者画像生成模块,用于基于APT情报数据库生成APT攻击者画像;其中,所述APT攻击者画像用于描述APT攻击事件相关的个人和/或组织信息;
攻击活动发现模块,用于若预设时间段内,某APT攻击者画像相关的APT攻击事件发生的次数超过预设阈值,则判定该APT攻击画像相关的个人和/或组织正进行攻击活动。
8.如权利要求7所述的装置,其特征在于,所述APT攻击者画像与至少一个APT攻击事件相关,各APT攻击事件至少包括预设个数相同的特征;
其中,所述特征包括:源服务器、源国家、基础设施情况、攻击动作特征。
9.如权利要求7所述的装置,其特征在于,还包括:攻击活动预测模块,用于基于APT攻击事件发生的时间点和各时间点上的APT攻击事件发生的数量,预测该APT攻击事件未来发生的时间点和趋势。
10.如权利要求7所述的装置,其特征在于,所述情报数据库建立模块,具体用于:
运行待检测对象并收集产生的相关数据;
分析相关数据并提取待检测对象相关的待检测特征;
对待检测特征进行归一化操作形成特征数据;
将所述特征数据与APT情报数据库进行匹配判断是否为APT攻击事件;
将所述特征数据更新至APT情报数据库,包括待检测对象是否为APT攻击事件的标识;
其中,相关数据为待检测对象的行为和特征相关的数据,至少包括:待检测对象的来源信息、待检测对象运行中产生的数据、待检测对象运行中尝试访问的数据。
11.如权利要求10所述的装置,其特征在于,所述待检测特征包括:待检测对象是否有联网行为;待检测对象是否试图向外网传输数据;待检测对象处理的数据是否有针对性。
12.如权利要求10所述的装置,其特征在于,将所述特征数据与APT情报数据库进行匹配判断是否为APT攻击事件,具体包括:判断所述特征数据与APT情报数据库中某APT攻击事件的相同特征的数量是否超过预设值,若是则判定为同类APT攻击事件。
13.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一权利要求所述的方法。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一权利要求所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910248339.6A CN111030974A (zh) | 2019-03-29 | 2019-03-29 | 一种apt攻击事件检测方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910248339.6A CN111030974A (zh) | 2019-03-29 | 2019-03-29 | 一种apt攻击事件检测方法、装置及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111030974A true CN111030974A (zh) | 2020-04-17 |
Family
ID=70199491
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910248339.6A Withdrawn CN111030974A (zh) | 2019-03-29 | 2019-03-29 | 一种apt攻击事件检测方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111030974A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111953697A (zh) * | 2020-08-14 | 2020-11-17 | 上海境领信息科技有限公司 | 一种apt攻击识别及防御方法 |
| CN112333196A (zh) * | 2020-11-10 | 2021-02-05 | 恒安嘉新(北京)科技股份公司 | 一种攻击事件溯源方法、装置、电子设备和存储介质 |
| CN112351031A (zh) * | 2020-11-05 | 2021-02-09 | 中国电子信息产业集团有限公司 | 攻击行为画像的生成方法、装置、电子设备和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150096024A1 (en) * | 2013-09-30 | 2015-04-02 | Fireeye, Inc. | Advanced persistent threat (apt) detection center |
| CN107659543A (zh) * | 2016-07-26 | 2018-02-02 | 北京计算机技术及应用研究所 | 面向云平台apt攻击的防护方法 |
| CN108234426A (zh) * | 2016-12-21 | 2018-06-29 | 中国移动通信集团安徽有限公司 | Apt攻击告警方法和apt攻击告警装置 |
| CN108881294A (zh) * | 2018-07-23 | 2018-11-23 | 杭州安恒信息技术股份有限公司 | 基于网络攻击行为的攻击源ip画像生成方法以及装置 |
-
2019
- 2019-03-29 CN CN201910248339.6A patent/CN111030974A/zh not_active Withdrawn
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150096024A1 (en) * | 2013-09-30 | 2015-04-02 | Fireeye, Inc. | Advanced persistent threat (apt) detection center |
| CN107659543A (zh) * | 2016-07-26 | 2018-02-02 | 北京计算机技术及应用研究所 | 面向云平台apt攻击的防护方法 |
| CN108234426A (zh) * | 2016-12-21 | 2018-06-29 | 中国移动通信集团安徽有限公司 | Apt攻击告警方法和apt攻击告警装置 |
| CN108881294A (zh) * | 2018-07-23 | 2018-11-23 | 杭州安恒信息技术股份有限公司 | 基于网络攻击行为的攻击源ip画像生成方法以及装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111953697A (zh) * | 2020-08-14 | 2020-11-17 | 上海境领信息科技有限公司 | 一种apt攻击识别及防御方法 |
| CN111953697B (zh) * | 2020-08-14 | 2023-08-18 | 上海境领信息科技有限公司 | 一种apt攻击识别及防御方法 |
| CN112351031A (zh) * | 2020-11-05 | 2021-02-09 | 中国电子信息产业集团有限公司 | 攻击行为画像的生成方法、装置、电子设备和存储介质 |
| CN112333196A (zh) * | 2020-11-10 | 2021-02-05 | 恒安嘉新(北京)科技股份公司 | 一种攻击事件溯源方法、装置、电子设备和存储介质 |
| CN112333196B (zh) * | 2020-11-10 | 2023-04-04 | 恒安嘉新(北京)科技股份公司 | 一种攻击事件溯源方法、装置、电子设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111030986B (zh) | 一种攻击组织溯源分析的方法、装置及存储介质 | |
| CN108875364B (zh) | 未知文件的威胁性判定方法、装置、电子设备及存储介质 | |
| CN110868377B (zh) | 一种网络攻击图的生成方法、装置及电子设备 | |
| CN111030974A (zh) | 一种apt攻击事件检测方法、装置及存储介质 | |
| CN113973012B (zh) | 一种威胁检测方法、装置、电子设备及可读存储介质 | |
| CN110868383A (zh) | 一种网站风险评估方法、装置、电子设备及存储介质 | |
| CN111224953A (zh) | 基于异常点发现威胁组织攻击的方法、装置及存储介质 | |
| CN110659493A (zh) | 威胁告警方式生成的方法、装置、电子设备及存储介质 | |
| CN110740117B (zh) | 仿冒域名检测方法、装置、电子设备及存储介质 | |
| CN114297632A (zh) | 主机失陷检测方法、装置、电子设备及存储介质 | |
| CN110826837A (zh) | 一种网站资产实时风险的评估方法、装置及存储介质 | |
| CN111030968A (zh) | 一种可自定义威胁检测规则的检测方法、装置及存储介质 | |
| CN110611675A (zh) | 向量级检测规则生成方法、装置、电子设备及存储介质 | |
| CN111027065B (zh) | 一种勒索病毒识别方法、装置、电子设备及存储介质 | |
| CN111030977A (zh) | 一种攻击事件追踪方法、装置及存储介质 | |
| Alnaeli et al. | On the evolution of mobile computing software systems and C/C++ vulnerable code: Empirical investigation | |
| CN111062035A (zh) | 一种勒索软件检测方法、装置、电子设备及存储介质 | |
| CN108804917B (zh) | 一种文件检测方法、装置、电子设备及存储介质 | |
| CN113225356B (zh) | 一种基于ttp的网络安全威胁狩猎方法及网络设备 | |
| CN113364766B (zh) | 一种apt攻击的检测方法及装置 | |
| CN113987489A (zh) | 一种网络未知威胁的检测方法、装置、电子设备及存储介质 | |
| CN112090087B (zh) | 游戏外挂的检测方法及装置、存储介质、计算机设备 | |
| CN110868385B (zh) | 网站安全运营能力确定方法、装置、电子设备及存储介质 | |
| CN113901456A (zh) | 一种用户行为安全性预测方法、装置、设备及介质 | |
| CN108881151B (zh) | 一种无关节点确定方法、装置及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20200417 |
|
| WW01 | Invention patent application withdrawn after publication |