CN113868656B - 一种基于行为模式的apt事件同源判定方法 - Google Patents
一种基于行为模式的apt事件同源判定方法 Download PDFInfo
- Publication number
- CN113868656B CN113868656B CN202111164966.5A CN202111164966A CN113868656B CN 113868656 B CN113868656 B CN 113868656B CN 202111164966 A CN202111164966 A CN 202111164966A CN 113868656 B CN113868656 B CN 113868656B
- Authority
- CN
- China
- Prior art keywords
- apt
- event
- attack
- apt event
- graph
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/284—Relational databases
- G06F16/288—Entity relationship models
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/36—Creation of semantic tools, e.g. ontology or thesauri
- G06F16/367—Ontology
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Data Mining & Analysis (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Animal Behavior & Ethology (AREA)
- Computational Linguistics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种基于行为模式的APT事件同源判定方法,其步骤包括:构建基于行为模式的APT事件关联图;对APT事件关联图进行节点属性扩展;对APT事件关联图中的节点进行属性标注;对APT事件关联图中的节点进行属性标注,得到APT事件关联图节点的行为标签或线索标签;对APT事件关联图进行相似性判别;对APT事件关联图进行相似性判别,完成APT事件的同源判定;采用子图相似性度量函数,比较两个APT事件关联图结构数据的拓扑结构信息和节点属性信息,来确定两个APT事件关联图的同源性或相似性。本发明方法解决了现有APT事件同源分析中恶意样本分析结果片面、人工同源判定效率低的问题。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于行为模式的APT事件同源判定方法。
背景技术
近年来,随着网络空间主权博弈的日益加剧,以高级持续性威胁(AdvancedPersistent Threat,APT)为代表的网络攻击行为日益盛行,成为最严重的网络空间安全威胁之一,各国均将APT防御提升到国家安全角度。
APT事件同源分析是APT防御中溯源分析的重要分支,其主要内涵是根据不同的APT攻击事件的攻击手法、攻击工具、攻击载荷等判定多个攻击事件是否存在相似性,是否为同一组织或黑客发动的APT攻击。目前,针对APT攻击事件的同源性分析主要基于恶意样本动静态行为分析,根据代码结构特征、回传行为、编程语言风格等判断攻击来源,但是恶意样本作为攻击工具的一种,其分析结果较为片面,再加上攻击工具或攻击武器的公开化,单纯利用恶意样本分析很难追溯到真正的攻击者。APT事件同源分析的另一种常用方法是人工研判,即根据攻击事件的攻击路径、攻击手法、攻击载荷等构建攻击证据链模型,结合领域专家知识判定攻击事件是否具有相似性,该方法虽然同源判定的可信度较高,但是其实现效率较为低下,事件同源判断的可信度局限于专家知识。
发明内容
针对现有APT事件同源分析中恶意样本分析结果片面、人工同源判定效率低的问题,本发明公开了一种基于行为模式的APT事件同源判定方法。该方法结合杀伤链模型的攻击链阶段和ATT&CK模型中丰富的攻击技战术知识库归纳总结攻击行为模式,然后根据APT事理图谱建立基于行为模式的APT事件关联图,利用事件关联图的相似性判别解决APT事件的同源判定问题。
本发明公开了一种基于行为模式的APT事件同源判定方法,其步骤包括:
S1,构建基于行为模式的APT事件关联图;
从多渠道获得的非结构化数据中抽取APT事件线索信息,从杀伤链模型提取APT事件的攻击链数据,从ATT&CK模型中的攻击技战术知识中提取本次APT事件的技战术信息,将攻击线索和攻击技战术抽象为APT事件行为模式实体,APT攻击技术手段抽象为行为模式实体属性,以攻击线索和攻击技战术间的连接关系和通信关系为实体间关系,依据杀伤链模型的攻击链条步骤或ATT&CK模型中的攻击战术知识,利用实体抽取和关系识别方法,构建基于行为模式的APT事件关联图。多渠道包括公开网页、移动终端、公开的技术文章等。杀伤链模型包括攻击链条步骤;APT事件关联图包括APT事件关联图节点和连接边,APT事件行为模式实体为APT事件关联图节点,实体间关系为连接边;
S2,对APT事件关联图进行节点属性扩展;
利用APT事件关联图中事件的属性、行为和组织之间的关系,作为当前具体APT事件的有效知识补充,通过事件属性匹配、行为模式扩展、攻击线索拓线等手段,对APT事件关联图进行节点属性扩展;
所述的事件属性匹配,是根据APT事理图谱中APT事件节点的属性信息,作为APT事件行为模式实体节点的新增属性信息,从而增加APT事件关联图中对应节点的属性信息;APT事理图谱是包含APT事件基本属性、组织关系数据、APT事件行为特征、攻击行为关联关系在内的资源的合集,用于描述APT事件、属性、行为和组织之间的关系;
所述的行为模式扩展,是根据APT事理图谱中事件的属性和攻击行为之间的关系,对APT事件的攻击行为模式之间关系进行扩充;
所述的攻击线索拓线,是根据外部情报数据和APT事理图谱中事件的属性信息及攻击行为之间的关系,利用关联分析方法,对APT事件的攻击线索进行关联和拓展,得到包括IP地址、域名、账号、样本等在内的攻击线索和攻击线索之间的关联关系。
S3,对APT事件关联图中的节点进行属性标注;
对APT事件关联图中的节点进行属性标注,得到APT事件关联图节点的行为标签或线索标签,如APT事件使用的跳板IP、隐蔽通道、虚拟身份账号、攻击工具等。行为标签或线索标签;
S4,对APT事件关联图进行相似性判别;
对APT事件关联图进行相似性判别,完成APT事件的同源判定;采用子图相似性度量函数,比较两个APT事件关联图结构数据的拓扑结构信息和节点属性信息,来确定两个APT事件关联图的同源性或相似性。
所述的步骤S4,其具体包括,
步骤S41,所述的两个APT事件关联图,其数据分别为图数据G和图数据H,以事件关联图的行为模式实体为中心节点,对图数据G和H分别进行子图分解,分别分解为多个子图{g1,g2,...,gi,...,gn}和{h1,h2,...,hi,...,hn},n表示表示分解得到的子图的数量,gi表示图数据G中的第i个子图,hi表示图数据H中的第i个子图;
步骤S42,根据步骤S3得到节点的属性标注结果,利用子图相似性度量函数,对不同子图结构进行相似性度量,子图g和子图h的子图相似性度量函数的计算公式为:
其中δ(g,h)表示子图g和子图h的子图相似性度量函数,Lij表示子图中节点Vi到节点Vj的最短路径,最短路径上包含节点属性的标签,M(k)表示子图中路径长度小于k的最短标签路径的集合,是用于表示子图g中是否包含某一最短标签路径的变量,是用于表示子图h中是否包含某一最短标签路径的变量,该子图相似性度量函数δ(g,h)以两个子图h和g中含有相同的最短标签路径的数量,作为衡量两个图结构之间的相似性的标准。
步骤S43,计算两个图数据G和H之间的图核函数值,图核函数的表达式为:
本发明的有益效果为:
本发明方法充分比较了两个图结构数据的拓扑结构信息和节点属性信息,具有较好的分类效果,解决了现有APT事件同源分析中恶意样本分析结果片面、人工同源判定效率低的问题,为APT防御提升技术能力的提升提供了坚实基础。
附图说明
图1为本发明中的基于行为模式的APT事件关联图;
图2为本发明的实施流程示意图;
图3为本发明的攻击线索和行为模式示意图;
图4为本发明的APT事件同源性判别流程。
具体实施方式
为了更好的了解本发明内容,这里给出一个实施例。
图1为本发明中的基于行为模式的APT事件关联图;图2为本发明的实施流程示意图;图3为本发明的攻击线索和行为模式示意图;图4为本发明的APT事件同源性判别流程。
本发明公开了一种基于行为模式的APT事件同源判定方法,其步骤包括:
S1,构建基于行为模式的APT事件关联图;
从多渠道获得的非结构化数据中抽取APT事件线索信息,从杀伤链模型提取APT事件的攻击链数据,从ATT&CK模型中的攻击技战术知识中提取本次APT事件的技战术信息,将攻击线索和攻击技战术抽象为APT事件行为模式实体,APT攻击技术手段抽象为行为模式实体属性,以攻击线索和攻击技战术间的连接关系和通信关系为实体间关系,依据杀伤链模型的攻击链条步骤或ATT&CK模型中的攻击战术知识,利用实体抽取和关系识别方法,构建基于行为模式的APT事件关联图。多渠道包括公开网页、移动终端、公开的技术文章等。杀伤链模型包括攻击链条步骤;APT事件关联图包括APT事件关联图节点和连接边,APT事件行为模式实体为APT事件关联图节点,实体间关系为连接边;
S2,对APT事件关联图进行节点属性扩展;
利用APT事件关联图中事件的属性、行为和组织之间的关系,作为当前具体APT事件的有效知识补充,通过事件属性匹配、行为模式扩展、攻击线索拓线等手段,对APT事件关联图进行节点属性扩展;
所述的事件属性匹配,是根据APT事理图谱中APT事件节点的属性信息,作为APT事件行为模式实体节点的新增属性信息,从而增加APT事件关联图中对应节点的属性信息,作为APT攻击行为模式属性的有效扩充;APT事理图谱能够从公开渠道获得;APT事理图谱是包含APT事件基本属性、组织关系数据、APT事件行为特征、攻击行为关联关系在内的资源的合集,用于描述APT事件、属性、行为和组织之间的关系;
所述的行为模式扩展,是根据APT事理图谱中事件的属性和攻击行为之间的关系,对APT事件的攻击行为模式之间关系进行扩充;
所述的攻击线索拓线,是根据外部情报数据和APT事理图谱中事件的属性信息及攻击行为之间的关系,利用关联分析方法,对APT事件的攻击线索进行关联和拓展,得到包括IP地址、域名、账号、样本等在内的攻击线索和攻击线索之间的关联关系,进一步丰富APT关联图的实体和实体间关系。
S3,对APT事件关联图中的节点进行属性标注;
考虑到APT事件关联图中节点属性的差异性,避免在APT事件关联图相似性判别时将结构相似,属性不同的两个图认定为同一个图,需对APT事件关联图的节点属性进行标注。对APT事件关联图中的节点进行属性标注,得到APT事件关联图节点的行为标签或线索标签,如APT事件使用的跳板IP、隐蔽通道、虚拟身份账号、攻击工具等。
S4,对APT事件关联图进行相似性判别;
对APT事件关联图进行相似性判别,完成APT事件的同源判定;采用子图相似性度量函数,比较两个APT事件关联图结构数据的拓扑结构信息和节点属性信息,来确定两个APT事件关联图的同源性或相似性。
所述的步骤S4,其具体包括,
步骤S41,所述的两个APT事件关联图,其数据分别为图数据G和图数据H,以事件关联图的行为模式实体为中心节点,对图数据G和H分别进行子图分解,分别分解为多个子图{g1,g2,...,gi,...,gn}和{h1,h2,...,hi,...,hn},n表示表示分解得到的子图的数量,gi表示图数据G中的第i个子图,hi表示图数据H中的第i个子图;
步骤S42,根据步骤S3得到节点的属性标注结果,利用子图相似性度量函数,对不同子图结构进行相似性度量,子图g和子图h的子图相似性度量函数的计算公式为:
其中δ(g,h)表示子图g和子图h的子图相似性度量函数,Lij表示子图中节点Vi到节点Vj的最短路径,最短路径上包含节点属性的标签,M(k)表示子图中路径长度小于k的最短标签路径的集合,是用于表示子图g中是否包含某一最短标签路径的变量,是用于表示子图h中是否包含某一最短标签路径的变量,该子图相似性度量函数δ(g,h)以两个子图h和g中含有相同的最短标签路径的数量,作为衡量两个图结构之间的相似性的标准。
步骤S43,计算两个图数据G和H之间的图核函数值,图核函数的表达式为:
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (6)
1.一种基于行为模式的高级持续性威胁APT事件同源判定方法,其特征在于,其步骤包括:
S1,构建基于行为模式的APT事件关联图;
S2,对APT事件关联图进行节点属性扩展;
S3,对APT事件关联图中的节点进行属性标注;
对APT事件关联图中的节点进行属性标注,得到APT事件关联图节点的行为标签或线索标签;
S4,对APT事件关联图进行相似性判别;
对APT事件关联图进行相似性判别,完成APT事件的同源判定;采用子图相似性度量函数,比较两个APT事件关联图结构数据的拓扑结构信息和节点属性信息,来确定两个APT事件关联图的同源性或相似性;
所述的步骤S1,其具体包括,从多渠道获得的非结构化数据中抽取APT事件线索信息,从杀伤链模型提取APT事件的攻击链数据,从ATT&CK模型中的攻击技战术知识中提取本次APT事件的技战术信息,将攻击线索和攻击技战术抽象为APT事件行为模式实体,APT攻击技战术手段抽象为行为模式实体属性,以攻击线索和攻击技战术间的连接关系和通信关系为实体间关系,依据杀伤链模型的攻击链条步骤或ATT&CK模型中的攻击技战术知识,利用实体抽取和关系识别方法,构建基于行为模式的APT事件关联图;
所述的步骤S4,其具体包括,
步骤S41,所述的两个APT事件关联图,其数据分别为图数据G和图数据H,以事件关联图的行为模式实体为中心节点,对图数据G和H分别进行子图分解,分别分解为多个子图{g1,g2,...,gi,...,gn}和{h1,h2,...,hi,...,hn},n表示分解得到的子图的数量,gi表示图数据G中的第i个子图,hi表示图数据H中的第i个子图;
步骤S42,根据步骤S3得到节点的属性标注结果,利用子图相似性度量函数,对不同子图结构进行相似性度量,子图g和子图h的子图相似性度量函数的计算公式为:
其中δ(g,h)表示子图g和子图h的子图相似性度量函数,Lij表示子图中节点Vi到节点Vj的最短路径,最短路径上包含节点属性的标签,M(k)表示子图中路径长度小于k的最短标签路径的集合, 是用于表示子图g中是否包含某一最短标签路径的变量,是用于表示子图h中是否包含某一最短标签路径的变量,该子图相似性度量函数δ(g,h)以两个子图h和g中含有相同的最短标签路径的数量,作为衡量两个图结构之间的相似性的标准;
步骤S43,计算两个图数据G和H之间的图核函数值,图核函数的表达式为:
2.如权利要求1所述的基于行为模式的APT事件同源判定方法,其特征在于,所述的多渠道包括公开网页、移动终端、公开的技术文章。
3.如权利要求1所述的基于行为模式的APT事件同源判定方法,其特征在于,所述的杀伤链模型包括攻击链条步骤。
4.如权利要求1所述的基于行为模式的APT事件同源判定方法,其特征在于,所述的APT事件关联图包括APT事件关联图节点和连接边,APT事件行为模式实体为APT事件关联图节点,实体间关系为连接边。
5.如权利要求1所述的基于行为模式的APT事件同源判定方法,其特征在于,
所述的步骤S2,其具体包括,利用APT事件关联图中事件的属性、行为和组织之间的关系,作为当前具体APT事件的有效知识补充,通过事件属性匹配、行为模式扩展、攻击线索拓线手段,对APT事件关联图进行节点属性扩展;
所述的事件属性匹配,是根据APT事理图谱中APT事件节点的属性信息,作为APT事件行为模式实体节点的新增属性信息,从而增加APT事件关联图中对应节点的属性信息;
所述的行为模式扩展,是根据APT事理图谱中事件的属性和攻击行为之间的关系,对APT事件的攻击行为模式之间关系进行扩充;
所述的攻击线索拓线,是根据外部情报数据和APT事理图谱中事件的属性信息及攻击行为之间的关系,利用关联分析方法,对APT事件的攻击线索进行关联和拓展,得到包括IP地址、域名、账号、样本在内的攻击线索和攻击线索之间的关联关系。
6.如权利要求5所述的基于行为模式的APT事件同源判定方法,其特征在于,
APT事理图谱是包含APT事件基本属性、组织关系数据、APT事件行为特征、攻击行为关联关系在内的资源的合集,用于描述APT事件、属性、行为和组织之间的关系。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111164966.5A CN113868656B (zh) | 2021-09-30 | 2021-09-30 | 一种基于行为模式的apt事件同源判定方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111164966.5A CN113868656B (zh) | 2021-09-30 | 2021-09-30 | 一种基于行为模式的apt事件同源判定方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113868656A CN113868656A (zh) | 2021-12-31 |
CN113868656B true CN113868656B (zh) | 2022-05-13 |
Family
ID=79001565
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111164966.5A Active CN113868656B (zh) | 2021-09-30 | 2021-09-30 | 一种基于行为模式的apt事件同源判定方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113868656B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114154019B (zh) * | 2022-02-10 | 2022-04-12 | 奇安信科技集团股份有限公司 | 一种拓线分析方法、装置、电子设备及存储介质 |
CN115001868B (zh) * | 2022-08-01 | 2022-10-11 | 北京微步在线科技有限公司 | Apt攻击同源分析方法、装置、电子设备及存储介质 |
CN115801400A (zh) * | 2022-11-14 | 2023-03-14 | 北京天融信网络安全技术有限公司 | 一种自动渗透方法及装置 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105721416A (zh) * | 2015-11-16 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 一种apt事件攻击组织同源性分析方法及装置 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10425429B2 (en) * | 2013-04-10 | 2019-09-24 | Gabriel Bassett | System and method for cyber security analysis and human behavior prediction |
CN108259449B (zh) * | 2017-03-27 | 2020-03-06 | 新华三技术有限公司 | 一种防御apt攻击的方法和系统 |
-
2021
- 2021-09-30 CN CN202111164966.5A patent/CN113868656B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105721416A (zh) * | 2015-11-16 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 一种apt事件攻击组织同源性分析方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN113868656A (zh) | 2021-12-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113868656B (zh) | 一种基于行为模式的apt事件同源判定方法 | |
CN111030986B (zh) | 一种攻击组织溯源分析的方法、装置及存储介质 | |
CN103559235B (zh) | 一种在线社交网络恶意网页检测识别方法 | |
CN110691080B (zh) | 自动溯源方法、装置、设备及介质 | |
CN107566390B (zh) | 一种基于威胁情报的工业控制系统网络安全性分析系统及方法 | |
CN112115183B (zh) | 一种基于图的蜜罐系统威胁情报分析方法 | |
CN114205128B (zh) | 网络攻击分析方法、装置、电子设备及存储介质 | |
CN106126383A (zh) | 一种日志处理方法和装置 | |
CN113496033A (zh) | 访问行为识别方法和装置及存储介质 | |
CN108073808B (zh) | 基于pdb调试信息生成攻击者画像的方法及系统 | |
Bonato et al. | Models of online social networks | |
CN110493235A (zh) | 一种基于网络流量特征的移动终端恶意软件同步检测方法 | |
CN105045715A (zh) | 基于编程模式和模式匹配的漏洞聚类方法 | |
CN113923003A (zh) | 一种攻击者画像生成方法、系统、设备以及介质 | |
CN116915450A (zh) | 基于多步网络攻击识别和场景重构的拓扑剪枝优化方法 | |
CN109783696B (zh) | 一种面向弱结构相关性的多模式图索引构建方法及系统 | |
CN109067778B (zh) | 一种基于蜜网数据的工控扫描器指纹识别方法 | |
CN114297632A (zh) | 主机失陷检测方法、装置、电子设备及存储介质 | |
CN103166942B (zh) | 一种恶意代码的网络协议解析方法 | |
CN103440454A (zh) | 一种基于搜索引擎关键词的主动式蜜罐检测方法 | |
CN116938587A (zh) | 基于溯源图行为语义提取的威胁检测方法及系统 | |
CN112968870A (zh) | 一种基于频繁项集的网络团伙发现方法 | |
Simon et al. | Analysis of grasshopper, a novel social network de-anonymization algorithm | |
CN116319065A (zh) | 一种应用于商业运维的威胁态势分析方法和系统 | |
CN114579765B (zh) | 一种基于开源情报分析的网络靶场武器库构建方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |