CN112202759B - 基于同源性分析的apt攻击识别及归属方法、系统和存储介质 - Google Patents

基于同源性分析的apt攻击识别及归属方法、系统和存储介质 Download PDF

Info

Publication number
CN112202759B
CN112202759B CN202011037709.0A CN202011037709A CN112202759B CN 112202759 B CN112202759 B CN 112202759B CN 202011037709 A CN202011037709 A CN 202011037709A CN 112202759 B CN112202759 B CN 112202759B
Authority
CN
China
Prior art keywords
apt
attack
traffic
data
feature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011037709.0A
Other languages
English (en)
Other versions
CN112202759A (zh
Inventor
张倩青
李树栋
吴晓波
韩伟红
方滨兴
田志宏
殷丽华
顾钊铨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou University
Original Assignee
Guangzhou University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou University filed Critical Guangzhou University
Priority to CN202011037709.0A priority Critical patent/CN112202759B/zh
Publication of CN112202759A publication Critical patent/CN112202759A/zh
Application granted granted Critical
Publication of CN112202759B publication Critical patent/CN112202759B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于同源性分析的APT攻击识别及归属方法、系统和存储介质,包括下述步骤:从监控的威胁数据中采集APT相关的攻击数据,并提取定义的APT四元特征组中各集合中的特征元素值;与任意已有的某个APT组织库中的APT攻击特征元组进行特征向量化;对两组攻击的特征向量计算相似性,发现该攻击与选取APT攻击的关系及所属的组织,并将该攻击样本保存到APT组织库中。本发明将IKC攻击链与其他能区分APT组织的特征相融合形成多维特征集合,并结合权重进行相似度计算,不仅可有效检测APT攻击事件,而且基于已知的APT组织库可找到相似的APT攻击,有利于构建攻击场景,跟踪攻击者,并有效识别后续出现的事件的APT攻击组织。

Description

基于同源性分析的APT攻击识别及归属方法、系统和存储介质
技术领域
本发明属于网络安全的技术领域,具体涉及一种基于同源性分析的APT攻击识别及归属方法、系统和存储介质。
背景技术
APT高级持续性威胁,是利用先进的攻击手法对特定的目标进行长期持续性的网络攻击的攻击形式。与传统的网络攻击不同,APT攻击具有针对性、连续性、先进性、阶段性、共享性、间接性等特点,其攻击手段变化多端、攻击效果显著且难以防范。结合国内外各个安全研究机构、安全厂商对APT威胁活动的持续跟踪和分析,可以看出APT攻击组织大多有政府背景,而且很多APT组织开发出自己独特的网络武器库,使用的攻击方法、手段、流程皆相当熟练,能掌握利用各种网络攻击对目标实施打击,常常配合人工智能使用0day攻击,给企业、机构、国家造成严重的损害,最危险的是攻击的目标涵盖了能源、电力、金融、国防等关系到国家核心利益的基础设施。
APT攻击的归属分析一直是APT威胁分析中最为重要的一个环节,识别不同APT攻击所采用的恶意软件的同源性,有利于构建攻击场景,跟踪攻击者,甚至防御新的APT攻击。另外,由于APT攻击具有先进性和共享性,同一APT组织发布的APT攻击具有相似性,威胁共享是发现APT攻击的重要支撑。
目前APT攻击的识别和归属分析研究大部分依赖于安全专家的人工分析,分析过程中花费的时间和人力资源的成本较高,效率过低;已有的自动化分析方法中选取的静态特征过于单一,而且会因为恶意软件的混淆和加壳技术使得特征提取困难,导致方法失效。
发明内容
本发明的主要目的在于克服现有技术的缺点与不足,提供一种基于同源性分析的APT攻击识别及归属方法、系统和存储介质,不仅可有效检测APT攻击事件,而且基于已知的APT组织库可找到相似的APT攻击,有利于构建攻击场景,跟踪攻击者,并有效识别后续出现的事件的APT攻击组织。
为了达到上述目的,本发明采用以下技术方案:
本发明提供的一种基于同源性分析的APT攻击识别及归属方法,包括下述步骤:
从监控的威胁数据中采集APT相关的攻击数据,并提取定义的APT四元特征组中各集合中的特征元素值;
与任意已有的某个APT组织库中的APT攻击特征元组进行特征向量化;
对两组攻击的特征向量计算相似性,发现该攻击与选取APT攻击的关系及所属的组织,并将该攻击样本保存到APT组织库中。
作为优选的技术方案,所述特征元素值的提取,具体为:
将APT攻击长期持续性的一系列活动定义为一个4元组:IT=(IKC,Traffic,Tool,Target),每个攻击根据元组中的类别均可提取零到多个特征值;所述四元组中:
①IKC为攻击过程集合,IKC=(c1,c2,...,c7);使用攻击链描述APT攻击的各个阶段以及其攻击手段,将攻击者的攻击过程分解为7个步骤:c1=Reconnaissance侦察,c2=Weaponization武器构建,c3=Delivery载荷投递,c4=Exploitation漏洞利用,c5=Installation驻留,c6=C2命令控制,c7=Actions on Objectives采取行动;
②Traffic为攻击中提取的流量数据的属性集合,包括源IP、目的IP、源端口、目的端口和协议号,Traffic=(sourceIP,destinationIP,sourcePort,destinationPort,protocol);
③Tool为攻击者使用的工具集合,工具集由一个或多个组件组成,APT组织通常自己开发工具集并实施攻击,Tool=(Component1,Component2,...,Componentn)
④Target为攻击目标集合,APT攻击对攻击目标针对性强,目标明确,Target=(Target1,Target2,...,Targetn)。
作为优选的技术方案,通过监测各个被感染设备的状态变化、内网的流量变化和权限的改变,对IKC每个阶段的行为记录好数据,并按时间顺序组成攻击链IKC集合。
作为优选的技术方案,将网络设备中收集到的信息可以先用端口镜像获取流量数据,然后用TCPDUMP解析流量数据并将必要属性值记录到Traffic集合;
作为优选的技术方案,所述威胁数据包括:主机入侵检测系统、网络入侵检测系统、防火墙的各种传感器输出的数据包和日志记录数据。
作为优选的技术方案,所述进行特征向量化,具体为:
首先将攻击数据IT的每个类别的元素值分别与APTj相对应的类别的元素值合并并对里面的元素值去重,得到Setj=(set1,set2,set3,set4),然后分别独立地对Setj中的四个集合中的每个元素值进行索引编号;当IT攻击的Traffic集合数据为:TrafficIT=(sourceIPIT,destinationIPIT,sourcePortIT,destinationPortIT,protocolIT)),在已知APT组织库中任意选取某一APTj,它的Traffic集合数据为
Figure BDA0002705632290000031
再将TrafficIT
Figure BDA0002705632290000032
的元素值将合并并去重得到set2,然后对set2每个元素值进行索引编号:比如sourceIPIT=>1,destinationIPIT=>2,...,最后基于集合元素的索引编号使用one-hot编码分别计算出TrafficIT
Figure BDA0002705632290000033
的向量值,并得到两个向量数组
以此类推分别基于以上步骤计算出IT和APTj的四个元组数据集合的向量数组得到:
Figure BDA0002705632290000034
Figure BDA0002705632290000035
作为优选的技术方案,所述同源性分析具体为:
基于生成的VIT
Figure BDA0002705632290000036
攻击向量特征,两个对应的向量集合之间分别计算余弦相似度,得到四个余弦值,然后各自乘以每个集合的权值w,得到IT和APTj攻击样本的相似度;若相似度高于阈值ε,则判定这两个攻击同源,为同一攻击组织所为,若该攻击与已知APT组织库中所有攻击比较后相似度都不高于阈值ε,则初步认为该攻击不是APT;其中,阈值ε的值依据APT组织库中的实际数据情况进行设置。
作为优选的技术方案,IT和APTj对应的两两向量集合之间通过余弦相似度算法计算公式如下:
Figure BDA0002705632290000037
其中xi,yi分别代表向量x和y的分量,θ代表两个向量的夹角;TrafficIT
Figure BDA0002705632290000038
的余弦值为:
Figure BDA0002705632290000041
依次计算得到
Figure BDA0002705632290000042
的值;
最终IT和APTj的相似度定义为:
Figure BDA0002705632290000043
其中权值w为IT各个集合里面的元素值出现在已知APT组织库里面的频率占比。
本发明还提供了一种基于同源性分析的APT攻击识别及归属系统,应用于所述的基于同源性分析的APT攻击识别及归属方法,包括特征提取模块、特征向量化模块以及同源性分析模块;
所述特征提取模块,用于从监控的威胁数据中采集APT相关的攻击数据,并提取定义的APT四元特征组中各集合中的特征元素值;
所述特征向量化模块,用于与任意已有的某个APT组织库中的APT攻击特征元组进行特征向量化;
所述同源性分析模块,用于对两组攻击的特征向量计算相似性,发现该攻击与选取APT攻击的关系及所属的组织,并将该攻击样本保存到APT组织库中。
本发明还提供一种存储介质,存储有程序,所述程序被处理器执行时,实现基于同源性分析的APT攻击识别及归属方法。
本发明与现有技术相比,具有如下优点和有益效果:
(1)本发明将IKC攻击链与其他能区分APT组织的特征相融合形成多维特征集合,并结合权重进行相似度计算,不仅可有效检测APT攻击事件,而且基于已知的APT组织库可找到相似的APT攻击,有利于构建攻击场景,跟踪攻击者,并有效识别后续出现的事件的APT攻击组织。另外本发明计算过程简单,提高了APT识别和归属分析的自动化效率。
(2)本发明基于两两攻击特征组联合,采用one-hot编码特征值向量化,结合余弦相似度并赋予权值加权求和得相似度值衡量二者之间是否同源,并判断是否APT攻击或归属划分,提高了自动化识别效率。
附图说明
图1是本发明实施例基于同源性分析的APT攻击识别及归属方法的流程图;
图2是本发明实施例基于同源性分析的APT攻击识别及归属系统的结构示意图;
图3是本发明实施例的存储介质的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
实施例
本实施例基于同源性分析的APT攻击识别及归属方法,首先,从监控的大量威胁数据中采集APT相关的攻击数据并提取定义的APT四元特征组中各集合中的特征元素值;其次,与任意已有的某个APT组织库中的APT攻击特征元组进行特征向量化;最后,对两组攻击的特征向量计算相似性,发现该攻击与选取APT的关系及所属的组织,并将该攻击样本保存到APT组织库中。
如图1所示,本实施例的方法具体包括下述步骤:
S1、从监控的威胁数据中采集APT相关的攻击数据,并提取定义的APT四元特征组中各集合中的特征元素值。
更为具体的,步骤S1中,基于监视器收集的各种威胁数据,包括从主机入侵检测系统(HIDS)、网络入侵检测系统(NIDS)、防火墙等各种传感器输出的数据包和日志记录数据等。首先从收集的威胁数据中采集与APT相关的特征,并利用大数据技术将特征分类别提取,这里将APT攻击长期持续性的一系列活动定义为一个4元组:IT=(IKC,Traffic,Tool,Target),每个攻击根据元组中的类别均可提取零到多个特征值,下面对4元组做具体的阐述:
①IKC为攻击过程集合,IKC=(c1,c2,...,c7)。这里引用的攻击链是2011年洛克希德马丁公司提出的IKC(入侵杀死链)模型,该模型使用攻击链描述APT攻击的各个阶段以及其攻击手段,将攻击者的攻击过程分解为7个步骤:c1=Reconnaissance(侦察),c2=Weaponization(武器构建),c3=Delivery(载荷投递),c4=Exploitation(漏洞利用),c5=Installation(驻留),c6=C2(命令控制),c7=Actions on Objectives(采取行动)。完整攻击链是由各个阶段由攻击事件组成,事件中含有的元素信息是系统中实际的元数据。通过监测各个被感染设备的状态变化、内网的流量变化和权限的改变等,对IKC每个阶段的行为记录好数据,并按时间顺序组成攻击链IKC集合。
②Traffic为攻击中提取的流量数据的属性集合,其中包括源IP,目的IP,源端口,目的端口和协议号,Traffic=(sourceIP,destinationIP,sourcePort,destinationPort,protocol)。将网络设备中收集到的信息可以先用端口镜像获取流量数据,然后用TCPDUMP解析流量数据并将必要属性值记录到Traffic集合。
③Tool为攻击者使用的工具集合,工具集由一个或多个组件组成,APT组织通常自己开发工具集并实施攻击,Tool=(Component1,Component2,...,Componentn)。
④Target为攻击目标集合,APT攻击对攻击目标针对性强,目标明确。Target=(Target1,Target2,...,Targetn)
从APT攻击链可知,每个攻击环节都会产生相应的威胁行为数据,本实施例将收集到的威胁数据根据事件划分提取APT相关的特征,然后利用大数据技术提取各类别中元素数据。
S2、与任意已有的某个APT组织库中的APT攻击特征元组进行特征向量化;
更为具体的,步骤S2是基于已有APT组织库中的任意APT攻击样本APTj将步骤S1提取的攻击IT样本向量化,具体方法如下:
首先将攻击IT的每个类别的元素值分别与APTj相对应的类别的元素值合并并对里面的元素值去重,得到Setj=(set1,set2,set3,set4),然后分别独立地对Setj中的四个集合中的每个元素值进行索引编号。比如IT攻击的Traffic集合数据为:TrafficIT=(sourceIPIT,destinationIPIT,sourcePortIT,destinationPortIT,protocolIT)),在已知APT组织库中任意选取某一APTj,它的Traffic集合数据为
Figure BDA0002705632290000061
再将TrafficIT
Figure BDA0002705632290000062
的元素值将合并并去重得到set2,然后对set2每个元素值进行索引编号:比如sourceIPIT=>1,destinationIPIT=>2,...,最后基于集合元素的索引编号使用one-hot编码分别计算出TrafficIT
Figure BDA0002705632290000071
的向量值,并得到两个向量数组。以此类推分别基于以上步骤计算出IT和APTj的四个元组数据集合的向量数组得到:
Figure BDA0002705632290000072
Figure BDA0002705632290000073
S3、对两组攻击的特征向量计算相似性,发现该攻击与选取APT攻击的关系及所属的组织,并将该攻击样本保存到APT组织库中。
基于步骤S2中生成的VIT
Figure BDA0002705632290000074
攻击向量特征,两个对应的向量集合之间分别计算余弦相似度,将得到四个余弦值,然后各自乘以每个集合的权值w,得到IT和APTj攻击样本的相似度;若相似度高于阈值ε,则判定这两个攻击同源,为同一攻击组织所为,若该攻击与已知APT组织库中所有攻击比较后相似度都不高于阈值ε,则初步认为该攻击不是APT。其中,阈值ε的值依据APT组织库中的实际数据情况进行设置。
余弦值越接近1,就表明夹角越接近0度,也就是两个向量越相似,夹角等于0,即两个向量相等。IT和APTj对应的两两向量集合之间通过余弦相似度算法计算公式如下:
Figure BDA0002705632290000075
其中xi,yi分别代表向量x和y的分量,θ代表两个向量的夹角。比如TrafficIT
Figure BDA0002705632290000076
的余弦值为:
Figure BDA0002705632290000077
依次计算得到
Figure BDA0002705632290000078
的值。
最终IT和APTj的相似度定义为:
Figure BDA0002705632290000079
其中权值w为IT各个集合里面的元素值出现在已知APT组织库里面的频率占比。
如图2所示,在另一个实施例中,提供了基于同源性分析的APT攻击识别及归属系统,该系统特征提取模块,特征向量化模块,同源性分析模块;
所述特征提取模块,用于从监控的威胁数据中采集APT相关的攻击数据,并提取定义的APT四元特征组中各集合中的特征元素值;
所述特征向量化模块,用于与任意已有的某个APT组织库中的APT攻击特征元组进行特征向量化;
所述同源性分析模块,用于对两组攻击的特征向量计算相似性,发现该攻击与选取APT攻击的关系及所属的组织,并将该攻击样本保存到APT组织库中。
在此需要说明的是,上述实施例提供的系统仅以上述各功能模块的划分进行举例说明,在实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能,该系统是应用于上述实施例的基于同源性分析的APT攻击识别及归属方法。
如图3所示,在本申请的另一个实施例中,还提供了一种存储介质,存储有程序,所述程序被处理器执行时,实现基于同源性分析的APT攻击识别及归属方法,具体为:
从监控的威胁数据中采集APT相关的攻击数据,并提取定义的APT四元特征组中各集合中的特征元素值;
与任意已有的某个APT组织库中的APT攻击特征元组进行特征向量化;
对两组攻击的特征向量计算相似性,发现该攻击与选取APT攻击的关系及所属的组织,并将该攻击样本保存到APT组织库中。
应当理解,本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
上述实施例为本发明较佳的实施方式,但本发明的实施方式并不受上述实施例的限制,其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化,均应为等效的置换方式,都包含在本发明的保护范围之内。

Claims (7)

1.基于同源性分析的APT攻击识别及归属方法,其特征在于,包括下述步骤:
从监控的威胁数据中采集APT相关的攻击数据,并提取定义的APT四元特征组中各集合中的特征元素值,具体为:
将APT攻击长期持续性的一系列活动定义为一个四元组:IT=(IKC,Traffic,Tool,Target),每个攻击根据元组中的类别均可提取零到多个特征值;所述四元组中:
①IKC为攻击过程集合,IKC=(c1,c2,...,c7);使用攻击链描述APT攻击的各个阶段以及其攻击手段,将攻击者的攻击过程分解为7个步骤:c1=Reconnaissance侦察,c2=Weaponization武器构建,c3=Delivery载荷投递,c4=Exploitation漏洞利用,c5=Installation驻留,c6=C2命令控制,c7=Actions on Objectives采取行动;
②Traffic为攻击中提取的流量数据的属性集合,包括源IP、目的IP、源端口、目的端口和协议号,Traffic=(sourceIP,destinationIP,sourcePort,destinationPort,protocol);
③Tool为攻击者使用的工具集合,工具集由一个或多个组件组成,APT组织通常自己开发工具集并实施攻击,Tool=(Component1,Component2,...,Componentn);
④Target为攻击目标集合,APT攻击对攻击目标针对性强,目标明确,Target=(Target1,Target2,...,Targetn);
与任意已有的某个APT组织库中的APT攻击特征元组进行特征向量化,具体为:
首先将攻击数据IT的每个类别的元素值分别与APTj相对应的类别的元素值合并并对里面的元素值去重,得到Setj=(set1,set2,set3,set4),然后分别独立地对Setj中的四个集合中的每个元素值进行索引编号;当IT攻击的Traffic集合数据为:TrafficIT=(sourceIPIT,destinationIPIT,sourcePortIT,destinationPortIT,protocolIT),在已知APT组织库中任意选取某一APTj,它的Traffic集合数据为
Figure FDA0003171866850000011
再将TrafficIT
Figure FDA0003171866850000012
的元素值将合并并去重得到set2,然后对set2每个元素值进行索引编号:
Figure FDA0003171866850000015
依此类推,最后基于集合元素的索引编号使用one-hot编码分别计算出TrafficIT
Figure FDA0003171866850000013
的向量值,并得到两个向量数组;
以此类推分别基于以上步骤计算出IT和APTj的四个元组数据集合的向量数组得到:
Figure FDA0003171866850000014
Figure FDA0003171866850000021
对两组攻击的特征向量计算相似性,发现该攻击与选取APT攻击的关系及所属的组织,并将该攻击样本保存到APT组织库中,具体为:
基于生成的VIT
Figure FDA0003171866850000022
攻击向量特征,两个对应的向量集合之间分别计算余弦相似度,得到四个余弦值,然后各自乘以每个集合的权值w,得到IT和APTj攻击样本的相似度;若相似度高于阈值ε,则判定这两个攻击同源,为同一攻击组织所为,若该攻击与已知APT组织库中所有攻击比较后相似度都不高于阈值ε,则初步认为该攻击不是APT;其中,阈值ε的值依据APT组织库中的实际数据情况进行设置。
2.根据权利要求1所述基于同源性分析的APT攻击识别及归属方法,其特征在于,通过监测各个被感染设备的状态变化、内网的流量变化和权限的改变,对IKC每个阶段的行为记录好数据,并按时间顺序组成攻击链IKC集合。
3.根据权利要求1所述基于同源性分析的APT攻击识别及归属方法,其特征在于,将网络设备中收集到的信息可以先用端口镜像获取流量数据,然后用TCPDUMP解析流量数据并将必要属性值记录到Traffic集合。
4.根据权利要求1所述基于同源性分析的APT攻击识别及归属方法,其特征在于,所述威胁数据包括:主机入侵检测系统、网络入侵检测系统、防火墙的各种传感器输出的数据包和日志记录数据。
5.根据权利要求1所述基于同源性分析的APT攻击识别及归属方法,其特征在于,
IT和APTj对应的两两向量集合之间通过余弦相似度算法计算公式如下:
Figure FDA0003171866850000023
其中xi,yi分别代表向量x和y的分量,θ代表两个向量的夹角;TrafficIT
Figure FDA0003171866850000024
的余弦值为:
Figure FDA0003171866850000025
依次计算得到
Figure FDA0003171866850000026
的值;
最终IT和APTj的相似度定义为:
Figure FDA0003171866850000031
其中权值w为IT各个集合里面的元素值出现在已知APT组织库里面的频率占比。
6.基于同源性分析的APT攻击识别及归属系统,其特征在于,应用于权利要求1-5中任一项所述的基于同源性分析的APT攻击识别及归属方法,包括特征提取模块、特征向量化模块以及同源性分析模块;
所述特征提取模块,用于从监控的威胁数据中采集APT相关的攻击数据,并提取定义的APT四元特征组中各集合中的特征元素值;
所述特征向量化模块,用于与任意已有的某个APT组织库中的APT攻击特征元组进行特征向量化;
所述同源性分析模块,用于对两组攻击的特征向量计算相似性,发现该攻击与选取APT攻击的关系及所属的组织,并将该攻击样本保存到APT组织库中。
7.一种存储介质,存储有程序,其特征在于:所述程序被处理器执行时,实现权利要求1-5任一项所述的基于同源性分析的APT攻击识别及归属方法。
CN202011037709.0A 2020-09-28 2020-09-28 基于同源性分析的apt攻击识别及归属方法、系统和存储介质 Active CN112202759B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011037709.0A CN112202759B (zh) 2020-09-28 2020-09-28 基于同源性分析的apt攻击识别及归属方法、系统和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011037709.0A CN112202759B (zh) 2020-09-28 2020-09-28 基于同源性分析的apt攻击识别及归属方法、系统和存储介质

Publications (2)

Publication Number Publication Date
CN112202759A CN112202759A (zh) 2021-01-08
CN112202759B true CN112202759B (zh) 2021-09-07

Family

ID=74006919

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011037709.0A Active CN112202759B (zh) 2020-09-28 2020-09-28 基于同源性分析的apt攻击识别及归属方法、系统和存储介质

Country Status (1)

Country Link
CN (1) CN112202759B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112822220B (zh) * 2021-03-04 2023-02-28 安天科技集团股份有限公司 一种面向多样本组合攻击的溯源方法和装置
CN113591092B (zh) * 2021-06-22 2023-05-09 中国电子科技集团公司第三十研究所 一种基于漏洞组合的攻击链构建方法
CN113452700B (zh) * 2021-06-25 2022-12-27 阿波罗智联(北京)科技有限公司 处理安全信息的方法、装置、设备以及存储介质
CN114090967A (zh) * 2021-10-25 2022-02-25 广州大学 一种基于pso-msvm的apt组织追踪溯源方法及系统
CN115225308B (zh) * 2022-05-17 2024-03-12 国家计算机网络与信息安全管理中心 大规模群体攻击流量的攻击团伙识别方法及相关设备
CN115664863B (zh) * 2022-12-27 2023-04-21 北京微步在线科技有限公司 一种网络攻击事件处理方法、装置、存储介质及设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105721416A (zh) * 2015-11-16 2016-06-29 哈尔滨安天科技股份有限公司 一种apt事件攻击组织同源性分析方法及装置
CN106375331A (zh) * 2016-09-23 2017-02-01 北京网康科技有限公司 一种攻击组织的挖掘方法及装置
WO2017151515A1 (en) * 2016-02-29 2017-09-08 Palo Alto Networks, Inc. Automatically grouping malware based on artifacts
CN110222715A (zh) * 2019-05-07 2019-09-10 国家计算机网络与信息安全管理中心 一种基于动态行为链和动态特征的样本同源分析方法
CN111541705A (zh) * 2020-04-29 2020-08-14 四川大学 一种ttp自动化提取与攻击团队聚类的方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110198303A (zh) * 2019-04-26 2019-09-03 北京奇安信科技有限公司 威胁情报的生成方法及装置、存储介质、电子装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105721416A (zh) * 2015-11-16 2016-06-29 哈尔滨安天科技股份有限公司 一种apt事件攻击组织同源性分析方法及装置
WO2017151515A1 (en) * 2016-02-29 2017-09-08 Palo Alto Networks, Inc. Automatically grouping malware based on artifacts
CN106375331A (zh) * 2016-09-23 2017-02-01 北京网康科技有限公司 一种攻击组织的挖掘方法及装置
CN110222715A (zh) * 2019-05-07 2019-09-10 国家计算机网络与信息安全管理中心 一种基于动态行为链和动态特征的样本同源分析方法
CN111541705A (zh) * 2020-04-29 2020-08-14 四川大学 一种ttp自动化提取与攻击团队聚类的方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
定向网络攻击追踪溯源层次化模型研究;刘潮歌等;《信息安全学报》;20190731;第4卷(第4期);全文 *

Also Published As

Publication number Publication date
CN112202759A (zh) 2021-01-08

Similar Documents

Publication Publication Date Title
CN112202759B (zh) 基于同源性分析的apt攻击识别及归属方法、系统和存储介质
Bendiab et al. IoT malware network traffic classification using visual representation and deep learning
Aljawarneh et al. Anomaly-based intrusion detection system through feature selection analysis and building hybrid efficient model
Niu et al. Identifying APT malware domain based on mobile DNS logging
Piskozub et al. Malalert: Detecting malware in large-scale network traffic using statistical features
CN111709022B (zh) 基于ap聚类与因果关系的混合报警关联方法
CN116915450A (zh) 基于多步网络攻击识别和场景重构的拓扑剪枝优化方法
CN112001423B (zh) Apt恶意软件组织的开集识别方法、装置、设备和介质
Alsumaidaie et al. An Assessment of Ensemble Voting Approaches, Random Forest, and Decision Tree Techniques in Detecting Distributed Denial of Service (DDoS) Attacks
CN114430344B (zh) 基于工控流量和威胁情报关联分析的攻击组织识别方法
Rathod et al. AI & ML Based Anamoly Detection and Response Using Ember Dataset
CN113709097B (zh) 网络风险感知方法及防御方法
CN114844679A (zh) 一种SDN中基于MCA-KMeans算法的分布式拒绝服务攻击检测方法
CN114205855A (zh) 一种面向5g切片的馈线自动化业务网络异常检测方法
Almomani et al. Reconnaissance attack detection via boosting machine learning classifiers
Huang et al. A DDoS attack detection algorithm based on improved grid search to optimize SVM in SDN environment
Arifin et al. Oversampling and undersampling for intrusion detection system in the supervisory control and data acquisition IEC 60870‐5‐104
Lin et al. Behaviour classification of cyber attacks using convolutional neural networks
Berei et al. Machine Learning Algorithms for DoS and DDoS Cyberattacks Detection in Real-Time Environment
Fu et al. Event prediction technology based on graph neural network
CN118337526B (zh) 一种对抗攻击样本生成方法
Guo A Novel Intrusion Detection Framework for Internet of Things Based on Machine Learning Techniques
Wang APT Detection and Attack Scenario Reconstruction Based on Big Data Analysis
Hui Tang et al. Research on CNN-based malicious traffic identification method
Wang et al. Adaptive feature-weighted alert correlation system applicable in cloud environment

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant