CN116545738A - Apt攻击处理方法、系统、电子设备及可读存储介质 - Google Patents

Abstract

本申请公开了一种APT攻击处理方法、系统、电子设备及可读存储介质，涉及轨道交通网络安全领域，该APT攻击处理方法包括：获取轨道交通车辆的网络中的多个维度的威胁信息；当威胁信息满足APT攻击对应的预设条件，基于威胁信息还原APT攻击场景；根据APT攻击场景确定APT攻击链路；基于APT攻击链路确定攻击对象，对攻击对象进行反制处理与靶向防护处理。本申请采用复合链路检测模式，对APT攻击的全生命周期的威胁信息进行检测，能够提高检测精度，有效应对具有持续长时间攻击特点的APT攻击。

Description

APT攻击处理方法、系统、电子设备及可读存储介质

技术领域

本申请涉及轨道交通网络安全领域，特别涉及一种APT攻击处理方法、系统、电子设备及可读存储介质。

背景技术

近年来，随着APT(Advanced Persistent Threat，高级持续性威胁)攻击的不断出现，网络安全面临严峻挑战。与传统网络攻击相比，APT攻击利用多种技术手段，有组织、有计划地对特定目标长期开展渗透攻击，具有目的性强、形式复杂、隐蔽性高且长期持续的特点。目前主流的APT攻击处理方案主要是以行为异常特征的边界防御为切入点，在沙箱中载入未知的程序，模仿程序行为，检测其合法有效性，或者针对异常流量、异常行为等进行检测，达到防御多层次威胁的目的，但是单独采用上述某一防御解决方案，能够一定程度发挥作用，延缓APT攻击，但无法有效的应对具有持续长时间攻击特点的APT攻击。

因此，如何提供一种解决上述技术问题的方案是本领域技术人员目前需要解决的问题。

发明内容

本申请的目的是提供一种APT攻击处理方法、系统、电子设备及可读存储介质，采用复合链路检测模式，对APT攻击的全生命周期的威胁信息进行检测，能够提高检测精度，有效应对具有持续长时间攻击特点的APT攻击。

为解决上述技术问题，本申请提供了一种APT攻击处理方法，包括：

获取轨道交通车辆的网络中的多个维度的威胁信息；

当所述威胁信息满足APT攻击对应的预设条件，基于所述威胁信息还原APT攻击场景；

根据所述APT攻击场景确定APT攻击链路；

基于所述APT攻击链路确定攻击对象，对所述攻击对象进行反制处理与靶向防护处理。

可选的，所述获取轨道交通车辆的网络中的多个维度的威胁信息的过程包括：

获取轨道交通车辆中的网络对应的流量信息和/或日志信息；

当所述流量信息满足第一APT告警条件和/或所述日志信息满足第二APT告警条件，获取轨道交通车辆的网络中的多个维度的威胁信息。

可选的，基于所述威胁信息还原APT攻击场景的过程包括：

获取网络告警日志，从各所述网络告警日志中提取因果关系；所述威胁信息为所述网络告警日志中的告警信息；

基于所述因果关系建立各所述告警日志中的告警信息的链式轨迹，得到异常告警链；

从各所述异常告警链中确定构成APT攻击场景的目标告警链；

基于所述目标告警链得到APT攻击场景。

可选的，基于所述因果关系建立各所述告警日志中的告警信息的链式轨迹，得到异常告警链的过程包括：

利用超告警方法，基于所述因果关系建立各所述告警日志中的告警信息的链式轨迹，得到异常告警链。

可选的，从各所述异常告警链中确定构成APT攻击场景的目标告警链的过程包括：

提取各所述异常告警链中的关键威胁主题的语义描述；

基于所述关键威胁主题的语义描述确定所述异常告警链与APT攻击的关联关系；

利用所述关联关系确定构成APT攻击场景的目标告警链。

可选的，所述获取轨道交通车辆的网络中的多个维度的威胁信息的过程包括：

获取情报检测系统和/或入侵检测系统和/或行为检测系统和/或动态检测系统和/或病毒检测系统和/或基因检测系统和/或沙箱检测系统输出的网络告警日志，以获取轨道交通车辆的网络中的多个维度的威胁信息。

可选的，基于所述APT攻击链路确定攻击对象的过程包括：

根据所述APT攻击链路溯源出攻击信息；所述攻击信息包括源IP和域名；

基于所述攻击信息得到攻击对象。

可选的，对所述攻击对象进行反制处理的过程包括：

对所述攻击对象进行漏洞扫描，获取漏洞信息；

基于所述漏洞信息对所述攻击对象进行反制处理。

可选的，基于所述漏洞信息对所述攻击对象进行反制处理的过程包括：

基于所述漏洞信息获取所述攻击对象的最高控制权限，以对所述攻击对象进行反制处理。

可选的，所述漏洞信息包括攻击对象的操作工具的漏洞信息；

基于所述漏洞信息对所述攻击对象进行反制处理的过程包括：

基于所述操作工具的漏洞信息对所述攻击对象进行反制处理。

可选的，基于所述漏洞信息对所述攻击对象进行反制处理的过程包括：

构造伪数据库服务端，以使所述攻击对象使用客户端工具连接所述伪数据库服务端；

利用所述客户端工具的漏洞信息获取所述攻击对象的标识信息，以便基于所述标识信息对所述攻击对象进行反制处理。

可选的，根据所述APT攻击链路溯源出攻击信息的过程包括：

根据所述APT攻击链路对攻击组织、攻击者以及攻击手段进行溯源，得到攻击信息。

可选的，根据所述APT攻击链路溯源出攻击信息之前，所述APT攻击处理方法还包括：

确定各个所述攻击组织的特征维度；

基于所述特征维度确定各个所述攻击组织之间的相似度。

可选的，基于所述特征维度确定各个所述攻击组织之间的相似度的过程包括：

确定各个所述攻击组织在相同特征维度的维度相似度；

对维度相似度进行加权得到各个所述攻击组织之间的相似度。

可选的，对所述攻击对象进行靶向防护处理的过程包括：

构建防护体系框架；

通过所述防护体系框架，基于攻击特征信息进行靶向防护。

可选的，所述靶向防护包括阻断基于所述攻击信息得到的攻击路径和/或链接杀毒软件进行杀毒操作和/或记录攻击痕迹信息。

为解决上述技术问题，本申请还提供了一种APT攻击处理系统，包括：

获取模块，用于获取轨道交通车辆的网络中的多个维度的威胁信息；

检测模块，用于当所述威胁信息满足APT攻击对应的预设条件，基于所述威胁信息还原APT攻击场景；

溯源模块，用于根据所述APT攻击场景确定APT攻击链路，基于所述APT攻击链路确定攻击对象；

反制与防护模块，用于对所述攻击对象进行反制处理与靶向防护处理。

为解决上述技术问题，本申请还提供了一种电子设备，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如上文任意一项所述的APT攻击处理的步骤。

为解决上述技术问题，本申请还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上文任意一项所述的APT攻击处理的步骤。

本申请提供了一种APT攻击处理方法，获取轨道交通车辆的网络中的多个维度的威胁信息，然后基于威胁信息进行APT攻击场景的匹配，得到当前的APT攻击链路，基于APT攻击链路确定攻击对象，以便对APT攻击对象进行反制处理，采用复合链路检测模式，对APT攻击的全生命周期的威胁信息进行检测，能够提高检测精度，有效应对具有持续长时间攻击特点的APT攻击。本申请还提供了一种APT攻击处理系统、电子设备及计算机可读存储介质，具有和上述APT攻击处理方法相同的有益效果。

附图说明

为了更清楚地说明本申请实施例，下面将对实施例中所需要使用的附图做简单的介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请所提供的一种APT攻击的阶段示意图；

图2为本申请所提供的一种APT攻击处理方法的步骤流程图；

图3为本申请所提供的一种多维威胁信息的示意图；

图4为本申请所提供的一种APT攻击场景还原方法的步骤流程图

图5为本申请所提供的另一种APT攻击场景还原方法的步骤流程图；

图6为本申请所提供的另一种APT攻击处理方法的步骤流程图；

图7为本申请所提供的一种APT攻击处理系统的结构示意图；

图8为本申请所提供的一种电子设备的结构示意图。

具体实施方式

本申请的核心是提供一种APT攻击处理方法、系统、电子设备及可读存储介质，采用复合链路检测模式，对APT攻击的全生命周期的威胁信息进行检测，能够提高检测精度，有效应对具有持续长时间攻击特点的APT攻击。

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

为便于理解本申请的方案，首先对APT攻击进行说明，参照图1所示，APT攻击分多个阶段、多个步骤，每一步均可划分为信息收集、入侵渗透、潜伏调整以及攻击退出四个阶段，最后一个阶段仅在整个攻击结束时才会实施，其它三个阶段则会在攻击过程中重复出现，各阶段的目的均有不同的侧重点，为达成阶段性目的所采取的行为也存在差异。为便于分析，将第一阶段定义为攻击准备过程，攻击准备过程仅包含信息收集这一阶段，这一过程的主要目的是为了收集、归纳、整合与攻击目标相关的资源，为进一步的攻击实施做好准备工作，这一过程中的攻击行为可以依据攻击对象的不同，从目标系统、目标用户以及攻击者自身三个角度进行分析。对于目标系统，APT攻击者的主要攻击目标是对方的信息系统，主要攻击目的有窃取信息系统内的敏感资料、阻碍重要任务、破坏关键设备等；针对目标用户的行为分析包含诱骗行为以及社会工程学攻击；在攻击准备阶段，攻击者自身不仅需要对目标进行信息收集，还需要利用已经拥有的信息，在自身方面做好充分的准备，包括定制攻击方案、挖掘零日漏洞、编写所需代码、制作钓鱼网站等。

攻击实施阶段中，在对攻击目标进行充分信息收集之后，攻击者开始真正入侵目标网络系统。由于APT攻击中的入侵渗透阶段、潜伏调整阶段以及攻击退出阶段的实施平台为目标网络系统，各阶段的攻击行为之间存在极大的相似与重复，因此为攻击实施过程，将该阶段的攻击分为直接攻击和间接攻击两大类。通过对比分析APT攻击与各类攻击行为的特性，提取影响APT攻击行为性能的关键要素，并对各要素进行详细说明，设计量化评估方法，为后续的攻击检测、溯源与反制策略提供参考。

第一方面，请参照图2，图2为本申请所提供的一种APT攻击处理方法的步骤流程图，该APT攻击处理方法包括：

S101：获取轨道交通车辆的网络中的多个维度的威胁信息；

S102：当威胁信息满足APT攻击对应的预设条件，基于威胁信息还原APT攻击场景；

首先对APT攻击检测进行说明，APT攻击检测可以通过预先构建的检测模型实现。

基于APT攻击场景复杂性和APT攻击种类多样性从两个维度分析，针对相对静态场景，本实施例提出一种考虑多种APT攻击的基于用户分簇的个性化联邦学习模型来检测APT攻击，以提高模型检测多种APT攻击的成功率，降低训练时延。可以理解，用户的特征是异构，而且受到攻击的原因、时间以及种类是不同的，攻击造成的影响也不同，根据用户和APT攻击的特征设计一个能减少破坏力强的攻击的个性化联邦学习。与传统的联邦学习聚合方式不同，当中心服务器收到所有的本地模型参数更新后，不直接进行平均聚合，而是将这些本地更新利用K-means算法进行分簇，类似的本地更新即受到的攻击种类相似的用户为一簇，簇与簇之间的距离足够大，再根据攻击破坏力的强度进行全局加权聚合，破坏力能力强的给出更高的权重，以便优先检测出破坏力强的APT攻击。进而，还为簇进行个性化参数设计，不再采用完全一样的联邦深度学习模型，而是针对用户和受到攻击的特征进行调整，提高模型的准确度。采用基于联邦深度学习的APT攻击检测模型，突破传统检测方案中数据孤单，隐私限制的问题，通过联邦学习模型缓解通信和计算负担，可以在有限的资源的前提下，尽可能多的选择用户参与到联邦学习模型训练中，从而使针对APT的攻击检测更高效。

本实施例中，对于APT攻击检测包括入侵检测、关联分析和机器学习等复合检测方案。其中，入侵检测用于准确获取多维度的威胁信息，关联分析用于针对APT攻击多步骤之间的因果关系识别多步骤攻击，清洗宽时域范围内的海量威胁信息，浓缩威胁信息中的APT攻击特征；机器学习针对APT攻击目标明确特点，自动提取多步骤攻击APT攻击意图，精确追踪APT攻击的整个过程，还原APT攻击场景，从而准确追踪APT攻击的来源，为APT防御提供有效的支持。

可以理解，APT攻击的全生命周期分为六个阶段，分别为侦察跟踪阶段、武器构建阶段、载荷投递阶段、漏洞利用阶段、安装植入阶段、命令与控制阶段，APT攻击在各个阶段都会产生威胁信息，在每一阶段，均采用细粒度复合链路检测方案，获取轨道交通车辆的网络中的多个维度的威胁信息，以在不同的阶段，实现APT攻击的单一端检测模式向复合链路检测模式转变，提高检测精度。

其中，参照图3所示，多个维度的威胁信息包括情报检测得到的威胁信息、入侵检测得到的威胁信息、行为检测得到的威胁信息、动态检测得到的威胁信息、病毒检测得到的威胁信息、基因检测得到的威胁信息以及沙箱检测得到的威胁信息。当然，多个维度的威胁信息除了可以包括上述检测过程得到的威胁信息，还可以包括其他检测手段得到的威胁信息，本申请在此不做具体限定。

在一些实施例中，获取轨道交通车辆的网络中的多个维度的威胁信息的过程包括：

获取轨道交通车辆中的网络对应的流量信息和/或日志信息；

当流量信息满足第一APT告警条件和/或日志信息满足第二APT告警条件，获取轨道交通车辆的网络中的多个维度的威胁信息。

其中，第一APT告警条件包括流量异常变化，第二APT告警条件包括与日志信息中包括与APT攻击相关的信息。

在一些实施例中，请参照图4，图4为本申请所提供的一种APT攻击场景还原方法的步骤流程图，基于威胁信息还原APT攻击场景的过程包括：

S401：获取网络告警日志，从各网络告警日志中提取因果关系；威胁信息为网络告警日志中的告警信息；

S402：基于因果关系建立各告警日志中的告警信息的链式轨迹，得到异常告警链；

S403：从各异常告警链中确定构成APT攻击场景的目标告警链；

S404：基于目标告警链得到APT攻击场景。

在一些实施例中，基于因果关系建立各告警日志中的告警信息的链式轨迹，得到异常告警链的过程包括：

利用超告警方法，基于因果关系建立各告警日志中的告警信息的链式轨迹，得到异常告警链。

在一些实施例中，请参照图5，图5为本申请所提供的另一种APT攻击场景还原方法的步骤流程图，基于威胁信息还原APT攻击场景的过程包括：

S501：获取网络告警日志，从各网络告警日志中提取因果关系；威胁信息为网络告警日志中的告警信息；

S502：基于因果关系建立各告警日志中的告警信息的链式轨迹，得到异常告警链；

S503：提取各异常告警链中的关键威胁主题的语义描述；

S504：基于关键威胁主题的语义描述确定异常告警链与APT攻击的关联关系；

S505：利用关联关系确定构成APT攻击场景的目标告警链。

S506：基于目标告警链得到APT攻击场景。

可以理解，在获取到海量的威胁信息后，采用超告警方法将海量的威胁信息转化为具有因果关系的超告警信息库，融合具有因果承接关系的告警信息并建立链式轨迹，从海量威胁信息中提取出异常告警链，再联合所有异常告警链形成异常告警库，其中，自主挖掘现有安全告警日志中各告警事件之间的因果关系，将它们组织成链，消除了获取整个攻击过程来关联APT原子攻击步骤的依赖，还形成了隐含连续性攻击步骤和攻击策略的告警链模型，构建APT攻击的多步骤组合的攻击场景，有助于从大规模数据中去除噪声日志以及浓缩APT攻击意图。

采用隐含狄利克雷分布语义分析方法从异常告警库中选择关键威胁主题形成语义描述，基于模型遍历库中所有异常告警链给出告警的语义描述实现告警链语义增强。最终利用深度学习技术，结合反映了异常告警链中隐含攻击特征的主题分布(语义特征)信息，提取告警链库中构成APT攻击场景的目标告警链，形成最终的APT攻击场景描述，即确定APT攻击场景，以便根据APT攻击场景确定APT攻击链路。

S103：根据APT攻击场景确定APT攻击链路；

S104：基于APT攻击链路确定攻击对象，对攻击对象进行反制处理与靶向防护处理。

对APT攻击的溯源反制方案进行说明。在还原得到APT攻击场景后，即可对APT攻击进行溯源，具体的，根据APT攻击场景确定APT攻击链路，对APT攻击链路溯源。

可以理解，不同攻击组织的攻击手段、攻击目的都不相同，攻击组织的攻击时间、攻击目的都可作为威胁情报信息保存下来，其中，包含攻击组织的特征化信息，通过聚类算法进行多维度特征提取和选择，对威胁情报信息进行提取形成综合威胁知识库，进而建立APT组织情报库。通过攻击组织特征基于分布式智能算法建立已有攻击组织的关联。同时，当网络再次受到攻击时，利用机器学习算法自主学习生成攻击事件特征向量的分类判定模型，实现自动化辅助的攻击溯源，具体来看涉及以下阶段：

威胁情报多维度聚类：APT攻击组织在一段时间内具有较为固定的攻击目标、武器库、漏洞库等，这些特征就可以成为确定一个攻击组织的不同的维度(时间、目标位置)。因此，溯源的过程可以分解成确定这些特征维度的过程，通过对流量还原数据的分析和挖掘，可以发现网络流量中的攻击行为，并将其作为风险数据存储到单独的风险数据库中，克服分析特征和推理规则依赖专家经验的局限性。

基于多维度相似度计算的攻击组织关联：攻击组织关联的主要思路是通过确定攻击组织间的相似程度实现攻击组织间关联，建立起不同攻击组织间的关系，两个攻击组织间的相似度被分解为两个攻击组织在不同维度上的相似度，以维度相似度的加权结果选择其近邻，以便后续针对某一APT攻击，基于该APT攻击的特征，与已知APT攻击进行相似度计算，根据相似度计算结果进行溯源；

攻击组织的溯源与一致性判定可以基于联邦学习实现，本实施例通过研究现有的攻击组织特征提出对攻击组织的溯源与研判方法，减少人力成本，提高研判速度，应用联邦学习和分类算法相结合，建立联邦多分类模型，避免原始特征在训练中的传输，在保护隐私的降低时延开销，同时保证较好的判定分类精度。

可以理解，在得到APT攻击场景后，即可根据APT攻击场景，基于上述溯源方案，实现对攻击组织、攻击对象和攻击手段的溯源，从而确定攻击对象，以便对攻击对象进行反制处理，以有效应对具有持续长时间攻击特点的APT攻击。

在一些实施例中，对攻击对象进行反制处理的过程包括：

对攻击对象进行漏洞扫描，获取漏洞信息；

基于漏洞信息对攻击对象进行反制处理。

在一些实施例中，基于漏洞信息对攻击对象进行反制处理的过程包括：

基于漏洞信息获取攻击对象的最高控制权限，以对攻击对象进行反制处理。

可以理解，在攻击对象的整个攻击过程中，通过溯源得到攻击发起的真实IP地址与域名以及中间服务器域名跳转到源域名与IP地址，对攻击对象的IP地址与域名发起反向渗透攻击，对特定系统进行攻击形成对网络层、应用层、传输层或物理层等层次的控制能力，获得管理员等最高控制权限。

在一些实施例中，漏洞信息包括攻击对象的操作工具的漏洞信息；

基于漏洞信息对攻击对象进行反制处理的过程包括：

基于操作工具的漏洞信息对攻击对象进行反制处理。

针对攻击对象使用的浏览器、数据库连接客户端等操作工具，利用其功能特性和漏洞，对攻击对象实施反制处理，达到对攻击库攻击的目的。

在一些实施例中，基于漏洞信息对攻击对象进行反制处理的过程包括：

构造伪数据库服务端，以使攻击对象使用客户端工具连接伪数据库服务端；

利用客户端工具的漏洞信息获取攻击对象的标识信息，以便基于标识信息对攻击对象进行反制处理。

本实施例中，通过伪造数据库服务端，引导攻击对象使用客户端工具连接，并在连接过程中利用其客户端工具的设计缺陷，获取攻击对象更多信息，以达到反制的目的。

请参照图6，图6为本申请所提供的另一种APT攻击处理方法的步骤流程图，该APT攻击处理方法在上述实施例的基础上，包括：

S601：获取轨道交通车辆的网络中的多个维度的威胁信息；

S602：当威胁信息满足APT攻击对应的预设条件，基于威胁信息还原APT攻击场景；

S603：根据APT攻击场景确定APT攻击链路；

S604：基于APT攻击链路确定攻击对象；

S605：对攻击对象进行靶向防护处理；

S606：对攻击对象进行漏洞扫描，获取漏洞信息；

S607：基于漏洞信息对攻击对象进行反制处理；

其中，S607包括：

S6071：基于漏洞信息获取攻击对象的最高控制权限，以对攻击对象进行反制处理；

S6072：基于操作工具的漏洞信息对攻击对象进行反制处理；

S6073：构造伪数据库服务端，以使攻击对象使用客户端工具连接伪数据库服务端，利用客户端工具的漏洞信息获取攻击对象的标识信息，以便基于标识信息对攻击对象进行反制处理。

可见，本实施例中，获取轨道交通车辆的网络中的多个维度的威胁信息，然后基于威胁信息进行APT攻击场景的匹配，得到当前的APT攻击链路，基于APT攻击链路确定攻击对象，以便对APT攻击对象进行反制处理与靶向防护处理，采用复合链路检测模式，对APT攻击的全生命周期的威胁信息进行检测，能够提高检测精度，有效应对具有持续长时间攻击特点的APT攻击。

在上述实施例的基础上：

在一些实施例中，对攻击对象进行靶向防护处理的过程包括：

构建防护体系框架；

通过防护体系框架，基于攻击特征信息进行靶向防护。

在一些实施例中，靶向防护包括阻断基于攻击信息得到的攻击路径和/或链接杀毒软件进行杀毒操作和/或记录攻击痕迹信息。

本实施例中，对于APT攻击进行针对性防护，针对APT攻击的网络安全建立一个相应的防护体系框架，即本实施例中的防护体系框架，APT攻击防御核心可以利用沙箱技术，通过沙箱技术有效识别未知攻击与异常行为是，同时进行异常流量分析，通过对流量建模，识别异常行为，当发现网络连接的行为模式明显偏离正常模型时，就可能存在网络攻击。针对APT攻击的过程中控制权限的非法获取和重要信息资产的窃取，相应地使用密码技术，能够更好地保护系统的安全，也可以利用大数据技术，通过对网络数据分析，将可疑的网络扫描信息、Web会话、Email记录、防火墙日志等信息进行智能化关联分析。安全策略系统可以保证网络安全防护体系能够高效运行，对体系内的资源进行统一管理分配，使整个体系达到效能最大化的主要组织系统。安全防护体系框架运用各种资源，根据不同情况对资源投入量进行调整，使防御效果最大化。信息防护体系框架通过各种技术手段的使用，对体系内数据进行加密、隐藏甚至欺骗，从而达到防护的目的。响应恢复系统对各信息系统的运行进行安全评估，在出现安全威胁时自动处理。可以对系统进行渗透测试，全面检查系统的脆弱性，预防性地弥补系统的薄弱之处，能使系统保持一定程度的安全性。

综上，本申请针对APT攻击全生命周期六个阶段即侦察跟踪阶段、武器构建阶段、载荷投递阶段、漏洞利用阶段、安装植入阶段、命令与控制阶段，采用细粒度复合链路检测方法，提高检测精度，即在不同的阶段，实现APT攻击检测由单一端检测模式向复合链路检测模式转变；本申请针对APT攻击过程动态调整、攻击行为难以发现的问题，基于APT攻击的阶段性特征，结合各攻击阶段的目的，提出阶段特性的APT攻击行为分类框架，对现有的攻击行为进行“细粒度”划分，选取并定义影响攻击行为性能的关键因素，提出面向APT攻击的行为量化评估方法；本申请针对APT攻击检测精度低的问题，采用基于联邦深度学习的APT攻击检测模型，突破传统检测方案中数据孤单，隐私限制的问题，通过联邦学习模型缓解通信和计算负担，可以在有限的资源的前提下，尽可能多的选择用户参与到联邦学习模型训练中，从而使针对APT的攻击检测更高效；本申请针对攻击组织溯源问题，提出自动聚类将风险数据自动划分成多个不同的线索集，克服传统方案的局限性和高成本，提高溯源的效率和成功率。面向攻击组织分别从时间、空间、内容三大维度提取特征指标，设计相似度计算方法完成不同维度不同特征指标的相似性分析建立攻击者组织关联，通过利用联邦学习和机器学习算法建立多分类模型，实现对APT攻击组织的溯源和判定；本申请针对在海量异构的网络威胁情报中对异常事件进行有效关联的问题，采用融合具有因果承接关系的告警信息并建立链式轨迹的方法，从海量信息中提取出告警链，可以自主挖掘现有安全告警中事件之间的因果关系，并将它们组织成链，消除了获取整个攻击过程来关联APT原子攻击步骤的依赖，还形成了隐含连续性攻击步骤和攻击策略的告警链模型。构建APT攻击的多步骤组合的攻击场景，有助于从大规模数据中去除噪声日志以及浓缩APT攻击意图；本申请反制方法为通过网络武器库反向攻击，在攻击者的整个攻击过程中，通过溯源得到攻击发起的真实IP地址与域名以及中间服务器域名跳转到源域名与IP地址，对攻击者IP地址与域名发起反向渗透攻击，对特定系统进行攻击形成对网络层、应用层、传输层或物理层等层次的控制能力，获得管理员等最高控制权限；针对攻击者使用的浏览器、数据库连接客户端等工具，利用其功能特性和漏洞，对攻击者实施反制；本申请还可以基于黑客工具自身缺陷反制，达到对攻击库攻击的目的；本申请也可通过伪造数据库服务端，引诱攻击者使用客户端工具连接，并在连接过程中利用其客户端工具的设计缺陷，获取攻击者更多信息，以达到反制的目的；本申请基于溯源信息提出靶向主动防御策略，主动防御采用基于攻击特征的靶向防护手段，包括阻断攻击路径、链接杀毒软件进行杀毒、并通过安全审计系统记录攻击痕迹。

第二方面，请参照图7，图7为本申请所提供的一种APT攻击处理系统的结构示意图，该APT攻击处理系统包括：

获取模块71，用于获取轨道交通车辆的网络中的多个维度的威胁信息；

检测模块72，用于当威胁信息满足APT攻击对应的预设条件，基于威胁信息还原APT攻击场景；

溯源模块73，用于根据APT攻击场景确定APT攻击链路，基于APT攻击链路确定攻击对象；

反制与防护模块74，用于对攻击对象进行反制处理与靶向防护处理。

可见，本实施例中，获取轨道交通车辆的网络中的多个维度的威胁信息，然后基于威胁信息进行APT攻击场景的匹配，得到当前的APT攻击链路，基于APT攻击链路确定攻击对象，以便对APT攻击对象进行反制处理与靶向防护处理，采用复合链路检测模式，对APT攻击的全生命周期的威胁信息进行检测，能够提高检测精度，有效应对具有持续长时间攻击特点的APT攻击。

在一些实施例中，获取轨道交通车辆的网络中的多个维度的威胁信息的过程包括：

获取轨道交通车辆中的网络对应的流量信息和/或日志信息；

当流量信息满足第一APT告警条件和/或日志信息满足第二APT告警条件，获取轨道交通车辆的网络中的多个维度的威胁信息。

在一些实施例中，基于威胁信息还原APT攻击场景的过程包括：

获取网络告警日志，从各网络告警日志中提取因果关系；威胁信息为网络告警日志中的告警信息；

基于因果关系建立各告警日志中的告警信息的链式轨迹，得到异常告警链；

从各异常告警链中确定构成APT攻击场景的目标告警链；

基于目标告警链得到APT攻击场景。

在一些实施例中，基于因果关系建立各告警日志中的告警信息的链式轨迹，得到异常告警链的过程包括：

利用超告警方法，基于因果关系建立各告警日志中的告警信息的链式轨迹，得到异常告警链。

在一些实施例中，从各异常告警链中确定构成APT攻击场景的目标告警链的过程包括：

提取各异常告警链中的关键威胁主题的语义描述；

基于关键威胁主题的语义描述确定异常告警链与APT攻击的关联关系；

利用关联关系确定构成APT攻击场景的目标告警链。

在一些实施例中，获取轨道交通车辆的网络中的多个维度的威胁信息的过程包括：

获取情报检测系统和/或入侵检测系统和/或行为检测系统和/或动态检测系统和/或病毒检测系统和/或基因检测系统和/或沙箱检测系统输出的网络告警日志，以获取轨道交通车辆的网络中的多个维度的威胁信息。

在一些实施例中，基于APT攻击链路确定攻击对象的过程包括：

根据APT攻击链路溯源出攻击信息；攻击信息包括源IP和域名；

基于攻击信息得到攻击对象。

在一些实施例中，对攻击对象进行反制处理的过程包括：

对攻击对象进行漏洞扫描，获取漏洞信息；

基于漏洞信息对攻击对象进行反制处理。

在一些实施例中，基于漏洞信息对攻击对象进行反制处理的过程包括：

基于漏洞信息获取攻击对象的最高控制权限，以对攻击对象进行反制处理。

在一些实施例中，漏洞信息包括攻击对象的操作工具的漏洞信息；

基于漏洞信息对攻击对象进行反制处理的过程包括：

基于操作工具的漏洞信息对攻击对象进行反制处理。

在一些实施例中，基于漏洞信息对攻击对象进行反制处理的过程包括：

构造伪数据库服务端，以使攻击对象使用客户端工具连接伪数据库服务端；

利用客户端工具的漏洞信息获取攻击对象的标识信息，以便基于标识信息对攻击对象进行反制处理。

在一些实施例中，根据APT攻击链路溯源出攻击信息的过程包括：

根据APT攻击链路对攻击组织、攻击者以及攻击手段进行溯源，得到攻击信息。

在一些实施例中，根据APT攻击链路溯源出攻击信息之前，APT攻击处理系统还包括：

确定模块，用于确定各个攻击组织的特征维度，基于特征维度确定各个攻击组织之间的相似度。

在一些实施例中，基于特征维度确定各个攻击组织之间的相似度的过程包括：

确定各个攻击组织在相同特征维度的维度相似度；

对维度相似度进行加权得到各个攻击组织之间的相似度。

在一些实施例中，对攻击对象进行靶向防护处理的过程包括构建防护体系框架，通过防护体系框架，基于攻击特征信息进行靶向防护。

在一些实施例中，靶向防护包括阻断基于攻击信息得到的攻击路径和/或链接杀毒软件进行杀毒操作和/或记录攻击痕迹信息。

第三方面，请参照图8，图8为本申请所提供的一种电子设备的结构示意图，该电子设备包括：

存储器，用于存储计算机程序；

处理器，用于执行计算机程序时实现如上文任意一个实施例所描述的APT攻击处理的步骤。

当然，电子设备还可以包括各种网络接口，电源等组件。

对于本申请所提供的一种电子设备的介绍请参照上述实施例，本申请在此不再赘述。

本申请所提供的一种电子设备具有和上述APT攻击处理方法相同的有益效果。

第四方面，本申请还提供了一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现如上文任意一项所描述的APT攻击处理的步骤。

该计算机存储介质可以包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

对于本申请所提供的一种计算机可读存储介质的介绍请参照上述实施例，本申请在此不再赘述。

本申请所提供一种计算机可读存储介质具有和上述APT攻击处理方法相同的有益效果。

还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的状况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其他实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (19)

1.一种APT攻击处理方法，其特征在于，包括：

获取轨道交通车辆的网络中的多个维度的威胁信息；

当所述威胁信息满足APT攻击对应的预设条件，基于所述威胁信息还原APT攻击场景；

根据所述APT攻击场景确定APT攻击链路；

基于所述APT攻击链路确定攻击对象，对所述攻击对象进行反制处理与靶向防护处理。

2.根据权利要求1所述的APT攻击处理方法，其特征在于，所述获取轨道交通车辆的网络中的多个维度的威胁信息的过程包括：

获取轨道交通车辆中的网络对应的流量信息和/或日志信息；

当所述流量信息满足第一APT告警条件和/或所述日志信息满足第二APT告警条件，获取轨道交通车辆的网络中的多个维度的威胁信息。

3.根据权利要求1所述的APT攻击处理方法，其特征在于，基于所述威胁信息还原APT攻击场景的过程包括：

获取网络告警日志，从各所述网络告警日志中提取因果关系；所述威胁信息为所述网络告警日志中的告警信息；

基于所述因果关系建立各所述告警日志中的告警信息的链式轨迹，得到异常告警链；

从各所述异常告警链中确定构成APT攻击场景的目标告警链；

基于所述目标告警链得到APT攻击场景。

4.根据权利要求3所述的APT攻击处理方法，其特征在于，基于所述因果关系建立各所述告警日志中的告警信息的链式轨迹，得到异常告警链的过程包括：

利用超告警方法，基于所述因果关系建立各所述告警日志中的告警信息的链式轨迹，得到异常告警链。

5.根据权利要求3所述的APT攻击处理方法，其特征在于，从各所述异常告警链中确定构成APT攻击场景的目标告警链的过程包括：

提取各所述异常告警链中的关键威胁主题的语义描述；

基于所述关键威胁主题的语义描述确定所述异常告警链与APT攻击的关联关系；

利用所述关联关系确定构成APT攻击场景的目标告警链。

6.根据权利要求3所述的APT攻击处理方法，其特征在于，所述获取轨道交通车辆的网络中的多个维度的威胁信息的过程包括：

获取情报检测系统和/或入侵检测系统和/或行为检测系统和/或动态检测系统和/或病毒检测系统和/或基因检测系统和/或沙箱检测系统输出的网络告警日志，以获取轨道交通车辆的网络中的多个维度的威胁信息。

7.根据权利要求1-6任一项所述的APT攻击处理方法，其特征在于，基于所述APT攻击链路确定攻击对象的过程包括：

根据所述APT攻击链路溯源出攻击信息；所述攻击信息包括源IP和域名；

基于所述攻击信息得到攻击对象。

8.根据权利要求7所述的APT攻击处理方法，其特征在于，对所述攻击对象进行反制处理的过程包括：

对所述攻击对象进行漏洞扫描，获取漏洞信息；

基于所述漏洞信息对所述攻击对象进行反制处理。

9.根据权利要求8所述的APT攻击处理方法，其特征在于，基于所述漏洞信息对所述攻击对象进行反制处理的过程包括：

基于所述漏洞信息获取所述攻击对象的最高控制权限，以对所述攻击对象进行反制处理。

10.根据权利要求8所述的APT攻击处理方法，其特征在于，所述漏洞信息包括攻击对象的操作工具的漏洞信息；

基于所述漏洞信息对所述攻击对象进行反制处理的过程包括：

基于所述操作工具的漏洞信息对所述攻击对象进行反制处理。

11.根据权利要求8所述的APT攻击处理方法，其特征在于，基于所述漏洞信息对所述攻击对象进行反制处理的过程包括：

构造伪数据库服务端，以使所述攻击对象使用客户端工具连接所述伪数据库服务端；

利用所述客户端工具的漏洞信息获取所述攻击对象的标识信息，以便基于所述标识信息对所述攻击对象进行反制处理。

12.根据权利要求7所述的APT攻击处理方法，其特征在于，根据所述APT攻击链路溯源出攻击信息的过程包括：

根据所述APT攻击链路对攻击组织、攻击者以及攻击手段进行溯源，得到攻击信息。

13.根据权利要求12所述的APT攻击处理方法，其特征在于，根据所述APT攻击链路溯源出攻击信息之前，所述APT攻击处理方法还包括：

确定各个所述攻击组织的特征维度；

基于所述特征维度确定各个所述攻击组织之间的相似度。

14.根据权利要求13所述的APT攻击处理方法，其特征在于，基于所述特征维度确定各个所述攻击组织之间的相似度的过程包括：

确定各个所述攻击组织在相同特征维度的维度相似度；

对维度相似度进行加权得到各个所述攻击组织之间的相似度。

15.根据权利要求7所述的APT攻击处理方法，其特征在于，对所述攻击对象进行靶向防护处理的过程包括：

构建防护体系框架；

通过所述防护体系框架，基于攻击特征信息进行靶向防护。

16.根据权利要求15所述的APT攻击处理方法，其特征在于，所述靶向防护包括阻断基于所述攻击信息得到的攻击路径和/或链接杀毒软件进行杀毒操作和/或记录攻击痕迹信息。

17.一种APT攻击处理系统，其特征在于，包括：

获取模块，用于获取轨道交通车辆的网络中的多个维度的威胁信息；

检测模块，用于当所述威胁信息满足APT攻击对应的预设条件，基于所述威胁信息还原APT攻击场景；

溯源模块，用于根据所述APT攻击场景确定APT攻击链路，基于所述APT攻击链路确定攻击对象；

反制与防护模块，用于对所述攻击对象进行反制处理与靶向防护处理。

18.一种电子设备，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如权利要求1-16任意一项所述的APT攻击处理的步骤。

19.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1-16任意一项所述的APT攻击处理的步骤。