CN115001868B - Apt攻击同源分析方法、装置、电子设备及存储介质 - Google Patents
Apt攻击同源分析方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115001868B CN115001868B CN202210915413.7A CN202210915413A CN115001868B CN 115001868 B CN115001868 B CN 115001868B CN 202210915413 A CN202210915413 A CN 202210915413A CN 115001868 B CN115001868 B CN 115001868B
- Authority
- CN
- China
- Prior art keywords
- domain name
- registration
- sample
- apt
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/30—Managing network names, e.g. use of aliases or nicknames
- H04L61/3015—Name registration, generation or assignment
- H04L61/302—Administrative registration, e.g. for domain names at internet corporation for assigned names and numbers [ICANN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种APT攻击同源分析方法、装置、电子设备及存储介质,其中,APT攻击同源分析方法包括:基于样本域名计算APT组织的注册习惯倾向度;基于域名和APT组织的注册习惯倾向度生成注册习惯同源知识库;基于样本IP和/或域名生成JARM同源指纹库,JARM同源指纹库至少包括样本IP与APT组织之间的对应关系;基于注册习惯同源知识库匹配可疑域名的注册习惯倾向度,和基于JARM同源指纹库匹配可疑IP的JARM;基于可疑IP的JARM和可疑域名的注册习惯倾向度确定可疑域名的同源分析结果。本申请能够在不利用域名的Whois信息中的注册邮箱和电话等与身份强相关的信息的前提下,对APT攻击进行同源分析。此外,本申请既能够对域名进行同源分析,也能够对IP进行同源分析。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种APT攻击同源分析方法、装置、电子设备及存储介质。
背景技术
目前,针对APT攻击的分析,通常需要对APT攻击所属的APT组织进行分析,以基于APT组织的一些数据更好地防御具有针对性强、连续性强的APT攻击,即通过对APT攻击的同源分析,能够更好地防御APT攻击。
进一步地,目前,针对APT攻击的同源分析,通常采用的方式是:人工对恶意代码进行分析,进而专业分析人员的经验对样本的同源关系进行分析,然后基于样本同源进一步对网络攻击的同源性进行分析,其中,专业分析人员的经验对样本的同源关系进行分析的具体方式为,利用Domain的Whois信息中的注册邮箱和电话等与身份强相关的信息进行网络攻击同源分析。
然而,在一些情况下,由于GDPR以及注册者主动进行隐私保护等原因,因此,在该情况下,无法获取Whois信息中的注册邮箱和电话等与身份强相关的信息,从而无法利用Domain的Whois信息中的注册邮箱和电话等与身份强相关的信息进行网络攻击同源分析。
发明内容
本申请实施例的目的在于提供一种APT攻击同源分析方法、装置、电子设备及存储介质,用以在不利用Domain的Whois信息中的注册邮箱和电话等与身份强相关的信息的前提下,对APT攻击进行同源分析。此外,本申请既能够对域名进行同源分析,也能够对IP进行同源分析。
为此,本申请第一方面公开一种APT攻击同源分析方法,所述方法包括:
获取网络资产情报,所述网络资产情报包括样本域名和样本IP;
基于所述样本域名计算APT组织的注册习惯倾向度,其中,所述APT组织的注册习惯倾向度表征所述样本域名为所述APT组织注册的可能性;
基于所述域名和所述APT组织的注册习惯倾向度生成注册习惯同源知识库;
当所述APT组织的注册习惯倾向度无法生成时,基于所述样本IP和/或所述域名生成JARM同源指纹库,所述JARM同源指纹库至少包括所述样本IP与APT组织之间的对应关系;
基于所述注册习惯同源知识库匹配可疑域名的注册习惯倾向度,和基于所述JARM同源指纹库匹配可疑IP的JARM;
基于所述可疑IP的JARM和所述可疑域名的注册习惯倾向度确定所述可疑域名的同源分析结果。
本申请第一方面的方法能够无需通过获取Whois信息中的注册邮箱、注册电话等与注册这身份强相关的信息识别该域名所属的APT组织,而是通过APT组织的注册习惯倾向度可以判断域名所属的APT组织,其中,随着样本的增多,APT组织的注册习惯倾向度确定域名所属APT组织准确度越高,因此,本申请实施例能够解决由于GDPR以及注册者主动进行隐私保护等原因所导致的无法通过域名的Whois信息中的注册邮箱、注册电话等与注册这身份强相关的信息识别域名的APT组织这一技术问题。与此同时,本申请实施例能够通过样本IP形成JARM同源指纹库,进而能够基于JARM同源指纹库保存的JARM与APT组织之间的对应关系,识别可疑IP所属的组织,即进行IP同源分析,这样一来,本申请实施例不仅能够进行域名同源分析,也能够进行IP同源分析。
在本申请第一方面中,作为一种可选的实施方式,在所述基于所述可疑IP的JARM和所述可疑域名的注册习惯倾向度确定所述可疑域名的同源分析结果,所述方法还包括:
基于预设展示规则展示所述可疑域名的同源分析结果。
本可选的实施方式通过预设展示规则可展示所述可疑域名的同源分析结果。
在本申请第一方面中,作为一种可选的实施方式,所述基于所述样本域名计算APT组织的注册习惯倾向度,包括:
获取所述样本域名的Whois信息;
基于所述样本域名的Whois信息提取特征信息;
基于同一特征信息的域名总数量和所述APT组织的所有域名总数量,计算得到所述特征信息的注册习惯指数;
基于同一特征信息的域名总数量和所有所述APT组织的拥有的同一特征信息总数量,计算得到所述特征信息的近似概率;
将所述特征信息的近似概率与所述特征信息的注册习惯指数相乘,得到所述APT组织的注册习惯倾向度。
本可选的实施方式,通过获取所述样本域名的Whois信息,进而能够基于所述样本域名的Whois信息提取特征信息,进而能够基于同一特征信息的域名总数量和所述APT组织的所有域名总数量,计算得到所述特征信息的注册习惯指数,进而能够基于同一特征信息的域名总数量和所有所述APT组织的拥有的同一特征信息总数量,计算得到所述特征信息的近似概率,从而能够将所述特征信息的近似概率与所述特征信息的注册习惯指数相乘,得到所述APT组织的注册习惯倾向度。
在本申请第一方面中,作为一种可选的实施方式,所述特征信息包括WhoisServer信息和所述Name Server信息。
在本申请第一方面中,作为一种可选的实施方式,所述获取所述样本域名的Whois信息,包括:
获取所述样本域名的初始Whois信息段;
当所述样本域名的初始Whois信息段为多人多次注册所产生时,基于所述样本域名的攻击时间从所述样本域名的初始Whois信息段中,筛选出与所述样本域名的攻击时间相匹配的注册段,并得到所述样本域名的Whois信息。
本可选的实施方式,通过所述样本域名的攻击时间,能够从所述样本域名的初始Whois信息段中,筛选出与所述样本域名的攻击时间相匹配的注册段,并得到所述样本域名的Whois信息,从而提高同源分析的准确性。
在本申请第一方面中,作为一种可选的实施方式,在所述获取所述样本域名的Whois信息之前,所述方法还包括:
对所述样本域名进行分类,以将所述样本域名划分为一般域名、免费域名、区块链域名、动态域名中的一种类型的域名;
当所述样本域名为所述一般域名时,执行所述获取所述样本域名的Whois信息;
当所述样本域名为所述免费域名、所述区块链域名、所述动态域名中一种时,则确定所述APT组织的注册习惯倾向度无法生成,并执行基于所述样本IP生成所述JARM同源指纹库。
本可选的实施方式能够在域名不是一般域名时,生成JARM同源指纹库,从而针对一些无法生成APT组织的注册习惯倾向度的域名进行IP同源分析。
在本申请第一方面中,作为一种可选的实施方式,所述方法还包括:
将所述样本域名所属攻击事件的公开披露时所提及的攻击时间作为所述样本域名的攻击时间;
当所述样本域名所属攻击事件的公开披露时没有提及攻击时间时,将所述样本域名所属攻击事件的首次发现时间或所述样本域名所属攻击事件的样本编译时间,作为所述样本域名的攻击时间;
当所述样本域名所属攻击事件的公开披露时没有提及攻击时间,且所述样本域名所属攻击事件的首次发现时间或所述样本域名所属攻击事件的样本编译时间无法确定时,将距离所述样本域名所属攻击事件最近的时间段作为所述样本域名的攻击时间。
本申请第二方面公开一种APT攻击同源分析装置,所述装置包括:
获取模块,用于获取网络资产情报,所述网络资产情报包括样本域名和样本IP;
计算模块,用于基于所述样本域名计算APT组织的注册习惯倾向度,其中,所述APT组织的注册习惯倾向度表征所述样本域名为所述APT组织注册的可能性;
第一生成模块,用于基于所述域名和所述APT组织的注册习惯倾向度生成注册习惯同源知识库;
第二生成模块,用当所述APT组织的注册习惯倾向度无法生成时,基于所述样本IP和/或所述域名生成JARM同源指纹库,所述JARM同源指纹库至少包括所述样本IP与APT组织之间的对应关系;
匹配模块,用于基于所述注册习惯同源知识库匹配可疑域名的注册习惯倾向度,和基于所述JARM同源指纹库匹配可疑IP的JARM;
确定模块,用于基于所述可疑IP的JARM和所述可疑域名的注册习惯倾向度确定所述可疑域名的同源分析结果。
本申请第二方面的装置能够无需通过获取Whois信息中的注册邮箱、注册电话等与注册这身份强相关的信息识别该域名所属的APT组织,而是通过APT组织的注册习惯倾向度可以判断域名所属的APT组织,其中,随着样本的增多,APT组织的注册习惯倾向度确定域名所属APT组织准确度越高,因此,本申请实施例能够解决由于GDPR以及注册者主动进行隐私保护等原因所导致的无法通过域名的Whois信息中的注册邮箱、注册电话等与注册这身份强相关的信息识别域名的APT组织这一技术问题。与此同时,本申请实施例能够通过样本IP形成JARM同源指纹库,进而能够基于JARM同源指纹库保存的JARM与APT组织之间的对应关系,识别可疑IP所属的组织,即进行IP同源分析,这样一来,本申请实施例不仅能够进行域名同源分析,也能够进行IP同源分析。
本申请第三方面公开一种电子设备,所述电子设备包括:
处理器;以及
存储器,配置用于存储机器可读指令,所述指令在由所述处理器执行时,执行本申请第一方面的APT攻击同源分析方法。
本申请第三方面的电子设备通过执行本申请第一方面的方法,能够无需通过获取Whois信息中的注册邮箱、注册电话等与注册这身份强相关的信息识别该域名所属的APT组织,而是通过APT组织的注册习惯倾向度可以判断域名所属的APT组织,其中,随着样本的增多,APT组织的注册习惯倾向度确定域名所属APT组织准确度越高,因此,本申请实施例能够解决由于GDPR以及注册者主动进行隐私保护等原因所导致的无法通过域名的Whois信息中的注册邮箱、注册电话等与注册这身份强相关的信息识别域名的APT组织这一技术问题。与此同时,本申请实施例能够通过样本IP形成JARM同源指纹库,进而能够基于JARM同源指纹库保存的JARM与APT组织之间的对应关系,识别可疑IP所属的组织,即进行IP同源分析,这样一来,本申请实施例不仅能够进行域名同源分析,也能够进行IP同源分析。
本申请第四方面公开一种存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行本申请第一方面的APT攻击同源分析方法。
本申请第四方面的存储介质通过执行本申请第一方面的方法,能够无需通过获取Whois信息中的注册邮箱、注册电话等与注册这身份强相关的信息识别该域名所属的APT组织,而是通过APT组织的注册习惯倾向度可以判断域名所属的APT组织,其中,随着样本的增多,APT组织的注册习惯倾向度确定域名所属APT组织准确度越高,因此,本申请实施例能够解决由于GDPR以及注册者主动进行隐私保护等原因所导致的无法通过域名的Whois信息中的注册邮箱、注册电话等与注册这身份强相关的信息识别域名的APT组织这一技术问题。与此同时,本申请实施例能够通过样本IP形成JARM同源指纹库,进而能够基于JARM同源指纹库保存的JARM与APT组织之间的对应关系,识别可疑IP所属的组织,即进行IP同源分析,这样一来,本申请实施例不仅能够进行域名同源分析,也能够进行IP同源分析。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1是本申请实施例公开的一种APT攻击同源分析方法的流程示意图;
图2是本申请实施例公开的一种APT攻击同源分析装置的结构示意图;
图3是本申请实施例公开的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
实施例一
请参阅图1,图1是本申请实施例公开的一种APT攻击同源分析方法的流程示意图,如图1所示,本申请实施例的APT攻击同源分析方法包括以下步骤:
101、获取网络资产情报,网络资产情报包括样本域名和样本IP;
102、基于样本域名计算APT组织的注册习惯倾向度,其中,APT组织的注册习惯倾向度表征样本域名为APT组织注册的可能性;
103、基于域名和APT组织的注册习惯倾向度生成注册习惯同源知识库;
104、当APT组织的注册习惯倾向度无法生成时,基于样本IP和/或域名生成JARM同源指纹库,JARM同源指纹库至少包括样本IP与APT组织之间的对应关系;
105、基于注册习惯同源知识库匹配可疑域名的注册习惯倾向度,和基于JARM同源指纹库匹配可疑IP的JARM;
106、基于可疑IP的JARM和可疑域名的注册习惯倾向度确定可疑域名的同源分析结果。
本申请实施例在获取到域名后,不基于域名提取域名的注册邮箱、注册电话等与注册这身份强相关的信息识别该域名所属APT组织,而是基于域名计算得到APT组织的注册习惯倾向度,其中,APT组织的注册习惯倾向度表示某个域名可能是某个APT组织注册,例如,如果通过多样本计算,得到某个APT组织针对域名的注册习惯倾向度为50%,则表示该域名有50%的可能是该APT组织注册。
这样一来,本申请实施例就无需通过获取Whois信息中的注册邮箱、注册电话等与注册这身份强相关的信息识别该域名所属的APT组织,而是通过APT组织的注册习惯倾向度可以判断域名所属的APT组织,其中,随着样本的增多,APT组织的注册习惯倾向度确定域名所属APT组织准确度越高,因此,本申请实施例能够解决由于GDPR以及注册者主动进行隐私保护等原因所导致的无法通过域名的Whois信息中的注册邮箱、注册电话等与注册这身份强相关的信息识别域名的APT组织这一技术问题。
相比而言,现有技术中依赖域名的Whois信息来识别该域名所属的APT组织,具体地,是通过Whois信息中的注册邮箱、注册电话等与注册这身份强相关的信息识别该域名所属的APT组织,然而由于GDPR以及注册者主动进行隐私保护等原因,获取到域名的Whois信息,无法从Whois信息获取注册邮箱、注册电话等与注册这身份强相关的信息,从而无法通过Whois信息中的注册邮箱、注册电话等与注册这身份强相关的信息识别该域名所属的APT组织。
与此同时,现有技术仅能够基于域名的Whois信息判断域名所属的APT组织,无法判断一个IP所属的APT组织,即仅能对域名进行同源分析,而无法进行IP同源进行分析,相比而言,本申请实施例就能够通过样本IP形成JARM同源指纹库,进而能够基于JARM同源指纹库保存的JARM与APT组织之间的对应关系,识别可疑IP所属的组织,即进行IP同源分析,这样一来,本申请实施例不仅能够进行域名同源分析,也能够进行IP同源分析。
需要说明的是,GDPR(General Data Protection Regulation)指的是通用数据保护条例。此外,JARM指的是主动式TLS服务器指纹,其中,JARM通过主动向TLS服务器发送10个专门设计的TLS Client Hello包,以获取服务器端对应的特殊TLS Server Hello,用以生成TLS Server指纹,这一过程的核心原理是TLS Server Hello受TLS Client Hello影响,TLS Server Hello则受应用程序或服务器构建的影响,具体包含操作系统、操作系统版本、适用的库、库的版本、调用库的顺序、自定义配置等的影响。JARM可用来体现攻击者在服务器资产配置方面的偏好和习惯,用作服务器配置习惯指纹。
在本申请实施例中,APT(Advanced Persistent Threat)是指高级持续性威胁。
在本申请实施例中,针对步骤101,获取的网络资产情报均是已知,即能够从公开渠道获取该网络资产情报。
在本申请实施例中,针对步骤101,当获取到网络资产情报时,通过对网络资产情报进行域名扫描和IP扫描,可得到样本域名和样本IP。
在本申请实施例中,针对步骤101,网络资产情报是指APT组织或APT攻击事件使用网络资产时生成,例如,APT组织所使用的路由器IP、或路由器域名,其中,网络资产包括但不限于路由器、交换机等。
在本申请实施例中,针对步骤101,网络资产情报可以是已知APT组织的使用网络资产的情报,也可以是未关联具体APT组织的APT攻击事件使用网络资的情报。
在本申请实施例中,针对步骤101、通过网络资产情报可以获取多个样本域名和多个样本IP,例如,得到100个样本域名,150个样本IP。
在本申请实施例中,针对步骤102,APT是Advanced Persistent Threat的缩写,即高级持续性威胁。相应地,APT组织,即发起APT攻击的黑客组织,APT组织背后是有组织的人,有组织的人可能具备一定攻击习惯,如网络资产的注册习惯。
在本申请实施例中,针对步骤103,注册习惯同源知识库中保存了域名与APT组织的注册习惯倾向度对应关系,例如,域名A与APT组织S1关联,且APT组织S1的注册习惯倾向度为50%;域名A还与APT组织S2关联,且APT组织S2的注册习惯倾向度为20%。
在本申请实施例中,作为一种可选的实施方式,在步骤106:基于可疑IP的JARM和可疑域名的注册习惯倾向度确定可疑域名的同源分析结果,本申请实施例的方法还包括以下步骤:
基于预设展示规则展示可疑域名的同源分析结果。
在本可选的实施方式中,进一步可选地,基于预设展示规则展示可疑域名的同源分析结果的一种具体方式为:
将可疑域名的IP同源分析结果与可疑域名的域名同源分析结果分开展示,例如,使用两个窗口分别展示可疑域名的IP同源分析结果和可疑域名的域名同源分析结果。
在本可选的实施方式中,进一步可选地,展示可疑域名的域名同源分析结果时,基于注册习惯倾向度降序方式展示多个APT组织,例如,当可疑域名的域名同源分析结果显示可疑域名与APT组织S1、APT组织S2、APT组织S3相关,且APT组织S1、APT组织S2、APT组织S3的注册习惯倾向度分别为60%、70%、30%,则APT组织S1、APT组织S2、APT组织S3的展示顺序为:APT组织S2、APT组织S1、APT组织S3。
在本申请实施例中,作为一种可选的实施方式,步骤102:基于样本域名计算APT组织的注册习惯倾向度,包括以下子步骤:
获取样本域名的Whois信息;
基于样本域名的Whois信息提取特征信息;
基于同一特征信息的域名总数量和APT组织的所有域名总数量,计算得到特征信息的注册习惯指数;
基于同一特征信息的域名总数量和所有APT组织的拥有的同一特征信息总数量,计算得到特征信息的近似概率;
将特征信息的近似概率与特征信息的注册习惯指数相乘,得到APT组织的注册习惯倾向度。
在本可选的实施方式中,Whois信息是用来查询互联网中域名(Domain)的IP以及所有者等信息的传输协议,具体地,Whois信息可以包括Whois Server信息、Name Server信息、注册邮箱、联系电话等信息。需要说明的是,本申请实施例在获取到Whois信息,不使用Whois信息中的注册邮箱、联系电话等与身份强关联的信息对域名和IP进行同源分析。
在本申请实施例中,为了便于描述,将Whois信息中的Whois Server信息和NameServer信息称为特征信息。相应地,作为一种可选的实施方式,特征信息包括Whois Server信息和Name Server信息。
在本申请实施例中,作为一种可选的实施方式,为了便于对Whois Server信息和Name Server信息进行统计,需要对Whois Server信息和Name Server信息进行预处理,具体地,对Whois Server信息进行预处理包括:
将Whois Server信息中的协议头去除和将Whois Server信息中的URI并设为小写,例如,假设WhoisServer信息中的URI为http://whois.Example.com/,则处理后的WhoisServer信息为whois.example.com。
具体地,由于Whois信息中可能存在多个Name Server信息,而一些Name Server信息可以与当前域名不对应,且Name Server信息包含额外属性,因此,需要判断Name Server信息是否与当前域名对应,即,对Name Server信息进行预处理包括:
将域名的主域名部分和Name Server信息的主域名统一置小写之后进行比较,若两者相同,则确定Name Server信息是否与当前域名对应,即确定Name Server信息为自身,例如,假设Example.com的Name Server为ns1.example.com,则Name Server为自身。
在本申请实施例中,作为一种可选的实施方式,获取样本域名的Whois信息的一种具体方式为:
获取样本域名的初始Whois信息段;
当样本域名的初始Whois信息段为多人多次注册所产生时,基于样本域名的攻击时间从样本域名的初始Whois信息段中,筛选出与样本域名的攻击时间相匹配的注册段,并得到样本域名的Whois信息。
在一些场景中,由于Whois信息可能存在被多人多次注册的情况,而选取错了Whois信息则会影响注册习惯分析的准确性和相关性,故需要选取和对应攻击时间对应的Whois信息段,以获取最相关的Whois结果,避免不准确结果对注册习惯分析的干扰,而本可选的实施方式通过从样本域名的初始Whois信息段中,筛选出与样本域名的攻击时间相匹配的注册段,能够选取和对应攻击时间对应的Whois信息段,以获取最相关的Whois结果。
在本可选的实施方式中,如果域名为一般域名,且一般域名只有一次注册,则可直接将一般域名的Whois信息作为准确的Whois信息,例如,假设一般域名example.com被注册过3次,时间段分别为2000/01/01-2009/01/01,2014/02/02-2019/02/02,2020/03/03-2023/03/03,而获取到的攻击时间为2016-2018,则选择2014/02/02-2019/02/02这一段对应的Whois信息作为准确的Whois信息即可。
在本申请实施例中,作为一种可选的实施方式,在获取样本域名的Whois信息之前,本申请实施例的方法还包括以下步骤:
对样本域名进行分类,以将样本域名划分为一般域名、免费域名、区块链域名、动态域名中的一种类型的域名;
当样本域名为一般域名时,执行获取样本域名的Whois信息;
当样本域名为免费域名、区块链域名、动态域名中一种时,则确定APT组织的注册习惯倾向度无法生成,并执行基于样本IP和/或域名生成JARM同源指纹库。
在本可选的实施方式,具体地,一般域名是指有注册信息的非动态域名,免费域名是指域名TLD为tk、ml、ga、cf、gq的域名,区块链域名是指域名TLD为crypto、zil、bit的域名。
在本可选的实施方式中,进一步可选地,获取样本域名的Whois信息的一种实施方式为:
调用访问目标网站的API,以通过API获取一般域名的注册信息,其中,API携带一般域名并以此为查询条件在目标网站中查询一般域名的注册信息。
在本申请实施例中,API通过预设的访问地址访问目标网站,例如,通过https://x.threatbook.cn/)这一地址访问目标网站。
在本申请实施例中,作为一种可选的实施方式,本申请实施例的方法还包括以下步骤:
将样本域名所属攻击事件的公开披露时所提及的攻击时间作为样本域名的攻击时间;
当样本域名所属攻击事件的公开披露时没有提及攻击时间时,将样本域名所属攻击事件的首次发现时间或样本域名所属攻击事件的样本编译时间,作为样本域名的攻击时间;
当样本域名所属攻击事件的公开披露时没有提及攻击时间,且样本域名所属攻击事件的首次发现时间或样本域名所属攻击事件的样本编译时间无法确定时,将距离样本域名所属攻击事件最近的时间段作为样本域名的攻击时间。作为一个示例,如果一件APT攻击事件在A时间节点被拦截发现,并在B时间节点被公开披露,并提及APT攻击事件的攻击事件为C时间节点,则该APT攻击事件的攻击时间为C时间节点;如果一件APT攻击事件的样本在A时间节点被拦截发现,并在B时间节点被公开披露(为公开公开攻击事件),则该APT攻击事件的攻击时间为A时间节点;如果一件APT攻击事件的时间信息只表明了该APT攻击事件是在B时间节点被公开披露,则将B时间节点或B时间节点附近的D时间节点,作为APT攻击事件的攻击时间。
实施例二
请参阅图2,图2是本申请实施例公开的一种APT攻击同源分析装置的结构示意图,如图2所示,本申请实施例的APT攻击同源分析装置包括以下功能模块:
获取模块201,用于获取网络资产情报,网络资产情报包括样本域名和样本IP;
计算模块202,用于基于样本域名计算APT组织的注册习惯倾向度,其中,APT组织的注册习惯倾向度表征样本域名为APT组织注册的可能性;
第一生成模块203,用于基于域名和APT组织的注册习惯倾向度生成注册习惯同源知识库;
第二生成模块204,用当APT组织的注册习惯倾向度无法生成时,基于样本IP和/或域名生成JARM同源指纹库,JARM同源指纹库至少包括样本IP与APT组织之间的对应关系;
匹配模块205,用于基于注册习惯同源知识库匹配可疑域名的注册习惯倾向度,和基于JARM同源指纹库匹配可疑IP的JARM;
确定模块206,用于基于可疑IP的JARM和可疑域名的注册习惯倾向度确定可疑域名的同源分析结果。
本申请实施例在获取到域名后,不基于域名提取域名的注册邮箱、注册电话等与注册这身份强相关的信息识别该域名所属APT组织,而是基于域名计算得到APT组织的注册习惯倾向度,其中,APT组织的注册习惯倾向度表示某个域名可能是某个APT组织注册,例如,如果通过多样本计算,得到某个APT组织针对域名的注册习惯倾向度为50%,则表示该域名有50%的可能是该APT组织注册。
这样一来,本申请实施例就无需通过获取Whois信息中的注册邮箱、注册电话等与注册这身份强相关的信息识别该域名所属的APT组织,而是通过APT组织的注册习惯倾向度可以判断域名所属的APT组织,其中,随着样本的增多,APT组织的注册习惯倾向度确定域名所属APT组织准确度越高,因此,本申请实施例能够解决由于GDPR以及注册者主动进行隐私保护等原因所导致的无法通过域名的Whois信息中的注册邮箱、注册电话等与注册这身份强相关的信息识别域名的APT组织这一技术问题。
相比而言,现有技术中依赖域名的Whois信息来识别该域名所属的APT组织,具体地,是通过Whois信息中的注册邮箱、注册电话等与注册这身份强相关的信息识别该域名所属的APT组织,然而由于GDPR以及注册者主动进行隐私保护等原因,获取到域名的Whois信息,无法从Whois信息获取注册邮箱、注册电话等与注册这身份强相关的信息,从而无法通过Whois信息中的注册邮箱、注册电话等与注册这身份强相关的信息识别该域名所属的APT组织。
与此同时,现有技术仅能够基于域名的Whois信息判断域名所属的APT组织,无法判断一个IP所属的APT组织,即仅能对域名进行同源分析,而无法进行IP同源进行分析,相比而言,本申请实施例就能够通过样本IP形成JARM同源指纹库,进而能够基于JARM同源指纹库保存的JARM与APT组织之间的对应关系,识别可疑IP所属的组织,即进行IP同源分析,这样一来,本申请实施例不仅能够进行域名同源分析,也能够进行IP同源分析。
实施例三
请参阅图3,图3是本申请实施例公开的一种电子设备的结构示意图,如图3所示,本申请实施例的电子设备包括:
处理器301;以及
存储器302,配置用于存储机器可读指令,指令在由处理器301执行时,执行本申请实施例一的APT攻击同源分析方法。
本申请实施例的电子设备通过执行本申请实施例一的APT攻击同源分析方法,能够无需通过获取Whois信息中的注册邮箱、注册电话等与注册这身份强相关的信息识别该域名所属的APT组织,而是通过APT组织的注册习惯倾向度可以判断域名所属的APT组织,其中,随着样本的增多,APT组织的注册习惯倾向度确定域名所属APT组织准确度越高,因此,本申请实施例能够解决由于GDPR以及注册者主动进行隐私保护等原因所导致的无法通过域名的Whois信息中的注册邮箱、注册电话等与注册这身份强相关的信息识别域名的APT组织这一技术问题。与此同时,本申请实施例能够通过样本IP形成JARM同源指纹库,进而能够基于JARM同源指纹库保存的JARM与APT组织之间的对应关系,识别可疑IP所属的组织,即进行IP同源分析,这样一来,本申请实施例不仅能够进行域名同源分析,也能够进行IP同源分析。
实施例四
本申请实施例公开一种存储介质,存储介质存储有计算机程序,计算机程序被处理器执行本申请实施例一的APT攻击同源分析方法。
本申请实施例的存储介质通过执行本申请实施例一的APT攻击同源分析方法,能够无需通过获取Whois信息中的注册邮箱、注册电话等与注册这身份强相关的信息识别该域名所属的APT组织,而是通过APT组织的注册习惯倾向度可以判断域名所属的APT组织,其中,随着样本的增多,APT组织的注册习惯倾向度确定域名所属APT组织准确度越高,因此,本申请实施例能够解决由于GDPR以及注册者主动进行隐私保护等原因所导致的无法通过域名的Whois信息中的注册邮箱、注册电话等与注册这身份强相关的信息识别域名的APT组织这一技术问题。与此同时,本申请实施例能够通过样本IP形成JARM同源指纹库,进而能够基于JARM同源指纹库保存的JARM与APT组织之间的对应关系,识别可疑IP所属的组织,即进行IP同源分析,这样一来,本申请实施例不仅能够进行域名同源分析,也能够进行IP同源分析。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
需要说明的是,功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (8)
1.一种APT攻击同源分析方法,其特征在于,所述方法包括:
获取网络资产情报,所述网络资产情报包括样本域名和样本IP;
基于所述样本域名计算APT组织的注册习惯倾向度,其中,所述APT组织的注册习惯倾向度表征所述样本域名为所述APT组织注册的可能性;
基于所述域名和所述APT组织的注册习惯倾向度生成注册习惯同源知识库;
当所述APT组织的注册习惯倾向度无法生成时,基于所述样本IP和/或所述域名生成JARM同源指纹库,所述JARM同源指纹库至少包括所述样本IP与APT组织之间的对应关系;
基于所述注册习惯同源知识库匹配可疑域名的注册习惯倾向度,和基于所述JARM同源指纹库匹配可疑IP的JARM;
基于所述可疑IP的JARM和所述可疑域名的注册习惯倾向度确定所述可疑域名的同源分析结果和所述可疑IP的同源分析结果;
以及,所述基于所述样本域名计算APT组织的注册习惯倾向度,包括:
获取所述样本域名的Whois信息;
基于所述样本域名的Whois信息提取特征信息;
基于同一特征信息的域名总数量和所述APT组织的所有域名总数量,计算得到所述特征信息的注册习惯指数;
基于同一特征信息的域名总数量和所有所述APT组织的拥有的同一特征信息总数量,计算得到所述特征信息的近似概率;
将所述特征信息的近似概率与所述特征信息的注册习惯指数相乘,得到所述APT组织的注册习惯倾向度;
以及,所述特征信息包括Whois Server信息和Name Server信息。
2.如权利要求1所述的方法,其特征在于,在所述基于所述可疑IP的JARM和所述可疑域名的注册习惯倾向度确定所述可疑域名的同源分析结果,所述方法还包括:
基于预设展示规则展示所述可疑域名的同源分析结果。
3.如权利要求1所述的方法,其特征在于,所述获取所述样本域名的Whois信息,包括:
获取所述样本域名的初始Whois信息段;
当所述样本域名的初始Whois信息段为多人多次注册所产生时,基于所述样本域名的攻击时间从所述样本域名的初始Whois信息段中,筛选出与所述样本域名的攻击时间相匹配的注册段,并得到所述样本域名的Whois信息。
4.如权利要求3所述的方法,其特征在于,在所述获取所述样本域名的Whois信息之前,所述方法还包括:
对所述样本域名进行分类,以将所述样本域名划分为一般域名、免费域名、区块链域名、动态域名中的一种类型的域名;
当所述样本域名为所述一般域名时,执行所述获取所述样本域名的Whois信息;
当所述样本域名为所述免费域名、所述区块链域名、所述动态域名中一种时,则确定所述APT组织的注册习惯倾向度无法生成,并执行基于所述样本IP生成所述JARM同源指纹库。
5.如权利要求1所述的方法,其特征在于,所述方法还包括:
将所述样本域名所属攻击事件的公开披露时所提及的攻击时间作为所述样本域名的攻击时间;
当所述样本域名所属攻击事件的公开披露时没有提及攻击时间时,将所述样本域名所属攻击事件的首次发现时间或所述样本域名所属攻击事件的样本编译时间,作为所述样本域名的攻击时间;
当所述样本域名所属攻击事件的公开披露时没有提及攻击时间,且所述样本域名所属攻击事件的首次发现时间或所述样本域名所属攻击事件的样本编译时间无法确定时,将距离所述样本域名所属攻击事件最近的时间段作为所述样本域名的攻击时间。
6.一种APT攻击同源分析装置,其特征在于,所述装置包括:
获取模块,用于获取网络资产情报,所述网络资产情报包括样本域名和样本IP;
计算模块,用于基于所述样本域名计算APT组织的注册习惯倾向度,其中,所述APT组织的注册习惯倾向度表征所述样本域名为所述APT组织注册的可能性;
第一生成模块,用于基于所述域名和所述APT组织的注册习惯倾向度生成注册习惯同源知识库;
第二生成模块,用当所述APT组织的注册习惯倾向度无法生成时,基于所述样本IP和/或所述域名生成JARM同源指纹库,所述JARM同源指纹库至少包括所述样本IP与APT组织之间的对应关系;
匹配模块,用于基于所述注册习惯同源知识库匹配可疑域名的注册习惯倾向度,和基于所述JARM同源指纹库匹配可疑IP的JARM;
确定模块,用于基于所述可疑IP的JARM和所述可疑域名的注册习惯倾向度确定所述可疑域名的同源分析结果和所述可疑IP的同源分析结果;
以及,所述计算模块执行以及所述基于所述样本域名计算APT组织的注册习惯倾向度的具体方式为:
获取所述样本域名的Whois信息;
基于所述样本域名的Whois信息提取特征信息;
基于同一特征信息的域名总数量和所述APT组织的所有域名总数量,计算得到所述特征信息的注册习惯指数;
基于同一特征信息的域名总数量和所有所述APT组织的拥有的同一特征信息总数量,计算得到所述特征信息的近似概率;
将所述特征信息的近似概率与所述特征信息的注册习惯指数相乘,得到所述APT组织的注册习惯倾向度;
以及,所述特征信息包括Whois Server信息和Name Server信息。
7.一种电子设备,其特征在于,所述电子设备包括:
处理器;以及
存储器,配置用于存储机器可读指令,所述指令在由所述处理器执行时,执行如权利要求1-5任一项所述的APT攻击同源分析方法。
8.一种存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序被处理器执行如权利要求1-5任一项所述的APT攻击同源分析方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210915413.7A CN115001868B (zh) | 2022-08-01 | 2022-08-01 | Apt攻击同源分析方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210915413.7A CN115001868B (zh) | 2022-08-01 | 2022-08-01 | Apt攻击同源分析方法、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115001868A CN115001868A (zh) | 2022-09-02 |
CN115001868B true CN115001868B (zh) | 2022-10-11 |
Family
ID=83022338
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210915413.7A Active CN115001868B (zh) | 2022-08-01 | 2022-08-01 | Apt攻击同源分析方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115001868B (zh) |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105141598A (zh) * | 2015-08-14 | 2015-12-09 | 中国传媒大学 | 基于恶意域名检测的apt攻击检测方法及装置 |
CN105721416A (zh) * | 2015-11-16 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 一种apt事件攻击组织同源性分析方法及装置 |
CN106657025A (zh) * | 2016-11-29 | 2017-05-10 | 神州网云(北京)信息技术有限公司 | 网络攻击行为检测方法及装置 |
CN106685803A (zh) * | 2016-12-29 | 2017-05-17 | 北京安天网络安全技术有限公司 | 一种基于钓鱼邮件溯源apt攻击事件的方法及系统 |
CN108259449A (zh) * | 2017-03-27 | 2018-07-06 | 新华三技术有限公司 | 一种防御apt攻击的方法和系统 |
CN108833437A (zh) * | 2018-07-05 | 2018-11-16 | 成都康乔电子有限责任公司 | 一种基于流量指纹和通信特征匹配的apt检测方法 |
CN110198303A (zh) * | 2019-04-26 | 2019-09-03 | 北京奇安信科技有限公司 | 威胁情报的生成方法及装置、存储介质、电子装置 |
CN110222715A (zh) * | 2019-05-07 | 2019-09-10 | 国家计算机网络与信息安全管理中心 | 一种基于动态行为链和动态特征的样本同源分析方法 |
CN111651591A (zh) * | 2019-03-04 | 2020-09-11 | 腾讯科技(深圳)有限公司 | 一种网络安全分析方法和装置 |
CN112765366A (zh) * | 2021-01-24 | 2021-05-07 | 中国电子科技集团公司第十五研究所 | 基于知识图谱的apt组织画像构建方法 |
CN113726775A (zh) * | 2021-08-30 | 2021-11-30 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、设备及存储介质 |
CN113868656A (zh) * | 2021-09-30 | 2021-12-31 | 中国电子科技集团公司第十五研究所 | 一种基于行为模式的apt事件同源判定方法 |
CN113965392A (zh) * | 2021-10-25 | 2022-01-21 | 杭州安恒信息技术股份有限公司 | 恶意服务器检测方法、系统、可读介质及电子设备 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11743194B2 (en) * | 2019-11-19 | 2023-08-29 | Bit Discovery Inc. | Asset ranking and classification systems and methods |
-
2022
- 2022-08-01 CN CN202210915413.7A patent/CN115001868B/zh active Active
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105141598A (zh) * | 2015-08-14 | 2015-12-09 | 中国传媒大学 | 基于恶意域名检测的apt攻击检测方法及装置 |
CN105721416A (zh) * | 2015-11-16 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 一种apt事件攻击组织同源性分析方法及装置 |
CN106657025A (zh) * | 2016-11-29 | 2017-05-10 | 神州网云(北京)信息技术有限公司 | 网络攻击行为检测方法及装置 |
CN106685803A (zh) * | 2016-12-29 | 2017-05-17 | 北京安天网络安全技术有限公司 | 一种基于钓鱼邮件溯源apt攻击事件的方法及系统 |
CN108259449A (zh) * | 2017-03-27 | 2018-07-06 | 新华三技术有限公司 | 一种防御apt攻击的方法和系统 |
CN108833437A (zh) * | 2018-07-05 | 2018-11-16 | 成都康乔电子有限责任公司 | 一种基于流量指纹和通信特征匹配的apt检测方法 |
CN111651591A (zh) * | 2019-03-04 | 2020-09-11 | 腾讯科技(深圳)有限公司 | 一种网络安全分析方法和装置 |
CN110198303A (zh) * | 2019-04-26 | 2019-09-03 | 北京奇安信科技有限公司 | 威胁情报的生成方法及装置、存储介质、电子装置 |
CN110222715A (zh) * | 2019-05-07 | 2019-09-10 | 国家计算机网络与信息安全管理中心 | 一种基于动态行为链和动态特征的样本同源分析方法 |
CN112765366A (zh) * | 2021-01-24 | 2021-05-07 | 中国电子科技集团公司第十五研究所 | 基于知识图谱的apt组织画像构建方法 |
CN113726775A (zh) * | 2021-08-30 | 2021-11-30 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、设备及存储介质 |
CN113868656A (zh) * | 2021-09-30 | 2021-12-31 | 中国电子科技集团公司第十五研究所 | 一种基于行为模式的apt事件同源判定方法 |
CN113965392A (zh) * | 2021-10-25 | 2022-01-21 | 杭州安恒信息技术股份有限公司 | 恶意服务器检测方法、系统、可读介质及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN115001868A (zh) | 2022-09-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11354364B2 (en) | Client application fingerprinting based on analysis of client requests | |
CN111935192B (zh) | 网络攻击事件溯源处理方法、装置、设备和存储介质 | |
US11005779B2 (en) | Method of and server for detecting associated web resources | |
US20220164731A1 (en) | Systems and methods for monitoring information security effectiveness | |
US10021057B2 (en) | Relationship collaboration system | |
US9451036B2 (en) | Method and apparatus for fingerprinting systems and operating systems in a network | |
Paxson et al. | Practical comprehensive bounds on surreptitious communication over {DNS} | |
EP3852327A1 (en) | Exception access behavior identification method and server | |
US20060230039A1 (en) | Online identity tracking | |
CN106209488B (zh) | 用于检测网站攻击的方法和设备 | |
KR20220166870A (ko) | 컴퓨터 시스템의 확장 가능한 사이버 리스크 평가를 위한 시스템 및 방법 | |
JP2013137740A (ja) | 機密情報識別方法、情報処理装置、およびプログラム | |
US8085763B2 (en) | Method for protecting SIP-based applications | |
CN110033302A (zh) | 恶意账户识别方法及装置 | |
CN111478892A (zh) | 基于浏览器指纹的攻击者画像多维度分析方法 | |
Jia et al. | Micro-honeypot: using browser fingerprinting to track attackers | |
CN110225009B (zh) | 一种基于通信行为画像的代理使用者检测方法 | |
CN112751804B (zh) | 一种仿冒域名的识别方法、装置和设备 | |
Pretorius et al. | Attributing users based on web browser history | |
CN115208643A (zh) | 一种基于web动态防御的追踪溯源方法及装置 | |
Singh et al. | Malicious traffic detection of DNS over https using ensemble machine learning | |
CN115001868B (zh) | Apt攻击同源分析方法、装置、电子设备及存储介质 | |
US9843559B2 (en) | Method for determining validity of command and system thereof | |
US10313127B1 (en) | Method and system for detecting and alerting users of device fingerprinting attempts | |
CN115794780A (zh) | 网络空间资产的采集方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |