CN113364766A

CN113364766A - 一种apt攻击的检测方法及装置

Info

Publication number: CN113364766A
Application number: CN202110619025.XA
Authority: CN
Inventors: 孙杰; 苏建明; 张玲; 戴心齐
Original assignee: Industrial and Commercial Bank of China Ltd ICBC
Current assignee: Industrial and Commercial Bank of China Ltd ICBC
Priority date: 2021-06-03
Filing date: 2021-06-03
Publication date: 2021-09-07
Anticipated expiration: 2041-06-03
Also published as: CN113364766B

Abstract

本申请提供的一种APT攻击的检测方法及装置，可用于信息安全技术领域或其他领域，方法包括：通过根据所述所处分段以及各分段对应的预留时间长度，该知识图谱包括可观测实体与感兴趣实体的关联关系，可观测实体对应低阶情景，感兴趣实体对应高阶实体，进而将情景感知计算技术引入安全检测装置，使得检测装置可以感知基于Windows系统的POS设备的安全状况，针对未知APT攻击的异常事件进行实时分析，在发生大规模攻击事件之前，及时识别和检测，缩短防护的时间，在减少人工投入的同时，可大大提高安全防护体系的水平。

Description

一种APT攻击的检测方法及装置

技术领域

本申请涉及信息安全技术领域，具体涉及一种APT攻击的检测方法及装置。

背景技术

高级持续性威胁(Advanced Persistent Threat,APT)，是指通常由黑客精心策划，针对特定的攻击目标，在长时间内保持高隐蔽性，从而进行持久性的攻击。由于APT攻击往往具有明确的攻击意图，并且其攻击手段具备极高的隐蔽性和潜伏性，传统的网络检测手段通常无法有效对其进行检测。

而随着移动支付技术快速发展，Point-of-Sales(POS)设备是现代生活中不可或缺的一部分，POS设备作为金融支付系统的前端，可用于读取信用卡和借记卡中持卡人的身份信息，银行通过POS设备与银行个人账户信息管理系统进行通信，对持卡人账户信息进行处理，实现消费资金转账，从而完成刷卡消费。由于POS 设备的普遍应用以及涉及持卡人的身份和金钱等信息，黑客会大量、频繁、有针对性地发起尤其是APT的攻击，从而获取高价值的数据，因此未知APT攻击的自动识别和检测也变得尤为重要。

发明内容

针对现有技术中的问题，本申请提供一种APT攻击的检测方法及装置，通过配置APT实体的知识图谱，将情景感知计算技术引入安全检测装置，使得检测装置可以感知基于Windows系统的POS设备的安全状况，针对未知APT攻击的异常事件进行实时分析，在发生大规模攻击事件之前，及时识别和检测，缩短防护的时间，在减少人工投入的同时，可大大提高安全防护体系的水平。

为解决上述技术问题，本申请提供以下技术方案：

第一方面，一种APT攻击的检测方法，包括：

采集系统运行产生的系统数据；每种系统数据对应一可观测实体；

根据所述系统数据和预设的APT攻击检测知识图谱，得到感兴趣实体的状态信息，所述APT攻击检测知识图谱包括可观测实体与感兴趣实体的关联关系；

根据所述感兴趣实体的状态信息确定所述APT攻击的当前所处攻击状态，进而完成APT攻击检测。

在优选的实施例中，建立所述APT攻击检测知识图谱，包括：

获取至少一个情景数据模型；每个情景数据模型包括至少一个可观测实体的状态信息，以及每种可观测实体状态信息的组合与一感兴趣实体状态信息的对应关系；

根据所述至少一个情景数据模型建立所述APT攻击检测知识图谱。

在优选的实施例中，还包括：

基于情景推理、专家库、机器学习、语义分析、模糊逻辑中的至少一种设置所述至少一个情景数据模型。

在优选的实施例中，还包括：

确定当前APT攻击的类型；每种APT攻击对应一APT攻击检测知识图谱；

根据当前APT攻击的类型查找对应的APT攻击检测知识图谱；

所述根据所述系统数据和预设的APT攻击检测知识图谱，得到感兴趣实体的状态信息，包括：

将所述系统数据按照对应的可观测实体输入至对应的APT攻击检测知识图谱，得到感兴趣实体的状态信息。

在优选的实施例中，所述根据所述系统数据和预设的APT攻击检测知识图谱，得到感兴趣实体的状态信息，包括：

根据所述系统数据生成可观测实体的状态信息；

将所述可观测实体的状态信息与预设阈值进行比对，得到比对结果；

根据所述比对结果和预定义的比对结果与感兴趣实体的状态信息之间的关联规则，生成对应的感兴趣实体的状态信息。

在优选的实施例中，所述情景数据模型包括：武器构建情景、主机指标/安装植入情景、网络指标情景和漏洞情景。

在优选的实施例中，所述系统数据包括：

网络流量、防火墙日志、IDS日志以及操作系统名称数据。

本申请中，IDS是入侵检测系统(intrusion detection system，简称“IDS”)是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。

在优选的实施例中，所述可观测实体包括类、个体以及类与个体的关系。

在优选的实施例中，所述类包括：操作系统、窃取方法、武器构建、注册表项、文件/文件夹、主机指标/安装植入、注册表项、协议、网站域名、网络指标以及漏洞。

在优选的实施例中，所述个体包括：Windows、内存刮取、新的注册表项、应用程序数据存储文件夹、HTTP Post、域名名称以及应用程序漏洞。

在优选的实施例中，所述类与个体的关系包括：窃取方法与武器构建的关系、操作系统与Windows的关系、窃取方法与内存刮取的关系、文件/文件夹与主机指标/安装植入的关系、注册表项与新的注册表项的关系、文件/文件夹与应用程序数据存储文件夹的关系、网站域名与网络指标的关系、协议与HTTP Post的关系、网站域名与域名名称的关系以及漏洞与应用程序漏洞的关系。

在优选的实施例中，根据所述至少一个情景数据模型建立所述APT攻击检测知识图谱，包括：

根据每个情景数据模型，确定可观测实体状态、可观测实体的输入信息和实体与实体的关系；

根据所述可观测实体状态、可观测实体的输入信息和实体与实体的关系，结合所述系统数据推理出感兴趣实体以及所述感兴趣实体的状态；

根据所述可观测实体、可观测实体状态、可观测实体的输入信息和实体与实体的关系、感兴趣实体以及感兴趣实体状态，建立所述APT攻击检测知识图谱。

在优选的实施例中，所述情景数据模型为武器构建情景模型，所述可观测实体包括：网络流量、防火墙、IDS以及操作系统，所述感兴趣实体包括内存刮取、窃取方法以及武器构建；其中所述内存刮取的状态由所述网络流量、防火墙和IDS 状态推导得出，所述窃取方法的状态由所述内存刮取的状态推导得出，所述武器构建的状态由窃取方法和操作系统的状态推导。

在优选的实施例中，所述情景数据模型为主机指标/安装植入情景，所述可观测实体包括：新注册表项、应用程序数据存储文件夹，所述感兴趣实体包括：注册表项，以及主机指标/安装植入；其中所述注册表项的状态由新注册表项的状态推导得出，所述主机指标/安装植入由所述由注册表项和应用程序数据存储文件夹的状态推导得出。

在优选的实施例中，所述情景数据模型为网络指标情景，所述可观测实体包括：网址请求和网站域名，所述感兴趣实体包括：协议和网络指标；其中，所述协议的状态由所述网址请求的状态推导得出，所述网络指标的状态由网址请求和网站域名的状态推导得出。

在优选的实施例中，所述情景数据模型为漏洞情景，所述可观测实体包括：应用程序漏洞，所述感兴趣实体包括：漏洞；其中，所述应用程序漏洞的输入信息包括：漏洞ID和漏洞类型，所述漏洞的状态由应用程序漏洞状态推导得出。

第二方面，本发明提供一种APT攻击的检测装置，包括：

采集模块，采集系统运行产生的系统数据；每种系统数据对应一可观测实体；

感兴趣实体状态信息生成模块，根据所述系统数据和预设的APT攻击检测知识图谱，得到感兴趣实体的状态信息，所述APT攻击检测知识图谱包括可观测实体与感兴趣实体的关联关系；

攻击检测模块，根据所述感兴趣实体的状态信息确定所述APT攻击的当前所处攻击状态，进而完成APT攻击检测。

在优选的实施例中，还包括：

知识图谱建立模块，建立所述APT攻击检测知识图谱。

在优选的实施例中，知识图谱建立模块，包括：

情景数据模型获取单元，获取至少一个情景数据模型；每个情景数据模型包括至少一个可观测实体的状态信息，以及每种可观测实体状态信息的组合与一感兴趣实体状态信息的对应关系；

APT攻击检测知识图谱建立单元，根据所述至少一个情景数据模型建立所述 APT攻击检测知识图谱。

在优选的实施例中，还包括：

情景数据模型设置模块，基于情景推理、专家库、机器学习、语义分析、模糊逻辑中的至少一种设置所述至少一个情景数据模型。

在优选的实施例中，还包括：

APT攻击类型确定模块，确定当前APT攻击的类型；每种APT攻击对应一 APT攻击检测知识图谱；

知识图谱查找模块，根据当前APT攻击的类型查找对应的APT攻击检测知识图谱；

所述感兴趣实体状态信息生成模块，包括：

在优选的实施例中，所述感兴趣实体状态信息生成模块，包括：

可观测实体状态信息生成单元，根据所述系统数据生成可观测实体的状态信息；

比对单元，将所述可观测实体的状态信息与预设阈值进行比对，得到比对结果；

关联单元，根据所述比对结果和预定义的比对结果与感兴趣实体的状态信息之间的关联规则，生成对应的感兴趣实体的状态信息。

第三方面，本申请提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现所述的 APT攻击的检测方法。

第四方面，本申请提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现所述的APT攻击的检测方法。

由上述技术方案可知，本申请提供的一种APT攻击的检测方法及装置，通过配置APT实体的知识图谱，该知识图谱包括可观测实体与感兴趣实体的关联关系，可观测实体对应低阶情景，感兴趣实体对应高阶实体，进而将情景感知计算技术引入安全检测装置，使得检测装置可以感知基于Windows系统的POS设备的安全状况，针对未知APT攻击的异常事件进行实时分析，在发生大规模攻击事件之前，及时识别和检测，缩短防护的时间，在减少人工投入的同时，可大大提高安全防护体系的水平。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本申请实施例中的APT攻击的检测方法的流程示意图。

图2是本申请实施例中APT攻击的检测装置的模块结构示意图。

图3是本申请实施例中APT实体的知识图谱结构示意图。

图4是本申请实施例中APT实体的场景与实体的关系结构示意图。

图5是本申请实施例中情景推理的举例示意图之一。

图6是本申请实施例中情景推理的举例示意图之二。

图7是本申请实施例中的电子设备的结构示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

需要说明的是，本申请公开的APT攻击的检测方法及装置可用于信息安全技术领域，也可用于除信息安全技术领域之外的任意领域，本申请公开的APT攻击的检测方法及装置的应用领域不做限定。

考虑到APT攻击往往具有明确的攻击意图，并且其攻击手段具备极高的隐蔽性和潜伏性，传统的网络检测手段通常无法有效对其进行检测。

网络攻击一般遵循网络安全杀伤链七步模型，即侦探跟踪、武器构建、载荷投递、漏洞利用、程序植入、命令与控制和目标达成。基于Windows系统的POS 设备的APT入侵攻击具体流程如下：

侦探跟踪：黑客利用软件寻找分析并筛选攻击目标如探查POS设备的基础设施配置；

武器构建：黑客针对探查到的基础设施配置错误，制作相应攻击方法如内存刮取的恶意软件；

载荷投递：黑客将制作的恶意软件发送到POS设备；

漏洞利用：黑客利用基础设施配置错误入侵供应商的网络，获得供应商的网络帐号并访问目标网络，黑客在获得进入目标网络权限后，利用目标网络中可能存在的缺陷，进入到目标网络的主机服务器(POS系统服务器)；

程序植入：通过服务器再给每台POS终端安装一个恶意软件(比如BackOff)；

命令与控制：恶意软件利用内存刮取(Memory Scrapping)技术搜索比如POS 应用程序的内存，寻找比如ISO/IEC 7813磁道1和磁道2格式存储的磁条卡的数据；

目标达成：黑客提取数据然后通过HTTP偷偷地发送数据。

APT攻击流程的核心步骤是武器构建、漏洞利用和程序植入，并且在每一步发生的攻击都会留下可检测的痕迹。因为APT攻击的方式多种多样，因此本发明针对BackOff这类APT攻击特性，运用情景感知计算的基本原理，建立特定的情景数据模型如武器构建情景、主机指标/安装植入情景、网络指标情景、漏洞情景等，基于预定义的关联规则，及时识别和检测符合BackOff类APT攻击特性的未知APT 的攻击。

基于上述内容，本申请提供一种用于实现本申请一个或多个实施例中提供的 APT攻击的检测方法的APT攻击的检测装置，该APT攻击的检测装置可以与被检测的计算机设备之间通信连接，所述计算机设备可以设有多个，APT攻击的检测装置具体可以通过专用网络访问所述计算机设备。

其中，所述APT攻击的检测装置可以采集系统运行产生的系统数据；每种系统数据对应一可观测实体；根据所述系统数据和预设的APT攻击检测知识图谱，得到感兴趣实体的状态信息，所述APT攻击检测知识图谱包括可观测实体与感兴趣实体的关联关系；根据所述感兴趣实体的状态信息确定所述APT攻击的当前所处攻击状态，进而完成APT攻击检测。

可以理解的是，所述计算机设备可以包括智能手机、平板电子设备、便携式计算机、台式电脑、个人数字助理(PDA)等。

上述的计算机设备可以具有通信模块(即通信单元)，可以与远程的所述APT 攻击的检测装置进行通信连接，实现与所述APT攻击的检测装置的数据传输。例如，通信单元可以将系统运行产生的系统数据发送至所述APT攻击的检测装置。通信单元还可以接收所述APT攻击的检测装置返回的APT攻击检测结果。

上述所述APT攻击的检测装置与所述计算机设备之间可以使用任何合适的网络协议进行通信，包括在本申请提交日尚未开发出的网络协议。所述网络协议例如可以包括TCP/IP协议、UDP/IP协议、HTTP协议、HTTPS协议等。当然，所述网络协议例如还可以包括在上述协议之上使用的RPC协议(Remote Procedure Call Protocol，远程过程调用协议)、REST协议(Representational State Transfer，表述性状态转移协议)等。

本申请提供的APT攻击的检测方法、装置、电子设备和计算机可读存储介质，通过配置APT实体的知识图谱，该知识图谱包括可观测实体与感兴趣实体的关联关系，可观测实体对应低阶情景，感兴趣实体对应高阶实体，进而将情景感知计算技术引入安全检测装置，使得检测装置可以感知基于Windows系统的POS设备的安全状况，针对未知APT攻击的异常事件进行实时分析，在发生大规模攻击事件之前，及时识别和检测，缩短防护的时间，在减少人工投入的同时，可大大提高安全防护体系的水平。

具体通过下述多个实施例及应用实例分别进行说明。

为了解决由于APT攻击往往具有明确的攻击意图，并且其攻击手段具备极高的隐蔽性和潜伏性，传统的网络检测手段通常无法有效对其进行检测的问题，本申请提供一种APT攻击的检测方法的实施例，参见图1，所述APT攻击的检测方法具体包含有如下内容：

步骤S100：采集系统运行产生的系统数据；每种系统数据对应一可观测实体。

步骤S200：根据所述系统数据和预设的APT攻击检测知识图谱，得到感兴趣实体的状态信息，所述APT攻击检测知识图谱包括可观测实体与感兴趣实体的关联关系。

步骤S300：根据所述感兴趣实体的状态信息确定所述APT攻击的当前所处攻击状态，进而完成APT攻击检测。

从上述描述可知，本申请实施例提供的APT攻击的检测方法，通过配置APT 实体的知识图谱，该知识图谱包括可观测实体与感兴趣实体的关联关系，可观测实体对应低阶情景，感兴趣实体对应高阶实体，进而将情景感知计算技术引入安全检测装置，使得检测装置可以感知基于Windows系统的POS设备的安全状况，针对未知APT攻击的异常事件进行实时分析，在发生大规模攻击事件之前，及时识别和检测，缩短防护的时间，在减少人工投入的同时，可大大提高安全防护体系的水平。

在本发明中，知识图谱可以预先生成，也可以在线生成，本发明不做限制，在一个实施例中，本发明的步骤包括知识图谱的生成过程，即：

所述APT攻击的检测方法还包括：

建立所述APT攻击检测知识图谱。

为了进一步说明如何建立所述APT攻击检测知识图谱，在本申请提供的APT 攻击的检测方法的一个实施例中，提供一种建立所述APT攻击检测知识图谱的优选方式，包括：

在优选的实施例中，所述情景数据模型包括：武器构建情景、主机指标/安装植入情景、网络指标情景和漏洞情景，下面分别举例。

在优选的实施例中，一般而言，所述系统数据包括：

网络流量、防火墙日志、IDS日志以及操作系统名称数据。

本发明中，所述APT攻击检测知识图谱包括可观测实体与感兴趣实体的关联关系，更具体的，知识图谱的结构如图3所示，基于本体论的理念，可利用工具 Protégé来构建APT攻击检测知识图谱。

Protégé是一种采用Java开发语言，开源代码的、用于本体的编辑和知识管理的软件。Protégé提供了一个图形化用户界面来建模概念(或类)、实例和属性之间的关系。

在优选的实施例中，所述类包括：操作系统、窃取方法、武器构建、注册表项、文件/文件夹、主机指标/安装植入、注册表项、协议、C&C域名、网络指标以及漏洞。

在优选的实施例中，所述个体包括：Windows、内存刮取、新的注册表项、％APPDATA％文件夹、HTTP Post、域名名称以及应用程序漏洞。

在优选的实施例中，所述类与个体的关系包括：窃取方法与武器构建的关系、操作系统与Windows的关系、窃取方法与内存刮取的关系、文件/文件夹与主机指标/安装植入的关系、注册表项与新的注册表项的关系、文件/文件夹与％APPDATA％文件夹的关系、C&C域名与网络指标的关系、协议与HTTP Post 的关系、C&C域名与域名名称的关系以及漏洞与应用程序漏洞的关系。

该实施例中，首先构建领域内主要的类APT类，然后基于APT类，构建APT 及其攻击流程各个步骤的核心类的关联关系，BackOff类APT为例如图3所示：

通过APT攻击检测知识图谱，我们可以得到：

类：操作系统、窃取方法、武器构建、注册表项、文件/文件夹、主机指标/ 安装植入、注册表项、协议、C&C域名、网络指标、漏洞等；

个体：Windows、内存刮取、新的注册表项、％APPDATA％文件夹、HTTP Post、域名名称、应用程序漏洞等；

关系：窃取方法与武器构建的关系，操作系统与Windows的关系，窃取方法与内存刮取的关系，文件/文件夹与主机指标/安装植入的关系，注册表项与新的注册表项的关系，文件/文件夹与％APPDATA％文件夹的关系，C&C域名与网络指标的关系，协议与HTTP Post的关系，C&C域名与域名名称的关系，漏洞与应用程序漏洞的关系等。

通过上述知识图谱的建立，如图4所示，可以定义下述内容：

情景：有一组实体(可观测实体或感兴趣实体)、实体的状态(state)和实体的输入信息等三个元素组成。每个实体的状态都有一个阈值，可观测实体和感兴趣实体的状态由两类推理步骤获得：

1.其中可观测的实体的状态变化由该实体的输入信息(采集信息)与预设阈值比较得到，实体的输入信息为低阶情景；

2.感兴趣实体的状态通过预定义的关联规则，由多个可观测实体的状态关联得到，各个实体的状态信息都是高阶情景。

可以理解，基于上述知识图谱，本发明还包括：

在优选的实施例中，所述情景数据模型为主机指标/安装植入情景，所述可观测实体包括：新注册表项、应用程序数据存储文件夹(例如％APPDATA％文件夹)，所述感兴趣实体包括：注册表项，以及主机指标/安装植入；其中所述注册表项的状态由新注册表项的状态推导得出，所述主机指标/安装植入由所述由注册表项和％APPDATA％文件夹的状态推导得出。

在优选的实施例中，所述情景数据模型为网络指标情景，所述可观测实体包括：网址请求(例如HTTP Post请求)和网站域名(例如C&C域名)，所述感兴趣实体包括：协议和网络指标；其中，所述协议的状态由所述HTTP Post请求的状态推导得出，所述网络指标的状态由HTTP Post请求和C&C域名的状态推导得出。

上述实施例中，每个计算机设备的运行场景对应一个情景数据模型，举例而言，具体的情景数据场景可以为武器构建情景、主机指标/安装植入情景、网络指标情景、漏洞情景等，本发明仅仅提供部分举例，情景数据场景可以认为是计算机运行被攻击时对应的系统环境数据，由于APT攻击必然会导致计算机设备的状态数据发生变化，本发明根据变化反推出APT攻击的具体攻击场景。

下面对情景数据模型的构建进行详细说明。

(1)情景采集：根据构建APT本体，采集描述APT本体中各类实体的数据。

采集的数据：网络流量数据、防火墙日志数据、IDS日志数据、操作系统名称如Windows、新的注册表项数据、％APPDATA％文件夹创建数据、HTTP Post请求数据、恶意软件和C&C域名的通讯数据、漏洞ID、漏洞类型数据等。

(2)情景建模

我们可以建立特定的情景数据模型：武器构建情景、主机指标/安装植入情景、网络指标情景和漏洞情景。在这些模型中我们可以制定各个情景中实体的选取和状态、实体的输入信息和实体与实体的关系。

本体的实质是将数据与数据关联起来，使得这些数据具有语义。比如我们采集到网络流量、防火墙日志、IDS日志、操作系统名称如Windows等数据。网络流量数据由网络流量产生，防火墙日志数据由防火墙产生，IDS日志数据由IDS 产生、Windows是操作系统的一个实例，网络流量数据、防火墙日志数据、IDS 的日志数据可推导得出内存刮取，内存刮取是窃取方法的一个实例。窃取方法、操作系统和武器构建也有关联关系，所以我们可以得出比如网络流量数据和 Windows的关联关系，从而完成对采集的数据的建模；

武器构建情景

部署大量的Agent获取网络流量数据(多次通过HTTP传输大量数据)、防火墙和IDS日志数据(比如多次警告等)；

采集的数据：网络流量数据、防火墙日志数据、IDS日志数据、Windows等；

可观测实体：网络流量；状态：正常和不正常；输入信息：网络流量数据；

可观测实体：防火墙；状态：正常和不正常；输入信息：防火墙日志数据；

可观测实体：IDS；状态：正常和不正常；输入信息：IDS日志数据；

感兴趣实体：内存刮取；状态：是和否；输入信息：可由网络流量、防火墙和IDS状态推导得出；

感兴趣实体：窃取方法；状态：是XX窃取方法；输入信息：可由内存刮取状态推导得出；

部署User Agent获取操作系统名称

可观测实体：操作系统；状态：是XX操作系统；输入信息：Windows等数据；

感兴趣实体：武器构建；状态：可由窃取方法和操作系统的状态推导。

主机指标/安装植入情景

部署Agent获取新的注册表项、％APPDATA％文件夹创建等数据：

采集的数据：新的注册表项数据、％APPDATA％文件夹创建数据等；

可观测实体：新的注册表项；状态：有和无；输入信息：新的注册表项数据；

感兴趣实体：注册表项；状态：正常和不正常；输入信息：由新的注册表项的状态推导得出；

可观测实体：％APPDATA％文件夹；状态：有和无；输入信息：％APPDATA％文件夹创建数据感兴趣实体：文件/文件夹；状态：正常和不正常；输入信息：由％APPDATA％文件夹的状态推导得出；

感兴趣实体：主机指标/安装植入；状态：正常和不正常；输入信息：由注册表项和文件/文件夹状态推导得出；

网络指标情景

部署Agent获取HTTP Post请求数据、恶意软件和C&C域名的通讯数据等。

采集的数据：HTTP Post请求数据、恶意软件和C&C域名的通讯数据等

可观测实体：HTTP Post请求；状态：有和无；输入信息：HTTP Post请求数据

感兴趣实体：协议；状态：正常和不正常；输入信息：由HTTP Post请求的状态推导得出

可观测实体：C&C域名；状态：有和无；输入信息：恶意软件和C&C域名的通讯数据

感兴趣实体：网络指标；状态：正常和不正常；输入信息：由网址请求，例如HTTPPost请求和网站域名，例如C&C域名的状态推导得出。

漏洞情景

部署漏洞扫描软件获取漏洞ID、漏洞类型等数据

采集的数据：漏洞ID、漏洞类型等

可观测实体：应用程序漏洞；状态：有和无；输入信息：漏洞ID、漏洞类型等数据

感兴趣实体：漏洞；状态：有和无；输入信息：由应用程序漏洞状态推导得出

(3)情景推理

两类推理：

在每一个情景模型中，由采集的数据作为相应可观测实体的输入信息得出可观测实体的状态，再由多个或者一个可观测实体的状态推导出感兴趣实体的状态。如可观测实体：内存刮取的状态机和感兴趣实体：窃取方法的状态机如下两个图5 和图6所示：

通过部署在可观测实体的安全检测Agents(可观测实体：网络流量实体、防火墙实体和IDS实体)，获取网络流量数据、防火墙和IDS日志数据。如果网络流量数据出现异常如多次通过HTTP传输大量数据，或者防火墙和IDS日志数据出现异常比如多次警告等，通过预定义关联规则如图6所示，可检测到感兴趣实体：内存刮取，状态是“是”，即攻击者正在武器构建的步骤上利用内存刮取的窃取方法进行武器构建。如果所有的网络流量数据、防火墙和IDS日志数据都正常，则可推导出感兴趣实体：内存刮取，状态：否，即没有检测到攻击者用内存刮取的窃取方法进行武器构建。

根据APT本体，感兴趣实体：窃取方式的状态可由感兴趣实体：内存刮取的状态推导出来，因此我们预定义感兴趣实体：窃取方式的状态机如图6所示，感兴趣实体：内存刮取的状态是“是”，则感兴趣实体：窃取方式的状态是“是”，即存在内存刮取，则窃取方式则存在，反之亦然。

2、通过预设关联规则在APT攻击目标达成前来判断这类APT攻击的TTPs，进行有效的防护。关联规则如下：

武器构建.状态(窃取方法:内存刮取，攻击操作系统:Windows(所有版本))∩漏洞利用.状态(具有漏洞类型:应用程序漏洞)∩安装植入/主机失陷指标.状态(文件夹创建：％APPDAT％文件夹，注册表项创建:新的注册表项)∩C&C/网络失陷指标.状态(描述域名生成算法:域名-硬编码，利用协议:HTTP Post)∩Hash值.状态 (具有Hash:众多Hash值)->TTPs(目标:Windows/计算机和嵌入式/信用卡，类型:xxxAPT)。

也可通过机器学习、语义分析、模糊逻辑等技术不断丰富推理引擎，对一些未知类型的APT进行防护，丰富APT知识库。

当然，上述知识图谱仅针对一种APT攻击，为了适应大部分或者所有APT攻击的检测，本发明进一步提供一种多类型检测方法，其具体还包括：

根据当前APT攻击的类型查找对应的APT攻击检测知识图谱；

该实施例中，根据APT攻击类型对应查找知识图谱，进而可通过预存多种对应APT类型的知识图谱来进行多APT攻击检测。

更进一步的，在实际应用时，所述根据所述系统数据和预设的APT攻击检测知识图谱，得到感兴趣实体的状态信息，包括：

根据所述系统数据生成可观测实体的状态信息；

本发明将基于本体的自适应情景感知系统引入POS的安全检测装置，在构建 APT本体的基础上，针对APT攻击的特性，建立特定的情景数据模型如武器构建情景、主机指标/安装植入情景、网络指标情景、漏洞情景等，基于预设定的规则，通过部署在可观测实体比如内存刮取、文件/文件夹、Windows等的众多Agent获取比如网络流量数据、防火墙日志数据、IDS日志等数据，通过两类推理来推导可观测实体和感兴趣实体比如窃取方法、TTPs等的状态，最终识别未知APT。

此项技术的优势在于：

(1)首先可以实时感知POS设备的安全现状，对未知的APT攻击进行识别和检测，大大降低了人工的投入。

(2)在发生大规模攻击事件之前，及时进行预警，缩短了响应的时间，提高了防护效率。

从软件层面来说，为了解决由于APT攻击往往具有明确的攻击意图，并且其攻击手段具备极高的隐蔽性和潜伏性，传统的网络检测手段通常无法有效对其进行检测的问题，本申请提供一种用于执行所述APT攻击的检测方法中全部或部分内容的APT攻击的检测装置的实施例，参见图2，所述APT攻击的检测装置具体包含有如下内容：

采集模块10，采集系统运行产生的系统数据；每种系统数据对应一可观测实体；

感兴趣实体状态信息生成模块20，根据所述系统数据和预设的APT攻击检测知识图谱，得到感兴趣实体的状态信息，所述APT攻击检测知识图谱包括可观测实体与感兴趣实体的关联关系；

攻击检测模块30，根据所述感兴趣实体的状态信息确定所述APT攻击的当前所处攻击状态，进而完成APT攻击检测。

在优选的实施例中，还包括：

知识图谱建立模块，建立所述APT攻击检测知识图谱。

在优选的实施例中，知识图谱建立模块，包括：

在优选的实施例中，还包括：

所述感兴趣实体状态信息生成模块，包括：

由上述技术方案可知，本申请提供的一种APT攻击的检测装置，通过配置APT 实体的知识图谱，该知识图谱包括可观测实体与感兴趣实体的关联关系，可观测实体对应低阶情景，感兴趣实体对应高阶实体，进而将情景感知计算技术引入安全检测装置，使得检测装置可以感知基于Windows系统的POS设备的安全状况，针对未知APT攻击的异常事件进行实时分析，在发生大规模攻击事件之前，及时识别和检测，缩短防护的时间，在减少人工投入的同时，可大大提高安全防护体系的水平。

从硬件层面来说，为了解决由于APT攻击往往具有明确的攻击意图，并且其攻击手段具备极高的隐蔽性和潜伏性，传统的网络检测手段通常无法有效对其进行检测的问题，本申请提供一种用于实现所述APT攻击的检测方法中的全部或部分内容的电子设备的实施例，所述电子设备具体包含有如下内容：

图7为本申请实施例的电子设备9600的系统构成的示意框图。如图7所示，该电子设备9600可以包括中央处理器9100和存储器9140；存储器9140耦合到中央处理器9100。值得注意的是，该图7是示例性的；还可以使用其他类型的结构，来补充或代替该结构，以实现电信功能或其他功能。

在一实施例中，APT攻击的检测功能可以被集成到中央处理器中。其中，中央处理器可以被配置为进行如下控制：

从上述描述可知，本申请实施例提供的电子设备，通过配置APT实体的知识图谱，该知识图谱包括可观测实体与感兴趣实体的关联关系，可观测实体对应低阶情景，感兴趣实体对应高阶实体，进而将情景感知计算技术引入安全检测装置，使得检测装置可以感知基于Windows系统的POS设备的安全状况，针对未知APT 攻击的异常事件进行实时分析，在发生大规模攻击事件之前，及时识别和检测，缩短防护的时间，在减少人工投入的同时，可大大提高安全防护体系的水平。

在另一个实施方式中，APT攻击的检测装置可以与中央处理器9100分开配置，例如可以将APT攻击的检测装置配置为与中央处理器9100连接的芯片，通过中央处理器的控制来实现APT攻击的检测功能。

如图7所示，该电子设备9600还可以包括：通信模块9110、输入单元9120、音频处理器9130、显示器9160、电源9170。值得注意的是，电子设备9600也并不是必须要包括图7中所示的所有部件；此外，电子设备9600还可以包括图7中没有示出的部件，可以参考现有技术。

如图7所示，中央处理器9100有时也称为控制器或操作控件，可以包括微处理器或其他处理器装置和/或逻辑装置，该中央处理器9100接收输入并控制电子设备9600的各个部件的操作。

其中，存储器9140，例如可以是缓存器、闪存、硬驱、可移动介质、易失性存储器、非易失性存储器或其它合适装置中的一种或更多种。可储存上述与失败有关的信息，此外还可存储执行有关信息的程序。并且中央处理器9100可执行该存储器9140存储的该程序，以实现信息存储或处理等。

输入单元9120向中央处理器9100提供输入。该输入单元9120例如为按键或触摸输入装置。电源9170用于向电子设备9600提供电力。显示器9160用于进行图像和文字等显示对象的显示。该显示器例如可为LCD显示器，但并不限于此。

该存储器9140可以是固态存储器，例如，只读存储器(ROM)、随机存取存储器(RAM)、SIM卡等。还可以是这样的存储器，其即使在断电时也保存信息，可被选择性地擦除且设有更多数据，该存储器的示例有时被称为EPROM等。存储器9140还可以是某种其它类型的装置。存储器9140包括缓冲存储器9141(有时被称为缓冲器)。存储器9140可以包括应用/功能存储部9142，该应用/功能存储部9142用于存储应用程序和功能程序或用于通过中央处理器9100执行电子设备 9600的操作的流程。

存储器9140还可以包括数据存储部9143，该数据存储部9143用于存储数据，例如联系人、数字数据、图片、声音和/或任何其他由电子设备使用的数据。存储器9140的驱动程序存储部9144可以包括电子设备的用于通信功能和/或用于执行电子设备的其他功能(如消息传送应用、通讯录应用等)的各种驱动程序。

通信模块9110即为经由天线9111发送和接收信号的发送机/接收机9110。通信模块(发送机/接收机)9110耦合到中央处理器9100，以提供输入信号和接收输出信号，这可以和常规移动通信终端的情况相同。

基于不同的通信技术，在同一电子设备中，可以设置有多个通信模块9110，如蜂窝网络模块、蓝牙模块和/或无线局域网模块等。通信模块(发送机/接收机) 9110还经由音频处理器9130耦合到扬声器9131和麦克风9132，以经由扬声器9131 提供音频输出，并接收来自麦克风9132的音频输入，从而实现通常的电信功能。音频处理器9130可以包括任何合适的缓冲器、解码器、放大器等。另外，音频处理器9130还耦合到中央处理器9100，从而使得可以通过麦克风9132能够在本机上录音，且使得可以通过扬声器9131来播放本机上存储的声音。

本申请的实施例还提供能够实现上述实施例中的APT攻击的检测方法中全部步骤的一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，该计算机程序被处理器执行时实现上述实施例中的执行主体为所述APT攻击的检测装置或客户端的APT攻击的检测方法的全部步骤，例如，所述处理器执行所述计算机程序时实现下述步骤：

本领域内的技术人员应明白，本发明的实施例可提供为方法、装置、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(装置)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims

1.一种APT攻击的检测方法，其特征在于，包括：

2.根据权利要求1所述的APT攻击的检测方法，其特征在于，建立所述APT攻击检测知识图谱，包括：

3.根据权利要求1所述的APT攻击的检测方法，其特征在于，还包括：

根据当前APT攻击的类型查找对应的APT攻击检测知识图谱；

4.根据权利要求1所述的APT攻击的检测方法，其特征在于，所述根据所述系统数据和预设的APT攻击检测知识图谱，得到感兴趣实体的状态信息，包括：

根据所述系统数据生成可观测实体的状态信息；

5.根据权利要求2所述的APT攻击的检测方法，其特征在于，根据所述至少一个情景数据模型建立所述APT攻击检测知识图谱，包括：

6.根据权利要求2所述的APT攻击的检测方法，其特征在于，所述情景数据模型为武器构建情景模型，所述可观测实体包括：网络流量、防火墙、IDS以及操作系统，所述感兴趣实体包括内存刮取、窃取方法以及武器构建；其中所述内存刮取的状态由所述网络流量、防火墙和IDS状态推导得出，所述窃取方法的状态由所述内存刮取的状态推导得出，所述武器构建的状态由窃取方法和操作系统的状态推导。

7.根据权利要求2所述的APT攻击的检测方法，其特征在于，所述情景数据模型为主机指标/安装植入情景，所述可观测实体包括：新注册表项、应用程序数据存储文件夹，所述感兴趣实体包括：注册表项，以及主机指标/安装植入；其中所述注册表项的状态由新注册表项的状态推导得出，所述主机指标/安装植入由所述由注册表项和应用程序数据存储文件夹的状态推导得出。

8.根据权利要求2所述的APT攻击的检测方法，其特征在于，所述情景数据模型为网络指标情景，所述可观测实体包括：网址请求和网站域名，所述感兴趣实体包括：协议和网络指标；其中，所述协议的状态由所述网址请求的状态推导得出，所述网络指标的状态由网址请求和网站域名的状态推导得出。

9.根据权利要求2所述的APT攻击的检测方法，其特征在于，所述情景数据模型为漏洞情景，所述可观测实体包括：应用程序漏洞，所述感兴趣实体包括：漏洞；其中，所述应用程序漏洞的输入信息包括：漏洞ID和漏洞类型，所述漏洞的状态由应用程序漏洞状态推导得出。

10.根据权利要求2所述的APT攻击的检测方法，其特征在于，还包括：

11.一种APT攻击的检测装置，其特征在于，包括：

12.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现权利要求1至10任一项所述的APT攻击的检测方法。

13.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现权利要求1至10任一项所述的APT攻击的检测方法。