CN112287339A - Apt入侵检测方法、装置以及计算机设备 - Google Patents
Apt入侵检测方法、装置以及计算机设备 Download PDFInfo
- Publication number
- CN112287339A CN112287339A CN202010150547.5A CN202010150547A CN112287339A CN 112287339 A CN112287339 A CN 112287339A CN 202010150547 A CN202010150547 A CN 202010150547A CN 112287339 A CN112287339 A CN 112287339A
- Authority
- CN
- China
- Prior art keywords
- label
- event
- apt
- memory
- event type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 114
- 238000000034 method Methods 0.000 claims abstract description 144
- 230000008569 process Effects 0.000 claims abstract description 132
- 230000006399 behavior Effects 0.000 claims description 19
- 238000004590 computer program Methods 0.000 claims description 9
- 230000009545 invasion Effects 0.000 claims description 3
- 230000002829 reductive effect Effects 0.000 abstract description 4
- 238000004458 analytical method Methods 0.000 description 12
- 238000012545 processing Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 11
- 230000002441 reversible effect Effects 0.000 description 8
- 238000004088 simulation Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000002452 interceptive effect Effects 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 230000001133 acceleration Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 206010042635 Suspiciousness Diseases 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 230000004931 aggregating effect Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000004043 dyeing Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 230000033001 locomotion Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000002688 persistence Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请涉及一种APT入侵检测方法、装置、计算机设备。所述方法包括:获取待检测设备的事件,根据所述的事件类型以及事件对应的对象的个数为对应的对象添加标签:若事件对应的对象唯一,则根据事件类型查询预设的标签库为该对象添加标签,若事件对应的对象不唯一,则根据对应事件的事件类型以及对象已有的标签查询规则库为对象添加标签;在有进程对象添加了标签时根据该进程对象所有标签的标签类别判断待检测设备是否存在APT入侵。上述APT入侵检测方法、装置、计算机设备,由于采用的标签可以描述用于检测的完整的、复杂的上下文信息,通过对象的标签进行入侵判断,大大降低了内存消耗;且能够通过检测单独进程的标签,检测速度极快。
Description
技术领域
本申请涉及信息安全技术领域,特别是涉及一种APT入侵检测方法、装置以及计算机设备。
背景技术
主机安全已经被研究了数十年,而攻击的演进使得现有的方法不足以应对现在复杂的攻击环境。有经验的攻击者通过高级持续性威胁(Advanced Persistent Threat,APT)攻击入侵受害者的机器,因为APT攻击的持久性、隐蔽性和明确的目标。
传统入侵检测方法无法应对如今的APT攻击,特别是静态检测方法(由于静态特征,包括文件哈希、二进制片段等,很容易被修改)。近年来基于终端的APT检测系统被提出,其主要方式为基于图的动态检测方法,因为图中包含了每个进程和网络的上下文信息,在结合每个进程的交互行为,判断异常和恶意的进程。
此处的图指依赖图(Dependency-graph)或者溯源图(Provenance-Graph) 或者信息流图(information flow graph),是一种数据结构。在依赖图中,进程、文件、用户和网络IP为点,比如浏览器进程或者一个doc文件,都是点;边代表了点之间的交互关系,比如用word打开了一个文件,这个描述里面有两个点, word这个进程和文件,有一条边,“文件读”,代表了一个进程读取了一个文件的内容。计算机中的发生一切事情都是可以用这个图来表示,记录什么时候,在什么对象之间发生了什么事情。
StreamSpot在“Fast memory-efficient anomaly detection in streaingheterogeneous graphs”中公开了一种检测方法:通过提取局部图的特征,再结合机器学习的方法来检测异常的行为;Sleuth在“Sleuth:Real-time attack scenario reconstruc
tion from cots audit data”中提出了基于威胁标签和高价值标签的检测方法,首先构造依赖图,再在图中利用初始化程序,给符合条件的点打这两个分;然后根据图中的事件,修改相关点的分(类似于一种染色过程);最后提出一些基于这两种分的规则来判断是否有攻击;Holmes等很多其他的工作也都利用依赖图对APT进行检测。
然而,基于依赖图的方法有以下明显的问题:1、构造并保存图需要大量的运算和内存空间,最关键的是,随着时间的流逝,依赖图会越来越大,内存消耗会随之越来越大;2、在图上进行检索,需要大量的运算资源(基于图的算法都很复杂,比如子图同构问题就是一个NP问题)。这使得现有的基于图的检测方法成本高、无法实时检测。
例如,如果一个恶意文件被下载,并且经过一周(甚至半年,或更久)之后才被用户打开,执行了恶意代码,整个攻击跨度时间长,基于上下文的检测方法需要构造的依赖图庞大,且在该图中有大量与攻击无关事件,遍历该图运算成本和时间成本过高。
发明内容
基于此,有必要针对现有的APT入侵检测方法需要占用内存大、运算量大、运算成本和时间成本高的技术问题,提供一种APT入侵检测方法、装置以及计算机设备。
一种APT入侵检测方法,包括如下步骤:
获取待检测设备发生的事件,所述事件包括事件的主体、客体以及事件类型和发生时间;
按照事件发生时间的先后顺序为每一个事件对应的对象添加标签,包括:
在检测设备的内存中查询该事件对应的所有对象,所述的对象包括进程对象和文件对象:
若查询到,则根据所述的事件类型为对应的对象添加标签;
若有对象未查询到,则在内存中生成未查询到的对象,并根据所述的事件类型为对应的对象添加标签;
所述的根据事件类型为对应的对象添加标签包括:
若事件对应的对象唯一,则根据事件类型查询预设的标签库为该对象添加标签,所述的标签库为标签集合,每个标签包括事件类型以及标签类别;
若事件对应的对象不唯一,根据对应事件的事件类型以及对象已有的标签查询规则库为各个对象添加标签,所述的规则库为规则集合,每一条规则表示一个事件所对应的两个对象之间的主客关系、该事件对应的一个标签产生方向以及基于该标签产生方向的标签对应关系,所述标签产生方向包括由主体对应标签生成客体对应标签或由客体对应标签生成主体对应标签;
在有进程对象添加了标签时根据该进程对象所有标签的标签判断待检测设备是否存在APT入侵。
作为优选,所述的APT入侵检测方法还包括删除检测设备内存中的非活跃对象。
作为优选,所述的APT入侵检测方法还包括将添加了标签的文件对象同步到检测设备硬盘的数据库中。
进一步,所述的在内存中生成未查询到的对象包括:
若未查询到的对象为文件对象,则继续查询所述的数据库:若查询到,则从所述的数据库中将该对象同步到内存中;若未查询到,则在内存中创建该对象;
若未查询到的对象为进程对象,则在内存中创建该对象。
作为优选,每个标签具有唯一的编号,所述的为该对象添加标签包括:将标签对应的编号添加给该对象。
作为优选,所述标签库可更新,所述更新包括增加、修改或删除标签库中的标签;所述规则库可更新,所述更新包括增加、修改或删除规则库中的规则。
作为优选,所述标签还包括标签类别,所述标签类别包括恶意行为、可疑代码源和网络连接。
作为优选,所述在有进程对象添加了标签时根据该进程对象所有标签的标签类别判断待检测设备是否存在APT入侵包括:
遍历添加了标签的进程对象的所有标签的标签类别,判断恶意行为、可疑代码源和网络连接是否同时存在,若三个标签类别同时存在则认为待检测设备存在APT入侵;否则,认为待检测设备不存在APT入侵。
一种APT入侵检测装置,包括:
第一模块,获取待检测设备的事件,所述事件包括事件的主体、客体以及事件类型和发生时间;
第二模块,用于按照事件发生的先后顺序为每一个事件对应的对象添加标签,包括:
在检测设备的内存中查询该事件对应的所有对象并进行如下操作,所述的对象包括进程对象和文件对象:
若查询到,则根据所述的事件类型为对应的对象添加标签;
若有对象未查询到,则在内存中生成未查询到的对象,并根据所述的事件类型为对应的对象添加标签;
所述的根据事件类型为对应的对象添加标签包括:
若事件对应的对象唯一,则根据事件类型查询预设的标签库为该对象添加标签,所述的标签库为标签集合,每个标签包括事件类型以及标签类别;
若事件对应的对象不唯一,根据对应事件的事件类型以及对象已有的标签查询规则库为各个对象添加标签,所述的规则库为规则集合,每一条规则表示一个事件所对应的两个对象之间的主客关系、该事件对应的一个标签产生方向以及基于该标签产生方向的标签对应关系,所述标签产生方向包括由主体对应标签生成客体对应标签或由客体对应标签生成主体对应标签;
第三模块,用于在有进程对象添加了标签时根据该进程对象所有标签的标签判断待检测设备是否存在APT入侵。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述APT入侵检测方法的步骤。
上述APT入侵检测方法、装置以及计算机设备,采用具有上下文信息的标签来对事件对应的对象进行标记,通过对象的标签进行入侵判断,不需要在内存中存储依赖图,大大降低了内存消耗;此外,由于标签具有上下文信息,能够通过检测单独进程的标签,不需要遍历依赖图,使得检测速度极快。
附图说明
图1为一个实施例中APT入侵检测方法的应用环境图;
图2为一个实施例中APT入侵检测方法的流程示意图;
图3为一个实施例中步骤S302中的在内存中生成未查询到的对象的流程示意图;
图4为经过一实施例的APT入侵检测方法处理后得到数据结构图;
图5为采用传统的基于依赖图进行APT入侵检测时内存消耗与处理时间的关系模拟图;
图6为采用本实施例的APT入侵检测方法进行检测时内存消耗与处理时间的关系模拟图;
图7为采用本实施例的APT入侵检测方法检测不同数量的客户端时内存消耗与处理时间的关系模拟图;
图8为一实施例的APT入侵检测装置的结构框图;
图9为一实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的APT入侵检测方法适用于具有检测设备和待检测设备的系统中。在一个实施环境中,检测设备和待检测设备可以为同一设备。在另外一个实施环境中,检测设备和待检测设备为不同设备,且一个检测设备可以同时检测多台待检测设备。通常,检测设备为服务器,待检测设备为终端。在此情况下,该检测方法可以应用于如图1所示的应用环境中。其中,终端102通过网络与服务器104通过网络进行通信。其中,终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑,服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
本发明的一种APT入侵检测方法可以离线实施也可以在线实施,离线实施例时,先获取待终端(即待检测设备)的事件缓存,根据应用场景设定。
在一个实施例中,如图2所示,提供了一种APT入侵检测方法,以该方法应用于图1中的应用环境为例进行说明,包括以下步骤:
步骤S101,获取待检测设备的事件,所述事件包括事件的主体、客体以及事件类型和发生时间;
需要说明,有些事件可以不包括客体,此时可以将客体的值置为空。
本实施例中获取待检测设备的事件包括:获取待检测设备的系统事件以及经过语义解析的API数据(解析后为动态行为数据)和特征数据,其中,所述的特征数据包括进程或文件的特征数据。
系统事件即Windows系统事件,包括文件、进程、线程、网络、注册表、内存等相关操作。
API数据为系统调用或者API调用序列,记录了进程和操作系统的交互行为。
特征数据为记录系统进程或文件特征的数据,例如进程窗口参数、用户与窗口的交互行为、二进制文件签名信息等。
系统事件以及经过语义解析的API数据和特征数能够反映待检测设备所有事件的相关信息,如各个事件的主体、客体以及事件类型等。其中,系统事件包括事件的主体、客体以及事件类型;经过语义解析后的API数据和特征数据包括事件的主体以及事件类型。
需要说明的是,对于API数据和特征数据进行语义解析是独立处理的,待检测设备和检测设备均可以对API数据和/或特征数据进行语义解析。相应的,基于API数据和特征数据进行语义解析的完成者(待检测设备和/或检测设备)进行组合,本实施例的获取待检测设备的系统事件以及经过语义解析的API数据和特征数据作为样本数据可以有多种实现方式。
作为一种实现方式,获取待检测设备的系统事件以及经过语义解析的API 数据和特征数据作为样本数据包括如下操作:
待检测设备收集系统事件、API数据和特征数据;
待检测设备将系统事件以及API数据和特征数据发送给检测设备;
检测设备接收来自于待检测设备的系统事件以及API数据和特征数据;
检测设备对接收到的API数据和特征数据进行语义解析。
作为一种优选实现方式,由待检测设备对API数据和特征数据进行语义解析,这样可以大量减少待检测设备向检测设备发送的数据量,节约大量网络带宽。示例性的,获取待检测设备的系统事件以及经过语义解析的API数据和特征数据作为样本数据包括如下操作:
待检测设备采集系统事件、API数据和特征数据,并对采集到的API数据和特征数据进行语义解析
待检测设备将系统事件以及经过解析后的API数据和特征数据发送给检测设备;
检测设备接收来自待检测设备的系统事件以及经过解析后的API数据和特征数据。
本实施例中利用ETW方法收集系统事件。当然,也可以采用其他方式收集系统事件,如Event Logs等其他方式获取,在此不一一列举。
本实施例中利用ETW(callstack数据还原)方法收集API数据。当然,也可以采用其他方式,例如用API hook(API钩子)等其他方法收集API数据,在此不一一列举。
本实施例中通过在待检测设备主动收集数据即可收集特征数据,例如通过定时遍历窗口的方式获取进程窗口特征数据;通过特定事件触发的方式,获取二进制文件签名信息等。当然,也可以采用其他方式收集特征数据,例如使用Windows Message Hook获取窗口特征数据,在此不一一列举。
本实施例中采用公开号为CN 108256329 A的专利申请提供的方法对API数据提取语义完成语义解析,通过识别恶意程序细粒度行为即完成语义解析。此外,还可以采用人工生成特征(Manual Signature)的方式对API数据进行语义解析。
特征数据,通过预定义的规则,解析其语义,例如判断二进制文件签名是否合法;判断窗口是否可见等。例如,二进制文件签名是否合法可以利用 Windows API获取;判断窗口可见可以根据先验(专家)规则指定。
需要说明,作为另一种实现方式,还可以采集应用日志,包括一般应用的日志和其他检测系统、杀毒软件的日志等数据来获取待检测设备的事件。
步骤S102,按照事件发生的先后顺序为每一个事件对应的对象添加标签,包括:
在检测设备的内存中查询该事件对应的所有对象,所述的对象包括进程对象和文件对象:
若查询到,则根据所述的事件类型为对应的对象添加标签;
若有对象未查询到,则在内存中生成未查询到的对象,并根据所述的事件类型为对应的对象添加标签;
所述的根据所述的事件类型为对应的对象添加标签包括:
若事件对应的对象唯一,则根据事件类型查询预设的标签库为该对象添加标签,所述的标签库为标签集合,每个标签包括事件类型以及标签类别;
若事件对应的对象不唯一,则根据对应事件的事件类型以及对象已有的标签查询规则库为各个对象添加标签,所述的规则库为规则集合,每一条规则表示一个事件所对应的两个对象之间的主客关系、该事件对应的一个标签产生方向以及基于该标签产生方向的标签对应关系,所述标签产生方向包括由主体对应标签生成客体对应标签或由客体对应标签生成主体对应标签。
需要说明,针对获取的每一个事件为对应的对象添加标签时必须应按照事件发生的时间先后顺序逐个事件依次处理,以保证生成的标签具有时序信息。
本发明提出的规则库及其对应标签,通过描述不同状态的对象以及其通过特定事件对另一对象的影响,使生成的标签具有上下文信息(由谁产生、为何产生);另外,由于标签的产生具有传递性,例如(A进程到B进程P1->P2,B 进程到C进程P2->P3),使得标签可以描述用于检测的完整的、复杂的上下文信息。通过把检测所需的所有信息汇集到各个进程,使得在与攻击相关进程中包含了攻击的完整信息,因而可以通过单一进程检测攻击。例如,任意恶意程序在回传窃取到的高价值信息时,通过该进程的标签可以分析其高价值信息来源(此为恶意行为),同时,可知其执行过程存在可疑(加载了没有合法签名的二进制文件、或者被一个可疑进程注入而该可疑进程加载了没有合法签名的二进制文件等),即可判断该进程正在实施攻击。
将标签添加给对象时,可以直接将标签内容全部添加给对象,也可以给每个标签编设唯一的编号,将标签的编号添加给对象即可。为降低内存消耗,作为优选实现方式,每个标签具有唯一的编号,为该对象添加标签包括:将标签对应的编号添加给该对象。
示例性的,所述标签包括由三元构成,各个元素的含义如下:
No代表了标签的唯一编号。
作为编号的一种实现方式,为便于识别对象的类型,所述的编号携带有标签的标签类型。本实施例中标签类型有两种:P代表进程标签,F代表文件标签。
由于标签是根据经验预先设定的,即标签表中的各个标签时预先已知的,且标签具有唯一编号,因此,可以采用位图(bitmap,二进制序列)表示标签,位图中每一位对应一个标签,0代表不含有对应标签,1代表有该标签,这样的设计可以极大的降低内存消耗。相应的,作为另一种优选实现方式,标签的编号携带有标签的标签类型和以及标签在位图中的位置。例如当进程对象对应的位图为00001时,表示该进程对象具有5号标签。需要说明的是,构建位图时,优选建立两个位图,分别对于文件标签和进程标签。需要说明的是,对每个进程对象和文件对象都应构造单独位图,分别对应该进程对象或文件对象所拥有的标签集合。
Ty代表了标签的标签类别,标签类别用于描述标签所代表的语义信息类别以用于判断是否存在APT入侵,主要有四个标签类别,分别为:
恶意行为:攻击者进行的恶意活动,是攻击者入侵的主要目的;
可疑代码源:说明该进程执行了可疑的代码或者这个进程是被可疑进程启动的,代表了这个进程为什么会做恶意活动;
网络连接:说明该进程有和外部交流的能力,特别是网络连接;
特征:标签描述,用于描述不同的攻击,例如某一进程被检测为恶意后,发现该进程有窗口,有用户交互等特征,代码无合法签名,说明该进程可能为木马程序(伪装为合法进程)。
本发明中只有进程标签有标签类别,用于最终恶意攻击的检测,标签为文件标签时,Ty值为空。
需要说明的是,标签类别是根据经验预先设定的,实际使用时可以根据应用需求进行调整。需要明确,特征作为标签描述不是必要的。即,为进行检测,设定的标签类别有恶意行为、可疑代码源和网络连接3个标签类别即可。
De是该标签的文字描述,提高可读性。
以“P1,网络连接,该进程有与外网IP的网络通信”为例说明标签的具体含义,其中,P1为标签编号,代表了位置为1的进程标签,标签的类型为进程标签,对应的类别属于“网络连接”,描述为“该进程有与外网IP的网络通信”,其中,NO为“P1”,Ty为“网络连接”,De为“该进程有与外网IP的网络通信”。
需要说明的是,De是该标签的文字描述,主要是为了增强可读性,不是必须的。因此,作为另外一种实现方式,所述标签包括由二元组构成,如<NO,Ty>,在此,不展开详细描述。
规则为标签产生的条件,当某一事件发生时会触发对应规则,每一条规则表示一个事件所对应的两个对象之间的主客关系以及两个对象的标签对应关系和标签产生方向。
主客关系基于该事件对应的两个对象之间的信息流(控制流和数据流)的种类进行区分。本发明中主体只能为进程,客体可以为进程或文件。
本发明中标签产生方向包括由主体对应标签生成客体对应标签或由客体对应标签生成主体对应标签两种,为便于描述以其中一种为正方向,另一种为逆方向。本实施例中正方向和逆方向定义如下:当主体有特定标签,且发生了对应的事件,导致客体产生了新的标签,称这个为正方向;当客体有特定标签,且发生对应事件后,导致主体产生了新的标签,称这个方向为逆方向。可以理解,正方向和反方向的定义可以根据应用需要设定或者调整。
标签产生方向用于确定查询时的方向,查询时,选定查询基准,然后按照标签的产生方向进行查询。示例性的:
待检测设备依次执行如下两步操作:第一步,进程A写文件B,第二步:进程对象A写文件C;进程A对应有进程对象A,文件B对应有文件对象B,文件C对应有文件对象C。执行第一步操作前,进程对象A对应有标签P1,文件对象B有标签F1,文件对象C无标签。
执行第一步操作,事件进程对象A写文件B发生,查询规则表,首先基于事件类型匹配上规则,假设匹配到规则中有标签产生方向为正方向,也有标签产生方向为逆方向:
当规则中的标签产生方向为正方向,说明由进程对象A(对应于主体)的标签产生文件对象B的标签,因此,需要以主体对应标签为查询基准,假设查询到一条规则中主体对应的标签为P1时客体对应标签为F2,因此,该条规则标签结果为:进程对象A的标签P1,在事件发生时,文件对象B生成标签F2;
当规则中的标签产生方向为逆方向,说明由文件对象B(对应于主体)的标签产生进程对象A的标签,因此,需要以客体对应标签为查询基准,假设查询到一条规则中客体对应的标签为F2时主体对应标签为P2,因此,该条规则标签结果为:文件对象B的标签F1,在事件发生时,进程对象A产生新的标签P2。
可见,执行完第一操作,进程对象A对应有标签P1、P2,文件对象B有标签F1、F2,文件对象C无标签。
继续执行步骤2,事件进程对象A写文件C发生,查询规则表,首先基于事件类型匹配上规则,假设匹配到两条规则,假设匹配到规则中有标签产生方向为正方向,也有标签产生方向为逆方向:
当规则中的标签产生方向为正方向,说明由进程对象A(对应于主体)的标签产生文件对象C的标签,因此,需要以主体对应标签为查询基准,,查询到一条规则中主体对应的标签为P1时客体对应标签为F2,因此,进程对象A的标签 P1,在事件发生时,文件对象B产生新的标签F2;假设查询到没有一条规则中主体对应的标签为P2,因此,进程对象A的标签P2,在事件发生时,文件对象 B不产生标签;
当规则中的标签产生方向为逆方向,说明由文件对象B(对应于主体)的标签产生进程对象A的标签,需要以客体对应标签为查询基准,由于文件对象C 不存在标签,因此,事件进程对象A写文件C发生时,进程对象A不产生新的标签。
基于上述过程,可以看出,如果没有标签产生方向,在进行第二操作时,事件进程对象A写文件C发生时,由于进程对象A具有P2,对应事件类型为写,主体标签为P2对应有客体标签F1,相应的文件对象C会产生新的标签F2,此时会发生语义错误。
本发明中通过设置标签产生方向,能够将文件上的信息汇集到进程上,使进程能包括判断该攻击所需要的所有上下文信息、恶意行为、网络信息,当进程对文件造成影响时,如果该事件有可能出现在攻击过程中,则需要对进程打上标签(相当于把标签汇集到进程上)。如果一个配置文件被修改,需要给进程打上标签,但是被修改这个信息可以不用保存在文件上,因为这个信息不会对其他的文件和进程造成影响,不会被用来判断攻击。
作为规则的一种实现方式,本实施例中的规则有由六元组构成, <No,Ss,Ev,So,Di,De>,其中:
No代表了规则的唯一编号;
SS代表了参与事件主体的标签;
Ev代表了事件类型,即由主体对客体执行的操作,根据信息流(控制流和数据流)的种类分类;
SO代表了参与事件客体的标签;
Di代表了标签产生的方向;
De是该规则的文字描述。
同标签类似,需要说明的是,规则中的De是该规则的文字描述,主要是为了增强可读性,不是必须的。作为另外一种实现方式,所述规则包括由五元组构成,如<No,Ss,Ev,So,Di>,在此,不展开详细描述。
步骤S103,在有进程对象添加了标签时根据进程对象的所有标签判断待检测设备是否存在APT入侵。
需要说明的,待检测设备存在APT入侵的条件可以根据使用需求设定,例如要求进程对象同时存在可疑行为,网络行为,可疑代码源,也可以是其中的两个、或一个。示例性的,本实施例中在有进程对象添加了标签时,遍历该进程对象所有标签中的标签类别判断是否同时存在可疑行为,网络行为,可疑代码源,若同时存在则认为待检测设备存在APT入侵。
本实施例的方法采用能够表示各个对象上下文信息的标签表示各个对象之间的关系,而不需要构建依赖图,大大降低了检测设备的内存消耗;此外,有个对象的标签具有上下文信息,通过单一进程检测即可实现检测效果,大大降低了运算量,运算成本和时间成本低。
在上一实施例的基础上,进一步提供了一个优选实施例,在该优选实施例中的APT入侵检测方法,包括:
S201,获取待检测设备的事件,所述事件包括事件的主体、客体以及事件类型和发生时间;
S202,按照事件发生的先后顺序为每一个事件对应的对象添加标签,包括:
在检测设备的内存中查询该事件对应的所有对象,所述的对象包括进程对象和文件对象:
若查询到,则根据所述的事件类型为对应的对象添加标签;
若有对象未查询到,则在内存中生成未查询到的对象,并根据所述的事件类型为对应的对象添加标签;
所述的根据所述的事件类型为对应的对象添加标签包括:
若事件对应的对象唯一,则根据事件类型查询预设的标签库为该对象添加标签,所述的标签库为标签集合,每个标签包括事件类型以及标签类别;
若事件对应的对象不唯一,则根据对应事件的事件类型以及对象已有的标签查询规则库为各个对象添加标签,所述的规则库为规则集合,每一条规则表示一个事件所对应的两个对象之间的主客关系、该事件对应的一个标签产生方向以及基于该标签产生方向的标签对应关系,所述标签产生方向包括由主体对应标签生成客体对应标签或由客体对应标签生成主体对应标签;
S203,在有进程对象添加了标签时根据进程对象添加的标签判断待检测设备是否存在APT入侵;
S204,删除检测设备内存中的非活跃对象。
具体的,确定对象是否活跃可根据用户需求或经验设定相应的规则。通常对于进程对象,若待检测设备上对应的进程关闭且长时间未打开,则认为该进程对象为非活跃对象。对于文件对象,若待检测设备长时间未打开对应的文件,则认为该文件对象为非活跃对象。需要说明,所述长时间可谓几个小时、几天,根据使用需求设定。
基于上一优选实施例,本发明进一步提出了另一优选实施例,在该优选实施例中的APT入侵检测方法,包括:
S301,获取待检测设备的事件,所述事件包括事件的主体、客体以及事件类型和发生时间;
S302,按照事件发生的先后顺序为每一个事件对应的对象添加标签,包括:
在检测设备的内存中查询该事件对应的所有对象,所述的对象包括进程对象和文件对象:
若查询到,则根据所述的事件类型为对应的对象添加标签;
若有对象未查询到,则在内存中生成未查询到的对象,并根据所述的事件类型为对应的对象添加标签;
所述的根据所述的事件类型为对应的对象添加标签包括:
若事件对应的对象唯一,则根据事件类型查询预设的标签库为该对象添加标签,所述的标签库为标签集合,每个标签包括事件类型以及标签类别;
若事件对应的对象不唯一,则根据对应事件的事件类型以及对象已有的标签查询规则库为各个对象添加标签,所述的规则库为规则集合,每一条规则表示一个事件所对应的两个对象之间的主客关系、该事件对应的一个标签产生方向以及基于该标签产生方向的标签对应关系,所述标签产生方向包括由主体对应标签生成客体对应标签或由客体对应标签生成主体对应标签。
S303,在有进程对象添加了标签时根据进程对象添加的标签判断待检测设备是否存在APT入侵。
S304,删除检测设备内存中的非活跃对象。
S305,将添加了标签的文件对象同步到检测设备硬盘的数据库中。
在该优选实施例中,如图3所示,步骤S302中的在内存中生成未查询到的对象包括:
若未查询到的对象为文件对象,则继续查询所述的数据库:若查询到,则从所述的数据库中将该对象同步到内存中;若未查询到,则在内存中创建该对象;
若未查询到的对象为进程对象,则在内存中创建该对象。
在上一优选实施例的基础上,还提供了另一优选实施例,在该优选实施例中的APT入侵检测方法中为各对象添加标签要保证各个对象的标签不重复,具体的,包括:
S401,获取待检测设备的事件,所述事件包括事件的主体、客体以及事件类型和发生时间。
S402,按照事件发生的先后顺序为每一个事件对应的对象添加标签,包括:
在检测设备的内存中查询该事件对应的所有对象,所述的对象包括进程对象和文件对象:
若查询到,则根据所述的事件类型为对应的对象添加标签;
若有对象未查询到,则在内存中生成未查询到的对象,并根据所述的事件类型为对应的对象添加标签;
所述的根据所述的事件类型为对应的对象添加标签包括:
若事件对应的对象唯一,则根据事件类型查询预设的标签库为该对象添加标签,所述的标签库为标签集合,每个标签包括事件类型以及标签类别;
若事件对应的对象不唯一,则根据对应事件的事件类型以及对象已有的标签查询规则库为各个对象添加标签,所述的规则库为规则集合,每一条规则表示一个事件所对应的两个对象之间的主客关系、该事件对应的一个标签产生方向以及基于该标签产生方向的标签对应关系,所述标签产生方向包括由主体对应标签生成客体对应标签或由客体对应标签生成主体对应标签;
其中:
根据事件类型查询预设的标签库为该对象添加标签具体包括:
根据事件类型查询标签库得到待添加标签;
判断待添加标签是否与该对象已有的标签重复:
若不重复,则将该待添加标签添加至该对象上;否则,丢弃该待添加的标签。
根据对应事件的事件类型以及对象已有的标签查询规则库为各个对象添加标签具体包括如下操作:
根据对应事件的事件类型以及对象已有的标签查询规则库得到待添加标签;
判断待添加标签是否与该对象已有的标签重复:
若不重复,则将该待添加标签添加至该对象上;否则,丢弃该待添加的标签。
示例性的,若查询得到的待添加标签为P1,而对象已有标签P1,则丢弃该标签P1。
S403,在有进程对象添加了标签时根据进程对象添加的标签判断待检测设备是否存在APT入侵。
S404,删除检测设备内存中的非活跃对象。
S405,将添加了标签的文件对象同步到检测设备硬盘的数据库中。
以下将以被检测设备执行如下操作为例进程说明本发明的APT入侵检测过程中检测设备的处理时序:
firefox浏览器有网络连接,firefox浏览器写了文件a.exe(事件write),firefox浏览器启动了进程a,进程a在启动时,加载了(Image Load)被下载的文件a.exe。
表1对本实施例的APT入侵检测方法中检测设备的处理时序,经过处理得到数据结构如图4所示。
表1
需要说明的是,本发明中的标签库、规则库为预先设定,在使用过程中可更新,即:所述标签库可更新,所述更新包括增加、修改或删除标签库中的标签;所述规则库可更新,所述更新包括增加、修改或删除规则库中的规则。示例性的,可以通过修改配置文件更新,满足格式即可,不用修改程序代码。
应该理解的是,虽然图2和图3的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2和图3中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
为说明本发明的APT入侵检测方法的优点,抓取了五个数据集进行模拟本实施例的APT入侵检测方法,分别为数据集D1,D2,D3,L1和L2,其中数据集D1,D2,D3,L1 4个数据集包括完成的APT攻击,各个数据集的具体处理时长和事件数量如表2所示。
表2
| 数据集 | 时间长度(时分秒) | 事件数量(百万) |
| D1 | 8:50:25 | 10.66 |
| D2 | 8:45:10 | 9.96 |
| D3 | 6:53:40 | 6.13 |
| L1 | 3:27:48 | 102.5 |
| L2 | 284:36:05 | 100 |
基于各个数据集的模拟结果如表3所示,可以看出,本实施例的APT入侵检测方法的需要的内存极小,同时,处理事件速率极高,单核可以处理几百上千台客户端收集的数据,其中,加速比例即数据集持续时长除以处理时间,表明处理速度是数据产生速度的几百倍。
表3
| 数据集 | 持续时长 | 最大内存MB | 平均内存MB | 处理时间s | 加速比例 |
| D1 | 8:50:25 | 5.40 | 1.53 | 51.1 | 622 |
| D2 | 8:45:10 | 2.29 | 1.38 | 47.0 | 670 |
| D3 | 6:53:40 | 3.55 | 1.23 | 30.1 | 824 |
| L1 | 3:27:48 | 10.46 | 2.74 | 45.2 | 276 |
| L2 | 284:36:05 | 5.68 | 3.51 | 659 | 1555 |
图5为以采用传统的基于依赖图进行APT入侵检测时,内存消耗与处理时间的关系图,可以看出随着处理时间增加,消耗的内存也越来越多。图6为本实施例的APT入侵检测方法进行检测时内存消耗与处理时间的关系图,可以看出,本实施例的方法内存消耗比较稳定,随时间变化波动较小。且基于图5和图6对比,可以看出,本实施例的APT入侵检测方法较传统基于依赖图的APT 入侵检测方法而言,消耗的内存较小。
此外,基于数据集L1,还模拟了采用本实施例的APT入侵检测方法同时处理100、500、1000台客户端的数据的情况,模拟结果如图7所示,可见,消耗的内存大小与客户端数量呈线性增长。
在一个实施例中,提供了一种APT入侵检测装置,包括:
第一模块,获取待检测设备的事件,所述事件包括事件的主体、客体以及事件类型;
第二模块,用于按照事件发生的先后顺序为每一个事件对应的对象添加标签,包括:
在检测设备的内存中查询该事件对应的所有对象,所述的对象包括进程对象和文件对象:
若查询到,则根据所述的事件类型为对应的对象添加标签;
若有对象未查询到,则在内存中生成未查询到的对象,并根据所述的事件类型为对应的对象添加标签;
所述的根据事件类型为对应的对象添加标签包括:
若事件对应的对象唯一,则根据事件类型查询预设的标签库为该对象添加标签,所述的标签库为标签集合,每个标签包括事件类型以及标签类别;
若事件对应的对象不唯一,根据对应事件的事件类型以及对象已有的标签查询规则库为各个对象添加标签,所述的规则库为规则集合,每一条规则表示一个事件所对应的两个对象之间的主客关系、该事件对应的一个标签产生方向以及基于该标签产生方向的标签对应关系,所述标签产生方向包括由主体对应标签生成客体对应标签或由客体对应标签生成主体对应标签;
第三模块,用于在有进程对象添加了标签时根据该进程对象所有标签的标签判断待检测设备是否存在APT入侵。
如图8所示,提供了另一种APT入侵检测装置,包括第一模块、第二模块、第三模块、第四模块和第五模块,其中:
第一模块,获取待检测设备的事件,所述事件包括事件的主体、客体以及事件类型和发生时间;
第二模块,用于在检测设备的内存中查询该事件对应的所有对象,所述的对象包括进程对象和文件对象;
第三模块,用于在所述第二模块有对象未查询到时在内存中生成未查询到的对象;
第四模块,则根据事件类型查询预设的标签库为该对象添加标签;
第五模块,用于在有进程对象添加了标签时根据进程对象添加的标签判断待检测设备是否存在APT入侵。
本实施例中第四模块包括:
第一单元,用于判断事件对应的对象是否唯一;
第二单元,用于根据判断模块的结果为对象添加标签;
第三单元,用于在事件对应的对象唯一,根据事件类型查询预设的标签库为该对象添加标签,所述的标签库为标签集合,每个标签包括事件类型以及标签类别;
第四单元,用于在事件对应的对象不唯一时,根据对应事件的事件类型以及对象已有的标签查询规则库为各个对象添加标签,所述的规则库为规则集合,每一条规则表示一个事件所对应的两个对象之间的主客关系、该事件对应的一个标签产生方向以及基于该标签产生方向的标签对应关系,所述标签产生方向包括由主体对应标签生成客体对应标签或由客体对应标签生成主体对应标签。
在一种优选实施例,一种APT入侵检测装置,除了第一模块、第二模块、第三模块、第四模块、第五模块,该APT入侵检测装置还包括第六模块,该第六模块用于删除检测设备内存中的非活跃对象。
进一步优选,所述的APT入侵检测方法还包括用于将添加了标签的文件对象同步到检测设备硬盘的数据库中。
进一步优选,所述第三模块包括:
第五单元,用于在第二模块未查询到的对象为文件对象时继续查询所述的数据库;
第六单元,用于在第五单元在数据库查询到时从所述的数据库中将该对象同步到内存中;
第七单元,用于在第五单元在数据库未查询到时在内存中创建该对象;
第八单元,用于在第二模块未查询到的对象为进程对象时在内存中创建该对象。
每个标签具有唯一的编号,相应的,进一步优选,所述的第四模块包括第九单元,用于将标签对应的编号添加给该对象。
作为优选,所述APT入侵系统还包括第七模块和第八模块,其中,第七模块,用于更标签库,第八模块用于更新规则库。需要说明的是,更新包括增加、修改、删除,
作为优选,所述第五模块包括用于遍历添加了标签的进程对象的所有标签的标签类别,判断恶意行为、可疑代码源和网络连接是否同时存在,若三个类别同时存在则认为待检测设备存在APT入侵;否则,认为待检测设备不存在APT 入侵。
关于APT检测系统的具体限定可以参见上文中对于APT检测方法的限定,在此不再赘述。上述APT检测系统中的各个模块、或单元可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
获取待检测设备的事件,所述事件包括事件的主体、客体以及事件类型;
按照事件发生的先后顺序为每一个事件对应的对象添加标签,包括:
在检测设备的内存中查询该事件对应的所有对象,所述的对象包括进程对象和文件对象:
若查询到,则根据所述的事件类型为对应的对象添加标签;
若有对象未查询到,则在内存中生成未查询到的对象,并根据所述的事件类型为对应的对象添加标签;
所述的根据所述的事件类型为对应的对象添加标签包括:
若事件对应的对象唯一,则根据事件类型查询预设的标签库为该对象添加标签,所述的标签库为标签集合,每个标签包括事件类型以及标签类别;
若事件对应的对象不唯一,则根据对应事件的事件类型以及对象已有的标签查询规则库为各个对象添加标签,所述的规则库为规则集合,每一条规则表示一个事件所对应的两个对象之间的主客关系、该事件对应的一个标签产生方向以及基于该标签产生方向的标签对应关系,所述标签产生方向包括由主体对应标签生成客体对应标签或由客体对应标签生成主体对应标签;
在有进程对象添加了标签时根据该进程对象所有标签的标签类别判断待检测设备是否存在APT入侵。
本实施例的计算机设备,该计算机设备可以是服务器,其内部结构图可以如图9所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种APT检测方法。
本领域技术人员可以理解,图9中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。不同实施例中的技术特征体现在同一附图中时,可视为该附图也同时披露了所涉及的各个实施例的组合例。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种APT入侵检测方法,其特征在于,包括如下步骤:
获取待检测设备发生的事件,所述事件包括事件的主体、客体以及事件类型和发生时间;
按照事件发生时间的先后顺序为每一个事件对应的对象添加标签,包括:
在检测设备的内存中查询该事件对应的所有对象并进行如下操作,所述的对象包括进程对象和文件对象:
若查询到,则根据所述的事件类型为对应的对象添加标签;
若有对象未查询到,则在内存中生成未查询到的对象,并根据所述的事件类型为对应的对象添加标签;
所述的根据事件类型为对应的对象添加标签包括:
若事件对应的对象唯一,则根据事件类型查询预设的标签库为该对象添加标签,所述的标签库为标签集合,每个标签包括事件类型以及标签类别;
若事件对应的对象不唯一,根据对应事件的事件类型以及对象已有的标签查询规则库为各个对象添加标签,所述的规则库为规则集合,每一条规则表示一个事件所对应的两个对象之间的主客关系、该事件对应的一个标签产生方向以及基于该标签产生方向的标签对应关系,所述标签产生方向包括由主体对应标签生成客体对应标签或由客体对应标签生成主体对应标签;
在有进程对象添加了标签时根据该进程对象所有标签的标签判断待检测设备是否存在APT入侵。
2.如权利要求1所述的APT入侵检测方法,其特征在于,所述的APT入侵检测方法还包括删除检测设备内存中的非活跃对象。
3.如权利要求1所述的APT入侵检测方法,其特征在于,所述的APT入侵检测方法还包括将添加了标签的文件对象同步到检测设备硬盘的数据库中。
4.如权利要求3所述的APT入侵检测方法,其特征在于,所述的在内存中生成未查询到的对象包括:
若未查询到的对象为文件对象,则继续查询所述的数据库:若查询到,则从所述的数据库中将该对象同步到内存中;若未查询到,则在内存中创建该对象;
若未查询到的对象为进程对象,则在内存中创建该对象。
5.如权利要求1所述的APT入侵检测方法,其特征在于,每个标签具有唯一的编号,所述的为该对象添加标签包括:将标签对应的编号添加给该对象。
6.如权利要求1所述的APT入侵检测方法,其特征在于,所述标签库可更新,所述更新包括增加、修改或删除标签库中的标签;所述规则库可更新,所述更新包括增加、修改或删除规则库中的规则。
7.如权利要求1所述的APT入侵检测方法,其特征在于,所述标签还包括标签类别,所述标签类别包括恶意行为、可疑代码源和网络连接。
8.如权利要求7所述的APT入侵检测方法,其特征在于,所述在有进程对象添加了标签时根据该进程对象所有标签的标签类别判断待检测设备是否存在APT入侵包括:
遍历该添加了标签的进程对象的所有标签的标签类别,判断恶意行为、可疑代码源和网络连接是否同时存在,若三个标签类别同时存在则认为待检测设备存在APT入侵;否则,认为待检测设备不存在APT入侵。
9.一种APT入侵检测装置,其特征在于,包括:
第一模块,获取待检测设备的事件,所述事件包括事件的主体、客体以及事件类型和发生时间;
第二模块,用于按照事件发生的先后顺序为每一个事件对应的对象添加标签,包括:
在检测设备的内存中查询该事件对应的所有对象并进行如下操作,所述的对象包括进程对象和文件对象:
若查询到,则根据所述的事件类型为对应的对象添加标签;
若有对象未查询到,则在内存中生成未查询到的对象,并根据所述的事件类型为对应的对象添加标签;
所述的根据事件类型为对应的对象添加标签包括:
若事件对应的对象唯一,则根据事件类型查询预设的标签库为该对象添加标签,所述的标签库为标签集合,每个标签包括事件类型以及标签类别;
若事件对应的对象不唯一,根据对应事件的事件类型以及对象已有的标签查询规则库为各个对象添加标签,所述的规则库为规则集合,每一条规则表示一个事件所对应的两个对象之间的主客关系、该事件对应的一个标签产生方向以及基于该标签产生方向的标签对应关系,所述标签产生方向包括由主体对应标签生成客体对应标签或由客体对应标签生成主体对应标签;
第三模块,用于在有进程对象添加了标签时根据该进程对象所有标签的标签判断待检测设备是否存在APT入侵。
10.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1~8中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010150547.5A CN112287339B (zh) | 2020-03-06 | 2020-03-06 | Apt入侵检测方法、装置以及计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010150547.5A CN112287339B (zh) | 2020-03-06 | 2020-03-06 | Apt入侵检测方法、装置以及计算机设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112287339A true CN112287339A (zh) | 2021-01-29 |
| CN112287339B CN112287339B (zh) | 2024-06-04 |
Family
ID=74420143
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010150547.5A Active CN112287339B (zh) | 2020-03-06 | 2020-03-06 | Apt入侵检测方法、装置以及计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112287339B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113312615A (zh) * | 2021-06-23 | 2021-08-27 | 北京天融信网络安全技术有限公司 | 一种终端检测与响应系统 |
| CN114006775A (zh) * | 2021-12-31 | 2022-02-01 | 北京微步在线科技有限公司 | 一种入侵事件的检测方法及装置 |
| CN115146271A (zh) * | 2022-09-02 | 2022-10-04 | 浙江工业大学 | 一种基于因果分析的apt溯源研判方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103581156A (zh) * | 2012-08-09 | 2014-02-12 | 中铁信息计算机工程有限责任公司 | 一种可信网络和可信网络的工作方法 |
| US20160191465A1 (en) * | 2014-09-14 | 2016-06-30 | Sophos Limited | Firewall techniques for colored objects on endpoints |
| CN106027529A (zh) * | 2016-05-25 | 2016-10-12 | 华中科技大学 | 一种基于溯源信息的入侵检测系统及方法 |
| US20190104140A1 (en) * | 2017-09-29 | 2019-04-04 | AO Kaspersky Lab | System and method of cloud detection, investigation and elimination of targeted attacks |
| CN110334119A (zh) * | 2019-06-21 | 2019-10-15 | 腾讯科技(深圳)有限公司 | 一种数据关联处理方法、装置、设备及介质 |
| CN110719291A (zh) * | 2019-10-16 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的网络威胁识别方法及识别系统 |
| US20200065481A1 (en) * | 2018-08-22 | 2020-02-27 | CyCarrier Technology Co., Ltd. | Suspicious event analysis device and related computer program product for generating suspicious event sequence diagram |
-
2020
- 2020-03-06 CN CN202010150547.5A patent/CN112287339B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103581156A (zh) * | 2012-08-09 | 2014-02-12 | 中铁信息计算机工程有限责任公司 | 一种可信网络和可信网络的工作方法 |
| US20160191465A1 (en) * | 2014-09-14 | 2016-06-30 | Sophos Limited | Firewall techniques for colored objects on endpoints |
| CN106027529A (zh) * | 2016-05-25 | 2016-10-12 | 华中科技大学 | 一种基于溯源信息的入侵检测系统及方法 |
| US20190104140A1 (en) * | 2017-09-29 | 2019-04-04 | AO Kaspersky Lab | System and method of cloud detection, investigation and elimination of targeted attacks |
| CN109583193A (zh) * | 2017-09-29 | 2019-04-05 | 卡巴斯基实验室股份制公司 | 目标攻击的云检测、调查以及消除的系统和方法 |
| US20200065481A1 (en) * | 2018-08-22 | 2020-02-27 | CyCarrier Technology Co., Ltd. | Suspicious event analysis device and related computer program product for generating suspicious event sequence diagram |
| CN110334119A (zh) * | 2019-06-21 | 2019-10-15 | 腾讯科技(深圳)有限公司 | 一种数据关联处理方法、装置、设备及介质 |
| CN110719291A (zh) * | 2019-10-16 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的网络威胁识别方法及识别系统 |
Non-Patent Citations (2)
| Title |
|---|
| SADEGH M.MILAJERDI: "HOLMES:Real-Time APT Detection through Correlation of Suspicious Information Flows", 《2019 IEEE SYMPOSIUM ON SECURITY AND PRIVACY(SP)》, 16 September 2019 (2019-09-16) * |
| 卢嘉中: "基于全网流量与日志深度分析的APT攻击建模与检测技术", 《中国优秀硕士学位论文全文数据库 (信息科技辑)》, no. 12, 15 December 2019 (2019-12-15) * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113312615A (zh) * | 2021-06-23 | 2021-08-27 | 北京天融信网络安全技术有限公司 | 一种终端检测与响应系统 |
| CN113312615B (zh) * | 2021-06-23 | 2022-04-01 | 北京天融信网络安全技术有限公司 | 一种终端检测与响应系统 |
| CN114006775A (zh) * | 2021-12-31 | 2022-02-01 | 北京微步在线科技有限公司 | 一种入侵事件的检测方法及装置 |
| CN114006775B (zh) * | 2021-12-31 | 2022-04-12 | 北京微步在线科技有限公司 | 一种入侵事件的检测方法及装置 |
| CN115146271A (zh) * | 2022-09-02 | 2022-10-04 | 浙江工业大学 | 一种基于因果分析的apt溯源研判方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112287339B (zh) | 2024-06-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10409980B2 (en) | Real-time representation of security-relevant system state | |
| US9571510B1 (en) | Systems and methods for identifying security threat sources responsible for security events | |
| CN109586282B (zh) | 一种电网未知威胁检测系统及方法 | |
| CN112287339B (zh) | Apt入侵检测方法、装置以及计算机设备 | |
| EP3350741B1 (en) | Detecting software attacks on processes in computing devices | |
| CN111371757B (zh) | 恶意通信检测方法、装置、计算机设备和存储介质 | |
| CN113987492A (zh) | 一种告警事件的确定方法及装置 | |
| US10742668B2 (en) | Network attack pattern determination apparatus, determination method, and non-transitory computer readable storage medium thereof | |
| CN112287340B (zh) | 用于终端攻击的取证溯源方法、装置、计算机设备 | |
| Liu et al. | Context2Vector: Accelerating security event triage via context representation learning | |
| CN107920067B (zh) | 一种主动对象存储系统上的入侵检测方法 | |
| CN117061254B (zh) | 异常流量检测方法、装置和计算机设备 | |
| US11641371B2 (en) | Systems, methods and computer-readable media for monitoring a computer network for threats using OLAP cubes | |
| CN113645286B (zh) | 一种面向数据泄露的Web安全事件取证方法及系统 | |
| CN111198900B (zh) | 工业控制网络的数据缓存方法、装置、终端设备及介质 | |
| CN114398887A (zh) | 一种文本分类方法、装置及电子设备 | |
| Bhattarai et al. | Prov2vec: Learning Provenance Graph Representation for Unsupervised APT Detection | |
| CN112261006B (zh) | 一种用于发现威胁行为间依赖关系的挖掘方法、终端及存储介质 | |
| KR102471731B1 (ko) | 사용자를 위한 네트워크 보안 관리 방법 | |
| Qin et al. | LMHADC: Lightweight method for host based anomaly detection in cloud using mobile agents | |
| CN113918795B (zh) | 一种目标标签的确定方法、装置、电子设备及存储介质 | |
| CN116910315A (zh) | 一种基于原子操作和超图的系统内核日志压缩存储方法 | |
| Bhattarai et al. | Prov2vec: Learning Provenance Graph Representation for Anomaly Detection in Computer Systems | |
| CN116232612A (zh) | 异常流量的检测方法、装置和计算机可读存储介质 | |
| Zhan et al. | Construction of Network Data Security Detection System Based on Data Mining Algorithm |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20220905 Address after: Room 102, Block A, No. 91, Tiancheng Road, Jianggan District, Hangzhou City, Zhejiang Province, 310000 Applicant after: HANGZHOU QIDUN INFORMATION TECHNOLOGY Co.,Ltd. Applicant after: Guangzhou Qidun Information Technology Co.,Ltd. Address before: Room 102, Block A, No. 91, Tiancheng Road, Jianggan District, Hangzhou City, Zhejiang Province, 310004 Applicant before: HANGZHOU QIDUN INFORMATION TECHNOLOGY Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |